当人脸识别技术在商场、小区、售楼处无感捕捉敏感的个人生物信息；当扫码点餐不得不提交授权个人信息的“入门券”；当孩子培训的信息在网络上“裸奔”……数字时代的便利与风险如影随形。面对这些新问题，如何在上海这座拥有近2500万常住人口、数字经济高度发达的超大城市找到新解法，考验着执法者的智慧。

　　上海的选择是，将法治作为人民城市治理的基石，让合规的触角延伸到数字生活的每一个角落。从一杯奶茶、一个停车码、一次扫码点餐等微观生活场景切入，再到人脸识别、AI治理的深水区，自2023年6月启动的“亮剑浦江”个人信息保护专项执法行动持续深化至今，成为网络法治在超大城市的生动实践。

　　三载“亮剑浦江”，演进脉络清晰可见：2023年以“民生小切口”破题，让法律赋予公民的权利可感可知；2024年以典型场景切入，让执法向全周期延伸；2025年致力于“生态构建”，实现政府与社会共治、保护和发展共生，上海由此逐步构筑起一道个人信息保护坚实的网络法治屏障。

　　时间倒回2023年夏天，澎湃新闻一篇题为《调查谁“偷”了我的信息：一杯网红奶茶产生87条数据背后》的报道，迅速引发热议。频繁诱导索取手机号、强制获取精准位置、弹窗轰炸式求关注……报道揭示的消费领域个人信息保护乱象，正是许多上海市民的日常困扰，也成为“亮剑浦江”专项执法行动的出发点。

　　经过广泛调研，8个市民日常接触最多、反映最强烈的消费场景被锁定：扫码点餐、停车缴费、少儿学习培训、网络理财小贷、房产中介、共享充电宝、商超购物、汽车4S店。2023年6月16日，“亮剑浦江·消费领域个人信息权益保护专项执法行动”正式启动。

　　咖啡是上海城市文化符号，也是个人信息收集的高频场景。专项行动启动伊始，星巴克就因扫码点餐频繁弹窗要求加会员，被上海网信部门约谈。

　　2023年6月，上海市网信办、市场监督管理局执法人员赴星巴克衡山坊店现场检查。

　　但执法并未止步于约谈。根据微信公众号“网信上海”发布的消息，2023年，上海市网信办、市市场监管局联合对星巴克、瑞幸咖啡、Manner Coffee、麦咖啡、Tims天好咖啡、挪瓦咖啡、COSTA COFFEE 、M Stand、Seesaw Coffee、niiice café、Peets Coffee、库迪咖啡等24家连锁咖啡企业开展普法培训和合规指导。

　　与此同时，上海市网信办发布了《咖啡消费场景违法违规收集使用个人信息案例解析》，梳理强制或默认同意隐私政策，隐私政策缺失、不实或不完整，强制或频繁诱导收集精准位置信息等6类常见违法违规问题，让相关企业“按图索骥”自查自纠。

　　随着执法行动的深入，上海对个人信息保护治理的精度也从日常的消费场景延伸至更隐秘的角落。

　　2024年，鲁迅公园西门草坪附近公厕被曝如厕取纸必须人脸识别。据《新闻坊》报道，该公厕安装了两台“智能取纸机”。游客取厕纸时要站在机器前，机器摄像头“刷脸”识别后，才会吐出一小段纸巾，一共三片。

　　“取几张厕纸而已，竟然还要人脸识别，这就让人很不舒服。而且机器上并没有注明人脸识别后的用途，也没有标注这款机器的任何产品信息。”吴女士说，自己非常担心刷脸后的个人信息安全。

　　除了刷脸取纸机外，2024年4月29日，《解放日报》“民声直通车”报道了松江区泳乐云间游泳馆更衣室推行人脸识别设备事件。消费者朱女士向记者描述了她当时的窘迫与愤怒：“站在设备前，摄像头打光灯一亮，屏幕前就出现了附近来往顾客没穿衣服的画面。我连忙用毛巾把摄像头挡住，赶紧用浴巾裹好身体！”

　　在上海市网信办的指导下，松江区网信办立即协同市场监管、公安网安等部门前往现场核查。最终涉事游泳馆运营主体被警告并处行政处罚。该案也成为上海市、区两级网信部门协同开展人脸识别技术领域执法的首案。

　　上海交通大学媒体与传播学院教授徐剑长期关注“亮剑浦江”专项执法行动。他说，“亮剑浦江”专项执法行动最重要的就是让法治不是高高在上的文本，而是触手可及的边界划线。比如在餐厅扫码点餐时，整治强制关注公众号乱象，让老百姓能“吃顿饭不用交出手机号”；在商场停车缴费时，能自动模糊处理车牌信息，防止“消费一次、骚扰半年”；在参与团购活动时要求明示数据用途，让老人也能看懂“个人信息去哪儿”。

　　“真正的网络法治，既不是给一刀切的禁止，更不是对乱象不闻不问，而是用技术标尺量出‘便捷’与‘隐私’的边界。这也是‘人民至上’治理理念在日常数字生活中的生动落地。”徐剑说。

　　法律的生命在于实施。2021年，《个人信息保护法》正式实施，标志着中国的个人信息保护进入法治化新阶段。如何让国家的顶层设计落地并生根发芽，如何将《个人信息保护法》中的“最小必要”、“告知同意”等原则性规定，转换成企业可理解、可操作、可执行的具体规则，考验着上海的治理智慧。

　　而“亮剑浦江”专项执法行动首年奠定了场景化治理的基石。通过对扫码点餐、停车缴费、少儿培训等市民日常接触最频繁、痛点最集中的场景集中整治，上海初步建立了“一场景一规范、一行业一指引”的治理模式，“划重点、立规矩”，推动网络法治从条文走向生活。

　　在2023年的基础上，“亮剑浦江·2024”专项执法行动在规则制定上更加精细化、体系化。最具代表性的成果是形成了涵盖“释法、指导、评估、保护”四个层次的惠企为民“个人信息保护大礼包”。

　　其中“工具包”（《个人信息处理者应知手册》），将晦涩的法条转化成企业易懂的操作指南，回答了“怎么做”的问题。

　　“体检包”（《企业个人信息保护合规自检清单》）为企业提供了一份详尽的合规底线清单，便于企业自我核查，发现“哪里不行”。

　　“服务包”（《上海个人信息保护场景规范指引》）集纳了各细分行业的合规指引，提供“按图索骥”的解决方案。

　　“护身包”（《上海市民个人信息保护要点问答》）则以问答形式普及维权知识，提升消费者的自我保护能力。

　　2025年“亮剑浦江”专项执法行动迈向标准化新阶段。《上海市网信办网络执法工作手册》等27项制度规范相继出台，标志着上海在网络法治建设中探索出可复制、可推广的制度体系。

　　华东政法大学教授、博士生导师，华东政法大学互联网法治研究院院长高富平表示，《个人信息保护法》与每个人、每个企业及整个社会息息相关。如何规促企业合法使用个人信息，塑造尊重个人的企业文化，是执法最终目标。“‘亮剑浦江’是一种预防式执法，体现了先进的执法理念和执法温度。”

　　个人信息保护涉及网信、通信管理、市场监管、文旅等多行业主管部门，不同主管部门如何在行业领域治理中形成合力？根据《个人信息保护法》“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作”的相关规定，在国家网信部门指导下，上海“亮剑浦江”专项执法行动早在2023年启动伊始就打破部门壁垒，构建了以“市区衔接、部门联动、社会参与”为核心框架的“上海方案”。

　　作为中立第三方，华东政法大学和上海社会科学院受邀成立联合评估项目组，对“亮剑浦江”专项执法行动2023年取得的成效进行客观呈现和评估。评估报告中的“联动执法示意图”指出，上海市网信办发挥统筹协调作用，市场监管、商务、教育、金融监管、房管等部门根据场景灵活协同。

　　以餐饮领域为例，牵头部门为网信部门和市场监管部门，行业主管部门为商务委，协同主体包括消保委、餐饮烹饪行业协会及相关企业，通过各方协同共治取得了良好成效。

　　协同治理机制在2024年进入“深度定制”阶段。以人脸识别专项整治为例，网信部门统筹市场监管、公安、商务委、教育、文旅、体育、绿化市容、房管等9个部门，按场景和职责分工，其中体育局负责运动场所，商务委负责经营场所，文旅局负责文旅场所……

　　为了应对连锁经营模式中上海门店整改但其他地方门店可能依旧违规的问题，2025年“亮剑浦江”专项执法行动一方面在本地执法中强化“头雁效应”，通过约谈总部、检查旗舰店，从而推动企业调整全国政策；另一方面推动跨区域执法协作。

　　浙江理工大学数据法治研究院执行院长郭兵在题为《个人信息保护监管执法如何从“盆景”变为“风景”》中指出，“亮剑浦江”专项执法行动不仅有网信等政府部门主导，也有检察机关的支持，还充分发挥了行业自律、媒体宣传、公众参与等各方面的作用，形成了个人信息保护的多元共治格局。

　　郭兵表示，其他地方有必要参考借鉴上海“亮剑浦江”经验，积极落实个人信息保护相关法律法规的监管执法要求。

　　“亮剑浦江”专项执法行动的价值，不仅在于解决了什么问题，更在于通过创新，建立了一种能够持续发现问题、解决问题的长效机制和能力。

　　作为行动的标志性成果之一，用于停车缴费的“纯净码”，在车主扫码后就能直接跳转到缴费页面，无需关注公众号、注册会员或提供手机号码。目前，“纯净码”已在全市3704家公共停车场全面落地，覆盖了上海主要商场、宾馆、医院、公园、景点景区。

　　“纯净码”的背后是治理思维的创新，针对不同场景的风险等级，上海采取“宽严相济”的策略。其中，对于人脸识别等高敏感场景，上海提出了三大原则——为公共场所必须、有法律依据、单独告知，要做到最大可能“退”、最小范围“用”、最小范围“存”。

　　高富平教授见证了“亮剑浦江”专项执法行动三年来的变化。他表示，《个人信息保护法》并没有对中小企业作出特殊规范，在执法检查中我们发现很多企业没有法务部门或经理，在“个保法”的合规管理方面几乎是空白。如果执法检查仅仅是按照法律标准检查和处罚，那么执法检查可能会简单粗暴甚至受到企业的抵触。

　　为此，“亮剑浦江”专项执法行动从一开始就将自己的核心目标确定为引导和帮助企业走向合规，这一理念也贯穿于行动的全过程。

　　在针对咖啡、人脸识别等重点领域的集中整治过程中，上海网信部门发布图文并茂的《案例解析》，将违法违规行为具体化、场景化，让企业特别是中小企业对号入座，明白“哪违规？如何改”。

　　在对相关企业检查整改前，上海网信部门先组织普法培训，让企业理解规则，变“要我做，不会做”为“我要做，我会做”。而对于自查后仍存在问题的企业，上海网信部门进行点对点约谈，指明合规路径，给予整改期限。这种“执法前置”程序极大降低了企业的抵触情绪和合规成本。

　　“‘亮剑浦江’行动一开始就不是以处罚企业为目标，而是先执法宣教，提出整改清单，对于整改无效或者存在严重问题的才予以处罚。”高富平表示。

　　“亮剑浦江”专项执法行动还特别提升社会参与度，以提高创新的活力。2025年，“亮剑沪网·E心为民”网络法治服务日活动形成品牌效应。从浦东软件园到奉贤爱企谷，从普陀数字广告园区到黄浦、杨浦互联网优质内容创作集聚区，网信干部、检察官、律师、技术专家组成“服务团”，为覆盖数字经济、人工智能、互联网金融、内容创作等300余家新型企业提供“合规问诊”。

　　2025年6月20日，“医疗服务类互联网企业网络数据安全、个人信息保护”合规指导会在上海市网信办顺利举办，本市约100家医疗服务类互联网企业参加培训。

　　2023年行动结束时，一个关键问题浮现：如何留住执法效果？“亮剑浦江”的答案是构建可持续的治理生态。

　　在治理模式上，“亮剑浦江”专项执法行动三年间实现了从“专项化”向“常态化”的转变。执法流程则固化为“线索收集→现场检查→合规培训→自查整改→推标立规→回头查验→立案处罚→评估成效+媒体监督”的闭环。媒体的角色也从报道者升级为共建者，形成“投诉-执法-反馈”的良性互动。

　　到了2025年，常态化、长效机制成为“亮剑浦江”的关键词。这一年，《上海市人脸识别技术合规应用倡议书》正式发布，提出清晰易懂、朗朗上口的 “六不得”倡议，将法律原则转化为企业一目了然的行为底线。牵头形成了《上海市人脸识别技术应用安全治理专项工作协同机制（1.0版）》，将跨部门协作从临时性、运动式，固化为常态化、制度化的不断安排。同时，《内容网上传播专项整治负面清单》、《医疗服务类互联网企业数据安全合规指引》等行业规范的出台，为各类市场主体提供了明确稳定的监管预期。

　　更重要的是，上海市网信办连续三年固化执法成果，不断将典型案例、违法违规问题进行梳理汇总形成法治指导。如“亮剑浦江·2025”专项执法就为企业推出《互联网企业合规发展重点答疑三十题》（服务包）、《网络安全、数据安全、个人信息保护常见违规五十例》（体检包），以及上海网信部门、市场监管部门联合发布了“亮剑浦江·2025”执法典型案例，这些具有可操性的落地成果，不仅是以法治理念护航新兴行业发展，更是以合规指引新型企业行稳致远。

　　根据第三方评估回收的5679份问卷调查，70.29%的企业采取了“对个人信息实行分类管理”；69.18%的企业“完善内部管理制度和操作流程”。这些数据印证了“亮剑浦江·2025”专项行动的治理成效：企业合规意识普遍增强，上海市民安全感显著提升，一个政府、企业、社会良性互动的个人信息保护生态正在形成。

　　2025年11月28日，中央政治局就加强网络生态治理进行第二十三次集体学习。中央习在主持学习时强调，网络生态治理是网络强国建设的重要任务，事关国家发展和安全，事关人民群众切身利益。这些年的实践让我们深刻认识到，抓网络生态治理必须坚持党的领导、坚持人民至上、坚持守正创新、坚持法治护航、坚持系统观念。

　　从2023年的民生痛点切入，到2024年的全生命周期监管，再到2025年的生态构建，“亮剑浦江”三年实践展现了一条清晰的治理升级路径：从事后执法向事前服务转变，从处罚向预防转变，从专项行动向系统治理转变。

　　以“人民城市”理念为引领，以网络法治为路径，上海正脚踏实地回应着生活在这个城市里的每个人对美好数字生活的向往。而这，正是“亮剑浦江”给出的回响。