以下为近期国内外数据与网络安全合规前沿资讯概要,如需获取详细内容与要点解读,请联系我们:puyuhan@zhonglun.com
国内要闻概览
某互联网平台公司因未落实数据出境安全评估要求等行为被罚1000万元(相关链接)
点评:针对某互联网平台公司未落实数据出境安全评估要求、违法出境个人信息等行为,上海市网信办依据《个人信息保护法》,予以罚款1000万元的行政处罚,并责令企业限期改正。企业受处罚后积极配合,全面落实有关整改要求。
国家网信办印发《金融信息服务数据分类分级指南》(相关链接)
点评:《指南》适用于金融信息服务提供者开展数据分类分级和重要数据识别工作。在数据分类方面,《指南》按照金融信息服务数据的业务属性进行分类,其中一级分类为业务数据、用户数据和企业数据3类,在此基础上进一步细分二级分类9类、三级分类67类。在分级方面,《指南》根据金融信息服务数据在经济社会发展中的重要程度和敏感程度,将数据从高到低分为四级,分别为核心数据、重要数据、敏感一般数据、常规一般数据。
国家网信办发布《中国个人信息保护报告(2025年)》(相关链接)
点评:《中国个人信息保护报告(2025年)》内容涵盖个人信息保护制度框架、监管治理、社会共治、宣传教育、国际合作五个方面成就,并在附录中总结了《个人信息保护法律法规部门规章一览》《个人信息保护国家标准一览》《2025年度个人信息保护大事记》《个人信息保护典型司法案例》。
工信部印发《“人工智能+信息通信”创新发展实施意见(2026—2028年)》(相关链接)
点评:《实施意见》围绕推动信息通信行业智能化升级、夯实人工智能发展底座、深化融合应用创新推广、增强信息通信行业治理能力等四个方面部署17项具体任务,进一步促进人工智能与信息通信融合创新发展,为扎实推进新型工业化,加快建设制造强国、网络强国提供有力支撑。《实施意见》强调,到2028年,人工智能与信息通信初步构建融合互促的创新发展格局。信息通信智能运营和服务能力达到国际先进水平,信息通信网络初步实现高等级自智,形成30个以上高价值典型场景,打造一批典型应用和特色智能体。网络、算力等信息基础设施支撑人工智能能力进一步提升。
国家网信办、市场监管总局联合印发《网络测评活动规范》(相关链接)
点评:《网络测评活动规范》要求,从事网络测评活动,涉及对产品功能、性能等项目测试,应当委托具有法定检验检测资质许可的检验检测机构按照相关标准以及技术规范开展测试。对食品开展检验检测的,测试方应当具备相应资质,不得使用非标方法,不得测评无国家标准检验方法的项目。不得采取不同标准、不同方法对同类产品进行横向、纵向比较。未对产品开展测试,仅凭主观感受对产品进行评价,应当进行说明。
国家网信办发布《整治涉企侵权信息 优化营商网络环境自律公约》(相关链接)
点评:在国家网信办指导下,重点网站平台共同制定该《公约》。《公约》明确网站平台要及时清理侵犯企业家个人权益信息,主动清除已核实的涉企虚假不实信息,加强榜单涉企话题管理,持续优化算法推荐机制,杜绝涉企负面信息投流行为,从严管理非法牟利行为,取消经常性发布涉企负面信息自媒体账号营利权限,加强涉事账号处置力度。
中央网信办召开全国网络生态治理工作会议(相关链接)
中央网信办通报30款违法收集使用个人信息的App(相关链接)
国家数据局印发《关于推进行业高质量数据集建设行动的实施方案》(相关链接)
点评:行业高质量数据集是经过采集、加工等数据处理,可直接用于开发和训练人工智能模型,能有效提升模型性能的行业数据集合。该《实施方案》强调聚焦部分创新行业领域推进高质量数据集建设,推动数据标注转型升级,构建数据集全生命周期的管理体系,探索面向人工智能发展的数据相关制度,探索行业高质量数据集资产化路径,培育为高质量数据付费的市场共识,到2028年底建成一批覆盖重点领域、经过应用验证的行业高质量数据集。
公安部网安局发布侵犯公民个人信息违法犯罪典型案例(相关链接)
点评:公安部网安局发布侵犯公民个人信息违法犯罪典型案例,揭露了3类常见的作案类型。一是利用个人疏忽与急迫心理,如借“兼职招聘”诱导受害人主动完成实名认证、填写敏感信息后再行倒卖;二是信息处理者安全责任“失守”,部分平台、企业内部管理不严,出现“内鬼”或技术漏洞,导致海量数据被窃取、转卖;三是以“精准营销”为名的非法获取,个别科技公司假借业务推广、数据分析,违规收集、交换公民个人信息。
网易支付(杭州)有限公司因违反数据安全管理等规定被罚220.4万元(相关链接)
点评:中国人民银行浙江省分行披露行政处罚决定信息公示表显示,2026年6月2日,网易支付(杭州)有限公司被警告,并罚款220.4万元,因其违反账户管理规定、清算管理规定以及数据安全管理规定,且未按照规定开展客户尽职调查。
国外要闻概览
欧盟《网络弹性法案》关于合格评定机构通知规则的条款生效
点评:欧盟《网络弹性法案》(Cyber Resilience Act,简称“CRA”)是欧盟针对在欧盟境内销售的具有数字元素的产品(包括硬件、软件及物联网设备)设定网络安全要求的立法。2026年6月11日,该法案第四章关于合格评定机构通知规则(notification of conformity assessment bodies)的条款正式生效,要求成员国指定评定机构进行评估和检测工作,并向欧盟委员会报备,确保到2026年12 月11日为止欧盟境内有足够数量的认证机构能够开展合格评估工作。此外,关于报告数据安全漏洞以及严重安全事件的义务将于2026年9 月11日起生效,该法案整体将于2027年12月11日起生效。
欧盟委员会发布《人工智能生成内容透明度行为准则》
点评:2026年6月10日,欧盟委员会发布《人工智能生成内容透明度行为准则》(Code of Practice on Transparency of AI-Generated Content),旨在帮助生成式人工智能系统提供者和部署者为2026年8月2日生效的欧盟《人工智能法案》第四章中的透明度义务做准备,企业签署该准则后可援引该准则作为已采取合理合规措施的依据。准则分为两部分:一是提供者部分,要求以机器可读方式标记人工智能生成内容;二是部署者部分,要求对深度伪造及人工智能生成的文本进行清晰标注。
欧盟数据保护委员会通过统一数据泄露通报模板
点评:2026年6月10日,欧洲数据保护委员会(European Data Protection Board,简称“EDPB”)与欧盟委员会专员Michael McGrath会面,并在全体会议上通过了统一数据泄露通报模板。该模板旨在帮助数据保护机构统一数据泄露通报流程,确保通报内容涵盖GDPR第33条要求的全部信息。该模板特别有助于为缺乏专职数据保护官或法律资源的小型企业节省时间和合规成本,降低GDPR合规门槛。此外,关于“数字综合法案(The Digital Omnibus)”,EDPB重申绝不能采纳涉及个人数据定义的修改方案,因为这些修改可能会严重削弱对个人数据的保护力度。
欧盟委员会责令Meta恢复竞争对手AI助手对WhatsApp的免费访问权限
点评:欧盟委员会于2025年12月对Meta限制竞争对手的AI助手接入WhatsApp的行为进行了反垄断调查,认为Meta在欧盟经济区消费者通讯应用市场通过WhatsApp占据支配地位,先是禁止第三方人工智能助手(例如ChatGPT、Copilot)的使用,后又收取费用才允许继续使用,该行为已经构成滥用市场支配地位。2026年6月9日,欧盟委员会裁定Meta 必须在五个工作日内恢复第三方人工智能助手的免费使用功能。
欧盟与韩国签署数字贸易协议
点评:2026年6月10日,欧盟与韩国签署了数字贸易协定(Digital Trade Agreement)。该数字贸易协定为双方之间的数字商务活动制定了具有约束力的规则,包含承认电子合同合法性、允许使用电子签名、保护消费者权益、便利跨境数据传输的相关规定,同时禁止强制要求对方转让或披露源代码的行为。
西班牙数据保护局因安全措施不足对伊比利亚航空公司处以65万欧元罚款
点评:西班牙数据保护局对伊比利亚航空公司处以65万欧元罚款,因其违反GDPR关于数据安全的规定。此前,伊比利亚航空公司一家服务提供商遭遇网络安全事件,攻击者未经授权访问了包含伊比利亚航空公司员工及企业客户代表个人数据的系统,涉及相关人员姓名、电子邮箱地址及电话号码。西班牙数据保护局认定,伊比利亚航空公司未实施适当的安全措施以确保数据处理安全,未确保其数据处理者提供充分的安全保障,亦未进行充分的风险分析。西班牙数据保护局指出伊比利亚航空公司仅依赖数据处理者的认证、问卷及合同条款,而未独立验证其实际安全能力,不足以履行GDPR第28(1)条项下的尽职义务。
The End
编辑:王敏芊
责编:蒲昱含
科技与竞争法律评论
立足法律实务,关注中外科技与反垄断/竞争法前沿,定期分享法律速递、案例解读和实务建议。

