以下为近期国内外数据与网络安全合规前沿资讯概要,如需获取详细内容与要点解读,请联系我们:puyuhan@zhonglun.com
国内要闻概览
全国网安标委就《数据安全技术 个人信息安全规范》等5项国家标准征求意见(相关链接)
点评:全国网安标委就《网络安全技术 零信任能力成熟度模型及评价方法》《网络安全技术 关键信息基础设施安全检测评估方法》《数据安全技术 自动化工具收集网络数据技术要求》《数据安全技术 个人信息安全规范》《网络安全技术 人工智能技术涉及未成年人应用安全指南》等5项国家标准征求意见稿面向社会公开征求意见,意见征集截至2026年8月16日。其中《数据安全技术 个人信息安全规范》(征求意见稿)计划修订现行GB/T 35273-2020《信息安全技术 个人信息安全规范》。
商务部公布《产业链供应链安全调查工作办法》,多项规定涉及数据要素(相关链接)
点评:2026年6月24日,商务部发布2026年第24号公告,公布《产业链供应链安全调查工作办法》,自公布之日起施行。办法明确,商务部可对外国国家、地区、国际组织或外国组织、个人违反国际法或市场交易原则、对我国产业链供应链安全造成实质损害或威胁的措施或行为开展调查。评估因素涵盖重要物质、技术、资金、资产、数据、信息、人员、企业及物流、商流、资金流、数据流等要素安全与畅通流动。国内有关法人、组织可向商务部提交书面材料申请启动调查。根据调查结果,商务部可会同有关部门对有关国家、地区、国际组织等禁止或限制进出口、投资、交易合作、入境及取消居留资格等措施。境内组织、个人不执行相关措施的,可被禁止/限制数据跨境传输等活动。
我国牵头制定的全球首个自动驾驶系统全球技术法规获批发布(相关链接)
点评:2026年6月22日至26日,联合国世界车辆法规协调组织第199次全体会议在瑞士日内瓦召开,由中国、欧盟、英国、美国、加拿大和日本共同牵头制定的联合国自动驾驶系统全球技术法规(ADS GTR)正式获批发布。作为全球首个自动驾驶全球技术法规,ADS GTR明确了自动驾驶系统产品核心技术指标,提出了制造商层面的要求及配套的审核和评估方法,其目的是建立统一的监管义务以确保道路安全,但具体执行需结合各缔约方的国家认证体系。我国自动驾驶系统强制性国家标准已完成编制,正在履行报批程序,在全面覆盖ADS GTR核心技术内容的基础上,针对L3级、L4级系统提出了更为细化的技术要求。
国家网络与信息安全信息通报中心通报40款违法违规收集使用个人信息的移动应用(相关链接)
苏州银行因违反网络安全及数据安全管理规定等11项违法被罚没超760万元(相关链接)
点评:2026年6月18日,中国人民银行江苏省分行公示行政处罚决定(苏银罚决字〔2026〕19-21号),苏州银行股份有限公司因涉及违反网络安全安全管理规定、违反数据安全管理规定、违反账户管理规定、违反收单管理规定、违反信用信息采集提供查询及相关管理规定、未按照规定开展客户尽职调查、未按照规定保存客户身份资料和交易记录、未按照规定报告可疑交易等11项违法行为,被处以警告、通报批评,没收违法所得约40万元,罚款超721万元,合计罚没超760万元。
国外要闻概览
欧盟委员会初步认定Microsoft Azure为守门人
点评:2026年6月25日,欧盟委员会通知微软,初步认定其云计算服务Microsoft Azure应被指定为《数字市场法》(Digital Markets Act,简称“DMA”)下的守门人。该初步认定源于欧盟委员会于2025年11月18日启动的市场调查,是DMA首次针对云基础设施服务而非消费端平台服务适用守门人制度。委员会初步认定,Azure作为欧盟第二大云计算服务商,是连接企业与消费者的重要网关,尽管其未达到DMA通常设定的量化门槛(如年欧盟营业额75亿欧元或市值750亿欧元、月活用户4500万、年活商业用户1万名),但基于其在云计算市场的核心地位、锁定效应及转换成本等定性因素,仍应被指定为守门人。若最终认定成立,Azure将被加入微软已被指定的守门人核心平台服务清单中,微软须在六个月内使其符合DMA义务。微软有权在最终决定作出前提交回应。同日,欧盟委员会亦就Amazon Web Services向亚马逊发出初步守门人认定。
欧洲数据保护委员会推出表单受理GDPR解释不一致举报
点评:2026年6月24日,欧洲数据保护委员会(EDPB)正式上线专用联系表单,供利益相关方报告GDPR在欧洲各地解释与适用中可能存在的不一致情形。该举措源于EDPB《赫尔辛基声明》中关于增强清晰度、支持与参与的承诺,旨在加强与利益相关方的对话并确保GDPR在全欧洲的一致执行。新工具允许举报国家监管机构立场之间的分歧,以及国家立场与EDPB立场之间的差异。EDPB明确不会对单个举报逐一回复,但将定期汇编收到的信息,由委员会成员在高层会议上进行讨论,以研究可采取的改进措施,促进执法一致性。
欧盟法院裁定:法院可在符合GDPR条件下使用一方非法获取的个人数据证据
点评:2026年6月18日,欧盟法院就NTH Haustechnik GmbH诉EM案(C-484/24)作出判决,明确法院在司法程序中处理个人数据受GDPR约束,但一方非法获取的个人数据仍可在一定条件下作为证据使用。该案源于德国劳动争议,雇主为证明前员工未经授权在线销售公司财产,访问其eBay账户获取证据。欧盟法院认定,法院可依据GDPR第6(1)(e)条基于公共利益处理此类数据,但须满足三项条件:国家法律提供明确指引、符合公平审判原则、且处理具有必要性和相称性。法院同时强调,证据可采性规则原则上属于成员国法律范畴,但须遵守欧盟法的等效性和有效性原则,不得使当事人行使权利变得不可能或过于困难。
英国《数据使用与访问法》数据保护投诉处理新规生效
点评:2026年6月19日,英国《数据使用与访问法》项下数据保护投诉处理新规正式生效。该法首次以成文法形式要求所有数据控制者建立内部数据保护投诉处理机制,个人须先向组织直接投诉,不满意方可升级至信息专员办公室(ICO)。新规要求控制者提供清晰便捷的投诉渠道(包括社交媒体等非正式渠道),在收到投诉后30日内予以确认,并毫不延迟地开展合理且与投诉性质相称的调查,同时向投诉人通报进展及最终结果。ICO已于2026年2月发布配套指南,明确无规模豁免,所有处理个人数据的组织均须遵守。该制度旨在促进投诉在组织层面早期解决,减轻ICO案件积压压力。
特朗普签署《保护国家免受高级密码攻击》行政令
点评:2026年6月22日,美国总统特朗普签署《保护国家免受高级密码攻击》(Securing the Nation Against Advanced Cryptographic Attacks)行政令,指令联邦机构加速向后量子密码学(PQC)迁移,以应对量子技术发展带来的网络安全威胁。行政令要求管理和预算办公室及国家网络总监领导全国PQC迁移工作;商务部、国家安全局和国土安全部向机构提供实施指导;各机构须指定PQC迁移负责人,并按使用场景在2030年或2031年前将高价值资产过渡至PQC。商务部须在2027年12月31日前完成PQC迁移试点项目。联邦采购监管委员会须要求相关承包商在2030年底前满足联邦网络安全标准。行政令还鼓励协助关键基础设施运营商、外国政府及行业团体向PQC过渡。
新加坡《在线安全(救济与问责)法》内容审核条款即将生效
点评:2026年6月29日,新加坡《在线安全(救济与问责)法》(Online Safety (Relief and Accountability) Act 2025,第23号法案)的内容审核条款正式生效,监管面向新加坡用户的在线服务提供商及在线位置管理员。同日,在线安全委员会(OSC)正式开始运作,为网络危害受害者提供救济渠道。第一阶段聚焦五类最严重危害:亲密图像滥用、基于图像的儿童虐待、人肉搜索、网络骚扰(含网络性骚扰)及网络跟踪。法案明确内容发布者、群组/页面管理员及平台的法定义务,受害者可向法院申请损害赔偿及禁令等救济。
日本众议院通过《个人信息保护法》修正案,增加AI处理同意豁免
点评:2026年5月21日,日本众议院通过第54号法案,修订《个人信息保护法》部分条款,并于6月12日提交参议院审议。修正案核心内容包括:扩大同意豁免范围,个人数据用于统计制作,且第三方提供个人数据或收集公开敏感个人数据仅用于上述目的时,无需取得同意;低风险或社会有益处理亦无需同意。同时,修正案加强16岁以下儿童个人信息保护,要求取得法定代理人同意并以儿童最佳利益为优先;规范人脸识别技术使用,要求公开披露处理信息并验证身份以便退出,禁止第三方提供退出机制。此外,修正案还修订了处理者义务、数据泄露通知规则,并强化了纠正令、刑事处罚及附加费等执法权力。
The End
编辑:王敏芊
责编:蒲昱含
科技与竞争法律评论
立足法律实务,关注中外科技与反垄断/竞争法前沿,定期分享法律速递、案例解读和实务建议。

