数据隐私与网络安全｜竞天公诚网络安全与数据合规动态提报（2025年8月）

2025年8月13日，江苏省互联网信息办公室、省商务厅（自贸办）、省数据局会同有关部门发布了江苏自贸区数据出境负面清单及管理办法。该办法适用于江苏省自贸试验区内登记注册的数据处理者开展的数据出境活动。其负面清单特别聚焦于生物医药领域，全方位覆盖了医药数据，对患者数据和医务人员数据进行了十分精细的分档管理，对医疗行业下的数据跨境流动提出较为新颖和细致的要求。

2025年8月7日，工业和信息化部会同中央网信办等十部门起草了《人工智能科技伦理管理服务办法（试行）（公开征求意见稿）》。该办法系《关于加强科技伦理治理的意见》《科技伦理审查办法（试行）》等通用性伦理治理规定在人工智能领域的细化和落实。

此办法确立了增进人类福祉、尊重生命权利、尊重知识产权、坚持公平公正、合理控制风险、保持公开透明、确保可控可信、强化责任担当八项核心伦理原则；要求高等学校、科研机构、企业等责任主体设立科技伦理委员会，对涉及生命健康、公共秩序等高风险活动实施全流程伦理审查；建立了从“一般程序与简易程序”到“专家复核”再到“应急程序”的多级审查程序，其中，重点要求对人类行为有强干预的人机融合系统、具有舆论动员能力的算法模型及高风险场景自动化决策系统三类活动开展专家复核，并制定动态调整的复核清单；强调标准体系建设、中小微企业支持、风险监测预警服务以及宣传教育等支撑措施；构建覆盖研发、供应、使用全链条的伦理治理框架，为平衡技术创新与伦理风险防控提供制度保障。 

2025年8月4日，为落实2025年1月1日起修订施行的《中华人民共和国反洗钱法》相关规定，中国人民银行会同国家金融监督管理总局、中国证券监督管理委员会联合发布了《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法（征求意见稿）》。

在适用主体上，该办法第2条与《反洗钱法》一致新增列举了“非银行支付机构”为适用主体，并在附则部分第47条补充银行卡清算机构以及从事汇兑业务、基金销售业务、保险专业代理、保险经纪业务机构和网络小额贷款公司同样适用本法。

在适用方式上，该办法确立了尽调与客户涉及反洗钱风险相匹配的原则，增加了应当开展尽调的情形。同时，该办法明确了业务存续期间的持续调查要求，并参照国际标准对受益所有人、高风险国家（地区）、外国政要等特定领域的尽职调查进行了规范。

2025年8月22日，中国证监会正式发布《期货公司互联网营销管理暂行规定》（以下简称《规定》），将于 2025 年 10 月 9 日起实施。

在个人信息保障方面，该规定第5条规定了期货公司需保障交易者知情权、自主选择权和个人信息安全。

在营销内容方面，该规定第五条明确了期货互联网公司营销内容合规的要求，并要求期货公司要对营销活动全流程留痕，相关资料保存期限自形成之日起不得少于二十年。

在第三方合作数据安全方面，该规定第9条至第12条要求期货公司在利用第三方机构服务开展互联网营销活动时，需评估第三方服务安全性；签订包含数据安全相关内容的协议；持续跟踪评估第三方合规性、安全性及协议履行情况。

2025年8月19日，广州市工商联、市委网信办、市司法局、市商务局、市市场监管局联合制定《广州市电子商务平台经营者协议规则合规指引》。

该指引对电商平台经营者制定平台服务协议和交易规则提出了内容合规要求，对平台协议和规则的制定、修改及废止提出了程序合规要求。特别地，该指引在第二十九条规范了电商平台经营者对个人信息的收集和使用要求，第三十条规范了个人信息主体权利行使保障要求，总体明确了电子商务平台不得采用一次概括授权、默认授权等方式，强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的个人信息。

2025年8月5日，中国网络空间安全协会发布通知就三项团体标准公开征求意见。此次征求意见旨在响应人工智能和物联网技术的快速发展，特别是保护未成年人免受生成式AI潜在风险的影响，并强化关键硬件与智能家居环境的安全保障。

其中，《网络安全技术 向未成年人提供生成式人工智能服务安全指引》旨在进一步细化其操作规范，坚持“最有利于未成年人”原则，围绕生成式AI服务的训练数据、模型开发、场景应用和服务运营全生命周期，提出内容安全、数据保护等系统性管理要求，并鼓励企业、科研院所与教育机构共同推动适龄化产品研发和行业自律。《人工智能加速芯片安全技术规范》，关注人工智能加速芯片的安全性能，旨在从硬件层面筑牢AI算力基础的安全防线。

2025年8月11日，全国数据标准化技术委员会秘书处发布了关于征求数据基础设施及可信数据空间共六项技术文件意见的通知。

数据基础设施的三项技术文件包括《区域/行业功能节点技术要求》《接入管理》和《安全能力通用要求》，其强调算力设施需提供计算资源的安全隔离机制，需保障跨平台、跨层级算力调度的指令安全与过程安全，防止算力被劫持或滥用，同时要求对计算任务进行严格的身份认证、访问控制和数据加密。

可信数据空间的三项技术文件则包括《数字合约技术要求》《使用控制技术要求》和《技术能力评价规范》，旨在规范数字合约、使用控制及技术能力评价。

2025年8月21日，国务院印发《关于深入实施 “人工智能 +” 行动的意见》（以下简称《意见》），旨在推动人工智能与经济社会各行业深度融合，培育新质生产力，服务中国式现代化建设。

《意见》明确在2027 年实现人工智能与 6 大领域深度融合，新一代智能终端普及率超 70%，智能经济规模增长，公共治理作用增强，开放合作体系完善的目标。为此部署了 6 大重点行动，涵盖加速科学发现、培育智能原生业态、拓展消费场景、创造智能工作方式、构建社会治理人机共生图景、推动全球普惠共享，以及实现工业智能化、农业数智化、智能健康助手等具体任务。同时意见提出强化数据集建设、芯片攻坚、中试基地布局等硬保障与人才、政策等软环境建设等8 项基础支撑。

2025年8月28日，最高人民法院发布第47批指导性案例（262-267号），这是其首次围绕数据权益司法保护发布的专题指导性案例，旨在回应数据权属认定、数据产品利用、个人信息保护及网络平台账号交付等社会高度关注的问题，该批指导性案例效力位阶较高，各级人民法院在审判类似案件时应当参照。

该批案例涵盖不正当竞争、侵权责任、个人信息保护等多发案由，体现了人民法院依法保护数据权益、促进数字经济发展的基本导向。案例遵循了“谁投入、谁贡献、谁受益”原则，明确保护数据处理者对依法持有数据及数据衍生产品的经营权益，保障数据来源者合法权益以促进数据要素流通，并承认合法数据加工使用权以鼓励数据合理利用。同时，案例注重平衡个人信息保护与利用，细化“告知—同意”规则的应用，并对修订后的《反不正当竞争法》中涉及数据权益的条款适用提供了指引。 

2025年8月29日，中国互联网金融协会发布了《关于进一步加强金融领域App自律检查的通知》。该通知指出，金融领域仍有部分App，特别是为金融业务提供引流、营销、助贷等相关服务的App，存在超范围开展业务、故意误导消费者、不当收集使用个人信息等问题。

中国互联网金融协会决定进一步加强金融领域App自律检查工作。此次检查对象为直接开展金融业务的App和为金融业务提供相关服务的App，重点检查发生安全事件、引发严重舆情、投诉高、应备案未备案、不遵守自律管理相关要求等情况的App。检查内容将依据法律法规检查App网络防护措施不到位、数据安全管理制度不完善、违规使用个人信息等问题，以及App安全管理薄弱、涉嫌违法违规开展业务和不遵守自律管理相关要求等问题。

2025年8月20日，为贯彻落实《互联网信息服务算法推荐管理规定》有关要求，持续深化算法规则不透明等典型问题治理，进一步强化用户权益保护和公众监督，切实提升算法透明度，北京市网信办指导属地网络平台公示算法推荐服务的基本原理、目的意图、主要运行机制等，收集汇总属地主要网络平台算法规则原理情况。北京市网信办在第一批公示中披露了抖音、快手、百度、微博、美团、滴滴6家网络平台的算法规则原理。

2025年8月5日消息，近日，上海市通信管理局发布了一批共145款存在侵害用户权益行为的APP，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，持续整治APP（SDK）侵害用户权益的违规行为，包括未明示个人信息处理规则、超范围收集个人信息、自启动和关联启动行为等。违规APP必须在30日内完成整改并上报，否则上海市通信管理局将依规处理。

2025年8月18日，中国汽车工业协会协同国家计算机网络应急技术处理协调中心、中国信息通信研究院、国家工业信息安全发展研究中心依据《汽车数据安全管理若干规定（试行）》、GB/T 41871-2022《信息安全技术汽车数据处理安全要求》、GB/T 44464-2024《汽车数据通用要求》法规标准有关规定，对自愿送检企业进行汽车数据处理安全要求监测并发布通报。

本次对汽车制造商汽车产品数据安全合规检测涵盖车外人脸信息等匿名化处理、座舱数据车内处理、默认不收集座舱数据、处理个人信息显著告知、精度范围适用等5项合规要求。检测情况通报显示了13家企业的49款车型符合汽车数据安全5项合规要求。

2025年8月15日消息，依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，国家计算机病毒应急处理中心检测出70款移动应用存在违法违规收集使用个人信息情况，包括在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则，隐私政策难以访问，个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。

2025年8月17日，根据《非经营性互联网信息服务备案管理办法》（原信息产业部令第33号）和《工业和信息化部关于网站备案系统升级启用工作的通知》（工信部电管〔2010〕279号）中关于“清理空壳网站和备案信息不准确的网站”的有关要求，上海市通信管理局清理了一批空壳类ICP备案数据（包括空壳网站数据、空壳主体数据、空壳移动应用数据）。公示期满后，上海市通信管理局将依法对未落实整改的ICP备案数据予以注销。

2025年8月21日，上海市通信管理局决定规范开展2025年信息通信网络安全防护工作。本次工作要求：第一，落实网络安全防护措施三同步要求，电信业务经营者、互联网域名服务提供者要按照网络安全防护有关要求，对新建、改建、扩建、已建的信息通信网络，实施网络安全防护措施的同步规划、同步建设、同步运行；第二，确保信息通信网络单元定级备案的真实性和准确性，于2025年9月底前完成本单位信息通信网络单元的全面核查，并通过通信网络安全防护管理系统向通管局报送备案信息；第三，加强信息通信网络安全符合性评测，信息通信网络运行单位采取与信息通信网络单元类别、安全级别相适应的身份鉴别、访问控制、边界防护、安全审计等网络安全防护管理和技术措施，并按照规定频次自行或委托专业机构开展网络安全防护系列标准的符合性评测等。

2025年8月21日，美国白宫和欧盟发表联合声明，称达成一项贸易协定框架。该框架明确了后续合作动向，框架明确双方在网络安全方面的亮点合作包括：双方启动网络安全互认协定；欧盟计划与美方对齐敏感技术的安全要求，以防“技术外泄”。在贸易壁垒方面的亮点合作包括：欧盟确认不采取“网络使用费”（network usage fees），也不保留向大型内容/平台征收“网络使用费”的做法；美欧均不对电子传输征收关税，并共同支持将WTO电子传输关税暂免（moratorium）永久化。

2025年7月31日，香港个人资料私隐专员公署新闻稿讯，其与澳门个人资料保护局联同来自澳洲（维多利亚省）、加拿大（联邦及英属哥伦比亚省）、日本、韩国、新西兰及新加坡的七个隐私或数据保护监管机构，于早前举行的“第63届亚太区私隐机构论坛”一致通过发布《个人资料匿名化入门指南》。该指南介绍了匿名化的基本概念，并概述了机构进行匿名化处理资料的建议五个步骤：

第一步（了解你的资料）：机构在进行匿名化处理前，须识别资料的类型为直接标识符、间接标识符。

第二步（移除直接标识符）：从数据集中移除直接标识符。

第三步（应用匿名化技术）：使用匿名化技术处理间接标识符，以防他人透过结合间接标识符及其他资料以识别个人身份。

第四步（评估再识别风险）：评估已匿名化的资料是否仍存在识别个人身份的风险，并根据评估结果判断匿名化是否足够。如未能符合相关要求，应重复上述步骤。

第五步（管理再识别风险）：针对应用匿名化技术处理资料后仍然存在的风险，应采取相应的风险缓减措施，例如限制资料用途及仅限授权人员存取等。

2025年8月6日，韩国个人信息保护委员会（Personal Information Protection Commission, PIPC）发布了《生成式人工智能开发利用个人数据处理指南》（以下简称“《指南》”），旨在为开发利用生成式人工智能服务的机构提供个人信息处理安全指引。

《指南》主要内容包括：第一，《指南》将生成式人工智能的开发和利用生命周期划分为目的设定、策略制定、学习开发及应用管理四个阶段，划定了各阶段所应实施的最低安全措施标准。同时，还对人工智能系统实际开发利用的方法和背景作出分类，并提出了每种类型对应的法律标准和安全标准。第二，《指南》回应了生成式人工智能开发和利用中不确定性较高的问题并给出解决方案，如将用户个人信息用于模型训练的法律问题等。第三，《指南》反映了与相关最新技术趋势和研究成果，如AI智能体、知识蒸馏和机器学习等。

2025年8月6日，欧盟保险与职业养老金管理局（European Insurance and Occupational Pensions Authority, EIOPA）发布了《关于人工智能治理与风险管理的意见》（以下简称“《意见》”）并公开征求意见建议。

《意见》旨在阐明保险业立法中关于人工智能系统使用和监管的关键原则和要求。该意见不适用于被《人工智能法》列为高风险或被禁止的人工智能系统。《意见》的核心内容涵盖数据治理、文件记录与保存、公平性与道德伦理、透明度与可解释性、人工监督以及准确性、稳健性与网络安全等方面。《意见》与现有的治理和风险管理原则保持一致，同时兼具灵活性，以便适用于不同人工智能系统的具体特征。

2025年8月4日至6日，亚太经合组织（Asian-Pacific Economic Cooperation, APEC）数字和人工智能部长会议在韩国仁川召开，会议以“迈向共同繁荣和可持续发展的数字化与人工智能转型”为主题，通过了《亚太经合组织数字和人工智能部长声明》（以下简称“《声明》”）。

《声明》概述了APEC各经济体的集体承诺，即推进负责任的数字化转型和可信人工智能发展，以支持各地区的繁荣和经济可持续增长。《声明》强调要在三个关键领域的采取行动：一是促进数字和人工智能创新以应对社会经济挑战；二是通过基础设施建设和能力建设增强全民数字连接，弥合数字鸿沟；三是打造安全、放心、可靠的数字和人工智能生态系统，强化风险防控和数据流动监管与保护。

2025年8月11日，加拿大隐私专员办公室（Office of the Privacy Commissioner of Canada, OPC）发布了《联邦机构生物识别信息处理指南》（以下简称“《指南》”）并公开征求意见。

《指南》涵盖九方面主要内容：一是合法权限，即联邦机构在制定生物识别相关计划时，应首先确保自身拥有收集、使用和披露生物识别信息的合法权力；二是隐私影响评估（PIA）；三是必要性与相称性；四是限定在必要范围内；五是限制使用、披露和保留；六是采取措施保护个人信息免遭丢失、被盗或任何未经授权的访问、使用、披露、复制或修改；七是准确性、时效性和完整性；八是问责制，联邦机构对其控制下的个人信息负责，同时在与第三方建立合作关系前还应理清责任分配；九是公开透明，即联邦机构应当将关键信息告知相关个人。

2025年8月21日，斯洛文尼亚议会审议通过了《欧盟〈人工智能法〉实施法》，该法适用于高风险人工智能系统的提供商、部署者和其他运营商。

该法旨在使斯洛文尼亚国内立法与欧盟《人工智能法》的规定相协调，指定了负责监督和执行《人工智能法》的主管机关，并界定了具体违法行为、规定处罚措施。此外，该法划定了监管机构各自的司法管辖区，责成通信网络服务局维护高风险人工智能系统的公共登记册，并提出建立监管沙盒来测试新的人工智能解决方案，还指出了需要任命人工智能道德专员的情况。该法规定了25,000欧元至450,000欧元不等的主要罚款区间，但严重违法行为最高将被处以7,500,000欧元罚款。

2025年8月26日，国际标准化组织（ISO）发布了ISO/IEC 27018:2025《信息安全、网络安全和隐私保护 - 作为个人可识别信息处理者对公有云中个人可识别信息保护指南》（以下简称“《指南》”）。该指南系对ISO/IEC 27018:2019的更新。

《指南》概述了针对云环境量身定制的控制措施和原则，确保云服务提供商负责任、透明且安全地处理个人可识别信息（Personally Identifiable Information, PII）。《指南》主要适用于作为PII处理者的公共云服务提供商，以及云服务提供商评估组织或寻求在外包数据处理时确保自身合规性的组织，情形范围涵盖公共云服务提供商代表客户处理PII的各环节，包括收集、存储、处理、传输和删除。《指南》在ISO/IEC 27002标准基础上扩充了针对云服务的PII处理调整控制措施，并完善了基于ISO/IEC 27001标准的信息安全管理体系。本指南已与更新的ISO/IEC 27002：2022保持一致，确保跨标准间的协调一致，同时还囊括了一个新的附件B，以提供更完整的实施指南。

8月28日，爱尔兰数据保护委员会（DPC）发布了相关指南，明确要求学校在预注册期间将拟入学新生的数据收集范围限制在必要之内。DPC特别指出，根据《通用数据保护条例》（GDPR），未成年人需要获得特殊保护，因此学校必须确保在预注册阶段收集的任何个人数据都严格限于必要范围。此外，学校有义务向家长或法定监护人清晰、透明地说明要求提供信息的理由及其使用方式。DPC强调，预注册期间的数据处理应遵循数据最小化、目的限制和合法性、公平性和透明度与此同时，DPC还发布了《学校数据保护指南》，其中包含了合规模板和评估清单，以帮助学校在入学前阶段评估所要求的信息是否必要且适当，从而更好地保护个人数据。

2025年8月18日，谷歌及YouTube就Hubbard等人诉谷歌有限责任公司等（案号5:19-cv-07016-SVK）一案达成最终和解，同意支付3000万美元。此案源于2019年10月，加利福尼亚州北区的家长作为未成年儿童的监护人代表提起集体诉讼，指控谷歌违反《儿童在线隐私保护法》（COPPA），在未经父母同意的情况下，从观看儿童定向内容的YouTube用户处收集持久标识符（IP地址、设备标识符）及其他信息，并用于行为广告投放。此前，该案已于2019年9月达成一项1.7亿美元的和解协议，由谷歌、联邦贸易委员会及纽约州三方签署。然而，原告主张谷歌在和解后的数月内仍持续进行数据收集行为。经过近六年的审理，此案历经多次诉状修改和动议驳回，最终以第九巡回法院作出“COPPA不优先于平行州法诉求”的关键裁决，并以和解告终。

2025年8月28日，韩国个人信息保护委员会向韩国最大移动运营商 SK电信公司开出 1348 亿韩元（约合7亿元人民币）的罚单。今年4月，SK电信因网络攻击泄露了公司用户数据，本次处罚的违规行为包括：因疏于访问控制措施、访问权限管理、未实施安全更新、对USIM 卡认证密钥未加密，以明文形式存储违反了安全措施义务；疏于指定个人信息保护负责人及履行相关职责等；延迟通知个人信息泄露，违反了在《韩国个人信息保护法》规定的 72 小时内，向受泄露影响的用户通知泄露事实的要求。

2025年8月7日，美国联邦贸易委员会（下称FTC）表示，Assurance IQ, LLC和 MediaAlpha, Inc.将支付总计1.45亿美元的罚款，以解决FTC对其误导数百万消费者购买其健康保险的指控。Assurance IQ, LLC被指控通过欺骗性的电话营销等方式推广和销售其健康保险，此类行为违反了《联邦贸易委员会法》和《电话营销销售规则》。MediaAlpha通过使用具有误导性的域名吸引消费者访问其与医疗保健相关的潜在客户招揽网站，这些域名暗示其与政府相关，该公司收集了寻求保险的消费者信息，并将1.19亿条消费者信息出售给电话营销公司，此类行为违反了《联邦贸易委员会法》《电话营销规则》）和《冒充规则》。

2025年8月29日，美国佛罗里达州总检察长宣布，已向安防设备制造商Lorex发出传票，就其与中国公司Dahua Technology合作生产摄像头设备可能监控美国儿童的间谍风险，以及Lorex是否就其摄像头和应用程序的隐私与安全性误导佛罗里达州消费者展开调查。传票要求提供Lorex的所有权和公司股权结构相关信息，与制造、固件、移动应用及软件更新相关第三方的合同关系；在佛罗里达州销售的Lorex相机产品中使用的组件的来源；软件更新来源、固件源代码访问权限、美国消费者数据的云平台提供商及数据中心位置。

西班牙数据保护局（AEPD）对隶属于Masmóvil集团的XFERA MOVILES处以7万欧元罚款，原因是其向第三方泄露了客户的个人数据。投诉人向AEPD投诉称，接到一名Masmóvil客户电话，被告知其银行账户因系统错误被错误扣款，且扣款账单上显示了投诉人的个人数据，包括姓名、身份证号、电话号码等。投诉人随后联系Xfera，对方承认确实是“系统错误”所致。AEPD认为，第三方外部人员可以获取投诉人的数据，这表明被投诉人未能确保投诉人个人数据的适当安全处理。因此，Xfera违反了GDPR第5(1)(f)条规定的保密原则，即该条款规定了个人数据的完整性和保密性原则，以及数据处理者需主动证明其遵守情况的责任。

8月25日，44名总检察长联合向包括微软、苹果、OpenAI在内的12家行业头部人工智能公司发出了一封申诉信。申诉信控诉了12家行业头部公司的人工智能聊天机器人与儿童之间存在不当的性互动情况。该信警告了这些公司，让儿童接触色情内容可能面临刑事风险，并强调各AI产品开发公司由于能够即时获取用户交互数据，且作为从消费者使用产品中获益的实体，应负有法律义务保护消费者。该信要求各公司采取更严格的保障措施，以保护儿童免受不当和有害内容的侵害。

2023年8月18日，奥地利联邦行政法院确认了奥地利数据保护局早前的裁决，裁定奥地利本地报纸《DerStandard》在实施“付费或同意”（Pay or Okay）模式以获取用户同意时，违反了《通用数据保护条例》（GDPR）。数据保护局和法院一致认为，用户必须能够针对每个数据处理目的单独选择同意或拒绝。在此之前，《DerStandard》在GDPR生效时推出了“付费或同意”模式。该平台并未向用户提供真正的选择权，即在同意或拒绝由数百个第三方进行跟踪之间做出选择，而是要求用户要么同意跟踪，要么支付€9.90购买月度订阅。法院认为，这种“付费或同意”模式违反了GDPR第5条第1款a项（要求以合法、公平和透明的方式处理数据主体的个人数据）和第6条第1款（数据主体已对基于一个或多个具体目的处理其个人数据的行为表示同意）所体现的合法性原则。

英国通信管理局（Ofcom）于2025年8月宣布，正式启动对匿名论坛4chan的调查程序。此次调查旨在评估4chan是否违反了英国《在线安全法》中规定的用户保护义务，重点关注该平台是否存在系统性失效，未能有效阻止用户接触非法内容。Ofcom指出，4chan的运营方未能履行2023年《网络安全法》规定的多项义务，包括：1）进行非法内容风险评估的义务（第9条；第23(2)条）；2）实施适当的内容审核措施，并采用有效技术手段防止非法内容传播的义务（第10条）；3）配合Ofcom调查并提供相关信息的义务（第102条）。如调查结果证实违规，Ofcom可能会对4chan处以高达1800万英镑的罚款，或其全球收入的10%（以较高者为准）。

2025年8月14日，纽约金融服务部（NYDFS）宣布与牙科保险管理服务提供商Healthplex达成和解。Healthplex在2021年遭遇外部网络钓鱼攻击，导致数万名消费者的数据泄露。调查发现，Healthplex未能完全遵守纽约州网络安全法规23NYCRR Part 500的要求，具体表现为：未实施多因素认证（MFA）（§500.12(b)）、缺乏定期处理非公开信息的政策（§500.13）、未能在72小时内向监管机构报告事件（§500.17(a)）。此外，尽管Healthplex在2018年至2021年间连续四年向DFS提交了年度合规认证，声称其完全遵守了网络安全法规，但调查证实这些认证均不属实，违反了第500.17(b)节的规定。

数据隐私与网络安全系列专栏往期文章