境内外数据合规要闻｜国家网信办、国家市场监督管理总局联合公布《个人信息出境认证办法》等

2025年10月17日，国家网信办、国家市场监督管理总局联合公布《个人信息出境认证办法》，办法旨在保护个人信息权益，规范个人信息出境认证活动，促进个人信息高效安全跨境流动，将于2026年1月1日起施行。

国家网信办有关负责人表示，个人信息保护法对个人信息出境认证制度作了基本规定，按照国家网信部门的规定经专业机构进行个人信息保护认证是向境外提供个人信息的法定途径之一。

办法对个人信息出境认证的适用情形，个人信息出境认证的申请方式、认证要求及证书有效期，专业认证机构应当履行的义务，监督管理要求等作出细化规定。个人信息出境认证的适用情形方面，办法明确，个人信息处理者通过个人信息出境认证的方式向境外提供个人信息的，应当同时符合：非关键信息基础设施运营者；自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息，且向境外提供的个人信息中不包括重要数据等情形。办法规定，个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过个人信息出境认证的方式向境外提供。根据办法，个人信息处理者应当向专业认证机构申请个人信息出境认证，专业认证机构应当按照认证基本规范、个人信息保护认证规则开展认证活动。

资讯来源：https://www.cac.gov.cn/2025-10/17/c_1762449728518762.htm

2025年10月15日，国家网信办通报部分自媒体账号违反《互联网军事信息传播管理办法》，违规发布涉军信息，误导公众认知，损害军队形象，社会影响恶劣。军地职能部门依法依规处置了一批网上违法违规信息及自媒体账号。

消费退役军人身份。有网络账号以退役人员身份，发布服役期间拍摄的日常训练、演训任务影像，借退役军人身份吸粉引流，违规着军服拍摄短视频、进行网络直播，诱导网民充值打赏。

兜售涉密敏感资料。有网络账号售卖军事行动相关视频素材和限军队内部发行书籍，借涉密敏感军事资料违规牟利。

歪曲解读政策规定。有网络账号长期发帖炒作涉军校招生、转业安置、待遇保障、文职招考等有关政策，唱衰军事职业前景，并有偿提供相关咨询指导服务。

抹黑军队军人形象。有网络账号编撰大量抹黑军队军人形象文章，污名化军婚军恋，掺杂披露训练任务细节，长期利用AI工具，制作发布丑化军队形象的图像视频。

资讯来源：违法违规涉军自媒体账号典型案例

2025年10月13日，工业和信息化部装备工业一司发布《道路机动车辆生产企业准入审查要求（征求意见稿）》《道路机动车辆产品准入审查要求（征求意见稿）》《关于修改<新能源汽车生产企业及产品准入管理规定>的决定（征求意见稿）》及对应解读。本次修订，在企业审查要求上，将全面提高企业智能化、网联化生产准入能力要求，明确网络安全、数据安全通用要求。在数据安全保障要求方面，应建立汽车数据安全管理制度并实施数据分类分级管理，建立数据安全机制并实施安全保护措施，建立数据出境安全评估机制及对数据处理相关方的数据安全管理能力。

资讯来源：https://www.miit.gov.cn/gzcy/yjzj/art/2025/art_8ba915c8c46c4dde82dfa91931a56000.html

2025年10月17日，全国网安标委发布《网络安全标准实践指南——数据库联网安全要求（征求意见稿）》，《实践指南》规定了数据库系统连接至公共网络场景下的安全技术要求、安全管理要求，适用于指导数据库系统接入公共网络开展数据处理活动也可为评估机构提供参考。

资讯来源：https://www.tc260.org.cn/front/postDetail.html?id=20251017153843

2025年10月14日，最高人民检察院发布一批共6件检察技术支持公益诉讼检察典型案例，包括1例上海市青浦区检察院督促整治房地产企业违法使用人脸信息行政公益诉讼案，案涉房地产企业违法收集、使用消费者人脸信息并将本地数据每日上传云端并自动删除。面对数据定位和取证难题，检察机关一体履职、联合调查，采用逆向追踪、远程勘验等技术方法获取云端数据，向行政机关制发检察建议督促履职，推动房地产行业系统内个人信息保护问题协同治理。

资讯来源：https://www.spp.gov.cn/xwfbh/wsfbt/202510/t20251014_708503.shtml#1

2025年10月17日，根据国家网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，辽宁省通信管理局对App违法违规收集使用个人信息等问题开展治理。经组织第三方检测机构进行抽查，共发现10款App存在侵害用户权益行为，具体问题包括违规收集个人信息，App强制、频繁、过度索取权限和超范围收集个人信息。

资讯来源：https://lnca.miit.gov.cn/zwgk/tzgg/art/2025/art_a2be9b22d3f545368f716d5609a143ab.html

2025年10月14日，《甘肃省数据条例》（以下简称《条例》）已由甘肃省十四届人大常委会第十八次会议通过，自2026年1月1日起施行。《条例》是甘肃省首部数据领域综合性法规，《条例》包括总则、数据资源、数据流通、发展应用、数据安全、保障措施、法律责任、附则等8章63条，》《条例》提出了数据工作应当坚持政府引导、市场主导，科学监管、安全可控，开放合作、互利共赢的原则的要求，同时强调明确数据安全责任主体责任，细化其在数据处理活动中的安全保护具体义务，让安全责任落到实处。明确数据安全责任主体在数据安全事件应急处置中的职责，建立快速响应、高效处置的应急机制，为数据发展筑牢安全屏障。

资讯来源：https://zwfw.gansu.gov.cn/wenxian/zczx/zwdt/art/2025/art_2d588319a9ee4b4e8747a9645bb211f7.html

2025年10月14日，稀宇、小度、得物、大众点评、松鼠AI、作业帮、即刻、Uki、堆糖、筑梦岛等上海市第二批重点平台在各自官网或微信公众号发布未成年人网络保护社会责任报告，接受社会监督。

科技赋能：稀宇研发年龄预测模型，结合多种维度对用户年龄进行估算和验证，有效识别未成年人用户；小度通过AI算法实时识别并拦截涉危害未成年人身心健康的有害信息；作业帮利用AI赋能信息审核，使用擅长的图像识别、OCR文本识别等技术，完成未成年人信息审核特有模型的训练;松鼠AI与多地政府、公益组织合作，向偏远地区学校捐赠AI教学系统。

内容优选：即刻在内容推荐算法中，融入正向价值观引导因素，根据未成年人兴趣偏好和浏览历史，予以优先推送；Uki向未成年人用户推荐多维度分类的优质内容，避免内容同质化和信息茧房；堆糖打造专属未成年人网络素养提升和教育专区，采用未成年人喜爱的卡通插画+互动问答形式，将复杂的网络行为规范转化为沉浸式学习体验。

贴身服务：得物面向未成年人用户推出“抵制网络黑话”“抵制作业代写”“暑假出行安全指南”等专题宣传；大众点评优化推荐算法，在首页搜索和推荐环节，过滤不适合未成年人的商户和商品信息；筑梦岛推出《聊天创作公约》，倾听未成年人声音，在与用户沟通中建立AI互动文明规范。

资讯来源：清朗浦江|AI大模型、网络社交、生活服务等平台发布2025年未成年人网络保护社会责任报告【清朗守护·为你而来⑧】

2025年10月15日，杭州市市场监督管理局发布市场监管系统数据保护行政执法十大案件（2017-2025年）。案件聚焦于2017年原《中华人民共和国反不正当竞争法》至今的数据保护执法案件，涉及广告投放流量劫持、“数据搬家”、侵犯数据产品商业秘密、“数据嫁接”、关键词广告商标侵权、侵犯数据企业商业秘密、互联网应用程序新流量劫持等。

资讯来源：杭州市市场监管系统数据保护行政执法十大案件（2017-2025年）

2025年10月17日，中国人民银行苏州市分行公示一份行政处罚信息，内容涉及网络安全及数据安全相关问题。行政处罚决定书显示，江西银行股份有限公司苏州分行存在以下主要违法违规行为：违反账户管理规定；未按规定履行客户身份识别义务；违反网络安全管理规定；违反数据安全管理规定；违反信用信息采集、提供、查询及相关管理规定。

针对以上违法违规行为，中国人民银行苏州市分行作出如下处罚决定：对江西银行股份有限公司苏州分行予以警告，并处罚款67.2万元；对俞某东（时任江西银行股份有限公司苏州分行相城支行行长）与曹某（时任江西银行股份有限公司苏州分行相城支行客户经理）分别处以罚款0.5万元，两人对违反信用信息相关管理规定的行为负有责任。对阮某民（时任江西银行股份有限公司苏州分行合规部副总经理）处以罚款3.5万元，其对未按规定保存客户身份资料和交易记录负有责任。

资讯来源：http://finance.ce.cn/bank12/scroll/202510/t20251020_2527850.shtml

2025年10月11日，由我国牵头提出的《智能出行服务安全与隐私》国际标准提案，在网络安全国际标准组织（ISO/IEC JTC1/SC27）成功立项，获得德国、法国、印度等多国支持。该提案的立项，标志着全球首个聚焦智能出行领域的隐私保护国际标准正式启动制定。

作为针对性解决行业痛点的标准规范，该标准立足智能出行的技术路线与产业现状，适用于网约车、分时租赁、车载OS、智慧停车等全部“车轮上的数据服务”。核心框架包括，明确驾驶员、乘客、服务提供者等相关方的权责边界，梳理位置信息、行程记录、支付数据等敏感信息的采集、传输、存储全流程，并针对性提出数据加密、访问控制、匿名化处理等安全技术要求。这些规范将为全球出行领域标准化发展提供关键指引，有效破解当前行业数据滥用、隐私泄露等突出问题。

《智能出行服务安全与隐私》国际标准的成功立项，标志着我国在国际标准化领域又一突破性进展，有助于推动我国在国际隐私保护与信息安全标准化工作中进一步提升影响力和话语权。该标准填补了智能出行行业细分领域隐私保护指南的空白，为全球出行领域标准化建设提供重要参考，对推动“中国方案”走向世界、赋能全球智能出行安全规范发展具有重要意义。

未来，我国将持续依托在智能出行领域的实践积累，深度参与国际标准化工作，将国内成熟的技术经验与管理模式转化为更具普适性的国际规则，同时积极吸纳全球先进理念，为推动全球智能出行领域的安全协同与隐私保护贡献更多力量，助力构建开放、共赢的国际智能出行生态体系。

资讯来源：https://www.sac.gov.cn/xw/bzhdt/art/2025/art_835c459cc85a4b2d917cea7d4b785e5b.html

2025年10月14日，欧洲数据保护委员会（EDPB） 选择了第五次协调执法行动的主题，该行动将涉及遵守《通用数据保护条例》（GDPR）规定的透明度和信息义务。GDPR确保在处理个人数据时通知个人（根据第12、13和14条）。这种知情权是透明度的核心要素，确保个人对其数据有更多的控制权。在协调行动中，EDPB优先考虑数据保护机构（DPA）在国家层面开展工作的某个主题。然后对这些国家行动的结果进行汇总和分析，以更深入地了解该主题，并在需要时在国家和欧洲层面采取有针对性的后续行动。参与的DPA将在未来几周内自愿加入这一新行动，该行动本身将在2026年期间启动。

EDPB指出，保障个人数据主体的知情权是透明度的核心要素，应确保个人数据处理活动满足GDPR第12、13、14条所规定的透明度和信息义务相关要求，以保障个人对其数据拥有更多控制权。出海欧盟企业应及时对照GDPR核验自身告知义务履行情况，修改《隐私政策》等告知文本。

资讯来源：https://www.edpb.europa.eu/news/news/2025/coordinated-enforcement-framework-edpb-selects-topic-2026_en

2025年10月14日，国际标准化组织（ISO）和国际电工委员会（IEC）联合宣布新版 ISO 27701标准已获批发布。

本次版本最重大的变革在于，ISO/IEC 27701 现已成为独立标准，旨在为全球组织的隐私信息管理体系（PIMS）提供更强大的支撑。这意味着企业可以将其作为独立的可认证管理体系标准，专门针对隐私风险与控制措施进行认证，而无需依附于既有的信息安全管理体系。这一变化使得更广泛类型的组织都能更容易地采用该标准。

需要说明的是，新版标准的要求和实施指南整合了先前 ISO/IEC 27701:2019、ISO/IEC 27001:2022 和 ISO/IEC 27002:2022 标准的既有要素。新标准的结构设计使其能够与 ISO 9001（质量）、ISO/IEC 27001（信息安全）及 ISO/IEC 42001（人工智能）等现有管理体系无缝集成，确保各类规模、类型和复杂程度的组织都能灵活适配。

资讯来源：https://webstore.iec.ch/en/publication/110123

2025年10月13日，美国加利福尼亚州州长签署了《加利福尼亚州议会第1043号法案——年龄验证信号法案》，《法案》要求软件应用和在线服务在设计与运营中支持“年龄验证信号”（Age Verification Signals）机制，以帮助平台识别并保护未成年用户。该法案的适用对象包括操作系统提供者与应用程序开发者，其中“操作系统提供者”指开发、许可或控制计算机、移动设备或其他通用计算设备操作系统软件的个人或实体；“开发者”则指拥有、维护或控制特定应用程序的个人或企业。法案明确规定，这一义务不适用于宽带互联网接入服务等基础通信提供者。该立法旨在通过统一的技术信号体系，为青少年网络保护建立标准化框架，并推动科技公司在平台层面落实“年龄识别与适龄访问”的社会责任。

资讯来源：https://legiscan.com/CA/text/AB1043/id/3262732

2025年10月14日，美国佛罗里达州检察长宣布对Roku公司及佛罗里达 Roku公司（统称为 Roku）提起民事执法行动，指控其违反佛罗里达数字权利法（FDBR）和佛罗里达欺骗性和不公平贸易行为法（FDUTPA）。检察长指出，此次执法行动是根据 FDUTPA提起的，旨在保护佛罗里达州儿童和家庭的隐私权。检察长指控Roku在未获得用户同意的情况下，收集、分享和追踪用户在数字平台上的行为数据。特别是，检察长声称Roku使用了会话重放技术和追踪技术。

资讯来源：https://digitalpolicyalert.org/event/34313-florida-attorney-general-announced-lawsuit-against-roku-over-alleged-unauthorised-collection-and-sale-of-childrens-data

2025年10月14日，法国数据保护局（CNIL）发布指引，明确数据可携权如何适用于通过零售忠诚度计划收集的数据。CNIL指出，消费者有权获取自己在忠诚度计划下购买的商品条码（或 GTIN 码），因为这些数据与姓名、邮箱或会员卡号等标识符结合后可揭示个人消费行为，因而应被视为个人数据。该指引旨在帮助零售企业更好地履行GDPR关于数据可携权的义务。

资讯来源：https://www.cnil.fr/fr/programmes-de-fidelite-la-cnil-precise-lapplication-du-droit-la-portabilite-des-donnees

2025年10月15日，英国信息专员办公室（ICO）宣布，因金融外包服务机构Capita plc和Capita Pension Solutions Ltd（下称“Capita”）未采取有效安全保障措施导致大量个人数据泄露，对其罚款总计1400万英镑。经调查，Capita作为外包服务机构为600余家企业组织提供服务支持，在其系统监测到某台设备受到网络攻击并发出高优先级的安全警报后，未能及时进行设备隔离措施及其他有效措施，导致超过660万个人数据遭到泄露，其中还包括高度敏感的银行账户和信用卡详细信息、生物识别数据、护照信息、儿童个人数据等。

资讯来源：https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2025/10/capita-fined-14m-for-data-breach-affecting-over-6m-people/

2025年10月14日，韩国国会在年度国政审计中，就中国在线旅行服务平台携程（Trip.com）可能存在的用户个人信息出境及数据安全风险问题进行了质询。事件起因于携程服务条款中涉及的“可与关联公司共享用户个人信息”及“个人信息跨境传输”条款，被部分议员认为可能导致韩国公民信息流向中国境内关联公司。韩国个人信息保护委员会（PIPC）负责人回应称，委员会此前已就携程相关事项开展调查并采取过措施，后续将进一步核查是否存在新的违规情形。

根据携程网站的服务条款，其可能收集并跨境传输包括预订信息、姓名、联系方式、出生日期、护照号、居住地及聊天应用账号（如 KakaoTalk）等多项个人信息。用户若拒绝同意跨境传输，将被提示“使用服务将受到限制”。韩国方面指出，该类条款的背景涉及中国《国家情报法》（2017年施行）及《数据安全法》（2021年施行）等规定，前者要求组织和公民依法支持国家情报工作，后者明确国家安全机关依法调取数据的程序性要求。

资讯来源：https://biz.chosun.com/en/en-retail/2025/10/16/QXVDZRF44BC2ZBW7AWW67LQTE4/

2025年10月11日，奥地利数据保护局（简称DSB）审理的一起隐私投诉裁决结果公布，认定Microsoft 365教育版非法追踪学生数据，拒绝披露数据收集和处理情况等行为，违反了欧盟《通用数据保护条例》（GDPR）相关规定，要求微软方面限期作出整改。对此，微软方回应称将对裁决结果进行审查。

奥地利DSB发现了几项违反GDPR的行为。首先，它发现Microsoft 365教育版在未经用户同意的情况下使用跟踪cookie，这被发现是非法的。学校和奥地利教育部都声称，在诉讼过程中，他们在投诉之前并不知道此类跟踪cookie。DSB现下令删除相关个人数据。其次，Microsoft未提供对投诉人数据的完全访问权限，从而侵犯了GDPR第15条规定的访问权。Microsoft现在必须提供此类访问权限。Microsoft还必须清楚地解释将数据用于其商业目的（例如“商业建模”或“能源效率”）意味着什么，以及它是否将个人数据发送给LinkedIn、OpenAI或跟踪公司Xandr。

奥地利DSB要求Microsoft 365教育版在规定期限内向学生提供完整的数据访问信息、删除不必要的cookies并整改数据传输问题。此案凸显出欧洲监管机构在教育领域强化对跨国科技公司数据合规审查的趋势，尤其关注未成年人隐私保护。

资讯来源：https://noyb.eu/en/noyb-win-microsoft-365-education-tracks-school-children 

2025年10月14日，一个黑客组织已公开泄露超过2300万条记录，其中包括大量越南航空客户的个人信息。除越南航空外，该黑客组织还在出售其他大型企业的客户数据，包括澳洲航空和GAP公司。被窃数据包括客户姓名、出生日期、电话号码、电子邮箱地址和居住地址。最早的记录可追溯至2020年11月23日，最新的数据则来自今年6月20日。

10月13日上午，越南国家计算机应急响应中心（VNCERT）代表向《越南网》证实，越南航空的客户数据确实已在黑客论坛上被挂出出售。VNCERT正积极调查此事件。此次攻击严重扰乱了运营。数十台航班信息显示器和电脑无法使用，一些服务器被清空，工作人员只能使用手持扩音器和白板手动办理登机手续，导致近100个航班延误。2016年的攻击还导致超过41万名越南航空常旅客会员的信息被泄露，多台物理和虚拟服务器受损，严重损害了该航空公司的声誉。

资讯来源：https://english.vov.vn/en/society/vietnam-airlines-reassures-customers-after-data-breach-incident-post1237774.vov