境内外数据合规要闻｜《网络安全法》完成修改，2026年1月1日起施行等

2025年10月28日，十四届全国人大常委会第十八次会议表决通过关于修改网络安全法的决定，自2026年1月1日起施行。

2016年制定的《网络安全法》是网络安全领域的基础性法律。此次《网络安全法》的修改，适应网络安全新形势新要求，重点强化网络安全法律责任，加强与相关法律的衔接协调。回应人工智能治理和促进发展的需要，修改后的，网络安全法》明确，国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展。此次《网络安全法》的修正主要包含以下几方面内容：

（1）新增纲领性条款，体现了对习近平总书记关于网络强国的重要思想对贯彻与落实，回应了人工智能治理和促进发展的需求：

增加一条，作为第三条：“网络安全工作坚持中国共产党的领导，贯彻总体国家安全观，统筹发展和安全，推进网络强国建设。”

增加一条，作为第二十条：“国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展。

（2）法律责任的从严与灵活

一是区分造成大量数据泄露、关键信息基础设施丧失局部功能等严重情形，以及造成关键信息基础设施丧失主要功能等特别严重情形，罚款上限和下限均翻倍，可以处罚直接责任人；

二是对未履行实名制义务的网络运营者新增关停App处罚，适应移动互联网；

三是对违规发布漏洞的网络运营者，罚款上限和下限均翻倍，并且新增关停App的处罚措施；

四是对未处置违法信息的网络运营者，罚款整体增加2-5倍，并且新增关停App的处罚措施；

五是关键信息基础设施的运营者使用未经安全审查或者安全审查未通过的网络产品或服务的，新增限期整改和消除对国家安全影响的处罚；

六是新增了从轻、减轻和不予处罚的情形。主动消除危害、轻微违法、初犯等从轻处罚或者免除处罚，体现宽严相济，鼓励自纠。

（3）扩张制裁境外实体的情形

原来是危害关键基础设施才能追究境外实体法律责任并制裁，现在只要从事危害中国网络安全的活动便会受到相应制裁。

资讯来源：http://www.npc.gov.cn/npc/c2/c30834/202510/t20251028_449048.html

2025年10月22日，据工业和信息化部网站消息，工业和信息化部对智能终端违法违规收集使用个人信息等问题开展治理，这是工信部首次对智能终端的侵权行为进行通报。近期，经组织第三方检测机构进行抽查，工业和信息化部共发现20款智能终端存在侵害用户权益行为，主要侵害行为有：未提供个人信息处理规则、未提供权限管控机制、收集人脸信息未单独告知、超范围收集非必要个人信息、违规传输个人信息至云端等。

资讯来源：https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2025/art_c5fe23fd370746c9bb8a50751390e374.html

2025年10月28日，根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，工信部对App、SDK违法违规收集使用个人信息等问题开展治理。近期，经组织第三方检测机构进行抽查，共发现42款App及SDK存在侵害用户权益行为，工信部现予以通报。主要涉及的问题有隐私政策默认同意、违规使用个人信息、超范围收集个人信息、信息窗口无法关闭等。被通报的App及SDK应按有关规定进行整改，整改落实不到位的，工信部将依法依规组织开展相关处置工作。

资讯来源：https://wap.miit.gov.cn/jgsj/xgj/gzdt/art/2025/art_c6db4ce807f44947a7cf9006ccf856c2.html

2025年10月23日，公安部发布公告，批准《互联网交互式服务安全管理要求 第12部分：网络直播服务》等19项公共安全行业标准并报国家市场监督管理总局备案，其中5项为强制性标准（涉及网络直播、网络支付服务安全及移民管理警察相关警服服饰），均自2025年12月1日起实施且无代替标准，14项为推荐性标准（涵盖网络安全等级保护、安全防范视频技术、专业检测与鉴定等领域），除1项替代旧标准外其余均为全新制定，自2026年2月1日起实施。

资讯来源：https://www.mps.gov.cn:8080/n6557558/c10268041/content.html

2025年10月20日，最高检公布在2025年前三季度，全国检察机关共起诉侵犯公民个人信息犯罪2100余件4400余人。检察办案发现，侵犯公民个人信息犯罪呈现一些新特点新趋势值得关注。

一是根据“市场需求”瞄准特定对象，针对性获取公民个人信息。一些不法分子紧密追踪“黑灰产市场”对公民个人信息的需求，有针对性地猎取、梳理、分析公民个人信息，甚至形成专门数据服务商，为下游犯罪提供定制化“原料”支持。

二是犯罪技术迭代更新，犯罪手段更趋智能化隐蔽化。一些不法分子利用网络爬虫、木马病毒、渗透工具等黑客技术入侵存有公民个人信息的各类系统，批量获取后出售，进行非法获利。部分个人信息售出后被用于电信诈骗等违法犯罪活动。

三是网络“开盒”助推网暴升级，严重侵害公民合法权益。网络“开盒”行为目的多样。“开盒”行为人通过“社工库”（不法分子通过非法手段收集公民个人信息而搭建的数据库）等非法获取他人隐私信息，并散布引导网民攻击骚扰，对社会、个人及网络生态均造成严重危害。有的网暴不断升级，侵害被害人现实生活。

下一步，检察机关将不断强化侵犯公民个人信息违法犯罪打击力度，维护公民信息权益；严查公民个人信息数据泄露源头，加强行刑双向衔接，全链条打击黑灰产业链；充分发挥公益诉讼检察职能，依法保护公共利益，推动公民个人信息保护多元共治；持续加强以案释法、以案说法，推动形成良好社会氛围和正确行为价值取向，凝聚全社会保护公民个人信息、维护信息安全的共识。

资讯来源：https://www.spp.gov.cn/xwfbh/wsfbh/202510/t20251020_708967.shtml

2025年10月24日，为贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反垄断法》《中华人民共和国反不正当竞争法》等法律法规，推动互联网平台互通互操作，促进数据要素流通与共享，维护市场公平竞争，保障用户合法权益，在工业和信息化部信息通信管理局的指导下，中国互联网协会发布《推动互联网平台互通互操作自律公约》（以下简称“公约”）。

公约提出，互联网平台应遵循自愿、平等、公平、诚信、安全、技术可行的原则，分阶段、逐步开展互通互操作。核心内容聚焦三大场景：一是推进应用及服务互通，支持用户在不同平台间便捷切换服务，无正当理由不得限制用户使用合法合规的第三方服务；二是在保证安全的同时，各方协同推进外链的识别与访问；三是逐步推进数据互通互操作，遵循最小必要原则，在授权或法律法规允许范围收集使用。此外，公约强调保障用户知情权、选择权和隐私权，明确用户有权选择关闭互通功能，并要求平台建立健全数据安全管理体系，设置便捷的投诉反馈渠道，维护公平竞争的市场环境。

公约得到业界的广泛支持和积极响应，共征集到61家单位签署，包括抖音、腾讯、淘天、蚂蚁、百度、京东、美团、快手等互联网平台企业，以及全国32个地方互联网协会，覆盖电商、社交、支付、信息服务等多个关键领域，充分体现了行业的共同意愿。此次公约的发布，是落实平台经济常态化监管要求、构建开放协同数字生态的一项重要举措。中国互联网协会作为公约执行机构，将持续推动公约的实施，促进成员单位加强自律，共同营造规范健康、合作共赢的互联网行业发展环境。

资讯来源：https://www.isc.org.cn/article/26712104839278592.html

2025年10月23日，国家安全部通报3起存储设备泄密典型案例。

1.某单位办公室主任张某因设备兼容性不足，擅自将涉密计算机捐赠给对口扶贫村学校。

2.某涉密信息系统运维企业派驻至某省直单位的运维人员，在运维时发现某设备硬盘为固态硬盘，便私自拆卸带回家并安装在个人电脑中。

3.某单位一台涉密复印机发生故障，请售后服务商派人维修。维修人员断定是复印机硬盘出了问题，须将其返厂维修。上述事件发生后，相关责任人员均被依法依规严肃处理。

资讯来源：一块硬盘的“失守”

2025年10月19日，国家安全机关披露了美国国家安全局（以下简称NSA）对国家授时中心（以下简称“授时中心”）实施重大网络攻击活动。国家互联网应急中心（CNCERT）通过分析研判和追踪溯源得出此次攻击事件的整体情况，现将具体技术细节公布如下：

2022年3月起，NSA利用某国外品牌手机短信服务漏洞，秘密监控10余名国家授时中心工作人员，非法窃取手机通讯录、短信、相册、位置信息等数据。2023年4月起，NSA在“三角测量”行动曝光前，多次于北京时间凌晨，利用在某国外品牌手机中窃取的登录凭证入侵国家授时中心计算机，刺探内部网络建设情况。2023年8月至2024年6月，NSA针对性部署新型网络作战平台，对国家授时中心多个内部业务系统实施渗透活动，并企图向高精度地基授时导航系统等重大科技基础设施发动攻击。

纵观此次事件，NSA在战术理念、操作手法、加密通讯、免杀逃逸等方面依然表现出世界领先水准。隐匿实施攻击，NSA通过使用正常业务数字证书、伪装Windows系统模块、代理网络通信等方式隐蔽其攻击窃密行为，同时对杀毒软件机制的深入研究，可使其有效避免检测；通讯多层加密，NSA使用网攻武器构建回环嵌套加密模式，加密强度远超常规TLS通讯，通信流量更加难以解密还原；活动耐心谨慎，在整个活动周期，NSA会对受控主机进行全面监控，文件变动、关机重启都会导致其全面排查异常原因；功能动态扩展，NSA会根据目标环境，动态组合不同网攻武器功能模块进行下发，表明其统一攻击平台具备灵活的可扩展性和目标适配能力。但其整体创新性缺失和部分环节乏力，显示出在被各类曝光事件围追堵截后，技术迭代升级面临瓶颈困境。

资讯来源：关于国家授时中心遭受美国国家安全局网络攻击事件的技术分析报告

2025年10月20日，上海某市民向解放日报·上观新闻“民声直通车”反映：仅凭名字和身份证号等简单个人信息，就可以通过医院的互联网服务绑定他人为就诊人，进而查看电子病历、检查报告等一系列隐私信息。市民某女士的前夫为了泄愤，在近两年时间里不断用该女士的名字和身份证号登录上海多家医院系统，下载其电子病历和检查报告，并在家人、朋友中散布，令该女士饱受困扰。

如今互联网诊疗、智慧医院十分普及，目前几乎每家医院都提供了完备的互联网就诊服务或互联网医疗服务，常用的有在线预约挂号、检验检查报告查阅、病历查阅等门诊服务内容。而考虑到现实生活中存在家庭成员代办的客观需求，如子女帮老人挂号取检验报告、家长替孩子挂号等等，各家医院的互联网服务也基本允许绑定他人作为就诊人。不少医院在绑定他人为就诊人时几乎不设认证环节，或者认证环节较为简单。

在法律上，《个人信息保护法》和《基本医疗卫生与健康促进法》都明确要求医疗机构必须采取严格的技术与管理措施保护患者隐私。某医院保护病人隐私的相关制度明确要求线下复印他人的病历资料需提供委托书及法定证明材料，线上也是一样，“便利或隐私”并非只能二选一，医疗机构需要把“隐私保护”当作医疗安全的一部分，用技术和制度共同划定便利的边界。

资讯来源：仅名字和身份证号就能查他人诊疗报告？上海部分医院互联网服务存隐私泄露隐患

2025年10月24日，欧盟委员会宣布初步发现TikTok和Meta（包括其 Instagram 和 Facebook 服务）违反了《数字服务法案》（DSA）下的透明度义务，具体表现为：未能为研究人员提供足够的公共数据访问；未为用户提供简单的机制来举报非法内容；以及未允许用户有效挑战内容审核决定。委员会强调，其发现基于对Meta和TikTok在 DSA框架下进行的深入调查，该调查包括与爱尔兰数字服务协调员（Coimisiún na Meán）的合作。委员会的初步调查结果是委员会根据DSA对Meta启动的正式程序以及调查TikTok的正式程序的一部分。委员会继续调查属于这些正在进行的程序中的其他潜在违规行为。DSA下的这些正式程序不同于正在进行的针对Facebook、Instagram和TikTok的有关遵守其他相关欧盟法律的调查。

现在，两家公司有机会审查调查文件并回应委员会的初步调查结果。如果这些指控未得到解决，两家公司可能面临高达全球营业额 6% 的罚款。

资讯来源：https://digital-strategy.ec.europa.eu/en/news/commission-preliminarily-finds-tiktok-and-meta-breach-their-transparency-obligations-under-digital

2025年10月21日，欧洲议会正式通过了关于《为执行欧盟2016/679号条例制定附加程序规则》的立法决议文本，该法规旨在完善GDPR在跨境数据处理场景下的执法程序，明确涉及基于投诉或依职权的调查以及欧洲数据保护委员会协调的相关程序，规定了调查可受理性标准、时限及成员国监管协作机制，旨在强化成员国间的合作与信息共享，提高跨境GDPR执法效率和一致性，同时为各国监管机构在处理复杂跨境案件时提供明确操作框架。该法规将在《欧盟官方公报》公布后20天生效，并将在生效15个月后正式适用，旨在加强《通用数据保护条例》（GDPR）在跨境数据处理场景下的执法。此前，欧盟理事会常驻代表委员会已于2025年6月27日批准了该法规提案文本。该法规主要针对涉及跨境个人数据处理的GDPR执法活动，具体适用于基于投诉的调查、依职权开展的调查，以及涉及欧洲数据保护委员会（EDPB）的相关程序。

资讯来源：https://www.europarl.europa.eu/doceo/document/TA-10-2025-0238_EN.html

2025年10月25日，联合国宣布有65个国家签署了《网络犯罪公约》，旨在打击网络犯罪——联合国秘书长称赞此举是迈向更安全的数字世界的历史性一步。联合国指出，该公约在经过五年的谈判后于2024年12月由大会通过，建立了第一个全球范围内调查和起诉网络犯罪的框架，涵盖了从勒索软件和金融欺诈到非自愿分享亲密图片等各种罪行。该公约将在第40个国家存放批准书后90天生效。2025年10月27日，欧洲委员会宣布已代表欧盟签署了《联合国网络犯罪公约》。该公约是一项强有力的、具有法律约束力的文书，目标是通过国际合作和法律协调，加强对网络犯罪的预防、调查和惩治力度，推动全球网络空间安全与可信赖治理的建设。

资讯来源：https://www.ungeneva.org/en/news-media/news/2025/10/112150/sixty-five-nations-sign-first-un-treaty-fight-cybercrime-milestone

2025年10月21日，法国数据保护机构（CNIL）发布了六份实用情况说明书，旨在帮助政治相关主体遵守关于政治广告透明度与定向投放的新欧洲法规 2024/900，此法规自2025年10月15日起全面生效，对GDPR进行了补充，以规范政治领域日益增长的数字工具使用。该法规指定CNIL为主管机构，以确保某些条款（该法规第18条和第19条）的适用，这些条款严格规范将个人数据用于政治传播目的，而CNIL将在法国负责监督这些规范政治传播与数据处理的特定条款的执行。

资讯来源：https://www.cnil.fr/fr/elections-et-communication-politique-la-cnil-publie-6-fiches-pratiques

2025年10月23日，法国数据保护局（CNIL）发布三部分系列调查首篇，针对2082名15岁及以上受访者，聚焦在线广告中个人数据使用与同意态度，重点考察用户是否愿意为无定向广告的在线服务付费。

调查结果显示：付费订阅已成主流，尤其视频点播服务订阅率达56%（月均20欧元），音频流媒体27%，视频游戏18%；健康追踪、生成式AI、在线新闻、社交网络等服务当前订阅率低于10%，但24%–33%受访者表示愿意付费，潜在需求强劲；25%–48%互联网用户考虑从免费广告模式转向无广告付费订阅，月均意愿金额为：在线新闻5.50欧元、视频游戏9欧元；年轻群体（18-24岁）及已有订阅者支付意愿更高。更重要的是，数据保护成选购核心标准：64%受访者主动管理追踪设置；51%将隐私列为服务选择前三标准，与价格、质量并重。

法国数据保护机构 （DPA） 和CNIL声称这构成了一个重大变化——人们实际上对付费优惠感兴趣，以便他们能够更好地保护自己的个人数据。CNIL强调，此结果验证其指引有效性：企业应提供尊重用户偏好、增强数据控制的选项，推动隐私友好型服务普及。

资讯来源：https://www.cnil.fr/fr/les-francais-sont-ils-prets-payer-pour-des-services-en-ligne-sans-publicite-ciblee

2025年10月20日，英国通信管理局（Ofcom）发布了题为《〈网络安全法〉与游戏：了解风险、规则及合规方式》（The Online Safety Act and gaming: know the risks, the rules, and how to comply）的指导文件，为视频游戏行业提供具体的合规指引，重点关注用户生成内容和防止有害内容。Ofcom是英国负责实施该法案的独立监管机构，为在线视频游戏行业提供指导，以了解这些规则如何适用于在线视频游戏服务；了解游戏可能给用户（尤其是儿童）带来的风险；了解视频游戏行业需要做什么才能遵守，从而防止在线视频游戏服务的功能不被利用或滥用，为儿童创造一个良好且安全的环境。

资讯来源：https://www.ofcom.org.uk/online-safety/the-online-safety-act-and-gaming-know-the-risks-know-the-rules-know-how-to-comply

2025年10月24日，工业和商业监督局（SIC）宣布发布了关于技术转让过程中个人数据处理的指南。2025年8月，SIC发布了指南的草案版本并进行了公众咨询。这些指南为受 SIC监督的实体提供了有关如何遵守技术转让过程中个人数据保护法规的信息。这些指南回应了在某些情况下涉及个人数据处理的技术的日益使用，特别是在创新、科学研究和技术发展的背景下，旨在确保这些过程在当前法律框架下进行，并考虑到尊重保护个人数据的基本权利的义务。

SIC提醒，任何涉及个人数据的技术转让都必须遵守2012年第1581号法律、2015年第1074号法令和其他适用法规。这包括采取预防措施、尊重个人数据处理原则以及实施证明责任机制。

资讯来源：https://sedeelectronica.sic.gov.co/comunicado/la-superintendencia-de-industria-y-comercio-emite-instrucciones-para-la-proteccion-de-datos-personales-en-procesos-de-transferencia-de

2025年10月27日，中国香港个人数据隐私专员办公室（PCPD）发布了关于负责任地使用闭路电视（CCTV）系统、无人机和车载摄像头的新指南和信息手册。PCPD发布的指南强调在部署CCTV系统、无人机摄录或车载摄录设备时，资料使用者必须基于合法与公平目的、明确告示、按照必要性与相称性原则进行监控、对录影片段实行保密和适时删除、并在可能影响个人隐私的环境中优先考虑侵入性更低的替代方案；此外还附带实用贴士及范本贴纸，以协助企业、车队及无人机运营者识别与减轻隐私风险。指南建议进行隐私影响评估（PIA），提供明确的通知，并确保CCTV的使用是合理的、尽量不具侵入性的，并符合《个人数据（隐私）条例》（PDPO）的要求。

资讯来源：https://www.pcpd.org.hk/english/news_events/media_statements/press_20251027.html

2025年10月20日，根西岛数据保护局（ODPA）依据《根西岛辖区数据保护法》对医疗专业集团有限责任合伙公司（MSG）因未能采取足够的安全措施而导致患者数据泄露的行为处以10万英镑的罚款。经调查，该攻击发生在2021年8月，MSG的电子邮件服务器被黑客入侵，攻击后数月患者数据被滥用，用于网络钓鱼攻击。MSG在13个月内未安装关键安全更新、未正确配置威胁检测软件，使漏洞得以被利用。罚款的支付期限为16个月，若 MSG 在此期间完全实施其行动计划，则该25000英镑可被豁免。

资讯来源：https://www.itv.com/news/channel/2025-10-20/medical-group-fined-after-sensitive-health-data-stolen-in-cyber-attack

2025年10月21日，西班牙快时尚零售商 Mango 近日确认，其一外部营销服务供应商遭未授权访问，攻击者能够获取部分客户的姓氏以外的姓名、国家、邮政编码、电子邮箱和电话号码等基础联系信息。Mango强调，其内部系统、登录凭证、身份证件、银行或信用卡数据等敏感信息并未受影响，表明此次事件主要局限于合作方环境中的营销联系资料。

事件被发现后，Mango立即启动应急响应机制，通知西班牙数据保护局（Agencia Española de Protección de Datos, AEPD）及相关监管机构，并已逐步向受影响客户发送通知，同时提醒他们警惕可能因资料泄露引发的网络钓鱼或社交工程攻击。尽管目前尚未披露受影响客户的具体数量或受影响服务商的具体名称，该事件突显了零售业在第三方供应链中因外部服务商安全薄弱而面临的数据保护风险。

资讯来源：https://www.zataz.com/data-breach-at-mango-marketing-contractor-targeted/

2025年10月23日，日本大型电商企业ASKULAskul的系统遭受勒索软件攻击，导致其负责运营的三大电商平台（包括面向企业客户和个人客户的 “Askul”、家居日用品平台 “Lohaco” 及面向公司采购的 “Soloel Arena”）无法继续接收订单或进行发货；这一系统瘫痪不仅直接影响Askul自身，也波及其合作品牌，如 Muji（由 Ryohin Keikaku Co. 经营）和 The Loft Co.，后者也被迫暂停其在线销售服务。Askul表示，事发后已迅速组建约百名工程师组成的专项技术团队，正在全面调查受损系统范围并努力恢复业务，同时确认是否存在客户数据泄露。公司为此次给客户及所有相关方造成的重大不便与担忧表示诚挚歉意。

资讯来源：https://www.nippon.com/en/news/yjj2025102000167/askul-suspends-online-sales-due-to-ransomware-attack.html

2025年10月20日，亚马逊云服务（AWS）报告发生重大事故，导致多家知名网站瘫痪。报告指出，AWS在其美国东部USEAST1区域发生一起严重故障，起因为内部DNS（域名系统）解析问题及依赖服务链中断，导致包括亚马逊自有平台在内、众多全球知名应用与网站出现大规模停摆——从电商平台、流媒体服务、社交媒体、打车应用、支付工具到航空及通信运营商皆受影响，举例如 迪士尼+、来福车 (Lyft)、麦当劳、TMobile、美国联合航空公司、Venmo、威瑞森等。AWS 在发现问题后启动多条并行路径恢复，尽管部分服务在数小时内恢复，但由于请求积压和系统连锁反应，影响持续了整日，事件凸显了全球网络高度依赖少数云基础设施提供商所带来的系统性风险。 AWS在更新公告中指出，此次 “运营问题” 影响了 “多项服务”，并表示正 “通过多条并行路径加快恢复进程”。其近70 项自有服务已受影响。用户报告的受影响平台包括：亚马逊、迪士尼 +、来福车(Lyft)、麦当劳、《纽约时报》官网、T-Mobile(电信运营商)、美国联合航空公司(United Airlines)、Venmo(支付应用)及威瑞森(Verizon)等。

资讯来源：https://www.theverge.com/news/802486/aws-outage-alexa-fortnite-snapchat-offline

没有被设置“星标”的微信公众号

收到的推送极其有限，时间也会大大延迟

如果您想要收到我们的第一手推送

请为我们设个“星标”吧！

设星标，不迷路！