境内外数据合规要闻｜全国网安标委发布《国家标准支撑<网络数据安全管理条例>生效施行（v1.0）》等

2025年11月7日，全国网安标委秘书处发布《国家标准支撑<网络数据安全管理条例>生效施行（v1.0）》。

2025年1月1日，《网络数据安全管理条例》（以下简称《条例》）生效施行，规定了开展网络数据处理活动及其安全监管须遵守的各项要求。全国网安标准委（TC260）作为负责网络安全和数据安全国家标准的专业技术组织，围绕数据安全和个人信息保护，已经发布44项国家标准，正在制定2项强制性国家标准和15项推荐性国家标准，研制发布2项委员会技术文件和22项网络安全标准实践指南。全国网安标委秘书处分析了《条例》标准化需求，杭理出69项标准文件可为《条例》37项条款落地实施提供支撑，供各方参阅。

资讯来源：国家标准支撑《网络数据安全管理条例》生效施行（v1.0）

2025年11月7日，全国网安标委发布《大模型一体机产品安全基本要求（征求意见稿）》、《人工智能加速芯片安全功能技术规范（征求意见稿）》等2项网络安全标准实践指南的征求意见稿。2项指南分别规定了大模型一体机的安全建设与评估要求，以及人工智能加速芯片的研发与应用的技术要求。

资讯来源：关于对《大模型一体机产品安全基本要求（征求意见稿）》等2项网络安全标准实践指南公开征求意见的通知

2025年11月6日，公安部网安局通报了一起有关单位未按规定发布漏洞信息被处罚的典型案例。2025年5月，公安网安部门在“护网—2025”专项工作中发现，某具有交互式信息发布功能的网络产品安全漏洞发现、收集平台掌握了某网络产品存在安全漏洞，但在网络产品提供者发布安全漏洞修补措施前，公开了该漏洞细节信息及利用该漏洞从事危害网络安全活动的程序和工具。公安机关依据《网络安全法》，对该平台运营者予以行政处罚，并责令整改。

资讯来源：以案释法|有关单位未按规定发布漏洞信息，网警依法予以处罚

2025年11月3日，北京市通信管理局通过抽测发现北京市部分移动互联网应用程序存在侵害用户权益和安全隐患类问题。本次通报涉及的问题包括：未明示收集使用个人信息的目的、方式和范围；未公开收集使用规则；强制用户使用定向推送功能；App频繁自启动和关联启动；未经用户同意收集使用个人信息；更正、删除个人信息难。

截至目前，尚有7款移动互联网应用程序未整改或整改不到位被全网下架，涉及的问题包括：未公开收集使用规则；未经用户同意收集使用个人信息；违反必要原则收集个人信息；App频繁自启动和关联启动；小程序频繁自启动和关联启动。

资讯来源：https://bjca.miit.gov.cn/zwgk/tzgg/art/2025/art_4fe37979fbfe49ec87e948a6942136bc.html

2025年11月5日，北京互联网法院审结了一起关联App共享用户数据未获同意引发的人格权侵权纠纷案件，最终认定App运营方构成侵权需承担相应责任。

被告某信息公司和某科技公司系关联企业，某信息公司运营应用软件（App）A和B，某科技公司运营应用软件C。以上三款应用软件具有一定关联关系，即应用软件B和C系从应用软件A的固定内容板块独立而来。原告柴某某在注册并使用应用软件B过程中发现，应用软件A和C也为原告自动生成了原告所属的应用软件账号。原告还发现，通过使用任一应用软件账号形成的涉案用户数据，会自动同步至另外两款应用软件中的原告所属账号，且发布、修改、删除内容的操作也会同步，在原有应用软件公开展示的信息也会在其他应用软件中向其他平台的用户展示。

该案的争议焦点为：一、原告对使用账号过程中形成的涉案用户数据是否享有个人信息权益及隐私权；二、二被告运营关联应用软件共享涉案用户数据的行为属于何种性质；三、上述行为是否侵害了原告的个人信息权益及隐私权；四、若构成侵权，应如何承担责任。

首先，原告对使用三款应用软件账号中形成的昵称、头像、简介、动态、粉丝及关注列表、实名认证信息、私信等可识别到本人且与本人有关的各种信息享有个人信息权益。其中，原告对其主动公开的账号昵称、头像、简介、动态等信息，以及应用软件设置默认公开且原告未主动作隐私设置的粉丝和关注列表不享有隐私权；对实名认证、私信等包含有原告敏感个人信息且处于私密状态的信息享有隐私权。

其次，由于应用软件A和B之间共享涉案用户数据的行为主体同一，因此不涉及行为性质争议，仅应用软件C与另两款应用软件间共享涉案用户数据的行为涉及两个行为主体，有必要就行为性质进行判定。本案中，二被告通过合同约定在三款应用软件间共享涉案用户数据，且就处理目的、方式、数据范围及责任分担框架等内容进行约定，并通过用户协议、隐私政策等内容和节点向用户进行了告知，且合同约定、用户告知与实际处理行为具有一致性。此外，二被告系关联企业，分别运营的三款应用软件在内容方面也具有较强关联性，体现出二被告在三款应用软件间共享涉案用户数据的行为具有整体性。二被告通过协议对保障数据安全作出明确约定，在数据存储、管理方面采取了一定措施，客观上未显著增加用户个人信息被侵害的风险。综合以上因素，二被告作为个人信息处理者共同决定涉案用户数据的处理目的和处理方式，并约定了各自的权利和义务，应属于《个人信息保护法》第二十条规定的多主体共同处理个人信息的行为，而非第二十三条规定的向其他个人信息处理者提供其处理的个人信息的行为。

再次，二被告在三款应用软件上以原告所属账号名义共享涉案用户数据的行为，因相关账号及共享行为与原告具有直接对应性，并非一般意义上对已公开个人信息再行收集、使用的行为，不属于“合理处理自然人自行公开的信息”的情形，不能免除二被告取得原告有效同意的法定义务。本案中，涉案用户数据涉及不同的个人信息种类，决定了其个人信息处理行为的合法性基础有所区别，需要区分个人信息类型对二被告的个人信息处理行为进行侵权判断。对于账号昵称、头像、简介、动态、粉丝及关注列表等一般个人信息的处理，二被告的共同处理行为无需取得原告的单独同意，但仍应符合告知同意的一般要求，本案二被告的告知内容不够完整、全面，导致原告的同意亦非有效，因此侵害了原告的个人信息权益。对于实名认证、私信等私密信息的处理，依照《个人信息保护法》关于敏感个人信息处理的规则，即使是共同处理行为也仍需取得个人单独同意，但二被告未取得原告的单独同意，侵害了原告的隐私权。

资讯来源：e案e审丨关联APP共享用户数据未获有效同意，关联企业应承担连带责任！

2025年11月4日，上海市通信管理局组织第三方检测机构对上海市App（SDK）进行抽查，共发现53款App（SDK）存在侵害用户权益行为（详见附件），现予以通报。涉及的问题包括：未明示个人信息处理规则；未妥善处理用户投诉、账号注销难和超范围收集个人信息。

资讯来源：上海市通信管理局关于侵害用户权益行为APP（SDK）的通报（2025年第九批）

2025年11月9日，陕西省某机构门户网站遭网络攻击，网站被篡改并植入违法内容，扰乱网络空间秩序，造成不良影响。

陕西公安网安部门依法进行调查，发现该机构门户网站后台管理员账号存在弱口令漏洞，导致网站遭攻击入侵，并被篡改的严重后果，并且，该机构未履行网络安全保护义务，缺少网络安全管理制度，缺乏必要的网络安全防护措施。

陕西公安网安部门根据《中华人民共和国网络安全法》相关规定，针对陕西省某机构不履行网络安全保护义务等违法行为，对该机构及其直接负责的主管人员给予行政处罚，并将相关情况通报其上级业务指导部门，指导其全面加强行业内部网络安全防护。

资讯来源：护网—2025 | 网警依法查处一起涉“两高一弱”典型案例

2025年11月5日，湖南公安网安部门在工作中发现，辖区内某服务平台系统遭受黑客攻击，并被利用该系统短信功能漏洞对外发送了数万条含有非法链接的短信，造成恶劣影响。目前犯罪嫌疑人已被公安机关抓获。

公安机关经现场调查发现，该平台所属单位和负责该平台运维的武汉某信息技术公司，均未对该平台采取有效监测网络安全事件的技术措施，运维公司还未制定网络安全事件应急预案，导致该平台被黑客攻击，造成恶劣影响。

湖南公安网安部门对武汉某信息技术公司依法处以行政处罚，责令限期改正；对该系统所属单位依法进行专项约谈、责令限期整改，并通报其上级单位，做出网络安全风险提示。

资讯来源：护网—2025 | 系统运营绝不能甩手躺平！网警解读典型案例

2025年11月10日，山东青岛公安网安部门在日常工作中发现，某机构对外提供公共服务的网络平台长时间持续存在SQL注入漏洞、越权访问漏洞，存在网络数据安全隐患。

经查，某科技公司在为该机构提供系统运行、维护时，未按照法律法规相关规定和合同约定履行网络数据安全保护义务，未采取必要的技术措施，未及时修复安全漏洞，存在数据泄露风险。

青岛崂山网安部门依据《网络数据安全管理条例》对该公司予以行政处罚。

资讯来源：护网—2025丨某科技公司未及时修复安全漏洞，网警依法处罚

2025年11月8日，由中国网络空间研究院牵头编撰的《中国互联网发展报告2025》和《世界互联网发展报告2025》蓝皮书在2025年世界互联网大会乌镇峰会上正式发布。

《中国互联网发展报告2025》总结了一年来中国互联网发展实践成效和趋势。一年来，信息基础设施持续优化升级，数字经济向质向深向实向稳发展，数字产业化亮点和创新不断，产业数字化转型持续深入，人工智能、区块链、量子计算等前沿技术赋能效应凸显。网络内容和数字文化供给精准多彩，网络文明建设持续深化，网络综合治理体系持续健全。网络安全保障能力和治理体系现代化持续推进，网络安全防护保障能力大幅跃升。电子政务和数字社会建设提质增效，数据赋能经济社会高质量发展成效显著。网络法治系统化规范化程度日益提升，网络营商环境优化，平台经济有序发展。中国秉持共商共建共享理念参与全球数字治理，积极推动网络空间命运共同体迈向新阶段。

《世界互联网发展报告2025》立足全球视野，梳理总结世界互联网发展情况。一年来，信息基础设施建设为数字化转型提供有力支撑，持续向智能化、绿色化升级演进。信息领域基础技术与应用技术加速跃升，为各行各业数字化转型注入新动能。人工智能驱动全球数字经济创新和增长，技术赋能全球互联网媒体发展，推动内容生产智能化转型。全球网络安全呈军事化智能化交织的复杂态势，主要国家和地区持续加强网络安全能力建设。政务创新应用持续推动政府数字化转型，公共数据开发利用和数据跨境流动成效显著。推动技术规范有序发展是全球网络法治建设的重要主题，各国对数字治理规则的重视程度不断提升，在技术研发、标准制定、基础设施建设等关键领域的合作与竞争并存。

资讯来源：《中国互联网发展报告2025》和《世界互联网发展报告2025》蓝皮书发布

2025年11月4日，欧洲数据保护委员会（EDPB）通过了欧盟委员会关于巴西数据保护充分性的实施决定草案的第28/2025号意见。

EDPB指出，巴西的《通用数据保护法》（LGPD）、相关总统令以及国家数据保护局（ANPD）颁布的具有约束力的法规，确立了与《通用数据保护条例》（GDPR）和欧盟法院判例法高度一致的要求、原则、数据主体权利、数据传输、监督和补救措施。因此，这一意见是标志着欧盟–巴西在跨境数据流通方面的重要里程碑。

尽管总体评价较为积极，EDPB也指出草案和巴西体制中仍存在若干待clarifications和监测事项。主要包括：在巴西实践中，数据保护影响评估（DPIA）如何被有效执行、其“必要性与比例性”标准如何落实，需要进一步监测；关于透明原则的限制，例如LGPD中允许以“商业或工业秘密”为由限制数据主体或监管机构获取某些信息的问题，可能影响数据主体的信息权和监管机构的访问权等。

资讯来源：https://digital-strategy.ec.europa.eu/en/news/new-measures-unlock-access-data-largest-online-platforms-support-research 

2025年11月5日，欧洲数据保护委员会（EDPB）通过开发一系列即用型模板，在促进组织遵守GDPR方面迈出了重要一步。该举措是在赫尔辛基关于增强清晰度、支持和参与度的声明之后宣布的，旨在为组织提供实用工具，以便组织可以轻松实施以履行其数据保护义务。EDPB为帮助各类组织更好地遵守GDPR，启动了一次公开征求意见，重点关注“合规模板”（templates）——也就是为组织提供可用、结构化的工具（例如隐私通知、处理活动记录、数据 泄露 通知等形式）以便简化遵从过程。征求意见旨在了解：组织在合规实践中最需要哪类模版、这些模版中应包含哪些关键元素、目前在使用模版过程中遇到哪些障碍。

征求意见的范围包括：询问利益相关方（包括数据控制者、数据处理者、行业协会等）他们在合规过程中遇到的具体困难、哪些类型的模版（如处理活动记录、隐私通知、数据 泄露 报告、合同附录等）最为实用，以及这些模版在不同规模、不同类型组织中应如何适配。EDPB还强调，此次征求意见的成果将用于未来工具与指南的开发，并计划将利益相关方的反馈公开，以提升透明度与共识性。征求意见通常有截止日期（该次为2025年12月3日）以收集反馈。

资讯来源：https://www.edpb.europa.eu/news/news/2025/help-make-gdpr-compliance-easy-organisations-what-templates-would-be-helpful-you_en

2025年11月7日，欧盟委员会通信网络、内容和技术总局DG CNECT、澳大利亚电子eSafety专员和英国Ofcom发布了一份联合通讯，承诺共同努力促进数字平台上的儿童安全。三个监管机构认识到，在线平台可以并且应该采取更多措施来保护和赋能儿童，使其在安全的网络环境中成长。他们还致力于保护联合国《儿童权利公约》所认定的儿童权利。在这一背景下，DG CNECT、eSafety专员和Ofcom正在共同推动在线平台上的儿童安全，承诺继续全力实施、监督和执行各自的网络安全立法，并遵循正当程序，以确保儿童拥有安全和保障的网络环境。在此过程中，他们将考虑儿童的权利和福祉。

资讯来源：https://digital-strategy.ec.europa.eu/en/news/commission-agrees-advance-child-safety-online-australias-esafety-commissioner-and-uks-ofcom

2025年11月4日，美国参议院健康、教育、劳动和养老金委员会（HELP）宣布参议员比尔・卡西迪提出了一项《健康信息隐私改革法案》。该法案旨在通过新规和标准增强对健康信息的保护，要求卫生与公共服务部（HHS）部长设定隐私、安全和泄露通知的标准。法案明确规定，这些规章必须与现有的《健康保险流通与问责法案》（HIPAA）和《经济与临床健康信息技术法案》（HITECH Act）对适用健康信息的保护相一致。

资讯来源：https://www.legistorm.com/stormfeed/view_rss/6155247/office/685/title/chair-cassidy-introduces-bill-to-protect-americans-private-health-data.html

2025年11月10日，美国纽约州《算法定价披露法案》正式生效。该法案规定，在纽约州内，若企业使用算法（“计算过程”）基于消费者的个人资料数据（如可识别或可链接至特定自然人或设备的数据，但通常不包括纯位置数据）来动态设定商品或服务价格，就必须在该价格旁以“THIS PRICE WAS SET BY AN ALGORITHM USING YOUR PERSONAL DATA.”（本价格由算法利用您的个人数据决定）的形式进行“清晰且显著”披露。同时，该法案还将未进行披露而使用此类“个性化算法定价”的行为，视为可能的欺骗或不公平商业行为。

资讯来源：https://www.nysenate.gov/legislation/bills/2025/A6765/amendment/original

2025年11月3日，加拿大隐私专员办公室（OPC）宣布对儿童常用网站和移动应用程序展开调查。OPC是来自世界各地的30多个数据保护和隐私机构之一，作为本周举行的全球隐私执法网络隐私扫描的一部分，将检查儿童常用的网站和移动应用程序。监管机构将审查已知由儿童使用或迎合儿童的网站和移动应用程序是否收集儿童数据，其隐私惯例是否透明，是否设有年龄保证机制，并采用隐私保护控制来限制儿童个人信息的收集。

今年大检查的主题是认识到当今的数字空间是儿童生活的重要组成部分，为自我表达、学习、社交和与社区联系提供了机会。不考虑儿童最大利益的在线服务设计可能会使年轻人容易受到在线跟踪、分析、定位和接触不适当或有害内容等风险的影响。此次检查将与 2015年进行的扫荡类似，使当局能够比较十年后的结果。OPC、英国信息专员办公室和根西岛数据保护局办公室正在协调今年的检查工作，该检查将于2025年11月3日至7日举行。

资讯来源：https://www.priv.gc.ca/en/opc-news/news-and-announcements/2025/nr-c_251103/

2025年11月6日，由Ofcom召集的英国、美国、加拿大、澳大利亚和新西兰的电信监管机构和政府机构发表了一份联合声明，旨在更紧密地合作，以加强电信网络的安全性和弹性，并应对面向消费者的诈骗和欺诈风险。该声明于11月4日至6日在伦敦由Ofcom主办的国际合作伙伴会议上达成一致，反映了电信安全威胁是全球性的，市场日益相互关联。它承诺当局加强合作，以应对电信部门的挑战，帮助威慑恶意行为者并维护通信基础设施的完整性。

这些承诺涉及：加强网络可靠性、完整性和安全性方面的合作。这将包括努力防止滥用电信资源，例如全球标题（移动网络用于发送和接收信令消息的特殊号码），同时识别不同的国际背景；关于新出现的威胁和欺诈技术（例如短信爆破器）的信息共享，以及人工智能在电信中越来越多地使用所带来的风险和机遇；促进网络防御的最佳做法。这可以通过合作和标明国际标准来实现，例如与特权访问工作站 （PAW） 相关的标准，特权访问工作站 （PAW） 是为需要高级别安全性的工作（在适当的情况下）设置的专用计算安排。它还将包括在供应链安全方面进行更多合作，包括海底电缆基础设施和适当的射频设备。

签署方是Ofcom（英国）；美国联邦通信委员会；创新、科学和经济发展（加拿大）；内政部（澳大利亚）；和国家网络安全中心（新西兰）。落实这些承诺的工作现在将开始，双方还同意每年举行一次会议，以继续高度重视电信安全合作。

资讯来源：https://www.ofcom.org.uk/about-ofcom/international-work/authorities-from-the-uk-us-canada-australia-and-nz-to-enhance-cooperation-on-telecoms-security

2025年11月5日，澳大利亚通信部长宣布《社交媒体最低年龄法案》（the Social Media Minimum Age Bill）将适用于Facebook、Instagram、Snapchat、TikTok、YouTube、X、Threads、Reddit 和 Kick。澳大利亚网络安全专员（eSafety Commissioner）已将上述平台评估为受年龄限制的社交媒体平台，其认为这些服务目前符合社交媒体最低年龄法规中规定的16岁以下限制标准，特别是其“唯一或主要目的是实现在线社交互动”这一关键要求。这意味着，从12月10日起，这些平台必须采取合理措施，防止16岁以下的人在其服务上持有账户。否则，这些平台将面临最高4950万澳元的罚款。

资讯来源：https://minister.infrastructure.gov.au/wells/media-release/social-media-minimum-age-platform-assessments

2025年11月3日，新西兰《2025年生物识别处理隐私守则》正式生效。该准则于2025年7月21日发布，但已经使用生物识别技术的机构有9个月的宽限期来转向新规则。该过渡期将于2026年8月3日结束。该准则是根据《隐私法》制定的，为在生物识别处理中收集和使用人们生物识别信息的组织和企业制定了隐私规则。生物识别处理是使用面部识别技术等技术来收集和处理人们的生物识别信息，以识别他们或了解更多信息。生物识别信息与人们的身体或行为特征有关。例如，一个人的脸、指纹、声音、击键模式或他们的行走方式。

资讯来源：https://www.privacy.org.nz/privacy-principles/codes-of-practice/biometric-processing-privacy-code/

2025年11月5日，由肯尼亚总统威廉·鲁托（William Ruto）签署成为法律的《2024 年计算机滥用和网络犯罪（修正案）法案》正式生效。修订案大幅增强了对网络骚扰、钓鱼、SIM 卡换号 (SIMswap) 欺诈等新型网络犯罪的处罚力度。例如，针对网络骚扰的新条款将“知道或应当知道其通讯有可能导致受害人自杀”的情况纳入处罚范围。另外，新增 “未经授权的 SIM 卡交换”罪（即通过变更、克隆他人 SIM 卡以实施诈骗）也被明确入罪。在惩罚机制上，对严重网络犯罪的罚款和监禁上限也显著提高，如网络骚扰者面临最高约肯尼亚先令 2 000 万或监禁 10 年。这些变化表明：政府在应对数字化威胁、金融诈骗、网络暴力方面正迈出更强监管步伐。

资讯来源：https://new.kenyalaw.org/akn/ke/bill/na/2024/41/eng%402024-08-09

2025年11月4日，巴西国家电信局（Anatel）发布了《打击盗版白皮书》。这是一项技术研究，将该国在打击电信产品和服务盗版方面的监管、运营和体制进步系统化——这一现象已被巩固为对网络、竞争环境和消费者权利的系统性威胁。文件显示，截至2025年7月底，通过检查行动发现，8,053,098种未经批准的产品被撤出市场，估计价值为833,617,356.00雷亚尔。根据数据、国际比较、法律分析和业务统计，白皮书表明，盗版干扰了该行业的发展，助长了跨国非法行为，削弱了数字安全并损害了生产性投资。盗版会影响服务质量、用户安全，产生物理和数字风险（例如冲击、火灾、数据盗窃和网络入侵），还会影响税收征收。

该出版物还强调了已经取得的成果、与联邦税务局和联邦警察的举措、最近加入 Siscomex、合作协议、市场问责制和打击使用秘密解码器计划，此外还强调了永久机构间协调的必要性。大约 71% 的产品退出市场是由于巴西联邦税务局在港口采取的行动造成的，并得到了Anatel的支持。这些保留的产品尚未获得批准。白皮书还提到了一个新奇事物：Regulatron，这是一种使用人工智能创建的机器人，可以监控平台广告并识别未经批准的电信产品。该工具分析市场上的数十万个广告。

通过邀请社会、生产部门和公共当局探讨该文件的建议，Anatel强调打击盗版需要综合、永久和证据驱动的行动——这是安全、有竞争力、创新和可持续的互联互通生态系统的必要条件。

资讯来源：https://www.gov.br/anatel/pt-br/assuntos/noticias/anatel-lanca-white-paper-e-reforca-compromisso-com-a-seguranca-dos-usuarios

 2025年11月4日，荷兰数据保护机构（AP）宣布已向财政部长建议，贷款机构不得要求申请贷款的个人提供完整的银行对账单。这是基于AP对修订后的消费者信贷指令实施法草案的审查结果。AP特别强调，该草案需要进一步完善，并指出在申请贷款或信用购买时提供完整的银行对账单是对个人隐私的重大且不成比例的侵犯。这是因为银行对账单可能包含敏感信息，日常支付的详细记录可能会暴露个人的隐私。

资讯来源：https://www.autoriteitpersoonsgegevens.nl/actueel/ap-kredietverstrekkers-mogen-niet-om-hele-bankafschriften-vragen