法律研究 | 安杰世泽科技及数据法律月刊（2025年1月)

月刊主编：杨洪泉、沈飏

DRAFT PERSONAL INFORMATION PROTECTION CERTIFICATION MEASURES ISSUED

《个人信息出境个人信息保护认证办法（征求意见稿）》

2025年1月3日，国家互联网信息办公室发布《个人信息出境个人信息保护认证办法（征求意见稿）》，旨在规范个人信息出境保护认证工作，促进个人信息安全跨境流动。该办法依据《个人信息保护法》等法律法规，明确了认证适用范围、认证机构资质要求及认证程序等内容。办法规定，个人信息处理者可通过自愿申请认证的方式向境外提供个人信息，但需符合特定条件，如非关键信息基础设施运营者且提供个人信息数量在一定范围内。认证机构需向国家网信部门备案，并对认证过程及结果负责。

来源：

https://www.cac.gov.cn/2025-01/03/c_1737600915141373.htm

3 POLICIES ON DEVELOPING & USING PUBLIC DATA RESOURCES

国家发改委与国家数据局联合发布三份公共数据资源政策文件

2025年1月20日，国家发展改革委与国家数据局联合发布了《公共数据资源登记管理暂行办法》《公共数据资源授权运营实施规范（试行）》以及《关于建立公共数据资源授权运营价格形成机制的通知》三份重要文件，旨在完善公共数据资源开发利用的政策体系。

• 《管理办法》规范了公共数据资源登记工作，构建全国一体化登记体系，明确了登记主体、程序、管理和监督机制，推动公共数据资源合规高效利用。

• 《实施规范》聚焦授权运营，明确了管理机构、实施机构和运营机构的职责，规范了授权运营的决策流程、实施路径和管理要求，强化了全过程监管。

•《通知》则针对公共数据资源授权运营价格形成机制，明确了定价范围、程序、最高准许收入和上限收费标准，建立了定期评估调整制度，旨在保障运营机构健康发展的同时，防止垄断利润形成。

这三份文件的发布，标志着我国公共数据资源开发利用“1+3”政策体系初步构建完成，为激发数据要素市场活力、赋能经济社会高质量发展提供了重要政策支撑。

来源：

https://www.ndrc.gov.cn/xxgk/zcfb/ghxwj/202501/t20250116_1395725.html

https://www.ndrc.gov.cn/xxgk/zcfb/ghxwj/202501/t20250116_1395726_ext.html

https://www.ndrc.gov.cn/xxgk/zcfb/tz/202501/t20250120_1395799.html

DRAFT MCN MANAGEMENT RULES ISSUED

《网络信息内容多渠道分发服务机构相关业务活动管理规定（草案稿）》

2025年1月10日，国家网信办发布《网络信息内容多渠道分发服务机构相关业务活动管理规定（草案稿）》，意见反馈截止时间为2025年2月9日。网络信息内容多渠道分发服务机构（MCN机构）是指在网络信息内容服务平台入驻，为网络信息内容生产者提供策划、制作、营销、经纪等相关服务的机构。草案在MCN机构的资质审核、内容管理、账号运营等方面设定了严格要求。网络信息内容服务平台应当要求MCN机构办理入驻手续，重点审核是否依法办理经营主体登记、是否设立内容管理负责人及相适应的内容审核人员等。平台还需在MCN机构入驻之日起10个工作日内，向平台所在地省级网信部门办理备案登记手续。此外，草案要求MCN机构在其签约的网络账号发布信息前，履行信息发布审核义务，进行合规审核，并留存审核记录备查，不得违规操纵旗下网络账号，不得以任何形式允许第三方违规使用其后台管理账号或旗下网络账号。

来源：

https://mp.weixin.qq.com/s/ssDEIaKa1IZfWBeUgSfIyQ

REQUIREMENTS FOR PERSONAL INFORMATION SECURITY PROTECTION IN FACE RECOGNITION PAYMENT SCENARIOS

人脸识别支付场景个人信息安全保护要求

2025年1月26日，全国网络安全标准化技术委员会秘书处发布了《网络安全标准实践指南——人脸识别支付场景个人信息安全保护要求》。该指南旨在指导人脸识别支付场景中个人信息的安全保护工作，为相关服务提供方、验证服务方、场所管理方及设备运营方提供参考。指南明确了数据收集、存储、传输、导出及删除等环节的安全要求，确保个人信息在人脸识别支付过程中的合法、合规使用。

来源：

https://www.tc260.org.cn/front/postDetail.html?id=20250126115447

DRAFT BREACH REPORTING REQUIREMENTS FOR FINANCIAL INSTITUTIONS 

《中国人民银行业务领域网络安全事件报告管理办法（征求意见稿）》

2024年1月24日，中国人民银行发布《中国人民银行业务领域网络安全事件报告管理办法（征求意见稿）》公开征求意见至2025年2月24日。征求意见稿要求金融从业机构在本机构网络安全管理制度或者操作规程中明确网络安全事件分级标准（以下简称分级标准），将网络安全事件分为特别重大、重大、较大和一般四个等级。金融从业机构发生较大等级以上网络安全事件后，应于30分钟内报送网络安全事件事发简要报告，并在2小时内报送网络安全事件事发报告。对于重大等级以上网络安全事件，金融从业机构应当至少每隔2小时进行事中进展报告，直至处置结束。一般等级以上网络安全事件处置结束后，金融从业机构应当于10个工作日内报送事后调查总结报告。此外，征求意见稿明确了接收各类金融从业机构报告的具体机关。

来源：

http://www.pbc.gov.cn/tiaofasi/144941/144979/3941920/5576137/index.html

DRAFT AI SECURITY STANDARD FRAMEWORK (V1.0)

《人工智能安全标准体系（V1.0）》（征求意见稿）

2025年1月26日，网安标委发布《人工智能安全标准体系（V1.0）》（征求意见稿），并公开征求意见。该标准体系主要由基础共性、安全管理、关键技术、测试评估、产品与应用等5个部分组成，旨在为人工智能领域的安全标准提供全面指导。

来源：

https://www.tc260.org.cn/front/postDetail.html?id=20250124171028

DRAFT GUIDELINES FOR PERSONAL RIGHTS IN SHAKE-TO-SEE ADS 

《网络安全标准实践指南——摇一摇广告个人权益规范指引（征求意见稿）》

2025年1月22日，网安标委发布《网络安全标准实践指南——摇一摇广告个人权益规范指引（征求意见稿）》，并公开征求意见。摇一摇广告指的是通过移动终端内置传感器感应等方式触发跳转的广告。摇一摇广告是手机移动端广告的一种触发形式，通常在 App开屏首页呈现，通过调用手机中的加速度、重力、陀螺仪等一种或多种传感器实现，当用户摇动手机产生的传感器数值变化达到设定的阈值时，触发广告交互。该指南旨在规范App和第三方SDK展示及触发摇一摇开屏广告的行为，保障用户个人权益。

来源：

https://www.tc260.org.cn/front/postDetail.html?id=20250122145342

NINGBO COMPANY FINED FOR NOT FULFILLING DATA SECURITY OBLIGATIONS LEADING TO SURVEILLANCE VIDEOS BEING LEAKED

宁波某公司因未履行数据安全保护义务、监控视频数据被外国获取而受处罚

2025年1月17日，宁波市网信办通报，鄞州区网信办调查了宁波某科技公司数据安全保护问题。该公司承包某化工企业信息系统，因未履行数据安全保护义务，导致其所属的用于存储化工厂区安全智能管控平台重大危险源监控视频数据网络资产（网络摄像机）多次被美国、韩国、新加坡等利用弱口令漏洞获取监控视频数据，违反了《数据安全法》第二十七条的规定。鄞州区网信办对公司处以五万元罚款，对直接主管处以一万元罚款。

来源：

http://ningbo.zjjubao.com/a/html/80100235

PUBLIC INTEREST LITIGATION PROMOTES PERSONAL INFORMATION PROTECTION IN EXPRESS DELIVERY

检察公益诉讼推动快递单信息保护整改

2024年12月30日，最高法、最高检联合举行新闻发布会，发布“两高”行政公益诉讼典型案例（第二批），湖北省十堰市茅箭区人民检察院诉十堰市邮政管理局不履行公民个人信息保护监管职责公益诉讼案入选其中。湖北省十堰市茅箭区人民检察院在专项监督中发现，当地多家快递企业未对快递单上的收件人姓名、电话、住址等个人信息进行去标识化处理，违反了相关法律规定，于2023年6月向十堰市邮政管理局发出检察建议，督促其履行监管职责。因整改未达预期，检方于同年9月提起行政公益诉讼。法院审理认定邮政管理局履职不到位，判令其继续履行监管职责。判决生效后，该局开展专项整治，立案查处8起违法案件，并印发全市隐私运单应用通知，推动行业建立长效机制。2024年3月复查显示，城区快递企业已全面实施加密、去标识化等措施，有效消除信息泄露风险。本案通过司法监督压实行政机关责任，推动行业系统性整改，为个人信息保护领域行政公益诉讼提供了实践样本，凸显了检察机关在公共利益维护中的能动作用。

来源：

https://mp.weixin.qq.com/s/kZL53-fLrC975blweS-s9w

NOTICE ON STRENGTHENING DATA SECURITY PROTECTION FOR INTERNET DATA CENTER CUSTOMERS

工信部发布《关于加强互联网数据中心（IDC）客户数据安全保护的通知》

2025年1月13日，工业和信息化部发布《关于加强互联网数据中心客户数据安全保护的通知》，旨在提升互联网数据中心（IDC）客户数据安全保障能力。通知从明确安全责任界面、强化制度建设、加强客户管理、保障数据安全、做好应急处置等五个方面提出十六条具体要求，涵盖服务器托管、数据存储与计算等典型业务场景的安全保障措施。通知要求IDC业务经营者建立健全客户数据安全管理制度，提供差异化安全防护服务，在与客户和第三方服务商签订的合同中明确各方的数据安全保护责任和义务，并加强高危操作和对外提供数据前的客户授权管理。此外，工信部将推进数据安全标准研制和能力评价，督促企业落实主体责任，确保IDC业务安全有序发展。

来源：

https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2025/art_1bbf7c744c994183abb3ad6148658960.html

CAC COMPLETED 285 CBDT SECURITY ASSESSMENTS WITH FAILING RATE BEING LESS THAN 10%

国家网信办已完成数据出境安全评估项目285个，未通过评估占比不到一成

2024年12月31日，国家数据局在京举办关于推动数据产业高质量发展和促进企业数据资源开发利用专题新闻发布会。国家网信办网络数据管理局副局长王琦在会上介绍，截至2024年12月，国家网信办共完成安全评估项目285个，个人信息出境标准合同备案1071个。其中安全评估项目未通过评估的27个，占整体比例不到10%。除个别项目因重要数据出境必要性不足或存在安全风险未通过评估，其余大多数未通过的主要原因是数据处理者未按照法律规定征得个人信息主体同意。2024年3月《促进和规范数据跨境流动规定》出台后，数据出境安全评估项目数量同比下降约60%，个人信息出境标准合同备案数量同比下降约50%；并且，国家网信办上线的数据出境申报系统大幅缩减材料流转时间，企业从线上申报到收到评估结果平均时长不到30个工作日，相比《数据出境安全评估办法》规定的45个工作日大幅缩减。

来源：

https://www.nda.gov.cn/sjj/swdt/xwfb/1231/20241231172831486110195_pc.html

KASPR因违规收集LINKEDIN用户数据被罚24万欧元

2025年1月9日，法国数据保护机构CNIL因KASPR公司违反多项《通用数据保护条例》项下的义务，对其处以24万欧元的罚款。据悉，KASPR公司开发了一款Chrome浏览器的扩展程序，允许其付费用户通过该程序获得其访问的LinkedIn用户的联系方式，包括那些限制公开联系方式的LinkedIn用户。为此，KASPR通过爬取LinkedIn等域名注册网站的方式建立了包含1.6亿条联系信息的数据库，CNIL也收到了大量称其个人信息被KASPR违规收集的投诉。经调查，CNIL认为KASPR存在非法收集用户数据、未遵守透明度义务等多项违规行为，除罚款外，CNIL还要求KASPR立即采取相应的整改措施。

来源：

https://www.cnil.fr/en/data-scraping-kaspr-fined-eu240000

NOYB在五国投诉六家中国企业违规传输个人数据

2025年1月16日，欧盟非盈利组织noyb在希腊、意大利、比利时、荷兰、奥地利五国对小米、希音、微信等六家中国互联网公司发起投诉，指控其违反《通用数据保护条例》之规定，将欧盟用户的个人数据违规传输至中国。noby认为，中国不属于“充分性决定国家”，且相关企业采取的补充措施无法克服中欧数据保护水平的差距，为此，noby要求前述五国的数据保护机构立即命令这些公司暂停向中国传输个人数据，并对其施加行政罚款。此次投诉是noby在2024年12月获批成为可就数据保护违规行为向欧盟法院提起集体诉讼的“合格实体”后，公开的首批针对中国企业的投诉。

来源：

https://noyb.eu/en/tiktok-aliexpress-shein-co-surrender-europeans-data-authoritarian-china

EDPB就数据假名化指南征求意见

2025年1月17日，EDPB发布了关于数据假名化的指南草案（Guidelines 01/2025 on Pseudonymisation），并向公众征求意见，截止日期至2025年2月28日，EDPB将根据收集到的意见对指南进行修订，最终发布正式版本。草案明确了假名化的三大步骤，包括使用加密技术对数据中的直接或间接标识符进行处理、将去假名化的额外信息与假名化数据分隔存储、以及采取适当的技术管理措施以确保去假名化的额外信息与假名化数据的安全。EDPB在草案中指出，数据控制者可更为灵活地基于“正当利益”处理假名化数据，同时，假名化也可作为适当的补充措施，与标准合同或BCRs相结合，以增强数据跨境传输的合法性。

来源：

https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2025/guidelines-012025-pseudonymisation_en

意大利数据保护机构宣布对DEEPSEEK展开调查

2025年1月30日，意大利数据保护机构Garante宣布对DeepSeek展开调查，重点审查其在意大利境内处理用户个人数据的具体情况，调查内容涵盖数据来源、处理目的、存储期限以及采取的技术和管理安全措施等，旨在核实DeepSeek的运营方所开展的数据处理活动是否符合意大利及欧盟的数据保护要求。Garante曾于2025年1月24日向DeepSeek旗下杭州和北京子公司发出问询，要求其就训练数据来源、处理个人信息的合法性基础等相关事宜进行回复，但Garante认为前述企业提供的回复不够充分，随后Garante在1月30日发布命令限制DeepSeek在意大利的用户数据处理活动，DeepSeek应用程序也在意大利各类应用商店中随即下架。

来源：

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10097450

法国数据保护机构发布数据传输影响评估指南

2025年1月31日，法国数据保护机构CNIL正式发布《数据传输影响评估（TIA）指南》，以帮助数据出境方评估跨境数据传输的合规性。无论是数据控制者还是处理者，在依据标准合同或是BCRs向欧洲经济区以外的第三国传输个人数据时，数据出境方均应在数据接收方的协助下，对跨境数据传输活动进行评估。基于EDPB发布的指引，CNIL提供了一套系统化的方法，明确了评估的关键步骤，包括识别数据传输活动、评估传输工具、评估接收国的数据保护相关法律、潜在风险及缓解策略等。CNIL也进一步指出，此份指南并不具有强制性，数据出境方可根据实际情况在评估中考虑其他因素，或使用其他方法。

来源：

https://www.cnil.fr/en/transfer-impact-assessment-tia-cnil-publishes-final-version-its-guide

美国商务部工业与安全局发布联网汽车技术禁令

2025年1月14日，美国商务部工业与安全局（BIS）发布最终规则，禁止进口和销售含有中国或俄罗斯相关软硬件的联网汽车。该规则主要针对车辆连接系统（VCS）和自动驾驶系统（ADS），认为如果这些系统是由与中国或俄罗斯有足够联系的实体设计、开发、制造或供应的，会对美国国家安全造成不可接受的风险。最终规则目前仅适用于乘用车，而不适用于卡车、巴士等商用车，最终规则要求从2027年车型年开始，禁止进口或销售包含相关软件的联网汽车；从2030年车型年开始，或对于无车型年份的设备从2029年1月1日起，禁止进口相关硬件。此外，即使车辆是在美国制造的，与中国或俄罗斯有联系的制造商也不得在美国销售包含这些技术的联网汽车。该规则将于2025年3月17日生效。

来源：

https://www.bis.gov/press-release/commerce-finalizes-rule-secure-connected-vehicle-supply-chains-foreign-adversary

特朗普撤销拜登人工智能政策

2025年1月23日，美国总统唐纳德·特朗普签署行政令，撤销了前总统拜登于2023年发布的人工智能行政令。根据拜登行政令，可能对国家安全、经济造成影响的人工智能系统的开发者应与美国政府分享安全测试结果及其他关键信息，NIST应制定人工智能安全测试标准，其他联邦机构则应对人工智能可能带来的各项风险进行评估，旨在促进人工智能发展的同时尽可能降低相关风险。特朗普的新命令更强调减少政府对人工智能开发的干预，鼓励私营部门的创新，以维护美国的技术领导地位。特朗普政府曾在2019年首次签署人工智能行政令，并在其首个任期内推动人工智能研究投资，但目前尚不清楚特朗普将在这个任期内采取怎样的监管措施。

来源：

https://www.whitehouse.gov/fact-sheets/2025/01/fact-sheet-president-donald-j-trump-takes-action-to-enhance-americas-ai-leadership/

美国参议院提出《2025年美国人工智能能力与中国脱钩法案》

2025年1月29日，美国参议员乔什·霍利提出《2025年美国人工智能能力与中国脱钩法案》（Decoupling America's Artificial Intelligence Capabilities from China Act of 2025）。该法案旨在全面切断美国与中国在人工智能领域的合作，以遏制中国在人工智能技术方面的发展。法案主要内容包括禁止美国个人、企业、研究机构向中国出口或从中国进口AI及生成式AI技术和知识产权；禁止美国个人及机构向中国转移AI研究，包括与中国实体合作或在华开展AI研发；禁止美国资本投资或资助与中国AI研究相关的机构。目前，该法案已提交参议院司法委员会审议，目前无共同提案人，众议院亦无相应法案。

来源：

https://www.hawley.senate.gov/wp-content/uploads/2025/01/Hawley-Decoupling-Americas-Artificial-Intelligence-Capabilities-from-China-Act.pdf

香港私隐专员公署发布《云端运算指引》

2025年1月9日，香港专员公署发布了《云端运算指引》，以协助使用云计算的机构加强个人资料私隐的保护。《云端运算指引》要求使用云计算的机构在持有、处理或使用个人资料时依然需要遵守《个人资料（私隐）条例》，且在聘用云服务供应商时，尤其需要关注保障资料原则之第2（3）、3、4项原则，以及《个人资料（私隐）条例》第65（2）条的要求。同时，《指引》建议机构在聘用云服务供应商时应与其签订适当的服务协议，以确保云服务供应商的个人资料私隐保护能力可满足机构的需求。如果云服务供应商会在香港以外的司法辖区存储或处理个人资料的，机构还应确保有关的跨境资料转移符合相关司法管辖区域的资料保护法项下的跨境要求。

来源：

https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/IL_cloud_c.pdf

香港私隐专员公署发布数据泄露事件调查报告

2025年1月23日，香港私隐专员公署发布了香港乐施会数据泄露事件的调查结果。2024年7月13日，香港乐施会向香港私隐专员公署通报了数据泄露事件，称因其数据系统遭到勒索软件攻击而发生了数据泄露事件，该事件造成了约55万人的个人信息泄露，被泄露的个人信息类型包括姓名、香港身份证号、护照号、信用卡及银行账户号码等。经调查，香港私隐专员公署认为数据泄露事件的发生是因为香港乐施会未采取足够有效的措施以保证其数据系统的安全，亦没有制定有效的机制及时销毁超过保存期限的个人信息，因而违反了《个人资料（私隐）条例》保障资料原则之第4（1）项、第2（2）项原则。为此，香港私隐专员公署向乐施会发送了执行通知，指示其采取纠正措施以防止类似事件再次发生。

来源：

https://www.pcpd.org.hk/sc_chi/enforcement/commissioners_findings/files/r25_13294_c.pdf

KAKAO PAY等公司因跨境数据传输违规被PIPC处罚

2025年1月31日，韩国个人信息保护委员会PIPC发布了对Kakao Pay、Apple以及Alipay的处罚决定。经PIPC调查，Apple委托Alipay提供系统集成服务，包括处理KaKao Pay提供的用户个人信息，以计算相关用户的NSF（Non-Sufficient Funds）评分，即一种能显示用户在使用Apple应用商店时是否具有交易所需资金的分数。在此过程中，Kakao Pay在未获得用户同意的情况下，将用户的个人信息跨境传输至韩国境外，Apple也并未在隐私政策中披露其委托了海外实体处理用户的个人信息。因此，PIPC认为Kakao Pay与Apple均违反了韩国《个人信息保护法》中有关个人信息跨境传输的相关要求，并对其分别处以59.7亿韩元、24亿韩元的罚款。同时，PIPC认为Alipay的NSF计算模型是建立在非法获取的个人信息基础上的，故要求销毁该模型。

来源：

https://www.pipc.go.kr/eng/user/ltn/new/noticeDetail.do?bbsId=BBSMSTR_000000000001&nttId=2771

巴西ANPD要求TFH停止收集虹膜数据

2025年1月25日，巴西国家数据保护局（ANPD）发文要求Tools for Humanity（TFH）停止在巴西以加密货币或财务补偿方式收集用户虹膜数据。TFH声称，收集虹膜数据是为了创建World ID，这是一种基于虹膜生物识别技术的数字身份验证系统，旨在为用户提供全球通用的数字身份。然而，ANPD认为TFH以加密货币作为数据收集条件，可能影响用户自由意愿，不符合巴西《通用数据保护法》（LGPD）关于敏感数据处理的要求。此外，TFH的数据处理方式存在不可逆性，用户无法撤回同意或删除数据，进一步加剧了数据保护风险。

来源：

https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-determina-adocao-de-medidas-preventivas-a-x-corp

声 明

文章仅代表作者观点，不视为安杰世泽律师事务所正式法律意见或建议。如需转载或引用请注明出处。如有任何问题，欢迎与本所联系。