月刊主编:杨洪泉、沈飏
01 中国法律观察
立法追踪
Regulations on the Determination and Management of State Secrets
国家秘密定密管理规定
《国家秘密定密管理规定》自2025年5月1日起施行。该规定以《中华人民共和国保守国家秘密法》为依据,旨在规范国家秘密的确定、变更、解除及监督管理工作。《规定》共十章五十六条,系统涵盖定密依据、定密权限、定密责任人、国家秘密确定、国家秘密变更、国家秘密解除、定密监督、法律责任等内容。
来源:
https://www.gov.cn/gongbao/2025/issue_12006/202504/content_7021455.html
Q&A on Data Export Regulations
数据出境安全管理政策问答
2025年4月9日,国家互联网信息办公室发布“数据出境安全管理政策问答(2025年4月)”。该问答对于数据出境安全管理制度、不同地区负面清单的一致性、负面清单的适用范围、个人信息出境必要性、重要数据识别、重要数据出境、外资企业参与行业技术标准制定、集团公司跨境传输个人信息、申请延长数据出境安全评估结果有效期等问题予以回应。
来源:
https://www.cac.gov.cn/2025-04/09/c_1745906286623776.htm
Mobile Internet: TC260's Guidelines for Minor Mode
网络安全标准实践指南——移动互联网未成年人模式技术要求
2025年4月2日,全国网络安全标准化技术委员会颁布《网络安全标准实践指南——移动互联网未成年人模式技术要求》。该指南适用于移动互联网应用程序提供者、移动智能终端制造商和移动互联网应用程序分发平台提供者,对其研发和应用未成年人模式提出了技术要求,可作为监管部门、第三方评估机构对未成年人网络保护的监督、管理、评估的参考。
来源:
https://www.tc260.org.cn/front/postDetail.html?id=20250402160625
Draft Data Circulation and Exchange Contracts
数据流通交易合同示范文本(征求意见稿)
2025年4月18日,为促进数据交易合规,国家数据局发布其制定的数据流通交易合同示范文本(含数据提供合同、数据委托处理合同、数据融合开发合同和数据中介合同),并向社会征求意见。有关合同将作为未来参与数据流通交易活动中的重要参考。
来源:
https://mp.weixin.qq.com/s/pPN5i_bcV1x4Vlilin5bRA
Public Consultation on Draft Trade Secret Protection Regulations
《商业秘密保护规定(征求意见稿)》
2025年4月25日,市场监管总局颁布《商业秘密保护规定(征求意见稿)》。该征求意见稿以《关于禁止侵犯商业秘密行为的若干规定》为基础,结合《反不正当竞争法》修订意见,意图明确商业秘密的有关规定,特别是:解释商业秘密的概念与构成要件;构建经营者、市场监管部门、行业组织多方参与的商业秘密保护体系;细化《反不正当竞争法》中对于侵犯商业秘密的行为的规定;规定对涉嫌侵犯商业秘密行为的查处及法律责任。
来源:
https://www.samr.gov.cn/hd/zjdc/art/2025/art_0eb6d32af2e3486e98a8543d5447a314.html?sessionid=1827439451
6 National Standards Concerning Data Security & AI
6项网络安全国家标准获批发布
2025年4月30日,全国网络安全标准化技术委员正式发布6项国家标准。本次发布的标准聚焦于数据安全、生成式人工智能安全等关键领域,6项国家标准的名称分别为:GB/T 45574—2025《数据安全技术 敏感个人信息处理安全要求》、GB/T 45576—2025《网络安全技术 网络安全保险应用指南》、GB/T 45577—2025《数据安全技术 数据安全风险评估方法》、GB/T 45652—2025《网络安全技术 生成式人工智能预训练和优化训练数据安全规范》、GB/T 45654—2025《网络安全技术 生成式人工智能服务安全基本要求》、GB/T 45674—2025《网络安全技术 生成式人工智能数据标注安全规范》。
来源:
https://www.tc260.org.cn/front/postDetail.html?id=20250430142612
Zhejiang Free Trade Zone: Data Export Negative List and Management Measures
浙江自贸区颁布数据出境负面清单管理办法、负面清单
2025年4月10日,浙江省互联网信息办公室、省商务厅、省数据局联合发布了《中国(浙江)自由贸易试验区数据出境负面清单管理办法(试行)》及《中国(浙江)自由贸易试验区数据出境管理清单(负面清单)(2024版)》。该负面清单及管理办法聚焦浙江自贸试验区优势产业,特别是电子商务(企业对企业)及清结算行业,明确了需进行数据出境安全评估及个人信息出境标准合同备案的数据范围。
来源:
https://www.zjwx.gov.cn/art/2025/4/10/art_1673564_58876604.html
典型案例
Nanchong CAC Investigate Two Cybersecurity Violations
南充市网信办依法查处两起网络安全违法行为
2025年4月1日,南充市互联网信息办公室依法查处两起违反《中华人民共和国网络安全法》的典型案例。
案例一中,某行政单位OA系统存在严重安全隐患,未完成网络安全等级保护备案,系统日志留存周期不足6个月,存在“弱口令”漏洞,且前述问题导致境外黑客组织入侵窃取信息,最终被处以警告并责令改正的行政处罚。
案例二中,某学校官方网站存在黑链植入、日志存档缺失、高危系统漏洞等多项问题,网信办曾三次监测到违法链接并印发网络安全问题整改提醒函,但该校均未及时整改。南充市网信办依法对其作出责令改正并处两万元罚款的处罚。
来源:
https://mp.weixin.qq.com/s/q876czBlFMdTJ6CjfGYWCw
Douyin v B612: AI Model Structures and Parameters Are Protected by Law
抖音诉B612:全国首例AI模型结构和参数保护案
北京抖音科技有限公司(简称“抖音”)主张亿睿科信息技术(北京)有限公司(即图片软件B612的运营方,简称B612)未经许可,直接使用了其变身漫画特效模型的结构和参数,构成侵权。经比对,双方模型在结构、卷积层数据等方面具备高度同一性,B612未能提交独立研发模型或与涉案模型存在实质性差异的证据,为能对与抖音模型之间存在的高度相似作出合理解释。法院最终认定B612构成不正当竞争,赔偿抖音损失及合理开支。此案明确了AI模型的结构和参数的可保护性,探索了基于竞争利益的保护路径,具有重大意义。
来源:
https://www.ipeconomy.cn/dongtai/9250.html
National Data Administration: 2025 Pilot Programme for Trusted Data Spaces
国家数据局组织开展2025年可信数据空间创新发展试点工作
2025年4月7日,国家数据局发布通知,组织开展 2025年可信数据空间创新发展试点工作,促进数据要素合规高效流通。可信数据空间是联接多方主体,实现数据资源共享共用的一种数据流通利用基础设施。此次试点包括新材料、科技创新、能源电力、交通物流、绿色低碳、新能源汽车、矿产、医疗健康、卫星、高端装备、农业等多个领域。
来源:
https://www.nda.gov.cn/sjj/zwgk/tzgg/0407/20250407172325097704036_pc.html
Shanghai CAC Impose Penalties on Medical Service-related Internet Enterprises
上海网信办处罚一批医疗服务类互联网企业
2025年4月28日,上海网信办发布一批针对医疗服务类互联网企业(主要从事医疗软件开发与维护、医疗服务培训、数字健康服务等)的处罚结果。上海网信办在“亮剑浦江·2025”个人信息权益保护专项执法行动中,调查出有关企业未依法履行网络安全、数据安全保护义务,所属系统存在网络安全漏洞,被境外IP访问并窃取,发生个人信息泄露情况。上海网信办特别强调了部分医疗服务类互联网企业存在个人信息制度不规范不健全、安全防护不严密、存储不合规等问题。
来源:
https://mp.weixin.qq.com/s/-EznCqFnu_4vCBZDSJhC7g
官方通告
Shanghai 2025 IoV Network and Data Security Action
上海2025年车联网网络和数据安全专项行动
2025年4月22日,上海市通信管理决定开展“铸盾车联”2025年车联网网络和数据安全专项行动。专项行动重点对象涵盖生产、销售智能网联汽车产品的企业(含智能网联汽车生产企业、具有智能网联功能的车载终端软硬件生产企业,不含代理销售企业)、运营车联网相关平台的服务企业(含车联网服务平台运营商、车载应用平台运营商、OTA升级服务提供商、导航系统服务提供商、电子地图服务提供商、车载信息应用服务提供商、车联网卡服务提供商等)等。主要任务包括落实网络和数据安全主体责任,加强车联网平台、智能网联汽车产品、车联网数据安全等多方面管理,以及做好车联网安全应急处置、安全漏洞管理等工作。
来源:
https://shca.miit.gov.cn/zwgk/zcwj/wjfb/art/2025/art_948a4eafae5e46d4bf2d483c4f049c0b.html?sessionid=1974072727
National Data Administration's Demonstration Scenarios for Public Data Utilisation
国家数据局发布公共数据利用示范场景
2025年4月28日,国家数据局在数据资源开发利用和数据产业发展工作座谈会上,正式发布重点建设的公共数据“跑起来”示范场景,覆盖教育教学智能体、高速公路应急救援、智慧农田建设、数据赋能精准医疗、黄河流域生态治理、科研范式创新等众多领域。国家数据局表示下一步将会同相关地方和部门更大力度推动公共数据资源开发利用,释放数据价值。
来源:
https://mp.weixin.qq.com/s/VfqSuAcMyxI-bMzMoL82bA
02 出海法律观察
聚焦欧洲
欧盟委员会制定关于通过区块链技术处理个人数据的指南
2025年4月,欧洲数据保护委员会(EDPB)在全体会议上通过了《关于通过区块链技术处理个人数据的指南》并公开征求意见。区块链是一种分布式数字账本系统,可确认交易并确定数字资产的所有权。随着区块链技术的广泛应用,EDPB认为有必要帮助组织在使用这些技术时遵守《通用数据保护条例》(GDPR)。指南解释了区块链的工作原理,评估了不同架构及其对个人数据处理的影响,强调在设计阶段实施技术和组织措施的重要性,并要求组织在使用区块链技术处理个人数据前进行数据保护影响评估(DPIA)。此外,还强调了保护个人数据、确保数据最小化以及保障个人权利的重要性。该指南将公开征求意见至2025年6月9日。EDPB还决定与人工智能办公室密切合作,起草关于《人工智能法》与欧盟数据保护法规之间相互作用的指南。
来源:
https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2025/guidelines-022025-processing-personal-data_en
欧盟委员会发布2024年个人数据保护工作报告
2025年4月23日,欧洲数据保护委员会(EDPB)发布了2024年个人数据保护工作报告。2024年,EDPB通过多种举措强化了其在数据保护领域的作用,包括制定2024-2027战略,明确加强执法、促进合规、应对新兴技术挑战等优先事项。该战略围绕有效执行数据保护、支持合规、增强合作以及在数字时代推广数据保护四大战略支柱展开。具体而言,EDPB发布了一系列意见和指南,涵盖大型在线平台的“同意或付费”模式、机场人脸识别技术应用、人工智能模型的数据保护等关键议题,为组织实现和维持GDPR合规提供了重要资源。此外,EDPB还通过年度利益相关者调查、举办利益相关者活动等方式,增强了指南的透明度、清晰度和有效性。
在执法合作方面,EDPB加强了数据保护机构(DPA)之间的协作,发起了第三次协调执法行动,专注于访问权,并通过专家支持库(SPE)提升DPA的执法能力。2024年,欧盟各DPA共开出超过12亿欧元的罚款,以确保各行业对GDPR的遵守。
来源:
https://www.edpb.europa.eu/our-work-tools/our-documents/annual-report/edpb-annual-report-2024_en
欧盟委员会对苹果罚款5亿欧元,对Meta罚款2亿欧元
2025年4月23日,欧盟委员会宣布苹果和Meta因违反《数字市场法》(DMA)被分别处以5亿欧元和2亿欧元的罚款。苹果被认定违反了DMA规定的反引导义务,限制了应用开发者在App Store外告知用户替代方案的能力;Meta则因未能为消费者提供使用较少个人数据的服务选择而违规。委员会要求苹果解除技术与商业限制,并要求Meta改变其“同意或付费”的广告模式。此外,Meta的Facebook Marketplace因不符合DMA相关标准,不再被指定为重要网关服务。两家公司需在60天内遵守委员会的决定,否则将面临额外的定期罚款。
来源:
https://ec.europa.eu/commission/presscorner/detail/en/ip_25_1085
爱尔兰数据保护当局对字节跳动处以5亿欧元罚款
2025年5月初,爱尔兰数据保护委员会(DPC)对TikTok处以5.3亿欧元罚款,并要求其采取纠正措施,原因是其将欧洲经济区(EEA)用户数据传输到中国的行为违反了《通用数据保护条例》(GDPR)。DPC发现TikTok未能验证、保证和证明中国法律为EEA用户数据提供了与欧盟相当的保护水平,且其2021年隐私政策未披露数据传输至第三方具体国家及远程访问细节,透明度未达标。TikTok被要求在6个月内使其数据处理符合规定,否则将暂停其数据传输。此外,调查中还发现TikTok存在信息瞒报行为:TikTok在调查期间曾声称未在中国服务器上存储EEA用户数据,但2025年4月又承认曾将少量欧盟用户数据存储于中国服务器,与其此前声明矛盾,DPC表示对该问题严肃处理,考虑追加处罚。
来源:
https://www.dataprotection.ie/en/news-media/latest-news/irish-data-protection-commission-fines-tiktok-eu530-million-and-orders-corrective-measures-following
英国一家律所因数据泄露违规被罚60,000英镑
2025年4月16日,一家英国律师事务所因未采取适当措施确保个人数据安全、以及未及时报告数据泄露事件,而被英国信息专员办公室(ICO)处以6万英镑的罚款(约合57.6万元人民币)。
ICO指出,该律所专门处理与犯罪、军事、家庭欺诈、性犯罪以及针对警察的行动相关的法律事务,其业务性质使其持有大量高度敏感的个人数据,包括受法律保护的信息。2022年,该律所发生了一起数据泄露事件,导致超过32GB的数据泄露,泄露数据中包含可识别个人身份的隐私信息。ICO调查发现,该律所未能采取适当措施确保个人数据的安全,并且该律所在意识到数据泄露后未能及时向ICO报告,直到43天后才通知监管机构。该律所的行为违反了英国GDPR第5(1)(f)条,第32条,及第33(1)条。
来源:
https://ico.org.uk/media2/pr4bg5hq/dpp-law-ltd-monetary-penalty-notice.pdf
北美观察
美国正式实施限制受关注国家获取美国数据的最终规则
2025年4月8日,美国司法部此前根据拜登签署的14117号行政命令发布的《防止受关注国家或涵盖人员访问美国敏感个人数据和政府相关数据的规定》(以下简称“《最终规则》”)正式生效,禁止和限制美国个人或组织向包括中国(含港澳地区)在内的六个受关注国家或特定人员传输“大量美国敏感个人数据”和“政府相关数据”,违反《规则》可能导致严重的民事处罚(每项违规行为的罚款数额最高可达368,136美元,或交易金额的两倍,以较高者为准)以及刑事处罚(最高20年监禁和最高100万美元的罚款)。
2025年4月11日美国司法部发布了一系列配套的监管文件,包括《合规指南》、《常见问题解答》以及《实施和执法政策》,以配合《最终规则》的生效:
《合规指南》旨在帮助公众理解和遵守《最终规则》,就一些关键定义、禁止和限制的数据传输情况以及建立数据合规体系的要求提供了指导,提供了示范合同条款,并就遵守审计和记录保存要求提出了最佳实践建议;
《常见问题解答》解答了一百多个公众关心常见问题,并会后续视情况进一步更新和补充。
根据《实施和执法政策》,《最终规则》下的民事执法暂缓实施至2025年7月8日,前提是相关方在此期间表现出“善意努力”遵守或逐步实现合规;而《最终规则》下的刑事执法未暂停。
来源:
1.《最终规则》https://www.federalregister.gov/documents/2025/01/08/2024-31486/preventing-access-to-us-sensitive-personal-data-and-government-related-data-by-countries-of-concern
2.《合规指南》https://www.justice.gov/opa/media/1396356/dl
3.《常见问题解答》https://www.justice.gov/opa/media/1396351/dl
4. 《实施和执法政策》https://www.justice.gov/opa/media/1396346/dl?inline
美国更新《儿童在线隐私保护规则》
2025年4月22日,美国联邦贸易委员会(FTC)发布了对《儿童在线隐私保护规则》(COPPA)的重大修订,这些修订将于2025年6月23日生效。受COPPA约束的企业必须在2026年4月22日之前确保符合更新的规则。COPPA最初于1998年颁布,旨在保护儿童的网络隐私。此次修订包括对“混合受众网站或在线服务”的新定义、对“在线联系方式”的修改定义、对“个人信息”定义的扩展、增强的家长通知要求以及新的家长同意机制等内容。此外,COPPA安全港计划也进行了更新,要求公开披露成员名单并向FTC报告额外信息。
来源:
https://www.federalregister.gov/documents/2025/04/22/2025-05904/childrens-online-privacy-protection-rule
美国通过TAKE IT DOWN法案
2025年4月28日,美国众议院全票通过了包含数据隐私和人工智能治理元素的S. 146号法案——TAKE IT DOWN法案,该法案旨在解决非自愿亲密图像(NCII)问题,包括真实和计算机生成的NCII。法案包含刑事和民事条款,刑事方面禁止未经同意发布NCII,民事方面要求相关平台在收到有效请求后48小时内移除NCII。法案明确了NCII的定义,并规定了不同情况下的法律责任和处罚措施,还涉及平台的移除义务和相关争议点。
来源:
https://www.congress.gov/bill/119th-congress/senate-bill/146
洞悉亚太
香港个人资料私隐专员公署发布员工使用生成式人工智能的清单
香港个人资料私隐专员公署2025年3月31日发布《僱员使用生成式AI的指引清单》。该指引旨在协助机构制定内部政策,规范僱员在工作中使用生成式AI的行为,确保符合《个人资料(私隐)条例》的要求。指引建议机构明确僱员使用AI的范围、保障个人资料私隐、确保使用合法合规、预防偏见,并加强数据安全。同时,公署还建议机构在制定员工使用生成式 AI 的内部政策或指引时涵盖以下内容:一是获准使用生成式 AI 的范围,包括明确可使用的工具、用途及适用对象;二是保障个人资料隐私,提供关于输入信息种类与数量、输出信息用途与储存方式、数据保留政策及其它相关内部政策的清晰指示;三是合法及合乎道德的使用及预防偏见,要求员工不得将生成式 AI 工具用于非法或有害活动,强调员工有核实 AI 生成结果准确性、更正及报告带有偏见或歧视结果的责任,并明确何时及如何在 AI 生成结果上加水印/标签;四是数据安全,规定员工可使用的设备、可使用工具的员工类别,要求使用高强度用户凭证、保持严格保安设定,以及根据机构的 AI 事故应变计划报告 AI 事故;五是违反政策或指引的后果,并参照隐私专员公署发布的《模範框架》建议,制定生成式 AI 的管治架构及措施。
来源:
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/guidelines_ai_employees.pdf
韩国个人信息保护委员会宣布对DeepSeek的审查结果
韩国个人信息保护委员会(PIPC)对杭州深度求索人工智能基础技术研究有限公司(DeepSeek)进行了状态审查,并于2025年4月24日宣布了审查结果。DeepSeek在韩国推出其R1大型语言模型(LLM)AI聊天机器人后,引发了隐私担忧。PIPC与韩国互联网与安全局(KISA)合作进行了技术分析,发现DeepSeek存在第三方数据传输流量和隐私政策透明度不足的问题。审查中,DeepSeek提交了韩文版隐私政策,增加了跨境数据传输的法律要求,并阻止了用户输入数据传输至位于中国的北京火山引擎科技有限公司。PIPC建议DeepSeek增强透明度,实施更强有力的保障措施,并指定韩国国内代理。DeepSeek需在10天内接受建议,并在60天内报告实施结果,PIPC将至少两次监督其实施情况。
来源:
https://pipc.go.kr/eng/user/ltn/new/noticeDetail.do?bbsId=BBSMSTR_000000000001&nttId=2819
环球拾遗
沙特阿拉伯《个人数据保护法》实施条例修订草案
2025年4月27日,沙特阿拉伯数据和人工智能管理局(SDAIA)对《个人数据保护法》实施条例修订草案公开征求意见,旨在增强个人数据保护法律框架的清晰度和可操作性。修订内容包括对修改定义、引入隐私政策起草新要求、修订营销信息同意程序、调整直接营销相关义务、更新个人数据保护官责任、数据保护官的任命要求以及明确处理记录和注册要求。征求意见期从2025年4月27日开始,至5月27日结束。
来源:
https://istitlaa.ncc.gov.sa/en/Transportation/NDMO/IRofPDPLAmendments/Pages/default.aspx
以色列隐私保护局就人工智能应用中的隐私保护问题公开征求意见
2025年5月4日,以色列隐私保护局发布了关于“隐私保护法在人工智能系统中的应用”的草案指导方针,公开征求意见。草案阐述了以色列监管机构打算如何解释和执行应用于人工智能(AI)的隐私法律,强调该法律适用于人工智能开发和部署的所有阶段,包括由人工智能生成的信息。草案概述了关键隐私法律原则如何适用于人工智能,包括处理个人数据的法律依据、透明度和向数据主体披露信息、责任、数据安全以及数据主体权利等。草案还涉及了提升披露义务、责任机制、数据安全要求、数据主体权利以及在线个人数据挖掘的限制等关键方面。该草案指导方针在2025年6月5日之前对公众公开征求意见,如果通过,将成为以色列首个专门针对人工智能的权威监管框架。
来源:
https://www.gov.il/BlobFolder/rfp/ai_reg/he/ai%20regu_draft.pdf
月刊概览
往期推荐
点击“阅读原文”查看月刊全部内容。
声 明
文章仅代表作者观点,不视为安杰世泽律师事务所正式法律意见或建议。如需转载或引用请注明出处。如有任何问题,欢迎与本所联系。
