本期内容
国内数据法规政策动态:
一、公安部、国家互联网信息办公室等六部门联合公布《国家网络身份认证公共服务管理办法》
二、工信部发布《儿童手表安全技术要求》强制性国家标准(征求意见稿)
三、自然资源部印发《地理信息数据分类分级工作指南(试行)》
四、国家市场监督管理总局、国家标准化管理委员会发布《GB/T45574-2025 数据安全技术 敏感个人信息处理安全要求》
五、国家数据局综合司印发了《数字中国建设2025年行动方案》
六、全国网络安全标准化技术委员会发布《网络安全标准实践指南——个人信息保护合规审计要求》
七、全国网络安全标准化技术委员会发布《网络安全标准实践指南——个人信息保护合规审计专业机构服务能力要求》
八、上海市临港区印发再保险、国际航运、生物医药3个领域数据出境操作指引
九、广州市人民政府办公厅印发《关于以高水平开放推动服务贸易和数字贸易高质量发展若干措施》
十、广州市政务服务和数据管理局发布《2025年度广州市公共数据开放重点(征求公众意见稿)》
十一、山东省司法厅发布《山东省数字经济促进条例(草案征求意见稿)》
境外数据法规政策动态:
一、欧盟委员会提议简化对中小型企业的GDPR要求
二、法国国家信息与自由委员会发布《教育领域数据泄露应对实用指南》
三、丹麦数据保护局与数字化署联合发布《使用cookies和类似技术指南》
四、欧盟委员会发布《未成年人在线保护指南》草案
五、韩国个人信息保护委员会发布《外国经营者个保法适用指南》
六、欧盟与新加坡签署《数字贸易协定》
七、欧洲数据保护委员会通过《欧洲专利组织数据保护充分性认定草案的意见书》
全球数据监管执法动态:
一、某公司违反《网络安全法》被郑州市网信办行政处罚
二、国家计算机病毒应急处理中心检测发现65款违法违规收集使用个人信息的移动应用
三、TEMU因违反韩国个人信息保护法中跨境传输规定被罚13.866亿韩元
四、ARSAC因违法处理员工地理定位数据被意大利数据保护机构罚款5万欧元
五、因未有效履行《数字服务法》,捷克、西班牙等五国遭欧盟起诉
六、TikTok因数据保护问题被欧盟监管机构罚款5.3亿欧元
国内数据法规政策动态
一、公安部、国家互联网信息办公室等六部门联合公布《国家网络身份认证公共服务管理办法》
2025年5月23日,公安部、国家互联网信息办公室、民政部、文化和旅游部、国家卫生健康委员会、国家广播电视总局等六部门联合公布《国家网络身份认证公共服务管理办法》(以下简称《管理办法》),自2025年7月15日起施行。
《管理办法》共16条,主要规定了四个方面内容:一是明确了国家网络身份认证公共服务及网号、网证的概念、申领方式;二是明确了使用国家网络身份认证公共服务的效力、应用场景;三是强调了国家网络身份认证公共服务平台、互联网平台等对数据安全和个人信息保护的责任;四是对未成年人申领、使用国家网络身份认证公共服务作出特殊规定。
《管理办法》明确网号、网证的自愿使用原则,鼓励有关主管部门、重点行业、互联网平台按照用户自愿原则推广应用网号、网证,但同时保留、提供现有的或者其他合法方式进行登记、核验身份。鼓励互联网平台接入国家网络身份认证公共服务,但应当保障未使用网号、网证的用户与使用网号、网证的用户享有同等服务。
《管理办法》严格依照《个人信息保护法》等规定,充分保护公民个人信息权益。在信息收集方面,对用户选择使用网号、网证登记、核验真实身份的,除法律、行政法规另有规定或者用户同意外,互联网平台不得要求用户另行提供明文身份信息。国家网络身份认证公共服务平台所收集的信息仅限网络身份认证所必要的信息,不收集其他信息,不会影响用户正常使用互联网应用。在信息提供方面,国家网络身份认证公共服务平台坚持“最小化提供”原则,对依法需要核验用户真实身份但无需留存法定身份证件信息的,仅向互联网平台提供核验结果;对依法确需获取、留存用户法定身份证件信息的,经用户单独同意,国家网络身份认证公共服务平台可以向互联网平台提供必要的明文身份信息。对法律、行政法规规定应当履行协助义务的,国家网络身份认证公共服务平台应当依法提供相关信息,但提供的信息仅限网号、网证对应的真实身份信息和认证日志信息。
目前,国家网络身份认证公共服务平台已经上线运行。
来源:网信中国
全文链接:https://mp.weixin.qq.com/s/Q0K1PGAcmmspIrblkrlrxA
二、工信部发布《儿童手表安全技术要求》强制性国家标准(征求意见稿)
2025年5月14日,中国工业和信息化部公开征求对《儿童手表安全技术要求》强制性国家标准征求意见稿)的意见。标准对电池安全、网络安全、网络沉迷防治、付费管控等多方面提出具体要求,在网络安全部分提出手表不可预置生成式语音问答应用程序。
根据定义,儿童手表指供3周岁及以上,14周岁以下儿童使用的手表。儿童智能手表为具备信息处理如通话、定位等功能,且满足儿童特定需求的儿童手表。
该标准编制说明指出,考虑到消费者对儿童智能手表在信息安全方面的关注度高,产品存在可能的非法窃听、信息泄漏等信息安全隐患,在标准中规定了信息安全、数据安全和个人信息保护、内容安全的要求。
其中,信息安全要求从六个方面保证产品的安全性,要求手表具备应用程序或安装程序的安全管理机制,可以识别防范恶意程序被预置或安装等。
数据安全和个人信息保护要求从八个方面保证产品的安全性,提出儿童智能手表应制定专门的儿童个人信息处理规则,并在儿童智能手表操作系统或儿童智能手表管理端相关界面公开展示,手表不可向应用程序默认开放麦克风、摄像头、定位等权限等。
内容安全要求从十个方面保证产品的安全性,提出手表要建立儿童专属内容池,手表不可预置生成式语音问答应用程序等。
该标准还在生物特征识别方面做出规定,要求已注册用户可以注销该功能,还要求手表具备防假体呈现攻击检测功能,通过呈现攻击检测,为使用生物特征识别技术进行身份验证的手表提供安全保障。
来源:中国新闻网
全文链接:
https://www.miit.gov.cn/cms_files/filemanager/1226211233/attach/20255/79a07e6f5ee8466cac065d70bf45ee6b.rar
三、自然资源部印发《地理信息数据分类分级工作指南(试行)》
2025年5月7日,自然资源部印发《地理信息数据分类分级工作指南(试行)》(以下简称《指南》),旨在为加强地理信息数据安全保护,促进地理信息数据流通交易和开发利用。
《指南》包括四方面主要内容。一是明确地理信息数据分类分级原则。在数据分类、数据分级、目录管理与更新等各环节均应遵循“科学实用、综合判定、动态更新”原则。二是确定数据分类规则。将地理信息数据分为基础地理信息数据、遥感影像数据和专题地理信息数据三大类,大类下再细分若干中类,同时可根据数据管理实际和应用服务场景再细化分类。三是提出数据分级规则。确定了识别地理信息数据分级因素、开展数据影响分析和综合评估定级的分级规则,同时给出了重要数据、核心数据识别的判定指标。四是明确分类分级管理要求。规定了地理信息重要数据目录申报、审核、认定等相关工作程序,以及动态更新情形与更新管理等若干要求。
来源:自然资源部
四、国家市场监督管理总局、国家标准化管理委员会发布《GB/T 45574-2025数据安全技术 敏感个人信息处理安全要求》
2025年4月25日,国家市场监督管理总局、国家标准化管理委员会发布《GB/T 45574-2025数据安全技术 敏感个人信息处理安全要求》(以下简称《要求》),旨在规范敏感个人信息处理活动,明确识别标准与安全操作规范。
《要求》核心内容包括:
1.敏感个人信息识别与分类:明确易侵害人格尊严、危害人身或财产安全的信息为敏感个人信息,涵盖生物识别、宗教信仰、医疗健康、金融账户、行踪轨迹、未成年人信息等8类,同时关注信息汇聚后的风险。
2.通用安全处理规则:
(1)在收集与同意方面,企业需通过弹窗、短信等方式单独告知个人信息的处理目的、范围及可能影响,不得通过欺诈、误导等手段非法收集信息。若基于个人同意处理敏感个人信息,必须取得明确的单独同意,不得设置捆绑授权。同时,对于持续性的数据收集行为,应设立合理的提示机制,确保用户持续知情。
(2)在安全保护措施方面,企业应建立敏感信息目录并分类管理,采用加密存储与传输、访问控制、日志审计等技术手段,确保数据处理过程安全可控。若处理对象涉及10万人以上的敏感个人信息,应指定专门的个人信息保护负责人,并定期开展合规审计。此外,敏感个人信息如需跨境传输,必须严格符合国家相关法律法规的要求。
(3)特殊类别处理要求:生物识别信息需提供非生物识别替代方式,并在使用后删除原始数据,科研用途须取得书面单独同意;宗教信仰信息原则上禁止处理,确需内部使用的应获取单独授权,且不得用于构建用户画像;未成年人信息收集时必须验证监护人身份,保障其查阅、更正、删除等权利,并公开处理规则;金融账户与医疗健康数据实施分类分级保护,严格限制敏感要素存储,展示时需进行去标识化处理。通过多维度规范,强化对特殊群体和敏感数据的全周期保护。
3.附录支持:细化敏感信息类别(如基因、人脸、征信等),提供书面同意模板,明确授权书内容与流程。
来源及全文链接:全国标准信息公共服务平台
http://c.gb688.cn/bzgk/gb/showGb?type=download&hcno=F9F3A2EBF49E9B4D73AD8C8912986D5A
五、国家数据局综合司印发了《数字中国建设2025年行动方案》
2025年5月16日,国家数据局综合司印发了《数字中国建设2025年行动方案》(以下简称《行动方案》),要求各地区结合实际认真贯彻落实。《行动方案》是国家数据局首次向地方数据管理部门印发的指导开展数字中国建设的文件。
《行动方案》提出,到2025年底,数字中国建设取得重要进展,数字领域新质生产力不断壮大,数字经济发展质量和效益大幅提升,数字经济核心产业增加值占国内生产总值比重超过10%,数据要素市场建设稳步推进,算力规模超过300EFLOPS,政务数字化智能化水平明显提升,数字文化建设跃上新台阶,数字社会精准化、普惠化、便捷化取得显著成效,数字生态文明建设取得积极进展,数字安全保障能力全面提升,数字治理体系更加完善。
《行动方案》部署了体制机制创新、地方品牌铸造、“人工智能+”、基础设施提升、数据产业培育、数字人才培育、数字化发展环境优化、数字赋能提升等8个方面的重大行动。
《行动方案》强调,各地要将数字化发展摆在本地区工作重要位置,完善数据管理工作机制。各省级数据管理部门要充分发挥职能作用,会同相关部门建立统筹推进机制,明确责任分工,推动《行动方案》落地见效。各地要深入开展试点试验,及时评估试点试验效果,不断总结经验,加强宣传推广,充分发挥试点示范引领作用。
来源:国家数据局
六、全国网络安全标准化技术委员会发布《网络安全标准实践指南——个人信息保护合规审计要求》
2025年05月19日,全国网络安全标准化技术委员会发布《网络安全标准实践指南——个人信息保护合规审计要求》(以下简称《审计要求》)。《审计要求》适用于个人信息处理者和专业机构开展个人信息保护合规审计活动。旨在指导个人信息保护合规审计活动,保护个人信息权益。
《审计要求》是关于个人信息保护合规审计工作的实践指南。提出了个人信息保护合规审计原则,规定了个人信息保护合规审计的总体要求、实施流程、内容和方法。主要内容包括:
1.适用范围:适用于所有个人信息处理者(如企业、机构)及第三方专业审计机构。覆盖个人信息处理全生命周期,包括收集、存储、使用、共享、跨境传输等场景;
2.原则:合法性、独立性、客观性、公正性、保密性及专业性;
3.审计流程:合规审计分为五个阶段,准备阶段(确定范围、组建审计组、制定方案)、实施阶段(收集证据、形成底稿、确认问题)、报告阶段(编制报告并签字,内部机构由负责人签字,专业机构需加盖公章)、整改阶段(跟踪问题整改)及归档阶段(保存审计档案至少3年),形成从规划到闭环管理的全流程规范;
4.重点审计内容:包括个人信息处理合法性(如敏感信息需单独同意、未成年人信息需监护人同意)、透明度(显著告知处理规则)、跨境传输安全评估、自动化决策合规性(提供拒绝选项)、数据生命周期管理(如保存期限届满删除)、内部制度完善性(权限控制、应急响应)及技术措施有效性(加密、去标识化);
5.人员能力要求:初级(2年经验)、中级(3年经验)、高级(4年经验)审计人员需具备对应法规知识及项目经验;
6.配套工具:提供审计证据清单(附录A)、底稿模板(附录B)、报告模板(附录C),规范操作流程。
来源及全文链接:全国网络安全标准化技术委员会秘书处
https://www.tc260.org.cn/upload/2025-05-26/1748255158535034574.pdf
七、全国网络安全标准化技术委员会发布《网络安全标准实践指南——个人信息保护合规审计专业机构服务能力要求》
2025年5月19日,全国网络安全标准化技术委员会发布《网络安全标准实践指南——个人信息保护合规审计专业机构服务能力要求》(以下简称《能力要求》),旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题,宣传网络安全相关标准及知识,提供标准化实践指引。
《能力要求》适用于个人信息处理者和专业机构开展个人信息保护合规审计活动,从基本条件、管理能力、专业能力、人员能力、场所与设备资源能力五个方面规范了专业机构提供个人信息保护合规审计服务的能力要求,可用于规范专业机构个人信息保护合规审计活动。
主要内容包括:
1.适用范围:规定专业机构开展个人信息保护合规审计服务的能力要求,适用于指导专业机构建设相关服务能力,也为个人信息处理者选择审计机构提供参考。
2.能力要求:基本条件方面,明确机构需满足注册地、法人资格、人员国籍及背景审查要求,且无重大违规记录;管理能力上,要求建立责任制度、人员管理机制,实施风险分析与应对措施,并具备业务持续性保障体系(包括培训、投诉处理及持续改进);专业能力需涵盖法律法规与标准规范知识,能够识别个人信息处理全流程环节及相关方,验证保护措施有效性并掌握审计判别尺度;人员能力规定需签订正式劳动合同,配置足够数量且层级合理的合规审计人员,并严格背景审查;场所与设备资源能力则明确独立办公场所、安全环境及必要设备设施的配备与管理标准,确保物理与数据安全防护到位。
3.附录A:将个人信息保护合规审计人员分为高、中、初三个等级,分别规定了不同等级人员在专业知识、合规审计能力、沟通协调、报告与文档管理等方面的能力要求。
来源及全文链接:全国网络安全标准化技术委员会秘书处
https://www.tc260.org.cn/upload/2025-05-26/1748244648160019892.pdf
八、上海市临港区印发再保险、国际航运、生物医药3个领域数据出境操作指引
2025年5月12日,为进一步落实《促进和规范数据跨境流动规定》等文件精神,临港新片区根据上海市委、市政府的工作部署,编制数据出境操作指引,构建“负面清单+操作指引”相结合的数据跨境流动新机制。旨在对《促进和规范数据跨境流动规定》中豁免的典型场景予以细化指引,与负面清单相配套共同解决企业数据跨境合规性问题。
本轮操作指引围绕上海“五个中心”建设的重点领域,聚焦再保险、国际航运、生物医药3个领域,内容包括说明、场景名称、场景描述、数据基本特征与描述与备注5个方面。其中,再保险领域包括财产险再保险、人身险再保险等3大场景11个子场景,国际航运领域包括国际集装箱舱位交易、船检和船舶管理等5个领域,生物医药领域包括组织商业合作伙伴管理、跨境购买药品等9个场景。有合规化需求的数据处理者可通过临港新片区数据跨境服务中心进行咨询,并通过数据便捷流通公共服务管理平台申报备案。
下一步,临港新片区将继续积极对接国际高标准经贸规则,深化数据跨境流动机制,根据相关政策要求和市场主体需求持续迭代和新增更多领域操作指引,更好服务市场主体的数据跨境需求。
来源:上海临港
九、广州市人民政府办公厅印发《关于以高水平开放推动服务贸易和数字贸易高质量发展若干措施》
2025年5月7日,广州市人民政府办公厅发布《关于以高水平开放推动服务贸易和数字贸易高质量发展若干措施》(以下简称《若干措施》),旨在深化服务贸易和数字贸易领域改革、开放、创新、合作,健全创新发展支撑和促进体系,实现服务贸易和数字贸易规模增长、结构优化、效益提升、实力增强。
《若干措施》紧紧围绕落实国家关于服务贸易和数字贸易的新要求和新任务,共提出6个方面22项措施。
在推进数据跨境安全有序流动方面。《若干措施》规定要夯实新型数据基础设施底座,支持搭建国际数据专用通道、专用科研网络,争取扩大国际互联网出口带宽,探索建设算力服务平台,提升全球数源中心服务能力,进一步巩固广州国际信息枢纽地位。加快推进南沙(粤港澳)数据服务试验区建设,在南沙自贸区实施数据跨境负面清单,在国家数据跨境传输安全管理制度框架下,建立健全穗港澳跨境数据流动交易机制。支持粤港澳大湾区数据保护和数据跨境服务平台建设,探索设立数据出境综合服务中心。探索数据跨境服务,协同港澳开展数据托管、融合计算、隐私计算、数据预处理和隐私保护等服务,推动与港澳在商事登记、社会信用、社会保险、食品安全、医疗健康、商品溯源、跨境支付等领域建立数据跨境共享互通互认机制,打造数据跨境应用场景。
来源及全文链接:广州市人民法院
https://www.gz.gov.cn/zwgk/fggw/sfbgtwj/content/post_10251965.html
十、广州市政务服务和数据管理局发布《2025年度广州市公共数据开放重点(征求公众意见稿)》
2025年5月20日,广州市政务服务和数据管理局发布《2025年度广州市公共数据开放重点(征求公众意见稿)公开征求意见,旨在推动公共数据开放,优先开放与民生紧密相关、社会需求迫切的数据。
2025年度,广州计划在多个领域推进公共数据开放,主要内容如下:
经济建设领域,基础经济方面将开放宏观经济、能源价格等数据;产业发展方面聚焦战略性新兴产业、技术专利等数据;市场运行方面重点开放对外贸易、外商投资等数据;企业人力方面开放企业登记注册、人事档案管理等数据。
道路交通领域,交通运输方面开放道路运输、基础设施(除桥梁外)等数据;交通安全方面开放交警支队基础信息、交通违法行为处罚等数据。
资源环境领域,自然资源方面开放生物资源、矿产资源等数据;生态环境方面开放水、大气环境质量及污染源排放监测数据。
民生服务领域,机构团体方面开放社会组织机构法人登记证书信息等;住房保障方面开放各类房源交易及租赁数据。
医疗卫生方面开放疫苗接种、医护人员执业资格统计等数据;旅游文化方面开放旅游商品、接待旅客数量统计等数据。
教育科技领域,教育发展方面开放各类学校名单、教育收费等数据;科技创新方面开放大学科技园等科技创新载体信息、科学技术成果等数据。
物流领域开放航运、货运、港口经营等企业信息,以及物流基础设施和运输监测数据。
此外,智慧城市领域将优先开放社会发展、公共安全等领域高价值数据,助力城市可信数据空间创新发展。
来源:广州市政务服务和数据管理局
十一、山东省司法厅发布《山东省数字经济促进条例(草案征求意见稿)》
2025年5月19日,山东省司法厅发布《山东省数字经济促进条例(草案征求意见稿)》(以下简称《条例》)公开征求意见。旨在统筹推动数字产业化、产业数字化、数据价值化、治理服务数字化,推进数字经济高质量发展。
《条例》共10章61条,分别为总则明确立法目的、适用范围与基本原则;数字基础设施规划建设方向与协同发展;数字技术创新聚焦攻关、激励与成果转化;数字产业化推动电子信息、新兴及未来产业发展;产业数字化促进工业、农业、服务业数字化转型;数据价值化强化数据要素流通与权益保护;治理服务数字化提升经济、政府、社会等治理服务效率;数字经济安全平衡发展与安全,涵盖网络、数据、AI安全;保障措施从人才、财税等多维度提供支撑;附则对未尽事宜进行补充。
其中,在数据价值化方面,《条例》要求,依法保护个人、组织的数据持有、使用、经营等权益;建立数据资源统筹管理机制,加强全生命周期管理,促进公共数据、企业数据和个人数据开发利用,支持数据资产会计处理与价值化。优化公共数据资源配置,健全供需对接机制,鼓励高校、科研机构、企业开放自有数据,规范数据产品和服务市场供给。推动建立多层次数据流通交易体系,培育数据企业与第三方专业服务机构,促进数据要素市场化配置;完善数据跨境流动机制,健全安全评估制度,中国(山东)自贸试验区可在国家框架下制定数据出境管理清单并履行程序。聚焦重点行业领域加强数据应用场景建设,释放数据要素协同、复用、融合效应。
来源及全文链接:山东司法厅
http://sft.shandong.gov.cn/articles/ch04163/202505/4b03afbc-12c4-43ff-9e50-49b5272c006c.shtml
境外数据法规政策动态
一、欧盟委员会提议简化对中小型企业的GDPR要求
2025年5月21日,欧洲委员会宣布提交一项提案,旨在简化《通用数据保护条例》(GDPR)针对中小企业(SMEs)到中型企业(SMCs)某些要求的规定,此举属于其“Omnibus IV简化方案”范围内。
该提案通过增加中小企业(SMEs)和中型企业(SMCs)的定义,对GDPR进行了修订。根据欧洲委员会的定义,中型企业(SMC)是一类新企业类别,员工人数少于750人,且年营业额不超过1.5亿欧元或总资产不超过1.29亿欧元。
此外,提案还包括以下修订内容:
1.简化GDPR下的记录保存义务,除了中小企业(SMEs),还豁免中型企业(SMCs)在处理被认为是GDPR“高风险”个人数据时维护记录的要求;
2.要求成员国、监管机构、委员会和EDPB在制定行为准则时,必须考虑中型企业(SMCs)的具体需求;
3.要求认证机构或主管监管机构在建立数据保护认证机制、数据保护印章及标识时,也必须考虑中型企业(SMCs)的具体需求。
来源:Dataguidence
全文链接:
https://single-market-economy.ec.europa.eu/document/download/d88a75de-b620-4d8b-b85b-1656a9ba6b8a_en?filename=Proposal%20for%20a%20Regulation%20-%20Small%20mid-caps.pdf
二、法国国家信息与自由委员会发布《教育领域数据泄露应对实用指南》
2025年5月15日,法国国家信息与自由委员会(CNIL)发布了两份专为教育领域设计的实用指南,《实用指南-教育数据泄露(针对学校校长、教育管理人员及行政人员)》及《实用指南-教育数据泄露(针对数据保护官)》,旨在帮助教育机构更有效地应对个人数据泄露事件。两份指南分别面向:
1.数据保护官(DPO);
2.学校校长、教育管理人员及行政人员。
这些指南的发布背景是,尽管教育机构处理大量个人数据(如学生注册信息、数字学习环境数据、健康记录等),但CNIL每年仅收到约30起数据泄露通报,远低于实际发生的事件数量。CNIL指出,这种“低通报”现象主要源于:对“数据泄露”定义的理解不足、缺乏明确的应对流程及教育系统中复杂的责任划分。
两份指南均围绕五种常见的数据泄露场景,提供了详尽的应对措施:
1.设备或文件丢失/被盗:如笔记本电脑、U盘等存储设备的遗失或被盗;
2.信息误发送:如将包含敏感信息的邮件发送给错误的收件人;
3.用户操作错误:如错误地公开包含个人数据的文件;
4.凭证泄露:如密码被盗或被他人获取;
5.网络攻击:如钓鱼攻击、勒索软件攻击等。
对于每种情况,指南提供了:具体示例、情境分析要点、应对行动建议、预防措施和最佳实践。
此外,指南还强调了在数据泄露事件中应遵循的法律义务:
1.分析并记录事件;
2.如事件对个人隐私构成风险,需向CNIL报告;
3.如事件对个人构成高风险,需通知受影响的个人。
来源:法国国家信息与自由委员会
全文链接:
《实用指南-教育数据泄露(针对学校校长、教育管理人员及行政人员)》
https://www.cnil.fr/sites/cnil/files/2025-05/guide_violations_education_etablissements.pdf
《实用指南-教育数据泄露(针对数据保护官)》
https://www.cnil.fr/sites/cnil/files/2025-05/guide_violations_education_dpo.pdf
三、丹麦数据保护局与数字化署联合发布《使用cookies和类似技术指南》
2025年5月15日,丹麦数据保护局与数字化署联合发布了《使用cookies和类似技术指南》(以下简称《指南》),《指南》系统说明网站及App运营者在使用cookies、像素、指纹识别等技术时应如何遵守《Cookie 行政命令》和《通用数据保护条例》(GDPR)。
《指南》主要内容如下:
1.适用范围广泛:不仅适用于传统cookies,也包括用于像素标签(如广告追踪像素)、广告追踪的指纹技术、分配给终端设备的唯一标识符。
2.双重合规义务:只要涉及在用户设备存储/读取信息,就必须遵守《Cookie 行政命令》,当收集的数据(单独或组合)能识别个人身份时,还需遵守GDPR。
3.数据最小化原则:不得收集超出实际需要的个人数据。
4.同意的法律要求:有效同意需满足“自由、特定、知情、明确表示意愿”四大要素,且用户应可随时轻松撤回。
5.供应商管理:在使用第三方服务商时,必须特别注意其服务条款中是否包含将收集的用户数据用于自身商业目的的条款,建议优先选择“纯数据处理服务商”,并严格审查合同条款。若第三方服务商为自身商业目的收集数据,需严格评估其合法性。
6.第三方风控:数据控制者需对所采集的用户同意进行系统性记录,以备审计与合规检查。
7.文档管理:数据控制者需对所采集的用户同意进行系统性记录,按法定要求保存期限,以备审计与合规检查。
来源:丹麦数据保护局
全文链接:
https://www.datatilsynet.dk/Media/638829899950476628/Fællesvejledning%20med%20DIGST%20-%20Cookie%20og%20lignende%20teknologier.pdf
四、欧盟委员会发布《未成年人在线保护指南》草案
2025年5月13日,欧盟委员会根据《数字服务法案》(DSA)发布了《未成年人在线保护指南》草案(以下简称《指南》)公开征求意见,旨在协助未成年人可接触的平台落实《数字服务法案》(DSA)所要求的高水平儿童隐私、安全与保障义务。
《指南》列出了一系列非详尽性措施,建议除微型和小型企业以外的所有平台采纳,以“隐私保护设计默认设置”为指导原则,加强对未成年人的保护。
《指南》采纳了《数字服务法案》所强调的风险导向方法,认识到不同平台对未成年人的风险水平不尽相同,从而确保平台能够针对其具体服务量身定制保护措施,同时避免对儿童的参与权、知情权和表达自由造成不当限制。
例如,平台应:
1.实施年龄验证措施,降低儿童接触色情或其他不适龄内容的风险;
2.默认将儿童账户设为私密,以减少陌生人未经请求的接触;
3.调整推荐系统,优先依据用户对所见内容是否喜欢的明确信号,以防儿童陷入有害内容“信息茧房”;
4.启用屏蔽与静音功能,并确保在未获得儿童明确同意的情况下不得将其加入群组,从而有助于降低网络欺凌风险。
来源:欧盟委员会
全文链接:
https://ec.europa.eu/newsroom/dae/redirection/document/115476
五、韩国个人信息保护委员会发布《外国经营者个保法适用指南》(中文版)
2025年5月7日,韩国个人信息保护委员会(PIPC)发布了《外国经营者个人信息保护法适用指南》(中文版)(以下简称《指南》)。
《指南》适用于向韩国信息主体提供服务、对韩国信息主体产生直接重大影响及在韩设有营业场所的的主体。
《指南》的主要内容包括:
1.数据泄露通知与报告:一旦发生个人信息泄露,应在72小时内通知相关信息主体,并在特定情况下(如涉及大量用户或敏感信息)向保护委员会或指定机构报告。
2.个人信息处理政策公开:必须制定并公开个人信息处理政策,提供韩语版本,内容需清晰透明,包括处理目的、方式、保存期限、委托处理、跨境转移等事项,且易于信息主体理解和查阅。
3.保障信息主体权利:需建立机制确保韩国信息主体能够方便地行使其查阅、更正、删除、停止处理个人信息及撤回同意的权利,并通常需在10个工作日内处理请求。
4.儿童信息处理:处理未满14周岁儿童的个人信息时,必须获得其法定监护人的同意并进行核实。
5.个人信息跨境转移:数据出境需符合特定法律依据(如获得单独同意、法律规定、合同必要性、获得认证、目的地提供同等保护水平等),并向信息主体告知转移情况。
6.损害赔偿机制:设立必要的措施(如保险、互助计划或储备金)来保障因违反法律规定造成的信息主体损害能得到赔偿。
7.配合纠纷调解与监管:需配合个人信息纠纷调解委员会的处理,并接受保护委员会的调查或事先状况检查。
8.指定境内代理人:达到特定标准(销售额或信息主体数量)的外国经营者,必须指定韩国境内的代理人负责处理用户投诉和与监管机构的沟通。
未履行《指南》义务的外国经营者,可能面临韩国保护委员会的纠正命令、停止处理个人信息的指令,甚至高达全球销售额3%的罚金等处罚。
《指南》后附《个人信息泄露报告》《个人信息查阅申请表》《个人信息查阅、部分查阅、延迟查阅、拒绝查阅通知》表及个人信息更正与删除、停止处理申请结果通知表模版。
来源及全文链接:韩国个人信息保护委员会
https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=10059#LINK
六、欧盟与新加坡签署《数字贸易协定》
2025年5月7日,欧盟与新加坡签署《数字贸易协定》(以下简称《协定》),是欧盟首次与非欧盟国家达成的专门数字贸易协议,旨在推动双方之间建立一个可信、兼容且具有创新能力的数字经济体系,并可能为未来全球数字合作设定范式。《协定》涵盖以下重点内容:
1.数据传输:消除不必要的数据存储规定,保障跨境数据自由流动。适用于金融、物流、云计算和电商领域,企业将因此获得更明确的法律依据,降低合规成本。
2.数据保护:双方承诺遵守《通用数据保护条例》(GDPR)和《个人数据保护法》(PDPA),维持强有力的隐私保护框架,确保数据使用的安全性与可信度。
3.数字基础设施:实现电子签名、电子发票等数字工具的互认,降低跨境数字业务的成本,加快数字交易流程。
4.中小企业与包容性:通过工具支持、培训及线上资源,帮助中小企业拓展国际市场,实现数字赋能和包容性增长。
5.新兴技术:鼓励在人工智能、区块链、数字身份等新兴技术领域开展合作,推动负责任的创新,减少技术壁垒。
6.网络安全:加强网络安全合作,包括共享最佳实践与提升贸易系统的数字防御能力。
来源:Euro Cham Singapore
全文链接:
https://data.consilium.europa.eu/doc/document/ST-5854-2025-INIT/en/pdf
七、欧洲数据保护委员会通过《欧洲专利组织数据保护充分性认定草案的意见书》
2025年5月6日,欧洲数据保护委员会(EDPB)宣布通过《关于欧盟委员会根据欧洲专利组织充分保护个人数据的条例(欧盟)2016/679执行决定草案的意见07/2025》(以下简称《意见》)。《意见》是欧盟首次针对国际组织(而非国家或地区)进行的充分性评估,旨在确认欧洲专利组织(EPO)的数据保护框架是否达到与《通用数据保护条例》(GDPR)实质等同的保护水平。
EDPB认定,EPO的数据保护框架在数据主体权利和数据处理原则方面与欧盟的数据保护框架在很大程度上保持一致。
然而,EDPB要求欧盟委员会进一步调查EPO数据保护官(DPO)与数据保护委员会(DPB)之间的关系,特别是在DPO处理数据主体权利请求以及其在DPB投诉程序中的角色方面。
EDPB还指出,由于EPO是一个国际组织,政府访问个人数据的评估与针对第三国充分性评估中的该部分不同。EPO在信息提供方面享有的豁免权应与其合作义务相辅相成。EDPB因此要求委员会进一步调查EPO在配合执法机构数据访问请求时,其合作义务与组织豁免权之间的关系。
因此,EDPB建议欧盟委员会澄清,在EPO情境下,依据《通用数据保护条例》第五章(关于数据跨境传输)的规定,适用哪些可确保实质等同保护水平的保障措施。
来源:Dataguidence
全文链接:
https://www.edpb.europa.eu/system/files/2025-05/edpb-opinion-202507-epo-adequacydecision_en.pdf
全球数据监管执法动态
一、某公司违反《网络安全法》被郑州市网信办行政处罚
2025年5月23日,郑州市网信办工作中发现,郑州市某公司未履行网络安全保护义务,引发网络安全事件,现向社会公开通报:
经调查,该公司在网络安全方面意识淡薄,未建立健全网络安全等级保护制度,其网络办公系统存在部分未选择记录日志功能、防火墙未禁用高危端口、未对账户进行重命名、未及时修复漏洞隐患、未对数据库加密处理、应用程序版本过低等9个问题,境外不法分子利用该系统存在的漏洞,上传恶意标语,引发网络安全事件,造成严重恶劣影响,违反《网络安全法》第二十一条规定,违法情节严重。针对以上违法情况,郑州市网信办依据《网络安全法》第五十九条,对该公司作出责令改正,给予警告,并处人民币三万元罚款的行政处罚。
来源:郑州网信办
二、国家计算机病毒应急处理中心检测发现65款违法违规收集使用个人信息的移动应用
2025年5月12日,经国家计算机病毒应急处理中心检测,65款移动应用存在违法违规收集使用个人信息情况,违法违规收集使用个人信息行为有如下12项:
1.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;以默认选择同意隐私政策等非明示方式征求用户同意;隐私政策难以访问;个人信息处理者在处理个人信息前,未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。
2.隐私政策未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。
3.个人信息处理者向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。
4.App未在征得用户同意后开始收集个人信息或打开可收集个人信息的权限。
5.未提供有效的更正、删除个人信息及注销用户账号功能;为更正、删除个人信息或注销用户账号设置不必要或不合理条件;虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内完成核查和处理。
6.投诉、举报未在承诺时限内受理并处理;个人信息处理者未建立便捷的个人行使权利的申请受理和处理机制。
7.未向用户提供撤回同意收集个人信息的途径、方式;个人信息处理者未提供便捷的撤回同意的方式。
8.通过自动化决策方式向个人进行信息推送、商业营销,未同时提供不针对其个人特征的选项,或者未向个人提供便捷的拒绝方式。
9.处理敏感个人信息未取得个人的单独同意;个人信息处理者处理敏感个人信息的,未向个人告知处理敏感个人信息的必要性以及对个人权益的影响。
10.个人信息处理者处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则;收集未成年人信息未取得监护人单独同意。
11.未采取相应的加密、去标识化等安全技术措施。
12.无隐私政策。
来源:国家网络通报中心
三、TEMU因违反韩国个人信息保护法被罚13.866亿韩元
2025年5月14日,韩国个人信息保护委员会(PIPC)召开第11次全体会议,决定对跨境电商平台Temu处以13.69亿韩元和1,760万韩元的罚金罚款,共13.866亿韩元,并责令整改。
调查发现,Temu将用户个人信息托付或存储给了包括韩国、中国、新加坡、日本等多国企业,但未在隐私政策中公开此事实,也未通知用户。此外,Temu未对受托处理个人信息的第三方进行安全管理教育或检查,缺乏必要的管理监督。
保护法规定,若需将个人信息委托给境外企业,应公开相关内容并通过电子邮件等方式告知用户,但Temu未遵守此规定。
截至2023年底,Temu日均有290万韩国用户使用服务,却未指定国内代理人,且会员注销流程复杂(七步),限制了用户行使权利。
调查过程中,Temu已自行修改隐私政策,公开了个人信息的跨境转移及受托方信息,指定国内代理人并部分简化会员注销程序。
PIPC以Temu违反保护法中关于个人信息跨境转移和居民注册号码处理的限制规定,处以13亿6,900万韩元罚款;因违反关于个人信息处理委托和国内代理人指定的规定,处以1,760万韩元罚金。
来源:韩国个人信息保护委员会
四、ARSAC因违法处理员工地理定位数据被意大利数据保护机构罚款5万欧元
2025年5月8日,意大利数据保护机构(Garante)公布了其2025年3月13日作出的第135号决定,农业发展与服务区域机构(ARSAC)因违反《通用数据保护条例》(GDPR)被罚5万欧元。
Garante表示,其介入调查是基于一名员工的投诉以及来自公务员监察局的报告。经调查,Garante发现ARSAC违反了GDPR第5条、第6条、第13条、第25条、第35条及第88条的规定。特别是,Garante认定:
1.ARSAC在缺乏适当法律依据的情况下进行了数据处理;
2.ARSAC未能在企业文件(如《智能远程办公规章制度》)中充分提供与数据处理相关的信息;
3.违反了合法性、公平性与透明性原则,以及目的限制原则;
4.未就地理定位数据处理开展数据保护影响评估(DPIA)。
调查显示,ARSAC对员工进行了监控,以核实其地理位置是否与远程办公协议中申报的地址一致。Garante指出,ARSAC会随机通过电话联系员工,要求其启用电脑和智能手机的定位功能,并通过电子邮件告知其当时的具体位置,随后可能进行核查并启动纪律处分程序。
来源:Dataguidence
五、因未有效履行《数字服务法》,捷克、西班牙等五国遭欧盟起诉
2025年5月7日,欧盟委员会宣布,因捷克、西班牙、塞浦路斯、波兰和葡萄牙五国未完全履行《数字服务法》(Digital Services Act,DSA)义务,决定将其移交欧盟法院。主要违规点如下:
1.波兰:未指定或赋权国家数字服务协调员(DSC),违反了DSA的强制性要求。
2.捷克、西班牙、塞浦路斯和葡萄牙:虽然已经指定了DSC,但未赋予其执行DSA所需的实际权力。
以上五国均未制定针对违反DSA的处罚规则,而这正是法律执行的关键一环。
根据DSA,每个欧盟成员国都必须指定并赋权DSC,以监督法律的执行,确保在全欧盟范围内统一落实。这些协调员的职责包括监管在线平台、打击非法内容并保护用户权利。
欧盟委员会早在2024年初就已启动侵权程序,向上述国家发出正式通知函。但由于未见有效整改措施,最终决定将其提交至欧盟法院。
来源:欧盟委员会
六、TikTok因数据保护问题被欧盟监管机构罚款5.3亿欧元
2025年5月2日,TikTok因数据跨境传输违反了欧盟《通用数据保护条例》(GDPR)被爱尔兰数据保护委员会(DPC)罚款5.3亿欧元(约合6亿美元)。
DPC的调查发现,TikTok未能确保其员工在中国远程访问欧洲经济区(EEA)用户数据时,提供与欧盟标准“实质等同”的数据保护措施。具体违规包括:
1.违反GDPR第46条第1款,未能合法地进行数据传输;
2.违反第13条第1款(f)项,在2020年至2022年期间未向用户明确说明其数据可能被传输至中国或被中国员工访问;
3.未充分评估中国法律对数据访问的潜在影响,这些法律与欧盟的数据保护标准存在重大差异。
此外,TikTok最初声称未在中国存储欧洲用户数据,但在2025年2月发现并承认确有数据存储在中国服务器上,随后已将其删除。
最终,TikTok被罚款5.3亿欧元,其中4.85亿欧元因非法数据传输,4500万欧元因缺乏透明度。DPC要求TikTok在六个月内使其数据处理活动符合GDPR规定,否则将暂停其向中国的数据传输。
来源:爱尔兰数据保护委员会
收集整理:德和衡网络安全与数据合规团队
德和衡网络安全与数据合规团队是一个长期专注于数据合规专项法律服务的团队。团队成员由北京、深圳、上海三地的律师组成。团队自2014年成立以来,核心成员均来自国内领先的网络安全企业360,积累了丰富的行业经验。团队还与奇安信、中电科、全知科技、银行卡检测中心(BCTC)等技术领先团队建立了密切且稳固的长期合作关系。团队致力于协助企业客户提升数据管理水平,预防及应对数据安全问题,提高数据质量,并充分发挥企业数据资产的最大价值。目前,团队已为房产、能源、智能制造、电子、车联网、大数据、金融、物流、电商等多个行业的领军企业提供全套数据合规法律服务。