本期内容
国内数据法规政策动态:
一、2025年《反不正当竞争法》修订,对侵害数据做出规定
二、国务院公布《政务数据共享条例》
三、国务院公布《互联网平台企业涉税信息报送规定》
四、国家互联网信息办公室印发《网信部门行政处罚裁量权基准适用规定》
五、八部门联合制定新规《汽车数据出境安全指引(2025版)(征求意见稿)》
六、国家互联网信息办公室发布《数据出境安全评估申报指南(第三版)》
七、国家密码管理局发布《关键信息基础设施商用密码使用管理规定》
八、国家市场监管总局发布《网络交易平台规则监督管理办法(征求意见稿)》
九、国家互联网信息办公室发布《关于开展人脸识别技术应用备案工作的公告》
十、国家互联网信息办公室发布《数据出境安全管理政策问答(2025年5月)》
十一、《治安管理处罚法》新增个人信息保护规定
境外数据法规政策动态:
一、越南国会通过《个人数据保护法》
二、新加坡发布《关于禁止使用身份证号码进行身份验证的联合建议》
三、韩国个人信息保护委员会发布《CCTV安全使用指南》
四、新加坡个人数据保护委员会发布《数据匿名化入门指南》
五、比利时数据保护局发布《DPO注册管理用户手册》
六、法国国家信息与自由委员会发布《关于识别控制者、处理者和共同控制者的指南》
七、欧洲数据保护委员会发布《关于GDPR第48条向第三国当局跨境传输数据的指南》
八、巴西国家数据保护局就《敏感个人数据处理—生物特征数据》议题公开征求意见
全球数据监管执法动态:
一、45款移动应用涉及违法违规收集使用个人信息
二、北京两企业因未依法履行数据安全保护义务被罚5万元
三、最高法发布利用网络、信息技术侵害人格权典型案例
四、爱尔兰社会保障部因违规人脸识别被爱尔兰数据保护委员会罚款55万欧元
五、德国电信服务提供商Vodafone因违反GDPR规定被德国联邦监管局处罚0.45亿欧元
六、数据经纪人CALOGA因违反GDPR规定被法国国家信息与自由委员会处罚8万欧元
国内数据法规政策动态
一、2025年《反不正当竞争法》修订,对侵害数据做出规定
2025年6月27日,《反不正当竞争法》(以下简称《修订版》)修订通过,自2025年10月15日起施行。《修订版》包括总则、不正当竞争行为、对涉嫌不正当竞争行为的调查、法律责任、附则五章。
在数据权益保护方面,《修订版》规定,经营者不得利用数据和算法、技术、平台规则等,通过影响用户选择或者其他方式,实施下列妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为:
(一)未经其他经营者同意,在其合法提供的网络产品或者服务中,插入链接、强制进行目标跳转;
(二)误导、欺骗、强迫用户修改、关闭、卸载其他经营者合法提供的网络产品或者服务;
(三)恶意对其他经营者合法提供的网络产品或者服务实施不兼容;
(四)其他妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为。
经营者不得以欺诈、胁迫、避开或者破坏技术管理措施等不正当方式,获取、使用其他经营者合法持有的数据,损害其他经营者的合法权益,扰乱市场竞争秩序。
来源及全文链接:中国人大网
http://www.npc.gov.cn/npc/c2/c30834/202506/t20250627_446247.html
二、国务院公布《政务数据共享条例》
2025年6月3日,国务院总理李强日前签署国务院令,公布《政务数据共享条例》(以下简称《条例》),自2025年8月1日起施行。
《条例》旨在推进政务数据安全有序高效共享利用,提升政府数字化治理能力和政务服务效能,全面建设数字政府。《条例》共8章44条,主要包括以下内容。
一是明确总体要求。规定政务数据共享工作坚持中国共产党的领导,遵循统筹协调、标准统一、依法共享、合理使用、安全可控的原则。细化各级人民政府、政务数据共享主管部门、政府部门及其政务数据共享工作机构的职责。
二是优化目录管理。规定政务数据实行统一目录管理,明确政务数据目录编制、发布以及动态更新等要求。确定政务数据共享属性的分类,禁止擅自增设条件阻碍、影响政务数据共享。
三是细化共享使用要求。规定通过共享获取政务数据能够满足履职需要的,政府部门不得重复收集,明确牵头收集政务数据的政府部门的职责。细化政务数据共享申请、答复的流程及时限要求。明确政务数据质量管理、校核纠错及共享争议解决处理机制。规定上级政府部门应当根据下级政府部门的履职需要,在确保政务数据安全的前提下,及时、完整回流相关政务数据。
四是加强平台支撑。规定整合构建全国一体化政务大数据体系,要求已建设的政务数据平台纳入全国一体化政务大数据体系,原则上不新建政务数据共享交换系统。明确各级政府部门应当通过全国一体化政务大数据体系开展政务数据共享工作。
五是强化保障措施。按照谁管理谁负责、谁使用谁负责的原则,明确各环节安全责任主体,强调需求部门在使用依法共享政务数据过程中的安全管理责任。细化政府部门和受托方政务数据安全保护义务,明确个人信息保护及处理投诉举报要求。提出政务数据共享经费保障和预算管理要求。
来源:新华社
全文链接:
https://www.gov.cn/zhengce/content/202506/content_7026294.htm
三、国务院公布《互联网平台企业涉税信息报送规定》
2025年6月20日,国务院公布《互联网平台企业涉税信息报送规定》(以下简称《规定》),自公布之日起施行。
《规定》旨在规范互联网平台企业向税务机关报送平台内经营者和从业人员涉税信息,提升税收服务与管理效能,保护纳税人合法权益,营造公平统一的税收环境,促进平台经济规范健康发展。《规定》共14条,主要内容如下。
一是报送义务、内容和时限要求。规定互联网平台企业应当于季度终了的次月内,向其主管税务机关报送平台内经营者和从业人员的身份信息以及上季度收入信息。
二是免予报送的情形。规定平台内从事配送、运输、家政等便民劳务活动,依法享受税收优惠或者不需要纳税的从业人员的收入信息,以及平台内经营者和从业人员在《规定》施行前的涉税信息,互联网平台企业不需要报送。
三是减轻报送负担的措施。明确扣缴申报、代办申报时已经填报的涉税信息以及通过政府部门信息共享能够获取的涉税信息,互联网平台企业不需要重复报送,并对税务机关应当提供安全可靠的涉税信息报送渠道、便捷的接口服务和政策解读咨询等作出规定。
四是涉税信息的保密义务。规定互联网平台企业应当规范保存平台内经营者和从业人员涉税信息;税务机关应当对获取的涉税信息依法保密,建立涉税信息安全管理制度。
来源:国家税务总局
全文链接:
http://fgk.chinatax.gov.cn/zcfgk/c100010/c5241238/content.html
四、国家互联网信息办公室印发《网信部门行政处罚裁量权基准适用规定》
2025年6月26日,国家互联网信息办公室发布《网信部门行政处罚裁量权基准适用规定》(以下简称《规定》),自2025年8月1日起施行。国家互联网信息办公室有关负责人表示,出台《规定》,旨在规范网信部门行政处罚行为,保护公民、法人和其他组织的合法权益。
《规定》明确,行政处罚裁量权基准是指网信部门在实施行政处罚时,按照裁量涉及的违法行为的事实、性质、情节、社会危害程度、当事人主观过错等因素,对法律、法规、规章中的原则性规定或者具有一定弹性的执法权限、裁量幅度等内容进行细化量化而形成的具体执法尺度和标准。明确网信部门适用行政处罚裁量权基准,应当遵循法制统一、公平公正、过罚相当、处罚与教育相结合等原则。
《规定》提出,网信部门行政处罚裁量权基准划分为不予处罚、减轻处罚、从轻处罚、一般处罚、从重处罚等裁量阶次。明确不予处罚、减轻处罚、从轻处罚、从重处罚等具体适用情形。规定违法行为不具有不予处罚、减轻处罚、从轻处罚或者从重处罚情形的,应当给予一般处罚。
《规定》明确,省、自治区、直辖市和设区的市、自治州网信部门可以结合工作实际制定本行政区域内的行政处罚裁量权基准。上级网信部门应当通过行政执法情况检查、行政执法案卷评查等方式,对下级网信部门行使行政处罚裁量权工作进行监督。
来源:国家网信办
全文链接:
https://mp.weixin.qq.com/s/EKfXSujjBT9MB5xZHQNr2A
五、八部门联合制定新规《汽车数据出境安全指引(2025版)(征求意见稿)》
2025年6月13日,工业和信息化部等八部门起草的《汽车数据出境安全指引(2025版)(征求意见稿)》(以下简称《指引》)发布,并面向社会公开征求意见。《指引》提出必须申报数据出境安全评估的多种情形,驾驶自动化场景正是情形之一。针对具体场景,《指引》进一步明确需申报数据出境安全评估的重要数据类型与判定标准。
根据《指引》,汽车数据处理者是指开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、电信运营企业、自动驾驶服务商、平台运营企业、经销商、维修机构以及出行服务企业等。汽车数据处理者将在境内运营中收集和产生的汽车数据传输至境外,或收集和产生的汽车数据存储在境内,境外的机构、组织或个人查询、调取、下载、导出,均属于数据出境行为。
《指引》提出,汽车数据处理者如向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息),累计向境外提供1万人以上敏感个人信息,应当申报数据出境安全评估。
重要数据包括研发设计场景中的产品研发、产品测试数据,生产制造场景中的物料清单、生产控制程序源代码,驾驶自动化场景中的算法、算法训练数据、算法特征数据,此外还有软件升级服务场景、联网运行场景中的相关数据。
例如,《指引》拟规定,驾驶自动化算法训练数据,包括训练影像及消息集,即用于训练、验证组合驾驶辅助或自动驾驶算法模型的初始数据集,包括文本、视频、图像、音频等;驾驶员决策数据集,即用于训练、验证组合驾驶辅助或自动驾驶算法模型的驾驶员决策数据集,包括档位信息、加速踏板开度、刹车踏板开度、方向盘转向角等;还包括组合驾驶辅助或自动驾驶系统决策或预测规划数据集、运行数据集等。
来源:央视网
全文链接:
https://www.miit.gov.cn/jgsj/waj/wjfb/art/2025/art_181a52f57d14451ba4c8517b79c05177.html
六、国家互联网信息办公室发布《数据出境安全评估申报指南(第三版)》
2025年6月27日,国家互联网信息办公室发布了《数据出境安全评估申报指南(第三版)》(以下简称《指南》),旨在指导和帮助数据处理者规范有序申报数据出境安全评估工作。
《指南》对数据处理者申报数据出境安全评估需要提交的相关材料进行了优化简化,明确数据处理者申请延长数据出境安全评估结果有效期的条件、流程、材料等内容。
《指南》新增申请延长评估结果有效期,评估结果有效期届满,同时符合以下申请延长评估结果有效期条件的,数据处理者可以在有效期届满前60个工作日内提出延长评估结果有效期申请:
1.数据出境的目的、范围等未发生变化;
2.数据处理者及境外接收方未发生变更;
3.若涉及个人信息出境,未来三年内出境自然人数增幅不超过原评估准予数量的20%;
4.若涉及重要数据出境,未来三年出境数据规模增幅不超过原评估准予规模的20%;
5.与境外接收方签订的法律文件符合《数据出境安全评估办法》第九条规定;
6.过去三年内相关数据出境活动合规开展,且未发生重大数据安全事件。
来源及全文链接:国家互联网信息办公室
https://www.cac.gov.cn/2025-06/27/c_1752652339765002.htm
七、国家密码管理局发布《关键信息基础设施商用密码使用管理规定》
2025年6月11日,国家密码管理局发布《关键信息基础设施商用密码使用管理规定》(以下简称《规定》),旨在贯彻落实党中央、国务院关于商用密码管理决策部署,保护关键信息基础设施安全,进一步满足关键信息基础设施安全保护需求。
《规定》共25条,细化了《中华人民共和国密码法》《商用密码管理条例》关于关键信息基础设施商用密码使用管理的基础性、原则性要求,明确划分密码管理部门、网信部门、公安机关以及保护工作部门、运营者的职权义务,明确规划、建设、运行等各阶段的规范要求,明确制度、人员、经费等方面的保障措施,将关键信息基础设施商用密码使用管理各方面、各环节的要求以法定形式固化下来,力求做到责任明确、环节清晰、措施完备。
《规定》明确了商用密码使用具体要求。一是明确商用密码技术、产品、服务使用要求。规定关键信息基础设施使用的商用密码产品、服务应当经检测认证合格,使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码管理部门审查鉴定。二是明确数据安全保护、个人信息保护要求。强调关键信息基础设施应当使用商用密码对其存储、使用、传输的核心数据、重要数据和个人信息进行保护。三是细化规划、建设、运行等阶段商用密码使用要求以及过渡安排、商用密码应用安全性评估要求。建立起关键信息基础设施商用密码使用的程序闭环。
来源:北京市密码管理局
全文链接:
https://www.sca.gov.cn/sca/xxgk/2025-06/27/content_1061270.shtml
八、国家市场监管总局发布《网络交易平台规则监督管理办法(征求意见稿)》
2025年6月4日,国家市场监管总局发布《网络交易平台规则监督管理办法(征求意见稿)》(以下简称《办法》),旨在进一步明确网络交易平台企业在平台规则方面的法定义务,细化平台企业制定、修改、执行交易规则应当遵守的各项规定,推动平台规则优化,更好维护市场秩序,保障各方合法权益。
《办法》共九章43条。其中有关数据合规的相关规定集中在《办法》的第四章,网络交易平台经营者应当在平台规则中依法明确平台内经营者处理个人信息的规范和保护个人信息的义务,特别是合理界定网络交易平台经营者与平台内经营者的个人信息保护权利和义务。
网络交易平台经营者在平台规则中明确接入其平台的第三方产品和服务提供者或预装应用程序的智能终端等设备生产者的网络数据安全保护义务的,应当依法规定相关方的处置义务和责任,督促其加强网络数据安全管理。提供重要互联网平台服务、用户数量巨大、业务类型复杂的网络交易平台经营者不得利用平台规则从事非法处理用户网络数据、无正当理由限制用户网络数据权益等法律、行政法规禁止的活动。
未成年人用户数据巨大或者对未成年人群体具有显著影响的网络交易平台经营者应当制定专门的平台规则,依法明确平台内经营者的未成年人网络保护义务,并以显著方式提示未成年人用户依法享有的网络保护权利和遭受网络侵害的救济途径。
来源及全文链接:国家市场监督管理总局
https://www.samr.gov.cn/hd/zjdc/art/2025/art_ed7d047de7cd423e981890d4ece9e974.html
九、国家互联网信息办公室发布《关于开展人脸识别技术应用备案工作的公告》
2025年5月30日,国家网信办发布《关于开展人脸识别技术应用备案工作的公告》。主要信息如下:
1.备案对象:应用人脸识别技术处理的人脸信息存储数量达到10万人的个人信息处理者,应当向所在地省级网信部门履行备案手续。
2.备案时间:
以2025年6月1日为分界点,自2025年6月1日起,应用人脸识别技术处理的人脸信息存储数量达到10万人的,应当自数量达到之日起30个工作日内履行备案手续。2025年6月1日前,应用人脸识别技术处理的人脸信息存储数量已经达到10万人的,应当在2025年7月14日前履行备案手续。
备案信息发生实质性变更的,应当在变更之日起30个工作日内办理备案变更手续。
3.备案方式:可以采用线上方式。直接访问“个人信息保护业务系
统”(https://grxxbh.cacdtsc.cn),按照系统首页提供的《人脸识别技术应用备案系统填报说明(第一版)》,准备相关材料并履行备案手续,也可从中国网信网(https://www.cac.gov.cn)首页“全国网信政务办事大厅”栏目访问“个人信息保护业务系统”。
来源:网信中国
十、国家互联网信息办公室发布《数据出境安全管理政策问答(2025年5月)》
2025年5月30日,国家互联网信息办公室发布《数据出境安全管理政策问答(2025年5月)》,旨在持续加强数据出境安全管理政策宣贯,指导和帮助数据处理者高效合规开展数据出境活动。
作为数据处理者,在重要数据识别申报与出境活动中,需严格遵循相关法律法规。在识别申报方面,国家数据安全工作协调机制统筹制定重要数据目录,各地区、部门依分类分级保护制度确定具体目录,数据处理者应依据各部门制定的行业、领域数据分类分级标准规范和重要数据识别申报规则,按主管部门要求开展识别申报工作。
目前,工业、电信等多领域已发布相关规则,部分通过多种形式告知申报者。若未发布相关规则且未被要求申报,未进行相关操作不会被认定违规。在重要数据出境活动上,境内运营收集和产生的重要数据确需出境,应通过国家网信部门组织的数据出境安全评估,流程参考《数据出境安全评估申报指南》,评估通过后方可出境。若数据未被认定为重要数据,无需按重要数据申报出境评估;若数据被认定为重要数据,需在2个月内通过所在地省级网信部门向国家网信部门申报,并按评估结果合规开展出境活动,保障数据安全。
来源及全文链接:中国网信办
https://www.cac.gov.cn/2025-05/30/c_1750315283722063.htm
十一、《治安管理处罚法》新增个人信息保护规定
2025年6月27日,十四届全国人大常委会第十六次会议表决通过新修订的《治安管理处罚法》,共6章144条,自2026年1月1日起施行。
在数据保护合规方面,新修订的《治安管理处罚法》新增第五十六条规定,违反国家有关规定,向他人出售或者提供个人信息的,处十日以上十五日以下拘留;情节较轻的,处五日以下拘留。窃取或者以其他方法非法获取个人信息的,依照前款的规定处罚。
来源及全文链接:新华网
https://www.news.cn/legal/20250627/c1e6a443860a4606b98fc23496e56c8d/c.html
境外数据法规政策动态
一、越南国会通过《个人数据保护法》
2025年6月26日上午,越南国会投票通过了包含39条的《个人数据保护法》(PDPL),PDPL将于2026年1月1日生效。
PDPL为中小企业和初创企业提供了豁免条款。这些企业可以选择是否在PDPL生效后的五年内实施有关个人数据影响评估、指定负责数据保护的部门和人员的规定。此外,PDPL还豁免了对个体工商户和微型企业的实施要求。
PDPL明确禁止以下七种行为:
1.处理个人数据以反对越南社会主义共和国,影响国防和安全、社会秩序和安全,以及机关、组织和个人的合法权益;
2.阻碍个人数据保护活动;
3.通过处理个人数据从事非法行为;
4.违反法律规定处理个人数据;
5.使用他人数据或允许他人使用自己的个人数据从事违法行为;
6.买卖个人数据,法律另有规定的除外;
7.非法占有、故意泄露或丢失个人数据。
PDPL允许在以下情况下传输个人数据:
1.获得数据主体的同意;
2.在同一机关或组织内部部门之间传输个人数据,以按照既定目的处理个人数据;
3.在机关、组织、行政单位分拆、合并或重组时,继续处理个人数据;
4.按照规定向个人数据处理者或第三方传输;
5.应有权国家机关的请求;
6.符合PDPL第19条第1款的规定。
PDPL明确指出,上述情况下的个人数据传输,无论是否收费,均不应被视为买卖个人数据。
PDPL规定了行政处罚和刑事责任。具体而言,对于买卖个人数据的行为,可处以相当于违法所得金额10倍的罚款。对于违反跨境传输规定的,最高可处以上一年度收入的5%的罚款。对于其他违规行为,最高罚款金额为30亿越南盾(约合11.503万美元),个人的罚款金额为组织的一半。
来源:DataGuidence
全文链接:
https://gatewayduthaoonline.quochoi.vn/uploadFiles/host/local/2025/6/26/8/0d23eea386d6418297c611345aa294cf.docx
二、新加坡发布《关于禁止使用身份证号码进行身份验证的联合建议》
2025年6月26日,新加坡个人数据保护委员会(PDPC)与新加坡网络安全局(CSA)联合发布《关于禁止使用身份证号码进行身份验证的联合建议》(以下简称《建议》),敦促所有组织机构立即停止使用国民登记身份证号码(NRIC 号码)进行用户身份验证。
《建议》核心在于:NRIC 号码不应作为证明身份的凭据。原因在于 NRIC 号码旨在标识个人,而非验证身份,且容易被他人知晓。
《建议》呼吁:
1.停止使用 NRIC 号码作为密码。
2.停止将完整或部分 NRIC 号码与其他易于获取的个人数据(如出生日期)组合用于验证。
3.正在实施上述做法的组织机构,应尽快停止。
4.切勿将 NRIC 号码设为默认密码。
《建议》强调,验证用户身份是组织机构的责任,应基于风险评估来决定方法。传统的弱密码(如包含易得个人信息——包括 NRIC 号码)风险极高,容易被猜解冒用。如果确实需要进行身份验证,建议组织机构优先考虑更安全、基于风险的替代方法,这些方法可以单独或结合使用:
1.基于用户“已知”:例如,只有用户本人才知道的强密码。
2.基于用户“拥有”:例如,需要用户持有特定物品,如安全令牌、智能卡。
3.基于用户“具备”:例如,利用用户独特的生物特征,如指纹、面部、虹膜等。
来源:PDPC
三、韩国个人信息保护委员会发布《CCTV安全使用指南》
2025年6月16日,针对每年超过300起与闭路电视(CCTV)相关的个人信息侵犯举报,韩国个人信息保护委员会(PIPC)发布了《CCTV安全使用指南》(以下简称《指南》)。
《指南》明确三项核心行为准则:
1.禁止在隐私空间安装:严禁在浴池、更衣室等非公开、可能侵犯隐私的场所安装CCTV。公开场所仅在特定合法目的(如防犯罪、交通管制)下允许安装。
2.公共场所必须设置提示牌:在公共区域安装CCTV必须同步设置清晰的提示牌,告知CCTV的存在及相关信息。同时,禁止对CCTV进行录音或随意调整拍摄方向等操作。
3.及时回应视频查阅请求:CCTV运营者需在接到信息主体本人提出的视频查阅请求后,在10日内进行处理。如果拒绝,必须告知合法理由,不能以“需要警方在场”或“视频中包含他人”等作为拒绝理由(涉及他人时应进行遮挡处理)。
来源:PIPC
全文链接:
https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=11282#LINK
四、新加坡个人数据保护委员会发布《数据匿名化入门指南》
新加坡个人数据保护委员会(PDPC)于2025年6月11日在第63届亚太隐私机构论坛(APPA)上发布了《数据匿名化入门指南》(以下简称《指南》)。
《指南》为组织提供了关于如何匿名化个人数据的建议和最佳实践。《指南》指出,它借鉴了包括《信息安全、网络安全和隐私保护—增强隐私的数据去标识框架-ISO/IEC27559:20221》(ISO/IEC27559)在内的标准和框架。
《指南》概述了帮助组织有效匿名化数据的流程,包含五个步骤:
1.了解你的数据:理解数据将被使用或共享的环境。这包括识别利益相关者、数据流以及与重新识别相关的潜在风险。
2.移除直接标识符:分析数据集以确定其包含的数据类型,包括直接标识符(例如:姓名)和间接标识符(例如:出生日期、邮政编码)。
3.应用匿名化技术:评估个体从数据集中被重新识别的容易程度,考虑内部和外部数据源。
4.评估风险:应用泛化、抑制或数据扰动等匿名化技术,将可识别性降低到可接受的水平。
5.管理重新识别风险:建立持续的治理实践,包括文档记录、审计和定期审查,以确保匿名化长期有效。
来源:DataGuidence
全文链接:
https://www.appaforum.org/wp-content/uploads/2025/06/APPA-Anonymisation-Guide-Jun-2025.pdf
五、比利时数据保护局发布《DPO注册管理用户手册》
2025年6月9日,比利时数据保护局(DPA)发布《DPO注册管理用户手册》,旨在指导数据控制者如何在DPA在线门户网站上,按照DPO的生命周期进行管理。
该手册提供了关于以下操作的说明:
1.在比利时数据保护局门户创建公司账户;
2.填写在线表格;
3.注册数据保护官(DPO);
4.查看信息;
5.更新信息(修改信息)(DPO的姓名无法直接修改,必须先注销原DPO信息后重新注册新的信息);以及
6.注销数据保护官(DPO)(已注销的DPO的注册信息记录可以在门户中查阅三年,此后与DPO相关的联系信息将被匿名化处理)。
来源:DataGuidence
全文链接:
https://www.gegevensbeschermingsautoriteit.be/publications/handleiding-dpo-case.pdf
六、法国国家信息与自由委员会发布《关于识别控制者、处理者和共同控制者的指南》
2025年6月6日,法国国家信息与自由委员会(CNIL)发布《关于识别控制者、处理者和共同控制者的指南》(以下简称《指南》),旨在指导各方正确识别和确定自己在特定数据处理活动中扮演的角色(数据控制者、共同控制者或数据处理者)。
在GDPR框架下,CNIL对于数据处理角色的定性持有明确立场和执行方式。其核心在于:
1.基于事实而非合同约定:CNIL重申,数据处理角色(控制者、共同控制者、处理者)的确定不取决于各方在合同中的约定,而是完全基于实际情况,即谁决定了数据处理的“目的”和“基本手段”。
2.CNIL的核查权力与重新定性:在进行合规检查时,CNIL不受当事方之间签订的合同中对角色认定的约束。CNIL将依据各方提供的理由及其对数据处理的实际影响来分析和确定责任。
3.强制要求严谨记录和证明:鉴于CNIL的重新定性权力,《指南》强调要从处理设计之初就进行严谨的角色定性分析,并详细记录和证明这一分析过程和结果的重要性,以备CNIL核查。
4.提供支持资源:CNIL在其网站上提供具体的行业案例,以帮助各方更好地理解并正确地进行自我角色定性。
来源及全文链接:CNIL
https://www.cnil.fr/fr/rgpd-comment-bien-identifier-son-role
七、欧洲数据保护委员会发布《关于GDPR第48条向第三国当局跨境传输数据的指南》
2025年6月5日,欧洲数据保护委员会(EDPB)在经过公众咨询后,通过了其《关于GDPR第48条关于向第三国当局跨境传输数据的指南》(Guidelines 02/2024 on Article 48 GDPR)(以下简称《指南》)的最终版本。
《指南》聚焦GDPR第48条,明确了组织应如何最佳评估自身在何种条件下可合法响应第三国当局(即非欧洲国家的当局)提出的个人数据跨境传输请求。
EDPB明确指出,第三国机构的裁决或决定不能直接在欧洲被自动承认或强制执行。通常情况下,国际协议可以为数据传输提供法律依据和保障措施。然而,如果不存在国际协议,或者协议未能提供适当的法律依据或必要的保障措施,那么在极为特殊的情况下,可以根据个案的具体情况,考虑其他法律依据或其他数据传输的条件。
更新后的《指南》所做的修改并未改变其总体方向,而是旨在对咨询过程中提出的不同问题提供进一步的澄清。例如,明确了跨境传输请求接收方为数据处理者时,需立即通知其对应的数据控制者,等待并执行数据控制者关于该请求如何处理的决定或指示,同时补充了第三国母公司收到本国当局请求后,再向其在欧洲的子公司索要个人数据的具体细节。
来源:EDPB
全文链接:
https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-022024-article-48-gdpr_en
八、巴西国家数据保护局就《敏感个人数据处理—生物特征数据》议题公开征求意见
2025年6月2日,巴西国家数据保护局(ANPD)就《敏感个人数据处理—生物特征数据》议题公开征求意见。根据《巴西通用数据保护法》(LGPD),生物特征数据属于敏感个人数据类别。
生物特征数据(如指纹、面部识别、虹膜或行为模式)虽然在安全性和认证方面带来益处,但这些数据也对隐私和基本权利构成重大风险,特别是在学校、边境、公共活动、工作场所和金融交易等场景中被自动化使用时。
本次意见征集的目的是广泛听取社会各界对于处理这些数据所面临的主要挑战、风险以及良好实践的看法,以促进更深入的讨论。分为五个主题板块:
1.定义和原则;
2.合法处理依据;
3.面部识别技术和新兴技术;
4.安全、良好实践和治理;
5.数据主体权利和弱势群体。
就该议题制定的法规将能够为以下方面提供清晰的指导:采取适当措施、选择合适的法律依据、防止歧视性影响,以及促进公共和私营主体在使用生物识别数据时的透明度和问责制。
来源:ANPD
全文链接:
https://www.gov.br/participamaisbrasil/blob/baixar/68589
全球数据监管执法动态
一、45款移动应用涉及违法违规收集使用个人信息
2025年6月24日,国家网络安全通报中心通报45款移动应用违法违规收集使用个人信息具体情况:
1.未公开收集使用规则,涉及1款APP。
2.未逐一列出收集、使用个人信息的目的、方式、范围,涉及18款APP。
3.申请打开权限时,未同步告知用户其目的,涉及1款APP。
4.征得用户同意前开始收集个人信息,涉及4款APP。
5.实际收集信息超出用户授权范围,涉及10款APP。
6.隐私政策中描述的收集信息超出必要范围,涉及5款APP。
7.配置文件声明权限超出必要范围,涉及4款APP。
8.实际收集信息超出功能必要范围,涉及11款APP。
9.实际收集信息频率超出功能必要范围,涉及14款APP。
10.提前要求打开非当前功能所需权限,涉及1款APP。
11.强制要求提供非必要个人信息,涉及2款APP。
12.注销流程设置不合理条件,涉及1款APP。
13.广告存在误导、欺骗行为,涉及12款APP。
来源:国家网络安全通报中心
二、北京两企业因未依法履行数据安全保护义务被罚5万元
2025年6月15日,部分企业因未依法履行数据安全保护义务,其相关系统、服务器或数据库存在未授权访问漏洞和弱口令漏洞问题,造成数据被窃取,北京市网信办依法对涉案企业进行了查处。
案例1:北京某科技公司在开展业务过程中,因技术人员缺乏数据安全保护意识,未对后台业务系统的接口配置访问控制和身份认证等安全措施,导致该系统存在未授权访问漏洞,使储存于其中的姓名、身份证号、手机号等个人信息数据暴露于互联网,并被境外IP访问窃取。
案例2:北京某有限公司在开展业务过程中,为方便系统测试,将ES数据库的9200端口对外开放且未限制访问,导致ES数据库存在未授权访问漏洞,使储存于其中的姓名、手机号等个人信息数据暴露于互联网,并被境外IP访问窃取。
以上两家公司均未依法履行数据安全保护义务,未建立健全全流程数据安全管理制度,相关系统未采取技术措施和其他必要措施保障数据安全,造成部分个人信息数据遭窃取。上述行为违反《中华人民共和国数据安全法》第二十七条规定。针对以上违法情况,北京市网信办依据《中华人民共和国数据安全法》第四十五条,对两家公司作出警告,并处五万元罚款的行政处罚。
来源:网信北京
三、最高法发布利用网络、信息技术侵害人格权典型案例
2025年6月12日,中华人民共和国最高人民法院发布利用网络、信息技术侵害人格权典型案例:非法买卖人脸信息情节严重的,构成侵犯公民个人信息罪——徐某、李某侵犯公民个人信息案。案例详情如下:
2021年6月起,徐某通过其社交账号自他人处购买约130套公民个人身份信息(包括公民的动态人脸图等信息)和1套软件。在未经游戏账号所有人同意的情况下,徐某用购买的公民个人信息和该软件解封多人的游戏账号,还对外有偿出租该软件、出售公民个人信息给社会人员,用于解封社交账号、游戏账号。徐某获利约6千元。
2021年8月起,李某通过使用徐某提供的软件,采取人脸识别、完成观看任务视频等方式为他人解封社交账号,还将从多个渠道购进的公民个人信息(包括人脸照片、视频等)转卖,获利约3万元。徐某、李某被检察机关提起公诉。
人脸照片、视频等公民个人信息也是刑法保护的对象。非法获取、出售或提供人脸照片、视频等公民个人信息,情节严重的,将构成侵犯公民个人信息罪。徐某、李某违反国家有关规定,情节严重,其行为均已构成侵犯公民个人信息罪,应依法惩处。两人归案后如实供述犯罪事实,自愿认罪,积极退缴违法所得,依法可以从轻处罚。最终判决:李某犯侵犯公民个人信息罪,判处有期徒刑九个月,并处罚金人民币3万元;徐某犯侵犯公民个人信息罪,判处有期徒刑六个月,并处罚金人民币6千元;违法所得及手机、电脑等作案工具予以没收。
来源:中华人民共和国最高人民法院
四、爱尔兰社会保障部因违规人脸识别被爱尔兰数据保护委员会罚款55万欧元
2025年6月12日,爱尔兰数据保护委员会(DPC)宣布了对社会保障部门(DSP)调查结束后的最终裁决。本次调查于2021年7月启动,针对DSP在公共服务卡(Public Services Card)的“SAFE2注册”过程中,处理生物特征面部模板和使用面部匹配技术的合规性。
SAFE2注册是强制性的,涉及对爱尔兰绝大多数人口大规模收集和处理高度敏感的生物特征数据(特殊类别数据),需要有效的合法性基础,以保护个人权利。DPC发现DSP存在以下违规行为:
1.缺乏合法性基础:收集和保留生物特征数据没有找到有效的合法性基础[违反《通用数据保护条例》(GDPR)第5(1)(a),6(1),9(1),5(1)(e)条]。
2.透明度不足:未能向数据主体提供关于SAFE2注册的足够透明信息[违反GDPR第13(1)(c),13(2)(a)条]。
3.DPIA缺陷:进行的数据保护影响评估(DPIA)不充分,缺少必要细节[违反GDPR第35(7)(b),(c)条]。
爱尔兰数据保护委员会(DPC)对DSP正式警告,处以总计550,000欧元的行政罚款。要求DSP在裁决做出后9个月内停止相关的生物特征数据处理,除非能够确定并提供有效的合法性基础。
来源:DPC
五、德国电信服务提供商Vodafone因违反GDPR规定被德国联邦监管局处罚0.45亿欧元
2025年6月10日,电信服务提供商Vodafone因违反《通用数据保护条例》(GDPR)规定被德国联邦监管局处罚0.45亿欧元。
Vodafone是德国市场的电信服务提供商。该公司采用多种分销渠道,其中包括实体店,部分实体店由其合作的代理机构运营。这些代理机构以沃达丰品牌运营,受公司指示约束,其IT系统也基于沃达丰提供的软硬件,客户数据处理受数据处理协议规范。
调查发现,沃达丰在对这些数据处理方(即合作的代理机构)的监督和审计流程方面存在与隐私相关的弱点;同时,其IT系统也存在弱点。这些问题导致客户数据面临被滥用于欺诈的风险,并且在一些案件中,这种风险已经实际发生。
此外,沃达丰还为其客户提供在线服务门户。德国联邦监管机构的调查发现,当该门户与公司热线服务结合使用时,客户账户的身份验证流程存在弱点,这可能导致eSIM被滥用。
目前Vodafone已采取措施补救措施。德国联邦监管机构根据调查结果做出了以下决定:对于沃达丰在监督和审计合作代理机构方面程序不足的问题,处以0.15亿欧元的罚款。此外,对于在线服务门户安全措施不足的问题,处以0.3亿欧元的罚款。
来源:EDPB
六、数据经纪人CALOGA因违反GDPR规定被法国国家信息与自由委员会处罚8万欧元
2025年6月10日,数据经纪人CALOGA因违反《通用数据保护条例》(GDPR)规定被法国CNIL处罚8万欧元。CALOGA从其他数据经纪人及游戏/测试网站获取潜在客户数据,然后用于为广告客户发送推广邮件或将数据提供给客户自行推广。法国CNIL调查发现,CALOGA有以下违规行为:
1.未获取有效的电子商业推广同意(法国《邮政与电子通信法》第L.34~5条):CALOGA使用的误导性表格,未能按GDPR要求获取自由且明确的同意。
2.未能遵守退订义务(法国《邮政与电子通信法》第L.34~5条,参考GDPR第7条):现有系统无法实现从所有数据库的一键退订,撤回同意不如给予同意便捷。
3.数据处理无合法基础(GDPR第6条):将潜在客户数据传输给其他合作伙伴进行商业推广,错误地基于合法利益处理,而本应基于数据主体的同意且并未获得。
4.数据保留期限不合规(GDPR第5-1-e条):通过打开邮件行为延长数据存储期限,可能导致无限期保留。
根据调查结果,CNIL负责处罚的专门委员会(限制委员会)认定该公司违反了法国《邮政与电子通信法》(CPCE)和GDPR的相关义务,对其处以8万欧元的公开罚款。
来源:EDPB
收集整理:德和衡网络安全与数据合规团队
德和衡网络安全与数据合规团队是一个长期专注于数据合规专项法律服务的团队。团队成员由北京、深圳、上海三地的律师组成。团队自2014年成立以来,核心成员均来自国内领先的网络安全企业360,积累了丰富的行业经验。团队还与奇安信、中电科、全知科技、银行卡检测中心(BCTC)等技术领先团队建立了密切且稳固的长期合作关系。团队致力于协助企业客户提升数据管理水平,预防及应对数据安全问题,提高数据质量,并充分发挥企业数据资产的最大价值。目前,团队已为房产、能源、智能制造、电子、车联网、大数据、金融、物流、电商等多个行业的领军企业提供全套数据合规法律服务。