新闻资讯

行业洞察 | 全球数据合规资讯2025年7月速报

2025-08-06

  本期内容

  国内数据法规政策动态:

  一、国家数据局、市场监管总局发布数据流通交易合同示范文本

  二、最高法、最高检、公安部发布《关于办理帮助信息网络犯罪活动等刑事案件有关问题的意见》

  三、国家互联网信息办公室发布《关于开展个人信息保护负责人信息报送工作的公告》

  四、全国网络安全标准化技术委员会发布关于对《网络安全标准实践指南——扫码点餐个人信息保护要求(征求意见稿)》公开征求意见的通知

  五、全国网络安全标准化技术委员会发布《网络安全技术网络安全产品互联互通第5部分:行为信息格式》(征求意见稿)等9项国家标准意见的通知

  六、中央网络安全和信息化委员会公布《数据安全技术 电子产品信息清除技术要求(征求意见稿)》

  七、《移动互联网应用服务用户权益保护合规管理指南》发布

  八、全国网络安全标准化技术委员会公布《网络安全标准实践指南——摇一摇广告触发行为安全要求》

  九、山东省大数据局印发《山东省数据交易规范指引(试行)》

  十、江西省发改委等五部门印发《关于加快促进数据产业高质量发展若干政策措施》

  境外数据法规政策动态:

  一、欧盟委员会发布《数字服务法案框架下关于未成年人保护的指南》

  二、欧洲数据保护委员会发布《赫尔辛基声明》

  三、马来西亚个人数据保护局发布《数据保护官(DPO)注册手册》

  四、韩国PIPC发布《个人信息处理综合指南》

  五、法国CNIL发布《数据传输影响评估(TIA)实践指南》

  六、越南政府发布《核心数据和重要数据清单》

  七、中欧双方同意设立工作组:就汽车领域数据跨境流动开展合作

  八、中国港澳地区携手亚太七大私隐保障机构共同发布《个人资料匿名化入门指南》

  全球数据监管执法动态:

  一、33款移动应用违法违规收集使用个人信息

  二、四川某科技公司未落实网络安全保护义务致数据泄露被依法处罚

  三、最高法发布一则关于已公开个人信息合理使用认定的入库案例

  四、瑞典SA:对SL集团的两家公司进行行政罚款

  五、DPC宣布调查TikTok Technology Limited将欧洲经济区用户的个人数据传输到位于中国的服务器

  六、谷歌因非法收集、滥用安卓用户数据信息,美国加州陪审团裁定谷歌赔偿3.15亿美元

  国内数据法规政策动态

  一、国家数据局、市场监管总局发布数据流通交易合同示范文本

  2025年7月2日,国家数据局综合司、市场监管总局办公厅联合发布《关于印发数据流通交易合同示范文本的通知》。示范文本包括《数据提供合同(示范文本)》《数据委托处理服务合同(示范文本)》《数据融合开发合同(示范文本)》《数据中介服务合同(示范文本)》,一共四份。

  1.《数据提供合同(示范文本)》:主要围绕数据合规,依据多部相关法律,对数据提供中的标的数据、衍生数据等明确界定,规范数据产权及各方权利义务,涵盖数据质量、交付、验收、安全、保密等环节,确保数据提供合法有序,保障各方权益。

  2.《数据委托处理服务合同(示范文本)》:依据相关法律法规,明确了原始数据、结果数据等定义,规范了委托方与受托方的权利义务,涵盖数据处理范围、交付验收、安全保密、跨境传输等要求,还涉及违约责任与争议解决。

  3.《数据融合开发合同(示范文本)》:该文件以相关民法典、数据安全法等为依据,强调数据融合开发需遵循数据质量、使用限制要求,明确数据权益划分,保障数据安全,规范跨境传输,同时注重知识产权、保密及违约追责等。

  4.《数据中介服务合同(示范文本)》:适用于数据中介方为促成数据流通交易而提供市场推广、信息发布、客户对接、交易撮合、合同订立等的媒介服务活动。该示范文本要求数据来源合法、权属清晰、持有合规,各方需按相关法规处理标的数据,保障数据安全与合法使用。

  来源:人民资讯

  全文链接:国家数据局综合司

  《数据提供合同(示范文本)》:ff808081-96b466bd-0197-f79cc0e8-0e08.pdf(nda.gov.cn)

  《数据委托处理服务合同(示范文本)》:ff808081-96b465bf-0197-f79ccfeb-0ead.pdf(nda.gov.cn)

  《数据融合开发合同(示范文本)》:ff808081-96b465bf-0197-f79cde65-0eae.pdf(nda.gov.cn)

  《数据中介服务合同(示范文本)》:ff808081-96b466bd-0197-f79ceb83-0e09.pdf(nda.gov.cn)

  二、最高法、最高检、公安部发布《关于办理帮助信息网络犯罪活动等刑事案件有关问题的意见》

  2025年7月22日,最高人民法院、最高人民检察院、公安部今日发布《关于办理帮助信息网络犯罪活动等刑事案件有关问题的意见》(以下简称《意见》)。

  近年来,以电信网络诈骗为代表的信息网络犯罪高发多发,围绕电信网络诈骗等犯罪产生了一系列黑灰产业,衍生出大量上下游关联犯罪,严重危害网络安全、社会稳定和人民安宁。据最高人民法院刑三庭庭长汪斌介绍,《意见》坚持宽严相济,突出打击重点。

  根据当前帮信犯罪日益职业化、组织化、隐蔽化、智能化趋势,《意见》规定,办案机关要全面准确贯彻宽严相济刑事政策,做到该宽则宽,当严则严,宽严相济,罚当其罪。对于组织性、职业性和跨境协同实施的帮助信息网络犯罪活动行为,以及实施帮助信息网络犯罪活动等犯罪的组织者、策划者、指挥者、骨干成员等,依法从严惩处;对于未成年人、在校学生,以及处于犯罪链条末端、情节较轻的人员,依法从宽处理,并分别对从严、从宽的具体情形予以明确,便于办案人员准确理解适用。例如,《意见》明确,组织、利用未成年人、在校学生、老年人、残疾人等群体实施犯罪的,或者跨境非法提供技术支持或帮助的,或利用“深度合成”等人工智能技术实施犯罪的,应依法从严惩处。

  来源:中国日报网

  全文链接:

  https://www.mpaypass.com.cn/download/202507/28181414.html

  三、国家互联网信息办公室发布《关于开展个人信息保护负责人信息报送工作的公告》

  2025年7月18日,国家互联网信息办公室发布《关于开展个人信息保护负责人信息报送工作的公告》(以下简称“公告”),主要信息如下:

  1.信息报送要求:根据《个人信息保护法》第五十二条、《个人信息保护合规审计管理办法》第十二条规定,处理100万人以上个人信息的个人信息处理者,应当向所在地设区的市级网信部门履行个人信息保护负责人信息报送手续。

  2.信息报送时间:

  (1)自公告发布之日起,个人信息处理者处理个人信息达到100万人的,应当自数量达到之日起30个工作日内完成信息报送。

  (2)公告发布前,个人信息处理者处理个人信息数量已经达到100万人的,应当在2025年8月29日前完成信息报送。

  (3)报送信息发生实质性变更的,应当在变更之日起30个工作日内办理信息变更手续。

  3.信息报送方式:个人信息保护负责人信息报送工作采用线上方式。请直接访问“个人信息保护业务系统”(https://grxxbh.cacdtsc.cn),按照系统首页提供的《个人信息保护负责人信息报送系统填报说明(第一版)》,准备相关材料并履行信息报送手续,也可从中国网信网(https://www.cac.gov.cn)首页“全国网信政务办事大厅”栏目访问“个人信息保护业务系统”。

  4.法律责任:未按照《个人信息保护法》《个人信息保护合规审计管理办法》等法律法规规章的规定履行信息报送手续的,依照有关法律法规规章的规定处理。

  来源及全文链接:国家互联网信息办公室

  https://www.cac.gov.cn/2025-07/18/c_1754553420421538.htm

  四、全国网络安全标准化技术委员会发布关于对《网络安全标准实践指南——扫码点餐个人信息保护要求(征求意见稿)》公开征求意见的通知

  2025年7月22日,为指导餐饮商家规范扫码点餐服务个人信息处理活动,减少因扫码点餐造成的个人权益损害问题,全国网络安全标准化技术委员会发布关于对《网络安全标准实践指南——扫码点餐个人信息保护要求(征求意见稿)》公开征求意见的通知(下称《指南》)。

  《指南》核心原则明确扫码点餐需遵循合法、正当、必要和诚信等准则,强调处理个人信息需有合理理由,禁止通过强制关注公众号、注册会员等方式变相获取信息,同时要求公开处理规则,确保行为与公开内容一致。

  在具体要求上,《指南》严格限制信息收集范围,明确订单信息和支付信息为必要信息,手机号、位置等属于非必要信息,商家不得超范围强制收集。对于小程序开发运维,要求制定详细处理规则,首次使用时弹窗明示并获用户主动同意,还需建立投诉响应机制。

  针对第三方合作场景,《指南》规定餐饮商家委托第三方时,需通过协议明确双方权利义务,监督受托方行为,合同终止后要求返还或删除信息;小程序平台则需审核开发者资质和处理规则,上线前后进行安全检测,对违规小程序采取下架等措施。

  来源及全文链接:全国网络安全标准化技术委员会

  https://www.tc260.org.cn/front/postDetail.html?id=20250716164841

  五、全国网络安全标准化技术委员会发布《网络安全技术网络安全产品互联互通第5部分:行为信息格式》(征求意见稿)等9项国家标准意见的通知

  2025年7月17日,全国网络安全标准化技术委员会发布《网络安全技术网络安全产品互联互通第5部分:行为信息格式》(征求意见稿)等9项国家标准意见的通知。9项国家标准介绍如下:

  1.《网络安全技术网络安全产品互联互通第5部分:行为信息格式》:关于网络安全产品互联互通行为信息的描述格式;

  2.《网络安全技术网络安全产品互联互通第6部分:功能接口》:关于网络安全产品互联互通功能协同接口和信息共享接口的通信方式、安全要求和数据格式;

  3.《网络安全技术网络安全等级保护测评机构能力要求和评估规范》:关于网络安全等级保护测评机构的能力要求、评估规范;

  4.《网络安全技术网络存储安全技术要求》:关于网络存储安全技术要求;

  5.《网络安全技术信息系统安全保障评估框架第2部分:安全保障要求》:关于信息系统的安全功能组件及安全保障组件的要求,并对安全保障组件划分了五个能力成熟度等级;

  6.《网络安全技术电子邮件系统安全技术规范》:关于电子邮件系统网络安全要求,包括电子邮件系统的安全技术要求、安全管理要求、安全运行要求和测试评价方法;

  7.《网络安全技术事件调查原则和过程》:关于网络安全技术中事件调查原则和过程,为各种事件调查场景下涉及数字证据的调查提供指南,包括从事前准备到调查结束的各个过程,以及对过程实施的建议和注意事项;

  8.《网络安全技术关键信息基础设施安全主动防御实施指南》:关于关键信息基础设施安全主动防御中安全预防与加固、攻击发现和阻断、防护措施有效性验证、联动防御等方面的实施指南;

  9.《网络安全技术关键信息基础设施安全监测预警实施指南》:给出关键信息基础设施安全监测预警的体系框架,提供了关键信息基础设施在安全监测、预警、联动、管理等方面的指南和建议。

  相关材料已发布在网安标委网站(网址https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10),如有意见或建议请于2025年9月12日24:00前反馈秘书处。

  来源及全文链接:全国网络安全标准化技术委员会

  https://mp.weixin.qq.com/s/33TelRbm_A4EyEeQfKSoEg

  《网络安全技术网络安全产品互联互通第5部分:行为信息格式》:

  https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20250715141609&norm_id=20250707161730&recode_id=59434

  《网络安全技术网络安全产品互联互通第6部分:功能接口》:

  bf4d8d02-bfe2-42a6-98c6-e279fd8c7b2a.docx(live.com)

  《网络安全技术网络安全等级保护测评机构能力要求和评估规范》:

  https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20250715141744&norm_id=20250214092223&recode_id=59438

  《网络安全技术网络存储安全技术要求》:

  https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20250715141817&norm_id=20250424185259&recode_id=59442

  《网络安全技术信息系统安全保障评估框架第2部分:安全保障要求》:

  https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20250715141801&norm_id=20250214150722&recode_id=59440

  《网络安全技术电子邮件系统安全技术规范》:

  https://www.tc260.org.cn/file/2025-07-10/0a543e0e-fd28-43b5-8698-ecbe324e0a11.pdf

  《网络安全技术事件调查原则和过程》:

  https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20250715141508&norm_id=20250214093149&recode_id=59428

  《网络安全技术关键信息基础设施安全主动防御实施指南》:

  https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20250715141531084864&norm_id=20250213145322&recode_id=59432

  《网络安全技术关键信息基础设施安全监测预警实施指南》:

  https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20250715141531069820&norm_id=20250213140645&recode_id=59430

  六、中央网络安全和信息化委员会公布《数据安全技术电子产品信息清除技术要求(征求意见稿)》

  2025年7月14日,中央网络安全和信息化委员会公布《数据安全技术电子产品信息清除技术要求(征求意见稿)》(以下简称《要求》),并面向社会公开征求意见。

  《要求》围绕电子产品用户数据安全,构建了覆盖信息清除全流程的数据合规框架,核心目标是通过规范用户数据的清除行为,防止数据被非法读取、访问或恢复,保障个人信息与数据安全。

  在信息清除的核心要求上,《要求》明确了需清除的用户数据范围,涵盖应用程序及数据、媒体文件、缓存、备份数据、系统配置信息等,排除云端备份、系统初始配置等非用户生成数据。同时,规定了数据覆写、指令清理等技术手段的合规标准,要求清除后的数据无法通过常规恢复工具、专业设备或存储介质拆解等方式复原,确保清除效果的彻底性。

  针对责任主体,《要求》细化了厂商与回收经营者的合规义务。电子产品厂商需在系统中提供一键清除功能,根据设备类型明确不同的数据覆写次数要求,并保障清除前的用户确认、账号退出等机制。回收经营者则需在回收环节履行数据保护义务,包括获取用户同意、验证清除效果、建立追溯码制度,对未有效清除数据的设备采取覆写、销毁或退回等措施,禁止违规销售或出境,并妥善保管相关记录至少六个月。

  此外,《要求》强调信息清除效果的验证合规性,要求通过技术检测、工具验证、日志核查等方式,确保清除操作达到标准,同时对回收设备实施抽样验证,强化全流程的数据安全管控,形成从技术实施到责任落实的闭环合规体系。

  来源及全文链接:中央网络安全和信息化委员会

  https://www.cac.gov.cn/2025-07/14/c1753948488354406.htm

  七、《移动互联网应用服务用户权益保护合规管理指南》发布

  2025年7月3日,工业和信息化部组织中国互联网协会和中国信息通信研究院在京发布《移动互联网应用服务用户权益保护合规管理指南》(以下简称《指南》)。《指南》全面梳理现行法规政策相关要求,指导企业建立健全合规管理体系,积极营造健康有序的良好服务环境。

  《指南》结合行业实际,着眼移动互联网应用常见服务场景,重点梳理了服务提供、个人信息保护、算法推荐、服务收费、投诉处理、客服热线6个方面的用户权益保护要求。遵循合法、正当、必要和诚信原则处理个人信息,公开个人信息处理规则。要保障用户知情权、选择权、公平交易权等合法权益,以通俗易懂的方式,真实、全面地向用户告知商品或者服务相关信息,不得有欺骗、误导或强迫用户的行为。

  《指南》核心聚焦企业在移动互联网应用服务中对用户数据的收集、使用、保护及相关行为的规范,强调合法、正当、必要及诚信原则,要求数据处理目的明确且与用途直接相关,避免过度收集。

  来源:中华人民共和国工业和信息化部

  全文链接:

  https://www.isc.org.cn/profile//2025/07/04/18307f68-0e86-4028-af6f-826d4a8b1710.pdf

  八、全国网络安全标准化技术委员会公布《网络安全标准实践指南——摇一摇广告触发行为安全要求》

  2025年7月22日,全国网络安全标准化技术委员会宣布编制了《网络安全标准实践指南——摇一摇广告触发行为安全要求》(以下简称《实践指南》)。

  《实践指南》依据法律法规和政策标准要求,规定了摇一摇广告触发行为安全要求,旨在规范摇一摇广告的展示和触发行为。

  从数据处理活动规范看,《实践指南》严禁任何个人、组织利用网络数据从事非法活动,如窃取、非法获取、出售或提供网络数据等。网络数据处理者开展可能影响国家安全的活动,需进行国家安全审查,因合并等原因转移网络数据时,接收方要继续履行安全保护义务。

  安全保障措施方面,《实践指南》要求网络数据处理者依据法规和国家标准,在网络安全等级保护基础上,采取加密、备份、访问控制等技术及其他必要措施,保护网络数据安全,对所处理数据安全负主体责任。发现网络产品、服务存在安全风险要及时补救、报告。还要建立健全安全事件应急预案,事件发生时启动预案并按规定通知利害关系人、向主管部门报告,发现违法犯罪线索要报案并配合工作。向其他处理者提供、委托处理个人信息和重要数据时,要约定相关事项并监督,处理情况记录至少保存3年。

  《实践指南》强调网络数据处理者处理个人信息之前要制定规则向个人告知相关内容,规则应醒目、易懂,处理敏感个人信息、未成年人个人信息有特殊要求。基于个人同意处理时,不得超范围收集,处理敏感信息需单独同意,处理未成年人信息要取得其父母或监护人同意。

  来源及全文链接:全国网络安全标准化技术委员会

  https://www.tc260.org.cn/front/postDetail.html?id=20250716164907

  九、山东省大数据局印发《山东省数据交易规范指引(试行)》

  2025年7月16日,山东省大数据局印发《山东省数据交易规范指引(试行)》(以下简称《指引》),从交易准备、合规审核、交易磋商与合同签订、交付结算、凭证开具、争议处理等方面进一步规范数据交易行为,适用于山东省行政区域内开展的数据交易相关活动。

  据了解,数据交易标的主要为数据产品,数据交易应当遵循依法合规、市场主导、公平自愿、包容创新、安全可控的原则,不得损害国家利益、社会公共利益和他人合法权益。当前,数据市场尚处于培育期,数据交易活动存在信息不对称、沟通成本高、操作不规范等问题。《指引》将推动数据合规高效流通使用,加快培育数据市场。

  从数据供需双方视角出发,《指引》明确了数据交易基本流程,对各方交易主体行为进行了规范。数据提供方应当保证交易标的真实、完整、合法,并明确基础信息,数据需求方应当明确数据需求信息,包括但不限于数据需求内容、数据用途、应用场景和使用方式等。

  为鼓励经营主体进场交易,《指引》对通过数据交易机构开展数据交易的行为进行了特别说明。通过数据交易机构进行交易的,数据提供方应当向数据交易机构提交主体资格类材料、数据来源证明材料、交易标的合法合规承诺书以及数据交易机构要求的其他材料,数据需求方需向数据交易机构提交主体资格类材料。

  来源:山东省人民政府

  全文链接:

  http://bdb.shandong.gov.cn/art/2025/7/17/art_333972_75476.html

  十、江西省发改委等五部门印发《关于加快促进数据产业高质量发展若干政策措施》

  2025年7月7日,为贯彻落实国家发展改革委、国家数据局等六部门《关于促进数据产业高质量发展的指导意见》(发改数据〔2024〕1836号)文件精神,加快释放数据要素价值,促进数据产业高质量发展,结合江西实际,江西省发展改革委(省大数据局)会同有关部门研究制定了《关于加快促进数据产业高质量发展若干政策措施》(以下简称《措施》)。

  《措施》指出,在引育多元化数据企业方面,依法依规引进相关企业。发展第三方专业服务时,培育规范专业服务机构,建立健全服务标准和规范。扩大数据资源高效供给,推进“一数一源”,完善公共数据资源登记平台,出台授权运营实施细则,鼓励企业和个人数据登记,支持企业开展DCMM贯标,在保护个人信息权益前提下推进个人数据开发利用。深化数据场景创新应用,打造示范场景,开发数据产品和服务。推动数据产业集聚发展,建设特色集聚区和专业园区。

  在数据流通与交易环节,《措施》要求合规贯穿全链条。政策明确要建立健全数据流通交易的权责确认、纠纷调解等规则,加强数据产品质量监管,保障交易双方合法权益。同时,探索多元定价机制,规范公共数据授权运营与收益使用,明确“谁投入、谁贡献、谁收益”的原则,确保数据交易在合规框架内实现价值转化。针对跨境数据流动,提出构建高效安全的流通机制,平衡数据利用与安全保障。

  《措施》强调数据安全与制度建设是合规体系的重要支撑。严格落实国家数据分类分级保护制度,重点加强国家安全、商业秘密和个人隐私数据的保护,要求数据处理主体承担全流程安全责任。在制度层面,加快建立数据产权归属、权益分配等制度,推动数据领域监管机制完善,强化产业运行监测,为合规管理提供制度依据。此外,通过培育专业人才、推动技术创新等方式,提升数据可信、可控利用能力,筑牢数据合规的技术与人才根基。

  来源及全文链接:江西省发展和改革委员会

  https://drc.jiangxi.gov.cn/jxsfzhggwyh/col/col4990/content/content_1943495231163539456.html

  境外数据法规政策动态

  一、欧盟委员会发布《数字服务法案框架下关于未成年人保护的指南》

  2025年7月14日,欧盟委员会发布了《数字服务法案框架下关于未成年人保护的指南》(以下简称《指南》),采取这一举措的目的是通过支持未成年人可以访问的网络平台,为儿童创造一个更安全的网络环境,以确保儿童享有高水平的隐私和安全。

  《指南》涵盖采取广泛的措施,例如验证用户年龄、改进向用户推荐内容的方式以降低儿童接触有害内容的风险、默认将儿童账户设置为私密账户、儿童安全内容审核的最佳实践、儿童友好的举报渠道和用户支持,以及平台内部治理的指导。

  包括“儿童更佳互联网”(BIK+)青年大使在内的各利益相关方已广泛征询意见,并参与了指南草案的制定。《指南》中概述的措施将适用于除微型和小型企业外,所有规模的未成年人可访问的网络平台,包括欧盟每月用户超过45万的大型网络平台。

  来源:欧盟记者

  全文链接:

  https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-protection-minors

  二、欧洲数据保护委员会发布《赫尔辛基声明》

  2025年7月3日,欧洲数据保护委员会(EDPB)通过了一项具有里程碑意义的《赫尔辛基声明》(以下简称《声明》),旨在加强透明度、支持和参与。

  《声明》概述了新的措施,以使《通用数据保护条例》(GDPR)合规实践更容易,特别是对微型、小型和中型组织,加强一致性和促进跨监管合作。

  在整个工作过程中,EDPB将加强与利益相关方的对话,主动且尽早地开展交流,以确定需要进一步支持和澄清的领域,并为利益相关方提供指出可能存在的不一致之处和提出反馈的机会。欧洲数据保护委员会将公开报告公众咨询的主要结果。

  为确保欧洲各地对《通用数据保护条例》(GDPR)的解释和执行保持一致,各方同意采取一系列措施。其中,欧洲数据保护委员会(EDPB)成员将不断努力使各国和欧洲数据保护委员会的指导方针保持一致。他们还将制定共同的实践、方法、工具和共同行动审查指南,以确保其在实际应用中的有效性。EDPB还将发布数据保护机构对优先事项的立场,以帮助组织了解并满足监管预期。

  欧洲数据保护委员会认识到数字监管环境日益复杂,已重新承诺促进与非数据保护监管机构的结构化合作,以解决跨部门案件中的法律和实际挑战。

  来源:EDPB

  全文链接:

  https://www.edpb.europa.eu/system/files/2025-07/edpb-statement-20250702-enhanced-clarity-support-engagement_en_0.pdf?utm_source=chatgpt.com

  三、马来西亚个人数据保护局发布《数据保护官(DPO)注册手册》

  马来西亚《数据保护官(DPO)注册手册》(以下简称《手册》)于2025年7月2日更新,旨在指导数据控制者依据《2010年个人数据保护法》(第709号法案)完成DPO注册。

  根据《手册》,数据控制者和处理者若满足以下条件之一必须任命DPO:处理个人数据超过20,000个数据主体;处理敏感个人数据(含财务信息)超过10,000个数据主体;涉及需定期系统监控的活动。任命后需在21天内通过SPDP系统(https://daftar.pdp.gov.my)向专员报备,2025年6月1日为强制生效日。

  注册前需确保DPO符合任职条件、设立专用公务邮箱,并准备任命书。注册流程包括用户登录、填写组织信息、录入DPO详情(含教育背景、培训证明等)并提交确认。手册还涵盖组织及DPO信息更新、DPO信息删除(需选择原因并填写最后服务日期)等操作步骤。

  来源及全文链接:马来西亚个人数据保护局

  https://www.pdp.gov.my/ppdpv1/wp-content/uploads/2025/07/Manual_Pengguna_Pendaftaran_DPO_BM.pdf

  四、韩国PIPC发布《个人信息处理综合指南》

  2025年7月14日,韩国个人信息保护委员会(PIPC)发布《个人信息处理综合指南》(下称“指南”)。指南结合2023年《个人信息保护法》(PIPA)修正案,纳入并废止了PIPC此前发布的关于同意、个人信息保护措施及自动化决策等指南,涵盖具体应用场景,且将每年更新。

  指南全面阐释PIPA规定的义务,包括:

  1.第1至6条涉及的个人信息处理目的与原则;

  2.收集、使用、提供个人信息的法律依据,以及信息的进一步使用和向第三方提供的限制;

  3.第21条规定的个人信息销毁要求;

  4.第22条同意获取规则;

  5.特殊类别信息保护(含儿童信息、敏感信息、唯一标识信息、居民登记号等,对应第22-2、23、24、24-2条);

  6.第26条涉及的第三方供应商管理及个人信息处理;

  7.第27条的跨境数据传输规则。

  指南强调了2023年PIPA修正案的相关变化,例如在第22条获取同意方面,明确有效同意的构成及禁止的获取方式,并举例说明组织在特定情况下(如单独获取同意、隐私通知要求、同意表单规范等)如何合法获取同意。

  来源:dataguidance

  全文链接:

  https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=11349

  五、法国CNIL发布《数据传输影响评估(TIA)实践指南》

  2025年7月9日,法国数据保护监管机构(CNIL)发布了《数据传输影响评估(TIA)实践指南》(以下简称《指南》),数据传输影响评估(TIA)是欧盟数据跨境传输合规的关键环节。依赖GDPR第46条传输工具(如标准合同条款(SCCs)、有约束力的公司规则(BCRs))向欧洲经济区(EEA)外传输数据的出口方,必须开展TIA。《指南》主要内容如下:

  TIA实施前需明确5个核心问题:一是确认是否存在个人数据传输行为;二是判断是否符合豁免情形(如目的地国属欧盟充分性决定范围或基于GDPR第49条例外),以确定是否需开展TIA;三是明确责任主体为受GDPR约束的出口方(控制者或处理者),进口方需提供协助;四是界定TIA范围,尤其需涵盖数据的后续传输环节;五是核查传输是否符合GDPR的核心原则。

  TIA实施需遵循6个步骤:首先全面掌握传输细节,包括数据类型、规模及用途;其次明确所使用的具体传输工具;接着评估目的地国的法律体系、实践情况及传输工具的实际效力,重点关注当地政府对数据的访问权限;随后识别并选定补充措施以填补保护缺口;再落实补充措施及相关程序性步骤;最后定期重新评估保护水平,持续监测可能影响保护效果的潜在变化。《指南》为非强制性文件,组织可结合实际采用其他合规方法。

  来源:CNIL

  全文链接:

  https://www.cnil.fr/sites/default/files/2025-07/guide_tia.pdf

  TIA模板

  https://www.cnil.fr/sites/default/files/2025-07/tia_template.ods

  六、越南政府发布《核心数据和重要数据清单》

  2025年7月2日,越南副总理签署第20/2025/QĐ-TTg号政府总理决定,正式公布《核心数据与重要数据清单》,明确26项核心数据和18项重要数据清单。

  核心数据包括未公开的国界领土主权数据、国防安全领域科技发展战略数据、军事国防工程数据、金融预算数据、医疗数据、组织和公民数据等。重要数据在核心数据基础上,增加了信访反腐、犯罪调查、交通、金融银行、社保医保、教育、劳动等领域未公开数据。

  根据规定,核心数据认定以非法收集使用的直接危害为标准,重要数据则依据潜在影响程度,均围绕国防安全、外交、宏观经济、社会稳定等维度界定。此前6月30日发布的第165/2025/NĐ-CP号法令已明确两类数据的具体认定标准。

  越南副总理要求公安部统筹该决定的实施、指导与检查,协调修订目录并上报审批;国防部负责军事、国防及密码领域数据的实施监督;各部委、地方政府需指导本领域数据分类,配合公安部完善目录。

  来源及全文链接:越南政府

  https://baochinhphu.vn/ban-hanh-danh-muc-du-lieu-cot-loi-du-lieu-quan-trong-102250702162908953.htm

  七、中欧双方同意设立工作组:就汽车领域数据跨境流动开展合作

  2025年7月17日,中欧数据跨境流动交流机制第二次会议在布鲁塞尔举行。中国国家互联网信息办公室副主任王京涛和欧盟委员会贸易总司总司长萨宾·韦恩德共同主持会议。

  会议回顾机制建立以来取得的积极进展,认为机制在促进中欧数据跨境流动方面发挥了重要作用。双方就中欧数据跨境流动相关议题进行了深入、务实、富有建设性的交流,并结合双方企业诉求,就坚持双向对等原则进一步发挥机制作用,推动规则联通等达成广泛共识。双方同意设立工作组,就中欧汽车领域数据跨境流动开展合作。

  中国国家互联网信息办公室、工业和信息化部、商务部、驻欧盟使团,欧盟委员会贸易总司、司法与消费者总司、通信网络、内容和技术总司相关负责人参加会议。

  来源:网信中国

  八、中国港澳地区携手亚太七大私隐保障机构共同发布《个人资料匿名化入门指南》

  2025年7月31日,在日前举行的“第63届亚太区私隐机构论坛”上,澳门个人资料保护局、香港个人资料私隐专员公署,与来自澳大利亚维多利亚省、加拿大联邦及英属哥伦比亚省、日本、韩国、新西兰及新加坡的七个私隐或资料保障机构共同编撰并翻译发布《个人资料匿名化入门指南》(下称《匿名化指南》)。

  匿名化一般是指将个人资料转化为无法再用作识别个人身份的资料。《匿名化指南》介绍匿名化的基本概念,并概述机构匿名化处理资料的建议步骤。《匿名化指南》亦透过个案分析,阐释机构如何在实际运作中应用这些匿名化步骤,当中包括:

  1.第一步(了解你的资料):机构在进行匿名化处理前,须识别资料的类型,包括:

  (1)直接标识符:可直接识别个人身份的资料,例如姓名及身份证号码;

  (2)间接标识符:资料本身未必具有独特性,但与其他资料结合后可识别个人身份,例如出生日期及性别;

  2.第二步(移除直接标识符):从数据集中移除直接标识符。

  3.第三步(应用匿名化技术):使用匿名化技术处理间接标识符,以防他人透过结合间接标识符及其他资料以识别个人身份。

  4.第四步(评估再识别风险):评估已匿名化的资料是否仍存在识别个人身份的风险,并根据评估结果判断匿名化是否足够。如未能符合相关要求,应重复上述步骤。

  5.第五步(管理再识别风险):针对应用匿名化技术处理资料后仍然存在的风险,应采取相应的风险缓减措施,例如限制资料用途及仅限授权人员存取等。

  来源:澳门行政特区新闻局

  全文链接:

  https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/appa_anonymisation_guide072025.pdf

  全球数据监管执法动态

  一、33款移动应用违法违规收集使用个人信息

  2025年7月23日,国家网络安全通报中心通报33款移动应用违法违规收集使用个人信息具体情况:

  1.未公开收集使用规则,涉及1款APP。

  2.未逐一列出收集、使用个人信息的目的、方式、范围,涉及14款APP。

  3.申请打开权限时,未同步告知用户其目的,涉及1款APP。

  4.征得用户同意前开始收集个人信息,涉及1款APP。

  5.征得用户同意前就开始收集个人信息,涉及3款APP。

  6.实际收集的个人信息超出用户授权范围,涉及14款APP。

  7.配置文件中声明的可收集个人信息的权限超出相关功能的必要范围,涉及3款APP。

  8.实际收集的个人信息超出相关功能的必要范围,涉及3款APP。

  9.实际收集信息频率超出功能必要范围,涉及14款APP。

  10.提前要求打开非当前功能所需权限,涉及5款APP。

  11.强制要求用户打开非必要的可收集个人信息权限,涉及2款APP。

  12.强制要求用户打开非必要的可收集个人信息权限,涉及2款APP。

  13.广告存在误导、欺骗行为,涉及3款APP。

  来源:国家网络安全通报中心

  二、四川某科技公司未落实网络安全保护义务致数据泄露被依法处罚

  2025年7月17日,四川网安部门在工作中发现,成都某科技公司开发的购票管理系统因未落实网络安全防护要求,致使系统内部分数据发生泄露,被不法分子利用实施违法犯罪活动。

  经查,该公司作为涉案信息系统的开发主体及实际运营单位,负有网络安全保护工作的法定职责,根据《网络安全法》第二十一条规定,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。但该公司未依法履行《中华人民共和国网络安全法》规定的网络安全保护义务,未落实网络安全等级保护制度,未采取必要的技术防护措施,最终引发数据泄露。

  四川公安网安部门已依法对涉事企业及直接责任人作出行政处罚。

  来源:央视新闻

  三、最高法发布一则关于已公开个人信息合理使用认定的入库案例

  2025年7月2日,最高人民法院发布入库参考案例:麦某波诉北京法某科技有限公司、北京律某信息技术有限公司网络侵权责任纠纷案——已公开个人信息合理使用的认定。案例详情如下:

  北京法某科技有限公司(以下简称“北京法某公司”)是北京律某信息技术有限公司全资设立的一人有限责任公司,运营有“法某”网站以及微信小程序。2022年8月30日,执业律师麦某波发现“法某”网站以及微信小程序将麦某波列为平台认证律师,为麦某波设置“法某编号”,平台展示页面上显示麦某波“执业年限”“胜诉率”等信息,设定有“收费标准”,显示律师与平台合作次数,并注明“请勿私下与律师达成合作”。然而,麦某波并未与北京法某公司开展合作业务,且上述“执业年限”“胜诉率”信息存在错误。

  2022年8月31日,广州市律师协会发布声明,表明“法某”微信小程序未经律师授权公开展示广州律师的联系方式等具体信息,小程序中显示的法律顾问与律师达成合作事宜涉嫌虚假宣传。麦某波遂向法院提起诉讼。

  本案的争议焦点为:北京法某公司收集和使用麦某波案涉信息是否构成侵权。

  北京法某公司通过公开渠道爬取、分析、统计的个人信息,属于对麦某波已公开个人信息的处理。根据个人信息保护法第十三条第一款第六项的规定,个人信息处理者可以在合理的范围内处理已经合法公开的个人信息。对于范围合理与否的评价,应以处理目的和处理方式作为评价依据。本案中,北京法某公司的处理行为不属于合理范围。

  北京法某公司的处理行为不符合个人信息保护法第十三条第一款第六项和第十七条的规定,构成对麦某波个人信息权益的侵害。

  个人信息处理者处理已公开个人信息超出合理范围的,不属于个人信息保护法第十三条第一款第六项规定的不需取得个人同意处理个人信息的情形,个人信息主体据此主张个人信息处理者侵犯个人信息权益的,人民法院依法应予支持。

  来源:中华人民共和国最高人民法院

  四、瑞典SA:对SL集团的两家公司进行行政罚款

  2025年7月18日,瑞典监督机构(SA)IMY对两起员工投诉展开审查。涉事员工均为公共交通行业的船长,在职期间曾接受酒精测试。

  经查,斯德哥尔摩公共交通股份有限公司(SL)与瓦克斯霍尔姆客运轮船公司(WAAB)将员工的酒精测试结果收集后,进行了长达数月的存储。尽管雇主为确保公共交通等领域的安全,要求员工接受酒精测试具有一定合理性,但本案的核心在于,从测试中收集的个人数据处理是否符合《通用数据保护条例》(GDPR)的规定。

  审查结果显示,SL与WAAB对员工酒精测试结果的收集和存储数月并非实现处理目的所必需。监管机构指出,雇主在处理个人数据时,必须严格遵循GDPR要求,避免对个人隐私造成不必要的干扰。

  此外,考虑对员工实施酒精测试的雇主还需注意,测试结果可能涉及员工是否存在酒精成瘾问题。此类信息属于健康数据,在GDPR框架下受到严格的法律保护。

  来源:EDPB

  五、DPC宣布调查TikTok Technology Limited将欧洲经济区用户的个人数据传输到位于中国的服务器

  2025年7月10日,爱尔兰数据保护委员会(DPC)宣布,已对TikTok Technology Limited(TikTok)将欧洲经济区用户的个人数据传输到位于中国的服务器展开调查。此次调查是继DPC2025年4月30日做出的决定之后进行的,该决定还在单独的调查中考虑了TikTok将欧洲经济区用户的个人数据转移到中国的情况。

  DPC的决定是在GDPR一站式服务机制下与欧盟同行监管机构进行调查合作程序后发布的,对TikTok向该调查提交了不准确的信息表示深切关注。在调查结束时发布的新闻稿中,DPC表示它正在“非常认真地”对待这些事态发展,并“正在与我们的同行欧盟数据保护机构协商,考虑可能需要采取哪些进一步的监管行动”。出于这种考虑,DPC现在决定对TikTok展开这项新的调查。

  来源:DPC

  六、谷歌因非法收集、滥用安卓用户数据信息,美国加州陪审团裁定谷歌赔偿3.15亿美元

  2025年7月2日,美国加州圣克拉拉县高等法院陪审团作出里程碑式裁决,认定谷歌母公司Alphabet滥用安卓用户隐私,需向该州安卓智能手机用户支付总计3.146亿美元(约合人民币22.8亿元)的赔偿金。这一判决标志着美国首例针对科技巨头“后台数据传输”行为的集体诉讼取得实质性胜利,或引发全球范围内对智能设备数据收集边界的重新审视。

  本案原告为加州安卓用户代表团体,指控谷歌自2014年起在安卓系统(包括原生系统及定制ROM)中植入隐蔽机制:即使用户未主动使用任何谷歌服务(如搜索、地图或YouTube),设备仍会持续向谷歌服务器发送包括设备标识符、地理位置、应用使用习惯等敏感信息。陪审团认定,这种行为构成“未经用户有效同意的数据窃取”,且用户无法通过常规设置彻底关闭数据传输。

  本案判决突破了传统隐私诉讼中“用户是否点击同意”的争议框架,转而聚焦科技公司对用户数据的“实际控制权”。原告律师团队引用加州《不公平竞争法》(UCL)指出,谷歌通过技术手段制造了“同意陷阱”。

  根据判决,赔偿金将按比例分配给2014年1月1日至2025年7月1日期间使用安卓设备的加州居民。初步估算,每位用户可获赔偿约12-15美元,具体金额取决于设备使用时长与数据传输量。此外,谷歌需在未来5年内每季度向加州司法部长提交数据收集合规报告,并接受第三方审计机构监督。

  来源:环球网

  收集整理:德和衡网络安全与数据合规团队

  德和衡网络安全与数据合规团队是一个长期专注于数据合规专项法律服务的团队。团队成员由北京、深圳、上海三地的律师组成。团队自2014年成立以来,核心成员均来自国内领先的网络安全企业360,积累了丰富的行业经验。团队还与奇安信、中电科、全知科技、银行卡检测中心(BCTC)等技术领先团队建立了密切且稳固的长期合作关系。团队致力于协助企业客户提升数据管理水平,预防及应对数据安全问题,提高数据质量,并充分发挥企业数据资产的最大价值。目前,团队已为房产、能源、智能制造、电子、车联网、大数据、金融、物流、电商等多个行业的领军企业提供全套数据合规法律服务。