本期内容

　　国内数据法规政策动态：

　　一、江苏发布自贸区数据出境负面清单

　　二、广西发布自贸区数据出境负面清单

　　三、7项网络安全国家标准获批发布

　　四、工信部发布《车联网平台重要数据识别指南》等通信行业标准报批公示

　　五、全国网安标委对《数据安全国家标准体系(2025版)》与《个人信息保护国家标准体系(2025版)》公开征求意见

　　六、国家工业信息安全发展研究中心公开《工业领域重要数据识别指南》《工业企业数据安全防护要求》《工业领域数据安全风险评估规范》3项行业标准

　　七、两项汽车数据国标公开征求意见

　　八、上海出台《上海市公共数据资源授权运营管理办法》

　　九、北京发布《关于加快北京市公共数据资源开发利用的实施意见》

　　十、广州发布《广州市电子商务平台经营者协议规则合规指引》

　　十一、上海市规划和自然资源局印发《上海市智能网联汽车测绘地理信息安全管理导则(试行)》

　　十二、《江苏省工业和信息化领域数据知识产权试点实施方案》发布

　　境外数据法规政策动态：

　　一、《ISO/IEC 27018:2025 信息安全、网络安全和隐私保护—公共云作为PII处理者对个人身份信息(PII)保护的指南》发布

　　二、英国《2025年数据(使用和访问)法(第1号生效)条例》生效

　　三、加拿大OPC发布《生物识别指南》

　　四、意大利ACN为中小企业发布《网络风险实用指南》

　　五、芬兰监察员解答工作场所个人数据处理的问题

　　六、波兰UODO发布常见问题解答

　　全球数据监管执法动态：

　　一、最高人民法院发布数据权益司法保护专题指导性案例

　　二、最高法发布一则关于侵犯公民个人信息的入库案例

　　三、国家网络安全通报中心通报70款违法违规收集使用个人信息的移动应用

　　四、希腊南澳：对传输敏感数据、未能促进访问权以及缺乏与南澳合作的关联处以罚款

　　五、Poste Vita因安全措施不足和违规通知延迟被意大利数据保护局罚款8万欧元

　　国内数据法规政策动态

　　一、江苏发布自贸区数据出境负面清单

　　2025年8月13日，江苏省互联网信息办公室、省商务厅(自贸办)、省数据局会同有关部门制定了《中国(江苏)自由贸易试验区数据出境负面清单管理办法(试行)》(以下简称《办法》)《中国(江苏)自由贸易试验区数据出境管理清单(负面清单)(2025版)》(以下简称《清单》)。

　　《清单》仅包括医药行业，将数据分重要数据与个人信息，明确不同情形合规要求：部分需安全评估，部分需标准合同备案或保护认证，遗传等数据需其他合法路径，还界定适用企业、数据范围及出口管制数据特殊规定。

　　《办法》建立了以负面清单为核心的数据出境合规管理体系，明确江苏自贸试验区内数据处理者出境数据需遵循分类分级要求，对列入负面清单的数据须依规申报安全评估、订立标准合同或通过保护认证，清单外数据可免予申报。数据处理者应履行风险自评估与安全保护义务，及时报告出境情况与安全事件。

　　省级管理部门及片区管委会负责负面清单的动态调整、实施监督与合规指导，通过联席会议协调推进，加强事中事后监管与安全风险监测，对违规行为依法予以处理，旨在保障数据安全的前提下促进数据依法有序流动。

　　来源：江苏省互联网信息办公室

　　全文链接：

　　《中国(江苏)自由贸易试验区数据出境负面清单管理办法(试行)》：

　　https://www.jswx.gov.cn/fwhd/tzgg/202508/W020250813523194369435.pdf

　　《中国(江苏)自由贸易试验区数据出境管理清单(负面清单)(2025版)》：

　　https://www.jswx.gov.cn/fwhd/tzgg/202508/W020250813602276220462.pdf

　　二、广西发布自贸区数据出境负面清单

　　2025年8月8日，广西发布《中国(广西)自由贸易试验区数据出境负面清单管理办法(试行)》(以下简称《管理办法》)及《中国(广西)自由贸易试验区数据出境管理清单(负面清单)(2025版)》(以下简称《清单》)。

　　《清单》聚焦地理信息与气象数据服务、企业信用信息服务、直播跨境电商、海外音视频制作与传播四大行业。《清单》明确要求数据处理者开展数据出境活动前，需自主识别出境数据类型、数量并研判是否适用该清单。清单内数据需申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证，清单外数据若属所列行业可自行提供，不属所列行业则按国家相关规定执行。向境外提供个人信息需履行告知、取得单独同意等义务，提供数据需保障安全，发生数据安全事件要及时补救并报告。

　　《管理办法》旨在规范中国(广西)自由贸易试验区内数据出境活动，保障数据安全与个人信息权益，促进数据依法有序跨境流动。适用范围涵盖区内注册并开展数据出境活动的各类数据处理者。管理原则包括坚守安全底线、需求正当必要、分类分级管理及推动产业发展。

　　同时，《管理办法》要求设立数据跨境流动协调工作小组，统筹制定负面清单、提供合规服务并加强监管。数据处理者需自主识别数据类型，按负面清单要求履行安全评估、标准合同或认证等出境程序。负面清单分行业制定，动态更新，不包括国家核心数据及未授权政府数据。

　　来源：中国(广西)自由贸易试验区钦州港片区管理委员会

　　全文链接：中国(广西)自由贸易试验区

　　http://gxftz.gxzf.gov.cn/index.php?case=archive&act=show&aid=3852

　　三、7项网络安全国家标准获批发布

　　2025年8月4日，国家市场监督管理总局、国家标准化管理委员会发布了2025年第19号《中华人民共和国国家标准公告》，由全国网络安全标准化技术委员会归口的7项国家标准正式发布。标准具体清单及主要内容如下：

　　1. 《网络安全技术 公钥基础设施 证书管理协议》：该标准出了公钥基础设施(PKI)中证书管理协议的结构和内容，规定了证书产生和管理所需要的协议消息格式;适用于公钥基础设施相关产品的研制，以及用于指导公钥基础设施相关产品的设计、开发和管理。

　　2. 《网络安全技术 公钥基础设施 PKI组件最小互操作规范》：该标准规定了公钥基础设施组件最小互操作的基本功能要求和数据格式要求，描述了测试评价方法;适用于电子签名、电子签章、身份管理等活动中PKI的设计、开发、测试及其应用。

　　3. 《网络安全技术 公钥基础设施 时间戳规范》：该标准给出了时间戳系统组成、时间戳的内容和申请颁发流程，规定了时间戳安全要求，描述了相应的测试评价方法;适用于时间戳系统及其应用的设计、开发与测试。

　　4. 《网络安全技术 信息安全风险管理指导》：该标准提供了指导,以帮助满足GB/T22080—2025有关应对信息安全风险活动的要求;实施信息安全风险管理活动，特别是信息安全风险评估和处置。适用于所有组织，无论其类型、规模或领域。

　　5. 《网络安全技术 云计算服务安全能力评估方法》：该标准确立了依据GB/T31168—2023开展评估的原则、实施过程，描述了针对各项具体安全要求进行评估的方法;适用于第三方评估机构对云服务商提供云计算服务时具备的安全能力进行评估，也为云服务商在进行自评估时提供参考。

　　6. 《网络安全技术 网络安全运维实施指南》：该标准提出了网络安全运维参考框架、网络安全运维提供方和运维人员条件和运维业务建立过程，给出了运维管理、识别、防护、监测分析、事件处置、协同和效果评估等网络安全运维主要工作环节实施内容;适用于网络安全运维提供方和需求方，用于网络安全运维的实施提供指导，并为网络安全运维需求方、第三方机构对网络安全运维实施效果和网络安全运维能力进行评估提供参考。

　　7. 《网络安全技术 人工智能计算平台安全框架》：该标准确立了人工智能计算平台的安全框架，规定了安全功能、安全管理和角色安全职责;适用于人工智能计算平台的设计、建设、应用和运维。

　　来源：CN-SEC中文网

　　全文链接：

　　《网络安全技术 人工智能计算平台安全框架》：

　　http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=32BCE5E761A1598E64B589FEC09501AB

　　《网络安全技术 网络安全运维实施指南》：

　　http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=4677D9A0A3DF37EC1B2CD62E3AD73892

　　《网络安全技术 云计算服务安全能力评估方法》：

　　http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=48B3DB097A2B1B30C8F7192CA795FAEB

　　《网络安全技术 公钥基础设施 证书管理协议》：

　　http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=14B49DA50402B51E4ADF85449CF31CC6

　　《网络安全技术 公钥基础设施 PKI组件最小互操作规范》：

　　http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=D466EBBBAE9B92CA271D80DA6A043815

　　《网络安全技术 公钥基础设施 时间戳规范》：

　　http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=9206A63926979D3FF92DFB70EBA72023

　　《网络安全技术 信息安全风险管理指导》：未发布

　　四、工信部发布《车联网平台重要数据识别指南》等通信行业标准报批公示

　　2025年8月7日，工信部发布了通信行业标准的报批稿，包括《车联网平台重要数据识别指南》及《电信领域数据安全分级保护要求》，以下为两份指南的主要内容：

　　《车联网平台重要数据识别指南》规定了车联网平台数据分类和重要数据识别的规则、流程、方法等，文件适用于车联网平台数据处理者开展车联网平台重要数据识别工作但不适用于涉及军事、政务、国家秘密等数据处理活动。

　　《电信领域数据安全分级保护要求》规定了电信数据处理者开展电信领域数据处理活动应遵循的原则和安全保护要求，包括组织保障、数据分类分级、权限管理等基础性数据安全保护要求，以及数据全生命周期安全保护要求本文件适用于电信数据处理者开展电信领域数据安全保护。但文件不适用于对涉及军事、政务、国家秘密信息等数据的安全保护。

　　来源：中国通信标准化协会

　　全文链接：

　　《车联网平台重要数据识别指南》：

　　https://miit.ccsa.org.cn/showPdf/?url=https%3A%2F%2Fccsaweb.eos-beijing-7.cmecloud.cn%2Fccsa%2F20250807%2F6d2d340f2eb14173a582ed49157fec8f%2F6d2d340f2eb14173a582ed49157fec8f.pdf

　　《电信领域数据安全分级保护要求》：

　　https://miit.ccsa.org.cn/showPdf/?url=https%3A%2F%2Fccsaweb.eos-beijing-7.cmecloud.cn%2Fccsa%2F20250807%2Fefdd580191b74106aeb769142d3b069b%2Fefdd580191b74106aeb769142d3b069b.pdf

　　五、全国网安标委对《数据安全国家标准体系(2025版)》与《个人信息保护国家标准体系(2025版)》公开征求意见

　　2025年8月15日，全国网安标委发布《数据安全国家标准体系(2025版)》(征求意见稿)与《个人信息保护国家标准体系(2025版)》(征求意见稿)。

　　《个人信息保护国家标准体系(2025版)》(征求意见稿)指出，个人信息保护国家标准体系由基础共性、个人信息保护技术、个人信息保护管理与权益保障、个人信息保护测评和认证、产品和服务个人信息保护、行业与应用个人信息保护六大类标准组成。其中：

　　1. 基础共性标准作为个人信息保护标准体系的基础，为标准体系中其他部分提供支撑;

　　2. 个人信息保护技术标准用于明确个人信息保护技术的框架、规范和指南;

　　3. 个人信息保护管理与权益保障标准用于明确个人信息保护管理相关内容，给出个人信息主体权益保障的要求、方法和指南;

　　4. 个人信息保护测评和认证标准用于规范个人信息保护的检测评估、合规审计、安全认证等工作;

　　5. 产品和服务个人信息保护标准在基础共性、个人保护技术、个人信息保护管理与权益保障标准之上，用于明确移动应用、网络平台服务等典型产品和服务的个人信息保护要求和指南;

　　6. 行业与应用个人信息保护标准位于个人信息保护标准体系最上层，是在其他标准的基础上，面向重点行业领域和新兴技术应用开展个人信息保护标准研制。

　　《数据安全国家标准体系(2025版)》(征求意见稿)中认为数据安全国家标准体系由基础共性、数据安全技术和产品、数据安全管理、数据安全测评和认证、产品和服务数据安全、行业与应用数据安全六大类标准组成。其中：

　　1. 基础共性标准作为数据安全标准体系的基础，用于明确数据安全的术语、数据分类分级保护等基础通用规则;

　　2. 数据安全技术和产品标准用于明确数据安全技术及产品的框架、规范和指南;

　　3. 数据安全管理标准用于明确数据处理活动安全、数据安全管理和安全运营的要求、方法和指南;

　　4. 数据安全测评和认证标准用于规范数据安全检测评估、监督检查、安全认证工作;

　　5. 产品和服务数据安全标准在基础共性、数据安全技术和产品、数据安全管理标准之上，聚焦特定系统平台和产品服务的数据安全风险，明确典型平台、系统、产品、服务的数据安全要求和指南;

　　6. 行业与应用数据安全标准位于数据安全国家标准体系最上层，是在其他数据安全标准的基础上，面向重点行业领域和新技术新应用开展数据安全标准研制。

　　来源：全国网络安全标准化技术委员会

　　全文链接：

　　《数据安全国家标准体系(2025版)》(征求意见稿)：

　　https://www.tc260.org.cn/upload/2025-08-15/1755260517042025953.pdf

　　《个人信息保护国家标准体系(2025版)》(征求意见稿)：

　　https://www.tc260.org.cn/upload/2025-08-15/1755260054246031200.pdf

　　六、国家工业信息安全发展研究中心公开《工业领域重要数据识别指南》《工业企业数据安全防护要求》《工业领域数据安全风险评估规范》3项行业标准

　　2025年8月1日，国家工业信息安全发展研究中心公开了其牵头编制的《工业领域重要数据识别指南》、《工业企业数据安全防护要求》、《工业领域数据安全风险评估规范》3项行业标准。

　　YD/T 4981-2024《工业领域重要数据识别指南》给出工业数据处理者开展工业领域重要数据识别的基本原则、流程和考虑因素，适用于工业数据处理者开展工业领域重要数据识别工作，也可为行业监管部门制定工业领域重要数据目录提供参考。该标准于2024年12月10日正式发布，2025年4月1日开始实施。

　　YD/T 4982-2024《工业企业数据安全防护要求》规定工业企业数据安全防护的基础性数据安全防护要求、数据全生命周期安全防护要求、其它防护要求，指导工业企业开展数据安全防护工作，也可为开展数据安全风险评估工作提供参考。该标准于2024年10月24日正式发布，2025年2月1日开始实施。

　　YD/T 6415-2025《工业领域数据安全风险评估规范》规定工业领域数据安全风险评估的基本原则、要素、流程及方法，适用于工业领域重要数据和核心数据处理者在中华人民共和国境内开展数据处理活动的数据安全风险评估，也可用于指导工业领域一般数据处理者对其数据处理活动的数据安全风险评估。该标准于2025年5月9日正式发布，2025年8月1日开始实施。

　　本次发布的3项工业领域数据安全行业标准由国家工业信息安全发展研究中心数据安全所牵头编制，该部门面向地方主管部门、行业协会、企事业单位提供数据分类分级、数据全生命周期保护、数据治理与流通安全、可信数据空间咨询、数据安全风险评估等咨询评估服务及省级、行业级、企业级数据分类分级、数据安全风险监测、风险评估等管理服务平台建设服务。

　　来源：国家工业信息安全发展研究中心

　　全文链接：国家数据局综合司

　　《工业领域重要数据识别指南》：

　　https://oss.jiaozuo.gov.cn/jiaozuo_gxj/upfile/202506/2025061738898197.pdf

　　《工业企业数据安全防护要求》：

　　https://www.doc88.com/p-90920593389278.html

　　《工业领域数据安全风险评估规范》：

　　https://oss.jiaozuo.gov.cn/jiaozuo_gxj/upfile/202506/2025061738937477.pdf

　　七、两项汽车数据国标公开征求意见

　　2025年8月1日，全国汽车标准化技术委员会发布了2项推荐性国家标准的征求意见稿，分别为《智能网联汽车数据安全管理体系规范》《汽车数字钥匙系统技术规范》。

　　其中，《智能网联汽车数据安全管理体系规范》规定了汽车数据安全管理、汽车数据安全活动管理、汽车数据全生命周期管理、汽车数据安全监测与处置、汽车数据安全工程、汽车数据安全风险评估等要求以及描述了相应的检验方法等。

　　《汽车数字钥匙系统技术规范》(下称《规范》)主要规定了汽车数字钥匙系统的技术要求及试验方法。《规范》指出汽车数字钥匙授权过程需保证隐私及安全;授权安全试验需依据制造商隐私声明验证隐私安全保证。

　　来源及全文链接：全国汽车标准化技术委员会

　　http://zxd.catarc.org.cn/zxd/portal/detail/zqyj/681

　　八、上海出台《上海市公共数据资源授权运营管理办法》

　　2025年8月1日，上海市政府办公厅印发《上海市公共数据资源授权运营管理办法》(下称《办法》)。

　　《办法》明确数据合规遵循“谁收集谁负责、谁持有谁负责、谁运营谁负责、谁使用谁负责”原则，要求实施机构、运营机构及开发主体落实数据安全主体责任，建立健全全流程安全管理制度与监测溯源机制，严格履行分类分级保护、风险评估和应急处置要求。涉及个人信息的数据须经匿名化或依法授权处理，重要数据需在安全可控前提下依规开发，严禁超范围使用原始数据。

　　市数据主管部门会同网信、公安等部门建立协同监管机制，强化公共数据流通各环节安全合规监督，严格管控未依法公开的原始数据进入市场。同时鼓励采用隐私计算、可信数据空间等技术，实现“数据可用不可见、可控可计量”，在保障安全的前提下促进数据价值合法合规释放。

　　来源：上海一网通办总门户

　　全文链接：

　　https://www.shanghai.gov.cn/cmsres/04/0438f538589241c5a46d8dfe62a0dda6/3720b9f4273a03107bb8010be125996b.pdf

　　九、北京发布《关于加快北京市公共数据资源开发利用的实施意见》

　　2025年8月11日，北京市发布《关于加快北京市公共数据资源开发利用的实施意见》(以下简称《意见》)，旨在建立健全北京市公共数据资源开发利用制度机制，持续推进公共数据高质量供给、高效率流通、高水平应用，充分释放公共数据要素潜能，加快数据要素市场培育，赋能数据要素市场化配置改革。

　　在数据合规方面，北京以保障安全、规范流通为核心构建体系。安全管理上，多部门依职责监管数据开发利用全流程，建立分类分级、风险评估等机制，运营机构需落实安全主体责任，涉密及未公开原始数据严格管控。

　　流通使用合规上，《意见》明确授权运营管理规范，未经批准不得擅自开展，运营机构须公平服务、不超范围用数，收益分配与价格形成有章可循且接受监督，严禁垄断与不正当竞争。

　　同时，《意见》要求建立异议处理、接诉即办等反馈机制，开展成效评价与第三方评估，鼓励先行先试的同时，防范“数据腐败”，确保公共数据合规利用。

　　来源及全文链接：国家数据局

　　https://mp.weixin.qq.com/s/385TdoM0KaT0DWevAkih8w

　　十、广州发布《广州市电子商务平台经营者协议规则合规指引》

　　2025年8月25日，广东省广州市市场监管局联合广州市工商联、广州市委网信办、广州市司法局、广州市商务局等部门发布《广州市电子商务平台经营者协议规则合规指引》(以下简称《指引》)明确，电子商务平台不得采用一次概括授权、默认授权等方式，强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的个人信息。

　　在个人信息收集和使用方面，《指引》提出，电子商务经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意;应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用消费者个人信息。电子商务经营者处理敏感个人信息应当取得个人的单独同意，法律、行政法规规定处理敏感个人信息应当取得书面同意;应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

　　来源：中国科技

　　全文链接：

　　https://view.officeapps.live.com/op/view.aspx?src=https%3A%2F%2Fscjgj.gz.gov.cn%2Fattachment%2F7%2F7869%2F7869238%2F10407905.docx&wdOrigin=BROWSELINK

　　十一、上海市规划和自然资源局印发《上海市智能网联汽车测绘地理信息安全管理导则(试行)》

　　2025年8月23日，上海市规划和自然资源局印发《上海市智能网联汽车测绘地理信息安全管理导则(试行)》(下称《管理导则》)，旨在鼓励支持测绘地理信息安全应用，在确保安全合规的前提下促进新业态发展和新应用推广。

　　《管理导则》适用于上海市智能网联汽车高精度地图及“车路云一体化”应用试点中的测绘地理信息安全工作。

　　《管理导则》认为依法取得资质的图商是测绘活动的实施主体和安全责任主体，负责牵头建立多方合作架构下的安全合规体系。车企、服务商等需配合图商，建立健全地理信息数据全流程安全管理制度。

　　实施主体应从组织建设、制度建设、技术应用和人员业务四方面提升安全保障能力。监督主体建立“事前告知、事中防控、事后检查”的全链条协同监管机制，开展风险监测、安全审图和“双随机、一公开”监督检查。

　　《管理导则》指出数据全生命周期需贯彻六大策略：即时安全处理、采集最小必要、地理信息脱密脱敏、分类分级管理、安全可控保障及事故应急响应。在采集、传输、存储、处理与应用、发布各环节均需采取具体技术措施，确保数据合规、可控、可溯源。

　　来源及全文链接：上海市规划和自然资源局

　　(sh.gov.cn)

　　十二、《江苏省工业和信息化领域数据知识产权试点实施方案》发布

　　2025年8月19日，江苏省知识产权局、江苏省工信厅联合印发《江苏省工业和信息化领域数据知识产权试点实施方案》(下称《方案》)。试点旨在全面深化数据知识产权试点改革，以高标准的数据权益保护，激励高质量数据供给，激活高效率、高效益数据流通与应用，促进数据要素全方位赋能新型工业化。

　　《方案》围绕“完善登记体系、打造服务生态、提升运用质效”三大试点任务，部署20项创新举措。

　　《方案》明确，要进一步深化数据知识产权审慎审查，研究出台鼓励登记运用的政策措施，让更多企业“想登记、敢登记、会登记”;培育一批数据知识产权专业服务机构，推进司法、仲裁、调解等多元保护体系建设，为数据知识产权挖掘登记、转化运用、权益保护提供全方位保障;鼓励各地探索数据知识产权许可交易、增信融资、作价入股、数据资产入表等运用场景，推动数据驱动型新兴产业和未来产业加速成长。

　　《方案》提出，力争到2026年6月，数据知识产权登记保护运用体系基本建成，许可交易、证券化、作价入股、数据资产入表等运用场景全面落地。

　　来源：国家知识产权局

　　原文链接：

　　https://jsip.jiangsu.gov.cn/art/2025/8/5/art_85036_11618272.html

　　境外数据法规政策动态

　　一、《ISO/IEC 27018:2025 信息安全、网络安全和隐私保护—公共云作为PII处理者对个人身份信息(PII)保护的指南》发布

　　2025年8月26日，国际标准化组织(ISO)和国际电工委员会(IEC)联合发布了《ISO/IEC 27018:2025信息安全、网络安全和隐私保护—公共云作为PII处理者对个人身份信息(PII)保护的指南》(以下简称《指南》)。

　　ISO 指出，《指南》以ISO/IEC 27002(信息安全管理核心标准)为基础，为公共云服务中个人身份信息(PII)的保护提供指导，尤其适用于云服务提供商作为个人身份信息处理者的场景。《指南》制定了针对云环境的控制措施与原则，确保云服务提供商以负责任、透明且安全的方式处理个人身份信息。

　　同时，《指南》能帮助云服务提供商履行与个人身份信息相关的法律、合同及道德义务。它有助于跨司法管辖区实现合规，提升客户信任，并为云中数据保护提供清晰的框架。

　　来源：Dataguidance

　　二、英国《2025年数据(使用和访问)法(第1号生效)条例》生效

　　2025年8月20日，《2025年数据(使用和访问)法案(第1号启动)条例》(以下简称“条例”)生效。该条例使《2025年数据(使用和访问)法案》(以下简称“法案”)第一阶段的一系列条款得以实施，该法案于2025年6月19日获得御准。

　　根据该条例，2025年8月20日生效的法案条款包括：

　　第一部分关于客户数据和业务数据的访问;

　　第74条关于特殊类别个人数据的处理;

　　第84条关于执法处理和行为准则;第91条关于信息专员办公室履行职能的职责;

　　第92条关于个人数据处理的行为准则;

　　第93条关于行为准则：小组和影响评估;

　　第106条关于禁止、限制和数据主体权利的保护;

　　第107条关于根据《英国通用数据保护条例》(UK GDPR)制定的法规;

　　第109条关于《隐私与电子通信条例》(PECR);

　　第111条关于向信息专员办公室报告个人数据泄露的义务及时间期限;

　　第113条关于紧急警报时间期限解释。

　　来源：Dataguidance

　　全文链接：

　　https://www.legislation.gov.uk/ukpga/2025/18/pdfs/ukpga_20250018_en.pdf

　　三、加拿大OPC发布《生物识别指南》

　　随着越来越多的组织使用面部识别和指纹扫描等生物识别技术来验证身份和提供服务，2025年8月11日，加拿大隐私专员(OPC)发布了《生物识别指南》(以下简称《指南》)包括《生物识别处理指南-面向联邦机构》及《生物识别处理指南-面向企业》。

　　在当今的数字环境中，OPC一方面希望为用户获取商品和服务提供便捷渠道，另一方面也需应对不断变化的安全风险。例如，指纹可用于进出办公楼门禁，面部图像则能解锁手机。

　　尽管生物识别技术能提升安全性、助力服务交付，但也可能引发隐私问题。生物识别信息与个人身体紧密关联，通常具有唯一性，且长期内不会发生显著变化。这类信息还可能泄露敏感内容，比如健康状况，或是与种族、性别特征相关的信息。

　　《指南》明确了在规划和实施生物识别技术相关项目时需重点考量的事项：

　　1. 强调必须为收集、使用和披露生物识别信息设定合理目的;

　　2. 要求审慎评估相关风险，包括隐私影响的比例适当性(即技术应用带来的收益与可能造成的隐私风险需相匹配);

　　3. 厘清生物识别项目中的同意要求;

　　4. 提出透明度、数据安全保障、准确性(包括生物识别系统的测试环节)等方面的考量要点。

　　来源：加拿大隐私专员办公室

　　全文链接：

　　《生物识别处理指南-面向联邦机构》：

　　https://www.priv.gc.ca/en/privacy-topics/health-genetic-and-other-body-information/biometrics/gd_bio_fed-final/

　　《生物识别处理指南-面向企业》：

　　https://www.priv.gc.ca/en/privacy-topics/health-genetic-and-other-body-information/biometrics/gd_bio_org-final/

　　四、意大利ACN为中小企业发布《网络风险实用指南》

　　2025年8月11日，意大利国家网络安全局(ACN)结束了主题为“点亮网络安全，守护我们的企业”的宣传活动，针对中小企业(SME)，出版和广泛分发《网络风险实用指南》(下称《指南》)，旨在加强公司数字防御。

　　这些指南涉及企业网络安全的关键方面，包括：

　　1. 将数字安全融入业务战略;

　　2. 持续培训员工的重要性;

　　3. 事件管理和业务连续性;

　　4. 采用多重身份验证(MFA)、数据加密;

　　5. 安全备份和威胁监控;

　　6. 选择合格的供应商并有意识地使用SaaS云服务;

　　7. 需要限制用户权限并采用零信任等方法。

　　《指南》特别强调了两大关键举措：一是任命专门的网络安全负责人，二是对 IT 供应商进行严格评估。ACN编制的这些材料所提供的指导，旨在填补中小企业普遍存在的网络安全技能与资源缺口，助力它们提升数字化抗风险能力，以应对新的法规要求(如《网络与信息系统安全指令2》，简称“NIS2”)和技术挑战。

　　来源：意大利国家网络安全局

　　全文链接：

　　有关员工的指南：

　　https://www.acn.gov.it/portale/documents/d/guest/a5_dipendente-def

　　有关IT专业人员的指南：

　　https://www.acn.gov.it/portale/documents/d/guest/a5_professionisti_it-28_07-ultimo

　　有关企业高管的执行指南：

　　https://www.acn.gov.it/portale/documents/d/guest/a5_dirigente-ultimo

　　五、芬兰监察员解答工作场所个人数据处理的问题

　　2025年8月6日，芬兰数据监察委员会整理了有关工作场所酒精和药物测试的常见问题的解答。还补充了雇主在收集雇员和求职者的个人数据时必须考虑的事项的信息，例如：

　　1. 雇主在收集雇员和求职者的个人资料时应考虑什么?

　　2. 雇主可以处理雇员和求职者的哪些个人数据?

　　3. 雇主何时以及如何处理员工的健康数据?

　　委员会认为在处理雇员和求职者个人数据的所有过程中，主要规则是雇主只能处理雇佣关系所必需的数据。换句话说，雇主不得处理有关雇员的任何个人数据，即使征得雇员同意，也不得处理不必要的数据。

　　雇主必须主要从雇员和求职者自己那里收集信息。如果数据是从其他地方获得的，则通常必须征求员工对收集数据的同意。

　　全文链接：芬兰数据监察委员会

　　https://tietosuoja.fi/-/taydensimme-ohjeistusta-tyontekijoiden-alkoholitestauksesta-ja-henkilotietojen-kasittelysta-tyopaikoilla

　　常见问题：

　　https://tietosuoja.fi/usein-kysyttya-tyoelama

　　六、波兰UODO 发布常见问题解答

　　2025年8月5日，波兰个人资料保护办公室(UODO)对UODO热线在工作过程中，经常会被问到的类似问题予以解答：

　　1. 在为履行与客户签订的合同而处理客户数据的情况下，根据《通用数据保护条例》(RODO)，客户是否享有反对权?在此情况下，是否有必要告知客户该权利?

　　答：不享有。当依据《通用数据保护条例》第6条第1款b项，为履行合同而处理个人数据时，个人不享有反对权。在此情况下，履行信息告知义务时，无需向个人告知该权利。

　　2. 债权人若要处理债务人数据以追讨付款债权，是否必须持有法院判决作为依据?

　　答：不需要。债权人为合法处理债务人数据以追讨债权，无需持有法院判决。

　　3. 若数据控制者未向数据主体履行信息告知义务(违反《通用数据保护条例》第13条或第14条)，该行为是否应被认定为需依据《通用数据保护条例》第33条的规定，向UODO局长报告的个人数据保护违规行为?

　　答：不认定。上述违反《通用数据保护条例》规定的行为，无需依据该条例第33条的规定向UODO局长报告。

　　4. 雇主将工资转入员工指定的银行账户。在此情况下，既然支付工资是雇主的法定义务，雇主是否仍需获得员工同意，才能将员工提供的银行账号用于上述工资发放目的?

　　答：不需要。因为在上述场景中，雇主使用员工指定的银行账号，是为了履行其法定义务——即按时支付工资的义务。

　　5. 工作场所的监控不仅可以包括图像记录，还可以包括录音吗?

　　答：不包括，工作场所的监听不能用于录制声音。

　　6. 学生可以撤回家长(法定监护人)对学校公布其图像的同意吗?

　　答：可以。在达到成年年龄后，学生可以撤回家长对发布其图像的同意。

　　来源及全文链接：UODO

　　https://uodo.gov.pl/pl/138/3840

　　全球数据监管执法动态

　　一、最高人民法院发布数据权益司法保护专题指导性案例

　　2025年8月28日，最高人民法院发布第47批指导性案例(指导性案例262—267号)。这是最高人民法院首次发布数据权益司法保护专题指导性案例。该批指导性案例共六件，积极回应数据权属认定、数据产品利用、个人信息保护、网络平台账号交付等社会高度关注的问题，统一类案裁判尺度。

　　本批数据权益司法保护专题指导性案例涵括不正当竞争、侵权责任、个人信息保护和执行实施等领域。个人信息保护案例具体包括：

　　1. 《某钢铁有限公司诉某电子商务股份有限公司侵权责任纠纷案》(指导性案例264号)是一件因编制、发布钢材价格指数而引发的侵权责任纠纷案件。该案例明确数据处理者依法采集企业数据，经符合有关标准的编制方法加工形成数据产品并合理利用，未对企业权益造成损害，相关企业要求数据处理者承担侵权责任的，人民法院依法不予支持。

　　2. 《罗某诉某科技有限公司隐私权、个人信息保护纠纷案》(指导性案例265号)是一件涉APP经营者过度收集用户个人信息的案件。该案例明确判断处理个人信息是否属于“为订立、履行个人作为一方当事人的合同所必需”的考量因素，进而明确在收集用户画像信息并非提供网络服务所必需的情况下，未向用户提供不同意提交相关信息情况下的其他登录方式的，构成对用户个人信息权益的侵害。

　　3. 《黄某欢诉某信用管理有限公司个人信息保护纠纷案》(指导性案例266号)是一件涉“先享后付”功能服务的个人信息保护纠纷案件。该案例明确“先享后付”功能以开通信用服务为必要条件，相关信用服务商收集反映用户个人信用或者风险状况的个人信息，属于“为订立、履行个人作为一方当事人的合同所必需”。

　　来源：中华人民共和国最高人民法院

　　二、最高法发布一则关于侵犯公民个人信息的入库案例

　　2025年8月14日，最高人民法院发布入库参考案例：吴某慧、陈某强等侵犯公民个人信息案—为实施诽谤而非法获取公民个人信息行为的定性(入库编号2025-18-1-207-001)。

　　本案中，被告人吴某慧，陈某强非法获取他人的公民个人信息后，撰写诋毁他人的内容在网络上发帖，阅读、转发及跟帖回复人数总计超过200万，给朱某的工作、生活及其所任职学校造成严重不良影响。吴某慧，陈某强的行为虽不符合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第五条第一款规定的九类具体入罪标准，但综合考量二被告人非法获取公民个人信息的动机、信息类型和数量、造成的危害等情节，可以认定其行为的危害性与《解释》第五条第一款第二项所规定的“知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的”情形具有相当性，综合考量信息类型和数量、造成的危害等，可以认定为“其他情节严重的情形”。故吴某慧，陈某强构成侵犯公民个人信息罪。

　　法院认为，对于通过网络“开盒”等方式公开曝光他人个人信息，符合刑法第二百五十三条之一规定的，以侵犯公民个人信息罪定罪处罚。

　　同时，对于《解释》(法释〔2017〕10号)第五条第一款第十项规定的“其他情节严重的情形”，可以结合行为人非法获取、提供公民个人信息的主观动机、获取方式、具体用途、造成的危害等情节予以考量，综合判断其社会危害性。对于所涉行为的社会危害程度与其他列明的情形相当的，可以认定为“情节严重”。

　　来源：中华人民共和国最高人民法院

　　三、国家网络安全通报中心通报70款违法违规收集使用个人信息的移动应用

　　2025年8月13日，依据《网络安全法》《个人信息保护法》等法律法规，国家网络安全通报中心对70款存在违法违规收集使用个人信息情况的移动应用进行了通报。

　　这些移动应用存在的问题包括：

　　1. 在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;隐私政策难以访问;个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。

　　2. 隐私政策未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。

　　3. 个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。

　　4. 未在征得用户同意后才开始收集个人信息或打开可收集个人信息的权限。

　　5. 未提供有效的更正、删除个人信息及注销用户账号功能;虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内完成核查和处理。

　　6. 投诉、举报未在承诺时限内受理并处理;个人信息处理者未建立便捷的个人行使权利的申请受理和处理机制。

　　7. 未向用户提供撤回同意收集个人信息的途径、方式;个人信息处理者未提供便捷的撤回同意的方式。

　　8. 通过自动化决策方式向个人进行信息推送、商业营销，未同时提供不针对其个人特征的选项，或者未向个人提供便捷的拒绝方式。

　　9. 处理敏感个人信息未取得个人的单独同意。

　　10. 个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则;收集未成年人信息未取得监护人单独同意。

　　11. 收集个人信息的频度等超出业务功能实际需要。

　　12. 未采取相应的加密、去标识化等安全技术措施。

　　13. 没有关闭标志或者计时结束才能关闭广告。

　　14. 无隐私政策。

　　来源：国家网络安全通报中心

　　四、希腊南澳：对传输敏感数据、未能促进访问权以及缺乏与南澳合作的关联处以罚款

　　2025年8月12日，欧盟数据保护委员会(EDPB)发布一例国家案例。申诉人(某未成年人的监护人)向希腊数据保护机构(Hellenic SA)提交申诉，指控一家自闭症谱系障碍患者协会(“大卫之盾”协会)未满足其依法享有的信息访问权。

　　经调查发现涉案协会不仅未满足申诉人对闭路电视(CCTV)录像的访问请求，还在未事先通知家长且未获得其同意的情况下，将该未成年人的敏感个人数据传输给某公司。具体而言，该协会泄露的信息包括：未成年人所参与的干预项目详情、医疗报告、其加入治疗项目时填写的完整社会背景资料，此外还向大量接收方泄露了一审独任法院的一项裁决文书。

　　希腊数据保护机构对该协会处以多项行政罚款，具体如下：

　　1. 因未协助数据主体行使权利(尤其信息访问权)，违反《通用数据保护条例》(GDPR)第12条第2款和第15条，罚款3000欧元;

　　2. 因未事先告知数据主体即传输其个人数据，违反《通用数据保护条例》(GDPR)第13条和第24条，罚款3000欧元;

　　3. 因向多名接收方传输法院裁决文书，违反《通用数据保护条例》(GDPR)第5条第1款(a)项和第13条，罚款3000欧元;

　　4. 因违反与监管机构合作的原则，违反《通用数据保护条例》(GDPR)第31条，罚款1000欧元。

　　来源：EDPB

　　五、Poste Vita因安全措施不足和违规通知延迟被意大利数据保护局罚款8万欧元

　　2025年8月1日，意大利隐私保护局对意大利邮政旗下的投资和保险公司Poste Vita处以8万欧元罚款，原因是该公司未采取适当的技术和组织措施来保障客户数据的安全，同时，该公司向监管机构通报数据泄露事件的时间也存在延迟。

　　据调查该公司在得知数据泄露事件后未及时向监管机构报告，而根据欧盟法规，此类事件应在发现后的72小时内通知监管机构。调查始于Poste Vita一位客户的投诉，该客户称，自己的个人数据被非法泄露给了未获授权的第三方，而这些数据随后被用于一场司法诉讼。涉及泄露的数据，与该投诉人持有的三份人寿保险保单相关。在调查过程中，意大利数据保护机构确认，此次数据泄露是由该公司工作人员的一系列失误导致的：工作人员在回应有关该客户保单信息的请求时，未事先核实请求发送方的电子邮箱地址，是否与客户在公司留存的联系方式一致。具体而言，这些信息请求来自两个电子邮箱——尽管邮箱中显示了投诉人的姓名，但事实上，该客户从未向公司提供过任何电子邮箱地址，且这两个邮箱实际归属第三方所有。基于这些原因，监管机构仅处以罚款，因为在调查过程中，该公司已声明已按照公司程序对客户的信息请求进行了严格的请求人身份核实。

　　来源：GPDP

　　收集整理：德和衡网络安全与数据合规团队

　　德和衡网络安全与数据合规团队是一个长期专注于数据合规专项法律服务的团队。团队成员由北京、深圳、上海三地的律师组成。团队自2014年成立以来，核心成员均来自国内领先的网络安全企业360，积累了丰富的行业经验。团队致力于协助企业客户提升数据管理水平，预防及应对数据安全问题，提高数据质量，并充分发挥企业数据资产的最大价值。目前，团队已为房产、能源、智能制造、电子、车联网、大数据、金融、物流、电商等多个行业的领军企业提供全套数据合规法律服务。