本期内容
国内数据法规政策动态:
一、《网络安全法(修正草案)》公布
二、商务部等9部门印发《关于促进服务出口的若干政策措施》支持数据跨境流动
三、国家网信办发布《网络安全事件报告管理办法》,强化数据合规管理要求
四、国家网信办发布《促进和规范电子单证应用规定(征求意见稿)》
五、国家网信办发布《大型网络平台设立个人信息保护监督委员会规定(征求意见稿)》
六、国家能源局发布《能源行业数据安全管理办法(试行)》(征求意见稿)
七、《数据安全国家标准体系(2025版)》《个人信息保护国家标准体系(2025版)》发布
八、全国网安标委发布互联网平台停服数据处理安全要求
九、重庆市网信办发布自贸区数据出境负面清单管理办法和2025版负面清单
十、《珠海经济特区数据资源开发利用条例》9月起正式施行
境外数据法规政策动态:
一、欧盟发布《与法规2023/2854(数据法案)相配套的车辆数据指南》
二、《欧盟数据法案》在欧盟正式实施
三、欧盟拟推FiDA法规限制美科技巨头入局
四、韩国与欧盟的个人信息流转体系构建完成
五、韩国降低假名化门槛,推动数据创新
六、韩国《个人信息保护法施行令》将于10月2日正式生效
全球数据监管执法动态:
一、国家网信办发布近期网络安全、数据安全、个人信息保护相关执法典型案例
二、“开盒”网暴检察官案等涉个人信息案件入选公安部打击整治网络违法犯罪5起典型案例
三、公安网安部门依法查处迪奥(上海)公司未依法履行个人信息保护义务案
四、某运输公司OA系统因数据泄露风险被青海网信办处罚
五、云岩区对履行网络安全和数据安全保护责任不力的企业开展约谈处罚
六、欧盟法院CJEU重新界定“假名化数据”的性质
七、希音因数据违规遭法国罚款,金额占其欧洲年营收2%
八、因涉嫌非法收集儿童数据迪士尼公司被罚1000万美元
国内数据法规政策动态
一、《网络安全法(修正草案)》公布
2025年9月8日,在十四届全国人大常委会第十七次会议上,全国人大常委会法制工作委员会副主任王瑞贺作关于《中华人民共和国网络安全法(修正草案)》的说明。
网络安全法修正草案共9条。在完善不依法履行网络运行安全保护义务行为的法律责任方面,修正草案区分造成大量数据泄露、关键信息基础设施丧失局部功能等严重情形,以及造成关键信息基础设施丧失主要功能等特别严重情形,参照数据安全法有关规定,提高罚款幅度。同时,对销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的行为,增加规定法律责任。与此同时,对违反规定开展网络安全认证、检测、风险评估等活动或者向社会发布网络安全信息的行为,完善处置处罚措施。
修正草案完善不依法履行违法信息处置义务行为的法律责任,结合近年来执法实践,对网络运营者发现网络违法信息未依法采取相应处置措施,或者不按照有关部门的要求采取相应处置措施的行为,完善处置处罚措施;对造成特别严重影响、特别严重后果的违法情形,加大处罚力度。
此外,修正草案还做好侵害个人信息权益等行为法律责任的衔接,增加从轻、减轻或者不予行政处罚的规定。
来源:中国人大网
全文链接:
http://www.npc.gov.cn/flcaw/userIndex.html?lid=ff80818198a7ecd401993be8b36b6327
二、商务部等9部门印发《关于促进服务出口的若干政策措施》支持数据跨境流动
2025年9月22日,加快发展服务贸易,是扩大高水平对外开放、培育外贸发展新动能的重要举措。为贯彻落实党中央、国务院决策部署,更大力度促进服务出口,推动服务贸易高质量发展,提出以下政策措施:
1. 用好用足中央和地方现有资金渠道积极支持服务出口
2. 增强服务贸易创新发展引导基金撬动作用
3. 优化服务出口零税率申报程序
4. 加大出口信用保险支持力度
5. 提高出口信用保险政策精准度
6. 完善保税监管制度
7. 便利人员跨境往来和入境消费
8. 优化跨境资金流动管理
9. 提升服务贸易跨境资金结算便利化水平
10. 鼓励知识产权转化交易
11. 促进和规范数据跨境流动:
制订重要数据目录,出台更具操作性的重要数据识别指南。优化调整和动态更新自由贸易试验区数据出境负面清单,研究探索形成全国自由贸易试验区数据出境负面清单。支持具备条件的地区探索跨国公司内部个人信息跨境传输便捷化安排,允许通过评估或认证的跨国公司内部自由跨境流动个人信息。在遵守国家网络管理制度前提下,支持相关企业、科研机构更便利地使用网络开展国际贸易和学术研究,参与国际竞争。
12. 加快发展国际数据服务业务:
支持在上海自贸试验区临港新片区、海南自由贸易港等有条件的地区开展国际数据服务业务。适应服务贸易新业态新模式发展需要,支持在自贸试验区、海南自由贸易港、国家服务业扩大开放综合试点示范地区等建立国际数据中心和云计算中心,面向各类有需求的企业提供数据处理服务。
13. 支持企业开拓国际市场
来源及全文链接:中华人民共和国人民政府
https://www.gov.cn/zhengce/zhengceku/202509/content_7042162.htm
三、国家网信办发布《网络安全事件报告管理办法》,强化数据合规管理要求
2025年9月15日,中央网络安全和信息化委员会办公室正式发布《国家网络安全事件报告管理办法》(下称《办法》),该《办法》将于2025年11月1日起施行。此举旨在进一步规范网络安全事件报告流程,提升数据安全保护能力,强化各类网络运营者的数据合规责任。
《办法》明确要求,网络运营者在发生网络安全事件时,应依据《网络安全事件分级指南》进行定级,并按规定时限向上级主管部门报告。特别是涉及关键信息基础设施的,须在1小时内报告;重大及以上事件需在半小时内上报,显著缩短了应急响应时间,体现了国家对数据安全事件的高度重视。
此外,《办法》详细列出了事件报告内容,包括事件基本情况、影响范围、已采取措施、溯源线索等,要求信息全面、准确、及时上报。对于未按规定报告、漏报、瞒报的行为,将依法从重处罚。
《办法》的出台,为各类组织在数据合规管理方面提供了明确指引,强调通过制度化、规范化流程提升网络安全防护与事件处置能力,进一步筑牢国家数据安全防线。
来源及全文链接:中央网络安全和信息化委员会办公室
https://www.cac.gov.cn/2025-09/15/c_1759583017717009.htm
四、国家网信办发布《促进和规范电子单证应用规定(征求意见稿)》
2025年9月13,为了促进和规范电子单证推广应用,提高货物贸易和运输数字化水平,降低全社会物流成本,保障电子单证活动当事人合法权益,维护国家安全和社会公共利益,国家互联网信息办公室就《促进和规范电子单证应用规定(征求意见稿)》向社会公开征求意见。意见反馈截止时间为2025年10月13日。
征求意见稿指出,鼓励货物贸易、物流、金融等领域机构和企业在开展业务时认可、使用电子单证,提升业务应用数字化水平,促进行业提质增效。鼓励金融机构在依法合规、风险可控前提下,根据电子单证特点,探索使用数字人民币等新型支付方式开展跨境支付,积极稳妥开展金融产品和服务模式创新。
征求意见稿提出,鼓励相关机构、组织和个人通过可靠的电子单证系统从事电子单证的签发、存储、变更、转换、转让、质押、流转等活动。电子单证系统运营者应当加强风险管理,完善业务流程,支持相关方在签发时确认电子单证信息,防范电子单证记载货物信息与实际货物信息不符的风险。
征求意见稿还要求,电子单证系统运营者应当建立健全网络安全技术措施,持续监测系统的运行状况,及时处置异常情形。应当制定网络安全事件应急预案,在发生网络安全事件时,立即启动应急预案,采取相应补救措施,并按照有关规定向有关主管部门报告。
来源:新华网
全文链接:网信中国
https://mp.weixin.qq.com/s/kNjnnmVq0EsGnzJUHQoB9A
五、国家网信办发布《大型网络平台设立个人信息保护监督委员会规定(征求意见稿)》
为规范大型网络平台个人信息保护监督机制的设立与运行,进一步提升数据合规管理水平,国家互联网信息办公室于2025年9月12日发布《大型网络平台设立个人信息保护监督委员会规定(征求意见稿)》(下称《规定》),向社会公开征求意见。
《规定》明确要求符合条件的大型网络平台设立主要由外部成员组成的监督委员会,负责对平台个人信息保护情况进行独立监督。委员会成员应具备专业知识与独立性,外部成员占比不得低于三分之二,且不得与平台存在利益关联。
监督委员会职责涵盖个人信息保护制度体系建设、敏感信息处理、跨境传输合规、自动化决策等十四个方面,并需建立用户沟通机制,定期召开会议并形成监督意见。平台须在规定时间内处理监督意见,否则监督委员会可向省级网信部门报告。
此举旨在落实《个人信息保护法》和《网络数据安全管理条例》要求,强化企业数据合规主体责任,保障用户个人信息权益。公众可于2025年10月12日前通过中国网信网、电子邮件或信函方式反馈意见。
来源及全文链接:网信中国
https://mp.weixin.qq.com/s/y_ElMIb4CZJZyx0t2oOAdA
六、国家能源局发布《能源行业数据安全管理办法(试行)》(征求意见稿)
2025年9月10日,为贯彻落实党中央、国务院关于数据安全的决策部署,规范能源行业数据处理活动,加强数据安全管理,防范数据安全风险,促进数据开发利用,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国能源法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规,国家能源局编制了《能源行业数据安全管理办法(试行)(征求意见稿)》(下称《办法》),现向社会公开征求意见。
《办法》明确将能源行业数据分为一般数据、重要数据和核心数据三级,要求能源数据处理者依法依规开展数据处理活动,建立健全数据安全管理制度,落实分类分级保护措施。重要数据和核心数据的处理者需明确数据安全负责人和管理机构,定期开展风险评估,并按要求报送重要数据目录。
《办法》强调,能源行业重要数据出境需依法申报安全评估,核心数据跨主体流动需履行风险评估程序。同时,鼓励在安全合规基础上推进数据开发利用。
此外,省级能源主管部门和国家能源局将加强对数据处理活动的监督检查,对违规行为依法依规处理,构成犯罪的将移送司法机关。
《办法》计划自2025年起施行,有效期5年。此举标志着能源行业数据合规管理进入制度化、规范化新阶段。
来源及全文链接:国家能源局
https://www.nea.gov.cn/20250912/1ed9acfc3f80490c8203e25af2a41495/c.html
七、《数据安全国家标准体系(2025版)》《个人信息保护国家标准体系(2025版)》发布
2025年9月16日,全国网络安全标准化技术委员会发布《数据安全国家标准体系(2025版)》和《个人信息保护国家标准体系(2025版)》,主要内容如下:
《数据安全国家标准体系(2025版)》系统构建了覆盖数据全生命周期、多行业多场景的数据安全标准框架,为企业数据合规管理提供权威依据。以《网络安全法》《数据安全法》《个人信息保护法》等法律法规为基础,围绕“基础共性、技术与产品、安全管理、安全服务、产品与服务安全、行业与应用”六大类标准展开,形成层次分明、内容全面的标准化结构。其中,基础共性标准明确数据分类分级、术语定义等通用规则;技术与产品标准涵盖数据全生命周期保护、流通安全等关键技术要求;行业应用标准则针对工业、金融、医疗、汽车等重点领域提出专项指引。
《个人信息保护国家标准体系(2025版)》的发布标志着我国在数据安全与个人信息保护领域的标准化建设进入新阶段。该体系以《网络安全法》《数据安全法》《个人信息保护法》等法律法规为依据,系统构建了覆盖基础共性、技术、管理、测评、产品服务及行业应用六大类标准的完整框架。明确以“基础先立、急用先行”为原则,重点推进敏感个人信息处理、匿名化技术、合规审计、未成年人保护等关键标准的研制。截至目前,已发布44项国家标准、3项委员会技术文件和21项实践指南,另有18项标准正在制修订中,涵盖移动应用、云计算、人工智能、生物识别等多个热点领域。同时,其发布为各类组织提供了清晰的合规路径和技术依据,有助于统一行业实践,提升个人信息处理活动的规范性和透明度。下一步,网安标委将加强标准宣贯与应用推广,推动形成以国家标准为核心、实践指南为支撑的多层次实施机制,为企业数据合规工作提供有力保障。
来源及全文链接:全国网络安全标准化技术委员会
https://www.tc260.org.cn/front/postDetail.html?id=20250915154109
《数据安全国家标准体系(2025版)》:
https://www.tc260.org.cn/upload/2025-09-16/1757991172917070462.pdf
《个人信息保护国家标准体系(2025版)》:
https://www.tc260.org.cn/upload/2025-09-16/1757991247699056052.pdf
八、全国网安标委发布互联网平台停服数据处理安全要求
2025年9月15日,为规范互联网平台停服数据处理活动,保障数据安全,促进数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益,全国网络安全标准化技术委员会组织编制了《网络安全标准实践指南——互联网平台停服数据处理安全要求》(下称《实践指南》)。
《实践指南》适用于互联网平台运营者在停服场景下的数据安全保护工作,明确“停服”指平台因合并、分立、解散、被宣告破产等原因不再提供产品或服务,不包括部分业务调整且法人主体存续的情形。同时,界定“重要数据”为一旦泄露可能危害国家安全、经济运行或公共利益的数据,并规定处理超1000万人个人信息的平台需遵守重要数据相关要求。
《实践指南》提出停服数据处理的通用安全要求,包括停止新增收集数据、区分数据类型、保障未成年人信息权益等。在个人信息处理方面,平台需提前20个工作日发布处置公告,明确数据删除、转移或保存路径,并确保用户知情与行权渠道畅通。继续保存个人信息需满足法定情形(如反洗钱、预付退款等),并采取加密、权限隔离等措施。
针对重要数据,平台需在停服前45个工作日报告处置方案,内容包括数据规模、风险分析、接收方资质及安全措施等。删除重要数据后需开展自评估或第三方评估,确保数据不可恢复,评估报告保存不少于三年。
该《实践指南》为平台有序退出提供了标准化操作框架,进一步压实数据处理者的安全责任,为监管部门与评估机构提供重要参考。
来源:全国网络安全标准化技术委员会
全文链接:
https://www.tc260.org.cn/upload/2025-09-15/1757944571777024928.pdf
九、重庆市网信办发布自贸区数据出境负面清单管理办法和2025版负面清单
2025年9月1日,重庆市互联网信息办公室、重庆市商务委员会、重庆市大数据应用发展管理局联合发布《中国(重庆)自由贸易试验区数据出境负面清单管理办法(试行)》(以下简称《管理办法》)《中国(重庆)自由贸易试验区数据出境管理清单(负面清单)(2025版)》(以下简称《负面清单》)。
本次发布的《负面清单》及《管理办法》,围绕服务重庆建设世界级智能网联新能源汽车产业集群需要,基于企业数据出境的实际需求,在充分论证和广泛调研基础上形成的。《负面清单》首批制定智能网联汽车领域,综合考虑行业主管部门要求、数据分类分级规则、数据敏感程度等因素,涉及4个业务活动、9个业务场景、110个数据项,基本涵盖智能网联汽车全业务链条,确保各业务活动中数据出境均有章可循。
《管理办法》分为总则、职责及分工、负面清单制定和实施、数据出境活动监督管理、数据处理者责任和义务、附则等六章23条,重点围绕负面清单的适用范围、职责分工、制定流程、安全监管等方面进行设计,是制定负面清单和开展日常监管的基本规范。
来源及全文链接:重庆市商务委员会
https://sww.cq.gov.cn/zwgk_247/zfxxgkmlrk/zcjd_1/wz_343305/bdmzcjd/202509/t20250905_14979518.html
中国(重庆)自由贸易试验区数据出境负面清单管理办法(试行):https://sww.cq.gov.cn/zwgk_247/zfxxgkmlrk/zcwj/qtwj/202509/W020250909391596024321.pdf
中国(重庆)自由贸易试验区数据出境管理清单(负面清单)(2025版):https://sww.cq.gov.cn/zwgk_247/zfxxgkmlrk/zcwj/qtwj/202509/W020250905576880293136.pdf
中国(重庆)自由贸易试验区数据出境负面清单实施指南(试行):https://sww.cq.gov.cn/zwgk_247/zfxxgkmlrk/zcwj/qtwj/202509/W020250905576880690928.pdf
十、《珠海经济特区数据资源开发利用条例》9月起正式施行
2025年9月1日,《珠海经济特区数据资源开发利用条例》(下称《条例》)正式施行。这是珠海充分运用经济特区立法权,在推动数据要素市场化配置、促进数字经济高质量发展方面迈出的关键一步。
《条例》在第三章数据资源开发中,集中规定了数据资源的普查、登记等制度,并创新建立公共数据资源“双层登记”机制、公共与非公共数据资源的统一登记平台,在客观上有助于盘清珠海经济特区数据资源的“家底”。这就把分散的公共和社会数据纳入“一体化管理”,实现“应汇尽汇、可查可核”,从而把“沉睡的数据”转化为“可发现、可交易的资产”,使社会开发主体清楚有哪些可获取、供开发利用的数据资源,促进数据资源融合开发利用。
《条例》明确将横琴粤澳深度合作区定位为“数字贸易国际枢纽港”,这一定位赋予横琴率先探索数据跨境流动新模式的使命。横琴先行先试、联动港澳、湾区协同的探索,也为粤港澳数据要素融通提供了新动力,有望为粤港澳大湾区的数据跨境流动闯出新路。
来源及全文链接:中国珠海政府
https://www.zhuhai.gov.cn/xw/xwzx/zhyw/content/post_3830255.html
《珠海经济特区数据资源开发利用条例》:https://www.zhuhai.gov.cn/zwfwglj/gkmlpt/content/3/3816/post_3816427.html#1676
境外数据法规政策动态
一、欧盟发布《与法规2023/2854(数据法案)相配套的车辆数据指南》
2025年9月12日,欧盟委员会发布《车辆数据指南》(下称《指南》),旨在为汽车行业相关方提供关于《数据法案》第二章实施的具体指导。该《指南》聚焦车辆数据的定义、范围及访问规则,强调数据合规的重要性。
《指南》明确,“车辆数据”包括由车辆使用产生的产品数据及与车辆相关的服务数据,涵盖原始数据、预处理数据及其必要元数据。而通过复杂算法推断或衍生的数据不属于法案适用范围。数据持有者需确保用户及其指定的第三方能够公平、无障碍地访问符合质量要求的车辆数据,且不得在数据提供方面存在歧视行为。
此外,《指南》提醒企业注意与其他行业法规(如《通用数据保护条例》(GDPR)和《类型批准法规》)的协调遵守,避免合规冲突。委员会鼓励行业对话、标准制定及跨部门合作,以推动数据共享与创新的平衡发展。
《指南》虽不具法律约束力,但为汽车行业数据合规提供了明确参考,有助于企业规范数据处理流程,防范合规风险。
来源及全文链接:European Commission
https://digital-strategy.ec.europa.eu/en/library/guidance-vehicle-data-accompanying-data-act
二、《欧盟数据法案》在欧盟正式实施
2025年9月12日,《欧盟数据法案》(下称《数据法案》)在欧盟正式实施,赋予用户控制其联网设备(如智能手表和汽车)生成的数据的权利,同时为小型企业利用这些数据开发创新售后服务创造机会。
《数据法案》扩大了用户获取高质量数据的渠道,并提升了数据驱动型创新的潜力。《数据法案》为更广泛地获取数据制定了公平的规则,以促进欧洲数字经济的创新、竞争力和增长。
联网设备(如汽车、智能电视和工业机械)的消费者和企业用户现在将能够访问、使用和共享其设备生成的原始数据。《欧盟数据法案》将确保欧盟市场上的联网设备设计允许数据共享;使消费者能够选择更具成本效益的维修和保养服务提供商,或自行完成这些工作;使制造业或农业等行业的用户能够访问工业设备性能数据,从而提高其效率和运营水平;使云用户能够在云提供商之间切换或同时使用多个提供商的服务;禁止可能阻碍数据共享的不公平合同。
欧盟委员会还发布了关于车辆数据共享的指南,这将有利于改善车辆维修保养、汽车共享和出行即服务。
来源:中国国家贸易促进委员会
全文链接:Official Journal of the European Union
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202302854&qid=1757765271344
三、欧盟拟推FiDA法规限制美科技巨头入局
2025年9月23日,欧盟正积极推进一项名为“金融数据访问”(FiDA)的法规建设,旨在扩展现有的“开放银行”体系。根据该框架,银行及金融机构需在客户明确授权的基础上,向第三方共享其金融数据。此举意在增强个人对自身数据的掌控能力,同时推动更加个性化、智能化的金融服务创新。
德国方面已向其他欧盟成员国提出建议,主张限制美国主要科技企业参与FiDA系统。拟被排除的企业包括苹果、亚马逊、谷歌和Meta等。德方认为,此举有助于维护欧洲消费者在数字金融领域的自主权,促进本土金融科技生态的发展,并确保市场竞争的公平性。通过规避大型科技平台的介入,欧盟有望构建更具独立性和韧性的数字金融架构。
然而,这一提议引发相关行业组织的回应。代表美国科技企业的游说团体指出,当前金融数据流通中的主导力量仍是传统银行体系,这些机构才更符合“守门人”的定义。他们强调,若以地域或企业背景为由设置准入壁垒,可能影响技术创新与服务效率,并可能对欧美之间的数字经济合作带来负面影响。
据知情人士透露,FiDA相关法规的协商已进入关键阶段,最终决策预计在未来数周内完成。目前多方评估认为,美国大型科技公司被排除在该体系之外的可能性较大。这一结果或将深刻影响欧洲数字金融服务的格局与发展路径。
来源及全文链接:ZOL数字化行业
https://dt.zol.com.cn/1051/10518126.html
四、韩国与欧盟的个人信息流转体系构建完成
从2025年9月16日开始,位于韩国的企业或公共机构将员工或客户等的个人信息转移至位于欧盟(EU)的分公司或其他企业等,即使无需数据主体等的额外同意也可进行。此类个人信息转移包括:提供的情况、允许查询的情况、委托处理的情况、保存在位于EU区域的云端的情况等,均适用。
此举是韩国个人信息保护委员会认定欧盟的个人信息保护水平与韩国实质相当,即进行所谓“充分性认定”的结果。这是继2023年9月修订《个人信息保护法》引入充分性认定制度后,欧盟成为首个获得认定的对象。由此,继2021年12月欧盟允许个人信息从欧盟区域自由转移至韩国的欧盟充分性决定之后,韩国和欧盟双方建立了个人信息可自由双向转移的体系。
来源及全文链接:韩国个人信息保护委员会
https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=11507
五、韩国降低假名化门槛,推动数据创新
韩国个人信息保护委员会(下称“个人信息委员会”)于9月24日(星期三)举行的第4次国政时事部长级会议上,联合相关部委公布了“假名信息系统及运营创新计划”。该计划是总统主持的“第1次核心监管合理化战略会议(9月15日)”的后续行动之一,旨在推动作为人工智能(AI)核心竞争力基础的高质量数据利用,同时大幅提升假名化信息的使用率。
根据《个人信息保护法》第28条之2,假名信息制度允许对个人信息进行处理——使其在无额外信息的情况下无法识别特定个人——进而用于统计编制、研究等目的。自2020年该制度推出以来,假名信息系统作为无需经信息主体同意即可使用个人信息的合法途径,已为解决公共领域难题、催生新商业模式作出贡献。
然而,假名化信息的使用率仍显不足。根据个人信息委员会2024年开展的“个人信息保护与利用调查”,仅2%的受访者在过去一年内有过提供假名信息的经历;而平均长达310天的全流程周期,也阻碍了研究人员与企业的积极使用。调查还特别指出,公共机构、医院等数据持有方因担忧法律风险不愿提供数据,且假名化标准与程序复杂模糊,导致一线实际数据使用困难。
鉴于此,个人信息委员会自去年10月起,联合各领域消费者、数据持有机构等利益相关方及专业机构组建专家会议,广泛听取一线意见,并在此基础上制定了以下措施,旨在完善假名化信息系统及运营体系。
来源及全文链接:韩国个人信息保护委员会
https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=11532#LINK
六、韩国《个人信息保护法施行令》将于10月2日正式生效
2025年9月16日,韩国个人信息保护委员会(PIPC)正式对外发布重要通知:《个人信息保护法施行令》最新修订案已获国务会议通过,并将于10月2日正式生效。该修正案要求拥有当地子公司的海外企业指定该子公司为其国内代表。该修正案引入了对违规行为的新义务和制裁。它旨在加强韩国的国内代理人制度,并调整对在该国运营的外国实体的个人数据保护要求。个人信息保护委员会(PIPC)将负责修订执行条例并进行检查,以支持新规定的实施。
修正案旨在加强海外企业的国内代理制度,并强化地方政府出资和投资机构的责任。根据新修正案,外国企业每年必须做什么开展年度培训,并根据绩效计划和检查来监督改进情况。地方政府出资机构登记个人信息档案须在生效日期后的60天内登记。
新修正案要求外国企业必须在其控制的韩国公司中指定一个国内代理,开展年度培训,并根据绩效计划和检查来监督改进情况。
来源及全文链接:Dataguidance
https://www.dataguidance.com/news/south-korea-pipc-announces-amendments-pipa-enforcement?utm_source=chatgpt.com
全球数据监管执法动态
一、国家网信办发布近期网络安全、数据安全、个人信息保护相关执法典型案例
近段时间以来,全国网信系统认真贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等法律法规,持续加大网络安全、数据安全、个人信息保护相关执法工作力度,各地网信部门依法查处一批涉网页篡改、数据泄露、违法违规处理个人信息、新技术新应用未经评估上线等违法违规案件。现将典型案例发布如下:
1. 广东某科技股份有限公司网页篡改案。
2. 新疆某互联网科技有限公司网页篡改案。
3. 山东某医学检验有限公司数据泄露案。
4. 浙江某科技股份有限公司数据被窃取案。
5. 重庆某科技公司数据被窃取案。
6. 广东某保险代理有限公司数据被窃取案。
7. 湖南某科技股份有限公司数据存在泄露安全风险案。
8. 北京某科技有限公司运营的App超范围收集个人信息案。
9. 上海某科技有限公司违法违规收集人脸信息案。
10. 浙江某科技有限责任公司运营的App提供深度合成服务未按规定进行安全评估案。
来源:中国宁波网
全文链接:网信中国
https://mp.weixin.qq.com/s/-EfW7ImfLGJI_ihc970I9A
二、“开盒”网暴检察官案等涉个人信息案件入选公安部打击整治网络违法犯罪5起典型案例
“净网—2025”专项工作开展以来,按照公安部部署要求,各地公安机关聚焦人民群众反映强烈的突出网络违法犯罪。2025年9月18日,公安部网安局公布5起打击整治网络违法犯罪典型案例。
1. 北京公安机关侦破“开盒”网暴检察官案。2025年4月,《央视新闻》公开报道一起恶意“开盒”案件,2名出镜接受采访的办案检察官身份信息随即被“开盒”。北京公安机关网安部门查明上述“开盒”活动由林某某、王某某实施。经进一步深挖,查明一个以王某为首的“查档”“开盒”违法犯罪团伙。公安机关已对其中7人依法采取刑事强制措施,对其中1人依法予以教育训诫。
2. 甘肃公安机关侦破卢某等人侵犯公民个人信息案。甘肃兰州公安机关网安部门查明,卢某等人在老旧小区、学校等区域,利用车载伪基站设备截取周边居民手机号及短信验证码从事网络账号注册贩卖活动。2025年4月,公安机关抓获卢某等违法犯罪嫌疑人12名,查扣车载伪基站设备7套、作案车辆5台,配件1000余件。卢某等人因涉嫌侵犯公民个人信息罪等,已被依法移送起诉。
3. 四川公安机关侦破张某等人侵犯公民个人信息案。四川内江公安机关网安部门查明,犯罪嫌疑人张某等人利用在某保险公司从事线上外包工作的职务之便,非法获取大量客户的公民个人信息,并通过网络兜售获利,涉案金额16万余元。张某等3人因涉嫌侵犯公民个人信息罪,已被依法移送起诉。
4. 四川公安机关侦破王某破坏计算机信息系统案。四川德阳公安机关网安部门查明,王某利用系统漏洞非法登录某单位系统后台,执行恶意指令,上传自制勒索病毒,并自动生成匿名勒索信,牟取非法利益10余万元。王某因涉嫌破坏计算机信息系统罪,已被公安机关依法采取刑事强制措施。
5. 安徽公安机关侦破郝某等人非法利用信息网络案。2025年3月,安徽阜阳公安机关网安部门成功破获一起利用AI仿冒银行APP并伪造交易凭证案件,查明郝某等人通过开发假冒银行APP,伪造银行交易流水、公积金流水账单、贷款结清证明等交易凭证,从中非法牟利。郝某等12人因涉嫌非法利用信息网络罪,已被公安机关依法采取刑事强制措施。
来源:中华人民共和国公安部
三、公安网安部门依法查处迪奥(上海)公司未依法履行个人信息保护义务案
今年5月,多家媒体报道法国时尚消费品牌迪奥发生数据泄露事件,中国大陆地区用户也陆续收到迪奥官方警示短信。2025年9月9日国家网络安全通报中心报道公安网安部门组织对迪奥(上海)公司依法开展行政调查。经查,迪奥(上海)公司存在三项违法事实:一是未通过数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证,违规向法国迪奥总部传输用户个人信息。二是向法国迪奥总部提供用户个人信息前,未向用户充分告知其个人信息境外接收方的处理方式,未取得用户“单独同意”。三是未对收集的个人信息采取加密、去标识化等安全技术措施。属地公安机关依据《个人信息保护法》规定,对迪奥(上海)公司依法予以行政处罚。
安全提示:公民个人信息受法律保护。请个人信息处理者以此案为鉴,遵循合法、正当、必要和诚信原则,落实《个人信息保护法》关于个人信息处理、跨境提供相关规定,规范个人信息收集、存储、使用、加工、传输、提供、公开、删除等全生命周期处理活动,切实保护用户个人信息安全。
来源:国家网络安全通报中心
四、某运输公司OA系统因数据泄露风险被青海网信办处罚
2025年9月9日,青海省互联网信息办公室依法对省内某运输公司存在的不履行网络安全保护义务违法行为进行行政处罚,对该公司予以警告,责令改正违法行为。
省互联网信息办公室在日常巡查监测中发现省内某运输公司建设的OA系统存在认证绕过漏洞。经查,该公司OA系统存储一定数量的个人敏感数据,数据库直接暴露在互联网端,利用系统漏洞可以查看、复制存储的数据,形成数据泄露风险。该公司未能履行网络安全和数据安全保护义务,存在网络安全违法行为。省互联网信息办公室依据《中华人民共和国网络安全法》第五十九条第一款规定,对该公司作出责令改正,予以警告的行政处罚。
根据国家法律规定,网络的所有者、管理者和网络服务提供者负有网络安全主体责任,相关人员负有管理责任,应当严格制定网络安全管理制度和操作规程,采取相应的技术措施和其他必要措施保障网络安全和数据安全。省互联网信息办公室将紧盯网络安全违法行为,加大网络安全、数据安全等领域执法力度,持续筑牢网络安全防线,为全省经济社会发展稳定大局提供有力的网信支撑和保障。
来源:网信青海
五、云岩区对履行网络安全和数据安全保护责任不力的企业开展约谈处罚
2025年9月4日,由贵阳市互联网信息办公室指导,云岩区互联网信息办公室开展网络执法工作。针对辖区内某企业因存在数据异常跨境传输的问题进行执法约谈。
经核查,该企业未严格遵守国家关于数据跨境传输的安全管理规定,履行必要的安全评估与合规审查义务不到位,网络安全教育不深不细,相关人员安全意识不足,在接入公网IP的设备使用中,开启同步“云数据”存储功能,导致数据传输过程存在安全隐患。经处置,涉事企业已及时关闭相关功能,事件未造成严重影响。此外,调查中还发现,该企业网络设备日志存储时间不足6个月,存在履行网络安全责任不到位的情形。云岩区互联网信息办公室依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规对该企业作出行政警告处罚,并责令整改。
此次,云岩区网信部门开展执法约谈工作,是市、区两级网信系统深化“上下联动、分级负责”执法机制的重要实践,有效提升了基层网信执法的精准性与权威性。下一步,区网信办将在市级网信部门的指导下,持续聚焦数据安全、网络安全、个人信息保护等重点领域,进一步强化与公安、市场监管等相关部门的协作配合,加大日常巡查排查与专项整治力度。对各类危害网络安全、违反数据安全法规的违法违规行为坚持“零容忍”态度,发现一起、查处一起,全力构筑安全、合规、有序的网络数据生态环境,为全市数字经济高质量发展提供坚实的安全保障。
来源:网信云岩
六、欧盟法院CJEU重新界定“假名化数据”的性质
2025年9月4日,欧盟法院(CJEU)就EDPS诉SRB案作出里程碑式判决。此案历经欧洲普通法院一审、欧洲法院(CJEU)二审,核心争议直指“假名化数据”的法律定性、“个人数据”的判断标准,以及数据控制者“告知义务”的履行边界。本文将通过案件背景、法院判决及观点,对其涉及的假名化数据保护问题进行讨论。
欧洲法院裁判逻辑与核心观点主要有:
1. 关于数据是否“与自然人相关”
欧洲法院认为,表达个人观点或看法的信息(如股东/债权人的评论)本身就与作者密切相关,属于“个人数据”。
2. 关于数据是否存在“可识别性”
法院认为若能够有效防止数据主体被识别,则假名化处理并不一定被认为属于“个人数据”。(74-75段)对控制者(SRB)而言,假名化后的数据通常仍是个人数据。原因是控制者保留“附加信息/密钥”,能够将数据与具体个人重新关联;对接收方(德勤)而言,如果存在有效的技术措施确实阻断了接收方在“合理可能”的条件下进行再识别(通常考虑成本、时间、技术发展等客观因素),则数据为“不可识别性”,不属于个人数据。(第76-87段)
3. 关于假名化数据的性质,即假名化与匿名化的区别
欧洲法院明确,当控制者将本身不具有个人属性的数据提供给他人,而该他人拥有合理可能用于识别数据主体的手段,则此类数据仍可能为“个人数据”。(第84段)因此如果技术和组织措施到位,可能使得数据对于不持有额外信息的接收方(如本案中的德勤)而言不再是“可识别”的,即对于接收方而言不属于“个人数据”。但这并不影响控制者(SRB)在收集数据时的义务。
4. 关于告知义务的具体履行
欧洲法院认为,在适用EUDPR第15条告知义务时,判断数据主体是否“可识别”,必须在数据收集时从数据控制者(SRB)的角度进行评估,且必须在数据收集时履行。(第111段)因此,SRB未在隐私声明中告知德勤作为潜在接收方,构成对告知义务的违反。
来源:CN-SEC中文网
七、希音因数据违规遭法国罚款,金额占其欧洲年营收2%
2025年9月4日,法国数据监管机构CNIL本周对希音开出罚单。由于在用户未同意的情况下植入Cookie文件,希音被处以1.5亿欧元(约合1.76亿美元)罚款。希音对此表示“坚决反对”,并称将提起上诉。
监管机构在2023年8月测试希音法国网站时发现,即使用户拒绝使用Cookie,网站仍将部分追踪文件植入用户设备。按照欧盟《通用数据保护条例》(GDPR),这类行为属于未经授权收集个人数据。
监管机构指出,希音未能正确告知用户相关信息,也没有尊重用户选择,其违规行为涉及多个环节。同时,考虑到希音在法国的访问量每月高达1200万人,罚款金额也相应提高。
希音方面表示,罚款“不成比例”,公司自去年起已与监管机构充分合作,并全面加强数据保护流程。希音称,该处罚“并非公正执法”。
数据显示,该罚款占希音欧洲业务年营收的约2%。根据爱尔兰注册实体披露的数据,希音2023年在欧洲营收达76.84亿欧元。
来源:腾讯网
八、因涉嫌非法收集儿童数据迪士尼公司被罚1000万美元
2025年9月3日,美国华特迪士尼公司与美国联邦贸易委员会达成和解协议,同意就涉嫌非法收集儿童用户数据支付1000万美元罚款。
美国联邦贸易委员会2日宣布上述消息时称,华特迪士尼公司向视频网站优兔提供的部分视频未按规定标注“供儿童”观看,该公司得以收集在优兔网站收看相关内容的13岁以下儿童的个人数据,并利用这些数据投放定向广告。
根据相关法律规定,各类面向13岁以下儿童的网站、应用程序和其他在线服务有必要把收集到的个人信息通知儿童父母,并在收集信息前获得可验证的家长许可。
美国联邦贸易委员会因此向华特迪士尼公司提起诉讼,称华特迪士尼公司行为违反了《儿童在线隐私保护法》。
路透社2日援引华特迪士尼公司一名发言人的话报道,和解协议只针对该公司向优兔提供的部分内容产品,不涉及迪士尼自有和运营的平台内容。依照这名发言人说法,迪士尼将继续以“最高标准”拥护儿童隐私保护法规。
优兔及其母公司谷歌在2019年也面临类似诉讼,优兔公司被控未经父母准许非法收集儿童个人信息并用于推送广告盈利。依照美国政府与谷歌和优兔达成的和解协议,谷歌和优兔因违反《儿童在线隐私保护法》向美国联邦贸易委员会和纽约州支付共计1.7亿美元罚款。
来源:央视网
收集整理:德和衡网络安全与数据合规团队
德和衡网络安全与数据合规团队是一个长期专注于数据合规专项法律服务的团队。团队成员由北京、深圳、上海三地的律师组成。团队自2014年成立以来,核心成员均来自国内领先的网络安全企业360,积累了丰富的行业经验。团队致力于协助企业客户提升数据管理水平,预防及应对数据安全问题,提高数据质量,并充分发挥企业数据资产的最大价值。目前,团队已为房产、能源、智能制造、电子、车联网、大数据、金融、物流、电商等多个行业的领军企业提供全套数据合规法律服务。