本期内容

　　国内数据法规政策动态：

　　一、《网络安全法》完成修订

　　二、国家网信办联合市场监管总局发布《个人信息出境认证办法》

　　三、国家网信办发布《数据出境安全管理政策问答(2025年10月)》

　　四、《云计算综合标准化体系建设指南(2025版)》发布

　　五、全国网安标委发布国家标准《数据安全技术数据安全保护要求》(征求意见稿)

　　六、全国网安标委发布《网络安全标准实践指南——数据库联网安全要求(征求意见稿)》

　　七、工信部修订《道路机动车辆生产企业准入审查要求(征求意见稿)》

　　八、中国互联网协会发布《推动互联网平台互通互操作自律公约》

　　境外数据法规政策动态：

　　一、欧盟：《关于授权研究人员数据访问权限的法案》正式生效

　　二、65国签署《联合国打击网络犯罪公约》

　　三、欧盟：EDPB公布2026年将透明度要求作为执法重点

　　四、欧盟：《<数字市场法>(DMA)与<通用数据保护条例>(GDPR)相互作用的联合指南》发布

　　五、美国：加州州长签署《加州选择退出法案》

　　六、欧盟：发布《关于大规模IT系统审计周期的建议》

　　全球数据监管执法动态：

　　一、国家网络安全通报中心通报70款违法违规收集使用个人信息的移动应用

　　二、最高检公布前三季度全国侵犯公民个人信息犯罪数量和趋势

　　三、湖南省网信办对某文化旅游公司未履行数据安全保护义务作出行政处罚

　　四、欧盟委员会初步认定TikTok和Meta违反数字服务法透明度义务

　　五、携程因数据泄露面临韩国国会听证

　　六、英国Capita数百万数据被盗后被ICO罚款1400万英镑

　　国内数据法规政策动态

　　一、《网络安全法》完成修订

　　2025年10月28日，十四届全国人大常委会第十八次会议审议通过关于修改《中华人民共和国网络安全法》的决定。新修改的网络安全法自2026年1月1日起施行。以下是修订的主要内容：

　　1.明确网络运营者处理个人信息时，除遵守《网络安全法》外，还须遵守《民法典》《个人信息保护法》等规定。

　　2.大幅提高罚款额度并且增加了罚款对象：对于拒不履行网络安全义务的行为，区分不同后果设置阶梯式处罚。特别是对关键信息基础设施运营者造成特别严重后果的违法行为，罚款上限已达到千万元级别。同时，直接责任人也将面临罚款。

　　3.针对未履行实名制义务、违规发布漏洞及内容安全违规等行为可实行关停APP的处罚措施。

　　4.关键信息基础设施运营者使用未通过网络安全审查产品或服务的行为，新增限期整改和消除影响的处罚。

　　5.依据《行政处罚法》，规定了从轻、减轻或者不予处罚的情形，鼓励违法者主动消除危害、配合调查。

　　6.追究境外实体法律责任的范围从危害关键信息基础设施扩展到危害中国网络安全的任何行为。

　　7.新增国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展。国家支持创新网络安全管理方式，运用人工智能等新技术，提升网络安全保护水平。

　　来源及全文链接：全国人大代表

　　http://www.npc.gov.cn/npc/c2/c30834/202510/t20251028_449048.html

　　二、国家网信办联合市场监管总局发布《个人信息出境认证办法》

　　2025年10月14日，国家互联网信息办公室、国家市场监督管理总局联合公布《个人信息出境认证办法》(以下简称《办法》)，自2026年1月1日起施行。

　　国家互联网信息办公室有关负责人表示，《个人信息保护法》对个人信息出境认证制度作了基本规定，按照国家网信部门的规定经专业机构进行个人信息保护认证是向境外提供个人信息的法定途径之一。《办法》对个人信息出境认证的适用情形，个人信息出境认证的申请方式、认证要求及证书有效期，专业认证机构应当履行的义务，监督管理要求等作出细化规定，旨在保护个人信息权益，规范个人信息出境认证活动，促进个人信息高效安全跨境流动。

　　《办法》明确了个人信息出境认证的适用情形。个人信息处理者通过个人信息出境认证的方式向境外提供个人信息的，应当同时符合下列情形：一是非关键信息基础设施运营者;二是自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息，且向境外提供的个人信息中不包括重要数据。规定个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过个人信息出境认证的方式向境外提供。

　　《办法》明确了个人信息出境认证的申请方式、认证要求及证书有效期。规定个人信息处理者应当向专业认证机构申请个人信息出境认证，专业认证机构应当按照认证基本规范、个人信息保护认证规则开展认证活动。明确认证证书的有效期为3年。

　　《办法》明确了专业认证机构应当履行的义务。规定专业认证机构应当向全国认证认可信息公共服务平台报送个人信息出境认证证书相关信息。发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等情形，不再符合认证要求的，应当暂停其使用直至撤销相关认证证书。发现个人信息出境活动违反法律、行政法规和国家有关规定的，应当及时向国家网信部门和有关部门报告。

　　《办法》明确了监督管理要求。规定专业认证机构自取得认证资质之日起10个工作日内，应当向国家网信部门备案，国家市场监督管理部门和国家网信部门对个人信息出境认证活动进行监督。省级以上网信部门和有关部门发现获证个人信息处理者个人信息出境活动存在较大风险或者发生个人信息安全事件的，可以依法对获证个人信息处理者进行约谈。

　　《办法》对违反《办法》规定的法律责任、适用效力等作出了规定。

　　来源：中国网信网

　　全文链接：

　　https://www.cac.gov.cn/2025-10/17/c_1762449728720008.htm

　　三、国家网信办发布《数据出境安全管理政策问答(2025年10月)》

　　2025年10月31日，国家互联网信息办公室发布《数据出境安全管理政策问答(2025年10月)》，针对企业在合规实践中普遍关心的豁免场景界定、重要数据申报时限、系统升级是否需重新评估等十大关键问题提供了明确指引。有以下代表性问题及回复：

　　1.豁免场景理解：《促进和规范数据跨境流动规定》中“跨境购物、跨境寄递……考试服务等”的“等”字，意味着可纳入豁免情形不限于所列内容，但需满足为订立、履行个人作为一方当事人的合同且确需向境外提供个人信息这两个条件。同时，数据处理者向境外提供个人信息时，应履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。

　　2.酒店行业数据：酒店企业在境内个人预定境内酒店时出境个人信息，不符合豁免申报数据出境安全评估等情形。

　　3.员工信息豁免范畴：向境外提供员工身份证、护照和银行账户是否适用“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息”的豁免规定，需从相关规定和必要、目的明确、最小化处理等原则进行具体判断。

　　4.申报时间与灵活性：数据处理者被告知掌握重要数据或数据被公开发布为重要数据后，如需继续开展相关数据出境活动，应在2个月内申报数据出境安全评估。若出境场景复杂、准备材料时间长，建议在重要数据识别认定期间同步准备申报材料。

　　5.“境外”定义：“数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出”中的“境外”，指数据访问或调用行为发生在境外。

　　6.系统升级与重新申报：数据出境场景、接收方不变但系统升级或更换时，若未出现《数据出境安全评估办法》第十四条规定的情形，无需重新申报数据出境安全评估。

　　7.标准合同备案：个人信息处理者开展涉及同一境外接收方且预计每年出境个人信息数量符合规定条件的业务活动，可备案一次合同。若自当年1月1日起累计出境数量达到申报安全评估条件，应申报安全评估。

　　8.新增出境场景处理：完成个人信息出境标准合同备案后，若新增出境场景符合《个人信息出境标准合同办法》第八条规定的情形，应重新开展评估、补充或重新订立合同并备案。

　　9.境外接收方提供信息：境外接收方若需将通过标准合同出境的个人信息提供给境外第三方，应在合同附录中予以说明。

　　10.认证依据和标准：认证机构开展和个人信息处理者申请个人信息出境认证，主要参照2022年11月公布的《关于实施个人信息保护认证的公告》以及国家标准《数据安全技术个人信息跨境处理活动安全认证要求》(GB/T46068-2025)。国家网信办将按程序公示相关专业认证机构。

　　来源及全文链接：网信中国

　　https://mp.weixin.qq.com/s/JLr066P-zKJxs_0gcDu8rA

　　四、《云计算综合标准化体系建设指南(2025版)》发布

　　2025年10月10日，《云计算综合标准化体系建设指南(2025版)》(以下简称“指南”)正式发布，旨在全面、系统地推进云计算标准化工作，为云计算产业的健康、快速发展提供有力支撑。

　　到2027年，指南提出将制定和修订30项以上云计算国家标准和行业标准，进一步健全云计算标准体系。同时，将加快云计算领域国际标准布局，促进产业全球化发展，推动云计算应用达到国际先进水平。

　　指南从基础标准、技术标准、服务标准、应用标准、管理标准和安全标准六个方面构建了云计算综合标准化体系框架。这一框架全面覆盖了云计算的各个层面，为标准化工作提供了清晰的路径和方向。建设内容如下：

　　1.基础标准：主要规范云计算术语概念、技术架构等，是相关标准制定的共性基础。

　　2.技术标准：主要规范云计算基础支撑、平台、交互和部署等技术产品的设计与研发，为实现云服务和应用提供技术底座。

　　3.服务标准：主要规范面向云服务客户提供的基础设施即服务、平台即服务、数据即服务、人工智能即服务、软件即服务、安全即服务等各类云服务，为云计算系统建设和应用提供服务支撑。

　　4.应用标准：主要规范云计算与其他各类信息技术和行业的融合应用，推动技术产品融合创新，赋能各行业依托云计算技术实现数字化转型升级。

　　5.管理标准：主要规范云计算解决方案和云服务的设计、交付部署、运营、运维以及质量评价全生命周期管理，为促进技术产品的互操作性和兼容性、规范服务流程、确保服务质量提供管理保障。

　　6.安全标准：主要规范云计算环境下的网络安全、数据安全、信息安全、系统安全、服务安全和应用安全，为云计算产业发展提供安全保障。

　　指南提出了加强组织建设、强化宣贯实施等保障措施，确保云计算标准化工作的顺利推进。同时，鼓励产学研用各方加强合作，共同推动云计算标准化事业的发展。

　　来源：天津市工业和信息化局

　　全文链接：

　　https://gyxxh.tj.gov.cn/ZWGK4147/ZCWJ6355/gjjwj/202510/W020251010344205588889.pdf

　　五、全国网安标委发布国家标准《数据安全技术数据安全保护要求》(征求意见稿)

　　2025年10月31日，全国网络安全标准化技术委员会发布国家标准《数据安全技术数据安全保护要求》征求意见稿(以下简称“标准”)，标准是在国家数据安全工作协调机制指导下，根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》及有关规定，在GB/T 43697-2024《数据安全技术数据分类分级规则》的基础上，规定数据安全保护的通用要求和重要数据、核心数据专门保护要求，用于指导各行业领域、各地区、各部门和数据处理者在数据分类分级的基础上开展数据安全保护工作。

　　标准提出了数据安全保护框架，规定了数据安全保护的原则、目标和要求。适用于指导数据处理者开展数据分类分级保护工作，也可为主管监管部门、第三方评估机构等组织对数据安全进行监督、管理和评估提供参考。主要内容包括：

　　1.第4章中提出了总则，规定了数据安全保护目标、原则、框架。

　　2.第5章规定了数据安全保护的通用要求。

　　3.第6章、第7章分别针对重要数据、核心数据提出数据处理安全保护要求。

　　来源：全国网络安全标准化技术委员会

　　全文链接：

　　https://www.tc260.org.cn/file/2025-10-30/f5fa7670-f5ad-4a1a-893b-291ce8f2b3a5.docx

　　六、全国网安标委发布《网络安全标准实践指南——数据库联网安全要求(征求意见稿)》

　　2025年10月17日，全国网络安全标准化技术委员会发布《网络安全标准实践指南——数据库联网安全要求(征求意见稿)》(以下简称《要求》)，旨在应对数据库联网过程中和联网状态下的安全风险，减少因安全防护措施不足、安全配置不当、管理不当引发的数据泄露等安全事件。

　　数据库和云上对象存储广泛连接至公共网络，在联网过程中和联网状态下面临诸多安全风险，这些风险可能导致数据泄露，对用户隐私、公共利益和国家安全造成严重威胁。

　　为应对数据库联网过程中和联网状态下的安全风险，《要求》从技术要求、管理要求两个方面提出了安全要求，同时也给出了云上对象存储安全要求，旨在减少因安全防护措施不足、安全配置不当、管理不当引发的数据泄露等安全事件。

　　来源及全文链接：全国网络安全标准化技术委员会

　　https://www.tc260.org.cn/upload/2025-10-17/1760696775464021093.pdf

　　七、工信部修订《道路机动车辆生产企业准入审查要求(征求意见稿)》

　　2025年10月13日，为进一步提高道路机动车辆生产企业及产品准入审查要求，提升产品质量安全水平，更好适应汽车产业发展新形势，推动产业持续健康发展，工业和信息化部装备工业一司组织制修订了《道路机动车辆生产企业准入审查要求(征求意见稿)》(以下简称《企业审查要求》)，其中有关网络安全与数据合规的内容集中在1.5-1.7：

　　《企业审查要求》规定，企业需建立网络安全管理制度、车辆产品网络安全风险管控机制、车辆产品网络安全监测机制、车辆产品网络安全漏洞管理和应急响应机制、建立车辆产品与供应商相关的风险识别和管理能力以及建立车辆产品网络安全管理制度的持续改进机制。其中关键网络日志留存期不得少于6个月。

　　《企业审查要求》要求，企业应满足相适应的数据安全保障要求，应建立汽车数据安全管理制度并实施数据分类分级管理，建立数据安全机制并实施安全保护措施，建立数据出境安全评估机制及对数据处理相关方的数据安全管理能力。

　　针对软件升级，《企业审查要求》要求企业应具备记录并安全保存每次软件升级过程相关信息至车辆产品停产后10年。应建立软件升级系统必要的网络安全防护管理和技术措施，建立软件升级用户告知机制。

　　此外，《企业审查要求》还明确要求企业配备专职的网络安全、数据安全及软件升级保障团队。

　　来源及全文链接：工业和信息化部

　　https://www.miit.gov.cn/cms_files/filemanager/1226211233/attach/202510/4f07b40d4fc24edf8d93e4a871079289.pdf

　　八、中国互联网协会发布《推动互联网平台互通互操作自律公约》

　　2025年10月24日，中国互联网协会发布《推动互联网平台互通互操作自律公约》(以下简称“公约”)，得到相关单位的积极响应。

　　公约提出，互联网平台应遵循自愿、平等、公平、诚信、安全、技术可行的原则，分阶段、逐步开展互通互操作。核心内容聚焦三大场景：一是推进应用及服务互通，支持用户在不同平台间便捷切换服务，无正当理由不得限制用户使用合法合规的第三方服务;二是在保证安全的同时，各方协同推进外链的识别与访问;三是逐步推进数据互通互操作，遵循最小必要原则，在授权或法律法规允许范围收集使用。此外，公约强调保障用户知情权、选择权和隐私权，明确用户有权选择关闭互通功能，并要求平台建立健全数据安全管理体系，设置便捷的投诉反馈渠道，维护公平竞争的市场环境。

　　公约得到业界的广泛支持和积极响应，共征集到61家单位签署，包括抖音、腾讯、淘天、蚂蚁、百度、京东、美团、快手等互联网平台企业，以及全国32个地方互联网协会，覆盖电商、社交、支付、信息服务等多个关键领域，充分体现了行业的共同意愿。

　　来源：中国互联网协会

　　全文链接：

　　https://www.isc.org.cn//profile//2025/10/24/48b14ccd-b04d-4c4a-9784-e75e1f16e633.docx

　　境外数据法规政策动态

　　一、欧盟：《关于授权研究人员数据访问权限的法案》正式生效

　　2025年10月29日，依据《数字服务法》(DSA)第40条通过的欧盟委员会授权法案——《关于授权研究人员数据访问权限的法案》(以下简称“法案”)将正式生效。法案明确了超大型在线平台(VLOPs)和搜索引擎(VLOSEs)应以何种原则向服务于公共利益的授权研究人员开放数据。

　　法案的生效将为科学界提供有力支持，助力独立开展对数字巨头的运作研究，包括平台算法对公共舆论的影响、虚假信息的传播，以及用户权益面临的威胁等。

　　法案具体明确了以下内容：

　　1.数据访问门户的运营方式，该门户将成为处理数据请求的核心枢纽;

　　2.平台与数字服务协调员的信息披露及联络义务;

　　3.提交有充分理由的数据访问申请的要求，包括申请内容、形式及必须满足的标准;

　　4.处理个人数据及保障信息安全的准则;

　　5.申请流程、可能的修改及调解机制;

　　6.平台在向研究人员提供数据时，对数据记录与管理的要求。

　　来源：波兰电信监管局

　　全文链接：

　　https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202502050

　　二、65国签署《联合国打击网络犯罪公约》

　　2025年10月25日，《联合国打击网络犯罪公约》(以下简称《公约》)开放签署仪式暨高级别会议在越南河内国家会议中心举行，旨在应对网络犯罪日益严峻的威胁，通过加强国际合作、技术援助和能力建设，特别是对发展中国家的支持，提升预防和打击网络犯罪的有效性。

　　《联合国打击网络犯罪公约》于2024年12月由联合国大会通过，是首个全球性条约，将依赖网络的犯罪定为刑事犯罪，涵盖网络欺诈、儿童性虐待和性剥削材料，以及针对儿童的网络诱骗行为，并将未经同意传播亲密影像资料行为认定为犯罪。

　　《公约》还建立了首个用于收集、共享和使用严重犯罪电子证据的全球性框架，此前尚无广泛认可的国际标准。

　　《公约》同时关注推动各国能力建设，以便更有效地追查并协作应对快速发展的网络犯罪。

　　根据《公约》内容，各国将建立跨境合作机制，尤其是在数字证据共享方面取得重大突破。这一问题长期阻碍了司法追责：犯罪者可能在一国，受害者在另一国，而相关数据却存储于第三国。公约为调查人员和检察官提供了明确的法律途径，有助于消除司法合作障碍。

　　此外，《公约》首次在国际法律文件中将“未经同意传播私密影像”列为刑事犯罪，并要求缔约国为受害者提供保护、救助与补偿措施，包括删除非法内容。

　　截至10月25日，已有65个国家签署了《联合国打击网络犯罪公约》，《公约》将在第40个签署国完成批准后90天正式生效。

　　来源：联合国

　　三、欧盟：EDPB公布2026年将透明度要求作为执法重点

　　2025年10月14日，欧洲数据保护委员会(EDPB)宣布，已选定其第五次联合执法行动的主题，该行动将在2026年展开，重点关注组织是否遵守《通用数据保护条例》(GDPR)规定的透明度和信息告知义务。根据GDPR第12、13和14条，当个人数据被处理时，相关个人有权被告知。这一知情权是透明度原则的核心要素，旨在确保个人能更好地控制自己的数据。

　　在此次联合行动中，欧盟各成员国数据保护机构(DPAs)将先在本国就此主题展开调查。随后，EDPB将汇总并分析各国的行动结果，并在必要时于国家或欧盟层面采取有针对性的后续措施。各成员国数据保护机构将在未来几周内自愿加入此项行动。

　　来源：EDPB

　　四、欧盟：《<数字市场法>(DMA)与<通用数据保护条例>(GDPR)相互作用的联合指南》发布

　　2025年10月9日，欧洲数据保护委员会(EDPB)与欧盟委员会(European Commission)联合发布了《<数字市场法>(DMA)与<通用数据保护条例>(GDPR)相互作用的联合指南》(以下简称“指南”)。指南侧重于DMA中那些与GDPR实质性规则存在显著重叠、且值得各框架主管监管机构之间澄清和形成共同解释的条款。核心条款的交互作用澄清：

　　1.DMA第5(2)条：禁止守门人(即大型数字平台企业)未经终端用户GDPR意义上的有效同意进行数据处理。指导文件说明遵守要求、无需同意情形及依赖其他依据的条件。

　　2.DMA第6(4)条：要求提供操作系统的守门人支持第三方软件应用或商店的安装使用。指南提醒守门人确保措施合法，选择对DMA目标影响小的有效措施并举例。

　　3.DMA第6(9)条：规定经终端用户或授权第三方请求赋予数据可携带权。指南阐述与GDPR第20条互补性及GDPR关键要求，如数据可携带性、身份验证等。

　　4.DMA第6(10)条：赋予商业用户及授权第三方数据访问权。指南说明收集同意的影响、守门人协助方式及告知个人数据共享情况。

　　5.DMA第6(11)条：要求守门人向请求的第三方企业提供访问权限，共享个人数据需匿名化。指南阐明目标与匿名化方法。

　　6.DMA第7条：规定被指定提供非号码依赖人际通信服务的守门人应向请求的替代服务提供商提供互操作性。指南从隐私和数据保护法角度阐述相关要求，提醒守门人遵守GDPR原则及保障措施。

　　7.监管协同机制：指南要求欧盟委员会(DMA执法方)与各国数据保护机构(GDPR执法方)建立联合调查与信息共享机制，避免监管冲突或重复处罚，并援引欧盟法院“一事不二罚”原则确保执法一致性。

　　来源及全文链接：EDPB

　　https://digital-markets-act.ec.europa.eu/document/download/8ba0913f-2778-4a6d-9c58-10f8c7ead009_en?filename=Joint_COM-EDPB_GLS_interplay_DMA_GDPR_for_public_consultation.pdf

　　五、美国：加州州长签署《加州选择退出法案》

　　2025年10月8日，加州州长签署了一项具有开创性的法案——《加州选择退出法案》(AB566)，使其正式成为法律。这项全美首创的法律将要求浏览器内置一项设置，使消费者能够发送退出偏好信号，为加州人提供了一种行使数字隐私权的简便方式。

　　退出偏好信号会自动向消费者在特定平台上与之交互的所有企业传达其不愿将个人信息出售或分享给第三方的意愿。例如，在互联网浏览器上启用了退出偏好信号的用户，在浏览网页时，会自动向每个访问的网站和遇到的第三方发送退出请求。

　　虽然根据《加州消费者隐私法案》(CCPA)，加州消费者已经享有发送具有法律约束力的退出偏好信号的权利，但Chrome、Safari和Edge等主流浏览器在隐私设置中并未提供通用退出选项。由于缺乏通用控制选项，消费者必须在访问的每个网站上单独选择退出，或者下载第三方扩展程序来发送信号，这项新法律将为加州人在CCPA框架下管理隐私选择提供更实用的方式。

　　来源：Consumer reports

　　全文链接：

　　https://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=202520260AB566

　　六、欧盟：发布《关于大规模IT系统审计周期的建议》

　　2025年10月3日，欧盟数据保护委员会(EDPB)通过了《关于大规模IT系统审计周期的建议》(以下简称“建议”)。建议为监管机构和申根评估团队提供了明确指引，旨在落实关于申根信息系统(SIS)、签证信息系统(VIS)、互操作性框架、出入境系统(EES)以及欧洲旅行信息和授权系统(ETIAS)的欧盟法规中所规定的审计频率要求。

　　建议明确规定，申根信息系统(SIS)、签证信息系统(VIS)以及互操作性框架的审计须至少每四个日历年完成一次;而出入境系统(EES)和欧洲旅行信息及授权系统(ETIAS)的审计则须至少每三个日历年完成一次。若在一个完整的周期内未能完成审计，即构成违规。

　　此外，建议指出审计周期应依据理事会条例(EEC,Euratom)第1182/71号关于欧盟法律行为中期间、日期和时限适用规则的第3条第2款c项的规定按年计算。上一次审计的完成日期(定义为现场访问的最后一日或审计报告出具之日)将作为下一个审计周期的起始点。

　　来源：Digital Policy Alert

　　全文链接：

　　https://www.edpb.europa.eu/our-work-tools/our-documents/csc-documents/recommendations-calculating-audit-cycle-eu-large-scale_en

　　全球数据监管执法动态

　　一、国家网络安全通报中心通报70款违法违规收集使用个人信息的移动应用

　　2025年10月30日，国家网络安全通报中心对70款存在违法违规收集使用个人信息情况的移动应用进行了通报。这些移动应用存在的问题包括：

　　1.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;隐私政策难以访问;个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。涉及23款移动应用。

　　2.隐私政策未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。涉及24款移动应用。

　　3.个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意;App客户端向第三方提供个人信息，包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息，未经过用户同意，未做匿名化处理。涉及14款移动应用。

　　4.未在征得用户同意后才开始收集个人信息或打开可收集个人信息的权限。涉及5款移动应用。

　　5.未提供有效的更正、删除个人信息及注销用户账号功能。涉及4款移动应用。

　　6.投诉、举报未在承诺时限内受理并处理;个人信息处理者未建立便捷的个人行使权利的申请受理和处理机制。涉及2款移动应用。

　　7.未向用户提供撤回同意收集个人信息的途径、方式;个人信息处理者未提供便捷的撤回同意的方式。涉及23款移动应用。

　　8.通过自动化决策方式向个人进行信息推送、商业营销，未同时提供不针对其个人特征的选项，或者未向个人提供便捷的拒绝方式。涉及3款移动应用。

　　9.个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则;收集未成年人信息未取得监护人单独同意。涉及13款移动应用。

　　10.未采取相应的加密、去标识化等安全技术措施。涉及34款移动应用。

　　11.无隐私政策。涉及9款移动应用。

　　来源：国家网络安全通报中心

　　二、最高检公布前三季度全国侵犯公民个人信息犯罪数量和趋势

　　2025年10月20日，最高检公布在2025年前三季度，全国检察机关共起诉侵犯公民个人信息犯罪2100余件4400余人。检察办案发现，侵犯公民个人信息犯罪呈现一些新特点新趋势值得关注。

　　一是根据“市场需求”瞄准特定对象，针对性获取公民个人信息。一些不法分子紧密追踪“黑灰产市场”对公民个人信息的需求，有针对性地猎取、梳理、分析公民个人信息，甚至形成专门数据服务商，为下游犯罪提供定制化“原料”支持。

　　二是犯罪技术迭代更新，犯罪手段更趋智能化隐蔽化。一些不法分子利用网络爬虫、木马病毒、渗透工具等黑客技术入侵存有公民个人信息的各类系统，批量获取后出售，进行非法获利。部分个人信息售出后被用于电信诈骗等违法犯罪活动。

　　三是网络“开盒”助推网暴升级，严重侵害公民合法权益。网络“开盒”行为目的多样。“开盒”行为人通过“社工库”(不法分子通过非法手段收集公民个人信息而搭建的数据库)等非法获取他人隐私信息，并散布引导网民攻击骚扰，对社会、个人及网络生态均造成严重危害。有的网暴不断升级，侵害被害人现实生活。

　　来源：最高人民检察院

　　三、湖南省网信办对某文化旅游公司未履行数据安全保护义务作出行政处罚

　　2025年10月14日，湖南省互联网信息办公室依法查明，某文化旅游公司存在不履行网络安全、数据安全、个人信息保护义务行为，其相关信息系统未采取相应的加密、去标识化等安全技术措施和其他必要措施保障游客个人信息数据安全，未按照法律规定期限留存相关网络日志，存在安全漏洞，造成部分数据泄露。湖南省互联网信息办公室依据《中华人民共和国数据安全法》和《湖南省网络安全和信息化条例》对该公司作出警告并处罚款十五万元的行政处罚。

　　来源：网信湖南

　　四、欧盟委员会初步认定TikTok和Meta违反数字服务法透明度义务

　　2025年10月24日，欧盟委员会今日发布初步调查结果，认定TikTok和Meta(旗下包括Instagram和Facebook)未能履行《数字服务法案》(DSA)中关于向研究人员提供充分公开数据访问权限的义务。此外，Meta还因未为用户提供简便的非法内容举报机制及有效的内容审核决定申诉渠道而被认定违规。

　　Facebook、Instagram和TikTok可查阅欧盟委员会调查档案中的文件，并以书面形式回应初步调查结果，同时可采取措施纠正违规行为。与此同时，欧盟还将咨询欧洲数字服务委员会。

　　若欧盟委员会的观点最终得到证实，将发布违规裁决，涉事平台可能面临最高达其全球年营业额6%的罚款。此外，欧盟委员会还可施加定期罚款，以强制平台履行合规义务。

　　来源：欧盟委员会

　　五、携程因数据泄露面临韩国国会听证

　　2025年10月，携程集团旗下Trip.com因客户数据泄露风险，在韩国国会审计中被曝光，目前已引发韩国政府与民众的高度关注，正面临进一步调查与听证。

　　在10月14日，国民力量党议员金在筮在审查中指出携程的服务条款表明，其可与关联公司共享用户个人信息。韩国公民的个人信息很有可能泄露给一家中国关联公司。他要求Trip.com修改该公司可与关联公司共享用户信息的条款。

　　携程集团注册实体为新加坡公司，但实际是一家总部位于中国上海的中国关联公司，旗下拥有多家中国子公司，包括全球航班搜索平台天巡。

　　携程的服务条款规定：“包括预订产品信息、姓名、手机号码、电子邮件以及出生日期、护照号码、居住地和KakaoTalk等聊天应用ID在内的各类信息，可能会被转移至海外。”用户可以拒绝同意个人信息转移至海外;然而，如果他们拒绝，将会被告知“服务使用将受到限制”。

　　来源：Chosun Biz

　　六、英国Capita数百万数据被盗后被ICO罚款1400万英镑

　　2025年10月15日，英国信息专员办公室(ICO)对Capita处以1400万英镑(约合1870万美元)的罚款，原因是2023年的一起数据泄露事件暴露了660万人的个人信息。

　　ICO最初曾计划对Capita处以4500万英镑的罚款，但鉴于该公司承认责任、实施了重要的安全改进，并为受影响的个人提供数据保护服务，罚款金额被降低。

　　ICO的调查结果显示，Capita因多项安全漏洞而被罚款，包括访问控制不佳(缺乏分层管理员账户模型)、对安全警报响应延迟、安全运营中心(SOC)人员配置不足，以及未能定期执行渗透测试和风险管理演练。

　　ICO最初对Capita设定了更高的罚款金额，但在该公司承认责任、实施重要的安全改进措施，并向受影响个人提供数据保护服务后，决定减少罚款。ICO将罚款分为两部分，对Capita plc处以800万英镑的罚款，对Capita Pension Solutions Limited处以600万英镑的罚款。

　　来源：TASC

　　收集整理：德和衡网络安全与数据合规团队

　　德和衡网络安全与数据合规团队是一个长期专注于数据合规专项法律服务的团队。团队成员由北京、深圳、上海三地的律师组成。团队自2014年成立以来，核心成员均来自国内领先的网络安全企业360，积累了丰富的行业经验。团队致力于协助企业客户提升数据管理水平，预防及应对数据安全问题，提高数据质量，并充分发挥企业数据资产的最大价值。目前，团队已为房产、能源、智能制造、电子、车联网、大数据、金融、物流、电商等多个行业的领军企业提供全套数据合规法律服务。