本期内容
国内数据法规政策动态:
一、国家互联网信息办公室发布《网络安全标识管理办法》(征求意见稿)
二、国家互联网信息办公室、公安部发布《大型网络平台个人信息保护规定(征求意见稿)》
三、市场监管总局发布《互联网平台反垄断合规指引(征求意见稿)》
四、公安部发布《公安机关网络空间安全监督检查办法(征求意见稿)》
五、十部门联合印发《关于推动物流数据开放互联 有效降低全社会物流成本的实施方案》
六、全国网安标委就个人信息识别、去标识化、匿名化三项网络安全标准实践指南公开征求意见
七、广东省网信办发布《粤港澳大湾区个人信息跨境流动标准合同备案指南》
八、上海发布《上海市医疗服务类互联网企业网络数据安全和个人信息保护合规指引》
境外数据法规政策动态:
一、欧盟:发布《数字综合监管提案》
二、欧盟:发布《数据访问与使用示范合同条款》及《云计算合同标准合同条款》
三、德国:《落实NIS-2指令及规范联邦行政部门信息安全管理基本原则法案》通过
四、印度:发布《数字数据保护规则》
五、西班牙:发布《个体户与中小企业加密指南》
六、欧盟、巴西:欧洲数据保护委员会通过了对巴西充分性决定草案的意见
全球数据监管执法动态:
一、上海发布5起不履行个人信息保护义务的典型案例
二、公安部计算机信息系统安全产品质量监督检验中心检测发现40款违法违规收集使用个人信息的移动应用
三、湘西州网信办对某学校未履行数据安全保护义务作出行政处罚
四、湖南某公司因未履行网络安全义务被惩处
五、北京市互联网法院审结一起关联APP共享用户数据未获同意引发的人格权侵权纠纷案件
六、欧盟法院裁定:英特尔媒公司推广付费内容的每日邮件构成直接营销
七、克罗地亚:电信运营商因违反GDPR被罚450万欧元
八、卢森堡:因数据处理活动记录留存不完整被罚7000欧元
国内数据法规政策动态
一、国家互联网信息办公室发布《网络安全标识管理办法》(征求意见稿)
2025年11月21日,为提升产品的网络安全能力,加强消费者权益保护,维护网络安全和公共利益,国家互联网信息办公室、工业和信息化部起草了《网络安全标识管理办法》(征求意见稿)(以下简称“征求意见稿”),并向社会公开征求意见。
征求意见稿规定,网络安全标识对应的网络安全能力由低到高依次为基础级、增强级、领先级,相应的标识等级分别用一星、二星、三星表示。基础级要求产品应当满足相关国家标准的基本安全要求,如不存在弱口令或通用默认口令、建立漏洞管理机制并动态修复漏洞、保持软件更新等;增强级要求产品网络安全能力达到国内先进水平;领先级要求产品网络安全能力达到国际先进水平,同时还应通过渗透性测试方法,检测抵御高级别网络攻击的能力。任何组织和个人不得伪造、冒用网络安全标识或者利用网络安全标识进行虚假宣传。
征求意见稿明确,国家互联网信息办公室、工业和信息化部负责组织对网络安全标识备案、使用情况进行监督检查。产品生产者伪造、冒用网络安全标识或者利用网络安全标识进行虚假宣传的,备案机构应当撤销相关产品的网络安全标识备案,对产品生产者的违规行为予以公告,自公告之日起一年内不再受理其产品备案。
来源:央视网
全文链接:
https://mp.weixin.qq.com/s/O0q0ihFOSkSYfs7H79g5lA
二、国家互联网信息办公室、公安部发布《大型网络平台个人信息保护规定(征求意见稿)》
2025年11月22日,为规范大型网络平台个人信息处理活动,保护个人信息合法权益,促进平台经济健康发展,国家互联网信息办公室、公安部起草了《大型网络平台个人信息保护规定(征求意见稿)》(以下简称“征求意见稿”),向社会公开征求意见。根据征求意见稿,大型网络平台服务提供者应按照法律法规有关规定指定个人信息保护负责人,并公开个人信息保护负责人的联系方式。
对大型网络平台的认定,征求意见稿提出,主要考虑的因素包括:注册用户5000万以上或者月活跃用户1000万以上;提供重要网络服务或者经营范围涵盖多个类型业务;掌握处理的数据一旦被泄露、篡改、损毁,对国家安全、经济运行、国计民生等具有重要影响。
征求意见稿指出,大型网络平台服务提供者应当明确个人信息保护工作机构,在个人信息保护负责人领导下开展个人信息保护相关工作,包括制定实施内部个人信息保护管理制度、操作规程以及个人信息安全事件应急预案;组织开展个人信息安全风险监测、风险评估、合规审计、影响评估、应急演练、宣传教育培训等活动,及时处置个人信息安全风险和事件等。
征求意见稿称,大型网络平台服务提供者应当为个人行使查阅、复制、更正、补充、删除、限制处理其个人信息,或者注销账号、撤回同意等权利提供便捷的方法和途径。
来源:新华网
全文链接:
https://mp.weixin.qq.com/s/Spa-_qTDK2ZzSAddp0GWdw
三、市场监管总局发布《互联网平台反垄断合规指引(征求意见稿)》
2025年11月15日,市场监管总局发布《互联网平台反垄断合规指引(征求意见稿)》(以下简称“征求意见稿”),向社会公开征求意见,意见反馈截止日期为今年11月29日。
征求意见稿坚持问题导向,及时回应社会期待,为平台经营者设定清晰明确的行为指引。主要有以下特点:
从制定目的看,征求意见稿以促进平台经济创新和健康发展为出发点和落脚点。平台经济创新和健康发展离不开公平竞争的市场环境。征求意见稿详细列举互联网平台可能发生的反垄断合规风险,引导平台经营者加强反垄断合规管理,有效预防和制止垄断行为的发生,有利于营造公平竞争的市场环境,充分激发经营主体内生动力和创新活力,不断提升竞争水平和发展质量。
从文件性质看,征求意见稿是不具有强制力的专项反垄断合规指引。做好反垄断合规可以大幅降低平台经营者的不确定性成本。征求意见稿旨在为平台经营者反垄断合规提供一般性指引,不具有强制力,是加强全链条监管的创新举措,有利于帮助平台经营者精准识别、评估、防范反垄断合规风险,主动规范自身经营行为。
从具体内容看,征求意见稿注重增强反垄断合规管理的针对性、有效性。征求意见稿结合平台经济行业特点、经营模式、竞争规律等,及时总结反垄断监管执法经验,提出8个场景中的新型垄断风险,引导平台经营者加强平台规则审查和算法筛查,构建全链条合规管理制度,针对性、穿透式做好反垄断合规管理工作。
来源:央视网
全文链接:
https://www.samr.gov.cn/hd/zjdc/art/2025/art_8e05960782204036af6b9583f1413378.html
四、公安部发布《公安机关网络空间安全监督检查办法(征求意见稿)》
2025年11月29日,为规范公安机关对网络空间安全的监督检查工作,根据相关法律法规,经充分调研论证,公安部对2018年制定的《公安机关互联网安全监督检查规定》进行修订,起草了《公安机关网络空间安全监督检查办法(征求意见稿)》(以下简称“征求意见稿”)。
征求意见稿指出,本办法适用于公安机关依法对网络运营者、数据处理者、个人信息处理者等履行法律法规规定的网络安全、信息安全、数据安全义务情况开展的监督检查。
公安机关根据网络空间安全防范需要,可以对下列对象依法开展监督检查:
1.提供互联网接入、数据中心、内容分发、域名服务、信息服务等的互联网服务提供者;
2.公共上网服务提供者;
3.网络运营者及其建设者、维护者;
4.关键信息基础设施运营者及其建设者、维护者;
5.网络产品、服务的提供者;
6.数据处理者;
7.个人信息处理者;
8.其他依法可以监督检查的对象。
征求意见稿明确,公安机关开展网络空间安全监督检查,不得干扰被检查对象的正常运营。公安机关对网络安全等级保护三级以上的网络运营者、关键信息基础设施运营者,应当每年开展一次现场检查。
另外,受公安机关委托提供技术支持的网络安全服务机构、专门人员,从事非法侵入被检查对象网络、干扰网络正常功能、窃取网络数据等危害网络空间安全的活动,窃取或者以其他非法方式获取、出售或者向他人提供在工作中获悉的国家秘密、工作秘密、商业秘密、个人信息的,依法予以处罚;构成犯罪的,依法追究刑事责任。
来源:央视网
全文链接:
https://www.mps.gov.cn/n2254536/n4904355/c10316016/part/10316034.doc
五、十部门联合印发《关于推动物流数据开放互联 有效降低全社会物流成本的实施方案》
2025年11月3日,国家发展改革委、交通运输部等十部门联合印发《关于推动物流数据开放互联 有效降低全社会物流成本的实施方案》(简称《方案》),并同步公布国家物流公共数据共享开放清单(2025),从夯实物流数据开放互联基础、推动物流公共数据开放互联、促进企业物流数据市场化流通利用等多个维度精准发力,为降低全社会物流成本、建设全国统一大市场、构建新发展格局提供有力支撑。
《方案》提出建立国家物流公共数据共享开放清单,提升物流公共数据共享质效;面向“港口与海关”“运输与外汇”“企业与资质”“保险与海事”等业务联动场景,深化物流公共数据跨行业、跨地域、跨层级应用;加强物流相关政务服务数据整合,提升实名认证、电子证照、资质核验等公共服务便利化水平。
《方案》鼓励企业面向物流追踪、关务协同、智慧云仓、共同配送等应用场景,以及冷链、医药、烟草、危化、军民融合等专业物流发展需要,开发多样化物流数据产品和服务,促进运输、仓储、配送、通关等环节高效衔接;支持有条件的企业打通跨境数据链路,破解国际物流信息不对称问题;推进多式联运相关单证认证、鉴真等技术应用,实现单证可信流转、货物全程追溯,促进多式联运“一单制”“一箱制”加速落地;支持铁路、公路、水路以及第三方物流等骨干企业,向多式联运信息集成服务商转型,依托中欧班列、国际陆海贸易新通道等载体,推动跨境数据融合应用。
来源:中华人民共和国交通运输部
全文链接:
https://www.ndrc.gov.cn/xxgk/zcfb/tz/202511/P020251110613138273956.pdf
六、全国网安标委就个人信息识别、去标识化、匿名化三项网络安全标准实践指南公开征求意见
2025年11月24日,全国网络安全标准化技术委员会制定《个人信息保护 个人信息识别指南(征求意见稿)》(以下简称《识别指南》)、《个人信息保护 个人信息去标识化指南(征求意见稿)》(以下简称《去标识化指南》)、《个人信息保护 个人信息匿名化指南(征求意见稿)》(以下简称《匿名化指南》)3项网络安全标准实践指南,旨在为个人信息处理者提供具体、可操作的实施细则,以保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用。
《识别指南》阐释个人信息“各种信息、有关、已识别或可识别、自然人”四大识别要素,提供识别方法与示例,为处理者划定个人信息保护范围提供依据。
《去标识化指南》:界定脱敏与假名化两种核心技术路径,给出假名化实现框架、流程及安全保障措施,附个人信息脱敏示例,帮助处理者降低信息可识别性。
《匿名化指南》:明确个人信息匿名化的判断规则、实现方式、适用场景及相关技术,要求同时满足“不可单独挑出、不可链接、不可推断”,为处理者合规开展匿名化提供指引。
来源及全文链接:税屋网
https://www.shui5.cn/d/file/p/2025/12-01/78d18055383c472a0b2ca889becffc42.zip
七、广东省网信办发布《粤港澳大湾区个人信息跨境流动标准合同备案指南》
2025年11月28日,为落实《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》,便于粤港澳大湾区内内地个人信息处理者或接收方规范有序开展备案工作,广东省互联网信息办公室编制了《粤港澳大湾区个人信息跨境流动标准合同备案指南》,进一步优化备案流程,公布线上报送系统,规范标准合同、承诺书、经办人授权委托书等材料的内容、格式,并提供了可下载模板。
符合条件的个人信息处理者或接收方,通过订立《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同》的方式进行粤港澳大湾区内内地和香港、澳门之间的个人信息跨境流动,按照指南以线上方式向广东省互联网信息办公室备案。可直接访问“数据出境申报系统”(网址:https://sjcj.cac.gov.cn),也可从中国网信网(https://www.cac.gov.cn)首页“全国网信政务办事大厅”栏目访问“数据出境申报系统”。
来源:广东网信网
全文链接:
https://view.officeapps.live.com/op/view.aspx?src=https%3A%2F%2Fcagd.gov.cn%2Fdata%2Fuploads%2F%2Fueditor%2Fphp%2Fupload%2Ffile%2F2025%2F11%2F1764334477361561.doc&wdOrigin=BROWSELINK
八、上海发布《上海市医疗服务类互联网企业网络数据安全和个人信息保护合规指引》
2025年11月25日,上海市网信办、市市场监督管理局、市卫生健康委联合制定了《上海市医疗服务类互联网企业网络数据安全和个人信息保护合规指引》(以下简称“指引”),用于提升上海市医疗服务类互联网企业网络数据安全与个人信息保护合规水平,推动行业健康发展。
指引适用于上海行政区域内,从事医疗软件开发、在线诊疗、预约挂号、电子处方、检验结果查询等服务的互联网企业,明确健康医疗数据涵盖个人健康信息、医疗支付数据、公共卫生数据等全品类相关电子数据。
指引作出多项明确规定:
1.收集个人健康数据需以显著方式告知目的、范围及共享对象,获个人单独同意,变更处理方式需重新获得同意;
2.向合作方共享数据需约定保护措施并全程监督,商业营销需先获单独同意且提供拒绝渠道。
3.技术层面要求采用加密传输、身份鉴别、数据脱敏、备份等措施,生产数据与测试数据隔离存储,网络访问及安全事件日志留存不少于6个月。
4.企业需建立患者信息查询、更正、删除、撤回同意的便捷响应机制,制定安全应急预案并定期演练,数据泄露等事件需及时上报并告知受影响个人。
此外,指引明确法定代表人是第一责任人,处理100万以上个人信息需向市网信办报送负责人信息,处理1000万以上者每两年至少开展一次合规审计;严禁非法抓取、买卖、交换健康医疗数据,员工及合作方需签订保密协议并接受背景审查。
来源及全文链接:网信上海
https://mp.weixin.qq.com/s/K3_OzeO6IpsTngo7vW5ULw
境外数据法规政策动态
一、欧盟:发布《数字综合监管提案》
2025年11月19日,欧盟委员会发布了《数字综合法规提案》(以下简称“提案”)。提案的核心目标在于简化人工智能、网络安全和数据领域的现行法规。与之配套的还有《数据联盟战略》和“欧洲商业钱包”计划,后者将为企业提供单一数字身份。提案关键内容如下:
1.人工智能
提案包含《人工智能数字综合法规》,其中提出了对欧盟《人工智能法案》的若干修订。
2.《通用数据保护条例》(GDPR):完善定义与合规规则
(1)修订个人数据定义:明确“与自然人相关的信息,不会仅因其他主体可识别该自然人,就必然成为所有主体的个人数据”。若某一主体无法通过合理手段识别信息所属自然人,该信息对其而言不构成个人数据,且后续接收方的识别能力不影响这一认定。
(2)扩充特殊类型个人数据范围:修改GDPR第9条,将《人工智能法案》框架下的处理活动及生物识别数据纳入特殊类型个人数据监管。
(3)调整信息告知义务:对GDPR第12、13条规定的信息告知义务提出修订建议,优化合规操作。
(4)明确数据泄露报告要求:若个人数据泄露可能对自然人权利和自由造成高风险,控制者需在知晓数据泄露后立即且在可行情况下最迟96小时内,通过提案设立的统一入口完成申报。
3.Cookie规则:优化用户体验,简化合规流程
提案旨在更新Cookie监管规则,提升用户线上体验:减少Cookie弹窗频次,支持通过浏览器和操作系统的中央设置保存用户偏好;明确Cookie相关个人数据处理的自动化、机器可读选择指示要求。具体要求包括:
(1)基于同意存储或访问终端设备个人数据时,用户需能通过一键操作按钮或同等便捷方式拒绝同意请求;
(2)用户给出同意后,控制者在该同意合法有效期间,不得就同一目的再次请求同意;
(3)用户拒绝同意后,控制者至少六个月内不得就同一目的再次请求同意。
4.《数据法案》相关:整合规则与合规支持
(1)通过《数据法案》整合欧盟数据规则;
(2)为中小企业(SMEs)和中型小盘企业(SMCs)豁免部分《数据法案》中的云服务切换规则;
(3)提供合规指引:推出数据访问与使用的示范合同条款、云计算合同标准条款,助力企业遵守《数据法案》;
(4)开放高质量实时数据集,为AI发展提供数据支持。
来源:Dataguidence
全文链接:
https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal
二、欧盟:发布《数据访问与使用示范合同条款》及《云计算合同标准合同条款》
2025年11月19日,欧盟委员会发布非强制性《数据访问与使用示范合同条款》(MCTs)及《云计算合同标准合同条款》(SCCs),旨在帮助各方(尤其是中小企业)落实《数据法案》。模板自愿使用可修改;虽主要为B2B合作设计,补充消费者保护规则后也适用于B2C。
《数据访问与使用示范合同条款》:针对《数据法案》第二章、第三章规定的法定数据共享场景,欧盟委员会拟定了三套示范合同条款,分别对应三类核心关系——即智能联网产品使用过程中产生数据的“数据持有方、用户、数据接收方”之间的共享义务,每套均为完整合同文本,企业可直接用于落实具体数据共享要求。欧盟委员会还额外拟定了一套《数据共享方与接收方示范条款》,适用于自愿性数据共享场景。所有条款均符合《数据法案》第四章关于不公平条款管控要求。
《云计算合同标准合同条款》:欧盟委员会拟定了六套示范合同条款,三套核心标准条款将《数据法案》第六章“云服务切换”相关规定转化为可直接嵌入数据处理合同的现成条款,为避免合同权利义务失衡、确保第六章规定不被架空,欧盟委员会额外补充了三套标准条款,强化“公平、合理、非歧视”的核心原则。
来源:欧盟委员会
全文链接:
https://ec.europa.eu/newsroom/dae/redirection/document/121719
三、德国:《落实NIS-2指令及规范联邦行政部门信息安全管理基本原则法案》通过
2025年11月13日,德国联邦参议院通过了《落实NIS-2指令及规范联邦行政部门信息安全管理基本原则法案》(文件号:21/1501,21/2072,21/2146Nr.1.11)(以下简称“法案”)。旨在保护重要设施和欧洲内部市场,并增强其防御能力。
法案规定相关法律的适用范围将扩大,并引入新的机构类别。同时,目前对安全事件的单级报告义务将被三级报告机制取代。联邦信息安全办公室在监管措施方面的权限工具也将得到扩展。
此外,将在联邦行政部门内部设立一名中央协调员(联邦首席信息安全官),负责协调各部门机构的信息安全措施。该协调员还将协助各联邦部委落实信息安全管理方面的要求。
来源:德国联邦政府
全文链接:
https://dserver.bundestag.de/btd/21/027/2102783.pdf
四、印度:发布《数字数据保护规则》
2025年11月13日,印度电子和信息技术部(MeitY)依据《数字个人数据保护法》,正式发布《数字数据保护规则》(以下简称《规则》)。该规则详细规定了数据受托人(类似欧盟GDPR的数据控制者)、同意管理者及政府机构的个人数据处理流程、义务与保障措施,并明确了分阶段生效时间。
《规则》约束数据受托人、数据处理者及同意管理者的个人数据处理行为,同时明确政府机构在提供补贴、福利、服务、证明文件、执照或许可时的相关义务。其适用于《数字个人数据保护法》管辖范围内的所有数据处理主体,对通知告知、同意获取、安全保障、数据泄露通知及数据留存等事项作出专项规定。
核心条款如下:
1.通知与同意:数据受托人需以简洁明了的独立通知,告知个人信息主体数据类别、处理目的,以及同意撤回、权利行使和投诉渠道等关键信息;同意管理者必须向数据保护委员会注册,满足法定条件并履行相关义务,违规者可能被暂停或撤销注册资格。
2.安全与泄露通知:数据受托人需采取加密、脱敏、访问控制、监控、备份及合同保障等适当安全措施;发生数据泄露后,需及时通知受影响主体及数据保护委员会,并在72小时内提交详细报告。
3.数据留存与删除:数据处理目的达成后,除非法律要求留存,否则需删除相关数据,且删除前需提前告知数据主体;日志及流量数据的留存期限不得少于一年。
4.政府数据使用:政府机构因提供补贴或服务处理个人数据时,需遵守《规则》附表二规定的标准。
此外,数据保护委员会拥有多项执法权限,包括监管同意管理者的注册流程、监督合规情况、暂停或撤销违规者注册资格,以及要求同意管理者提供相关信息、发布保护数据主体权益的指令等。数据受托人若未及时报告数据泄露、未履行安全保障或数据留存义务,将面临执法行动。
来源:Dataguidence
全文链接:
https://www.meity.gov.in/static/uploads/2025/11/53450e6e5dc0bfa85ebd78686cadad39.pdf
五、西班牙:发布《个体户与中小企业加密指南》
2025年11月18日,西班牙数据保护局(AEPD)正式发布《个体户与中小企业加密指南》(以下简称“指南”)。指南提供了必要的工具和知识,旨在帮助个体户与中小企业在业务各环节(如邮件发送、云存储、设备内信息存储等)简单高效地应用加密技术。
加密技术的核心是将信息转换为特定格式,未掌握解密密钥者无法获取内容,从而最大程度降低个人数据泄露风险。
指南分析了多起已向AEPD通报和投诉的个人数据泄露真实案例,梳理了因缺乏防护措施导致严重后果的典型场景:设备丢失或被盗、个人数据无意公开、误发含机密信息的邮件、员工滥用访问权限导致数据被未授权访问等。
同时,指南还给出了具体解决方案——若提前应用这些措施,原本可避免或至少减轻后续损害,有效保障信息的保密性、完整性和可用性。
指南特别强调“数据最小化原则”的重要性:在数据处理的每个阶段,仅处理特定目的所需的必要个人数据。这样即便安全措施出现漏洞,也能降低对个人权益的影响。
《通用数据保护条例》(GDPR)第83条也明确指出,信息加密是保护个人数据和通信安全的重要工具,规定“数据控制者或处理者需评估处理过程中的固有风险,并采取加密等缓解措施”。
来源:西班牙数据保护局(AEPD)
全文链接:
https://www.aepd.es/guias/guia-cifrado-autonomos-pymes.pdf
六、欧盟、巴西:欧洲数据保护委员会通过了对巴西充分性决定草案的意见
2025年11月7日,巴西与欧盟之间个人数据保护充分性决定相互认可的谈判,已完成重要阶段性进展:欧洲数据保护委员会(EDPB)于11月初,就欧盟委员会9月5日提交的初步充分性决定提案发表了专项意见。
这一意见是监管流程中的关键里程碑,核心在于评估巴西法律框架(尤其是《通用数据保护法》(LGPD)及巴西国家数据保护局(ANPD)的履职情况)与欧盟《通用数据保护条例》(GDPR)之间的等效程度。这项技术性分析是巴西能否正式通过欧盟委员会充分性决定的核心前提——一旦通过,巴西将被认定为具备与欧盟同等水平个人数据保护的国家。
意见还包含了后续阶段需考量的建议与技术性意见,欧盟委员会评估的详细内容可查阅欧洲数据保护委员会发布的《2025号意见》执行摘要。
ANPD始终以协作、专业、透明的态度与欧盟委员会及其他国际机构开展合作,再次彰显了巴西在国际合作、监管互操作性方面的承诺,以及推动安全可信个人数据跨境流动的决心。
巴西与欧盟的充分性互认进程,不仅强化了巴西在全球数据保护议程中的主导地位,更拉近了两大区域数字经济的距离,为创新发展、国际贸易提供助力,同时保障了数字环境下的基本权利。
来源:巴西国家数据保护局(ANPD)
全球数据监管执法动态
一、上海发布5起不履行个人信息保护义务的典型案例
2025年11月28日,“亮剑浦江·2025”个人信息保护专项执法行动总结暨交流研讨活动在上海举办,活动现场上海网信部门、市场监管部门联合发布了5起不履行个人信息保护义务的典型案例。相关案例发布如下。
案例一:某新能源科技企业用户数据泄露案
网信部门工作发现,该企业业务是为电动自行车提供换电服务。该企业因测试需要,将已生成的换电日志和用户数据导入测试数据库并允许互联网访问,未采取相应安全防护措施,涉嫌个人信息数据泄露。经查,该企业未依法履行个人信息保护义务,相关系统未采取技术措施和其他必要措施保障数据安全,未对用户数据进行加密,未制定网络安全和数据安全管理制度,未开展网络安全等级保护测评,网络日志留存不足六个月,违反《个人信息保护法》《网络安全法》《数据安全法》等法律法规规定。网信部门依法责令企业限期改正,并予以警告、罚款处罚。
案例二:某医疗科技公司患者数据泄漏案
网信部门工作发现,该企业所开发的系统主要用于为互联网医院提供服务,存储患者诊疗数据(包含病情、开药信息等敏感个人信息),且均未采取加密措施存储,相关数据库在未采取防护措施的情况下对互联网开放访问服务,涉嫌个人信息数据泄露。经查,该企业未依法履行个人信息保护义务,数据库未配置密码策略,系统未开展网络安全等级保护测评,存在未授权访问漏洞,未留存网络日志,违反《个人信息保护法》《网络安全法》《数据安全法》等法律法规规定。网信部门依法责令企业限期改正,并予以警告、罚款处罚。
案例三:某装修服务企业客户数据泄露案
网信部门工作发现,该企业提供室内装修装饰服务,其业务系统中存有合同信息、报价信息、客户信息等相关数据,内部人员为工作便利将内部数据库向互联网开放,涉嫌个人信息数据泄露。经查,该企业未依法履行个人信息保护义务,相关数据未作加密存储,未开展网络安全等级保护工作,涉事系统未配置网络安全防护措施,存在未授权访问漏洞,网络日志留存不足六个月,违反《个人信息保护法》《数据安全法》等法律法规规定。网信部门依法责令企业限期改正,并予以警告、罚款处罚。
案例四:某餐饮企业变相强制消费者同意收集与经营活动无直接关系的个人信息案
市场监管部门接到举报线索并发现,消费者在使用该餐饮企业运营的扫码点餐小程序进行“到店点餐”时必需提供个人手机号码,如不提供则无法完成点餐。该行为已构成变相强制消费者同意收集与经营活动无直接关系的个人信息的行为,违反《消费者权益保护法实施条例》有关规定。杨浦区市场监管部门依法责令该企业限期改正,并予以警告处罚。
案例五:某药店违法使用消费者个人信息销售处方药案
市场监管部门接到举报线索并发现,该药店先后2次在未经消费者本人同意情况下,使用前期经营过程中获取的消费者姓名、联系方式、地址等个人信息,以前述消费者名义在外卖平台下单并申请虚假处方,再向其他消费者现场销售处方药,该非法使用消费者个人信息的行为违反《消费者权益保护法》有关规定。虹口区市场监管部门依法责令药店限期改正,并予以警告、罚款和没收违法所得处罚(当事人涉及处方药的违法行为已另案查处)。
来源:网信上海
二、公安部计算机信息系统安全产品质量监督检验中心检测发现40款违法违规收集使用个人信息的移动应用
2025年11月17日,国家网络安全通报中心依据《网络安全法》《个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求,经公安部计算机信息系统安全产品质量监督检验中心检测,40款移动应用存在违法违规收集使用个人信息情况,具体通报如下:
1.未逐一列出收集、使用个人信息的目的、方式、范围。涉及16款移动应用;
2.在申请打开可收集个人信息的权限时,未同步告知用户其目的。涉及1款移动应用;
3.征得用户同意前就开始收集个人信息。涉及2款移动应用;
4.实际收集的个人信息超出用户授权范围。涉及16款移动应用;
5.个人信息保护政策中描述需要收集的个人信息超出相关功能的必要范围。涉及1款移动应用;
6.配置文件中声明的可收集个人信息的权限超出相关功能的必要范围。涉及2款移动应用;
7.实际收集的个人信息超出相关功能的必要范围。涉及10款移动应用;
8.未向用户提供个人信息相关投诉渠道或功能。涉及5款移动应用;
9.未向用户提供更正或补充其个人信息的具体途径。涉及3款移动应用;
10.未向用户提供删除其个人信息的具体途径。涉及3款移动应用;
11.未向用户提供注销账户的途径和方式。涉及1款移动应用;
12.注销账户的流程中设置不合理的条件或提出额外要求。涉及1款移动应用;
13.未提供退出或关闭个性化展示模式的选项。涉及1款移动应用;
14.广告存在误导、欺骗用户行为。涉及2款移动应用。
来源:国家网络安全通报中心
三、湘西州网信办对某学校未履行数据安全保护义务作出行政处罚
近日,湘西州网信办依法对湘西某学校作出行政处罚,系湘西州首例未履行数据安全保护义务被行政处罚案例。
经调查核实,该学校的视频监控系统未采取相应防护措施履行数据安全保护义务,存在较大数据泄漏风险,其行为违反了《中华人民共和国数据安全法》第二十七条:建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。湘西州互联网信息办公室根据《中华人民共和国数据安全法》第四十五条之规定,对该学校作出警告的行政处罚,并责令限期整改。
来源:网信湖南
四、湖南某公司因未履行网络安全义务被惩处
2025年11月5日,湖南公安网安部门在工作中发现,辖区内某服务平台系统遭受黑客攻击,并被利用该系统短信功能漏洞对外发送了数万条含有非法链接的短信,造成恶劣影响。
目前犯罪嫌疑人已被公安机关抓获。
公安机关经现场调查发现,该平台所属单位和负责该平台运维的武汉某信息技术公司,均未对该平台采取有效监测网络安全事件的技术措施,运维公司还未制定网络安全事件应急预案,导致该平台被黑客攻击,造成恶劣影响。
湖南公安网安部门对武汉某信息技术公司依法处以行政处罚,责令限期改正;对该系统所属单位依法进行专项约谈、责令限期整改,并通报其上级单位,做出网络安全风险提示。
来源:公安部网安局
五、北京市互联网法院审结一起关联APP共享用户数据未获同意引发的人格权侵权纠纷案件
2025年11月5日,北京互联网法院审结一起人格权侵权纠纷案件,认定关联企业运营的多款APP在未获得用户有效同意的情况下共享数据,构成侵权并需承担连带责任。
基本案情显示,被告某信息公司(运营APP A、B)与某科技公司(运营APP C)系关联企业,三款APP均源自同一内容板块,形成“统一服务平台体系”。原告柴某某注册使用APP B后,发现A、C两款APP自动生成其账号,且三款APP间的昵称、头像、动态等数据及发布、修改、删除操作均自动同步,实名认证信息、私信等敏感内容也被共享。原告认为二被告未取得单独同意即共享数据,侵害其个人信息权益及隐私权,诉请赔礼道歉并赔偿损失。
被告辩称,跨平台数据共享是为提供一致化服务,属于《个人信息保护法》规定的“共同处理个人信息”,已通过用户协议、隐私政策获得同意,不构成侵权。法院审理查明,二被告虽签订数据共享协议并进行部分告知,但存在告知未涵盖全部处理主体、未明确信息种类及处理方式,且实名认证、私信等敏感个人信息未获单独同意,部分同意弹窗无“不同意”选项等问题。
法院认定,原告对昵称等一般个人信息享有个人信息权益,对实名认证、私信等享有隐私权;二被告的行为属于“共同处理个人信息”,但未满足充分告知和有效同意要求,尤其是敏感个人信息未获单独同意,已构成侵权。最终判决二被告向原告赔礼道歉并赔偿经济损失,二审法院驳回上诉维持原判。
来源:北京互联网法院
六、欧盟法院裁定:英特尔媒公司推广付费内容的每日邮件构成直接营销
2025年11月13日,欧盟法院就“C-654/23英特尔媒公司诉罗马尼亚国家数据保护局(ANSPDCP)”一案作出判决,该案涉及欧盟《隐私与电子通信指令》(2002/58/EC)中关于直接营销通信的规定。
欧盟法院在判决中指出,英特尔媒公司推出了一项订阅服务,允许用户创建免费账户以获取有限内容,并通过电子邮件接收每日新闻简报。罗马尼亚数据保护局以“未经有效同意处理个人数据”为由,对该公司处以42,714罗马尼亚列伊(约合9,000欧元)的罚款。罗马尼亚数据保护局认定,用户注册时收集的数据最初仅用于账户创建,但后续被用于发送新闻简报,这一行为构成了“以直接营销为目的的未经请求通信”,属于与原收集目的不符的数据处理。
英特尔媒公司辩称,其新闻简报不具有商业性质,因此不应适用针对未经请求营销的规则。该公司还主张,其数据处理的法律依据是《通用数据保护条例》第6条第1款规定的“合法利益”以及《隐私与电子通信指令》第13条第2款。
法院最终裁定:
1.免费账户注册过程中收集的电子邮箱地址,属于《隐私与电子通信指令》第13条第2款规定的“在销售产品或服务过程中获取”的联系方式;
2.每日发送推广付费内容的新闻简报,构成该指令第13条第1款与第2款所界定的“以直接营销为目的使用电子邮件”;
3.当数据处理行为适用《隐私与电子通信指令》第13条第2款规定时,不再适用《通用数据保护条例》第6条第1款的法律依据要求。
来源:Dataguidence
判决来源:
https://curia.europa.eu/juris/document/document.jsf?text=&docid=306136&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=4667790
七、克罗地亚:电信运营商因违反GDPR被罚450万欧元
2025年11月14日,克罗地亚个人数据保护局(AZOP)发布公告,对其国内一家电信运营商(电子通信网络及服务运营商)处以450万欧元行政罚款,理由是其多项数据处理行为违反《通用数据保护条例》(GDPR)。该处罚源于AZOP主动发起的合规调查,目前处罚决定尚未生效,涉事运营商可在收到决定后30日内向主管行政法院提起诉讼。
经查,涉事运营商(数据控制者)存在四大核心违规行为:
一是向第三国传输数据缺乏保障,2020年4月至2022年12月期间,其依据标准合同条款(SCCs)向塞尔维亚的关联公司(数据处理者,负责软件维护)传输用户数据,但2022年12月27日后未续签条款,且未开展数据出境风险评估,导致后续传输无合规保护;塞尔维亚数据处理者可凭管理员权限访问全部SAPCRM数据库,获取84.7862万用户的姓名、身份证地址、手机号、银行账户等敏感信息。
二是信息不透明,未按GDPR第13条告知用户数据将传输至欧盟经济区外的塞尔维亚,隐私政策中仅用“可能”“例外情况”等模糊表述,违反数据告知清晰度要求。
三是过度处理员工个人数据,无法律依据收集员工身份证复印件、无犯罪记录证明,且无视内部数据保护官“此类收集超出必要范围”的意见,违反GDPR数据最小化原则。
四是未履行处理方审查义务,未在委托前核查电话销售服务处理方的安全措施,违反GDPR对数据处理者的事前管控要求。
来源:克罗地亚个人数据保护局(AZOP)
八、卢森堡:因数据处理活动记录留存不完整被罚7000欧元
2025年11月10日,卢森堡国家数据保护委员会(CNPD)公布了其于2025年4月30日作出的第3FR/2025号决定,因一家公司违反《通用数据保护条例》(GDPR),对其处以7000欧元罚款。
CNPD于2023年12月对涉事公司启动调查。
调查过程中,CNPD要求该公司提供其数据处理活动记录。经查,该公司记录中存在以下缺失:
1.未载明数据控制者的名称与联系方式,仅包含数据保护官的信息;
2.未描述所处理数据的类别;
3.未规定各类别数据的保存期限。
基于以上事实,CNPD认定该公司违反了GDPR第30条第1款a项、c项及f项的规定。CNPD据此对该公司处以7000欧元罚款。
来源:Dataguidence
收集整理:德和衡网络安全与数据合规团队
德和衡网络安全与数据合规团队是一个长期专注于数据合规专项法律服务的团队。团队成员由北京、深圳、上海三地的律师组成。团队自2014年成立以来,核心成员均来自国内领先的网络安全企业360,积累了丰富的行业经验。团队致力于协助企业客户提升数据管理水平,预防及应对数据安全问题,提高数据质量,并充分发挥企业数据资产的最大价值。目前,团队已为房产、能源、智能制造、电子、车联网、大数据、金融、物流、电商等多个行业的领军企业提供全套数据合规法律服务。