本期内容
国内数据法规政策动态:
一、工业和信息化部等8部门联合发布《汽车数据出境安全指引(2026版)》
二、八部门印发《未成年人用户数量巨大和对未成年人群体具有显著影响的网络平台服务提供者认定办法》
三、工业和信息化部等五部门联合印发《关于加强信息通信业能力建设 支撑低空基础设施发展的实施意见》
四、国家网信办等11部门联合印发《关于提升境外人员入境数字化服务便利性的实施意见》
五、国家网信办发布《政务移动互联网应用程序备案工作指南(第一版)》
六、市场监管总局发布《互联网平台反垄断合规指引》
七、国家数据局发布《培育数据流通服务机构 加快推进数据要素市场化价值化的意见》
八、《数据安全 技术个人信息保护合规审计专业机构能力要求》征求意见稿发布
境外数据法规政策动态:
一、美国:联邦贸易委员会发布新政鼓励使用年龄验证技术
二、英国:政府要求48小时强制删除未经同意私密侵权图像
三、欧盟:数据保护委员会指出阻碍删除权全面落地的挑战
四、泰国:个人信息保护委员会发布具有约束力的公司规则的审查与认证规定
五、土耳其:个人数据保护局发布《二维码钓鱼指南》
六、欧盟:法院认定EDPB数据保护裁定具有可诉性
全球数据监管执法动态:
一、江苏镇江检察机关办理侵犯公民个人信息案
二、北京网信办对快手平台行政处罚1.191亿元
三、国家计算机病毒应急处理中心通报72款违法违规移动应用
四、加州与迪士尼达成275万美元CCPA和解
五、英监管机构对美社交新闻网站开出1447万英镑罚单
六、韩国LV/迪奥/蒂芙尼个人信息泄露罚款(360亿韩元)
七、欧盟委员会初步认定TikTok成瘾性设计违反《数字服务法》
国内数据法规政策动态
一、工业和信息化部等8部门联合发布《汽车数据出境安全指引(2026版)》
2026年02月03日,为推动建立高效便利安全的汽车数据跨境流动机制,工业和信息化部等8部门近日联合印发《汽车数据出境《安全指引》(2026版)》(以下简称“《安全指引》”),指导企业规范开展数据出境活动,提升汽车数据安全保护水平。
《安全指引》规定了汽车数据出境活动的管理方式和适用条件,提出9类豁免情形,面向研发设计、生产制造、驾驶自动化、软件升级、联网运行等业务场景细化重要数据判定规则,明确开展数据出境安全评估、订立个人信息出境标准合同或者通过个人信息出境认证的工作要求,并从管理制度、技术防护、日志管理、应急处置等方面提出保护要求。
值得关注的是,《安全指引》要求企业在申报时提供拟向境外传输的重要数据和个人信息具体特征,包括数据类型、涉及行业、数量规模等信息,即不要求提供数据本身。
工业和信息化部有关负责人表示,汽车行业新技术新业务发展迅速,重要数据判定规则需要结合行业发展形势及时调整,工业和信息化部将会同相关部门,持续加强跟踪研究,视情调整更新。
来源:人民日报
全文链接:
https://www.miit.gov.cn/jgsj/waj/wjfb/art/2026/art_4d98b542f9ba44d3b4ecf50cd034e14b.html
二、八部门印发《未成年人用户数量巨大和对未成年人群体具有显著影响的网络平台服务提供者认定办法》
2026年02月28日,国家网信办、国家新闻出版署、教育部、工信部、公安部等八部门近日联合印发《未成年人用户数量巨大和对未成年人群体具有显著影响的网络平台服务提供者认定《办法》》(以下简称《办法》),将于2026年4月1日起施行。
《办法》提出,认定工作坚持依法依规、公平公正、实事求是的原则,充分保障未成年人合法权益,发挥各方力量强化未成年人网络保护。开展认定工作应当避免影响网络平台服务提供者的正常生产经营活动。符合认定标准的网络平台服务提供者应当主动申请认定。
认定标准方面,《办法》明确,符合以下情形之一的,应当认定为未成年人用户数量巨大的网络平台服务提供者:该网络平台提供的产品或者服务专门以未成年人为服务对象,注册用户在1000万以上或者月活跃用户在100万以上;该网络平台提供的产品或者服务的对象不局限于未成年人的,未成年人注册用户数量在1000万以上或者月活跃未成年人用户在100万以上。
认定对未成年人群体具有显著影响的网络平台服务提供者,应当综合考虑:该网络平台下载量、用户数量规模较大,或者网络产品的销售额、交易量等较大;未成年人登录频次、使用时长、使用偏好、消费金额等指标较高;涵盖大量涉及或者面向未成年人的信息内容等因素。
来源:人民公安报
全文链接:
https://mp.weixin.qq.com/s/9q_0d8siWxFX68rUxj9C5A
三、工业和信息化部等五部门联合印发《关于加强信息通信业能力建设 支撑低空基础设施发展的实施意见》
2026年02月10日,工业和信息化部等五部门联合印发《关于加强信息通信业能力建设 支撑低空基础设施发展的实施意见》(以下简称《意见》)。《意见》提出,到2027年,全国低空公共航路地面移动通信网络覆盖率不低于90%,多元融合感知方案进一步完善成熟,低空导航服务水平持续提升,研制不少于10项信息类基础设施标准,面向城市治理、物流运输、文旅等领域形成一批典型低空应用场景。
《意见》明确了十项重点任务:按需推进低空场景通信网络覆盖、探索构建多元探测协同服务能力、助力提升导航精准服务水平、支撑构建低空智能网联系统、组织开展试验验证、提升产业供给能力、推动集约协同与标准化建设、规范行业管理、强化网络和数据安全保障、优化频率供给。
在强化网络和数据安全保障方面,《意见》要求探索构建信息类基础设施网络和数据安全保障体系,落实网络安全等级保护、关键信息基础设施安全保护等制度要求,深化信息通信业网络安全防护管理,加强数据分类分级保护,推进网络和数据安全标准研制,开展监测预警、检测评估、应急处置等能力建设,推动相关企业落实安全主体责任。
来源及全文链接:工业和信息化部
https://www.miit.gov.cn/jgsj/txs/wjfb/art/2026/art_75ff4347c9ed418c825daee876b50a66.html
四、国家网信办等11部门联合印发《关于提升境外人员入境数字化服务便利性的实施意见》
2026年02月05日,国家网信办、国家发展改革委、教育部、工业和信息化部、人力资源社会保障部、交通运输部、商务部、文化和旅游部、中国人民银行、国家移民局、中国贸促会等11部门联合印发《关于提升境外人员入境数字化服务便利性的实施意见》(以下简称《实施意见》),旨在提升境外人员入境数字化服务便利性,进一步扩大高水平对外开放。
《实施意见》明确了5方面14条工作举措。要求加强网络和数据安全保障,细节上要求:
强化网络安全防护能力。加强关键信息基础设施安全保护。完善跨境支付、在线预约等境外人员高频使用场景的安全标准规范。深化拓展网络安全国际合作,依法防范和打击危害网络安全的各类违法犯罪活动,优化风险提醒和应急处理体系,防范跨境网络安全风险。
提升数据安全与个人信息保护水平。加强数据分类分级保护,强化数据收集、存储、使用等全流程管理,防范身份证件、健康档案等敏感信息泄露滥用。持续健全完善数据跨境流动安全管理体系,积极参与数据跨境流动国际规则和标准的制定,强化数据出境安全监管技术能力建设和运用。
来源及全文链接:中国网信网
https://news.cyol.com/gb/articles/2026-02/06/content_ny2jOZCe3x.html
五、国家网信办发布《政务移动互联网应用程序备案工作指南(第一版)》
2026年2月,根据《政务移动互联网应用程序规范化管理办法》,为指导各地区各部门做好政务移动互联网应用程序(以下简称政务应用程序)备案管理工作,帮助政务应用程序主办(使用)单位有序申请备案,国家网信办编制发布《政务移动互联网应用程序备案工作《指南》(第一版)》(以下简称《指南》)。《指南》明确,政务应用程序上线前,主办(使用)单位应根据办法规定,按照《指南》履行备案程序。
《指南》所称政务应用程序,是指各级行政机关、群团组织、事业单位开发建设,或依托各类互联网平台搭建,运行在移动智能终端上,为内部工作人员办公、管理、学习提供支撑服务的应用软件,包括移动客户端(APP)、小程序、快应用等。为经营主体和社会公众提供管理服务的政务应用程序,以及行政机关以外的其他国家机关主办的政务应用程序,均纳入统一备案管理。
备案采用分级申请方式:各地政务应用程序主办单位向所在地省级网信部门提交备案申请,由省级网信部门通过政务应用程序规范化管理系统向国家网信办申请备案;各部门主办的政务应用程序,由部门通过管理系统直接向国家网信办申请备案。国家网信办将在收到备案申请之日起20个工作日内完成材料审核和技术检测,重点关注政务应用程序是否设置打卡签到、积分排名、统计在线时长等强制性功能,是否缺失必要功能等。通过审核的政务应用程序将获得备案编号,并需在应用显著位置进行标示。
《指南》同时明确了备案变更、备案注销的具体流程和要求。政务应用程序重大功能变更的,需提前提交备案变更申请;关停注销的,需在下线后10个工作日内进行报备,并依法依规处置相关数据,防止数据泄露或流失。
来源及全文链接:中国网信网
https://www.cac.gov.cn/2026-02/28/c_1773925231290620.htm
六、市场监管总局发布《互联网平台反垄断合规指引》
2026年02月13日,为支持和引导互联网平台经营者有效防范反垄断合规风险,促进平台经济创新和健康发展,《互联网平台反垄断合规指引》(以下简称《指引》)发布。
互联网平台涉及平台经营者、平台内经营者、消费者和从业人员等多方主体。平台经营者能够通过平台规则、数据、算法、技术手段等影响平台竞争生态,一旦平台经营者从事排除、限制竞争行为,将会损害多方主体利益。执法实践显示,互联网平台具有独特的竞争特点和规律,在垄断行为类型、表现、损害等方面与传统领域存在一定差异,平台经济新业态新模式不断涌现,竞争行为纷繁复杂,平台经营者对识别垄断风险、明晰行为边界充满期待。制定《指引》是对反垄断合规制度规则的进一步细化,有利于回应平台经营者关切,支持、引导其精准识别、评估、防范垄断风险。
《指引》要求,平台经营者应遵循针对性、全面性、穿透性和持续性四大原则,开展反垄断合规管理工作,实现规则公平、算法向善、竞争合规,切实承担反垄断合规主体责任,健全反垄断合规制度,加强反垄断合规管理,依法竞争、合规经营,不得利用数据和算法、技术、资本优势、平台规则等从事《中华人民共和国反垄断法》禁止的垄断行为。
《指引》重点规定了垄断协议、滥用市场支配地位、经营者集中和滥用行政权力排除、限制竞争等4类垄断风险。为平台经营者划出清晰明确的“红线”。
《指引》将《中华人民共和国反垄断法》的系列核心条款转化为具体可识别的行为边界。根据平台经济行业特点、经营模式、竞争规律等,指引提出了8个场景中的新型垄断风险,包括:平台间算法共谋、组织帮助平台内经营者达成垄断协议、平台不公平高价、平台低于成本销售、封禁屏蔽、“二选一”行为、“全网最低价”、平台差别待遇,为平台经营者加强反垄断合规管理提供可操作性强的指导建议。
来源:21世纪经济
全文链接:
https://www.samr.gov.cn/zw/zfxxgk/fdzdgknr/fldzfys/art/2026/art_ad10c5301fcb426cb839153ca9f5a274.html
七、国家数据局发布《培育数据流通服务机构 加快推进数据要素市场化价值化的意见》
2026年02月07日,国家数据局发布《培育数据流通服务机构 加快推进数据要素市场化价值化的《意见》》(以下简称《意见》),数据流通服务机构是链接数据供需双方、促进数据流通交易的重要主体,包括数据交易所(中心)、数据流通服务平台企业、数据商等。《意见》首次对三类机构的功一定位作出明确划分:引导数据交易所(中心)强化综合服务功能,推动数据流通服务平台企业专业化发展,支持数据商加大数据产品和服务开发力度。《意见》提出,到2029年底,数据流通服务机构能力显著提升,流通交易形态更加多元,全社会数据流通利用水平明显提高。
在提升服务能力方面,《意见》提出多项创新举措:探索多样化流通交易模式,鼓励数据换数据、换订单、换服务、换模型、换场景等交换方式,探索数据作价出资等新路径;创新数据产品和服务形态,加大数据集等资源型产品供给,开发核验查询、数据分析报告、数据指数等分析决策型产品;拓展适应人工智能发展的高质量数据集流通交易方式,支持数据流通服务机构与人工智能企业合作,提供数据汇聚、治理、模型训练等服务。
《意见》还明确,不得对数据开发利用和流通交易设置不合理要求、审批条件或流程,限制数据跨行业、跨部门、跨区域流动。在安全保障方面,《意见》要求各类数据流通服务机构落实数据安全相关法律法规,加强数据基础设施安全保护,牢牢守住数据安全底线。
来源及全文链接:国家数据局
https://www.nda.gov.cn/sjj/zwgk/zcfb/0205/20260205185635251370340_pc.html
八、《数据安全技术 个人信息保护合规审计专业机构能力要求》征求意见稿发布
2026年02月11日,全国网络安全标准化技术委员会发布《数据安全技术 个人信息保护合规审计专业机构能力要求》(以下简称《能力要求》)征求意见稿。
《能力要求》规定了专业机构开展个人信息保护合规审计服务或组织开展个人信息保护合规自审计时应具备的能力要求,包括基本条件、管理能力、人员能力、专业能力、资源能力。适用于指导与规范专业机构建设个人信息保护合规审计能力,还可为个人信息处理者自审计能力建设和选择合规审计专业机构提供参考。同时,个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行合规审计时可作为参考。主要内容包括:
1.《能力要求》从基本条件、管理能力、人员能力、专业能力、资源能力五个方面规范了专业机构提供个人信息保护合规审计的能力要求。
2.《能力要求》具体落地《个人信息保护法》第六十四条规定的“履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患”。为更好地提供落地性指导,《能力要求》附录给出了个人信息保护合规审计人员能力要求、个人信息保护合规审计专业机构能力证实方法等参考。
3.《能力要求》附录A个人信息保护合规审计人员能力要求主要根据2025年12月31日发布的GB/T46903—2025《数据安全技术 个人信息保护合规审计要求》确定审计人员能力要求,在此基础上,补充了附录B个人信息保护合规审计专业机构能力证实方法。
来源:全国网络安全标准化技术委员会
全文链接:
https://www.tc260.org.cn/sysFile/downloadFile/e83fb6ca44834427bb498c5a090d33d4
境外数据法规政策动态
一、美国:联邦贸易委员会发布新政鼓励使用年龄验证技术
2026年02月25日,美国联邦贸易委员会(FTC)发布政策声明:如果网站或在线服务收集个人信息的目的仅限于通过技术手段验证用户年龄,且符合特定条件,FTC将不会依据《儿童在线隐私保护法》(COPPA)对其追究责任。
根据COPPA规定,面向13岁以下儿童的商业网站,或是明确知晓自己在收集儿童信息的运营商,必须在收集信息前告知家长并征得“可验证的父母同意”。
政策声明明确,面向普通用户或混合受众的网站及服务,若仅出于年龄验证目的收集、使用或披露个人信息,且满足以下全部条件,即可免于COPPA执法:
1.不得将这些信息用于验证年龄之外的任何其他目的;
2.信息保存时间不得超过完成验证所必需的时间,验证完成后须立即删除;
3.如需向第三方提供信息,必须事先确认其具备相应的保密和安全能力,并取得书面保证;
4.向家长和儿童明确告知为验证年龄所收集的信息内容;
5.对此类信息采取合理的安全保障措施;
6.采取合理步骤,确保所用的验证方法或第三方服务在判断用户年龄方面具有合理的准确性。
FTC还表示,下一步将启动对COPPA规则的全面审查,正式将年龄验证机制纳入监管框架。本次发布政策声明将在《联邦公报》发布最终修订案之前持续有效。
来源:FTC
全文链接:
https://www.ftc.gov/legal-library/browse/enforcement-policy-statement-promoting-adoption-age-verification-technology
二、英国:政府要求48小时强制删除未经同意私密侵权图像
2026年02月19日,为加强对女性及女孩的保护,英国政府通过《犯罪与治安法案》的修订条款,正式对科技公司提出强制性要求:任何被举报的、未经同意的私密图像,必须在接到投诉后48小时内删除。未能履责的平台将面临最高达全球年收入10%的罚款,或被阻断在英国境内的服务。
政府明确表示,受害者只需举报一次。相关图像一旦被标记,将在多个平台同步下架,并且此后任何试图重新上传的行为都会被系统自动拦截。
目前,英国通信管理局正研究将此类内容与儿童性虐待及恐怖主义内容同等对待,即通过数字水印或哈希值匹配等技术手段,实现“一删永删”。
为进一步堵截漏洞,政府还将发布针对互联网服务提供商的指导方针,要求其屏蔽那些藏匿此类内容、且可能游离于《在线安全法》监管之外的“流氓网站”。
来源:英国政府
全文链接:
《犯罪与治安法案》的修订条款
https://www.gov.uk/government/collections/crime-and-policing-bill-2025
三、欧盟:数据保护委员会指出阻碍删除权全面落地的挑战
2026年02月18日,欧洲数据保护委员会(EDPB)通过了一份关于“删除权”(《通用数据保护条例》(GDPR)第17条)协调执法框架(CEF)行动的报告。EDPB之所以选择这一议题,是因为它是GDPR框架下被行使最频繁的权利之一,也是各数据保护机构收到个人投诉最多的领域。
此次协调行动的主要目标有二:一是确保欧洲个人能够有效行使删除权,二是了解控制者在实践中是如何履行这一义务的。2025年全年,欧洲共有32家数据保护机构参与了这一行动。报告梳理了调查中发现的问题,并向控制者提出了一系列建议,以帮助其更好地落实被遗忘权。
各数据保护机构共总结出反复出现的几大挑战。例如:内部缺乏规范的申请处理流程,以及向申请人提供的信息不够充分等。此外,参与行动的机构还报告了一些新情况:部分控制者处理删除请求时,并未真正删除数据,而是采用效果不彰的匿名化技术作为替代;实践中操作标准不一;控制者在确定数据留存期限、以及如何处理备份系统中的个人数据方面也面临困难。
与此同时,由于删除权并非绝对权利,部分控制者在判断申请是否符合行使条件时感到棘手,尤其是在对“删除权”与其他权利和自由进行利益权衡时,往往难以把握尺度。
来源:EDPB
全文链接:
EDPB CEF报告
https://www.edpb.europa.eu/system/files/2026-02/edpb_cef-report_2025_right-to-erasure_en.pdf
四、泰国:个人信息保护委员会发布具有约束力的公司规则的审查与认证规定
2026年02月17日,泰国个人信息保护委员会(PDPC)发布《关于集团企业内部个人信息保护政策的审查与认证规定》。(以下简称《规定》),明确了泰国版“具有约束力的公司规则”(Binding Corporate Rules, BCRs)的审查与认证细则,为跨国企业集团内部跨境传输个人信息提供了一条合法、清晰的合规路径。《规定》自公布之日起生效。
《规定》将BCRs分为两类:面向数据控制者的BCR-C和面向数据处理者的BCR-P。申请认证的主体必须是依法在泰国设立的集团成员,如泰国总部或被授权的代表,由其代表整个集团提出申请。PDPC将重点审查BCR政策的法律约束力、实际执行有效性、成员间的合作义务、数据主体权利保障、安全措施及问责机制等核心要素。
对于已获得欧盟、英国或PDPC认可的其他国家BCR认证的企业,《规定》设立了特殊申请流程。此类企业只需提交相关认证证明及一份“泰国附录”,该附录需明确在泰国设立的成员、确认泰国数据主体在境内的诉讼权利、接受PDPC及泰国法院管辖,并确保符合泰国《个人数据保护法》的要求。
PDPC颁发的BCR认证无固定期限,除非政策发生重大变更或被撤销,否则持续有效,且不收取费用。PDPC将在180日内完成实质性审查。
来源及全文链接:泰国个人信息保护委员会(PDPC)
https://ratchakitcha.soc.go.th/documents/103274.pdf
五、土耳其:个人数据保护局发布《二维码钓鱼指南》
2026年2月26日,土耳其个人数据保护局(KVKK)在其官网上发布了《二维码钓鱼指南》。
近年来,二维码已广泛渗透至日常生活的诸多领域,从查看餐厅菜单、完成线上或线下商品及服务的支付,到快速访问网站、分享信息等,应用场景层出不穷。
二维码的使用主要依赖移动设备,而这些设备已成为人们日常生活中不可或缺的一部分,这进一步提升了二维码技术的可及性与使用频率。然而,二维码在提供快速访问和便捷操作的同时,通过其跳转的内容也可能在个人数据安全和隐私方面带来一系列风险。在此背景下,个人在扫描物理或数字环境中遇到的二维码时,有可能在不知不觉中成为网络钓鱼攻击的目标。
《二维码钓鱼指南》重点讨论一种通过二维码实施的网络钓鱼攻击类型——Quishing(二维码钓鱼攻击)。概述了这种攻击类型的定义、实施方式、识别方法,以及个人在面对Quishing攻击时应注意的事项。
来源:土耳其个人数据保护局(KVKK)
全文链接:
https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/MTY5OWVmNzMzOWE4YWM.pdf
六、欧盟:法院认定EDPB数据保护裁定具有可诉性
2026年2月,欧盟法院就WhatsApp Ireland针对欧洲数据保护委员会(EDPB)第1/2021号决定提起的诉讼作出判决,认定该决定属于可被质疑的行为,且对WhatsApp具有直接法律效力。法院据此推翻普通法院此前的驳回裁定,将案件发回重审,要求其对案件实体问题进行审理。
此案背景是GDPR生效后,爱尔兰数据保护机构收到多起针对WhatsApp处理个人数据的投诉,并于2018年12月启动调查,重点审查其透明度义务履行情况。2020年12月,因各方对决定草案未达成一致,争议被提交至EDPB作出有约束力的裁定。
EDPB随后发布第1/2021号决定,认定WhatsApp违反GDPR,并要求爱尔兰监管机构修改拟议的整改措施,包括调整罚款金额。爱尔兰监管机构据此对WhatsApp处以总计2.25亿欧元的罚款。
WhatsApp随即向普通法院起诉,要求撤销EDPB决定。2022年12月7日,普通法院裁定该决定不属于可被质疑的行为,驳回起诉。WhatsApp不服,向欧盟法院提起上诉。
欧盟法院认定WhatsApp的诉讼请求可予受理,撤销普通法院的原裁定,并将案件发回普通法院,由其就案件实体问题进行审理,包括WhatsApp是否确实违反了GDPR相关规定。
本案是GDPR框架下首例涉及EDPB争议解决决定可诉性的重要判例。欧盟法院的裁定明确了EDPB在纠纷解决中作出的决定属于可被直接质疑的行为,为企业今后挑战类似决定开辟了路径。
来源:欧盟法院(CJEU)
https://curia.europa.eu/site/upload/docs/application/pdf/2026-02/cp260011en.pdf
全球数据监管执法动态
一、江苏镇江检察机关办理侵犯公民个人信息案
2026年02月26日,江苏镇江检察机关办理了一起侵犯公民个人信息案,被告人打着低价商品的噱头,贩卖消费者个人信息超过50万条。
当事人王女士说,自从她花费不到50元购买了一款低价减肥产品后,各类推广电话便蜂拥而至,不堪其扰的她向相关部门投诉。而除了王女士,还有多起相似的投诉,这一情况引起了江苏镇江警方的关注,网安大队的民警在网络巡查中发现,这些消费者都是在购买了低价商品后,遭遇了精准营销骚扰,甚至接到了疑似诈骗电话。而电话那头的人,对消费者的姓名、电话、住址等个人信息了如指掌。
原来,梁某先以低廉的价格购入减肥产品,再以“亏本价”等为噱头吸引消费者购买。大量顾客下单后,梁某就会联系黑中介,利用技术手段解密平台加密的订单,进而将包含消费者姓名、电话、住址的完整个人信息出售给各类销售公司甚至诈骗团伙。经查,不到一年时间,梁某非法解密、交易公民个人信息超50万条,镇江市丹徒区人民检察院以侵犯公民个人信息罪对其提起公诉。
最终,法院以侵犯公民个人信息罪判处梁某有期徒刑三年,并处罚金人民币四万元。同时,向梁某购买个人信息的六名涉案人员,也因犯同罪,被分别判处有期徒刑一年至三年不等,并处相应罚金。案发后,涉事电商平台已完成后台升级,封堵了远程扫码破解用户信息的漏洞。此外,针对案件牵出的其他异常店铺以及黑中介等线索,办案机关仍在进一步侦办中。
来源:中国新闻网
二、北京网信办对快手平台行政处罚1.191亿元
2026年02月06日,据北京市网信办通报,针对快手此前出现色情低俗内容直播的问题,对平台处罚1.191亿元人民币罚款,并责令其限期改正、依法依约处置账号、从严处理责任人。
本次处罚源于2025年12月22日晚,快手多个直播间短时间内涌入大量露骨色情内容,引发用户广泛关注。快手当时回应称,平台遭到黑灰产攻击,已第一时间向有关部门报告并报警处理。
经过一个月的立案调查,北京市网信办最终认定,快手未履行网络安全保护义务,未及时处置系统漏洞等安全风险,未对用户发布的违法信息立即采取停止传输、消除等处置措施,并且属于情节严重、影响恶劣一档。
值得注意的是,这是我国网络安全法修订后开出的第一笔罚单,也是近年罕见的大额处罚金。可以看到,监管对网络安全的处罚力度明显加强,尤其是对于大型平台,面临的合规处罚将是极其严厉的。
本次处罚援引的法律依据是《中华人民共和国网络安全法》《中华人民共和国行政处罚法》。网络安全法在2025年年底完成了修订,今年1月1日开始正式施行。新法的核心变化之一是大幅加大处罚的力度,提高了罚款的上限及下限。比如,对于“不履行网络安全保护义务”的行为,网络安全法的顶格罚款由此前的100万提升到了1000万。
来源:21世纪经济
三、国家计算机病毒应急处理中心通报72款违法违规移动应用
2026年02月03日,国家计算机病毒应急处理中心检测发现72款违法违规收集使用个人信息的移动应用。
依据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律法规,以及中央网信办、工业和信息化部、公安部、市场监管总局联合开展的“2025年个人信息保护系列专项行动”要求,国家计算机病毒应急处理中心对移动应用进行了专项检测(检测时间:2025年12月26日至2026年1月20日)。检测结果显示,72款移动应用存在违法违规收集使用个人信息行为。这些违规主要涉及14类常见问题,包括:
1.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;以默认选择同意隐私政策等非明示方式征求用户同意;隐私政策难以访问;个人信息处理者在处理个人信息前,未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。涉及17款移动应用隐私政策未逐一列出App(含第三方代码/插件)收集个人信息的目的、方式、范围等(涉及34款,最多的一类)。
2.隐私政策未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。涉及34款移动应用。
3.个人信息处理者向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意;App客户端向第三方提供个人信息,未经用户同意,未做匿名化处理。涉及17款移动应用。
4.未在征得用户同意后才开始收集个人信息或打开可收集个人信息的权限;有提示收集规则,但用户点击拒绝后仍存在收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用。涉及5款移动应用。
5.未提供有效的更正、删除个人信息及注销用户账号功能;为更正、删除个人信息或注销用户账号设置不必要或不合理条件;虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内完成核查和处理。涉及9款移动应用。
6.投诉、举报未在承诺时限内受理并处理;个人信息处理者未建立便捷的个人行使权利的申请受理和处理机制。涉及3款移动应用。
7.未向用户提供撤回同意收集个人信息的途径、方式;个人信息处理者未提供便捷的撤回同意的方式。涉及22款移动应用。
8.通过自动化决策方式向个人进行信息推送、商业营销,未同时提供不针对其个人特征的选项,或者未向个人提供便捷的拒绝方式;未以显著方式标示且未经用户同意,将收集到的用户搜索等个人信息,用于定向推送或广告精准营销,且未提供关闭该功能选项的行为。涉及2款移动应用。
9.处理敏感个人信息未取得个人的单独同意;个人信息处理者处理敏感个人信息的,未向个人告知处理敏感个人信息的必要性以及对个人权益的影响。涉及4款移动应用。
10.个人信息处理者处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则;收集未成年人信息未取得监护人单独同意。涉及6款移动应用。
11.未采取相应的加密、去标识化等安全技术措施。涉及25款移动应用。
12.在浏览同一页面、同一文档过程中,关闭后继续弹出广告,影响用户正常使用网络。涉及1款移动应用。
13.实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的,未提供其他合理、便捷的方式。涉及3款移动应用。
14.无隐私政策。涉及4款移动应用。
来源:国家网络安全通报中心
四、加州与迪士尼达成275万美元CCPA和解
2026年02月25日,加州总检察长罗布·邦塔宣布与华特迪士尼公司达成和解,就迪士尼未能充分响应用户要求“停止出售或分享个人信息”的指控达成和解。根据和解条款,迪士尼需支付275万美元民事罚款,并全面改进其“选择退出”机制,确保用户提出请求后,所有与其账户关联的设备和流媒体服务均能停止数据出售与分享。
此次调查源于加州司法部2024年1月对流媒体服务发起的专项排查。调查发现,即使用户已登录账户,迪士尼提供的退出机制也无法让用户彻底停止数据出售与分享。具体问题如下:
“选择退出”开关:用户在网站或应用内通过开关提交请求后,迪士尼仅将该请求适用于用户当时正在观看的特定流媒体服务,且往往仅限当前使用的设备。这意味着,在大多数情况下,使用开关无法阻止用户账户关联的其他设备或服务继续出售分享数据。
在线表单:用户通过在线表单提交退出请求后,迪士尼仅停止通过自有广告平台和产品分享数据,但仍继续与嵌入其网站及应用的第三方广告技术公司出售和分享用户数据。此外,迪士尼在众多联网电视流媒体应用中未提供内置的退出方式,而是引导用户去填网页表单,导致用户实际上无法从这些应用端停止数据出售与分享。
全球隐私控制:用户通过全球隐私控制(GPC)提交退出请求后,即使用户已登录账户,迪士尼也仅对用户当前使用的设备生效。GPC是一种“一键停止出售或分享我的数据”的便捷开关,可在部分浏览器中启用或作为插件安装。
来源:加州总检察长
五、英监管机构对美社交新闻网站开出1447万英镑罚单
2026年02月24日,英国信息监管局宣布因美国社交化新闻和娱乐平台红迪网站(Reddit)非法使用儿童个人信息,对其处以1447万英镑(1英镑约合1.35美元)的罚款。这是该机构本月针对儿童隐私保护不力问题开出的又一罚单。
英国信息监管局当天发表公报说,该机构调查发现,红迪网站非法使用了儿童数据,可能使儿童接触到不恰当和有害的内容。
公报说,红迪网站的违法行为包括未能实施任何可靠的年龄核验机制,因此该网站处理13岁以下儿童个人信息不具备合法依据。此外,该平台未能在2025年1月前进行用以评价和减轻对儿童造成风险的数据保护影响评估。
英国信息监管局本月5日宣布,对图片分享和托管平台Imgur的所有者MediaLab.AI公司处以近25万英镑的罚款,理由是发现该公司允许儿童使用Imgur平台,但未按英国相关法规要求设置基本保护措施。
来源:环球网
六、韩国LV/迪奥/蒂芙尼个人信息泄露罚款(360亿韩元)
2026年02月11日,韩国个人信息保护委员会召开全体会议,决定对三家违反《个人信息保护法》的奢侈品牌销售商处以总计360.33亿韩元的罚款、1080万韩元的怠慢金,并责令其对外公布处罚事实。
三家涉事公司分别为:路易威登韩国、克里斯汀·迪奥韩国、蒂芙尼韩国。这三家企业在使用基于SaaS(软件即服务)模式的客户管理系统过程中,均发生了个人信息泄露事故。
1.路易威登:罚款213.85亿韩元,路易威登因员工设备感染恶意代码,导致SaaS账户信息被黑客窃取,致使约360万人的个人信息分三次(2025年6月9日至13日)遭到泄露。
2.迪奥:罚款122.36亿韩元+怠慢金360万韩元,迪奥因客服人员遭受电话诈骗,向黑客授予了SaaS系统访问权限,导致约195万人的个人信息泄露。
3.蒂芙尼:罚款24.12亿韩元+怠慢金720万韩元,蒂芙尼的事故经过与迪奥相似,因客服人员遭电话诈骗,导致约4600人的个人信息泄露。
韩国个人信息保护委员会强调,若企业通过引入SaaS处理个人信息,该服务即构成“个人信息处理系统”,企业必须履行的法定义务并未免除或转移。企业应将访问权限控制在业务所需的最小范围,通过限制IP地址等方式拦截未经授权的访问,并要求外部接入时必须使用一次性密码、数字证书、安全令牌等可靠认证手段。企业有责任充分启用SaaS自带的隐私保护功能,防患于未然。
来源:韩国个人信息保护委员会
七、欧盟委员会初步认定TikTok成瘾性设计违反《数字服务法》
2026年02月06日,欧盟委员会(EDPB)发布初步调查结果,认定TikTok因其应用的“成瘾性设计”违反了《数字服务法》。此次调查重点针对TikTok平台上的无限滚动播放、自动播放下一条视频、推送通知以及高度个性化的推荐系统等功能。
EDPB的调查初步指出,TikTok未能充分评估这些功能可能对用户(尤其是未成年人和易感成年人)身心健康造成的潜在危害。此外,调查发现,TikTok在风险评估中忽视了多项反映“过度使用”的关键指标,比如未成年人在夜间的使用时长、用户打开应用的频率等。
EDPB认为,TikTok似乎未能采取合理、有效且与风险相称的措施来应对其设计带来的成瘾性问题。以现有的“屏幕时间管理”和“家长控制”工具为例,这些措施并未能有效降低风险。前者很容易被用户一键关闭,几乎起不到限制作用;后者则对家长的技术能力和时间投入要求较高,实际效果有限。
基于以上发现,EDPB初步认为,TikTok必须对其服务进行根本性的设计调整。例如,逐步取消“无限滚动”这类关键成瘾功能,引入更有效的“屏幕时间休息”提醒(包括在夜间强制暂停),并对其推荐算法进行优化。
来源:欧盟委员会(EDPB)
收集整理:德和衡网络安全与数据合规团队
德和衡网络安全与数据合规团队是一个长期专注于数据合规专项法律服务的团队。团队成员由北京、深圳、上海三地的律师组成。团队自2014年成立以来,核心成员均来自国内领先的网络安全企业360,积累了丰富的行业经验。团队致力于协助企业客户提升数据管理水平,预防及应对数据安全问题,提高数据质量,并充分发挥企业数据资产的最大价值。目前,团队已为房产、能源、智能制造、电子、车联网、大数据、金融、物流、电商等多个行业的领军企业提供全套数据合规法律服务。