本期内容

　　国内数据法规政策动态：

　　一、国家互联网信息办公室发布了《数据出境安全管理政策问答(2025年4月)》

　　二、工信部发布《云计算综合标准化体系建设指南(2025版)》(征求意见稿)

　　三、国家发改委发布《中华人民共和国卫星导航条例(公开征求意见稿)》

　　四、国家数据局发布数据流通交易合同示范文本公开征求意见稿

　　五、国家市场监管总局发布《商业秘密保护规定(征求意见稿)》

　　六、全国网安标委发布《网络安全标准实践指南——移动互联网未成年人模式技术要求》

　　七、山东数字强省建设领导小组办公室印发《数字强省建设2025年工作要点》

　　八、江苏省政府办公厅印发《江苏省数字经济高质量发展三年行动计划(2025-2027年)》

　　九、云南省通信管理局印发《云南省电信领域数据安全事件应急预案(试行)》

　　十、浙江省印发《中国(浙江)自由贸易试验区数据出境负面清单管理办法(试行)》及《中国(浙江)自由贸易试验区数据出境管理清单(负面清单)(2024版)》

　　十一、青岛市大数据发展管理局发布《青岛市数据条例(征求意见稿)》

　　境外数据法规政策动态：

　　一、韩国个人信息保护委员会更新《个人信息处理方针编写指南》

　　二、美国开始推进《数据安全计划》

　　三、法国国家信息与自由委员会更新《关于移动应用隐私的推荐意见》

　　四、挪威数据保护局发布《Cookie及同类技术使用同意获取指南》

　　五、欧盟委员会专家组发布《B2B数据共享和云计算合同的报告》

　　六、欧洲数据保护委员会发布《关于通过区块链处理个人数据的指南》征求意见稿

　　全球数据监管执法动态：

　　一、工信部通报52款APP及SDK存在侵害用户权益行为

　　二、恶意文件窃取公民信息，网警公布典型案例

　　三、南充市依法查处两起未履行网络安全保护义务典型案例

　　四、中国时尚电商平台Shein因违反个人数据保护规则或面临1.5亿欧元的罚款

　　五、字节跳动因违规数据跨境或面临5亿欧元罚款

　　六、DPP Law Ltd因数据泄露违规被罚60,000英镑

　　七、罗马尼亚一公司因直接营销违规被罚74,661列伊

　　国内数据法规政策动态

　　一、国家互联网信息办公室发布了《数据出境安全管理政策问答(2025年4月)》

　　2025年4月9日，国家互联网信息办公室发布了《数据出境安全管理政策问答(2025年4月)》(以下简称《问答》)。《问答》旨在加强对数据出境安全管理政策的宣贯，指导和帮助数据处理者高效合规开展数据出境活动。

　　《问答》围绕数据出境安全管理的核心问题进行了详细解答。首先，中国数据出境安全管理制度设计旨在保障数据跨境安全、自由流动，同时对涉及国家安全和公共政策目标的个人信息和重要数据进行必要监管。其次，针对不同自贸试验区制定数据出境负面清单标准的一致性问题，《问答》指出，负面清单需在国家数据分类分级保护制度框架下制定，并经国家网信部门审核备案，确保标准一致。此外，《问答》还提到，自贸试验区数据出境负面清单已覆盖汽车、医药、零售等17个领域，并将继续扩大覆盖范围。

　　在个人信息出境必要性方面，《问答》强调需根据《个人信息保护法》的相关规定，结合业务场景和实际需求进行评估。对于重要数据，《问答》明确，确需出境的重要数据在通过数据出境安全评估后可以出境，并非所有重要数据都禁止出境。同时，《问答》还指出，外资企业可积极参与行业技术标准制定，确保标准制定工作充分考虑国内外相关方需求。对于集团公司跨境传输个人信息，《问答》提出可通过合并申报或个人信息出境保护认证等方式提高效率。最后，《问答》提到，数据出境安全评估结果有效期已由2年延长至3年，且正在研究延长评估结果有效期的具体流程，为企业创造更为便利的条件。

　　来源及全文链接：网信中国

　　https://mp.weixin.qq.com/s/iYVkA0u2I26kZww2TItEgQ

　　二、工信部发布《云计算综合标准化体系建设指南(2025版)》(征求意见稿)

　　2025年4月22日，工信部发布《云计算综合标准化体系建设指南(2025版)》(征求意见稿)(以下简称《指南》)，旨在进一步强化云计算标准化工作顶层设计，以高标准引领云计算产业高质量发展，健全标准体系，推动云计算技术创新与产业升级。

　　在数据及网络保护方面，《指南》作出明确规定。其强调完善数据安全标准，确保数据在存储、处理及传输过程中的安全性和隐私性，切实保障用户权益。制定云安全技术标准，防止黑客攻击，提升云计算服务的可靠性与可用性。此外，还涵盖云计算产业多个关键部分，包括硬件、软件、服务、应用等。计划到2027年，新制定云计算国家标准和行业标准30项以上，开展标准宣贯和实施推广的企业超过1000家，加快云计算领域国际标准供给，进一步提升标准国际影响力。

　　来源及全文链接：工业和信息化部

　　https://www.miit.gov.cn/cms_files/filemanager/1226211233/attach/20253/6ea5eda0c4f34976bc7d3a5577dd6a23.pdf

　　三、国家发改委发布《中华人民共和国卫星导航条例(公开征求意见稿)》

　　2025年4月3日，国家发展改革委牵头会同有关部门研究起草了《中华人民共和国卫星导航条例(公开征求意见稿)》(以下简称“征求意见稿”)，旨在规范卫星导航活动，促进北斗规模应用市场化、产业化、国际化发展。

　　征求意见稿共7章52条，分为总则、建设运行、运营服务、应用推广、安全保护、法律责任和附则。

　　征求意见稿高度重视网络安全与数据合规。在网络安全方面，要求国家依法保障北斗卫星导航系统及其运行安全，加强安全风险监测与评估，并采取必要措施防御境外风险和威胁，保护系统免受攻击、侵入、干扰和破坏。同时，国家网信部门负责统筹协调卫星导航应用的网络安全和数据安全工作，督促相关部门和地方落实相关制度。在数据合规方面，明确卫星导航服务产生的个人位置信息等数据应依法依规处理，禁止非法收集、使用、传输或买卖个人位置信息，确保数据处理活动不危害国家安全和公共利益。此外，征求意见稿还规定了违反网络安全和数据合规义务的法律责任，由相关部门依法处罚，确保卫星导航活动的合法、安全和有序开展。

　　来源及全文链接：国家发改委

　　https://yyglxxbs.ndrc.gov.cn/file-submission/20250403173857128265.pdf

　　四、国家数据局发布数据流通交易合同示范文本公开征求意见稿

　　2025年4月18日，国家数据局发布数据流通交易合同示范文本征求意见稿，这些示范文本包含《数据提供合同》、《数据委托处理合同》、《数据融合开发合同》和《数据中介合同》，旨在推进数据基础制度建设，培育全国一体化数据市场，促进数据合规高效流通交易。

　　《数据提供合同》适用于数据提供方与数据接收方开展数据有偿交易、无偿共享、许可使用等数据提供活动，支持API接口、数据集等不同形式的数据提供方。《数据提供合同》共17条，明确了标的数据描述、数据产权安排、数据交付和验收、数据质量异议与补救措施、当事人合同义务、违约责任、争议解决等内容。

　　《数据委托处理合同》适用于数据委托方将其享有合法权利的数据委托给受托方，由受托方按照委托方的指示和要求进行数据处理的活动。《数据委托处理合同》共19条，明确了数据委托处理合同的当事人、原始数据情况、结果数据和过程数据的取得、委托处理的限制、数据验收、转委托、保密要求、违约责任、争议解决等内容。

　　《数据融合开发合同》适用于多方合同当事人将其享有合法权利的原始数据向彼此开放共享，用于共同创建数据平台、数据空间、数据池、衍生数据等，如合作创建人工智能数据训练专区、行业数据共享利用平台、联盟式共建数据资源池等。《数据融合开发合同》共16条，明确了数据融合开发合同的原始数据描述、各方的贡献投入与分工、结果数据取得、结果数据的成本与收益分配、数据产权安排、数据安全要求、违约责任、争议解决等内容。

　　《数据中介合同》适用于数据中介方为促成数据交易而提供交易撮合服务等的活动。共12条，明确了数据中介服务合同的标的数据情况、中介服务的期限与范围、中介服务费、各方的权利义务、数据产权要求、保密要求、违约责任、争议解决等内容。

　　来源：国家数据保护局

　　全文链接：

　　1.数据提供合同(示范文本)(征求意见稿)

　　https://www.nda.gov.cn/form-files-sjj/2c99e457-8f9edeed-018f-b8a7537c-0243/2c99e457-8f9edeed-018f-b8ad7daf-0256/fileupload_scfj/2025/04/18/ff808081-95c633c9-0196-496076ba-74aa.pdf?id=ff808081-95c633c9-0196-496076ba-74aa

　　2.数据委托处理合同(示范文本)(征求意见稿)

　　https://www.nda.gov.cn/form-files-sjj/2c99e457-8f9edeed-018f-b8a7537c-0243/2c99e457-8f9edeed-018f-b8ad7daf-0256/fileupload_scfj/2025/04/18/ff808081-95c633c9-0196-49608068-74ab.pdf?id=ff808081-95c633c9-0196-49608068-74ab

　　3.数据融合开发合同(示范文本)(征求意见稿)

　　https://www.nda.gov.cn/form-files-sjj/2c99e457-8f9edeed-018f-b8a7537c-0243/2c99e457-8f9edeed-018f-b8ad7daf-0256/fileupload_scfj/2025/04/18/ff808081-95c633c9-0196-496087c4-74ac.pdf?id=ff808081-95c633c9-0196-496087c4-74ac

　　4.数据中介合同(示范文本)(征求意见稿)

　　https://www.nda.gov.cn/form-files-sjj/2c99e457-8f9edeed-018f-b8a7537c-0243/2c99e457-8f9edeed-018f-b8ad7daf-0256/fileupload_scfj/2025/04/18/ff808081-95c633c9-0196-49608f6e-74ad.pdf?id=ff808081-95c633c9-0196-49608f6e-74ad

　　五、国家市场监管总局发布《商业秘密保护规定(征求意见稿)》

　　2025年4月25日，市场监管总局发布了《商业秘密保护规定(征求意见稿)》(以下简称《规定》)，旨在加强企业商业秘密保护，严厉打击侵犯商业秘密行为，激励研发与创新，维护公平竞争的市场秩序。该规定对1995年发布的《关于禁止侵犯商业秘密行为的若干规定》进行了全面修订，意见反馈截止日期为2025年5月25日。

　　《规定》共七章42条本次修订聚焦四大方向：一是细化商业秘密定义，明确技术信息(含算法、数据、软件文档等)和经营信息(含客户信息、管理方案等)的具体范围;二是强化保护机制，要求企业落实保密主体责任，市场监管部门联合司法机构建立快速协同保护机制;三是扩充侵权行为类型，新增电子侵入、破坏保密设施、教唆诱导等新型违法手段;四是完善执法规则，明确电子证据保全、行刑衔接、损失计算等程序。

　　针对数字经济中的商业秘密数据风险，《规定》提出系统性保护措施：

　　1.明确数据属性：第四条将“数据”纳入技术信息范畴，覆盖算法、数据库、源代码等数字化资产，要求企业对涉密数据采取分类、加密、访问控制等合理保密措施(第八条);

　　2.严控数据窃取：第十六条禁止以电子侵入、病毒植入、越权下载等手段非法获取数据，并将破坏保密设施导致数据泄露列为初步证据(第二十四条);

　　3.强化电子证据保全：第二十八条授权执法部门扣押服务器、硬盘等设备，通过镜像复制、数据恢复等技术固定证据;

　　4.量化数据损失：第三十八条明确数据灭失或公开的损失按研发成本、市场价值或补救费用综合计算，电子侵入致系统损坏的按“情节严重”加重处罚(第三十五条);

　　5.数据安全合规：第四十条要求涉密数据处理活动须同步遵守《数据安全法》《网络安全法》，防止数据滥用与跨境泄露。

　　来源：国家市场监督管理总局

　　全文链接：

　　https://www.samr.gov.cn/cms_files/filemanager/1647978232/attach/20254/2a3d95637b4842b8a1a361dee4ce7854.pdf?fileName=%E9%99%84%E4%BB%B61%EF%BC%9A%E5%95%86%E4%B8%9A%E7%A7%98%E5%AF%86%E4%BF%9D%E6%8A%A4%E8%A7%84%E5%AE%9A%EF%BC%88%E5%BE%81%E6%B1%82%E6%84%8F%E8%A7%81%E7%A8%BF%EF%BC%89%20.pdf

　　六、全国网安标委发布《网络安全标准实践指南——移动互联网未成年人模式技术要求》

　　2025年4月3日，全国网安标委发布了《网络安全标准实践指南——移动互联网未成年人模式技术要求》(以下简称《实践指南》)，旨在支撑未成年人网络保护的监督、管理、评估等工作，指导移动互联网应用程序提供者、移动智能终端制造商和移动互联网应用程序分发平台提供者开展未成年人模式的研发和应用。

　　《实践指南》围绕未成年人网络保护，明确了移动智能终端、移动互联网应用程序和移动互联网应用程序分发平台未成年人模式的技术要求。移动智能终端需支持一键启动及退出未成年人模式，提供醒目入口和家长管理功能，包括应用权限管理、使用时长限制和下载安装控制。移动互联网应用程序应自动检测终端模式状态并切换，支持单日使用时长管理、连续使用提醒和特定时间段服务限制，同时强化内容管理，打造专属内容池，严格审核内容，规范消费管理，限制支付功能并提供未成年人退款渠道。移动互联网应用程序分发平台需设置未成年人专区，提供适龄应用程序，支持家长验证功能，并在非未成年人模式下提醒用户进入未成年人模式。此外，《实践指南》还提出了未成年人模式联动技术要求，包括一键切换、时间管理和应用管理联动，并强调个人信息保护，遵循最小必要原则，确保信息处理符合国家标准。

　　来源及全文链接：全国网安标委

　　https://mp.weixin.qq.com/s/paVBInnxTQaYUnePwKlNrw

　　七、山东数字强省建设领导小组办公室印发《数字强省建设2025年工作要点》

　　2025年4月7日，山东数字强省建设领导小组办公室发布了《数字强省建设2025年工作要点》(以下简称《工作要点》)，旨在着力打造数字强省、智慧山东，加快培育新质生产力，赋能全省绿色低碳高质量发展。

　　《工作要点》聚焦数据要素、数字经济、数字政府、数字社会、数字科创、人工智能、数字底座、数字生态八方面，提出27项重点任务。

　　在释放数据要素价值领域，《工作要点》提出推进公共数据资源合规登记与授权运营，探索多领域应用场景，搭建医疗健康、海洋等行业数据流通交易平台，并建立第三方专业服务机构资源池。

　　深化数据创新应用，开展“数据要素×”行动，计划打造100个以上数字化典型应用场景，推动多领域数据产品研发，构建全省统一的医保数据资产管理制度，开发低空数据，加速数字低空建设。

　　在加力夯实数字底座支撑方面，建设全省一体化算力服务平台，推动重点算力中心全面纳管，打造全省算力一张网。力争2025年底全省总算力达到12.5E，智算占比达到35%。打造10个左右省级数据基础设施“标杆型”“引领型”工程，推出一批数据基础设施建设应用试点示范案例。

　　在人工智能+发展上，出台加快人工智能赋能重点领域高质量发展的推进方案。落实“算力券”奖补政策，引导存量数据中心部署支持人工智能的高质量算力。

　　推动工业、农业、交通运输、医疗健康、地理空间、应急管理、海洋、气象等行业领域打造高质量数据集，构建多模态中文语料数据库。

　　深入推进“人工智能+”场景应用，围绕工业制造、现代海洋、医疗健康等领域开展标杆场景建设，鼓励省属重点企业、单位率先打造标杆场景。

　　来源：数字经济观察网

　　全文链接：

　　https://www.nda.gov.cn/sjj/swdt/dfdt/0425/20250425174943837459196_pc.html

　　八、江苏省政府办公厅印发《江苏省数字经济高质量发展三年行动计划(2025-2027年)》

　　2025年4月16日，江苏省政府办公厅印发《江苏省数字经济高质量发展三年行动计划(2025-2027年)》(以下简称《计划》)。《计划》旨在全面贯彻落实党中央、国务院关于数字中国建设的决策部署，着力打造数字强省，加快培育新质生产力，赋能全省绿色低碳高质量发展。

　　《计划》围绕数字经济高质量发展，提出了七大任务20条具体举措，涵盖强化关键要素供给、推动数字技术创新、促进数实深度融合、完善数字基础设施、健全数字治理体系等多个方面。其中，与数据保护相关的内容主要体现在以下几个方面：

　　1.强化数据安全治理：建立跨部门协同联动机制，落实数据分类分级保护制度，强化数据安全监测预警和应急处置能力。明晰数据流通安全规则，加强公共数据授权运营安全管理，完善个人信息权益保障机制，防范数据滥用风险。组织开展网络和数据安全监督检查，依法打击涉数据安全的违法犯罪活动。

　　2.建设数据流通利用基础设施：建设数联网数据流通利用基础设施，支持南京、苏州开展数联网国家试点，推动跨区域、跨行业数据流通利用。建设一批技术水平高、推广价值大的可信数据空间，支持新亚欧陆海联运数据大通道建设，促进企业数字化转型和产业链协同优化。

　　3.发展高效协同的数字政务：完善“江苏数据直达服务”，实现数据源头直供、实时在线，促进部门供数与场景用数联动。建成全省一体化协同办公体系，实施一体化政务服务平台能力提升工程，助力“高效办成一件事”落地见效。

　　4.创新数字治理应用场景：制定城市全域数字化转型实施方案，构建“全面感知、多源融合、智慧赋能、安全可信”的城市数字底座。探索构建基层一体化智慧治理体系，开发共建共治共享的城乡基层治理服务智慧应用，推动城乡历史文化保护传承数字化信息平台建设。

　　来源及全文链接：江苏省人民政府

　　https://www.jiangsu.gov.cn/art/2025/4/16/art_46144_11543740.html

　　九、云南省通信管理局印发《云南省电信领域数据安全事件应急预案(试行)》

　　2025年4月21日，云南省通信管理局印发《云南省电信领域数据安全事件应急预案(试行)》(以下简称《应急预案》)，旨在建立健全云南省电信领域数据安全事件应急组织体系和工作机制，指导行业开展数据安全事件处置，提升事件综合应对能力。

　　《应急预案》共八章三十九条，重点明确以下八方面内容：一是界定应急预案适用范围，明确了数据安全事件以及事件分级的相关概念、定义;二是明确云南省电信领域数据安全应急处置工作的组织体系，规定了领导机构、办事机构、地方行业监管部门、数据处理者、应急支撑机构等单位的构成及职责;三是明确开展数据安全风险监测预警工作的具体流程和要求;四是明确不同级别数据安全事件应急处置工作的具体流程和要求;五是规定数据安全事件应急工作结束后，云南省通信管理局和数据处理者的具体工作要求;六是提出预防保护、应急演练、宣传培训、手段建设、重大活动期间保障共五项预防措施;七是提出落实责任、奖惩问责、工作协同、经费物资及保密管理的保障措施;八是规定应急预案修订原则和排除条款等要求。同时《应急预案》在附件中还细化了数据安全事件分级方法、事件上报模板、事件总结报告模板、应急处置流程图等内容，为各方开展应急处置工作提供细化实操指导。

　　来源及全文链接：云南省通信管理局

　　https://mp.weixin.qq.com/s/LVJjpHUZMg8R-hiRgFIWfA

　　十、浙江省印发《中国(浙江)自由贸易试验区数据出境负面清单管理办法(试行)》及《中国(浙江)自由贸易试验区数据出境管理清单(负面清单)(2024版)》

　　2025年4月10日，浙江省网信办、浙江省商务厅、浙江省数据局联合发布了《中国(浙江)自由贸易试验区数据出境负面清单管理办法(试行)》(以下简称《管理办法》)、《中国(浙江)自由贸易试验区数据出境管理清单(负面清单)(2024版)》(以下简称《负面清单》)，旨在保障数据安全，保护个人信息权益，促进数据依法有序流动，提升中国(浙江)自由贸易试验区(以下简称浙江自贸试验区)数据出境管理能力及便利度。

　　《管理办法》明确了省级管理部门、自贸片区及数据处理者的职责分工，规定负面清单按行业、领域分批次制定并实行动态管理，涵盖需评估、备案或认证的数据清单。数据处理者使用负面清单数据时，要遵循提交申请、备案等流程，且变更情况需按规定处理。此外，《管理办法》还对监督管理、法律责任及附则等作出规定，涉及其他法律规定的按相应法律执行，未涉及行业领域参照国家相关规定，为浙江自贸试验区数据出境管理提供了全面规范。

　　《负面清单》明确电子商务(企业对企业)和清结算两个行业的数据出境管理要求。在电子商务行业，依据向境外提供个人信息的数量和类别，划分需通过数据出境安全评估、个人信息出境标准合同备案或个人信息保护认证的清单;清结算行业则对重要数据和个人信息做了类似分类规定，不同场景下各类数据的出境方式各异，且行业主管部门发布合规指引时以其为准。

　　来源：浙江省网信网

　　全文链接：

　　《中国(浙江)自由贸易试验区数据出境负面清单管理办法(试行)》

　　https://www.zjwx.gov.cn/module/download/downfile.jsp?classid=0&filename=0847627060f5482a97a43f4ce6b0b48e.pdf

　　《中国(浙江)自由贸易试验区数据出境管理清单(负面清单)(2024版)》

　　https://www.zjwx.gov.cn/module/download/downfile.jsp?classid=0&filename=f9059403321849479e717d338c800248.pdf

　　十一、青岛市大数据发展管理局发布《青岛市数据条例(征求意见稿)》

　　2025年4月8日，青岛市大数据发展管理局发布《青岛市数据条例(征求意见稿)》(以下简称《条例》)，旨在健全数据权益流转与争议处理机制、解决高质量数据供给不足、数据交易活力不足、数据资源利用不充分、中小企业用数难、数据产业生态不完善、数据要素市场对数字经济贡献不够突出等方面的问题。

　　《条例》共八章五十二条，其中主要内容如下：

　　第一章阐述了总则，包括目的、适用范围、管理机制、各部门职责等内容。

　　第二章着重于数据权益保障，明确了自然人、法人和非法人组织的数据权益，包括数据持有权、使用权和经营权，并规范了数据处理活动，同时探索数据收益分配，禁止不正当竞争和垄断行为。

　　第三章聚焦于数据资源的开发利用，建立健全一体化数据资源体系，规范公共和非公共数据资源的采集与管理，推动公共数据资源的共享、开放和授权运营，并鼓励行业数据的开发利用，支持人工智能大模型训练和中小企业创新发展。

　　第四章探讨了数据流通交易，提出通过建设数据交易平台、共建可信数据空间、促进数据跨境流动等方式推动数据高效流通，并鼓励发展数据中介服务机构提供专业服务。

　　第五章从技术创新、数据集建设、应用场景开放、产业集聚区建设、产业扶持和区域协同发展等方面规范了数据产业发展。第六章明确了数据处理者是数据安全的责任主体，要求其建立全流程安全保障制度，依法保护数据安全，并对数据分类分级、重要数据保护、风险防范、应急处置等作出规定。

　　来源：青岛市大数据发展管理局

　　全文链接：

　　https://view.officeapps.live.com/op/view.aspx?src=http%3A%2F%2Fdsj.qingdao.gov.cn%2Fxwzx%2Ftzgg%2F202504%2FP020250408559866074638.docx&wdOrigin=BROWSELINK

　　境外数据法规政策动态

　　一、韩国个人信息保护委员会更新《个人信息处理方针编写指南》

　　2025年4月21日，韩国个人信息保护委员会(PIPC)发布了修订版的《个人信息处理方针编制指南》(以下简称《指南》)。此次修订旨在强化信息主体的权利，同时减轻企业的合规负担，帮助企业更好地制定透明且有效的个人信息处理方针。

　　修订内容主要包括：

　　1.明确同意事项：详细列出无需同意即可处理的个人信息项目(如会员服务、售后服务等)和需要同意的项目(如敏感信息、唯一识别信息等)。

　　2.简化信息填写：允许在特殊情况下按类型填写个人信息项目和保存利用期限，而非强制列出所有具体项目。

　　3.明确责任部门联系方式：除了个人信息负责人(CPO)的联系方式外，还允许填写客服中心等相关部门的联系方式。

　　4.优化公开方式：除了在官网首页底部公开处理方针外，还允许在“服务菜单”“设置”“会员注册”或“登录区域”等地方公开。

　　5.细化权利行使程序：具体指导信息主体如何行使个人信息传输请求权和自动化决策的说明要求等权利。

　　6.明确行为信息相关事项：更清晰地说明行为信息的收集、利用、提供及其拒绝的事项，特别是提供Cookie删除和定制广告阻断方法。

　　来源：韩国个人信息保护委员会(PIPC)

　　全文链接：

　　https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=11133#LINK

　　二、美国开始推进《数据安全计划》

　　2025年4月14日，美国司法部发布消息，推进实施第14117号行政令下的《数据安全计划》(以下简称《计划》)，《计划》配套有《数据安全计划合规指南》(以下简称《合规指南》)与《100多个常见问题解答(FAQ)》(以下简称“FAQ”)，以防止外国获取美国敏感数据。

　　《计划》旨在通过建立严格的出口管制措施，防止特定国家及其控制的实体获取与美国政府相关的数据以及大量敏感个人数据(如基因组学、地理定位、生物识别、健康、金融等)。《计划》通过识别和管控外国对手控制的实体，限制相关数据交易，保护美国的国家安全和外交政策。《计划》于2025年4月8日生效，同时设置了90天的缓冲期，以帮助企业顺利过渡并实现合规。

　　《合规指南》为数据安全计划的实施提供了详细的操作框架。它明确了关键定义、禁止和限制交易的具体要求，并提供了建立健全数据合规计划的具体指导。《合规指南》还提供了标准合同语言，帮助企业确保数据交易的合规性，并建议了审计和记录保存的最佳实践。这些措施旨在帮助企业和个人更好地理解和遵守《计划》的要求，确保在90天缓冲期内实现合规。

　　FAQ则进一步补充了数据安全计划和合规指南的细节。它提供了关于第14117号行政令的澄清内容，解答了关于数据安全计划范围、申请许可证和咨询意见、披露违规行为以及报告被拒绝的禁止交易的具体问题。FAQ还反映了公众在规则制定过程中提出的反馈和问题，并根据需要持续更新，以解决公众在实施过程中遇到的实际问题。这些内容为受监管方提供了更具体的指导，帮助他们更好地理解和遵守数据安全计划的要求。

　　来源：美国司法部

　　全文链接：

　　1.《数据安全计划》

　　https://www.federalregister.gov/documents/2024/03/01/2024-04573/preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related

　　2.《数据安全计划合规指南》

　　https://www.justice.gov/opa/media/1396356/dl

　　3.《100多个常见问题解答(FAQ)》

　　https://www.justice.gov/opa/media/1396351/dl

　　三、法国国家信息与自由委员会更新《关于移动应用隐私的推荐意见》

　　2025年4月8日，法国国家信息与自由委员会(CNIL)发布了更新后的《关于移动应用隐私的推荐意见》(以下简称《推荐意见》)。此举旨在帮助应用程序发布者、开发者、软件开发工具包(SDK)提供商、操作系统提供商以及应用商店提供商等利益相关者更好地遵守《通用数据保护条例》(GDPR)。

　　《推荐意见》最初于2024年9月发布，并在此次更新中进行了细微调整，以跟踪最新的隐私保护趋势和技术发展，适用于移动应用程序，并可根据具体使用场景(如智能手表、智能音箱、联网车辆、个人医疗设备、物联网设备和个人电脑设备)进行适应。

　　《推荐意见》强调了透明度和用户控制的重要性，建议应用程序在收集、处理用户数据时，应明确告知用户数据的收集目的、使用方式以及用户权利。

　　同时，《推荐意见》还鼓励开发者采取最小化数据收集原则，仅收集实现服务所必需的最少数据。此外，CNIL还强调了数据安全措施的重要性，包括加密传输和存储用户数据，以防止数据泄露和滥用。此次更新后的推荐意见为移动应用领域的隐私保护提供了更为详细和具体的指导，有助于提升整个行业的隐私保护水平。

　　来源：dataguidence

　　全文链接：

　　https://www.cnil.fr/sites/cnil/files/2025-04/recommandation-applications-mobiles-modifiee_suivi.pdf

　　四、挪威数据保护局发布《Cookie及同类技术使用同意获取指南》

　　2025年4月3日，挪威数据保护局(Datatilsynet)发布《Cookie及同类技术使用同意获取指南》，旨在指导企业依据《通用数据保护条例》(GDPR)及2025年1月1日生效的新《电子通信法》设计合规的同意机制。

　　Datatilsynet表示同意应该是自愿的、具体的、知情的和明确的。为确保合规，企业需遵循以下10项要求：

　　1.同意弹窗需提供清晰无歧义的说明;

　　2.同意横幅须包含完整信息(如数据处理目的、第三方共享等);

　　3.不得将网站/服务访问权限与同意强制绑定;

　　4.允许用户按用途自主选择同意范围(如广告、分析等);

　　5.禁用预勾选框或默认同意(如滚动即视为同意);

　　6.拒绝选项需与同意按钮同等醒目，不得刻意弱化;

　　7.按钮文案使用简明措辞(如"接受必要Cookie"而非模糊的"我知道了");

　　8.撤回同意流程不得设置额外点击步骤或操作障碍;

　　9.需明确告知用户撤回方式并提供便捷入口;

　　10.定期审核Cookie使用情况(至少每年一次)。

　　来源：dataguidence

　　五、欧盟委员会专家组发布《B2B数据共享和云计算合同的报告》

　　2025年4月2日，欧盟委员会专家组发布《B2B数据共享和云计算合同的报告》(以下简称《报告》)，旨在为数据共享和云计算合同提供标准化框架和具体示例，帮助当事各方起草和协商合同，同时确保符合欧盟法律要求并平衡各方利益。

　　《报告》主要包括示范合同条款(MCT)和标准合同条款(SCC)。MCT涵盖四种数据共享场景：数据持有者与用户、用户与数据接收者、数据持有者与数据接收者以及数据共享者与数据接收者之间的合同，涉及数据访问、使用、保护、补偿及合同终止等内容。SCC针对云计算合同设计，包含一般条款和六条标准条款，如切换与退出、终止、安全与业务连续性等，旨在支持客户切换云服务提供商的权利并确保合同公平性。《报告》强调条款与欧盟《通用数据保护条例》《数据法案》等法律一致，但属自愿性文件，企业可根据业务需求调整使用。此外，条款虽主要适用于B2B关系，但经调整也可用于B2C场景。

　　来源：dataguidence

　　全文链接：

　　https://ec.europa.eu/transparency/expert-groups-register/core/api/front/document/116180/download

　　六、欧洲数据保护委员会发布《关于通过区块链处理个人数据的指南》征求意见稿

　　2025年4月8日，欧洲数据保护委员会(EDPB)发布了《关于通过区块链技术处理个人数据的指南》(Guidelines02/2025)征求意见稿(以下简称《指南》)。《指南》旨在为使用区块链技术处理个人数据的组织提供合规框架，分析区块链技术与《通用数据保护条例》(GDPR)要求的相互作用，识别潜在合规风险，并提出降低风险的建议。EDPB希望通过这些指南，帮助组织在利用区块链技术的同时，确保对个人数据的保护符合GDPR的要求。

　　《指南》全面分析了区块链的分布式特性、去中心化治理和加密机制对GDPR合规性的影响。它指出，区块链的不可变性和透明性可能与GDPR的数据最小化、存储限制和数据主体删除权等原则相冲突。为解决这些问题，指南建议数据控制者在设计和实施区块链解决方案时，应优先采用技术措施(如加密、哈希、链外存储)来降低风险，并进行数据保护影响评估(DPIA)。此外，《指南》还强调了在区块链环境中确保数据主体权利的重要性，并提出了16条具体操作建议，包括架构设计、信息透明度、数据最小化、信任机制、法律条款、软件漏洞管理、治理、数据保留期限和数据安全等方面。这些措施旨在帮助数据控制者在区块链技术的应用中，更好地平衡技术创新与数据保护之间的关系，确保个人数据的安全和合规处理。

　　来源及全文链接：欧洲数据保护委员会(EDPB)

　　https://www.edpb.europa.eu/system/files/2025-04/edpb_guidelines_202502_blockchain_en.pdf

　　全球数据监管执法动态

　　一、工信部通报52款APP及SDK存在侵害用户权益行为

　　2025年4月28日，工业和信息化部(工信部)发布了一份通报，公布了存在问题的52款APP及SDK(软件开发工具包)名单。

　　具体情况如下：

　　1.违规收集个人信息：共有22款APP及SDK因违规收集个人信息被通报，包括“安卓动态壁纸”(北京光点图灵网络科技有限公司)、“球讯”(北京嗨量科技有限公司)等。

　　2.强制频繁过度索取权限：共有18款APP及SDK因强制频繁过度索取权限被通报，如“疯狂红单”(北京疯狂体育产业管理有限公司)、“悦录”(浙江同花顺智能科技有限公司)等。

　　3.信息窗口乱跳转或无法关闭：共有12款APP及SDK因信息窗口乱跳转或无法关闭被通报，例如“抽象射击”(北京璀璨时空科技有限公司)、“桌面汪”(北京华夏乐游科技股份有限公司)等。

　　4.SDK信息公示不到位：共有8款SDK因信息公示不到位被通报，如“uni-AD 原生广告SDK”(数字天堂(北京)网络技术有限公司)、“联道SDK”(上海联道文化传媒有限公司)等。

　　来源：工业和信息化部(工信部)

　　二、恶意文件窃取公民信息，网警公布典型案例

　　2025年4月27日，公安部网安局发布了一则关于恶意文件窃取公民信息的典型案件。

　　刘某鹏制作开发黑客软件“刘某控”，该软件通过传播植入木马程序实现计算机端远程控制。团伙成员刘某山、刘某昊、刘某等人将“刘某控”打包伪装，通过通讯软件投送至受害人电脑，在受害人点击伪装文件后木马病毒立即激活，即可对受害人电脑进行远程控制，刘某昊、刘某2人使用“刘某控”非法控制他人计算机并窃取公民信息牟利。2023年6月，刘某鹏团伙被公安机关抓获归案，查获非法获取公民信息一批。2024年9月，法院依法对刘某鹏等犯罪团伙人员分别以提供侵入、非法控制计算机信息系统程序、工具罪和非法控制计算机信息系统罪、侵犯公民个人信息罪分别判处有期徒刑并处罚金。

　　来源：公安部网安局

　　三、南充市依法查处两起未履行网络安全保护义务典型案例

　　近日，南充市互联网信息办公室依法查处两起违反《中华人民共和国网络安全法》典型案例，南充市某行政单位和某学校未履行网络安全保护义务分别受到行政处罚并责令限期整改。

　　案例一：某行政单位网络安全责任缺失经查，该单位OA系统存在严重安全隐患：未按要求完成网络安全等级保护备案;系统日志留存周期不足法定六个月标准;系统存在“弱口令”漏洞。上述问题直接导致境外黑客组织成功入侵系统窃取信息。该单位涉嫌违反《中华人民共和国网络安全法》第二十一条第(三)项、第(四)项规定。市互联网信息办公室依据《中华人民共和国网络安全法》第五十九条第一款规定，依法对该单位作出警告并责令改正的行政处罚。

　　案例二：某学校不及时整改网络安全问题市网信办在监管中发现该校官方网站存在黑链植入、日志存档缺失、高危系统漏洞等多项问题，期间累计三次监测到违法链接并印发网络安全问题整改提醒函，该校均未及时整改。该学校涉嫌违反《中华人民共和国网络安全法》第二十一条第(二)项、第(三)项、第(四)项之规定。市互联网信息办公室依据《中华人民共和国网络安全法》第五十九条第一款规定，依法对该单位作出责令改正并处两万元罚款的行政处罚。

　　来源：网信南充

　　四、中国时尚电商平台Shein因违反个人数据保护规则或面临1.5亿欧元的罚款

　　2025年4月10日，法国国家信息与自由委员会(CNIL)计划对中国时尚电商平台Shein处以1.5亿欧元的罚款，因其涉嫌违反个人数据保护规则。Shein可能因未遵守法国关于个人数据保护的法规而面临巨额罚款，这一处罚还可能包括每天10万欧元的额外罚款，直到该公司改变其数据处理方式。

　　CNIL指出Shein存在多项违规行为：

　　1.在用户未明确同意的情况下安装追踪器(cookies)。

　　2.即使用户拒绝授权，追踪器仍被安装。

　　3.在收集用户同意时，提供的信息过于模糊，不符合透明性要求。

　　尽管CNIL的文件尚未最终确定，但Shein表示将继续与CNIL全面合作，以确保其业务符合法国隐私保护的要求。最终决定预计将在未来几个月内作出。

　　来源：01网

　　五、字节跳动因违规数据跨境或面临5亿欧元罚款

　　2025年4月，爱尔兰数据保护委员会(DPC)计划对TikTok母公司字节跳动处以超过5亿欧元(约合5.53亿美元)的罚款，原因是TikTok将欧洲用户数据非法跨境传输至中国，并允许中国工程师访问这些数据，违反了欧盟《通用数据保护条例》(GDPR)。

　　DPC的调查始于2021年，历时四年，显示了此类案件的复杂性和监管审查的严格性。调查结果显示，TikTok未经合法授权跨境传输欧洲用户私人数据至中国，违反GDPR第44条。因中国未获欧盟委员会“充分性决定”，TikTok传数据既未遵守第46条保障措施，也不符合第49条特定例外规定;允许中国工程师超出必要工作范畴访问欧洲用户数据，违背数据最小化(第5(1)(c)条)与目的限制(第5(1)(b)条)原则;还因未备好足够技术、组织手段保护用户数据安全，涉嫌触犯第32条;同时，未向用户透明公开数据传输行为与使用范围，与第12、13和14条相悖。

　　来源：CSDN

　　六、DPP Law Ltd因数据泄露违规被罚60,000英镑

　　2025年4月16日，英国信息专员办公室(ICO)发布通报，DPP Law Ltd(以下简称“DPP”)因数据泄露后未采取相应的数据安全措施违反英国GDPR，被处以60,000英镑的罚款。

　　DPP是一家专门处理刑事、军事、家庭欺诈、性犯罪以及针对警察的案件的律师事务所，其业务性质使其持有大量高度敏感的个人数据，包括受法律保护的信息。2022年6月，DPP遭受了一次网络攻击，攻击者通过一个不常使用的管理员账户(该账户未启用多因素身份验证)侵入了DPP的网络，窃取了超过32GB的数据。这些数据中包含了可识别个人的隐私信息。

　　英国信息专员办公室的调查发现，DPP未能采取适当措施确保电子存储个人数据的安全，导致网络攻击者能够未经授权访问并窃取数据。此外，DPP在意识到数据泄露后未能及时向ICO报告，直到43天后才通知监管机构。

　　上述行为违反了英国GDPR第5条第(1)款第(1)项、第32条第(1)款、第32条第(2)款及第33(1)条。

　　来源：英国信息专员办公室(ICO)

　　全文链接：

　　https://ico.org.uk/media2/pr4bg5hq/dpp-law-ltd-monetary-penalty-notice.pdf

　　七、罗马尼亚一公司因直接营销违规被罚74,661列伊

　　2025年4月10日，罗马尼亚国家个人数据处理监督局(ANSPPDCP)发布通报，TensaArtDesignS.A.公司因直接营销违规被处以74,661列伊(约合15,000欧元)的罚款。

　　ANSPPDCP在2025年3月完成对TensaArtDesignS.A.公司的调查。调查发现该公司在未获得用户同意的情况下，使用其电话号码进行直接营销，并通过短信发送商业信息，违反了GDPR第6条关于数据处理同意的要求。此外，该公司在处理用户行使访问权和删除权的请求时，未能提供适当的响应，违反GDPR第12条。

　　根据GDPR第58条的规定，该公司被要求采取纠正措施，包括确保数据处理活动符合GDPR要求，采取必要的技术和组织措施，培训相关员工，并确保能够正确处理用户行使权利的请求。

　　来源：罗马尼亚国家个人数据处理监督局(ANSPPDCP)

　　收集整理：德和衡网络安全与数据合规团队

　　德和衡网络安全与数据合规团队是一个长期专注于数据合规专项法律服务的团队。团队成员由北京、深圳、上海三地的律师组成。团队自2014年成立以来，核心成员均来自国内领先的网络安全企业360，积累了丰富的行业经验。团队还与奇安信、中电科、全知科技、银行卡检测中心(BCTC)等技术领先团队建立了密切且稳固的长期合作关系。团队致力于协助企业客户提升数据管理水平，预防及应对数据安全问题，提高数据质量，并充分发挥企业数据资产的最大价值。目前，团队已为房产、能源、智能制造、电子、车联网、大数据、金融、物流、电商等多个行业的领军企业提供全套数据合规法律服务。