本期内容
国内数据法规政策动态:
一、国家互联网信息办公室要求报送未成年人个人信息保护合规审计情况
二、国家互联网信息办公室发布通过备案的个人信息出境认证专业机构及备案指南
三、《网络安全标准实践指南——粤港澳大湾区(内地、澳门)个人信息跨境处理保护要求(征求意见稿)》公开征求意见
四、最高人民法院发布第三次修正《民事案件案由规定》,新增数据相关独立案由
五、国家能源局印发《能源行业数据安全管理办法(试行)》
六、国家网络身份认证公共服务6项公共安全行业标准获批发布
七、《网络数据安全风险评估办法》公开征求意见
八、《数据安全技术 电子产品信息清除技术要求》强制性国家标准获批发布
九、《网络安全技术 区块链共识机制安全要求》等6项国家标准意见征求意见稿发布
十、国家市场监督管理总局、国家互联网信息办公室增加个人信息出境认证依据标准
十一、中国(福建)自由贸易试验区数据出境负面清单管理办法、负面清单(2025版)发布
境外数据法规政策动态:
一、欧盟续签与英国间数据流动充分性决定
二、欧盟设立GDPR跨境执法新规
三、美国提出《汽车数据隐私与自主权法案》以保护车主数据权利
四、挪威金融监管局发布《数字安全法》在金融领域的适用指引
五、智利出台国际数据传输标准合同条款
六、印度两项修正案拟加强儿童数据保护
七、土耳其发布《旅游业与酒店业中住宿服务接受者身份证件复印件的存档原则决议》
全球数据监管执法动态:
一、关于汽车数据处理5项安全要求检测情况的通报(第四批)
二、国家计算机病毒应急处理中心检测发现69款违法违规收集使用个人信息的移动应用
三、抚顺网警依法查处数据安全防护缺失高风险单位
四、克罗地亚:银行因违规收集用户数据被AZOP处罚150万欧元
五、罗马尼亚:Crowd Entertainment 未回应数据主体根据 GDPR 的请求被罚款76,333列伊
六、法国:数据监管机构对美国运通处以150万欧元罚款
国内数据法规政策动态
一、国家互联网信息办公室要求报送未成年人个人信息保护合规审计情况
2025年12月29日,国家互联网信息办公室要求处理未成年人个人信息的个人信息处理者报送未成年人个人信息保护合规审计情况,详细要求如下:
依据《未成年人网络保护条例》第三十七条规定,处理未成年人个人信息的个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并向所在地设区的市级网信部门报送合规审计情况。
国家互联网信息办公室要求每年1月底前报送上一年度未成年人个人信息保护合规审计情况。
未成年人个人信息保护合规审计情况报送工作采用线上方式。请直接访问“个人信息保护业务系统”(https://grxxbh.cacdtsc.cn),按照系统首页提供的《未成年人个人信息保护合规审计情况报送系统填报说明(第一版)》,报送合规审计情况有关材料,也可从中国网信网(https://www.cac.gov.cn)首页“全国网信政务办事大厅”栏目访问“个人信息保护业务系统”。
未按照《中华人民共和国个人信息保护法》《未成年人网络保护条例》《个人信息保护合规审计管理办法》等法律法规规章的规定开展未成年人个人信息保护合规审计并报送合规审计情况的,依照有关法律法规规章的规定处理。
来源:网信中国
二、国家互联网信息办公室发布通过备案的个人信息出境认证专业机构及备案指南
2025年12月30日,为落实《个人信息出境认证办法》第十二条规定,国家互联网信息办公室会同国家数据局完成中国网络安全审查认证和市场监管大数据中心、中央网信办(国家网信办)数据与技术保障中心、北京赛西认证有限责任公司3家机构的个人信息出境认证备案审核。个人信息处理者通过认证方式向境外提供个人信息的,可以向上述机构申请个人信息出境认证。
为便于个人信息出境认证专业机构办理备案手续,国家互联网信息办公室上线个人信息出境认证专业机构备案系统,网址为https://sjcj.cac.gov.cn。备案材料具体要求和流程详见《个人信息出境认证专业机构备案指南》。
来源:国家互联网信息办公室
全文链接:
https://www.cac.gov.cn/cms/pub/interact/downloadfile.jsp?filepath=NUtqEIwGiCjGm2Bhl20cvPUbaRode5D~/bx3qLHulhBO3/RZ6AHHzUWRqbaKOFyEUM2kB61yUkXfbO/S8LbNWzZS2/Bjnic3oqu3HpPj8kk=&fText=%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF%E5%87%BA%E5%A2%83%E8%AE%A4%E8%AF%81%E4%B8%93%E4%B8%9A%E6%9C%BA%E6%9E%84%E5%A4%87%E6%A1%88%E6%8C%87%E5%8D%97
三、《网络安全标准实践指南——粤港澳大湾区(内地、澳门)个人信息跨境处理保护要求(征求意见稿)》公开征求意见
2025年12月22日,全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——粤港澳大湾区(内地、澳门)个人信息跨境处理保护要求(征求意见稿)》(以下简称“征求意见稿”),旨在落实《中华人民共和国国家互联网信息办公室与澳门特别行政区政府经济财政司 关于促进粤港澳大湾区数据跨境流动的合作备忘录》中粤港澳大湾区个人信息跨境安全认证工作。
粤港澳大湾区(内地、澳门)个人信息处理者、接收方可以按照备忘录和相关文件要求,采取订立粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同或者申请以粤港澳大湾区(内地、澳门)个人信息跨境安全互认方式(以下简称“安全互认方式”)进行粤港澳大湾区内个人信息跨境流动。《促进和规范数据跨境流动规定》规定的免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息出境认证的情形除外。
征求意见稿规定了粤港澳大湾区(内地、澳门)个人信息处理者或者接收方,在粤港澳大湾区内内地和澳门间通过安全互认方式进行粤港澳大湾区内个人信息跨境流动应遵守的基本原则和要求。对粤港澳大湾区(内地、澳门)个人信息处理者或者接收方的个人信息跨境处理活动进行安全认证(就粤港澳大湾区内内地个人信息处理者或者接收方而言)或认可(就澳门特别行政区个人信息处理者或者接收方而言)。
来源及全文链接:全国网络安全标准化技术委员会
https://www.tc260.org.cn/sysFile/downloadFile/7956ca10624f4ecd8ff854e2b83efc8f
四、最高人民法院发布第三次修正《民事案件案由规定》,新增数据相关独立案由
2025年12月17日,最高人民法院发布第三次修正的《民事案件案由规定》,针对数据领域纠纷作出关键调整,为数据合规工作提供明确司法路径。该规定已于2025年12月4日经最高法审判委员会审议通过,自2026年1月1日起正式施行。
此次修改新增“数据、网络虚拟财产纠纷”第一级案由,并增设“数据纠纷”第二级案由,在该第二级案由项下明确列出“数据权属纠纷”“数据合同纠纷”“侵害数据权益纠纷”三个独立第三级案由。
本次修改遵循严格依法、必要性、实用性三项原则,所新增数据相关案由均以《中华人民共和国民法典》《中华人民共和国个人信息保护法》等民事法律为依据,符合民事诉讼法关于民事案件受案范围的规定。
修改后的《民事案件案由规定》形成纵向十二大部分、横向四级结构的编排体系,数据相关案由被纳入第六部分“数据、网络虚拟财产纠纷”,与其他民事纠纷类型共同构成完整的案由体系,涵盖当前司法实践中常见的数据相关纠纷类型。
来源及全文链接:最高人民法院
https://www.court.gov.cn/fabu/xiangqing/484231.html
五、国家能源局印发《能源行业数据安全管理办法(试行)》
2025年12月12日,国家能源局印发《能源行业数据安全管理办法(试行)》(以下简称《管理办法》),旨在规范能源行业数据处理活动,加强数据安全管理,防范数据安全风险,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益。
根据《管理办法》,该办法将自2026年7月1日起施行,有效期5年。
《管理办法》明确,根据数据重要性、精度、规模、安全风险等,能源行业数据分为一般、重要、核心三级。其中,能源行业重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模的能源行业数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。能源行业核心数据是指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的能源行业重要数据,一旦被非法使用或共享,可能直接影响政治安全。
《管理办法》指出,能源数据处理者应依法依规履行数据安全保护责任义务。能源行业重要数据和能源行业核心数据的处理者对自身的数据安全负主体责任,应明确数据安全负责人和管理机构,本单位法定代表人或者主要负责人是数据安全第一责任人,分管数据安全的领导是直接责任人。能源央企负责对其各级子公司、控股企业的数据处理活动和安全保护进行监督管理。
在数据保护方面,《管理办法》强调,能源数据处理者开展数据处理活动,应建立健全数据安全管理制度,明确数据全生命周期各环节的管理要求;利用互联网等信息网络开展能源行业数据处理活动的,应落实网络安全等级保护、关键信息基础设施安全保护、密码保护和保密等制度要求。
在监测预警和应急处置方面,《管理办法》提出,省级能源主管部门、能源央企应分别加强本地区、本企业能源行业数据安全监测预警和应急处置能力建设,指导本地区数据处理者和能源央企各级子公司、控股企业做好风险监测、事件处置和报告等工作,强化对新技术新应用的能源行业数据安全风险研究和评估,强化对公开渠道数据汇聚、关联后可能引发能源行业数据安全风险的监测能力。
来源:国家能源新闻网
全文链接:
https://www.gov.cn/zhengce/zhengceku/202512/content_7051044.htm
六、国家网络身份认证公共服务6项公共安全行业标准获批发布
近日,公安部发布了2025年第2号《中华人民共和国公安部公共安全行业标准公告》,国家网络身份认证公共服务标准体系中6项公共安全行业标准正式发布,于2026年5月1日实施。标准具体内容如下:
GA/T 1721-2025 《国家网络身份认证公共服务 通用术语》该标准界定了国家网络身份认证公共服务相关的基础术语、管理术语、业务术语和设备术语,适用于国家网络身份认证公共服务相关的研发、应用、运维和管理等活动。
GA/T 1723.1-2025《国家网络身份认证公共服务 认证服务 第1部分:认证因子》该标准界定了国家网络身份认证公共服务中涉及的认证因子类别,给出了认证因子应用,适用于国家网络身份认证公共服务中的身份认证业务。
GA/T 1723.2-2025《国家网络身份认证公共服务 认证服务 第2部分:真实身份认证服务接口要求》该标准确立了国家网络身份认证公共服务平台的真实身份认证服务的交互方式和认证模式,规定了真实身份认证服务的接口要求,适用于国家网络身份认证公共服务平台真实身份认证服务接口的设计、开发和调用。
GA/T 2364-2025 《国家网络身份认证公共服务 人脸活体图像采集控件技术要求》该标准给出了使用国家网络身份认证公共服务时的人脸活体图像采集控件的构成与连接方式,规定了人脸活体图像采集控件的通用要求、功能要求、性能要求和人脸活体图像数据安全要求,适用于使用国家网络身份认证公共服务时的人脸活体图像采集控件的设计、开发、检测和使用。
GA/T 2365-2025 《国家网络身份认证公共服务 安全接入设备技术规范》该标准规定了接入国家网络身份认证公共服务平台使用的安全接入设备的技术要求,包括功能、服务协议、性能、安全性等,以及相应的检测方法,适用于安全接入设备的研制、检测、使用和管理。
GA/T 2366-2025 《国家网络身份认证公共服务 个人身份信息处理要求》该标准规定了国家网络身份认证公共服务平台与接入机构应用系统交互过程中个人身份信息处理的总体要求、技术要求和管理要求,适用于国家网络身份认证公共服务平台与接入机构应用系统交互过程中的个人身份信息处理活动,也适用于监管部门及第三方评估机构对个人信息处理活动进行监督、管理和评估。
来源:公安部网安局
七、《网络数据安全风险评估办法》公开征求意见
为规范网络数据安全风险评估活动,保障网络数据安全,促进网络数据依法合理有效利用,国家互联网信息办公室起草了《网络数据安全风险评估办法(征求意见稿)》(以下简称“征求意见稿”),于2025年12月6日向社会公开征求意见。意见反馈截止时间为2026年1月5日。
征求意见稿指出,处理重要数据的网络数据处理者应当每年度对其网络数据处理活动开展风险评估。重要数据安全状态发生重大变化可能对数据安全造成不利影响的,应及时对发生变化及其影响的部分开展风险评估。鼓励处理一般数据的网络数据处理者至少每3年开展一次风险评估。
征求意见稿提出,评估机构在风险评估过程中发现网络数据处理活动存在重大数据安全风险的,应当及时通报网络数据处理者,并按照有关规定向省级以上网信部门、有关主管部门报告。
根据征求意见稿,风险评估、网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等内容重合的,相关结果可以互相采信,避免重复评估、审计、认证。
来源:新华网
全文连接:
https://www.cac.gov.cn/2025-12/06/c_1766578179367262.htm
八、《数据安全技术 电子产品信息清除技术要求》强制性国家标准获批发布
2025年12月2日,《数据安全技术 电子产品信息清除技术要求》(以下简称“标准”)强制性国家标准发布,将于2027年1月1日起正式实施。标准旨在规范电子产品信息清除技术方法,引导回收经营者建立健全信息清除管理和技术措施,防范二手流通中的数据泄露风险,促进二手电子产品交易行业健康有序发展。
中央网信办有关负责人介绍,随着数字经济快速发展,手机、电脑等电子产品更新换代频率加快,二手电子产品流通体量日益庞大。但在流通环节中,由于信息清除不彻底导致的数据泄露风险日益凸显,直接威胁社会公共利益和个人信息安全。为落实相关要求,有效保障数据安全,中央网信办委托全国网络安全标准化技术委员会组织制定了这一标准。
标准适用于面向境内生产、销售的,具有非易失性存储介质的电子产品。
对于电子产品厂商,标准规定应为用户提供内置的信息清除功能。如果无法开发内置功能,厂商必须提供外部信息清除工具,或告知可用的第三方工具信息,或者向用户提供免费的信息清除服务。
对于二手电子产品回收经营者,标准规定回收前必须主动提示用户进行清除,未经同意禁止访问或留存用户数据;必须使用符合技术要求的功能或工具进行清除;在销售前必须对清除效果进行验证,未清除用户数据的产品禁止再销售和运输出境。同时,要建立档案,对清除操作和验证结果进行记录,留存时间不少于3年。
来源:新华网
全文链接:
https://std.samr.gov.cn//gb/search/gbDetailed?id=44F3E6F8202EB68DE06397BE0A0A3836&_refluxos=a10
九、《网络安全技术 区块链共识机制安全要求》等6项国家标准意见征求意见稿发布
2025年12月12日,全国网络安全标准化技术委员会发布6项国家标准的征求意见稿:
1.《网络安全技术 区块链共识机制安全要求》给出了区块链共识机制的功能框架、运行流程及安全目标,规定了区块链共识机制的安全要求。适用于在各类区块链系统中安全可靠地部署、使用和设计区块链共识机制,也可为开展区块链共识机制的安全测试及评估提供参考。
2.《网络安全技术 密码设备应用接口规范》规定了公钥密码应用技术体系框架下服务端密码设备应用接口的算法标识、数据结构和接口函数。适用于服务端密码设备的研制、使用,以及基于该类密码设备的应用开发。
3.《网络安全技术 密码模块安全要求》确立了密码模块的四个安全等级,并规定了四个等级的安全要求。适用于密码模块的设计和开发,可为密码模块的检测认证提供依据,也可为信息系统部署和使用密码模块提供指导。
4.《网络安全技术 物联网感知终端应用安全技术要求》规定了应用感知终端过程中的安全技术要求,覆盖物联网规划设计、建设、运维管理和废弃退出各阶段。适用于物联网建设运维单位对感知终端的选取、部署、使用维护、废弃等活动,也可以为感知终端产品设计和制造提供指导,为第三方测评机构实施测试和评价提供参考。
5.《数据安全技术 公共数据开放安全要求》规定了公共数据开放过程的安全要求、公共数据开放平台安全要求、公共数据开放动态监测要求和公共数据开放定期评估要求。适用于指导各级政务部门和具有公共管理和服务职能的组织及其技术支撑单位,规范公共数据安全开放,也可为主管部门和第三方机构开展监督管理和评估提供参考。
6.《网络安全技术 政务云平台安全监测方法》描述了政务云平台安全监测的通用方法,并分类别描述了监测内容。适用于指导政务云服务商开展内部监督、检查和检测工作。
来源及全文链接:
《网络安全技术 区块链共识机制安全要求》
https://www.tc260.org.cn/sysFile/downloadFile/7de843320afc45398099ef3dd64f4521
《网络安全技术 密码设备应用接口规范》
https://www.tc260.org.cn/sysFile/downloadFile/e3b219597e3d4a628fa24035699c3602
《网络安全技术 密码模块安全要求》
https://www.tc260.org.cn/sysFile/downloadFile/ddff91c7f4c14061b229a11967d76112
《网络安全技术 物联网感知终端应用安全技术要求》
https://www.tc260.org.cn/sysFile/downloadFile/8b4503a5666441b1972d3060abab3b57
《数据安全技术 公共数据开放安全要求》
https://www.tc260.org.cn/sysFile/downloadFile/1d2a603a243f424e815f1a52e834c421
《网络安全技术 政务云平台安全监测方法》
https://www.tc260.org.cn/sysFile/downloadFile/56a130cbf15848c1aa3f810c72f087e4
十、国家市场监督管理总局、国家互联网信息办公室增加个人信息出境认证依据标准
2025年12月12日,国家市场监督管理总局、国家互联网信息办公室新增个人信息出境认证依据标准,将GB/T 46068《数据安全技术个人信息跨境处理活动安全认证要求》(以下简称“要求”)国家标准与GB/T 35273《信息安全技术 个人信息安全规范》共同作为个人信息出境认证依据标准。
来源:国家市场监督管理总局
十一、中国(福建)自由贸易试验区数据出境负面清单管理办法、负面清单(2025版)发布
2025年12月18日,福建省互联网信息办公室、福建省商务厅、福建省数据管理局联合发布《中国(福建)自由贸易试验区数据出境负面清单管理办法(试行)》(以下简称《管理办法》)、《中国(福建)自由贸易试验区数据出境管理清单(负面清单)(2025版)》(以下简称《负面清单》)。《负面清单》涉及平潭自贸片区医药、车联网、零售三大重点产业领域。
根据《管理办法》,自贸片区内注册的数据处理机构涉及《负面清单》行业领域的数据出境活动,应按自贸片区《负面清单》配套实施指南向自贸片区提交申请,通过审核后提交备案材料,包括数据出境业务场景、出境数据目录、出境数据规模等。完成备案后,可依据自贸片区出具的研判意见开展数据出境活动,并配合省级管理部门及自贸片区开展监督、核验等工作。对于《负面清单》未涵盖的行业领域数据,则按照《网络数据安全管理条例》《数据出境安全评估办法》等国家相关规定执行。
来源:新福建网
全文链接:
《管理办法》
https://upload.fjwx.gov.cn/2025/1225/1766647466577.doc
《负面清单》
https://upload.fjwx.gov.cn/2025/1225/1766647480181.doc
境外数据法规政策动态
一、欧盟续签与英国间数据流动充分性决定
2025年12月19日,欧盟委员会宣布正式续签欧盟与英国之间个人数据自由流动的充分性决定。该决定确认,由于英国法律框架包含与欧盟基本等同的数据保护保障措施,个人数据可继续在欧洲经济区(EEA)与英国之间自由、安全地流动。
来源:欧盟委员会
二、欧盟设立GDPR跨境执法新规
2025年12月12日,欧盟通过《第2025/2518号条例》,针对跨境数据保护案件,制定了补充程序规则,以加强GDPR的执法力度。
核心要点如下:
1.明确的投诉规则:界定投诉受理条件,并提供标准化模板以简化提交流程;
2.快速结案机制:若侵权问题已得到纠正,案件可快速了结;
3.协作机制:为简单案件设立简易合作程序,并为复杂调查设定详细步骤;
4.程序性保障:保障当事方的听证权、非保密案卷获取权,并对商业秘密提供保护;
5.严格时限:初步决定须在15个月内作出(简单案件为12个月),复杂案件可有限度延长;
6.争议解决与紧急程序:明确了向欧盟数据保护委员会提交争议的规则,以及依据GDPR第65条、第66条作出紧急决定的流程;
7.数字化工具与透明度:要求建立用于机构协作的安全电子平台,并定期公开执法统计数据。
来源:联邦银行
全文链接:
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L_202502518
三、美国提出《汽车数据隐私与自主权法案》以保护车主数据权利
2025年12月16日,美国犹他州共和党参议员迈克·李今日提出立法提案,旨在为全美车主赋予关键的数据隐私权利。《汽车数据隐私与自主权法案》将通过禁止汽车制造商未经驾驶人同意出售和收集个人数据,并禁止向中国等对立国家共享数据,使车主能够掌控自身数据。
《汽车数据隐私与自主权法案》将通过以下举措保护驾驶者隐私权:
1.建立知情同意机制:要求原始设备制造商设置车辆数据收集的明示同意功能;
2.限制数据共享:禁止原始设备制造商在未经明确同意的情况下共享、出售或租赁收集的客户数据(法律规定的极少数例外情况除外);
3.保障国家安全:禁止向对立国家共享数据;
4.确保透明度:要求联邦贸易委员会向国会提交数据收集实践报告;
5.赋予车主权利:允许车主通过技术中立标准访问其车辆数据;
6.支持数据删除:赋予车主在连接车辆后删除个人数据的权利;
7.平衡多方利益:在保护原始设备制造商商业机密的同时维护消费者权益。
来源:UtahPolicy
四、挪威金融监管局发布《数字安全法》及配套条例在金融领域的适用指引
2025年12月11日,挪威金融监管局就新出台的《数字安全法》及《数字安全条例》如何适用于金融部门发布了指引,主要内容如下:
上述两部法规已于2025年10月1日正式生效,旨在将欧盟《网络与信息系统安全指令》(NIS指令)转化为挪威国内法。根据规定,在金融行业内,对挪威资本市场具有系统重要性的银行及关键金融市场基础设施均属于其适用范围。截至2025年12月,明确适用的具体机构包括:DNB银行ASA、Sparebank 1 南挪威银行ASA、Sparebanken挪威银行以及奥斯陆证券交易所ASA。
在法规衔接方面,金融行业还需遵守专门的《数字运营韧性法》(DORA)。该法设定了与《数字安全法》相当或更为严格的要求。因此,依据《数字安全法》第5条,相关金融企业应优先遵守其行业专门法规,即DORA。
在监管架构上,财政部已根据《数字安全条例》第21条,指定挪威金融监管局为负责的监管机构。同时,依据该条例第16条,金融监管局与北欧金融CERT被共同指定为行业响应机构,可为受约束的金融企业提供事件处理支持。
关于报告义务,法规要求关键社会服务的提供者必须按照《数字安全条例》第5条,及时向国家网络安全主管部门及行业监管机构报告指定的安全事件详情。对于金融企业而言,在向国家网络安全主管部门提交报告时,必须同步抄送一份副本至挪威金融监管局。
来源:挪威金融监管局
五、智利出台国际数据传输标准合同条款
2025年12月11日,智利经济、发展与旅游部批准了用于个人数据国际传输的标准合同条款(MCCs)。同时,该部发布了《个人数据国际传输标准合同条款实施指南》(以下简称《实施指南》)。
根据《实施指南》,MCCs适用于数据控制者或处理者需将个人数据传输至未被认定具有充分保护水平的国家的实体时。MCCs包含两种传输模型:控制者向控制者传输、控制者向处理者传输。MCCs主要内容如下:
1.确保个人数据在跨境传输过程中的安全;
2.对“数据出口方”“数据接收方”“适用法律”“后续传输”“第三方受益人”等关键术语的定义;
3.明确MCCs优先于其他协议,并与适用法律保持一致;
4.包含以下附件:新增当事方加入表、传输描述、详细安全措施、次级数据处理者名单、补充法律文件(如隐私声明)。
《实施指南》特别强调,采用标准合同条款并不免除数据出口方在本国数据保护法下的常规义务。企业作为数据控制者或处理者,仍需履行法律规定的各项一般性责任。
来源:DG
全文链接:
https://www.economia.gob.cl/2025/12/10/raex202503731-aprueba-las-clausulas-contractuales-modelo-para-transferencias-internacionales-que-indica.htm
六、印度两项修正案拟加强儿童数据保护
2025年12月5日,印度议会人民院(下议院)审议了两项旨在修订《2023年数字个人数据保护法》的修正案:第182号法案与第277号法案。两项法案均聚焦于加强对儿童个人数据的保护,提出了包括明确定义“儿童”、要求获得可验证的父母同意、以及强制进行数据保护影响评估等一系列新规。
1.第182号法案的核心修订内容
(1)明确定义“儿童”:法案将“儿童”定义为未满16周岁的个人,但允许中央政府根据情况将此年龄下限调整至不低于13周岁。
(2)确立“儿童最佳利益”原则:要求数据受托者处理儿童数据时,必须基于其认知发展水平,以“符合儿童最佳利益”的方式进行。
(3)赋予政府限制权:中央政府可根据数字产品或服务的性质及相关数据处理风险,在评估儿童认知发展水平的基础上,禁止或限制数据受托者对儿童进行追踪、行为监控或定向广告等特定活动。
(4)创设“父母同意”豁免机制:对于主动开展自我评估并承诺以“儿童最佳利益”原则处理数据的机构,可豁免其逐案获取父母同意的义务。该自我评估框架可由行业协会、儿童权益组织、监管机构或政府部委提交,并经中央政府批准后生效。
2.第277号法案的核心修订内容
(1)强制获取“可验证的父母同意”:要求数据受托者在处理儿童或被监护的残障人士数据前,必须获得可验证的父母或监护人同意。
(2)推行分级年龄验证机制:要求数据受托者根据平台风险和服务类型,采用一系列与之相适应的年龄验证方法,并对父母同意进行有效认证。
(3)数据最小化:仅收集为儿童提供服务所必需的数据。
(4)限制存储期限:除非法律另有规定,儿童数据的保存时间不得超过处理目的所需期限。
(5)服务终止即删除:在服务终止或同意撤回时,必须删除儿童数据。
(6)强制实施数据保护影响评估:处理大量儿童数据的机构必须每年开展数据保护影响评估(DPIA),识别对儿童隐私与安全的潜在风险,并将评估报告及已采取的缓释措施提交至印度数据保护委员会。
(7)明确数据删除权利行使规则:儿童数据的删除请求可由其父母提出,或由儿童在年满18岁后自行提出。若父母与子女就此发生争议,最终决定权归属于数据保护委员会。
来源:DG
全文链接:
第182号法案
https://portal.live.dataguidance.otdev.org/sites/default/files/182%20of%202024%20AS125202585924PM.pdf
第277号法案
https://portal.live.dataguidance.otdev.org/sites/default/files/277%20of%202024%20As125202591451PM.pdf
七、土耳其发布《旅游业与酒店业中住宿服务接受者身份证件复印件的存档原则决议》
2025年12月4日,土耳其发布《旅游业与酒店业中住宿服务接受者身份证件复印件的存档原则决议》(以下简称“决议”),决议明确,对接受住宿服务的相关人员,记录包含姓名、姓氏及土耳其共和国身份证号码的身份信息,属于个人数据处理活动。该处理活动符合《个人数据保护法》第5条第2款(a)项“法律明文规定”及(ç)项“数据控制者为履行法定义务所必需”的条件,因此属于合法的数据处理行为。
同时,决议强调,虽然住宿场所可要求入住客人出示身份证件,以便通过核对官方证件确认其个人数据的准确性,但在要求出示身份证件后,进一步复印并存档的做法,会导致处理超出必要限度的数据,且此处理活动缺乏任何法律依据。
另一方面,鉴于旅游业与酒店业通常涉及住宿服务的销售,为开具发票而处理相关人员个人数据的行为受相关法规约束。该处理活动符合第213号《税收程序法》相关条款,并基于《个人数据保护法》第5条第2款(a)项“法律明文规定”的条件,属于合法处理。
综上,决议决定:
1.在旅游业与酒店业提供服务的数据控制者必须停止在住宿场所收集客人土耳其共和国身份证复印件的做法。
2.在决议发布前已收集并存储为接受住宿服务的相关人员身份证复印件的各数据控制者,必须根据《个人数据保护法》第7条规定,销毁此类性质的证件。
来源:土耳其数据保护局
全文链接:
https://www.resmigazete.gov.tr/eskiler/2025/12/20251209-11.pdf
全球数据监管执法动态
一、关于汽车数据处理5项安全要求检测情况的通报(第四批)
2025年12月19日,中国汽车工业协会联合国家计算机网络应急技术处理协调中心、中国信通院、国家工业信息安全发展研究中心发布《关于汽车数据处理5项安全要求检测情况的通报(第四批)》。
重庆长安、上汽集团、北京新能源、广汽埃安、广汽传祺、比亚迪、奇瑞汽车、长安福特、上汽通用五菱等9家企业的43款车型符合车外人脸信息等匿名化处理、座舱数据车内处理、默认不收集座舱数据、处理个人信息显著告知、精度范围适用这5项汽车数据安全合规要求(部分车型不涉及车外人脸信息等匿名化处理要求)。
来源:中汽车工业协会
二、国家计算机病毒应急处理中心检测发现69款违法违规收集使用个人信息的移动应用
2025年12月4日,国家计算机病毒应急处理中心检测,69款移动应用存在违法违规收集使用个人信息情况,主要违规行为如下:
1.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;隐私政策难以访问;个人信息处理者在处理个人信息前,未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。
2.隐私政策未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。
3.个人信息处理者向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。
4.未在征得用户同意后才开始收集个人信息或打开可收集个人信息的权限。
5.未提供有效的更正、删除个人信息及注销用户账号功能;为更正、删除个人信息或注销用户账号设置不必要或不合理条件;虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内完成核查和处理。
6.投诉、举报未在承诺时限内受理并处理;个人信息处理者未建立便捷的个人行使权利的申请受理和处理机制。
7.未向用户提供撤回同意收集个人信息的途径、方式;个人信息处理者未提供便捷的撤回同意的方式。
8.通过自动化决策方式向个人进行信息推送、商业营销,未同时提供不针对其个人特征的选项,或者未向个人提供便捷的拒绝方式。
9.个人信息处理者处理敏感个人信息的,未向个人告知处理敏感个人信息的必要性以及对个人权益的影响。
10.未采取相应的加密、去标识化等安全技术措施。
11.无隐私政策。
来源:国家计算机病毒应急处理中心
三、抚顺网警依法查处数据安全防护缺失高风险单位
近期,辽宁抚顺公安网安部门在配合外省办理一起非法控制计算机信息系统案中,发现我市某单位管理平台被非法侵入并上传跳转链接文件。在开展“一案双查”执法检查中发现,该单位对网络和数据安全重视程度、安全意识和防护能力的严重不足,在开展数据处理活动中,内部未建立全流程数据安全管理制度,未组织开展数据安全教育培训,缺少必要的技术防范措施。单位内部在日常处理和存储大量公民个人数据中,极易发生数据泄露等安全事件。
针对该单位不履行数据安全保护义务的违法行为,辽宁抚顺公安机关依据《中华人民共和国数据安全法》,依法追究了该单位的法律责任并责令其限期改正。同时,指导该单位建立健全相关安全管理制度,修复平台安全漏洞,开展网络和数据安全专项培训,提升员工安全防范意识,加强内部网络和数据安全防护。
来源:抚顺网警
四、克罗地亚:银行因违规收集用户数据被AZOP处罚150万欧元
某银行因违反《通用数据保护条例》(GDPR)多项条款,被克罗地亚数据保护监管机构(AZOP)处以总额150万欧元的行政罚款。主要违规事实如下:
1.无合法依据处理个人数据:经查,该银行通过手机银行应用程序内置程序,在无合法依据的情况下,扫描移动设备内容,并将所有已安装应用程序列表上传并存储至其集中式数据库,处理了433,922名用户(客户)的个人数据,违反了GDPR第6条第1款及第5条第1款a项。
2.引用法律依据不当:在监管过程中,银行辩称其收集应用程序列表的法律依据不当。
3.未履行信息透明义务:在签订手机银行服务协议时,银行未向用户透明披露其个人数据的处理方式,违反了GDPR第12条、第13条及第5条第1款a项。
4.未落实数据最小化原则:银行在选择或设计程序方案时,未采取适当技术与组织措施以确保仅处理实现目的所必需的个人数据,违反了GDPR第25条第2款及第5条第1款c项。监管机构指出,银行本可采用侵入性更低的方案(例如仅集中存储“黑名单”应用信息),而非收集设备中全部应用程序列表。
来源:AZOP
五、罗马尼亚:Crowd Entertainment 未回应数据主体根据 GDPR 的请求被罚款76,333列伊
2025年12月10日,Crowd Entertainment 未遵守数据主体根据 GDPR 的请求被国家个人数据处理监督局(ANSPDCP)罚款76,333列伊。
ANSPDCP在收到一名数据主体投诉后,对Crowd Entertainment展开调查。调查中发现,该运营商未能提供证据证明其已以书面形式、在法律规定的期限内,就投诉人要求访问其个人数据的申请作出了完整且恰当的回应。投诉人申请获取的数据包括其在运营商所持平台上注册的游戏账户相关个人数据,以及其自我排除请求的相关信息。该行为违反了GDPR第15条第(1)款、第(3)款以及第12条第(3)款、第(4)款。
除了罚款,监督机构还对该运营商下达了以下纠正指令:履行针对数据主体访问请求权的义务、采取技术及组织措施(包括人员培训、数据保护官参与),确保未来能依法(GDPR第12-23条)正确处理各类数据主体权利请求。
来源:ANSPDCP
六、法国:数据监管机构对美国运通处以150万欧元罚款
2025年12月3日,法国国家信息与自由委员会(CNIL)发布对美国运通集团(AMERICAN EXPRESS)的法国子公司——美国运通卡法国公司(AMERICAN EXPRESS CARTE FRANCE)处以150万欧元罚款的惩处资讯,原因是该公司未能遵守关于跟踪器(即通常所说的Cookies)的相关规定。美国运通集团总部位于美国,是全球第三大支付卡发行机构,在法国,美国运通的产品通过第三方银行及其官网进行分销。
CNIL的专门处罚机构——限制委员会认定,美国运通卡法国公司违反了《数据保护法》第82条关于跟踪器的规定,并据此作出罚款决定。
根据《数据保护法》第82条,CNIL认定该公司存在以下违规操作:
1.未经用户同意放置跟踪器:用户一进入“www.americanexpress.fr/fr/”网站,甚至在与其进行选择交互之前,多个用于广告等目的的跟踪器已被放置在用户设备上。
2.在用户拒绝后仍放置跟踪器:即使用户明确表示拒绝,用于广告目的的跟踪器仍被放置在用户设备上。
3.在用户撤回同意后仍读取跟踪器:当用户先前同意放置和读取跟踪器,随后又撤回同意时,该公司继续读取之前已放置的跟踪器。
来源:CNIL
收集整理:德和衡网络安全与数据合规团队
德和衡网络安全与数据合规团队是一个长期专注于数据合规专项法律服务的团队。团队成员由北京、深圳、上海三地的律师组成。团队自2014年成立以来,核心成员均来自国内领先的网络安全企业360,积累了丰富的行业经验。团队致力于协助企业客户提升数据管理水平,预防及应对数据安全问题,提高数据质量,并充分发挥企业数据资产的最大价值。目前,团队已为房产、能源、智能制造、电子、车联网、大数据、金融、物流、电商等多个行业的领军企业提供全套数据合规法律服务。