本期内容

　　国内数据法规政策动态：

　　一、《互联网信息内容多渠道分发服务管理规定》发布

　　二、《药品试验数据保护实施办法》及配套工作程序发布

　　三、《通信短信息服务管理规定(修订)》，已于5月1日起实施

　　四、《2026年数字经济发展工作要点》及《2026年数字社会发展工作要点》印发

　　五、国家网信办公开征求《消费类网联摄像头网络安全标识实施规则》及相关标准意见

　　六、广东：发布自由贸易试验区数据出境负面清单

　　七、北京：数据出境负面清单从自贸试验区扩至全市

　　境外数据法规政策动态：

　　一、美国：提出《海事网络安全法案》

　　二、法国：发布关于识别云计算角色的指引

　　三、西班牙：发布《数字服务无障碍与网络安全融合指南》

　　四、澳大利亚：更新《澳大利亚隐私原则第3条：收集经请求的个人信息》指南

　　五、卢森堡：完成NIS2指令转化

　　六、加拿大：发布年龄核验最新指引

　　全球数据监管执法动态：

　　一、最高法发布人民法院依法惩治侵犯公民个人信息犯罪及关联犯罪典型案例

　　二、广东省互联网信息办公室关于属地App个人信息收集使用问题的通报(第一批)

　　三、工信部通报31款APP及SDK

　　四、上海市网信办通报App个人信息收集使用问题

　　五、欧盟：Temu被罚2亿欧元

　　六、英国：南斯塔福德郡水务公司因重大网络攻击与数据泄露被罚近百万英镑

　　七、美国：网络教育平台Canvas遭黑客攻击，服务已恢复

　　八、时尚品牌Zara遭数据泄露，约19.74万用户恐面临钓鱼风险

　　九、荷兰：Yango因违规向俄罗斯传输用户数据被处1亿欧元罚款

　　十、美国：通用汽车隐私侵权案达成1275万美元和解

　　国内数据法规政策动态

　　一、《互联网信息内容多渠道分发服务管理规定》发布

　　2026年5月29日，为促进互联网信息内容多渠道分发服务规范健康发展，保障公民、法人和其他组织的合法权益，国家网信办、公安部、文化和旅游部、市场监管总局、广电总局联合公布《互联网信息内容多渠道分发服务管理规定》(以下简称“规定”)。规定将于2026年9月1日起施行。

　　规定明确，互联网信息内容多渠道分发服务是指为互联网用户公众账号的信息内容生产发布活动提供的策划、制作、分发、营销、推广、经纪等服务。

　　规定要求，互联网信息内容多渠道分发服务机构应当依法办理经营主体登记，并依法取得相应行政许可;平台应当与互联网信息内容多渠道分发服务机构签订入驻协议，并及时将入驻情况报所在地省级网信部门备案;平台应当以显著方式在签约互联网用户公众账号信息页面展示该账号所属互联网信息内容多渠道分发服务机构名称。

　　规定提出，互联网信息内容多渠道分发服务机构及签约互联网用户公众账号生产运营者，应当依法开展互联网信息内容生产传播活动，不得实施以炮制议题、合成伪造、臆测编造、拼凑剪接等方式混淆视听，或者恶意集纳、翻炒负面信息、旧闻旧事，误导公众;编造背景、情节、人设等开展虚假或者误导性营销等行为，扰乱互联网信息服务秩序或者谋取不正当利益。

　　来源：新华社

　　全文链接：

　　https://mp.weixin.qq.com/s/pjsa5nSrsUqZSkrJcJIyfg

　　二、《药品试验数据保护实施办法》及配套工作程序发布

　　2026年5月15日，国家药监局正式发布《药品试验数据保护实施办法》(以下简称《实施办法》)，同日，药审中心配套发布《药品试验数据保护工作程序》(以下简称《工作程序》)。《实施办法》是制度框架，规定数据保护的范围、期限、条件等实体规则;《工作程序》是操作指南，规范申请、审评、依赖同意等具体流程。

　　《实施办法》依据创新程度不同，建立“6—4—3”三级数据保护体系。6年保护期：适用于创新药(1类)及境外已上市境内未上市的原研药品(5.1类)，自境内首次获批之日起计算。4年保护期：适用于改良型新药。特别规定：境外已上市药品若首次在境内申请全球新适应症(境内外均未获批)，给予6年而非4年保护。3年保护期：适用于首家获批的境外已上市境内未上市原研药的仿制药。

　　此外，《实施办法》明确：数据保护期内，未经持有人同意，其他申请人不得依赖受保护数据申请上市;保护期届满前1年内可提交申请，但须待届满后方可批准。对于已受理但未审结、或已进入行政审批但未批准的申请，符合条件的须在15日内补充提出保护申请，逾期视为放弃。

　　《工作程序》共14条，规范数据保护的具体实施流程。一是申请方式：数据保护申请须在提交药品上市申请时同步提出，申请表需明确是否依赖受保护数据，依赖多个品种的须分别标注。二是“依赖”的界定：指其他申请人引用或参考已上市原研药品数据申请改良药或仿制药上市，未重复开展相同试验。三是同意依赖机制：经数据持有人同意依赖的，申请人须提供双方签署的《药品试验数据同意依赖协议》。四是审评处理规则：数据保护期内不受理依赖该数据的申请;届满前1年内提交的申请，药审中心完成审评后中止计时，待保护期届满后批准上市。五是信息公示：获得数据保护的药品信息将在药审中心网站对外公布。

　　来源及全文链接：国家药监局、药审中心

　　《药品试验数据保护实施办法》

　　https://yjj.sh.gov.cn/cmsres/e6/e6d19fc17fe54294a4d0f8517865e215/8c60e92571cf5455da7e8e851141e0df.doc

　　《药品试验数据保护工作程序》

　　https://www.cde.org.cn/main/att/download/9eff8ebce2bfb83655189f2914ab4519

　　三、《通信短信息服务管理规定(修订)》，已于5月1日起实施

　　2026年5月1日，《通信短信息服务管理规定(修订)》启动实施，修订后的规定主要修改完善了进一步规范短信服务行为、加强端口类短信管理、完善商业短信治理机制、加强用户权益保护、细化监督管理措施等五方面内容。

　　不少条款均聚焦解决用户反映突出的问题。例如商业营销短信过多，很多时候用户回复“TD”也没有作用。修订后的规定明确提出，通信短信息服务提供者传输商业性通信短信息的，应当提供便捷和有效的拒绝接收方式并随通信短信息告知通信短信息接收方，不得以任何方式对通信短信息接收方拒绝接收商业性通信短信息设置障碍。同时，修订后的规定还要求基础电信业务经营者、移动通信转售业务经营者应当向有拒绝接收商业性通信短信息意愿的用户提供通信短信息防侵扰服务。

　　针对收费不透明等问题，修订后的规定则明确通信短信息服务提供者应做好服务告知，保证计费符合相关法律法规和电信标准，并事先明确告知用户服务内容、资费标准和收费方式等信息。

　　在传输管理方面，修订后的规定要求，通信短信息服务提供者传输端口类通信短信息应同时传输短信发送方真实身份等信息，准确记录留存短信发送和接收时间、发送端和接收端码号等信息不少于6个月，并能够实现有效追溯。也就是说，以后用户收到垃圾短信，可以追溯查到发送者是谁，投诉举报的依据更充分。

　　来源：人民日报

　　全文链接：

　　https://www.miit.gov.cn/gyhxxhb/jgsj/cyzcyfgs/bmgz/xxtxl/art/2026/art_f729621047ec4c30bcdd5cd4101f9568.html

　　四、《2026年数字经济发展工作要点》及《2026年数字社会发展工作要点》印发

　　2026年5月19日，国家数据局发布《2026年数字经济发展工作要点》及《2026年数字社会发展工作要点》，主要内容如下：

　　《2026年数字经济发展工作要点》对2026年推进数字经济高质量发展重点工作作出部署，提出8个方面重点任务。一是深化数据要素市场化配置改革。二是筑牢数字基础设施底座。三是强化数据赋能人工智能发展。四是提升数字经济核心竞争力。五是促进实体经济和数字经济深度融合。六是提升数字化治理与服务能力。七是深化数字经济国际合作。八是营造良好发展环境。

　　《2026年数字社会发展工作要点》聚焦促进普惠均等数字公共服务、普及智能个性数字美好生活、推进精准高效数字社会治理、健全数字社会制度保障体系等4个方面，部署23项工作任务。

　　来源及全文链接：国家数据局

　　《2026年数字经济发展工作要点》

　　https://mp.weixin.qq.com/s/aKMfuMnRBjje6Pxgvm6geg

　　《2026年数字社会发展工作要点》

　　https://mp.weixin.qq.com/s/dEwPtxfIegP_yRTM8dfZoQ

　　五、国家网信办公开征求《消费类网联摄像头网络安全标识实施规则》及相关标准意见

　　2026年5月8日，国家互联网信息办公室就其起草的《消费类网联摄像头网络安全标识实施规则》(以下简称“规则”)及相关标准向社会公开征求意见。

　　规则明确，消费类网联摄像头的网络安全标识对应三个能力等级，由低到高分别为基础级(一星)、增强级(二星)和领先级(三星)。该类摄像头的网络安全能力需依据《网络安全标识消费类网联摄像头安全要求》进行检测，检测范畴涵盖物理与硬件安全、系统与软件安全、网络与通信安全、数据与个人信息安全、安全保障等单项网络安全能力等级。只有当所有单项要求均满足同一等级时，产品方可获得相应的网络安全能力等级。

　　来源：央广网

　　全文链接：国家互联网信息办公室

　　https://www.cac.gov.cn/2026-05/08/c_1779979781508645.htm

　　六、广东：发布自由贸易试验区数据出境负面清单

　　2026年5月15日，广东省互联网信息办公室、广东省商务厅、广东省政务服务和数据管理局联合发布《中国(广东)自由贸易试验区数据出境管理清单(负面清单)(2025版)》(以下简称《负面清单》)和《中国(广东)自由贸易试验区数据出境负面清单管理办法(试行)》(以下简称《管理办法》)。

　　《负面清单》适用于在广东自贸试验区和河套深圳园区内登记注册、开展数据跨境流动等相关活动的数据处理者，包括企业、事业单位、机构、团体、其他组织或个人。《负面清单》聚焦智能装备制造业和个人征信服务业：

　　1.智能装备制造业负面清单明确了研发制造、供应商管理、人员招聘等3个场景的重要数据和个人信息;

　　2.个人征信服务业负面清单明确了信用状况查询、贷款/贷记卡申请审核、担保审核、贷后风险管理等4个场景的重要数据和个人信息，共67个数据项。

　　《管理办法》包含总则、职责及分工、负面清单制定及管理、负面清单实施、监督管理、附则共六章二十六条，明确数据出境负面清单的适用范围、职责分工、制定流程、使用管理、安全监管等内容，是制定和使用负面清单以及开展日常监管的基本规范。《管理办法》创新推行“先用后报”模式，允许数据处理者自行研判适用负面清单、事后向所属区域管理机构报告数据出境情况。同时建立政企常态化对接服务机制，吸纳企业意见持续优化跨境数据服务;并落实“一地制定、多地适用”原则，其他自贸试验区已发布的负面清单，广东自贸试验区及河套深圳园区可参照适用，进一步提升制度复用性与区域协同治理效能。

　　来源：网信广东

　　全文链接：

　　《中国(广东)自由贸易试验区数据出境负面清单管理办法(试行)》

　　https://cagd.gov.cn/data/uploads//ueditor/php/upload/file/2026/05/1778837155398528.pdf

　　《中国(广东)自由贸易试验区数据出境管理清单(负面清单)(2025版)》

　　https://cagd.gov.cn/data/uploads//ueditor/php/upload/file/2026/05/1778837193343794.pdf

　　七、北京：数据出境负面清单从自贸试验区扩至全市

　　2026年5月8日，北京市互联网信息办公室、市商务局、北京市政务和数据局联合印发了《中国(北京)自由贸易试验区、国家服务业扩大开放综合示范区数据出境负面清单管理办法(试行)》、《中国(北京)自由贸易试验区、国家服务业扩大开放综合示范区数据出境管理清单(负面清单)(2025版)》《中国(北京)自由贸易试验区、国家服务业扩大开放综合示范区数据出境管理清单(负面清单)申报指南(2026版)》

　　此次发布的“两区”负面清单政策按照“1+9”的制度设计，即1套“两区”管理办法和9个领域负面清单，一次性构建适用于全市域的数据出境负面清单管理体系。在适用区域上，“两区”负面清单的适用范围将由自贸试验区扩展至国家服务业扩大开放综合示范区(即北京全市域)，从而实现面的扩展，让优势政策惠及全市所有企业。在覆盖领域上，“两区”负面清单共涵盖9个行业领域、67个业务场景和612个字段，主要包括两类：一是首批自贸区负面清单直接转为“两区”清单，主要包括汽车、医药、民航、零售、人工智能等5个领域。二是新编制的“两区”负面清单，着眼北京市生物医药、高级别自动驾驶、双机场国际物流枢纽、国际金融服务等重点产业发展方向，新编制了医疗器械、自动驾驶(智能网联汽车)、贸易物流、银行业等4个领域负面清单。同时，按照国家“一地创新、多地适用”原则，建立外省市负面清单应用机制，对于北京市企业后续确有使用需求的外省市负面清单，履行评估备案程序后动态纳入北京市负面清单体系。后续将按照动态管理机制，持续丰富拓展清单覆盖领域，成熟一批发布一批。

　　针对政策升级拓展后使用主体增多、管理链条延伸的实际，为健全完善负面清单管理体系，并迭代优化政务服务措施，将自贸区负面清单管理办法修订为“两区”管理办法。新版管理办法主要对以下三个方面进行制度优化：

　　一是管理体系再完善。健全市区两级管理体系，即市网信办、市商务局、市政务和数据局等市级部门牵头，17个区(含经开区)具体组织实施，各区建立跨部门协调机制，明确牵头部门和职责分工。

　　二是申报审批再简化。综合评估前期自贸区负面清单政策实施情况和企业反馈，进一步压减企业申报流程和材料，按照最小必要原则仅保留“一表”“一书”(即《使用申请表》和《企业承诺书》)，其他申报材料全部取消。

　　三是安全监管再优化。将风险防控从“普检普查”向“精准高效”转变，坚持分类施策，构建跨领域风险研判和联管联控机制，完善“信用+风险”分级分类精准监管体系，对合规意识与合规能力强的高评级企业实施轻量化监管，对高风险的业务场景加强风险识别管控，持续提升监管精准度和有效性。

　　来源：北京市互联网信息办公室

　　全文链接：

　　《中国(北京)自由贸易试验区、国家服务业扩大开放综合示范区数据出境负面清单管理办法(试行)》

　　https://www.beijing.gov.cn/zhengce/zhengcefagui/202605/W020260511577510459458.pdf

　　《中国(北京)自由贸易试验区、国家服务业扩大开放综合示范区数据出境管理清单(负面清单)(2025版)》

　　https://www.beijing.gov.cn/zhengce/zhengcefagui/202605/W020260511577510776399.pdf

　　《中国(北京)自由贸易试验区、国家服务业扩大开放综合示范区数据出境管理清单(负面清单)申报指南(2026版)》

　　https://www.beijing.gov.cn/zhengce/zhengcefagui/202605/W020260511577510910071.docx

　　境外数据法规政策动态

　　一、美国：提出《海事网络安全法案》

　　2026年5月19日，联邦参议员里克・斯科特与新泽西州民主党参议员安迪・金联合提出《海事网络安全法案》。该法案要求美国国土安全部监管海事设施所使用软硬件存在的网络安全风险，并采取举措防范网络攻击。

　　此项法案旨在弥补网络安全漏洞、保障海运与港口运营安全，重点应对境外敌对势力带来的威胁。法案强制要求相关机构每年开展安全漏洞评估，全面排查各类安全隐患。

　　根据法案规定，海事设施运营方需每年提交报告，列明场内软硬件使用情况，并出具系统安全合规证明。若无法完成合规认证，相关软硬件须获得豁免许可后方可继续使用。法案同时要求国土安全部部长针对排查出的风险落实整改措施，每年向国会提交报告，说明排查结果、处置举措及安全优化建议。

　　来源：Rick Scott

　　全文链接：

　　https://www.rickscott.senate.gov/services/files/36733C05-886B-4D5F-AC51-CB92C109D85B

　　二、法国：发布关于识别云计算角色的指引

　　2026年5月28日，法国数据保护局(CNIL)发布专项指引，为云计算行业厘清《通用数据保护条例》(GDPR)下的责任边界提供实操路径。这份文件直指云服务生态中最棘手的角色认定难题——在基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)等多元模式下，企业往往难以区分自身是数据控制者、共同控制者还是数据处理者。CNIL此次直接援引欧洲数据保护委员会(EDPB)的核心标准，围绕三大业务场景给出判断框架。

　　1.服务供给环节：通常情况下，客户决定数据处理的目的与核心手段(如选定供应商、配置安全策略)，扮演数据控制者角色;云服务商依指令行事，属于数据处理者。但若双方共同参与决策——例如服务商在客户系统中部署追踪器，既用于统计访问量又用于优化自身产品，则可能构成共同控制关系。

　　2.服务优化环节：CNIL划分三种情形：若服务商为自身利益(如跨客户分析使用模式以提升底层架构)独立决定处理目的与方式，其为控制者;若客户提出定制化改进需求并向服务商下达指令，则客户为数据控制者，服务商为数据处理者;若双方为互利目标协作制定处理方案，则构成共同控制。

　　3.安全防护环节：指引特别区分两类安全责任：“云自身安全”指基础设施防护(如机房运维、员工权限管理)，此时服务商通常作为控制者处理运维日志、遥测数据;“云中数据安全”指客户托管数据的保护，客户作为数据控制者主导策略，服务商作为数据处理者协助落实。

　　CNIL最后给出三条实操建议：企业应留存角色认定的完整论证链条以备监管质询;根据实际业务交互动态调整框架适用;合同须明确划分数据安全责任与用户权利响应机制。这份指引并未推翻现有规则，而是将抽象法条转化为可落地的判断清单，为云服务市场的合规协作扫清了关键障碍。

　　来源：DG

　　全文链接：

　　https://www.cnil.fr/fr/quelles-qualifications-pour-les-acteurs-de-linformatique-en-nuage-cloud

　　三、西班牙：发布《数字服务无障碍与网络安全融合指南》

　　2026年5月21日，西班牙国家情报中心下属国家密码中心(CCN)正式推出CCN-STIC465号《数字服务无障碍与网络安全融合指南》(以下简称“指南”)，明确网络无障碍的理论框架、实施方法与实操规范，将网络安全、无障碍设计及包容性开发的最佳实践相结合，力求做到安全防护措施不会形成使用障碍，无障碍功能也不会削弱安全防护等级。

　　其适用范围覆盖遵循国家安全框架(ENS)与CCN-STIC规范的政企网站、应用软件、线上平台及各类电子服务，同时适用于涉及无障碍与认知安全要求的信息系统设计、开发、审计及运维全流程，无障碍、网络安全、界面设计、合规等跨领域团队均可参照使用。

　　指南以无障碍与网络安全协同落地为核心思路，对标WCAG2.2、UNE-EN301549等国际无障碍标准，以及CCN-STIC规范、OWASP安全准则，搭建起两套体系融合的方法论。

　　指南划分十大技术板块：色彩、图像、键盘操作、指针控制、交互事件、时效设置、内容理解与用途说明、错误提示、身份认证、语法语义。每个板块均对应无障碍评判标准、无障碍设计目标、网络安全要求，并梳理二者的结合要点，同时搭配大量实景落地案例，方便从业者直接参考应用。

　　来源：CCN-CERT

　　全文链接：

　　https://www.ccn-cert.cni.es/es/guias-de-acceso-publico-ccn-stic/7451-ccn-stic-465-ciberaccesibilidad/file.html

　　四、澳大利亚：更新《澳大利亚隐私原则第3条：收集经请求的个人信息》指南

　　2026年5月13日，澳大利亚信息专员办公室(OAIC)更新《澳大利亚隐私原则第3条：收集经请求的个人信息》指南。此次更新并非改变法律本质，而是扩展了现有要求的解释，使其更易于实体执行，并反映了近期裁决及其他OAIC指引中的关键立场，包括：

　　1.当代技术案例：将APP 3原则应用于人工智能(AI)、人脸识别技术，以及数据抓取、跟踪像素和数据经纪交易等当前实践的示例。

　　2.可视化指引：新增一张《流程图》，帮助机构和组织厘清APP 3下的收集要求。

　　3.比例原则与数据最小化：阐明APP 3隐含的比例原则要求，即实体必须采取“数据最小化”方法。

　　4. “合理必要”标准细化：扩展了关于仅收集对实体“职能或活动”“合理必要”的信息的指引。

　　5.“公平手段”澄清：扩展了关于APP 3.5项下“公平手段”要求的指引。

　　6.敏感信息例外情形：扩展了在无需征得同意的情况下收集敏感信息的若干例外情形的指引。

　　7.第三方责任界定：澄清了实体委托第三方收集个人信息时的责任归属。

　　来源：澳大利亚信息专员办公室(OAIC)

　　全文连接：

　　《澳大利亚隐私原则第3条：收集经请求的个人信息》

　　https://www.oaic.gov.au/__data/assets/pdf_file/0028/263845/Chapter-3-APP-3-Collection-of-solicited-personal-information.pdf

　　《流程图》

　　https://www.oaic.gov.au/__data/assets/pdf_file/0023/263408/APP3-Are-you-collecting-solicited-information-flowchart.pdf

　　五、卢森堡：完成NIS2指令转化

　　2026年5月6日，卢森堡政府正式公布将欧盟《NIS2 网络安全指令》转化为本国国内法律，法案于2026年5月10日正式生效，为卢森堡境内重点关键企业、重要经营性主体划定了明确的网络安全合规准则。

　　对企业合规工作而言，本次立法最大亮点是不额外加码、不增设本土壁垒，完全贴合欧盟统一规则，为跨国企业降低了合规适配成本。

　　卢森堡此次立法没有采取欧盟指令落地常见的“镀金加码”做法，没有增设更严苛条款、扩大适用范围或提高罚款额度。法律完全沿用欧盟NIS2指令附件一、附件二划定的关键主体、重要主体行业分类，没有新增本土特殊行业;处罚标准也与欧盟上限保持一致：关键主体最高罚款1000万欧元或全球营业额的2%，重要主体最高700万欧元或全球营业额的1.4%，风险管理、安全事件上报等核心义务也完全遵循欧盟统一要求。

　　法案生效后企业需按期完成合规动作：须在法律生效两个月内(2026年7月10日前)向ILR完成自主登记备案;后续需从公司治理层面完善网络安全架构，建立全流程网络风险管控机制，强化供应链安全，并落实重大网络安全事件快速上报义务。

　　来源：Derisk Advisory

　　全文链接：

　　https://legilux.public.lu/eli/etat/leg/loi/2026/05/05/a225/jo

　　六、加拿大：发布年龄核验最新指引

　　2026年5月4日，加拿大隐私专员办公室(OPC)发布年龄核验最新指引，着重警示相关隐私风险，并建议网站及开发者采用风险导向的实施思路。整套指引共包含三份文件：阐明官方立场与核心隐私风险的《年龄管控政策说明》、面向网站及在线服务平台的《面向网站与在线服务提供商的指引》，以及针对年龄核验系统开发者的《面向年龄筛查系统开发商的指引》。

　　《年龄管控政策说明》明确，年龄核验虽能减少网络环境对未成年人的侵害，但实施过程不得过度侵犯用户隐私。各类年龄核验、年龄预估、信息推断方式本身并无绝对优劣，隐私防护效果完全取决于产品设计与数据处理行为。文件同时梳理出四大核心隐私风险：敏感数据易引发信息泄露;设计缺陷会造成用户行为监控与用户画像构建;数据收集范围超出合理需求;相关机制还可能形成使用壁垒，损害公平访问权益。

　　针对网站与在线服务运营方，《面向网站与在线服务提供商的指引》建议遵循风险管控原则：先判断是否确有必要启用年龄管控，包括是否存在法定要求、是否会对未成年人造成网络侵害;再结合数据敏感度、收集体量选择适配方式，并尽量缩小管控范围。执行阶段需严守隐私底线，核验结果仅用于身份判定，条件允许时设置申诉渠道，同时减少重复核验操作。指引特别强调，年龄管控不得作为全网通用准入门槛，仅可在存在合理风险、且方式得当的前提下使用。

　　对于系统开发方与服务商，《面向年龄筛查系统开发商的指引》提出硬性要求：严控数据收集与留存，仅输出年龄区间或简单判定结果;严禁数据二次利用与对外披露，及时清理核验过程产生的临时数据;杜绝用户行为追踪，尽力实现双重匿名，并通过测试优化系统，规避算法偏见与歧视问题。

　　来源：DG

　　全文链接：

　　《年龄管控政策说明》

　　https://www.priv.gc.ca/en/privacy-topics/age-assurance/aa-policy-note/

　　《年龄管控合规指南》

　　https://www.priv.gc.ca/en/privacy-topics/age-assurance/aa-gd-web/

　　《隐私防护设计规范》

　　https://www.priv.gc.ca/en/privacy-topics/age-assurance/aa-gd-developers/

　　全球数据监管执法动态

　　一、最高法发布人民法院依法惩治侵犯公民个人信息犯罪及关联犯罪典型案例

　　2026年5月8日，最高人民法院8日发布五件侵犯公民个人信息犯罪及关联犯罪典型案例，聚焦犯罪新特点、新趋势，多措并举筑牢个人信息安全法治防线。

　　此次最高人民法院发布的典型案例，围绕以下四大重点方向发力：

　　一是重拳出击，斩断个人信息泄露源头。人民法院聚焦源头打击，加强对提供服务过程中非法获取个人信息、利用技术手段窃取个人信息，特别是行业“内鬼”泄露个人信息等违法犯罪行为的惩处力度，切实守护公民个人信息安全。此次发布的博某软件有限公司、何某某等侵犯公民个人信息案，被告单位在为医院提供开发、维护网上挂号系统的服务过程中，非法获取挂号用户个人信息。陈某某等侵犯公民个人信息案中，陈某某利用担任铁路车站客运员的职务便利，非法查询他人搭乘高铁的信息并贩卖。人民法院依法对被告单位和被告人判处刑罚，强化法律威慑与预防，从源头阻断黑灰产业链的发展形成。

　　二是亮剑护权，筑牢政企数据安全防线。数据安全是护航数字经济健康发展的“防火墙”。近年来，政企数据泄露案件频发，政企内部数据信息及其在提供互联网服务过程中收集的个人敏感数据遭窃取贩卖，严重侵害公民个人权益、企业商业利益和社会公共利益。此次发布的黄某某等侵犯公民个人信息案，黄某某等人通过技术手段非法登录学籍学历查询的官方平台，获取公民学籍学历信息后贩卖给他人。人民法院加强对数据犯罪打击力度，彰显了维护政企平台信息数据安全的态度和决心。

　　三是精准发力，严厉打击网络“开盒”违法犯罪。网络“开盒”作为新型网络暴力违法犯罪，非法获取公民个人信息并在网络上公开，被“开盒”的人往往会遭遇网民的侮辱谩骂、造谣诋毁，有的甚至会延伸到现实生活中，严重侵害人民群众合法权益，破坏网络生态，践踏公序良俗，危害社会公共利益。此次发布的林某某、王某某侵犯公民个人信息、非法利用信息网络案，二被告人非法获取数量巨大的公民个人信息，搭建“社工库”网站，非法出售牟利，还设立通讯群组通过“开盒”方式，发布侵犯隐私、谩骂侮辱等违法犯罪信息，依法构成侵犯公民个人信息罪和非法利用信息网络罪。人民法院始终坚持从严惩处网络“开盒”相关犯罪，切实筑牢清朗网络空间法治防线。

　　四是全链打击，严惩个人信息关联犯罪。被非法获取的公民个人信息，常常被用于电信网络诈骗、敲诈勒索等关联犯罪，或者为关联犯罪提供便利。强化打击利用个人信息实施的下游关联犯罪，让窃取、交易个人信息的上游犯罪无利可图，有利于从根本上遏制黑灰产业链条的蔓延。此次发布的梁某某、王某某诈骗、侵犯公民个人信息案，梁某某、王某某侵入计算机信息系统非法获取公民个人的HPV疫苗预约信息，又针对疫苗预约者实施精准诈骗。人民法院依法对二被告人实行数罪并罚，凸显了全力守护人民群众人身、财产安全和个人信息安全的坚定立场。

　　具体典型案例见链接。

　　来源：最高人民法院

　　https://mp.weixin.qq.com/s/X66v8IKtTcYKa2lod7N2yA

　　二、广东省互联网信息办公室关于属地App个人信息收集使用问题的通报(第一批)

　　2026年5月29日，广东省互联网信息办公室组织对属地App(含小程序)收集使用个人信息行为进行检测，对以下有关问题予以通报：

　　1.未在隐私政策等公示文本中清晰明示第三方SDK收集OAID信息的目的、方式和范围，用户同意隐私政策后，存在收集OAID信息的行为。

　　2.未在隐私政策等公示文本中逐一列明APP所集成第三方SDK收集使用个人信息的目的、方式和范围;APP未见向用户明示分享的第三方名称、目的及个人信息类型，用户同意隐私政策后，存在将OAID、AAID和VAID信息发送给第三方SDK的行为。

　　3.未在隐私政策等公示文本中清晰明示第三方SDK收集照片信息的目的、方式和范围，用户同意隐私政策后，存在收集照片信息的行为。

　　4.未在隐私政策等公示文本中清晰明示第三方SDK收集传感器信息的目的、方式和范围，用户同意隐私政策后，存在收集传感器信息的行为。

　　5.未在隐私政策等公示文本中清晰明示第三方SDK收集Android id 信息的目的、方式和范围，用户同意隐私政策后，存在收集Android id 信息的行为。

　　6.在申请存储权限时，未同步告知用户其目的。

　　7.在申请相机和存储权限时，未同步告知用户其目的。

　　8.在申请相机权限时，未同步告知用户其目的。

　　9.在申请位置权限时，未同步告知用户其目的。

　　10.在申请录音权限时，未同步告知用户其目的。

　　11.小程序涉及处理不满十四周岁未成年人个人信息时，未制定专门的个人信息处理规则。

　　12.首次进入小程序时，未提示用户阅读并同意隐私政策，且小程序收集手机号码信息未提供隐私政策文本。

　　13.首次进入小程序时，未提示用户阅读并同意隐私政策，且小程序收集手机号码信息未提供隐私政策文本、未明示收集用户手机号码信息的目的、方式、范围。

　　14.小程序首次运行未经用户阅读并同意隐私政策，申请获取位置权限。

　　15.隐私政策中没有列出获取手机号信息的目的、方式、范围。

　　16.隐私政策中没有列出获取相机权限的目的、方式、范围。

　　来源：网信广东

　　三、工信部通报31款APP及SDK

　　2026年5月21日，工业和信息化部信息通信管理局通报31款APP及SDK，主要涉及以下问题：

　　1.违规收集个人信息

　　2.强制用户使用定向推送功能

　　3.APP强制、频繁、过度获取权限

　　4.信息窗口点击乱跳转

　　5.APP频繁自启动和关联启动

　　6.超范围收集个人信息

　　7.SDK信息公示不到位

　　8.违规提供自动续费服务

　　9.违规使用个人信息

　　10.信息窗口滑动乱跳转

　　11.强制、频繁、过度索取权限

　　来源：工信微报

　　四、上海市网信办通报App个人信息收集使用问题

　　2026年5月25日，上海市网信办组织对属地App、小程序等服务产品收集使用个人信息行为进行检测，通报了以下问题：

　　1.告知收集使用个人信息的目的、方式、范围与实际收集使用情况不一致;

　　2.强制用户同意收集非必要个人信息，或未经用户同意收集使用个人信息;

　　3.在无关场景收集位置、通讯录、短信等个人信息;

　　4.注销后未及时删除个人信息;

　　5.隐私政策难以阅读;

　　6.未提供个性化推送退出功能;

　　7.收集敏感个人信息未同步告知目的及必要性。

　　来源：网信上海

　　五、欧盟：Temu 被罚2亿欧元

　　2026年5月28日，欧盟委员会近日宣布，依据《数字服务法》(DSA)，向跨境电商平台 Temu 开出2亿欧元罚单。

　　此次处罚的核心原因是，Temu未能认真排查、分析平台内违规商品带来的系统性风险，也没有评估这类商品会对欧盟消费者造成哪些损害。欧盟掌握的证据显示，欧盟消费者在该平台买到违规商品的概率极高。

　　经查，Temu 在2024年提交的风险评估报告，完全达不到《数字服务法》的合规要求，主要问题集中在三方面：

　　第一，这份报告只是套用了整个电商行业的通用风险资料，并没有结合平台自身的实际情况，也未参考公开报告、产品抽检等真实数据。

　　第二，报告严重低估了欧盟消费者接触到违规商品的概率。欧盟专门开展了模拟采购抽检，结果不容乐观：抽检的多款充电器基本安全检测均未达标;多款婴幼儿玩具也存在中、高等级安全隐患，部分产品化学物质含量超标，还有一些玩具配件易脱落，存在儿童窒息风险。

　　第三，平台也没有合理评估自身运营模式带来的问题，包括推荐算法、网红带货推广等机制，会进一步加剧违规商品的传播扩散风险。

　　来源：欧盟委员会

　　六、英国：南斯塔福德郡水务公司因重大网络攻击与数据泄露被罚近百万英镑

　　2026年5月11日，英国信息专员办公室(ICO)对南斯塔福德郡水务公司(South Staffordshire Water Plc)处以963,900英镑的罚款。此前，该公司因网络安全防护严重失职，导致一起恶性勒索软件攻击，致使超过63.3万名客户、员工及承包商的个人信息被窃取并公开在暗网上。

　　这起始于2020年9月的攻击，暴露了该公司在数据安全管控上的重大疏漏。黑客早在2020年便通过钓鱼邮件攻入内网，却在其系统中潜伏了近两年未被发现，直至2022年7月造成大规模数据泄露。

　　1.波及范围与泄露内容

　　事发时，南斯塔福德郡水务公司掌握着约185万客户(75万现役及110万前客户)以及5000余名员工的个人信息。此次泄露涉及633,887人，具体包括：

　　(1)客户信息：全名、住址、邮箱、生日、性别、电话、水司在线账户密码、银行账户信息。

　　(2)员工信息：全名、国民保险号(NI Number)等HR敏感数据。

　　(3)特殊群体：部分登记在“优先服务名录”中的弱势客户(如残障人士)的健康推断信息也被泄露。

　　2.监管定性：不可推卸的失职

　　ICO调查发现，该公司的安全防护存在多处“低级失误”，完全违背了英国数据保护法的基本要求：

　　(1)权限失控：未能限制攻击者在内网的横向移动，导致其轻易获取最高权限。

　　(2)监控盲区：仅有5%的IT环境受到监控，导致恶意活动长期逍遥法外。

　　(3)系统老旧：仍在使用已停止支持的过时系统(如Windows Server 2003)。

　　(4)补丁缺失：未进行适当的漏洞管理，也未定期进行内外网安全扫描。

　　3.处理结果

　　鉴于南斯塔福德郡水务公司在调查中承认违规事实并积极配合，ICO对其原本拟议的罚款给予了40%的减免(原罚金更高)，最终定为963,900英镑，且公司承诺放弃上诉。

　　来源：英国信息专员办公室(ICO)

　　七、美国：网络教育平台Canvas遭黑客攻击，服务已恢复

　　2026年5月7日，美国各地广泛使用的网络教育平台Canvas在遭遇网络攻击后服务一度中断，8日“已完全恢复在线并可正常使用”。

　　这一平台由美国Instructure公司开发。公司8日在声明中表示，发现有未经授权人员篡改了该平台页面。“谨慎起见，我们立即将平台下线，以限制访问并开展进一步调查。”公司表示，已于7日晚恢复了对大多数用户的服务，并已聘请专家团队，将全力以赴把此次事件所造成的影响降至最低。

　　“勒索软件实时追踪平台”最新披露的一封勒索信显示，一个名为“闪亮猎人”的黑客组织声称制造了此次网络攻击事件。该组织称，已获取来自全球近9000所学校、涉及超过2.75亿人的数据。

　　来源：新华网

　　八、时尚品牌Zara 遭数据泄露，约19.74万用户恐面临钓鱼风险

　　2026年5月8日，西班牙快时尚品牌Zara的数据泄露事件，已确认影响197400名用户，泄露内容主要包括邮箱地址、地理位置、购买记录、产品SKU、订单ID，以及客服工单对应的市场信息。

　　这些数据泄露后，可能无法直接威胁用户账户，但是黑客拼接邮箱和消费轨迹等信息，可以构建针对消费者的完整画像，从而铺垫后续的钓鱼或者其它类型攻击。比如攻击者可以伪装成客服，引用真实订单信息联系用户，从而提高诈骗成功率。

　　对Zara 事件而言，现阶段更现实的风险不在支付盗刷，而在后续钓鱼、勒索和品牌冒充。用户若收到与订单、退货、客服工单相关的邮件或来电，需要格外警惕，不要点开陌生链接，也不要重复提交账户信息。

　　Zara在全球拥有超过150 家公司直营店和加盟店，是Inditex集团的旗舰品牌。Inditex集团是全球最大的时尚分销集团之一，旗下还拥有Bershka、Zara Home、Oysho、Pull&Bear、Massimo Dutti、Stradivarius 和 Uterqüe等品牌。

　　Inditex强调受影响数据库并不在现有核心系统中，攻击者没有拿到受影响用户的姓名、电话号码、住址、登录凭证和支付信息(包括银行卡数据)。为了控制风险，Inditex已启动安全协议，并向相关监管机构通报。

　　勒索组织ShinyHunters已认领此次攻击，并称他们从BigQuery实例中窃取了140GB文档，所用入口是被盗的Anodot身份验证tokens。

　　来源：IT之家

　　九、荷兰：Yango因违规向俄罗斯传输用户数据被处1亿欧元罚款

　　2026年5月8日，MLU B.V.(运营打车应用Yango的主体)因在未采取欧盟法律要求的充分保护措施的情况下，将芬兰和挪威用户的个人数据传输至俄罗斯，被处以1亿欧元的巨额罚款。同时，监管机构明确禁止Yango继续向俄罗斯传输任何用户数据。

　　此项决定由荷兰数据保护局(AP)主导，联合芬兰数据保护监察员办公室(Tietosuojavaltuutettu)及挪威数据保护局(Datatilsynet)共同作出。这也是欧洲数据保护机构首次针对向俄罗斯传输数据的合法性问题做出的裁决。

　　调查证实，MLU B.V.在向俄罗斯传输数据时，未能实施《欧盟通用数据保护条例》(GDPR)要求的充分保障措施。监管机构认为，该公司无法有效证明其阻止了俄罗斯情报及执法机构访问这些数据的企图。鉴于俄罗斯法律赋予当局广泛的监听和数据调取权，其数据保护水平远未达到欧盟标准。

　　来源：荷兰数据保护局(AP)

　　十、美国：通用汽车隐私侵权案达成1275万美元和解

　　2026年5月8日，加州总检察长罗伯·邦塔宣布，已联合多县市地方检察官及加州隐私保护局(CalPrivacy)，就通用汽车(GM)非法出售用户驾驶数据一案达成1275万美元和解。这是加州《消费者隐私法案》(CCPA)生效以来金额最高的罚单。

　　调查显示，2020年至2024年间，通用汽车通过其“安吉星(OnStar)”系统，在车主不知情且未同意的情况下，将数十万加州居民的精确地理位置、驾驶行为等敏感数据，非法出售给威瑞斯克(Verisk)和律商联讯(LexisNexis)两家数据经纪商，获利颇丰。尽管由于加州保险法限制，本地车主未遭遇保费上涨，但通用汽车严重违反了法律规定。

　　1.严重违规操作如下：

　　(1)隐瞒不报：从未告知消费者会将数据出售给威瑞斯克和律商联讯。

　　(2)虚假陈述：在隐私政策中误导消费者，暗示数据仅用于提供安吉星服务，甚至声称“若出于保险目的披露数据，须经消费者明确授权”。

　　(3)过度留存与滥用：即便法律明文禁止，通用汽车仍在安吉星服务终止后，长期保留加州车主的驾驶和位置数据，并将其出售给意图用于保险定价的第三方，这直接违反了CCPA在2023年新增的“目的限制”和“数据最小化”要求。本案也是加州司法部首次依据“数据最小化”原则采取执法行动。

　　2.和解协议核心条款：待法院批准后，通用汽车必须履行以下义务：

　　(1)支付罚金：缴纳1275万美元民事罚款。

　　(2)禁止出售：在未来五年内，禁止将驾驶数据出售给任何消费者报告机构，包括威瑞斯克和律商联讯等数据经纪商。

　　(3)限期删除：在180天内删除公司保留的所有驾驶数据，除非获得消费者的明确肯定性授权，仅允许极有限的内部用途。

　　(4)要求下游删除：要求威瑞斯克和律商联讯删除相关驾驶数据。

　　(5)建立合规体系：建立并维护强有力的隐私合规计划，评估通过安吉星收集数据的风险，并确保符合CCPA规定。

　　(6)定期汇报：向加州司法部、上述地方检察官及CalPrivacy 报告其隐私评估情况。

　　来源：加州隐私保护局(CalPrivacy)

　　收集整理：德和衡网络安全与数据合规团队

　　德和衡网络安全与数据合规团队是一个长期专注于数据合规专项法律服务的团队。团队成员由北京、深圳、上海三地的律师组成。团队自2014年成立以来，核心成员均来自国内领先的网络安全企业360，积累了丰富的行业经验。团队致力于协助企业客户提升数据管理水平，预防及应对数据安全问题，提高数据质量，并充分发挥企业数据资产的最大价值。目前，团队已为房产、能源、智能制造、电子、车联网、大数据、金融、物流、电商等多个行业的领军企业提供全套数据合规法律服务。