《网络安全法》完成修改

《网络安全法》完成修改 2025年10月28日，第十四届全国人民代表大会常务委员会第十八次会议通过了关于修改《网络 安全法》的决定，决定自2026年1月1日起施行。《网络安全法》修改内容包括但不限于： （1）强调党的领导和国家安全观，增加“网络安全工作坚持中国共产党的领导，贯彻总体国 家安全观，统筹发展和安全，推进网络强国建设。”（2）回应人工智能的发展，增加“国家 支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建 设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发 展。”（3）加重不履行网络安全保护义务的责任，大幅提高对企业和个人的罚款，并增加处 罚的种类。（4）扩大域外适用情形，明确“境外的机构、组织、个人从事危害中华人民共和 国网络安全的活动的，依法追究法律责任；造成严重后果的，国务院公安部门和有关部门并可 以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。”（查看更多）

国家网信办发布《数据出境安全管理政策问答》

2025年10月31日，国家网信办发布了《数据出境安全管理政策问答》，旨在指导和帮助数据处 理者高效合规开展数据出境活动，主要内容包括但不限于：（1）《促进和规范数据跨境流动 规定》明确了“跨境购物、跨境寄递、......、考试服务等”豁免场景，其中“等”字理解为可 以纳入豁免情形的，不限于以上所列情形。酒店企业在境内个人预定境内酒店时出境个人信息不符合“为订立、履行个人作为一方当事人的合同，确需向境外提供个人信息”，故不适用豁 免。（2）向境外提供员工的身份证、护照和银行账户是否适用于豁免规定“按照依法制定的劳 动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的” 范畴，需要考虑是否符合必要、目的明确、最小化处理等原则，是否与实施人力资源管理目直 接相关，是否采取对个人权益影响最小的方式。（3）数据处理者被告知掌握重要数据或者掌握 的数据被公开发布为重要数据后，如需继续开展相关数据出境活动的，应当在被告知或者公开 发布后2个月内，通过所在地省级网信部门向国家网信部门申报数据出境安全评估。（查看更多）

全国网安标委发布《数据安全技术 数据安全保护要求（征求意见稿）》

2025年10月31日，全国网安标委发布了《数据安全技术 数据安全保护要求（征求意见稿）》 （以下简称《要求》），向社会公开征求意见，意见反馈截止时间为2025年12月30日。《要 求》适用于指导各行业领域、各地区、各部门和数据处理者开展数据分类分级保护工作，也可 为主管（监管）部门、第三方评估机构等组织对数据安全进行监督、管理和评估提供参考。 《要求》提出了数据安全保护原则、目标和框架，规定了数据安全保护的通用要求，及重要数 据、核心数据安全保护的专门要求。（查看更多）

国家计算机病毒应急处理中心检测发现70款违法违规收集使用个人信息的App

2025年10月30日，国家计算机病毒应急处理中心检测发现了70款违法违规收集使用个人信息的 App，所涉问题包括但不限于：（1）在App首次运行时未通过弹窗等明显方式提示用户阅读隐 私政策等收集使用规则；隐私政策难以访问；个人信息处理者在处理个人信息前，未以显著方 式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方 式、个人信息的保存期限等。（2）隐私政策未逐一列出App（包括委托的第三方或嵌入的第三 方代码、插件）收集使用个人信息的目的、方式、范围等。（3）未向用户提供撤回同意收集个 人信息的途径、方式；个人信息处理者未提供便捷的撤回同意的方式。（4）未采取相应的加 密、去标识化等安全技术措施。（查看更多）

工信部通报42款App及SDK存在侵害用户权益的行为

2025年10月28日，经组织第三方检测机构进行抽查，工信部通报了42款App及SDK存在侵害用户权益的行为，所涉问题包括：（1）隐私政策默认同意；（2）违规收集个人信息；（3）超 范围收集个人信息；（4）违规使用个人信息；（5）App强制、频繁、过度索取权限；（6） 强制用户使用定向推送功能；（7）信息窗口点击乱跳转；（8）信息窗口无法关闭；（9）信 息窗口关闭按钮未显著展示；（10）App频繁自启动和关联启动；（11）应用分发信息未明 示；（12）SDK信息公示不到位。（查看更多）

欧盟：《研究人员数据访问授权法案》正式生效

2025年10月29日，依据《数字服务法》（DSA）第40条通过的《研究人员数据访问授权法 案》（以下简称《法案》）正式生效。《法案》明确了超大型在线平台（VLOP）和超大型在 线搜索引擎（VLOSE）向出于公共利益开展工作的授权研究人员开放数据应遵循的原则。 《法案》具体规定了以下内容：（1）数据获取门户的运营规则，该门户将成为处理数据请求 的核心节点。（2）平台及数字服务协调员需履行的信息提供与联络义务。（3）提交有理有 据的数据获取请求的要求，包括请求的内容、形式及必须满足的标准。（4）处理个人数据及 保障信息安全需遵循的原则。（5）申请流程、可能的修改程序及调解机制。（6）平台在为 研究人员提供数据时，需遵守的文档记录与数据管理要求。（查看更多）

欧盟：EDPS发布修订版《生成式AI使用指南》

2025年10月28日，欧洲数据保护监督机构（EDPS）发布了修订版《生成式AI使用指南》（以 下简称《指南》）。《指南》为生成式AI工具的负责人开发和部署提供了更清晰、更实用的 指导。《指南》引入了一些关键更新，包括：（1）更清晰一致的生成式 AI 定义。（2）一套 新的、以行动为导向的合规清单，帮助欧盟机构、实体、办事处及机关（EUI）评估并确保其 处理活动的合法性。（3）明确的角色和责任，协助EUI确定其是否作为控制者、共同控制者 或处理者行事。（4）关于生成式AI环境下的合法基础、目的限制以及处理数据主体权利的详 细建议。《指南》凸显了EDPS的主动作为，即监测技术发展，并就欧盟机构如何在尊重隐私 与数据保护的前提下融入创新提供建议。EDPS将持续追踪生成式AI的发展动态，并在必要时 更新其指南，以应对新出现的挑战。（查看更多）