关键资讯

2025年8月,中国在个人信息保护、数据和网络安全、数据基础制度体系建设与数据跨境流动等重点领域推出多项政策与标准,并密集开展执法与典型案例发布,持续完善制度体系、压实企业主体责任:

  • 个人信息保护:在立法层面,全国网络安全标准化技术委员会(“网安标委”)就《数据安全技术 个人信息匿名化处理指南及评价方法》征求意见,并就标准体系公开征求意见,旨在系统性梳理个人信息保护和数据安全有关标准。在执法方面,工业和信息化部(“工信部”)发布行政执法事项清单,涵盖多项个人信息、数据领域执法事项;工信部、公安部、国家病毒中心、北京通信管理局(“通管局”)、上海通管局分别通报/下架侵害用户权益的违法应用程序(“App”);重庆南岸区互联网信息办公室(“网信办”)开展人脸识别技术滥用整治专项行动;中国网络空间安全协会则正向通报已完成个人信息收集使用优化改进App清单。同时,在司法方面,最高人民法院(“最高法”)发布入库参考案例和第47批指导案例,对个人信息保护有关问题做出明确法律指引。
  • 数据和网络安全:在立法层面,广西、江苏两省网信办发布负面清单,规范自由贸易试验区数据出境。与此同时,国家工业信息安全发展研究中心发布三项行业标准,涉及工业领域重要数据识别、数据安全防护要求、数据安全风险评估规范。在执法层面和行业层面,南昌市某医疗机构发生网络安全事件遭网信办行政警告处罚,某知名芯片企业也发布官方文章回应后门、终止开关和监控软件问题,表示完全遵守全球网络安全标准。除此之外,在金融领域,中国人民银行发布管理办法,强化金融基础设施监管,规定数据本地化和保存期限等数据保护要求。
  • 数据基础制度体系建设:各地针对数据基础制度分头发力,齐频共振:上海市政府发布管理办法规范公共数据资源授权运营、北京市政府布意见加快公共数据资源开发利用、厦门市政府发布若干措施促进数据产业高质量发展。

请点击下方链接查看官方政策文件或公告。

立法动态

网安标委拟发布标准体系,系统梳理个人信息保护和数据安全有关国家标准(8月15日)

网安标委就《数据安全国家标准体系(2025版)》和《个人信息保护国家标准体系(2025版)》公开征求意见,旨在健全数据安全和个人信息保护标准体系。两套体系均按“基础共性—技术/产品—管理—测评认证—产品与服务—行业与应用”六大板块构建:数据安全侧重数据分类分级与安全保护、共享安全、备份与删除、出境与运营安全管理、安全风险评估、能力评估与认证,以及政务、汽车等行业标准布局与补短计划。个人信息保护侧重个人信息处理安全、敏感信息处理安全、去标识化/匿名化与隐私设计、个人信息保护管理、权益保障、影响评估与合规审计、应用检测与出境认证,并细化App、SDK、应用商店、智能终端与线下消费等场景要求。后续将加快强制性与重点急需标准(如电子产品信息清除、儿童手表安全)研制,推进贯标应用与国际对接。

网安标委拟发布国家标准,规范个人信息匿名化处理指南及评价方法(8月27日)

网安标委就《数据安全技术 个人信息匿名化处理指南及评价方法》公开征求意见,旨在规范个人信息匿名化的技术路径与评估方法。文件提出以去标识化为基础,以实现“无法识别、不能复原”为目标,配套对抗性测试与不能复原性核验,形成“准备—去标识化处理—去标识化效果评估—对抗测试—不能复原性核验—出具阶段性评价报告—管理”的全流程要求。该标准明确评价报告由独立角色完成,应当遵循独立性、可复现、证据充分、最小必要披露与可审计原则,同时给出不同共享场景的参数建议(如K-匿名、L-多样性、T-接近性、差分隐私ε/δ等)。

国家工业信息安全发展研究中心发布三项行业标准,涉及工业领域重要数据识别、数据安全防护要求、数据安全风险评估规范(8月1日)

国家工业信息安全发展研究中心数据安全所发布三项行业标准,分别为《工业领域重要数据识别指南》、《工业企业数据安全防护要求》和《工业领域数据安全风险评估规范》。其中,《工业领域重要数据识别指南》给出工业数据处理者开展工业领域重要数据识别的基本原则、流程和考虑因素,适用于工业数据处理者开展工业领域重要数据识别工作;《工业企业数据安全防护要求》规定工业企业数据安全防护的基础性数据安全防护要求、数据全生命周期安全防护要求、其它防护要求,指导工业企业开展数据安全防护工作;《工业领域数据安全风险评估规范》规定工业领域数据安全风险评估的基本原则、要素、流程及方法,适用于工业领域重要数据和核心数据处理者在中华人民共和国境内开展数据处理活动的数据安全风险评估。

上海市政府发布管理办法,规范公共数据资源授权运营,培育数据要素市场(8月1日)

上海市政府发布《上海市公共数据资源授权运营管理办法》,旨在明确上海市公共数据资源授权运营的发展路径。办法指出公共数据资源授权运营采用整体授权模式,依托大数据资源平台开展上链、编目、分类分级,实现集中统一管理,推动公共数据资源归集治理。上海市数据主管部门指导实施机构编制授权运营公共数据资源目录,对不影响公共安全、法律法规未禁止共享的公共数据加大供给力度。同时,办法强调强调运营机构不得直接或者间接参与授权范围内已交付的公共数据产品和服务再开发,不得通过与开发主体达成垄断协议或者滥用市场支配地位等实施垄断行为,不得利用数据、算法、技术、资本优势等从事不正当竞争行为。

广西江苏两省网信办发布负面清单,规范自由贸易试验区数据出境(8月8日,8月13日)

广西、江苏两省分别发布《中国(广西)自由贸易试验区数据出境负面清单管理办法(试行)》、《中国(广西)自由贸易试验区数据出境管理清单(负面清单)(2025版)》、《中国(江苏)自由贸易试验区数据出境负面清单管理办法(试行)》和《中国(江苏)自由贸易试验区数据出境管理清单(负面清单)》,旨在建立高效便利安全的数据跨境流动机制。广西的管理办法和负面清单围绕职责分工、数据管理(例如:申报评估流程)、负面清单制定及管理、动态调整与国家规则衔接等作出制度化安排,突出在合规前提下提升跨境流动便利度,服务自贸区重点产业场景应用。江苏的管理办法和负面清单明确适用范围覆盖南京、苏州、连云港片区,建立“事前—事中—事后”闭环管理。其中,负面清单由三类清单构成:一类为须开展数据出境安全评估的清单,一类为须通过个人信息出境标准合同备案或个人信息保护认证的清单,一类为需要通过其他合法合规路径出境的数据清单,并实行动态管理与报备机制。同时,管理办法配套“数据分类分级参考规则”,提出重要数据识别参考,并设置抽验、风险研判与重大事项24小时报告、核心数据不纳入负面清单及与出口管制等法律的衔接条款,以统一口径提升自贸区数据出境的便利性与安全性。

中国人民银行发布管理办法,强化金融基础设施监管,规定数据本地化和保存期限等数据保护要求(8月1日)

中国人民银行发布《金融基础设施监督管理办法》,旨在加强金融基础设施统筹监管与建设规划。在设立方面,办法规定金融基础设施的设立需符合法律及市场准入负面清单,金融基础设施的运营机构必须具备法人资格并符合特定条件。在运营要求方面,运营机构应当建立透明治理结构和风险管理体系,持有至少6个月运营成本的流动资产,并制定极端情形下的应急预案。同时,技术系统需符合规范,落实网络安全和关键信息基础设施保护要求。在监督方面,重大事项需报告或备案,跨境服务需满足监管对等要求并定期披露展业情况,系统重要性金融基础设施由中国人民银行宏观审慎管理。

执法动态

工信部通报一批侵害用户权益的违规App,涉及违规收集个人信息、信息窗口无法关闭等问题(8月4日)

工信部检测发现23款App及SDK存在侵犯用户权益行为的问题。其中,7款涉及违规收集个人信息;10款App涉及信息窗口无法关闭或乱跳转;6款涉及超范围收集个人信息;6款涉及App强制、频繁、过度索取权限;7款涉及SDK信息公示不到位;1款涉及强制用户使用定向推送功能。工信部要求通报APP及SDK应按有关规定进行整改,整改落实不到位的,将依法依规组织开展相关处置工作。

工信部发布行政执法事项清单,涉及多项个人信息、数据领域执法事项(8月8日)

工信部发布《工业和信息化部行政执法事项清单》,涉及268项工业信息化领域的行政执法事项,在数据合规与网络安全方面强化多环节监管。在行政检查方面,执法事项包括对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查;对网络运营者落实网络日志留存义务的行政检查以及对网络运营者落实网络数据安全保护责任及管理措施的行政检查等13项。在行政处罚方面,执法事项包括对违反电信和互联网用户个人信息保护有关规定的行为实施处罚;对网络运营者未落实网络日志留存义务的行政处罚;对电信业务经营者、互联网信息服务提供者未进行用户个人信息保护相关培训的行政处罚;对网络运营者未采取措施防止或补救用户个人信息泄露、损毁、丢失的行政处罚;对电信和互联网行业关键信息基础设施运营者未落实网络安全审查义务的行政处罚;对违反规定的深度合成服务提供者和技术支持者的行政处罚以及对生成式人工智能服务提供者未履行落实安全主体责任的行政处罚等47项。

公安部通报一批违法违规收集使用个人信息的移动应用,涉及超范围收集个人信息、未公开收集使用规则等问题(8月25日)

公安部计算机信息系统安全产品质量监督检验中心检测发现45款App存在违法违规收集和使用个人信息的情况。问题集中于未以结构化清单列出个人信息收集和使用规则、超范围或超频率收集非必要个人信息、强制授权、误导性广告、注销账户的流程中设置不合理的条件或提出额外要求等13 类情形。通报要求相关App及分发平台整改;上批次通报后复测仍不合格的8款App已被下架处理。

10 国家病毒中心通报一批违法违规收集使用个人信息的App,涉及未提示用户阅读隐私政策、隐私政策难以访问等问题(8月13日)

国家计算机病毒应急处理中心检测发现70款违法违规收集使用个人信息的App。问题集中于首启未弹窗提示阅读收集使用规则、隐私政策缺失或列示不全、未在用户同意后收集个人信息、违规处理敏感信息和未成年人信息、阻碍撤回同意与账号注销,以及未加密存储等14 类情形。通报要求相关开发者整改;上批次通报后复测仍不合格的25款应用已被下架处理。

11 中国网络空间安全协会发布公告,通报已完成个人信息收集使用优化改进App清单(8月4日)

中国网络空间安全协会发布2025年第3批“完成个人信息收集使用优化改进App清单”,旨在规范App个人信息处理、提升用户权利保障。此次清单覆盖邮件快件寄递、二手车交易、旅游服务等3类共5款App,重点针对超范围收集个人信息、过度调用敏感权限、权限设置和账号注销不便等个人信息收集使用问题完成了优化改进。5款App运营方已在应用商店或者官网上架优化改进版本,并承诺升级版本持续保持合规水平。

12 最高法发布入库参考案例,涉及网络“开盒”行为的定性(8月14日)

最高法发布入库参考案例,明确为实施诽谤目的而非法获取并在网络“开盒”曝光他人信息的行为,可依刑法第253条之一以侵犯公民个人信息罪追责,且即便不符合司法解释所列九类情形,也可综合动机、信息类型与数量、危害后果等认定为第十项“其他情节严重”。本案中,行为人付费购买并传播包含住宿、民航、铁路行程等信息,编造不实帖文引发超200万次传播,法院以侵犯公民个人信息罪分别判处十一个月至一年有期徒刑并罚金。该案强化了对为网暴等目的进行信息交易与扩散的刑事打击,提示平台与商家应强化审查。

13 最高法发布第47批指导案例,聚焦数据权益司法保护,涉及数据权属认定、数据产品利用、个人信息保护、网络平台账号交付等问题(8月28日)

最高法发布第47批指导案例,以“数据权益司法保护”为专题,围绕数据权属与流通、个人信息保护、账号执行等确立裁判规则。六件指导案例分别明确如下规则:平台对其汇聚形成的“数据集合”享有可受保护的经营性利益,未经许可抓取搬运导致内容同质化、实质替代他人产品与服务的,构成不正当竞争;经用户授权的“关联账号”在合理范围内跨平台转移用户已合法获取的数据,不扰乱竞争秩序的不构成不正当竞争;依法采集公开企业数据、按合规方法编制价格指数并合理使用且未损害企业权益的,不承担侵权责任;App以自动化决策为由强制收集用户画像且无替代登录方式,构成对个人信息权益的侵害;为订立、履行合同所必需,可在充分告知前提下以最小影响方式收集与信用或风险相关信息,不侵害个人信息权益;网络平台账号移交须同步变更实名认证信息与绑定手机号,确保权利完整移转与账号安全。

14 北京通管局通报一批问题App,并下架整改不合格App,涉及未经用户同意收集使用个人信息等问题(8月3日)

北京通管局检测发现20款存在侵害用户权益和安全隐患等问题的App。问题集中于未公开收集使用规则、App频繁自启动和关联启动、未经用户同意收集使用个人信息、更正删除个人信息难等。对此,被通报的20款App应及时进行整改。除此之外,通管局还通报12款经上批次通报未整改或整改不到位的App,现予以全网下架处置。

15 上海通管局通报一批侵害用户权益行为App,涉及未妥善处理用户投诉、自启动和关联启动等问题(8月5日)

上海通管局通报145款存在侵害用户权益行为的App及小程序,涉及违规收集个人信息,未妥善处理用户投诉,未明示个人信息处理规则,App过度索取权限等重点问题。相关App及小程序应当按有关规定及时整改违规问题。整改落实不到位的,上海通管局将依法依规开展处置工作。

16 上海通管局通报下架58款侵害用户权益行为App,涉及被公示后未按要求落实整改问题(8月21日)

上海通管局全面深化落实移动互联网应用软件侵害用户权益的专项整治行动,2025年7月公示了一批共162款存在侵害用户权益行为的应用。在规定的整改期限内,经核查复检,尚有58款应用未按照要求落实整改,目前上海通管局已对上述应用在全国范围内主流应用市场进行下架处理。未来,上海通管局将视情况进一步采取停止接入、行政处罚、纳入电信业务经营不良名单等后续处理措施。

17 重庆南岸区网信办开展整治人脸识别技术滥用行动,聚焦出行场所进行现场评估(8月27日)

南岸区网信办对辖内某公司及某车站等出行场所开展人脸识别应用现场评估,聚焦网络安全责任落地、安全管理制度、人脸识别技术应用的安全性、设施设备运行状态等关键环节全面排查并现场下达整改通知;对个别企业人脸信息存储量达10万的情形,明确依法向市网信办办理备案要求。后续将常态化监管人脸识别等重点领域,督促行业主管部门履职,提升区域数据安全与个人信息保护水平。

18 南昌市某医疗机构发生网络安全事件遭网信办行政警告处罚(8月11日)

南昌网信办接上级网信部门通报,对南昌市内某所属IP疑似被黑客远程控制、并频繁与恶意域名进行通联的医疗机构进行立案调查。经过现场勘验、远程勘验(采样技术分析)、笔录问询等工作,南昌网信办查明:该医疗机构未履行网络安全保护义务,未采取技术措施防范危害网络安全的行为,导致所运营和使用的网络感染了木马病毒、与境外网站发生通联行为,并违反了有关法律。因此,南昌市网信办对该医疗机构作出警告的行政处罚。未来,南昌市网信办将依法持续加大网络安全、数据安全、个人信息保护等领域执法力度。

行业动态

19 北京市政府发布意见,加快公共数据资源开发利用,健全公共数据资源开发利用制度机制(8月12日)

北京市政府发布《关于加快北京市公共数据资源开发利用的实施意见》,旨在建立健全本市公共数据资源开发利用制度机制。实施意见重点指出六点:第一,夯实公共数据资源开发利用基础,完善公共数据目录,提升公众数据质量,开展公共数据资源等级;第二,畅通公共数据资源开发利用渠道,高效开展政务数据共享,有序推动公共数据开放,规范管理公共数据授权运营;第三,加强公共数据资源开发利用服务能力:建立授权运营价格形成机制,强化监督管理,布局新型数据基础设施;第四,释放数据要素市场创新活力,丰富数据应用场景,加强央地协同和区域合作发展,促进公共数据产品流通交易,繁荣数据产业发展生态;第五,统筹发展和安全,加大创新激励,强化安全管理,鼓励先行先试;第六,健全工作机制,加强组织领导,强化资金保障,增强支撑能力,加强评价监督。

20 厦门市政府发布若干措施,促进数据产业高质量发展(8月7日)

厦门市政府发布《厦门市促进数据产业高质量发展若干措施》,旨在促进数据产业高质量发展,提速建设厦门数据港。措施重点指出几点:第一,加强数据产业规划布局,培育多源数据经营主体、产业创新企业,打造数据要素创新创业载体;第二,打造企业数据流通新范式,提升企业数据治理能力,推进企业数据资产登记,培育规范化数据交易市场,发展专业化数据服务生态,支持数据跨境流动创新实践;第三,推动数据应用创新,扩大数据资源供给,加快公共数据开发利用,推动企业数据价值释放,激发数据应用创新活力;第四,优化产业发展环境,提高数据领域动态安全保障能力,强化产业金融支持。

21 某芯片企业回应后门、终止开关和监控软件问题,表示完全遵守全球网络安全标准(8月6日)

某芯片企业发布安全声明称其GPU不存在后门、终止开关和监控软件,并反对在硬件层面预置可被远程禁用的“单点控制”。公司以“深度防御”与独立验证为安全基线,强调应修复漏洞而非制造后门,援引“Spectre/Meltdown”处置经验与90年代“Clipper芯片”失败教训,指出后门与硬件级终止开关会引入集中式系统性风险、破坏信任与国家关键基础设施安全。某芯片企业区分用户自愿、透明的软件层诊断/监测与不可由用户控制的硬件后门,呼吁政策制定者通过现有合规与技术手段保障安全,反对以削弱硬件完整性换取管控。