一、国内资讯
1.国家网信办发布《网络数据安全风险评估办法(征求意见稿)》
2025 年 12 月 6 日,国家网信办发布《网络数据安全风险评估办法(征求意见稿)》。《办法》适用于在中华人民共和国境内开展的网络数据安全风险评估,其中,网络数据安全风险评估是指对网络数据和网络数据处理活动安全进行的风险识别、风险分析和风险评价等活动。《办法》规定,处理重要数据的网络数据处理者应当每年度对其网络数据处理活动开展风险评估;鼓励处理一般数据的网络数据处理者至少每 3 年开展一次风险评估。
2.最高人民法院修订《民事案件案由规定》,新增案由“数据纠纷”
2025 年 12 月 17 日,最高人民法院发布修改后的《民事案件案由规定》,系对《民事案件案由规定》作出的第三次修正。本次修改,新增了案由“数据纠纷”,并将“数据权属纠纷”“数据合同纠纷”“侵害数据权益纠纷”作为项下三级案由。
3.个人信息出境认证依据标准变更
国家市场监督管理总局、国家互联网信息办公室联合发布关于变更个人信息出境认证依据标准的公告。公告称,GB/T 46068《数据安全技术个人信息跨境处理活动安全认证要求》国家标准已发布。自公告发布之日起,《关于实施个人信息保护认证的公告》(国家市场监督管理总局、国家互联网信息办公室公告 2022 年第 37 号)附件《个人信息保护认证实施规则》中,涉及跨境处理活动的个人信息保护认证依据标准变更为 GB/T 35273、GB/T46068。
4. 全国网安标委发布《网络安全标准实践 指南——数据库联网安全要求》与《网络安全标准实践指南——网络数据标签标识技术规范(征求意见稿)》
2025 年 12 月 18 日,全国网安标委发布《网络安全标准实践指南——数据库联网安全要求》与《网络安全标准实践指南——网络数据标签标识技术规范(征求意见稿)》。其中,《数据库联网安全要求》规定了数据处理者使用数据库系统连接至公共网络场景下的安全技术要求、安全管理要求,适用于指导数据处理者使用数据库系统接入公共网络开展数据处理活动,也可为评估机构提供参考。《网络数据标签标识技术规范》规定了网络数据标签标识的属性格式、生成规则、打标规则、验标规则、日志留存要求、安全防护要求等内容,适用于网络数据处理者组织内部数据管理和跨组织数据流动。
5. 国家网络安全通报中心通报 69 款违法违规收集使用个人信息的移动应用
2025 年 12 月 4 日,国家网络安全通报中心对 69 款存在违法违规收集使用个人信息情况的移动应用进行了通报。这些移动应用存在的问题包括:在App 首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;隐私政策未逐一列出 App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;个人信息处理者向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意;未在征得用户同意后才开始收集个人信息或打开可收集个人信息的权限;未提供有效的更正、删除个人信息及注销用户账号功能;个人信息处理者未提供便捷的撤回同意的方式;未采取相应的加密、去标识化等安全技术措施;无隐私政策等。
6.公安部网安局公布一起未履行法定数据安全保护义务的处罚案例
2025 年 12 月 10 日,公安部网安局公布一起未履行法定数据安全保护义务的处罚案例。该案中,辽宁抚顺市某单位管理平台遭非法侵入,网安部门在侦破案件的同时对被入侵单位的数据安全防护情况开展全面执法检查。经查,该单位在数据安全保护工作中存在多项法定义务未履行的严重问题,包括未建立覆盖数据收集、存储、使用、传输等环节的全流程安全管理制度;从未组织开展数据安全专题教育培训;未部署必要的防火墙、入侵检测等技术防范设施;日常处理并存储大量数据但防护体系薄弱。最后,网安部门依据《数据安全法》中 “网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务” 等相关规定对该单位作出处罚。
二、国外资讯
1.越南:监管机构就数据收集问题约谈Zalo母公司
2025年12月下旬,越南国民级社交应用Zalo因其更新后的服务条款陷入重大隐私争议。新条款要求用户“一键同意”授权其收集包括身份证号码、精确地理位置、使用行为和设备信息在内的多项敏感个人数据,如果用户拒绝,其账户将在45天后被删除。这种“全盘接受或离开”的模式被用户和法律专家批评为“强制同意”,可能违反了越南法律中关于用户应有权做出“部分同意”的规定,从而引发了公众的广泛投诉。
因此,越南国家竞争委员会于12月29日正式采取监管行动,向Zalo的母公司VNG发函,要求其于12月31日参加会议,全面澄清其数据收集、使用和保护政策。监管机构要求VNG提供全部相关的服务条款与数据政策文档,并详细说明其修改条款、获取用户同意以及处理用户拒绝同意的具体流程。作为回应,VNG已向委员会提交书面文件,申请推迟会议。而Zalo方面则公开辩解,称数据收集是为了提供功能、确保服务稳定和账户安全,并承诺不会将用户的私人聊天内容用于其他目的。
2.墨西哥:数字转型与电信局(ATDT)正式颁布《通用网络安全政策》
墨西哥数字转型与电信局于2025年12月17日正式颁布《通用网络安全政策》。该政策旨在建立一个统一的国家网络安全框架,以保障数字公民权利、政府信息与关键基础设施,并确保公共数字服务的持续性和韧性。根据要求,联邦公共行政部门各机构需在政策生效后60天内任命网络安全负责人。同时,ATDT也需在180天内发布详细的技术指南、合规标准和具体实施方案,以推动该政策全面落地执行。
3.沙特阿拉伯:数据与人工智能管理局(SDAIA)与伊斯兰世界教科文组织(ICESCO)签署并实施 《利雅得AI伦理宪章》
伊斯兰世界教育、科学与文化组织(ICESCO)与沙特数据与人工智能管理局(SDAIA)签署合作协议,通过并实施《利雅得伊斯兰世界人工智能伦理宪章》。该协议旨在建立一个统一且道德的人工智能治理框架,促进负责任的实践,促进创新,并解决共同的挑战。该协议基于加强利雅得宪章的原则,开展联合举措,该宪章由ICESCO和SDAIA共同启动。这些原则包括诚信与公平、隐私与安全、可靠性与安全、透明度与可解释性、问责与责任、人道精神以及社会和环境效益。协议还旨在提升ICESCO成员国的人工智能知识和技能,并确保人工智能技术的安全使用。
4.香港:数字政策办公室及数码港合作推出「数码企业身份」沙盒计划
数字政策办公室(数字办)今日(十二月三十一日)宣布与香港数码港管理有限公司合作推出「数码企业身份」沙盒计划。此计划为有兴趣支援「数码企业身份」的服务提供者(包括公私营机构及政府部门)提供免费的模拟环境进行概念验证测试和开发应用方案,支持设计不同行业和市场的应用场景与解决方案。此举旨在起动「数码企业身份」的生态发展,以期协助及推动香港企业加快数字化转型,进一步优化香港企业的营商环境。
5.菲律宾 :国家隐私委员会与信息通信技术部领导层换届后加强数据保护协调
2025 年 12 月 17 日,菲律宾国家隐私委员会(NPC)在奎松市与信息和通信技术部(DICT)部长亨利・罗埃尔・阿古达阁下共同举行了交接仪式及工作协调会议。此次会议是在新任隐私专员约翰・卡洛斯・S・巴尔塞纳律师就职后召开的,旨在加强两机构在数据保护、数字治理以及 2012 年《数据隐私法》(DPA)实施方面的跨部门协调与政策协同。会上,巴尔塞纳专员强调了在数字转型加速推进的背景下坚持原则性数据治理的重要性,指出其目标不仅是合规,更是在各行业培育问责、透明和尊重个人数据的文化;阿古达部长则重申了 DICT 与 NPC 紧密合作的承诺,以推动安全、可信且以公民为中心的数字服务,并认可数据隐私是国家数字发展的基石。
6.马来西亚:政府将于1月1日起推出社交媒体监管沙盒
政府将于1月1日起推出监管沙盒计划,评估儿童保护机制,确保数字空间的消费者安全,为全面执法做准备。通信部长拿督法米·法兹勒表示,该倡议将涉及马来西亚通信与多媒体委员会(MCMC)及多个知名社交媒体平台。举将使政府和平台提供商能够在受控环境中评估现有技术能力并测试监管机制。沙盒是一种在科技和数字领域常用的监管测试框架,使利益相关者能够在受控环境中试验新的方法、机制或技术,然后再全面实施。这一流程使监管机构能够评估政策的有效性、风险和影响,同时给予行业调整技术和运营能力以符合法律要求的空间。
7.柬埔寨:正式发放数字资产营运许可证
柬埔寨即将公布新法令,正式允许投资和交易数字资产(digital assets)。根据柬埔寨证券监管局(SERC)于12月24日发布的声明,非银行金融服务监管局经审议和批准由该局提呈的《数字资产营运许可证发放和监管部长令》草案。它指出,新部长令共有9章和63条文,设定发放数字资产营运许可证(如交易所、经纪等)和监管的条规。根据柬埔寨数字资产监管法规演进过程,一旦新部长令正式生效实行,柬埔寨将成为正式允许投资和交易数字资产的国家之一。
来源|魏安迪
审核|李兰兰、品宣部
编辑|卓小豸