作者丨垦丁W&W国际法律团队
机构丨垦丁律师事务所
2026年伊始,威科先行携手垦丁W&W王捷律师团队推出重磅发布【全球数据合规风向:2025年度报告暨2026趋势展望】。本报告立足于2025年的最新立法趋势与执法风向,通过八大专题,分析全球人工智能监管、数据跨境、未成年人保护及营销合规等热点议题,为企业在复杂多变的全球监管环境下提供从风险辨识到合规举措的实务指引,助力企业平衡商业创新与法律边界,明确企业出海中的合规治理方向。
年度关键词
AI合规 / 网络安全 / 平台治理 / 跨境传输 / 未成年人保护 / 员工个人信息治理
本报告现已上线
威科先行-网络安全合规模块-专题栏目
扫码免费获取试用机会
目录
专题一 从全球数据泄露事件看网络与数据安全的合规与监管
一、引言:全球数字经济中的网络与数据安全新常态
二、2025年重大数据泄露事件的法律风险透视
(一)韩国Coupang与SK电讯案:内部治理失效的集中兑现
(二)美国Marquis案:供应链的“多米诺骨牌”效应
三、企业数据安全合规要点分析
(一)内部治理:数据安全问责与权限管理
(二)事件响应:及时、准确、透明的通报义务
(三)第三方风险管理:对外包服务商的法律审查
专题二 “红利”与“红线”之间:生成式人工智能监管与合规趋势前瞻
一、引言:从野蛮生长到规则博弈
二、2025年全球监管动态:那些正在改写规则的案件
(一)训练数据的“合理使用”边界在哪里?
(二)AI输出的“幻觉”谁有责?
(三)AI产品的商业模式如何暴露潜在风险?
三、生成式人工智能合规要点:企业如何构建AI合规体系
(一)训练数据合规:避免简单的“拿来主义”
(二)产品责任与安全:“技术中立”不能免责
(三)跨法域布局:应对全球裁判的“分歧性”
专题三 全球人工智能立法趋势与企业治理要点
一、2025年重要地区人工智能立法
(一)美国加州:以“场景化 + 透明度”为核心的碎片化立法
(二)欧盟:全球首个全面、分级的 AI 硬法框架
(三)亚太地区综合立法情况
二、全球人工智能治理的共性趋势
三、对企业的合规建议
专题四 2025全球直接营销监管趋势与企业合规指南
一、2025全球有关直接营销的执法动态
(一)欧洲地区
(二)亚太地区
(三)美国
二、执法案例中的共性问题与合规要点
三、后续有关直接营销的监管趋势及企业应对建议
专题五 欧盟“数字综合法案”2025简化提案:对企业出海欧盟的影响与建议
一、引言
二、欧盟数字法的具体简化内容
三、简化提案对出海企业的影响与合规提示
专题六 跨境数据传输的监管红线与执法趋势
一、2025年典型跨境数据传输处罚案例
(一)Temu被韩国个人信息保护委员会(PIPC)罚款13.69亿韩元
(二)爱尔兰数据保护委员会(DPC)对TikTok处以 5.3 亿欧元罚款
二、跨境数据合规的三条监管底线
三、未来执法趋势
专题七 员工个人信息保护:2025年全球法域速览与执法风向分析
一、引言:员工个人信息保护从边缘议题到监管焦点
二、2025年员工个人信息保护全球法域动态与案例探究
(一)立法动态:从“通用”到“垂直”
(二)执法动态:职场监控、私人领域边界与离职数据管理
三、员工个人信息保护合规要点
专题八 全球儿童个人信息保护监管趋势
一、2025年主要法域儿童数据相关立法动态
(一)澳大利亚:全球首个社交媒体最低年龄强制制度落地
(二)欧盟
(三)美国
二、执法动态
(一)《原神》儿童数据保护与战利品箱(Loot Box)案
(二)欧洲围绕儿童数据与产品设计连续展开执法行动
三、全球儿童个人信息保护监管趋势分析
鉴于篇幅限制,以下内容节选自本报告【专题一】,以飨读者:
专题一 从全球数据泄露事件看网络与数据安全的合规与监管
一、引言:全球数字经济中的网络与数据安全新常态
2025年,全球数字经济正经历一场深刻的监管范式转变。网络与数据安全已从一项单纯的技术议题,演进为关乎企业持续运营和战略部署的法律风险点。根据IBM Security发布的《2025年数据泄露成本报告》(2025 Cost of a Data Breach Report)[1]显示,全球平均每起数据泄露的成本已高达444万美元。为了应对日益凸显的数据安全问题,各国监管机构的监管风向也随之发生了转变——从审查企业“是否建立了合规制度”转向追问“合规制度是否真正落地、安全措施是否切实有效”,并以显著增加的执法强度和频率,推动企业重新审视其数据安全投入的优先级与资源配置。
本文将深入分析2025年发生三件具有标志性意义的数据泄露事件,分析企业在内部治理、应急响应及供应链管理中的典型数据安全风险,并结合实务经验给予合规方向供企业参考。
二、2025年重大数据泄露事件的法律风险透视
(一)韩国Coupang与SK电讯案:内部治理失效的集中兑现
韩国作为数据密集型经济体,其《个人信息保护法》(PIPA)对企业的数据保护义务设定了极高的标准。然而,今年两起巨头公司的数据泄露案却集中反映了即使是行业领军企业,也可能因数据基础治理缺陷而面临灾难性后果。
2025年11月,韩国最大电商平台Coupang遭受了一起涉及3370万客户账户信息的重大泄露事件[2]。而早在今年八月,作为韩国通信行业巨头的SK电讯也在2025年因数据泄露事件被监管机构个人信息保护委员会(PIPC)处以1348亿韩元的巨额罚款[3]。
图1 图片为韩国Coupang官网主页,其功能类似于淘宝、亚马逊
图2 图片为韩国SK telecom官网页面,已经中文翻译
根据韩国警方对Coupang案的调查显示,该泄露事件疑似源于内部员工利用Coupang认证系统的漏洞,在未经正常授权登录的情况下获取了个人信息。若该情况属实,则可能反应出该企业在身份与访问管理(IAM)和数据监控机制上的缺陷,包括未能有效实施“最小权限”原则、员工数据访问权限的分级管理是否足够精细等问题。如果内部控制系统健全,员工应该具有不同的数据访问权限,从而防止单个员工盗取全体客户信息。同时,泄漏行为持续五个月才被发现,这在一定程度上表明Coupang缺乏有效的异常行为监测能力。而在SK电讯案中,经韩国个人信息保护委员会(PIPC)指出,正是由于公司内互联网系统与内网缺乏物理隔离导致了泄露事件的发生,PIPC认为这一本应属于基础性安全措施的缺失,值得其他企业引以为鉴。
两个案例均是典型的“安全负债”(Security Debt)的体现——企业长期忽视基础架构合规投入,最终要以百倍于投入的罚款和商誉损失来“还债”。在SK案件中,电讯公司不仅支付了高额罚款,为了安抚用户和挽回声誉,还推出了一系列客户安抚与感谢计划[4],用以缓解与恢复客户的信任。
(二)美国Marquis案:供应链的“多米诺骨牌”效应
位于美国的金融软件供应商Marquis Software Solutions在2025年8月遭受勒索攻击,攻击者据报通过其SonicWall防火墙漏洞侵入系统并窃取文件,导致超过78万终端客户的敏感金融信息被泄露[5]。虽然黑客攻击的是供应商Marquis,但对于使用了其服务的700余家金融机构而言,作为相关数据的实际数据控制者,它们所遭受的损失更加难以估量。
本案不仅在事实层面引发了大规模的集体诉讼,更在法律层面揭露了数据合规的一个重要原则:数据合规责任难以通过外包转嫁,数据控制者不能简单地通过一纸服务合同将将合规义务与风险敞口全部转嫁给供应商。当供应链上下游发生安全事件时,监管机构和受影响的用户依然会追溯至数据控制者本身。这一案例提示企业,在采购数字化服务时必须严格审查合同中的数据处理协议(DPA),将供应商的网络安全能力、技术审计权限以及安全事件通报和解决义务作为核心谈判条款,以建立起真正的“合规护城河”。
三、企业数据安全合规要点分析
(一)内部治理:数据安全问责与权限管理
W&W国际法律团队根据上述案例的分析,理解其共同指向了企业内部数据安全治理的重要性。尤其在Coupang和SKT两个案件中可以看出,缺乏有效的身份与访问管理(IAM)策略、对数据资产缺乏准确清点以及网络隔离与访问控制等基础性安全措施的不足,均可能导致安全事件发生的发生。这提示企业应建立与自身风险等级相适应的数据安全管理制度,明确各层级的安全职责与问责机制,并通过定期审计与管理层认证等方式,确保相关制度得到持续有效的执行。
(二)事件响应:及时、准确、透明的通报义务
企业面临的另一个重要合规要求就是针对发生数据安全事件后的通报义务。目前在不同国家,相应的通报要求的方式、时限等存在一定差异。但是,及时通报并保证信息的准确性以及保持沟通的透明、顺畅,是各法域监管机构一致的标准与原则。因此,企业必须在“知晓”或有“有理由认为”安全事件发生的第一时间,立即启动由法律与技术团队共同参与的快速评估流程,以便在法定时限内完成对监管机构及受影响用户的通报,并为后续应对工作奠定基础。
W&W国际法律团队整理了韩国、美国以及欧盟针对数据安全事件的通报义务的相关规定,以供各企业参考:
表1 韩美欧针对数据安全事件通报义务的法律规定
(三)第三方风险管理:对外包服务商的法律审查
理解Marquis事件表明数据控制者难以通过外包安排将数据泄露风险转移给供应商。因此,企业在与供应商签订的数据处理协议(DPA)中,必须明确约定供应商应当达到的安全标准、企业享有的审计权利以及安全事件发生后的通知时限和协作义务,确保供应商的安全能力是数据控制者自身合规体系的有效延伸,而非潜在的数据安全风险敞口。
四、结语
2025年发生的多起数据泄露事件表明,基础安全措施的薄弱和内部治理的缺失,可能使企业在安全事件发生后面临高额罚款、集体诉讼乃至难以估量的商业损失,我们理解在数据与网络安全重要性持续上升的背景下,这一风险正变得愈发现实。
因此,企业应将数据安全合规视为一项持续性的战略投入,而非一次性或个案性的应对,通过整合高层治理、技术防御、合同管控与应急响应能力,构建系统化的安全合规体系,并将其融入日常业务运营,企业方能在日益严格的全球监管环境下有效管控风险、保持业务韧性。
注释:
向上滑动阅览
[1] https://www.ibm.com/think/x-force/2025-cost-of-a-data-breach-navigating-ai
[2] https://koreajoongangdaily.joins.com/news/2025-12-01/opinion/editorials/Coupangs-massive-data-breach-undercuts-national-security-certification/2466481
[3] https://www.koreatimes.co.kr/business/tech-science/20250828/sk-telecom-fined-97-mil-over-april-data-breach
[4] https://news.sktelecom.com/en/1979
[5] https://www.securityweek.com/marquis-data-breach-impacts-over-780000-people/
[6] 具体可参见https://www.itgovernanceusa.com/data-breach-notification-laws
[7] GDPR第33条
[8] 《个人信息保护法实施令》第39条
[9] GDPR第34条
[10] GDPR第83条
作者介绍
本文作者:垦丁律师事务所 王捷律师团队
编写组成员:王捷、常孝雯
实习生梁曦尹、张超怡亦有重要贡献
垦丁W&W国际法律团队简介
W&W国际法律团队长期深耕企业出海法律服务,业务覆盖全球多个国家与地区,横跨多元行业领域与业务场景。团队融合本土化合规经验与国际化法律视野,致力于为出海企业提供系统性、前瞻性的法律支持,助力客户破解跨境经营中的疑难问题,护航全球业务稳健发展,让出海真正成为企业的第二增长曲线。
团队负责人 王捷律师
• 垦丁律师事务所广州所创始合伙人、主任
• W&W国际法律团队创始人
• 广东数据资产登记合规委员会评审专家
• 广东省涉外律师人才库成员行业经验
王律师曾就职于阿里巴巴大文娱集团、国际律所与海外仲裁机构,积累了15年+科技型公司实务经验,具备中外律所从业背景。目前已为100+头部与知名互联网公司、500强、大中型外资企业、独角兽企业提供服务和产品落地解决方案。
专攻领域
企业出海合规、个人信息保护与全球数据合规、互联网企业、联网产品综合合规、包括资质认证辅导、广告合规、知识产权攻防布局等。
专精于移动互联网、智能软硬件与物联网、智能网联汽车与车机系统、跨境电商、社交网络平台、AIGC、区块链、云计算、web3.0、NFT等新兴前沿领域。
资格证书
持有 CIPP/E (国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官、电子存证官、个人信息保护合规审计师等资格证书。
查看路径
使用威科先行丨网络安全合规模块,更多实务精华等你解锁!
特别声明
以上所刊登的文章仅代表作者本人观点,不代表威科中国出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“威科先行”及作者姓名。未经书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与我们联系。
威科先行丨网络安全合规模块
集合法规案例查询、更新信息接收、实务问题解决,为您提供全方位实务资源支持,助力您洞悉网络安全精髓,自信决策,合规经营。
申请试用
威科先行:
网络安全合规模块
长按并识别左侧二维码
WHEN YOU HAVE TO BE RIGHT.
