行业洞察 | 全球数据合规资讯2026年4月速报

2026年4月7日，国务院总理李强签署第835号国务院令，公布《中华人民共和国反外国不当域外管辖条例》（以下简称《条例》），其中第八条第（四）款及第17条新增数据跨境罚则：

如果外国组织或个人推动或参与了“不当域外管辖措施”（例如，某些国家利用其国内法长臂管辖，不合理地制裁中国实体），国务院有关部门可将其列入“恶意实体清单”。对其可以禁止或限制中国境内的组织、个人向该外国实体提供数据、个人信息，或与其进行交易、合作。

如果任何实体（包括中国境内或境外）拒不执行、规避执行或违反相关禁令，有关部门可进一步处罚，包括限制其政府采购、进出口活动，特别再次强调可禁止或限制其从中国境外接收或向境外提供数据、个人信息，还可限制其出入境并处以罚款。

来源及全文链接：司法部

https://mp.weixin.qq.com/s/-u4TFWiHOkAHkKv_pEUCWw

2026年4月7日，国务院总理李强签署国务院令，公布《国务院关于产业链供应链安全的规定》（以下简称《规定》），《规定》建立了产业链供应链信息安全制度，要求如下：

一是任何组织、个人违反我国法律、行政法规、部门规章和国家有关规定，在我国境内开展与产业链供应链相关的调查等信息收集活动的，有关部门依法采取相应处理措施。

二是企业、科研机构等应当完善风险防控体系，实现核心技术及相关信息系统、数据的安全可控；有关部门应当加强指导和培训。

三是明确企业、行业协会商会等发现影响产业链供应链安全情形的，可以向有关部门报告。

来源：司法部

全文链接：

https://www.gov.cn/zhengce/content/202604/content_7064837.htm

2026年4月21日，中国人民银行等八部门共同制定并发布《金融产品网络营销管理办法》（以下简称《办法》），2026年9月30日起实施。

《办法》对金融机构开展金融产品网络营销以及第三方互联网平台接受金融机构委托为金融产品网络营销提供服务的行为进行全面规范。其中，金融机构是指经国务院或金融管理部门批准设立的从事金融业务的机构，地方金融组织由地方金融管理机构参照《办法》规定管理。第三方互联网平台是指非金融机构自营的，为金融产品网络营销提供服务的网站、移动互联网应用程序等；第三方互联网平台为金融产品网络营销提供服务，应当接受金融机构依法委托，符合金融管理部门相关监管要求，不得超出金融机构委托范围。

《办法》压实金融机构主体责任，要求其对网络营销内容的合法合规性负责，建立审核工作机制。要求第三方互联网平台加强信息披露，便于金融消费者和投资者查询和核实合作金融机构和营销金融产品的基本信息。要求网络营销内容应当使用准确通俗的语言介绍金融产品关键信息，不含有虚假或者引人误解的内容。针对算法推荐、直播营销等新模式，以及强制搭售、骚扰营销、违规使用金融字样等问题，提出相应的规范要求。

按照《办法》要求，贷款产品将不得使用“低门槛”“秒到账”“低利率”等营销话术；支付机构的收银台页面中支付工具必须与贷款等金融产品区隔展示，不得误导用户混淆支付工具与贷款产品；未取得金融、金融信息服务业务资质的机构在其运营的APP和注册商标中不得使用金融字样；非金融机构从业人员不得通过直播、短视频、公众号等形式营销金融产品，特别是以荐股形式开展的非法证券投资咨询。

《办法》着重厘清金融机构与第三方互联网平台的权责边界，要求金融机构应当确保业务独立、技术安全，加强对合作平台的事前评估和持续管理，要求第三方互联网平台不得违反法律法规、国家金融管理规定介入或变相介入销售合同签订、资金划转、金融消费者和投资者适当性测评、贷款额度测评等金融产品销售环节，不得就金融产品与金融消费者和投资者进行互动咨询，不得与金融机构产生品牌混同，应当以清晰、醒目的方式展示实际提供金融产品的金融机构名称或相关标识。

来源：广告监督管理司

全文链接：

https://www.miit.gov.cn/jgsj/xgj/wjfb/art/2026/art_5d2d34e50a5f42bcabc8e861d181d723.html

2026年4月17日，国家网信办等十部门联合公布《促进和规范电子单证应用规定》（以下简称《规定》）。

《规定》中的电子单证系统是指基于网络信息技术，为创建、接收、存储和发送电子单证信息提供技术服务的信息系统。《规定》对规范电子单证系统的安全性明确以下要求：一是要求履行网络安全、数据安全和个人信息保护义务，落实网络安全等级保护制度和数据安全保护责任，建立健全相关技术措施和管理制度，确保电子单证及系统的网络安全、数据安全。二是向境外提供与电子单证有关的数据，要求符合国家关于数据出境的相关规定。

来源：中国网信网

全文链接：

https://www.cac.gov.cn/2026-04/17/c_1778166821092785.htm

2026年4月2日，国家互联网信息办公室、工业和信息化部、公安部近日联合印发《网络安全标识管理办法》（以下简称《办法》）。《办法》旨在提升产品的网络安全能力，加强消费者权益保护，维护网络安全和公共利益，将于2026年7月1日起施行。

《办法》明确，网络安全标识是指能够反映产品本身网络安全能力水平的信息标识。网络安全标识对应的网络安全能力由低到高依次为基础级、增强级、领先级，相应的标识等级分别用一星、二星、三星表示。

《办法》提出，网络安全标识管理工作坚持统筹发展和安全，产品生产者按照自愿原则参与；鼓励产品生产者依据《办法》提升产品网络安全能力，标注网络安全标识；鼓励消费者优先选用标注网络安全标识的产品。

根据《办法》，需要标注网络安全标识的产品，产品生产者应当依据实施规则相关要求开展网络安全能力检测，确定网络安全能力等级，并取得检测报告。任何组织和个人不得伪造、冒用网络安全标识或者利用网络安全标识进行虚假宣传。

来源：新华网

全文链接：

https://mp.weixin.qq.com/s/ezSqsekgW70t6EgYuJiH7g

2026年4月3日，国家数据局综合司发布《数据产权登记工作指引（试行）》（公开征求意见稿），此举旨在推动建立健全数据产权制度，构建全国统一的数据产权登记体系，助力培育全国一体化数据市场。

《数据产权登记工作指引（试行）》（公开征求意见稿）明确，国家数据管理部门负责全国数据产权登记相关管理工作。具体职责包括：建立健全全国统一的数据产权登记制度，试点完善数据产权登记机构监管规则、登记细则等；指导和监督全国的数据产权登记活动；管理国家数据产权登记服务平台；法律法规规定的其他职责。

省级数据管理部门负责本行政区域内的数据产权登记相关管理工作。具体职责包括：推荐本行政区域内的登记机构；指导和监督本行政区域内的数据产权登记活动；法律法规规定的其他职责。省级数据管理部门可委托市级数据管理部门开展具体工作。

来源：人民日报

全文链接：

https://xasjj.xa.gov.cn/web_files/dsjj/file/2026/04/07/202604071118041726090.doc

2026年4月3日，为促进数字虚拟人信息服务健康发展和规范应用，国家互联网信息办公室起草了《数字虚拟人信息服务管理办法（征求意见稿）》（以下简称《意见稿》），并向社会公开征求意见。

根据《意见稿》，数字虚拟人是指存在于非物理世界，利用图形学、数字图像处理或者人工智能等技术，借助真人驱动或者计算驱动，模拟人类外貌，具备声音、行为、交互能力或者性格等特征的虚拟数字形象。

《意见稿》明确，不得向未成年人提供虚拟亲属、虚拟伴侣等虚拟亲密关系，诱导过度消费、诱导信教等数字虚拟人服务，以及含有可能引发或者诱导未成年人模仿不安全行为、实施违反社会公德行为、产生极端情绪、养成不良嗜好等可能影响未成年人身心健康信息的数字虚拟人服务。

《意见稿》提出，任何组织和个人提供、使用数字虚拟人服务的，应当采取措施，自觉防范和抵制生成、传播存在性暗示、性挑逗，展现血腥、惊悚、残忍，煽动人群歧视、地域歧视等对网络生态造成不良影响的内容的活动。

《意见稿》要求，自数字虚拟人服务开始，数字虚拟人服务提供者、服务使用者及提供网络信息内容传播服务的服务提供者应当在数字虚拟人展示区域全程持续显示含有“数字人”字样的显著提示标识，并符合国家人工智能生成合成内容标识有关规定。

来源：科技日报

全文链接：

https://www.cac.gov.cn/2026-04/03/c_1776952992709096.htm

2026年4月3日，国家互联网信息办公室起草了《小型个人信息处理者个人信息保护简化措施规定（征求意见稿）》（以下简称《规定》），旨在支持中小微企业创新发展，简化小型个人信息处理者履行个人信息保护法律法规义务的措施。

《规定》共22条，重点对个人信息保护总体要求、个人信息处理规则简化、小型个人信息处理者义务简化、不予和从轻或者减轻处罚等作出规定。

1. 关于个人信息保护总体要求

明确小型个人信息处理者定义范围、小型个人信息处理者处理个人信息基本原则等总体要求。

2. 关于个人信息处理规则简化

明确公开个人信息处理规则简化、统一制定处理规则、告知个人、取得个人同意、依托网络平台处理个人信息、特殊情况告知、敏感个人信息处理、个人信息出境、个人行权受理、删除个人信息等的简便处理措施。

3. 关于小型个人信息处理者义务简化

明确小型个人信息处理者个人信息保护合规审计、影响评估、管理制度、安全事件应急预案、安全事件报告的简便处理措施，以及个人信息保护认证、合规审计等制度衔接规定等。

4. 关于不予处罚、从轻或者减轻处罚

明确小型个人信息处理者不予处罚情形，从轻或者减轻处罚情形，规定各地区、各部门对小型个人信息处理者的支持措施。

同时，明确小型个人信息处理者开展个人信息保护合规审计、影响评估的自查表和评估表。

来源：网信中国

全文链接：

https://mp.weixin.qq.com/s/8l5mV2gO3TZuF-mkr22Bhw

2026年4月2日，中央网信办获悉，中央网信办、工业和信息化部、公安部发布关于开展2026年个人信息保护系列专项行动的公告，三部门将会同相关部门进一步深入治理移动互联网应用程序（App）、第三方软件开发工具包（SDK）等服务产品，以及互联网广告、教育、交通、卫生健康、金融等重点领域违法违规收集使用个人信息典型问题，并围绕重点问题开展系列专项行动，着力提升人民群众满意度、获得感。

个人信息保护法施行以来，中央网信办会同有关部门持续加大个人信息保护工作力度，查处各类违法违规处理个人信息行为，督促指导个人信息处理者不断提升合规水平，取得了积极成效。

据悉，相关部门将围绕以下重点问题开展系列专项行动：App、SDK违法违规收集使用个人信息专项治理；互联网广告领域违法违规收集使用个人信息专项治理；教育领域违法违规收集使用个人信息专项治理；交通领域违法违规收集使用个人信息专项治理；卫生健康领域违法违规收集使用个人信息专项治理；金融领域违法违规收集使用个人信息专项治理；个人信息相关违法犯罪案件专项打击治理。

来源：光明日报

全文链接：

https://mp.weixin.qq.com/s/vyyzdKV5AqvumivAsJsoKg

2026年4月24日，上海市互联网信息办公室、上海市数据局联合发布《中国（上海）自由贸易试验区及临港新片区、国家服务业扩大开放综合试点地区（上海）数据出境负面清单管理办法（试行）》（以下简称《管理办法》）《中国（上海）自由贸易试验区及临港新片区、国家服务业扩大开放综合试点地区（上海）数据出境管理清单（负面清单）（2025版）》（以下简称《负面清单》）及配套实施指南（《中国（上海）自由贸易试验区及临港新片区、国家服务业扩大开放综合试点地区（上海）数据出境负面清单实施指南（试行）》）。重要内容如下：

《管理办法》分为总则、工作机制与职责、负面清单实施与管理、监督管理、附则五章21条。相比2025年2月8日发布的自贸区负面清单管理办法，一方面，增加《中国（上海）自由贸易试验区及临港新片区、国家服务业扩大开放综合试点地区（上海）数据分类分级参考规则》。另一方面，进一步明确了负面清单的工作机制与单位职责、实施与管理等内容，压实了各区对数据出境事前事中事后全链条全领域的监管责任，并对数据处理者提出数据安全保护方面的具体要求，在扩大清单适用范围的同时，切实守牢安全底线。

《负面清单》涵盖再保险、国际航运、商贸和气象等4个行业领域，共涉及9个具体场景，29个数据子类，109个数据项。相比2025年2月8日发布的自贸区负面清单，一是细化国际航运领域负面清单具体数据项。二是服务本地气象模型出海需求，新增气象领域负面清单。

原《中国（上海）自由贸易试验区及临港新片区数据出境负面清单管理办法（试行）》《中国（上海）自由贸易试验区及临港新片区数据出境管理清单（负面清单）（2024版）》将在新的《负面清单》和《管理办法》生效之日起同步废止。

来源：网信上海

全文链接：

《中国（上海）自由贸易试验区及临港新片区、国家服务业扩大开放综合试点地区（上海）数据出境负面清单管理办法（试行）》

《中国（上海）自由贸易试验区及临港新片区、国家服务业扩大开放综合试点地区（上海）数据出境管理清单（负面清单）（2025版）》

《中国（上海）自由贸易试验区及临港新片区、国家服务业扩大开放综合试点地区（上海）数据出境负面清单实施指南（试行）》

https://www.shtec.org.cn/upload/fmqd.zip

2026年4月15日，中国（江苏）自由贸易试验区数据出境管理联席会议第一次全体会议在南京召开。会上，《中国（江苏）自由贸易试验区苏州片区数据出境负面清单实施操作指引（试行）》（以下简称《操作指引》）获审议通过，为企业依托负面清单开展数据出境业务提供清晰、规范、可落地的全流程指引。

《操作指引》遵循《中国（江苏）自由贸易试验区数据出境负面清单管理办法（试行）》要求，支持苏州自贸片区内企业适用全国各地区已发布的数据出境负面清单，明确企业依托负面清单开展数据出境业务主要步骤如下：

1. 判断适用范围。《操作指引》明确负面清单适用主体要求，数据处理者可依据负面清单进行数据识别，初步判断适用符合性。

2. 准备申报材料。《操作指引》明确列出备案所需的材料清单，并提供材料模板与填写范例，数据处理者可依据进行材料准备。

3. 提交备案申请。《操作指引》明确备案渠道，数据处理者可通过线上平台提交备案申请，在线查看审核进度。

4. 定期跟踪报告。备案完成后，数据处理者应履行数据安全保护义务，保障数据出境安全，每半年向苏州片区管委会报告数据出境情况。

为推动《操作指引》真正落地见效，苏州自贸片区依托“苏数通”数据跨境公共服务平台和苏州国际数据港数据跨境服务中心，以“平台中枢+服务窗口”模式融合线上线下优势，为企业提供数据跨境全方位生态服务体系，助力数据跨境政策落地。

来源：苏州自由贸易试验区

2026年4月3日，广东省政务服务和数据管理局等17部门关于印发《广东省深化数据要素市场化配置改革 培育壮大数据产业若干措施》（以下简称《若干措施》），围绕健全数据基础制度体系、加大数据资源供给力度、创新数据应用场景、繁荣数据流通市场生态、夯实数据基础设施与安全底座、加强配套保障等六个方面提出十五条培育措施，持续释放数据价值，推动广东数据产业高质量发展。

在健全数据基础制度体系方面，《若干措施》提出加快推进《广东省数据条例》立法，修订《广东省公共数据管理办法》，完善公共数据授权运营制度体系，建立数据产权登记制度和争议解决机制。这一系列举措旨在落实国家关于数据产权制度建设的要求，结合广东实际，通过地方立法和规章修订，明晰数据权属，规范授权运营，从源头上破解数据“确权难”问题。

为提升数据资源供给规模和质量，《若干措施》明确将建立全省公共数据资源“一本账”，优化政务数据共享，推进公共数据开放和规范公共数据资源授权运营。同时，开展国有企业数据效能提升行动，推动企业和个人数据依法合规供给。通过“账本化”管理提升公共数据共享效率，积极引领撬动社会数据资源，形成公共数据与社会数据融合供给的新格局。

围绕创新数据应用场景，《若干措施》提出深入开展“数据要素×”行动，加强高质量数据集建设应用，挖掘培育数据应用标杆示范场景。将广东高质量数据集创新大赛打造成为“湾区数超”，创建政务智能联合创新工场，打造“珠江数湾”沙龙，推进行业高质量数据集建设，常态化开展高质量数据集优秀案例遴选推广，发挥高质量数据集“驱动”行业人工智能发展作用。通过标杆引领和沙龙研讨等形式，激发各方活力，促进数据要素在实体经济各领域的价值加快释放，赋能制造业等优势产业转型升级。

为繁荣数据流通市场生态，《若干措施》推出了四项市场培育举措。核心是开展“十百千”数据企业梯度培育行动，打造十家“领航级”、百家“成长级”、千家“种子级”数据企业。同时，推动广州、深圳数据交易所提升服务能级，支持平台企业创新数据流通交易模式，积极培育“数据商”新业态，鼓励有条件的地区建设数据产业集聚区，推动形成特色鲜明、优势互补的数据产业发展格局。

在基础设施与安全方面，《若干措施》提出推进可信数据空间建设与创新发展，推动数据基础设施区域功能节点和业务节点布局，鼓励各方依托数据基础设施开展数据汇聚共享、流通交易与开发利用；注重统筹发展和安全，把落实数据分类分级保护制度和安全主体责任作为基础和前提，健全公共数据安全管理制度，引导企业建立数据安全合规管理体系。

在加强配套保障方面，《若干措施》强调强化组织领导，建立健全数据要素市场化配置跨部门协同监管机制。同时，加强资金、科技、人才等要素保障，营造有利于数据要素市场和数据产业发展的政策环境和创新氛围。提出鼓励高校院所、龙头企业、行业协会、产业联盟等共建数据产业学院、实践基地，开展数据要素领域课程开发与实训，凝聚各方力量共同培育数据产业。

来源：广东省政务服务和数据管理局

全文链接：

https://zfsg.gd.gov.cn/zwgk/gggs/content/post_4878225.html

2026年4月29日，国家数据集管理服务平台在数字中国建设峰会上正式发布并启动试运行（访问地址：https://www.ndsms.cn），标志着我国高质量数据集建设工作迈入集约化管理新阶段。

国家数据集管理服务平台由国家数据局指导、国家数据发展研究院建设和运营，以数据集目录汇聚为基础，构建“物理分散、逻辑集中”的数据集管理体系，提供覆盖数据集全生命周期的公共服务能力，进一步促进高质量数据集有效供给，繁荣产业生态。平台服务三类核心用户，一是向数据管理部门提供数据集目录管理、建设情况监测等功能，提升数据集管理效能；二是向数据集供给方提供数据集发布、凭证申领、质量测评等功能，赋能高质量数据集建设；三是向数据集需求方提供查询检索、需求发布等功能，加快数据集流通利用。

目前，平台已开放供需发布、全域检索、凭证申领等基本功能，并与国家数据基础设施以及安徽省等地方平台完成对接。截至发布当日，平台已认证供需主体200余家，发布数据集1000余个。

来源：国家数据局

2026年4月22日，众议院金融服务委员会与能源和商业委员会宣布联合推进两项具有里程碑意义的数据隐私法案——《GUARD金融数据法》与《SECURE数据法》。这两项法案的核心内容相互呼应，赋予美国人民对其数据更强的控制权，并确立明确的规则。两项法案共同确立的六大核心条款如下：

1. 数据最小化：法案要求，掌握消费者数据的非金融企业（即“控制者”）以及金融机构，只能收集为完成其本职任务所必需的数据，不得超范围收集。

2. 数据访问权：消费者有权请求查看并获取控制者或金融机构所持有的、关于自己的数据副本。控制者或金融机构必须以可移植的格式提供这些数据，方便消费者将其转移至其他机构。

3. 数据删除权：消费者有权要求控制者或金融机构删除其所持有的、关于自己的数据。

4. 敏感数据：控制者和金融机构在使用消费者的敏感数据之前，必须先获得消费者的明确同意（选择加入）。

5. 国家标准：法案将为保护美国人个人数据确立全国统一的标准，结束当前各州法规杂乱、混乱且低效的局面。法案吸收了各州已有隐私法律中的权利、义务和定义，同时保留了州总检察长、保险监管机构等州级执法者的作用。全国标准的建立，将降低新企业进入市场的门槛，促进竞争；同时也让各类企业更容易在50个州向美国人提供产品和服务，从而扩大消费者的选择空间。

6. 避免双重监管：这两项法案分别为金融和非金融行业设定了各自的全国标准。《SECURE数据法》将金融机构及其持有的受《格雷姆-里奇-比利雷法》监管的金融数据排除在适用范围之外；而《GUARD金融数据法》则将非金融企业及其业务活动排除在适用范围之外。

两项法案共同构成了一套合理、协调的联邦方案，将为美国隐私保护带来清晰统一的规则。

来源：众议院金融服务委员会

全文链接：

《GUARD金融数据法》

https://financialservices.house.gov/UploadedFiles/GLBA_xml_v21.pdf

《SECURE数据法》

https://financialservices.house.gov/UploadedFiles/SECURE_Data_Act.pdf

2026年4月22日，比利时数据保护局（Belgian DPA）与英国信息专员办公室（ICO）在意大利威尼斯举行的隐私研讨会上，正式签署了名为《个人数据保护法律监管合作》的备忘录，旨在回应日益增长的跨境合作需求。

双方计划在合作框架内就各自的监管活动进行协商和相互参考，以在数据保护和隐私法律的范围内更好地保护个人权益，并支持各类组织遵守法律。为此，双方希望通过促进信息、经验和最佳实践的交流，在数据保护监管方面相互支持，从而加强现有合作关系。

此外，备忘录还明确了双方的职责分工和合作范围（其中平行调查或执法行动是优先事项之一），并据此确立了广泛的合作原则。合作举措可包括：共享经验和最佳实践，以及就可能影响双方管辖权的、正在或准备进行的违规行为调查交换相关信息（不含个人数据）。

来源：比利时数据保护局（Belgian DPA）

全文链接：

https://www.dataprotectionauthority.be/publications/memorandum-of-understanding-mou-belgian-dpa-and-uk-ico.pdf

2026年4月17日，意大利数据保护机构（Garante）正式通过了《关于电子邮件中使用追踪像素的指南》（以下简称《指南》），明确了《电子隐私指令》、意大利《数据保护法典》以及《通用数据保护条例》（GDPR）项下的透明度、用户同意及问责义务。

《指南》适用于所有在电子邮件中使用追踪像素的公共和私营主体，包括：邮件发送方（控制者）、邮件服务及营销自动化提供商、追踪技术提供商、邮件列表经纪及批量邮件发送商。

1. 关键法律认定：原则上，追踪像素被禁止使用，除非满足以下条件之一：

(1) 数据主体已事先给予知情、自由、明确且具体的同意；或者

(2) 适用法定的例外情形（例如技术必要性或用户明确请求的服务）。

2. 透明度义务：鉴于跟踪像素的隐蔽性，控制者必须提前告知用户其使用目的，并以分层、易于获取的方式（如注册表单、隐私通知链接、弹窗、聊天机器人等多种渠道）提供信息。

3. 同意机制与豁免情形：多数情况下需要用户同意，尤其是用于个体测量、行为分析、画像或营销活动优化的跟踪。但在严格条件下，少数场景可不经同意，例如：

(1) 为保障邮件送达或反垃圾邮件的聚合匿名统计测量；

(2) 安全相关通信（如账户验证、密码重置邮件）；

(3) 强制性的服务或机构通信，且收件人需确认收悉并从中受益。

来源：DG

全文链接：

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10241943

2026年4月16日，欧洲数据保护委员会（EDPB）通过了一份意见，批准了更新后的Europrivacy认证标准集，将其作为依据《通用数据保护条例》（GDPR）第42条第5款设立的“欧洲数据保护印章”。EDPB曾于2022年10月10日通过EDPB第28/2022号意见，首次批准了Europrivacy认证标准，使其成为首个欧洲数据保护印章。此次，Europrivacy认证计划的适用范围已扩展至包括在欧洲以外设立、但因向欧洲境内个人提供商品或服务，或对其行为进行监控而受GDPR第3条第2款约束的控制者和处理者。

此外，EDPB首次通过意见，认可Europrivacy认证标准作为欧洲数据保护印章，并可作为依据GDPR第42条和第46条进行数据传输的工具。如今，不受GDPR约束的欧洲以外数据进口方，可以就其接收的数据传输，申请Europrivacy认证计划。该认证将为欧洲境内的控制者和处理者履行其义务提供便利，证明其已为向第三国或国际组织传输个人数据提供了适当的保障措施。

来源：欧洲数据保护委员会（EDPB）

全文链接：

https://www.edpb.europa.eu/system/files/2026-04/edpb_opinion_202614_europrivacy_en.pdf

2026年4月16日，欧洲数据保护委员会（EDPB）发布《关于科学研究目的个人数据处理的新指南》（以下简称《指南》），旨在明确《通用数据保护条例》（GDPR）框架下以科研为目的的个人数据处理规则。《指南》在保障个人数据权利的前提下，为科研人员厘清合规要求，提出界定科研活动的六项关键标准：系统性研究方法、符合伦理规范、过程透明、研究独立性、明确的科研目标及推动知识进步的潜力。满足上述标准的研究活动可被推定为GDPR所定义的"科学研究"。

针对科研场景中的个人数据再次处理问题，《指南》指出若数据最初即以科研为目的收集，控制者无需重新进行兼容性测试，但需确保原始法律依据持续有效。EDPB支持在采集数据时科研目的未完全明确的情况下采用“宽泛同意”机制，但要求配备严格的伦理保障措施。同时鼓励采用“动态同意”模式（即根据具体研究项目逐项获取同意），并允许两种同意模式结合使用。

《指南》对数据主体权利作出细化说明，明确在符合特定条件时（如行使权利将严重阻碍研究目标，或数据处理系履行公共利益任务所必需），可对删除权、反对权等权利进行合理限制。针对多机构参与的科研项目，EDPB进一步厘清了控制者、共同控制者及处理者之间的责任分配机制。

在技术保障层面，《指南》建议采用匿名化、假名化、安全存储环境、隐私增强技术及伦理监督等措施。EDPB已组建专项工作组，计划于今年夏季前完成匿名化技术指引。

来源：GDPR Buzz

全文链接：

https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2026/guidelines-12026-processing-personal-data_en

法国国家信息自由委员会（CNIL）于2026年4月2日官方发布《人力资源数据保存期限参考框架》（以下简称“参考框架”），旨在提供一份可操作性指南，帮助所有受法国劳动法管辖的公共或私营雇主组织识别并确定人员管理数据处理活动所适用的相关保存期限。

参考框架按处理活动类别进行分类，具体包括：招聘、员工行政管理、薪酬管理、人员与财产安全保障、职业车辆管理、工作场所电话通话的监听与录音、集体劳动关系管理、工伤事故管理、法律纠纷及诉前纠纷管理、职业预警管理。

参考框架并非强制义务，但其中部分列举的期限因源于立法或行政法规而具有强制性。

参考框架并非穷尽性列举：除《劳动法典》或《社会保障法典》规定的义务外，其他特定领域（如《通用税法典》、《道路法典》、《国内安全法典》等）可能还存在具有强制力的专项规定。

来源：法国国家信息自由委员会（CNIL）

全文链接：

https://www.cnil.fr/sites/default/files/2026-04/referentiel_durees_de_conservation_gestion_des_ressources_humaines.pdf

2026年4月14日，欧洲数据保护委员会（EDPB）发布一项新的数据保护影响评估（DPIA）模板征求意见稿（以下简称“模版”），旨在为各类组织执行评估提供结构化框架，从而简化GDPR合规流程，并推动欧盟范围内评估实践的一致性。模板通过引导组织系统化记录数据处理风险的评估与管理过程，确保相关信息得以准确、完整地呈现。

当数据处理可能对个人权利与自由构成高风险时，进行DPIA至关重要。评估需涵盖对处理活动的描述，审视其必要性与相称性，并明确风险缓释措施。模板逐步引导用户完成全流程，协助组织规范完成上述关键步骤。

尽管组织可自主选用任何DPIA方法，但模板通过预设栏目引导用户提供完整且统一的回复，有助于减少疏漏、节省时间并提升风险管理水平。随模板附有一份解读文件，以简明语言阐释关键概念、解答常见问题，帮助控制者更有效地完成评估。

来源：GDPR Buzz

全文链接：

https://www.edpb.europa.eu/system/files/2026-04/edpb_dpia_template_2026_v1_en.docx

2026年4月27日，根据中央网信办、工业和信息化部、公安部联合发布的《关于开展2026年个人信息保护系列专项行动的公告》，依据《网络安全法》《个人信息保护法》《网络数据安全管理条例》《App违法违规收集使用个人信息行为认定方法》等法律法规和有关规定，中央网信办组织对App（含小程序）收集使用个人信息行为进行检测，对有关问题予以通报：

1. 15款App无个人信息收集使用规则或在首次运行时未通过弹窗等明显方式提示用户阅读个人信息收集使用规则；

2. 2款App未逐一列出收集使用个人信息的SDK，未取得用户同意；

3. 4款App违反必要原则，收集与其提供的服务无关的个人信息；

4. 12款App未提供有效账号注销途径或为用户注销账号设置不合理条件；

来源：网信中国

2026年4月17日，上海市互联网信息办公室发布2026年第一批属地App个人信息收集使用问题通报，8款上海公园景区官方微信小程序被公开点名，主要存在以下问题：

1. 首次启动未提示用户阅读隐私政策；

2. 隐私政策难以访问；

3. 未完整准确告知收集使用个人信息情况；

4. 未制定专门的个人信息处理规则；

5. 告知收集使用个人信息目的、方式、范围与实际收集使用情况不一致；

6. 收集敏感个人信息未同步告知目的及必要性；

7. 未经用户同意收集使用个人信息；

8. 超出必要范围收集使用个人信息；

9. 强制用户同意收集非必要个人信息；

10. 未提供有效注销用户账号功能；

11. 注销后未及时删除个人信息；

12. 未及时响应个人信息权益诉求（更正、删除等）；

13. 未及时处理个人信息安全投诉、举报；

14. 未建立、公布个人信息安全投诉举报渠道；

15. 频繁征求用户同意收集个人信息。

来源：网信上海

近日，北京互联网法院审结一起因OTA平台机票预订引发的个人信息侵权纠纷案，认定平台内商家在未取得消费者单独同意的情况下，擅自将用户个人信息提供给第三方，违反“告知-同意”规则，依法判决赔礼道歉并赔偿维权合理开支。

原告吴某通过某OTA平台订购机票，其后在其航空公司官方APP中发现名下多出两段非本人订购的行程，遂起诉平台经营者、收款方、平台内商家及航空公司四被告，主张其个人信息权益受到侵害。

法院审理查明，平台内商家从平台经营者处获取原告个人信息后，未向原告履行告知义务，也未取得原告单独同意，即擅自将信息提供给无出票代理资质的案外票务代理公司，该公司工作人员操作失误多订了争议机票。法院认定，平台经营者已在购票环节显著披露信息处理相关内容，按最小必要原则传输个人信息，收款方仅处理去标识化的支付信息，航空公司如实展示客票信息，均不构成侵权；四被告相互之间无意思联络，亦不构成个人信息共同处理者。

法院明确指出，根据《个人信息保护法》，去标识化处理后的信息仍属于个人信息范畴；个人信息处理者对外提供个人信息时，须履行明确的告知义务并依法取得用户的单独同意。最终，法院判令平台内商家就侵害个人信息权益一事以书面形式向原告赔礼道歉并赔偿维权合理开支。判决已生效。

宣判后，北京互联网法院已向涉案OTA平台经营者发送司法建议。平台方表示将严格按照司法建议，督促商户合规经营，加强日常核查监督。

来源：北京互联网法院

2026年4月，浙江高院发布《2025年度浙江法院知识产权保护典型案例》，其中涉及一起非法抓取并深度利用他人平台数据引发的不正当竞争纠纷案，详情如下：

原告淘某公司、天某公司运营电商平台，对商品数据设置了脱敏、模糊化等保护措施，并通过Robots协议及用户协议禁止未经授权的爬取行为。被告慢某公司、磅某公司等自2018年起，利用比价插件截取用户登录Cookie，破解IP限制、滑块验证等风控措施，长期非法爬取平台商品数据。其后，被告通过自营网站直接销售数据，并提供“价格监测”“销量推算”等工具，向企业客户展示精细化的商品价格、销量预估等信息，引导客户通过知识产权投诉打压正品低价链接。

法院认为，原告对数据的收集、处理及保护投入了合法劳动与成本，享有竞争性权益。被告采取的技术手段绕开或破坏了平台防护措施，具有明显不正当性；其后续利用行为导致平台数据过度透明化，违背商家合理商业预期，助长恶性价格竞争，损害中小微企业利益及消费者选择权，破坏以效能为导向的良性市场竞争秩序。尽管被告辩称其投入资金形成了新的数据产品，但法院综合考量各方利益及市场竞争影响，认定其行为构成不正当竞争。

来源：浙江法院新闻网

2026年4月15日，澳大利亚通信与媒体管理局（ACMA）发布的消息，消费者贷款机构Latitude Finance Australia因违反《反垃圾邮件法》超过270万次，已支付396万澳元罚款。

经ACMA调查发现，在2024年3月至2025年4月期间，Latitude发送了超过230万条未载明准确联系信息的营销信息，其中344,416条信息同时缺乏有效的退订功能。这些营销信息主要推广Latitude信用卡产品及相关金融服务。尽管部分信息注明收件人可回复“STOP”退订，但实际操作中很多信息无法实现退订功能。

此次处罚是ACMA针对Latitude垃圾邮件违规行为采取的第二次执法行动。2022年，该公司因类似违规行为支付了155万澳元罚款。最新违规行为是通过Latitude在前次调查后签署的法院强制承诺所要求的合规报告机制发现的。

根据新的法院强制承诺，Latitude必须任命独立顾问对其垃圾邮件合规制度进行全面审查，并定期向ACMA提交详细报告。

过去18个月，澳大利亚企业因垃圾邮件违规累计支付罚款已超过1060万澳元。ACMA已发布相关指引，帮助企业了解并履行其在垃圾邮件法规下的义务。

来源：澳大利亚通信与媒体管理局（ACMA）

2026年4月20日，法国国家安全证件管理局确认，其信息系统于4月15日发生安全事件，导致部分用户个人数据遭未经授权访问。

法国内政部表示，受影响信息可能包括：姓名、电子邮箱、出生日期，以及部分用户的住址、出生地和电话号码等，但不涉及办理证件时提交的附件材料，也无法直接用于登录账户。

相关部门称已启动技术调查，并采取措施加强系统安全，同时正向受影响用户发送通知。法国司法部门已介入调查。

法国国家安全证件管理局负责办理法国护照、身份证、居留证及驾驶执照等重要证件业务。此次事件引发外界对公共机构网络安全的关注。

来源：央视新闻

2026年4月4日，香港医院管理局（下称“医管局”）发布公告，通报一宗怀疑病人资料未经授权取走并于第三方平台泄漏的事故。

泄露的是九龙东医院联网的56,000多名病人的个人资料，包含病人姓名、性别、身份证号码、医院档案号码、手术内容等资料。

医管局向受影响病人致歉，并将采取一切可行措施，务求将对病人影响减至最低。

医管局会尽快透过「HA Go」应用程式、邮寄和电话方式通知受影响病人，九龙东医院联网已设立热线5215 7326，供病人查询，热线运作时间为星期一至日，病人也可于非热线运作时间留言查询。

医管局发现事件后已严正检视内部网络系统，确认系统运作安全正常，事件不涉及网络攻击等因素，并已即时暂停承办商的系统维护工作。

来源：香港政府一站通