国内数据法规政策动态:
一、《网络数据安全风险评估办法》发布
二、《商业秘密保护规定》6月1日起正式施行
三、《国务院关于对外投资的规定》强化数据跨境监管
四、《金融信息服务数据分类分级指南》发布
五、国家网信办发布《中国个人信息保护报告(2025年)》
六、消费类网联摄像头网络安全配套规范印发
七、国家网信办、市场监管总局联合印发《网络测评活动规范》
八、《促进分布式数字身份互通互认应用规定(征求意见稿)》公开征求意见
境外数据法规政策动态:
一、加拿大:拟出台《保护隐私与消费者数据法》
二、日本:《个人信息保护法》修正案提交参议院
三、我国牵头制定!首个自动驾驶系统全球技术法规获批发布
四、西班牙&比利时:发布电子游戏行业GDPR合规指南
五、欧盟:EDPB统一数据泄露通知模板
六、欧盟&韩国:签署数字贸易协定
七、法国:CNIL发布潜在客户与客户电子通讯合规指南
八、巴西:启动对应用商店与操作系统的年龄合规监测
全球数据监管执法动态:
一、上海市首个数据出境负面清单备案落地
二、携程因未落实数据出境安全评估要求等行为被罚1000万元
三、国家网络与信息安全信息通报中心通报40款违法违规收集使用个人信息的移动应用
四、上海通信管理局发布违规App、SDK整治通报
五、韩国:酷澎泄露超3000万用户数据遭罚4亿美元
六、巴西:就数据共享违规通报Claro与Serasa,启动制裁与专项调查程序
七、意大利:Poste Vita因数据泄露被罚8万欧元
2026年6月18日,国家网信办、工业和信息化部、公安部联合公布《网络数据安全风险评估办法》(以下简称《办法》),自2026年8月20日起施行。
《办法》明确了适用范围、评估机制和部门职责。规定在中华人民共和国境内开展网络数据安全风险评估应当遵守《办法》。明确在国家数据安全工作协调机制指导下,国家网信部门会同国务院电信、公安等有关部门建立网络数据安全风险评估专项工作机制,指导、监督风险评估工作。规定有关主管部门根据工作需要对本行业、本领域处理重要数据的网络数据处理者(以下简称重要数据处理者)开展风险评估情况进行检查。
《办法》明确了风险评估的有关要求、依据和形式。规定重要数据处理者应当每年度开展风险评估。重要数据安全状态发生重大变化可能对数据安全造成不利影响的,应当及时对发生变化及其影响的部分开展风险评估。鼓励处理一般数据的网络数据处理者至少每3年开展一次风险评估。明确风险评估工作应当按照法律法规要求,参照有关国家标准开展。规定网络数据处理者可以自行或者委托第三方评估机构开展风险评估。
《办法》明确了风险评估报告的编制、报送与检查要求。规定重要数据处理者应当依法按照有关主管部门规定和要求编制并报送风险评估报告,有关主管部门将报告通报同级网信部门。明确国家网信部门汇总相关报告,并与国务院电信、公安、国家安全等有关部门共享。规定省级以上有关部门可以对重要数据处理者的风险评估报告进行检查核验。
《办法》还明确了评估机构的认证、培育、重大风险通知及监督管理要求。
来源:网信中国
全文链接:
https://mp.weixin.qq.com/s/ypoiNq_5IxGtLw8o9pg9xQ
2026年6月1日正式实施《商业秘密保护规定》(以下简称“新规”),市场监管总局新规重点补齐数字资产合规监管空白,将各类企业数据、算法纳入法定商业秘密保护范畴,为数据收集、存储、传输、防护划定清晰合规边界。
新规明确,算法、程序代码、研发实验数据属于技术类商业秘密,客户信息、经营数据库等经营数据同样受法律保护,即便是研发失败数据、阶段性试验成果,因具备潜在商业价值也在保护范围内。针对远程办公、跨境协作等高频数据泄密场景,文件将权限分级、数据脱敏、操作日志全程留痕认定为法定有效保密措施,企业落实以上手段可作为合规举证关键依据。
同时新规细化数字化侵权情形,将黑客入侵、越权拷贝、私自云盘传输涉密数据、电子窃取等行为划定为不正当获取商业秘密,员工私导出客户库、第三方机构擅自留存企业数据均属违规。条款新增域外管辖规则,境外主体窃取境内企业数据扰乱国内市场,监管部门可依法查处。
监管层面,执法人员办案时需严格保密涉案企业核心数据,行政处罚文书不得披露涉密内容。企业一旦存在数据泄密侵权行为,最高可处五百万元罚款,情节严重涉嫌犯罪将移送司法。企业需同步完善数据分级、访问管控、离职数据回收等制度,规避数据合规风险。
来源及全文链接:中华人民共和国中央人民政府
https://www.gov.cn/gongbao/2026/issue_12766/202605/content_7070596.html
2026年6月1日,《国务院关于对外投资的规定》(以下简称“规定”)发布,将于7月1日正式施行。规定在规范对外投资行为的同时,也为企业的数据跨境活动划定了清晰的合规红线,凸显了国家在扩大开放背景下对数据安全的高度重视。
规定明确,企业在对外投资中,不得未经许可出口或转移国家禁止或限制的“相关数据”。同时,所有对外投资涉及的“跨境数据流动”,都必须严格依照国家现行法律法规执行,这意味着企业需全面审视其数据出境活动是否符合《数据安全法》《个人信息保护法》等要求。
此外,规定还特别关注司法与执法环节的数据出境风险。当企业因境外仲裁、诉讼或调查需要向境外提供材料时,必须遵守数据安全和个人信息保护等相关法律,履行必要的审批程序。
来源及全文链接:中华人民共和国中央人民政府
https://www.gov.cn/zhengce/content/202606/content_7070755.htm
2026年6月13日,国家网信办、中国人民银行、国家金融监督管理总局等六部门联合印发《金融信息服务数据分类分级指南》(以下简称《指南》),旨在为金融信息服务机构提供一套系统性、可操作的数据安全管理指引。
《指南》适用于在中华人民共和国境内从事金融信息服务的金融信息服务提供者开展数据分类分级和重要数据识别工作。不适用于涉及国家秘密的数据和军事数据。
《指南》的核心在于建立了一套精细化的数据分类分级体系。在分类上,它将金融信息服务数据划分为业务数据、用户数据和企业数据三大类,并进一步细分为9个二级分类和67个三级分类,实现了对数据资产的精准画像。在分级上,《指南》参照国家标准,将数据从高到低分为核心数据、重要数据、敏感一般数据和常规一般数据四个级别。为便于金融信息服务提供者开展数据分类分级工作,《指南》附录A给出了金融信息服务数据第三级分类67类数据的数据描述和示例,以及数据分级的参考最低级别。
尤为值得关注的是,《指南》结合金融行业数据的敏感性,创新性地将“一般数据”细分为“敏感”和“常规”两级。此举旨在推动金融机构加强对那些虽未达到“重要数据”级别,但一旦泄露仍可能对经济运行、社会秩序或个人权益造成重要影响的数据的保护力度。
来源:中国网信网
全文链接:
https://www.cac.gov.cn/2026-06/13/c_1782919789934988.htm
2026年6月12日,国家互联网信息办公室发布《中国个人信息保护报告(2025年)》(以下简称《报告》)。《报告》以习近平总书记关于网络强国的重要思想为根本遵循,全面梳理2025年我国个人信息保护取得的成果,系统总结经验,广泛凝聚共识。这是国家网信办首次发布个人信息保护综合性年度报告,为深化推进个人信息保护工作、提升各方个人信息保护意识能力提供有力支撑。
《报告》分为正文和附录两大板块。正文共有七个部分,开篇系统概述2025年我国个人信息保护取得的积极进展,主体部分围绕加强顶层设计、强化监管治理、推动社会共治、深化宣传教育、对外交流合作等全面总结工作成效,最后对2026年工作进行展望。附录部分对个人信息保护法律法规规章、国家标准、典型司法案例等作了集纳。
来源:中国网信网
全文链接:
https://www.cac.gov.cn/2026-06/12/c_1782920093356001.htm
2026年6月15日,国家网信办等三部门发布消费类网联摄像头网络安全配套规范,两套文件同步落地,将于2026年7月1日正式施行,仅针对民用家用摄像头,公共安防设备不在管控范围。
其中《消费类网联摄像头网络安全标识实施规则》属于管理流程文件,主要规范整套标识运行机制:明确蓝底标识样式、3年有效期限、备案二维码等必备要素,划定厂商自愿备案流程、提交材料清单,同时规定标识印制、线上线下展示规范,对伪造报告、冒用标识等行为设置公示、一年内不再受理其备案等处罚措施。
另一套《网络安全标识消费类网联摄像头安全要求》是核心技术判定标准,划分一星基础、二星增强、三星领先三级防护标准,从硬件、系统、网络、数据隐私、安全保障五大维度设置硬性检测指标,还配套完整测评方法与第三方检测机构资质门槛。
两份文件相辅相成、缺一不可。技术标准是判定产品安全星级、出具检测报告的唯一依据;厂商只有完成对应等级检测,拿到合格报告,才能按照实施规则提交材料完成备案、张贴对应星级标识。
来源及全文链接:工业和信息化部
https://wap.miit.gov.cn/jgsj/waj/wjfb/art/2026/art_560972d39feb447e9187b9ee11b0654e.html
近日,国家网信办、市场监管总局联合印发《网络测评活动规范》(以下简称《规范》)。《规范》旨在规范网络测评活动,维护公平市场竞争秩序,保护公民、法人和其他组织合法权益。
近年来,网络测评快速兴起,测评类经营主体通过开展测试、对比分析数据、引用专业检测结果或者表达使用感受等方式,发布测试过程与评价结果,为消费者购物提供参考。但一些网络测评存在夸大宣传、只评不测、商测一体等问题,不仅影响消费者信任度和购物体验,也扰乱市场环境。出台《规范》,是推动网络测评活动健康发展的需要,也是优化营商网络环境、维护企业合法权益的需要。
《规范》明确,从事网络测评活动,应当遵守法律、行政法规和国家有关规定,遵循商业道德、公序良俗,坚持客观、公正、全面、准确原则。《规范》要求,从事网络测评活动,涉及对产品功能、性能等项目测试,应当委托具有法定检验检测资质许可的检验检测机构按照相关标准以及技术规范开展测试。对食品开展检验检测的,测试方应当具备相应资质,不得使用非标方法,不得测评无国家标准检验方法的项目。不得采取不同标准、不同方法对同类产品进行横向、纵向比较。《规范》提出,未对产品开展测试,仅凭主观感受对产品进行评价,应当进行说明。网站平台要加强对网络测评信息内容管理,及时受理处置相关投诉举报。
来源及全文链接:网信中国
https://mp.weixin.qq.com/s/VPLVMyoSueTLmwQyxN-tQA
为促进分布式数字身份创新发展和互通互认应用,建立健全分布式数字身份公共服务体系,支撑国家区块链网络基础共性服务能力建设,国家互联网信息办公室会同有关部门起草了《促进分布式数字身份互通互认应用规定(征求意见稿)》,于2026年6月18日向社会公开征求意见。
根据征求意见稿,分布式数字身份是指基于区块链等分布式技术,支持用户自主管理身份信息的新型数字身份,由标识符、密钥、可验证凭证和可验证声明构成,可用于数字账户管理、登录认证、数据授权等场景,旨在解决跨地域、跨行业、跨平台身份互通互认问题。
征求意见稿提出,坚持市场化、法治化原则,鼓励多元主体参与分布式数字身份体系建设,形成可持续性发展模式,激励创新、优化分工、促进发展。在保障现有业务服务连续性与稳定性的前提下,推动分布式数字身份与金融、交通、海关、税务等行业现有身份体系间互通互认。
征求意见稿指出,鼓励用户终端设备支持使用分布式数字身份,鼓励各应用场景平台方开展基于分布式数字身份的登录认证,简化业务流程。
来源:新华网
全文链接:
https://www.cac.gov.cn/2026-06/18/c_1783525605384124.htm
2026年6月15日,加拿大创新、科学与经济发展部宣布,政府已正式向议会提交《保护隐私与消费者数据法》(Bill C-36,简称PPCDA),旨在全面修订已有25年历史的私营部门隐私法规,以适应人工智能与数字经济时代的挑战。
现行法律制定于大规模人工智能、深度伪造及算法决策尚未普及的时期,难以应对当下儿童数据被过度收集等问题。PPCDA不仅是《国家人工智能战略:AI惠及全民》的基石,更是重建公众信任的关键。只有确保隐私得到保护、儿童信息安全得到保障,加拿大人才能放心接纳数字服务与AI技术。
PPCDA的核心内容包括:确立隐私为加拿大人的基本权利;针对儿童信息管理设定更高标准;要求企业在处理个人信息时提供通俗说明并获得有效同意;在使用自动化决策作出重大个人决定时必须保持透明;赋予民众删除个人信息的权利以保护名誉;禁止不公平的数据使用行为(如“监控定价”);支持数据可携权,允许民众在安全框架下转移个人数据;强化数字主权,要求跨境传输前进行风险评估;并建立强有力的执法机制。
法案将由新设立的独立机构——“加拿大数字安全与数据保护委员会”监管执行。该机构同时负责《数字安全法》,以确保在数字技术与数据监管上的协调一致。违规企业将面临最高1000万加元或全球营收3%(以较高者为准)的处罚,严重违法者最高罚款可达2500万加元或全球营收的5%。
来源:加拿大政府
全文链接:
https://www.parl.ca/DocumentViewer/en/45-1/bill/C-36/first-reading
2026年6月12日,日本《个人信息保护法》等部分修正法律案正式提交参议院,并交付“数字社会形成及人工智能活用等特别委员会”审议。该法案于4月7日经内阁决议后提交国会,5月26日在众议院全体会议上以多数赞成票获得通过。
此次修法旨在平衡个人数据保护与AI产业发展。核心修改包括:
1.放宽AI训练数据使用限制。修正案准许在用于统计制作(含AI开发)时,无需本人同意即可向第三方提供个人数据或获取敏感个人信息。同时,对于从取得状况看明显不违反本人意愿、不损害其权益的数据处理行为,也免除同意要求。
2.引入行政罚款制度(课征金)。对因大量处理个人信息而实施恶意违法行为、侵害个人权益的情形,将命其缴纳相当于违法所得财产性利益的课征金。此外,对非法提供个人信息数据库等行为提高法定刑,并新增对通过欺诈等手段非法获取个人信息的处罚规定。
3.加强儿童与生物识别数据保护。明确16岁以下未成年人需由其法定代理人同意,并缓和使用停止请求要件。对脸部特征数据等,禁止基于选择退出制度向第三方提供,并强制要求公开相关处理事项。
来源:日本个人信息保护委员会
全文链接:
https://www.ppc.go.jp/files/pdf/260407_kisyahaifusiryou.pdf
2026年6月22日至26日,联合国世界车辆法规协调组织(UN/WP.29)第199次全体会议在瑞士日内瓦召开。会上,由中国、欧盟、英国、美国、加拿大和日本共同牵头制定的联合国自动驾驶系统全球技术法规(ADS GTR)经全体缔约方投票表决,正式获批发布。此次发布的ADS GTR明确了自动驾驶系统产品核心技术指标,同步提出了制造商层面的要求及配套的审核和评估方法,构建起覆盖产品全生命周期的法规框架。作为全球首个自动驾驶全球技术法规,该法规提供了自动驾驶技术有序安全落地的统一遵循,对加速自动驾驶车辆产业化发展、推动全球汽车产业智能化转型具有里程碑意义。
来源:中国政府网
2026年6月18日,西班牙数据保护局(AEPD)与比利时数据保护局(Belgian DPA)联合发布《电子游戏领域数据保护建议与最佳实践》(以下简称“指引”)。这是欧洲数据保护机构首次专门针对电子游戏行业出台指引,旨在推动业界在游戏的设计、开发与发行全流程中切实遵守《通用数据保护条例》(GDPR)。
指引指出,游戏环境中的数据处理早已不局限于基础的身份信息。运营商往往会收集海量的遥测数据与行为推断信息——这些数据足以在游戏场景中精准识别特定玩家,从而实现定向互动、差异化对待,甚至利用自动化决策和画像技术来分析或预测玩家行为,在无人工干预的情况下自动执行操作。这种深度的数据处理在带来商业价值的同时,也伴随着极高的隐私风险。
指引基于对现行游戏的实证分析——既包括静态分析(审查隐私政策、服务条款、合同及服务水平协议),也包括动态分析(监测在线游戏环境、SDK及启动器的实际运行情况)。它深入剖析了游戏行业特有的技术与运营细节,针对游戏生命周期的各个阶段及生态系统中的各类主体(开发商、工作室、发行商、云服务商、数据分析工具提供商、反作弊系统及AI供应商等),提供了具体的建议与最佳实践。
尤为重要的是,指引将晦涩的GDPR条文转化为游戏行业熟悉的技术语言,避免了笼统的法律解释。它通过附录中的检查清单等形式,帮助从业者在不牺牲创新与竞争力的前提下,切实平衡合规义务与商业发展,守护用户的合法权益。
来源:比利时数据保护局
全文链接:
https://www.aepd.es/en/guides/videogames-recommendations-industry.pdf
2026年6月10日,欧洲数据保护委员会(EDPB)全体会议审议通过欧盟统一数据泄露通知标准模板,对外正式发布并启动公开征求意见。
该模板依据《通用数据保护条例》第33条制定,用于企业向欧盟各国数据监管机构上报个人信息泄露事件,统一全欧盟申报格式,消除各国监管申报表单差异。模板预设标准化填报字段与指引,覆盖泄露事由、受影响人群、风险后果、处置措施等法定必填内容,降低跨国企业合规成本,尤其减轻中小机构申报负担。
本次仅统一申报形式,未新增实质性合规义务。公众意见征集截至2026年8月5日,意见收集完成后,EDPB将确定各国监管机构全面落地该模板的执行时间表。
来源:EDPB
全文链接:
https://www.edpb.europa.eu/system/files/2026-06/edpb_template_2026_data_breach_notification_v1.0_en.docx
2026年6月10日,欧盟委员会宣布,欧盟与韩国在布鲁塞尔峰会上签署了数字贸易协定(DTA)(以下简称“协定”)。
协定是对自2011年起生效的《欧盟—韩国自由贸易协定》的补充,引入了具有约束力的高标准数字贸易规则。例如,协定确认电子合同的法律效力与可执行性,并允许使用电子签名。这将为消费者和企业——尤其是中小微型企业——带来新的机遇。
协定还将通过强有力的在线消费者保护规则,提升数字经济环境下的消费者安全保障与信任度。可信赖的数字环境是数字贸易顺畅运行乃至蓬勃发展的关键所在。
此外,协定促进跨境数据流动,并禁止强制要求转让源代码。与此同时,欧盟与韩国将继续维持各自在数据保护与隐私方面的既有高水平标准,并保留为实现合法政策目标所需的监管空间。
来源:欧盟委员会
全文链接:
https://circabc.europa.eu/ui/group/09242a36-a438-40fd-a7af-fe32e36cbd0e/library/1bddb97a-c02e-41e6-95d1-6e41029c880f/details?download=true
2026年6月10日,法国数据保护局(CNIL)发布了关于向潜在客户及现有客户发送电子通讯的最新指南,对商业推广、交易类通知及关系维护类信息的合规要求作出了详细阐释。这份指南旨在厘清《通用数据保护条例》(GDPR)及《法国数据保护法》在电子邮件、短信等电子营销场景下的具体适用标准。
CNIL将电子消息划分为三大类,每一类的合规逻辑各不相同:
1.商业推广信息:旨在推销产品、服务或提升企业形象。这类信息原则上必须事先获得个人的明确同意。唯一的例外是针对现有客户——如果推广内容涉及该公司已有的同类产品或服务,可在未征得同意的情况下发送,但前提是必须在首次收集数据时及之后的每次沟通中,明确告知用户其数据将被用于推广,并提供简便的拒收渠道。
2.交易类信息:为履行合约或响应用户请求所必需的通知(如订单确认、物流更新、安全提醒)。此类信息不需要事先征得同意,其合法性基于合同履行或企业的合法利益。
3.关系维护类信息:用于跟进既有的商业关系,但不含直接的促销意图(如满意度调查、续费提醒)。此类信息同样不需要事先同意,但CNIL特别强调,其内容必须聚焦于告知或支持用户,不得夹带实质性的促销内容。一旦信息中包含了优惠激励或购买邀请,便会被重新定性为“商业推广”,进而触发严格的同意要求。
为确保符合监管要求,CNIL建议企业从以下几方面夯实合规基础:
1.精准定性:在发送每一条消息前,务必明确其属于哪一类,以此确定相应的法律基础;
2.透明告知:向用户清晰披露发送方的身份、信息处理目的以及用户享有的各项权利;
3.便捷行权:设置易于操作的拒绝或撤回同意机制(例如清晰的复选框或退订链接),确保用户能随时行使权利;
4.动态维护黑名单:及时更新并严格执行“拒收名单”,确保已选择退出的用户不再收到推广信息;
5.全程留痕:妥善保存相关证据,包括同意记录及内部操作流程,以备监管检查。
来源:DG
全文链接:
https://www.cnil.fr/fr/communication-electronique-quelles-regles
2026年6月10日,巴西国家数据保护局ANPD启动专项监控行动,核查苹果App Store、谷歌Google Play、微软Windows操作系统的年龄验证合规落地情况,落实《数字青少年保护法》(ECA Digital)强制要求。
监管机构表示,应用商店是未成年人接触数字服务首要入口,仅靠用户自主勾选年龄的简易核验方式不合规,平台必须搭建可靠技术校验机制,并开放标准化年龄标识接口,方便应用区分用户年龄段,限制未成年人访问不适内容、定向广告,采集年龄信息全程遵循数据最小化原则,禁止过度收集证件、生物敏感信息。
来源:DG
2026年6月26日,爱特思亚太企业管理有限公司在静安区数据跨境服务中心指导下,顺利通过上海市网信办、上海市数据局数据出境负面清单备案审核,收到了上海市数据出境负面清单管理办法及配套文件落地实施后,上海市首张数据出境负面清单备案结果通知书。
爱特思亚太在日常运营中涉及大量跨国订单处理、客户沟通及供应链协同等数据交互需求,其会员信息出境原本需要申报数据出境安全评估。但根据负面清单新规要求,仅需完成个人信息出境标准合同备案即可,合规门槛明显降低。上海市数据出境负面清单政策发布当天,企业即向静安区数据跨境服务中心表示,负面清单政策为企业提供了极大便利,但对申报材料、备案流程等具体操作希望得到专业指导。
来源:网信上海
近期,在国家网信办指导下,上海市网信办针对属地部分企业网络数据安全主体责任履行不到位、安全管理防护措施缺失、后端处理数据合规能力不足、数据出境合规审计不严等问题办理了一批执法案件。其中,针对上海携程商务有限公司未落实数据出境安全评估要求、违法出境个人信息等行为,依据《个人信息保护法》,予以罚款1000万元的行政处罚,并责令企业限期改正。企业受处罚后积极配合,全面落实有关整改要求。
今年以来,通过执法办案发现,部分民生领域互联网企业仍然存在违法违规出境个人信息的行为。网信部门进一步加大网络执法力度,严厉打击危害网络和数据安全、侵害个人信息权益、扰乱经济社会秩序等各类网络违法违规行为。
来源:网信上海
2026年6月22日,经公安部计算机信息系统安全产品质量监督检验中心检测,40款移动应用存在一项或者多项违法违规收集使用个人信息情况,通报如下:
1.处理不满十四周岁未成年人个人信息,未制定专门的个人信息处理规则,未取得未成年人父母或其他监护人的同意。
2.未经用户同意收集使用个人信息。
3.未完整准确告知收集使用个人信息情况,或告知收集使用个人信息目的、方式、范围与实际收集使用情况不一致。
4.未列明向第三方提供个人信息的种类、目的、方式以及接收方的名称、联系方式。
5.在申请打开可收集个人信息的权限或申请收集用户等个人敏感信息时,未同步告知用户其目的。
6.超出必要范围收集使用个人信息,在无关场景收集位置、通讯录、短信等个人信息。
7.未设置易于理解、便于访问和操作的个性化推荐关闭选项。
8.未提供有效注销用户账号功能。
9.未建立、公布个人信息安全投诉举报渠道等。
10.未向用户提供行使更正、删除、拒绝处理个人信息等权利的便捷渠道,相关功能不完善不健全。
11.频繁或意外弹出广告,影响用户正常使用。
来源:公安部网安局
2026年6月4日,上海市通信管理局发布2026年第三批侵害用户权益行为App(SDK)通报。监管部门依据《个人信息保护法》《网络安全法》《电信条例》等法规,落实全国个人信息保护专项行动工作要求,委托第三方机构开展抽查,排查出56款存在侵害用户权益问题的移动应用及软件开发工具包。
本次通报原文未完整公示细分违规条目,结合工信部、上海监管同类整治常见违规情形,涉事产品普遍存在以下侵害用户权益问题:
1.超出业务实际需求,超范围收集用户各类个人信息;
2.嵌入第三方SDK时,未完整、清晰公示第三方信息收集行为;
3.频繁索取非必要设备权限,强制用户授权方可使用基础服务;
4.隐私政策展示隐蔽、文本晦涩,难以正常查阅个人信息处理规则;
5.未提供便捷的账号注销、个人信息删除通道,注销流程设置不合理门槛;
6.定向个性化推送无关闭入口,无法撤回营销信息授权;
7.无关业务场景下申请位置、通讯录、短信等敏感个人信息;
8.自动续费、弹窗跳转等功能未充分提示,侵害用户消费选择权。
来源:上海通信圈
韩国个人信息保护委员会2026年6月11日通报,电商巨头酷澎因大规模泄露用户数据、违规采集网络活动记录等,被处以合计约6247亿韩元(约4.08亿美元)罚款,创该机构就数据泄露事件对单一企业开出的最高罚单。
其中,因泄露用户数据处罚4236亿韩元(2.77亿美元);因违规收集约1117万名用户在第三方网站和应用上的在线活动记录并以可识别个人身份形式储存,处罚2011亿韩元(1.3亿美元)。酷澎旗下物流子公司另被罚2.48亿韩元(16.2万美元)。
酷澎2025年11月承认,因安全管理系统存在漏洞,造成3320万名会员和430万名非会员用户数据外泄,远超此前调查显示的3367万人。数据泄露后该公司未在72小时内通知受影响用户,致使用户错失防止二次受害的时机。
来源:中国家电网
2026年6月8日,巴西国家数据保护局ANPD正式发布公告,针对电信运营商Claro与征信机构Serasa启动合规调查程序,认定二者合作共享用户个人数据存在多项违反《通用个人数据保护法》(LGPD)的违规线索。监管区分处置路径:对Claro直接立案行政处罚,对Serasa开展专项深度核查。
本次调查源于两家企业此前达成的商业合作协议,Claro向Serasa批量传输用户信息,用于搭建信用评估模型、开展市场数据分析。监管核查发现核心违规问题:Claro向Serasa共享了每位客户超过100项的数据,远超业务所需最小范围,违反数据最小化原则;平台未向用户清晰地告知数据对外共享对象与用途,透明度严重缺失;企业数据保护负责人联络渠道不畅,用户难以行使查询、删除等法定数据权利。
ANPD表示,涉事合作协议现已终止,但行政处罚流程不受影响。若全部违规事实查实,Claro单条违法最高可处以5000万雷亚尔罚款,或企业全球年营收2%,二者取高额处罚。
来源:ANPD
2026年6月4日,意大利数据保护局(Garante)公布了一项针对寿险公司Poste Vita的行政处罚决定。该决定的最终裁决日期为2025年7月10日,认定该公司违反欧盟《通用数据保护条例》(GDPR)有关数据处理基本原则及数据泄露通报的相关规定,对其处以8万欧元行政罚款。
本案起源于一名客户的投诉。该客户持有三项人寿保险保单,但其个人数据被非法披露给未经授权的第三方,且该第三方随后在司法诉讼程序中使用了这些数据。经调查发现,此次数据泄露系因Poste Vita内部操作员的一系列操作失误所致。在处理涉及该客户保单的信息查询请求时,工作人员在未核实发件邮箱是否与客户预留联系方式一致的情况下,直接向两个电子邮件地址披露了保单数据。尽管这两个邮箱地址包含数据主体的姓名,但该客户从未向公司提供过任何电子邮箱信息,实际上这些账户均由第三方控制。
意大利数据保护局指出,涉事公司未能履行“通过适当技术手段验证数据主体身份”的义务,违反了GDPR第5条关于“完整性、保密性”的处理原则,同时也违反了第33条关于数据泄露管理的规定。鉴于Poste Vita在事件发生后已迅速完善内部流程,引入严格的身份验证程序,监管机构决定不再采取其他额外措施,仅处以8万欧元罚款。
来源:EDPB
收集整理:德和衡网络安全与数据合规团队
德和衡网络安全与数据合规团队是一个长期专注于数据合规专项法律服务的团队。团队成员由北京、深圳、上海三地的律师组成。团队自2014年成立以来,核心成员均来自国内领先的网络安全企业360,积累了丰富的行业经验。团队致力于协助企业客户提升数据管理水平,预防及应对数据安全问题,提高数据质量,并充分发挥企业数据资产的最大价值。目前,团队已为房产、能源、智能制造、电子、车联网、大数据、金融、物流、电商等多个行业的领军企业提供全套数据合规法律服务。



