国家网信办、公安部发布《大型网络平台个人信息保护规定(征求意见稿)》
2025年11月22日,国家网信办和公安部发布了《大型网络平台个人信息保护规定(征求意见 稿)》(以下简称《规定》),旨在帮助具有海量用户和对全局有系统性影响的大型网络平 台,进一步提升个人信息保护能力。《规定》明确,对大型网络平台的认定,主要考虑以下因 素:(1)注册用户5000万以上或者月活跃用户1000万以上;(2)提供重要网络服务或者经营 范围涵盖多个类型业务;掌握处理的数据一旦被泄露、篡改、损毁,对国家安全、经济运行、 国计民生等具有重要影响;国家网信部门、国务院公安部门规定的其他情形。《规定》强调, 大型网络平台服务提供者应当履行按照法律法规有关规定指定个人信息保护负责人、明确个人 信息保护工作机构、将在中华人民共和国境内运营中收集和产生的个人信息存储在境内等义 务。《规定》指出,当大型网络平台出现重大安全风险、严重数据事故或执法发现系统性缺陷 等极端情形,且平台自身能力不足以保障个人信息安全时,监管机关有权要求平台将个人信息 转移至符合条件的第三方数据中心进行存储和管理。(查看更多)
国家网信办发布《网络安全标识管理办法(征求意见稿)》
2025年11月21日,国家网信办发布了《网络安全标识管理办法(征求意见稿》(以下简称《办法》),旨在提升产品的网络安全能力,加强消费者权益保护,维护网络安全和公共利益。 《办法》所称网络安全标识,是指能够反映产品本身网络安全能力水平的信息标识。《办法》 明确,网络安全标识对应的网络安全能力由低到高依次为基础级、增强级、领先级,相应的标 识等级分别用一星、二星、三星表示。《办法》规定,需要标注网络安全标识的产品,产品生 产者应当依据实施规则相关要求开展网络安全能力检测,确定网络安全能力等级,并取得检测 报告。根据《实施网络安全标识的产品目录(第一批)(征求意见稿)》,消费类网联摄像头 应实施网络安全标识。(查看更多)
国家网络与信息安全信息通报中心通报40款违法违规收集使用个人信息的App
2025年11月17日,国家网络与信息安全信息通报中心通报了40款违法违规收集使用个人信息的 App,所涉问题包括但不限于:(1)未逐一列出收集、使用个人信息的目的、方式、范围; (2)实际收集的个人信息超出用户授权范围;(3)实际收集的个人信息超出相关功能的必要 范围;(4)未向用户提供个人信息相关投诉渠道或功能;(5)未向用户提供更正或补充其个 人信息的具体途径;(6)未向用户提供删除其个人信息的具体途径。(查看更多)
北京三部门联合约谈18款小众通联 App运营主体
2025年11月21日,北京市网信办、市公安局、市通管局依法联合约谈18款小众通联App运营主 体,通报其存在的涉诈风险,责令限期整改,切实履行主体责任。依据《反电信网络诈骗法》 《网络安全法》等法律法规,三部门提出明确管理要求:(1)全面落实实名制。在与用户签订 协议或确认提供服务时,依法要求用户提供真实身份信息,用户不提供真实身份信息的,不得 提供服务。(2)完善监测识别机制。对利用其服务从事涉诈支持、帮助活动进行监测识别和处 置,对监测识别的涉诈异常账号立即重新核验,并根据风险等级采取限制功能、暂停服务等处 置措施。(3)健全内部管理制度。完善反诈内部防控机制和安全责任制度,防范被不法分子利 用。积极配合监管执法工作,为公安机关办案提供技术支持和协助。(4)加强反诈宣传提示。 在App注册、使用环节的显著位置,通过公告栏等方式加强反诈宣传,提高用户反诈意识。同 时,完善用户投诉通道,及时受理处置用户举报。(查看更多)
上海市网信办发布生成式人工智能服务登记信息公告
2025年11月19日,上海市网信办发布了生成式人工智能服务登记信息公告,其按照《生成式人 工智能服务管理暂行办法》要求,有序开展上海市生成式人工智能服务备案工作。截至11月19 日,上海市新增3款已完成登记的生成式人工智能服务,累计已完成130款生成式人工智能服务 登记。已上线的生成式人工智能应用或功能,应在显著位置或产品详情页面标明所取得的上线 编号。(查看更多)
欧盟:欧盟委员会在数字综合一揽子计划下修订GDPR和其他数字规则
2025年11月19日,欧盟委员会正式推出其数字综合一揽子计划。该提案是对欧盟数字监管体 系的全面更新,欧盟委员会将其定位为一项提升竞争力与简化监管的举措,旨在减轻企业行 政负担并增强法律确定性。数字综合一揽子计划包含《数字综合条例》(Digital Omnibus), 其将修订《通用数据保护条例》(GDPR)、《电子隐私指令》、《网络安全指令 2.0》和 《数据法案》等法规。主要提案包括:(1)GDPR中"个人数据"的定义将被修订,将持有 该信息的主体不具备"有合理可能被使用的手段"以识别该个人的信息排除在外。(2) GDPR拟提出两项核心修订条款,旨在明确面向为开发和部署人工智能系统及模型而处理个人 数据的控制者的相关规则。(3)"科学研究"的概念现拟明确界定为"任何亦能支持创新的 研究,例如技术开发与示范"。(4)该提案扩大了现有透明度要求的例外情形适用范围,尤 其是在为科学研究目的而进行数据处理的情形下。(5)欧盟委员会旨在通过采用更具灵活性 和统一性的在线追踪规则,解决"同意疲劳"问题及 Cookie 横幅泛滥的现象。(6)欧盟委员 会计划推出欧盟数据泄露单一入口报告门户,采用"一次提交、广泛共享"模式,以简化合 规义务。(7)根据欧盟委员会的提案,欧洲数据保护委员会(EDPB)将承担制定欧盟层面 统一清单的任务,明确列出需要开展和不需要开展数据保护影响评估(DPIA)的数据处理活 动,以取代目前的各国清单。(查看更多)
爱尔兰:爱尔兰高等法院裁决暂缓禁止TikTok数据跨境传输
2025年11月17日,爱尔兰高等法院维持了一项暂缓执行裁决,该裁决要求社交媒体巨头 TikTok暂停向中国传输数据。法官表示,在数据保护委员会(DPC)认可本案存在需审理的 重大争议点的情况下,法院的目标是确保在上诉听证会举行前,将不公风险降至最低。他认 为,若不批准暂缓执行,TikTok遭受的损失规模几乎无法量化;且即便TikTok上诉胜诉,其 挽回该损失的可能性也极小,损害赔偿不能被视为充分的救济方式。他指出,尽管延迟执行 DPC的裁决确实会对基本权利构成风险,且该风险在权衡中具有重要分量,但证据表明,此 风险范围有限且具有暂时性。不过,他强调暂缓执行的期限应尽可能短,因此批准暂缓的前 提是:只要在TikTok的能力范围内,上诉案件需在明年3月前开庭审理。法官还下令,TikTok 需以清晰易懂的语言向所有用户告知DPC的裁决内容,该告知还应提及TikTok的上诉事宜及 本次批准的暂缓执行决定。(查看更多)