1.1.1.國家互聯網信息辦公室數據出境安全管理政策問答(2025年10月)
10月31日,國家網信辦發布《數據出境安全管理政策問答(2025年10月)》,針對實踐中的熱點問題作出回應。問答明確,跨境購物等豁免場景的“等”不限于列舉情形,但需符合合同關聯與必要提供原則;境內個人預定境內酒店數據出境不適用豁免。對重要數據出境,明確2個月申報期內可提前準備材料;境外機構人員在境內調取數據不屬出境。此外,還細化了系統升級是否需重報評估、標準合同備案次數及境外接收方轉第三方等實操要求,為數據處理者合規提供清晰指引。
來源:
https://mp.weixin.qq.com/s/JLr066P-zKJxs_0gcDu8rA
1.1.2.全國網安標委發布關于征求國家標準《數據安全技術 數據安全保護要求》(征求意見稿)意見的通知
10月31日,全國網絡安全標準化技術委員會歸口的國家標準《數據安全技術 數據安全保護要求》現已形成標準征求意見稿。根據《全國網絡安全標準化技術委員會標準制修訂工作程序》要求,現將該標準征求意見稿面向社會公開征求意見。標準提出了數據安全保護框架,規定了數據安全保護的原則、目標和要求,適用于指導數據處理者開展數據分類分級保護工作,也可為主管監管部門、第三方評估機構等組織對數據安全進行監督、管理和評估提供參考。
來源:
https://mp.weixin.qq.com/s/dISBt-qgXkGeONev_UnNcA
1.2.1.世界經濟論壇發布《量子技術:先進制造和供應鏈的關鍵機遇》報告
10月28日,世界經濟論壇(WEF)發布報告指出,量子技術依托模擬、優化、精密傳感、安全通信四大核心能力,能夠有效應對全球制造業與供應鏈面臨的多重挑戰,包括數字化轉型壓力、運營波動性加劇、定制化需求提升及可持續性要求升級等。報告將量子技術劃分為量子計算、量子傳感、量子安全與通信三大類別,各類別應用場景明確:量子計算可解決復雜組合優化問題,量子傳感能實現超精密測量,量子安全與通信則用于保護敏感數據及工業網絡安全。通過這些應用,量子技術可推動產品設計與研發創新、提升工廠生產精確度與效率、增強供應鏈敏捷性與安全性。具體案例顯示,波音公司借助量子算法加快材料研發進程,臺積電運用量子傳感器識別納米級缺陷,美國洛杉磯港通過量子優化引擎提高集裝箱交付效率。報告同時建議,需通過搭建量子就緒平臺、推動全球量子技術標準統一等舉措,助力量子技術實現規模化落地應用。
來源:
https://www.weforum.org/stories/2025/10/what-every-manufacturing-leader-know-about-quantum-technologies/
1.2.2.歐洲數據保護監督機構發布修訂版生成式AI指南
10月28日,歐洲數據保護監督機構(EDPS)宣布更新針對歐盟機構、團體、辦公室和機構(EUIs)使用生成式AI及處理個人數據的指南,以應對技術快速發展及生成式 AI 系統帶來的新挑戰。此次修訂旨在強化數據保護,指導EUIs 全面遵守《歐盟法規第 2018/1725 號》規定的數據保護義務,且基于EUIs反饋提供更清晰實用的指導。關鍵更新包括:細化生成式AI定義以增強明確性與一致性、新增行動導向的合規檢查清單(助力評估處理活動合法性)、明確 EUIs 作為控制者、聯合控制者或處理者的角色責任,以及就合法依據、目的限制、數據主體權利處理提供詳細建議。
來源:
https://www.edps.europa.eu/press-publications/press-news/press-releases/2025/edps-unveils-revised-guidance-generative-ai-strengthening-data-protection-rapidly-changing-digital-era_en
1.2.3.Gartner發布《2026年十大戰略技術趨勢》報告
10月20日,Gartner發布報告指出,2026年是技術領導者的關鍵一年,在AI驅動的超互聯世界中,顛覆、創新與風險正以前所未有的速度涌現。2026年十大戰略技術圍繞“架構師”“綜合師”“先鋒者”三大主題展開:“架構師”聚焦構建安全、可擴展、自適應數字基礎,含AI原生開發平臺、AI超級計算平臺、機密計算3項技術;“綜合師”強調技術協同創造新價值,含多智能體系統、領域特定語言模型、物理AI 3項技術;“先鋒者”關注主動安全與透明治理,含先發制人型網絡安全、數字溯源、AI 安全平臺、地緣回遷4項技術。
來源:
https://www.gartner.com/en/articles/top-technology-trends-2026
2.1.1.國家互聯網信息辦公室、國家市場監督管理總局聯合公布《個人信息出境認證辦法》
10月17日,國家互聯網信息辦公室、國家市場監督管理總局聯合公布《個人信息出境認證辦法》(以下簡稱《辦法》),旨在保護個人信息權益、規范個人信息出境認證活動,促進個人信息高效安全跨境流動。
《辦法》共十九條,對《個人信息保護法》第三十八條第一款第二項規定的個人信息出境認證制度作了基本規定,具體包括個人信息出境認證的適用情形、申請方式、認證要求、證書有效期等內容,細化專業認證機構應當履行的義務、監督管理等規定,并對違反《辦法》規定的法律責任、適用效力等作出了規定。《辦法》自2026年1月1日起施行。
來源:
https://www.cac.gov.cn/2025-10/17/c_1762449728720008.htm
2.1.2.國家互聯網信息辦公室等發布第一批通過個人信息保護合規審計服務認證的專業機構名單
為落實《中華人民共和國個人信息保護法》《個人信息保護合規審計管理辦法》相關要求,中央網信辦(國家網信辦)數據與技術保障中心、中國網絡安全審查認證和市場監管大數據中心、北京賽西認證有限責任公司依據《中華人民共和國認證認可條例》以及相關認證規則、實踐指南開展專業機構認證工作。10月21日,國家互聯網信息辦公室等聯合發布通過第一批13家通過個人信息保護合規審計服務認證的專業機構名單,認證有效期為五年。
來源:
https://www.cac.gov.cn/2025-10/21/c_1762768277043600.htm
2.1.3.工信部通報20款侵害用戶個人信息權益行為的智能終端
10月22日,工業和信息化部信息通信管理局根據中央網信辦、工業和信息化部、公安部、市場監管總局等四部門聯合發布《關于開展2025年個人信息保護系列專項行動的公告》,通報20款侵害用戶權益行為的智能終端名單,要求其按照有關規定進行整改,對整改落實不到位的,將依法依規組織開展相關處置工作。
此次通報涉及家庭網絡攝像機、兒童電話手表、智能音箱、(人臉)智能門鎖、對話機器人、智能學習終端等產品,主要問題項包括未提供個人信息處理規則、收集人臉信息未單獨告知、超范圍收集非必要個人信息、違規傳輸個人信息至云端、未提供權限管控機制、強制自動續費等問題。
來源:
https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2025/art_c5fe23fd370746c9bb8a50751390e374.html
2.1.4.最高法發布互聯網法院案件管轄規定,“網絡個人信息保護、隱私權糾紛”將由互聯網法院集中管轄
10月11日,為加強互聯網法院建設,進一步發揮互聯網法院司法便民利民、公正高效便捷解紛、強化網絡空間依法治理、服務保障數字經濟健康發展的功能作用,最高人民法院發布《最高人民法院關于互聯網法院案件管轄的規定》(法釋〔2025〕14號,以下簡稱《規定》),對互聯網法院案件管轄范圍作出調整完善。《規定》自2025年11月1日起施行。
《規定》共四條,在《最高人民法院關于互聯網法院審理案件若干問題的規定》(法釋〔2018〕16號)的基礎上,進一步明確了互聯網法院的案件管轄范圍、協議管轄規則、上訴審理機制等內容。其中,“網絡個人信息保護、隱私權糾紛”作為新增網絡案件類型納入互聯網法院集中管轄。《規定》施行后,北京市、杭州市、廣州市市轄區內應由基層法院審理的上述案件將分別由三家互聯網法院集中管轄,有效探索前述新型、前沿、重點網絡領域裁判規則,發揮規范引領、促進保障作用,及時回應網絡空間治理新要求,護航數字經濟健康發展。
來源:
https://www.court.gov.cn/fabu/xiangqing/478291.html
2.2.1.歐盟就《關于數字市場法與通用數據保護條例協同使用的聯合指南》公開征求意見
10月9日,歐洲數據保護委員會與歐盟委員會就《關于數字市場法與通用數據保護條例協同適用的聯合指南》公開征求意見,意見反饋截止時間為2025年12月4日。
該指南重點圍繞DMA中涉及個人信息處理的核心條款展開,進一步明確了GDPR中的合法性基礎、同意要求、透明度與最小化原則在DMA合規中的適用,以確保《數字市場法》(DMA)與《通用數據保護條例》(GDPR)在多個關鍵場景下得以有效協同適用,以達成各自的立法目標,同時充分尊重歐盟法律所確立的數據保護基本權利。
https://mp.weixin.qq.com/s/TW06RlvqYnz1Smseg8-uLg
2.2.2.歐盟數據保護委員會明確第五次聯合執法行動主題,將透明度遵守情況作為執法重點
10月14日,歐洲數據保護委員會(EDPB)宣布第五次聯合執法行動主題,2026年將重點關注組織是否遵守《通用數據保護條例》規定的透明度和信息告知義務。
在此次聯合行動中,歐盟各成員國數據保護機構 (DPAs)將先在本國圍繞行動主題展開調查。隨后,EDPB將匯總并分析各國的行動結果,并在必要時于國家或歐盟層面采取有針對性的后續措施。各成員國數據保護機構將在未來幾周內自愿加入此項行動。
https://www.edpb.europa.eu/news/news/2025/coordinated-enforcement-framework-edpb-selects-topic-2026_en
2.2.3.奧地利數據保護局微軟365教育版非法追蹤學生數據,要求限期整改
10月11日,奧地利數據保護局(DSB)審理認定Microsoft 365教育版非法追蹤學生數據,拒絕披露數據收集和處理情況等行為,違反了歐盟《通用數據保護條例》相關規定,要求微軟方面限期作出整改。微軟方回應稱將對裁決結果進行審查。
該事件的起因是一名奧地利學生依據GDPR相關規定,要求其學校披露使用Microsoft 365教育版過程中對學生數據的收集與處理情況。學校稱對該軟件收集的數據沒有實際控制權,無法提供這些信息。其后,該學生在歐洲數據保護組織NOYB(None of Your Business)的支持下,于2024年對學校、地方教育委員會、教育部及微軟公司發起投訴,指控使用該軟件侵犯了學生合法權益。DSB就此作出裁決,認為微軟存在多項違法行為:一方面,Microsoft 365教育版未經同意使用了跟蹤cookie,并用于分析用戶行為,違反GDPR,據此要求微軟、學校和教育部門檢查此類cookie是否仍在使用,并于十周內刪除所有相關數據;另一方面,微軟未能回應用戶提出的披露數據收集和處理情況的要求,在數據處理透明度方面存在嚴重問題,侵犯個人的知情權和數據訪問權,據此要求微軟向原告提供長期有效的訪問通道,在四周內對學生數據使用情況作出解釋。此外,調查還發現部分數據已被傳輸至LinkedIn、OpenAI以及廣告技術公司Xandr,構成違法數據傳輸行為。
https://mp.weixin.qq.com/s/wiHMgEK9qHGXRLSr82BekA
文章來源:中國信息通信研究院安全研究所公眾號
浙公網安備 33010502006954號 
