• 中文版
  • English

    • 个人信息保护负责人制度正式落实,中国个信保护进一步常态化

    路盛

    2025/08/28

    ————路盛提示————

    • 网信办正式启动个人信息保护负责人信息报送工作,申报通过线上系统展开,首批报送应在8月29日前完成。
    • 多部门联合推动移动APP数据合规工作,《摇一摇广告触发行为安全要求》正式发布,另外两则国家标准《未成年人产品和服务个人信息保护要求》《电子产品信息清除技术要求》正在制定中。
    • 海外方面,欧盟《人工智能法案》通用人工智能模型相关规范即将生效,越南公布重要数据、核心数据目录,推动7月1日生效的《越南数据法》中关于此两类数据跨境传输的前置合规要求的落实。

     

    ————监管要闻————

    网信办正式启动个人信息保护负责人信息报送工作

    个人信息保护负责人制度初见于《个人信息保护法》,并在2025年5月1日正式实施的《个人信息保护合规审计管理办法》中进行了细化规定,要求处理100万以上个人信息的个人信息处理者,应当向所在地设区的市级网信部门履行个人信息保护负责人信息报送手续。7月18日,网信办发布《关于开展个人信息保护负责人信息报送工作的公告》,明确信息报送工作通过线上“个人信息保护业务系统”完成,个人信息处理数量已达到100万人的,应当在8月29日前完成信息报送;之后达成的,应在满足条件30个工作日内完成保送。

    目前个人信息保护业务系统已上传《个人信息保护负责人信息保送系统填报说明(第一版)》,其中包含一张《个人信息保护负责人情况》信息表,除企业与负责人的基本信息外,还对企业整体及不同业务板块的个人信息处理规模、月活用户数量、个人信息处理种类、未成年人信息收集情况和收集方式进行了统计。因此信息报送工作在实质上也是各企业落实《个人信息保护法》情况的一次摸底,标志着中国个人信息保护工作将进一步常态化。

     

    ————数据出境————

    7月17日,中欧数据跨境流动交流机制第二次会议在布鲁塞尔举行,双方同意设立工作组就中欧汽车领域数据跨境流动开展合作。

     

    ————互联网合规————

    722日,网安标委发布《网络安全标准实践指南——摇一摇广告触发行为安全要求》,指南要求App运营者和第三方广告SDK运营者在提供摇一摇广告功能时,应遵循透明性、自主性和个人信息保护原则,并设定合理的广告触发阈值,防止用户在非自主意愿下触发广告跳转。

    网安标委拟制定国家标准《未成年人产品和服务个人信息保护要求,适用于供未成年人使用的网络产品和服务的开发、销售、运营方。《保护要求》创新性地提出了基础保护、交互增强和适龄优化三个保护等级,未成年产品、服务应根据其形态、功能、用户范围等选择适用。

    网信办拟制定强制性国家标准《电子产品信息清除技术要求》,对电子产品用户数据清除功能及电子产品回收、二手交易环节的信息清除进行规范。根据当前《征求意见稿》,电子产品须内置“一键清除”功能,清除范围覆盖APP及相关数据、用户媒体文件、缓存、备份、系统配置信息、NFC绑定信息、加密密钥,清除完成后不能通过相应技术工具恢复、读取、访问。

    73日,工信部组织中国互联网协会和中国信息通信研究院发布《移动互联网应用服务用户权益保护合规管理指南》,重点梳理服务提供、个人信息保护、算法推荐、服务收费、投诉处理、客服热线6个方面的用户权益保护要求。

    714日,网信办发布第十二批深度合成服务算法备案信息,公布2025年7月境内深度合成服务算法备案名清单,包括医疗、教育、旅行、服饰、数字人等不同领域389个深度合成服务算法。

     

    ————数据交易————

    72日,国家数据局和市场监管总局发布《关于印发数据流通交易合同示范文本的通知》。示范文本包括数据提供、数据委托处理、数据融合开发和数据中介服务四类合同。

     

    ————个人信息执法————

    78日,中国网络空间安全协会发布12款完成个人信息收集使用优化改进App清单,组织指导网络社区、应用商店、餐饮外卖、房屋租售、网络直播、即时通信和求职招聘7类12款App运营方重点针对超范围收集个人信息、过度调用敏感权限、权限设置和账号注销不便等个人信息收集使用问题完成了优化改进。

    711日,国家网络与信息安全信息通报中心通报68款违法违规收集使用个人信息的移动应用723日,公安部计算机信息系统安全产品质量监督检验中心检测发现33款违法违规收集使用个人信息的移动应用。相较以往,新增提前要求用户打开非当前功能所需的可收集个人信息权限和强制要求用户打开非必要的可收集个人信息权限两项通报事由。

     

    ————数据安全————

    71日,《关键信息基础设施商用密码使用管理规定》全文发布,将于8月1日起正式实施。

    7月31日,国家互联网信息办公室就H20算力芯片漏洞后门安全风险约谈英伟达公司。

     

    ————域外新闻————

    今年8月2日,欧盟《人工智能法案》通用人工智能模型相关条款正式生效。欧盟委员会在7月接连发布《通用目的人工智能行为准则》《通用目的人工智能模型提供者义务范围指南》《通用目的人工智能模型训练内容公开摘要模板》等多份文件,旨在帮助行业遵守《人工智能法案》中的相关义务。《行为准则》是一项自愿性工具,主要针对透明度、版权和安全三大项义务提出合规方案,自愿签署的企业可通过履行《行为准则》的要求证明其已遵守《人工智能法案》的要求,简化了行政流程并获得更大的法律确定性。《指南》作为补充,对通用人工智能模型相关的关键概念进行了梳理明确。而《模板》则用于通用人工智能模型训练数据披露,便于通用人工智能简单、统一、合规地提升透明度。

    7月10日,爱尔兰数据保护委员会(DPC宣布对TikTok向中国境内服务器传欧盟用户个人数据一事展开调查。此前TikTok一直称欧盟用户个人数据全部储存在中国境外服务器上,中国员工仅提供远程访问的方式进行操作。但今年4月,TikTok告知DPC,一部分欧盟用户数据已进入中国境内服务器,因此本次调查主要关注其数据传输是否符合GDPR的条件、提供同等水平的数据保护。

    7月1日,《越南数据法》正式生效。该法案对“重要数据”及“核心数据”的跨境传输提出了严格的合规要求,两者均须进行影响评估并向数据监管机构申报,重要数据处理者在5个工作日内未收到反对意见即可继续传输,而核心数据处理者则须等待审批结果。次日,越南政府发布《核心数据与重要数据清单》明确26项核心数据和18项重要数据。