————路盛提示————

• 中国国家网信办发布《关于报送未成年人个人信息保护合规审计情况的公告》，上线线上报送系统与填报说明，明确每年 1 月 31 日前为报送时间，标志未成年人个人信息合规审计制度进入常态化执行阶段。面向未成年、全年龄受众提供产品、服务的企业应积极对信息处理情况进行评估，按要求开展审计工作。
• 《数据安全技术 电子产品信息清除技术要求》强制性国标正式发布，将于2027年1月1日实施。新标准要求电子产品提供不可逆的信息清除功能，覆盖用户文件、账号口令、加密密钥等，还要求电子产品二手经营者履行信息清除与核验义务。厂商、第三方开发商及回收经营者需严格执行。
• 浙江省宁波中院审结一起电商平台商品数据爬取案件，违法爬虫服务提供商遭500万元高额赔偿。
• 欧盟首次依据DSA对 X 平台处以2 亿欧元罚款。越南通过《人工智能法》，按风险等级管控数据流。美国特朗普政府签署 AI 行政命令，拟制定联邦统一的、合规负担最小的监管框架。

————监管要闻————

国家网信办发布《关于报送未成年人个人信息保护合规审计情况的公告》

《未成年人网络保护条例》第37条要求个人信息处理者每年自行或委托专业机构开展未成年人个人信息合规审计，并向所在地设区的市级网信部门报送合规审计情况。2025年12月29日，网信办发布《公告》，正式上线线上报送系统和第一版填报说明，明确每年报送时间为1月31日前，标志着中国未成年人个人信息合规审计制度的正式进入常态化执行阶段。

从《未成年人网络保护条例》规定原文来看，合规审计义务履行主体采取客观判断标准，即只要产品在客观上处理了未满18周岁未成年人的个人信息，尤其是受众直接定位未成年人群体、或未设置年龄限制的全年龄段产品，以及大规模处理海量用户信息的产品或服务，运营企业都应当及时开展业务评估工作，确认是否涉及未成年人信息处理，并明确负责人、经办人、使用场景、处理规模等基本情况，及时启动合规审计程序并积极进行风险整改。

中央网信办发布《数据安全技术 电子产品信息清除技术要求》强制性国家标准

2025年12月2日，电子产品信息清除相关强制性国标发布，将于2027 年1 月1日正式实施。《技术要求》要求电子产品应为用户提供内置信息清除功能或外部清除工具，覆盖用户文件、应用程序、通讯录、账号口令、加密密钥等所有用户数据，且应当达到清除不可逆，用户数据无法访问、无法恢复的效果。《技术要求》针对磁介质、半导体介质明确了数据覆写、块擦除等具体清除技术方法，电子产品厂商、第三方清除功能开发商应当依照《技术要求》进行开发。除前述主体外，《技术要求》还明确了电子产品回收经营者的个人信息保护义务，要求其必须对二手电子产品进行信息清除，并在销售前验证信息清除效果。

————数据出境————

2025年12月30日，国家网信办公布3家通过个人信息出境认证专业机构备案的机构，分别为中国网络安全审查认证和市场监管大数据中心、中央网信办（国家网信办）数据与技术保障中心和北京赛西认证有限责任公司。个人信息处理者通过认证方式向境外提供个人信息的，可以向上述机构申请个人信息出境认证。
2025年12月22日，全国网安标委就《网络安全标准实践指南 —— 粤港澳大湾区 (内地、澳门) 个人信息跨境处理保护要求 (征求意见稿)》公开征求意见，明确2024年9月两地合作备忘录确认的粤港澳大湾区（内地、澳门）个人信息跨境安全互认机制的基本原则和具体要求。

国家市监总局、网信办2025年12月12日正式公示变更个人信息出境认证的标准依据，明确跨境处理活动的个人信息保护认证依据标准变更为GB/T 35273《信息安全技术 个人信息安全规范》和去年8月29日发布的新推荐性国家标准GB/T 46068《数据安全技术 个人信息跨境处理活动安全认证要求》。

福建省发布《中国（福建）自由贸易试验区数据出境负面清单管理办法（试行）》《中国（福建）自由贸易试验区数据出境管理清单（负面清单）（2025版）》，涵盖医药、车联网、零售、航空维修四大行业。值得注意的是，相关领域内企业提交数据出境业务场景、出境数据目录等备案材料后，各自贸片区将首先审核反馈数据是否在负面清单内的意见，企业可根据反馈结果开展后续合规工作。

————数据执法————

2025年12月8日，广州中院审结首例利用 IMEI 码技术关联匹配个人信息，非法倒卖牟利侵犯公民个人信息罪案。A 公司及 5 名被告人未获用户授权，非法从B通信公司处获取带有特定上网偏好标签的加密IMEI码，经技术碰撞还原为明文手机号，并向下游公司出售，共牟利 68 万余元，构成侵犯公民个人信息罪，追缴违法所得，依法处以有期徒刑并处罚金。值得注意的是，A公司原与B通信公司开展DMP大数据业务，约定由A提供已取得用户授权的加密IMEI码，再由B公司从其数据库中匹配用户上网偏好标签，脱敏后返还给A公司。上述交易最终并未按照约定形式履行。广州中院在公开裁判要旨中并未认定前述数据合作合同违法。

浙江省宁波中院宣判一起淘宝、天猫诉八被告（包括五公司三自然人）不正当竞争一审纠纷，八被告长期未经许可，以爬虫技术突破反爬措施、截取用户 Cookie 等方式，抓取两平台商品数据并提供有偿服务，构成共同侵权与不正当竞争。法院判令其立即停止侵权，连带赔偿 500 万元并登报消除影响。

12月1日，上海网信部门、市场监管部门联合发布5起不履行个人信息保护义务的典型案例，既包括企业存在未加密存储、未开展网络安全等级保护测评、日志留存不足等安全防护问题导致数据泄露，亦涵盖变相强制收集个人信息、违法使用消费者个人信息销售药品。

————移动应用监管————

2025年12月4日，国家计算机病毒应急处理中心检测发现69款违法违规收集使用个人信息的移动应用，告知义务履行不完全、未提供便捷的撤回同意方式、未采取加密和去标识化等安全技术措施是三类最常见违法情形。

12月9日，工信部通报24款存在侵害用户权益行为APP及SDK，涉及教育学习、健康管理、社交娱乐、物流货运、广告工具等多个高频使用领域。

12月29日，公安部计算机信息系统安全产品质量监督检验中心检测发现54款违法违规收集使用个人信息的移动应用，其中29款应用未公开收集使用规则。

12月17日，上海市通信管理局通报下架38款侵害用户权益行为APP（SDK）。这38款APP于2025年11月被公示违法后未在整改期限内落实整改要求，上海通信局予以下架处理。

12月23日，中国网络空间安全协会发布《关于发布完成个人信息收集使用优化改进App清单的公告（2025年第6批）》。华住会、知乎、腾讯会议等6款APP已依照《网络安全法》《个人信息保护法》等法律犯规，重点针对超范围收集个人信息、过度调用敏感权限、权限设置及账号注销不便等个人信息收集使用问题，完成了优化改进。

————产业支持————

2025年12月8日，国家能源局印发《能源行业数据安全管理办法（试行）》，自2026年7月1日起施行，将对能源行业数据依照一般、重要、核心三级进行管理。

12月29日，工信部等四部门联合印发《汽车行业数字化转型实施方案》。方案以智能制造为主攻方向，提出两阶段目标：到2027年，数智技术在企业研、产、供、销、服环节深度集成应用，带动企业智能制造成熟度、生产效率等明显提升，行业供给和公共服务体系逐步健全；到2030年，行业整体数智化发展达到较高水平。

————域外新闻————

2025年12月2日，欧盟法院明确广告平台构成用户上传广告中包含的个人信息（如联系人的姓名、照片、联系方式等）的数据控制者，应遵循《通用数据保护条例》相关义务，在广告发布前确认其中包含的个人信息来自发布者本人，或已取得个人信息主体同意，还应当采取相关技术措施防止广告内容被违法复制、发布在其他平台。

12月5日，欧盟依据《数据服务法案》对X平台处以1.2亿欧元罚款，这也是 DSA 生效后的首张不合规罚单。处罚源于 X 三项违反透明度义务的行为：一是账号认证标识可通过付费获得而不经过身份核验，构成误导性设计；二是广告数据库信息不透明；三是阻碍研究人员获取公共数据。此外，欧盟针对 X 涉嫌传播非法内容的调查仍在进行中。

12月10日，越南正式通过《人工智能法》，明确要求根据 AI 风险等级管控数据流，高风险系统需留存数据运行日志，该法将于2026年3月1日正式生效。

12月11日，特朗普政府签署新人工智能行政命令，明确将在联邦层面制定统一的、合规负担最小的AI政策框架，避免各州监管体系不同、企业合规负担过重，从而抑制科技创新。特朗普政府同时将成立新的人工智能诉讼工作小组，对部分过于严苛的州立法发起挑战，削弱各州的科技监管权力。