• 中文版
  • English

    • 数据月报 |《网络安全法》完成修订,处罚天花板可达1000万元

    路盛

    2026/01/08

    ————路盛提示————

    • 《网络安全法》正式完成修改,将于2026年1月1日起开始实施。新法增设人工智能专条,强调在个人信息、数据出境等合规问题上的法律转致适用,同时全方面完善罚则体系。新规下企业罚款上限高达1000万元,直接负责人最高处罚可到100万元,大幅提高了企业不遵守网络安全义务造成严重后果的违法成本。
    • 网信办、公安部拟制定《大型网络平台个人信息保护规定》,提出大型网络平台名单将由网信办等部门联合指定并动态更新,无须企业自行评估,同时要求大型网络平台在中国运营产生的个人信息应当存储在本土数据中心。
    • 工信部首次发布侵犯用户权益的智能终端列表,包含电话手表、智能摄像头等多款产品,进一步扩大定期检测的范围。
    • 欧盟发布数字与科技监管领域的一揽子改革建议,包括对《人工智能法案》《通用数据保护条例》的多项重磅修改建议,有望大幅松绑欧盟原先严苛的数据保护制度,为人工智能的训练发展、匿名化数据使用等提供更宽松的监管环境。

     

    ————监管要闻————

    网络安全法完成修改,自202611日起开始施行

    2025 年 10 月 28 日,十四届全国人大常委会第十八次会议表决通过《关于修改网络安全法的决定》,该决定自2026 年 1 月 1 日起施行。本次修订主要分为三大部分:

    首先,新增人工智能专条,首次在基础性立法中确立支持发展与安全监管的双维度规范原则;

    第二,加强与其他数据法律的衔接适用,强调网络运营者处理个人信息同时应遵守《民法典》《个人信息保护法》等法律、行政法规规定,明确个人信息保护、关键信息基础设施数据出境等规定转致适用有关法律、行政法规的规定;

    第三,也是本次修改最重要的部分,对不履行网络安全义务的法律责任进行了调整,取消首次违法仅警告的限制,允许直接罚款,提高处罚上限、加强对个人的处罚,同时增设停止运营、冻结财产、从轻减轻处罚规定等更为多样灵活的处罚制度,完善罚则体系。例如,对于不履行网络运行安全与关键信息基础设施安全保护、网络信息安全等义务,造成特别严重后果的,企业罚款最高可达到1000万元,直接负责人处罚最高可达到100万元,大幅提高了网络安全执法的处罚天花板。

     

    网信办、公安部拟制定《大型网络平台个人信息保护规定》

    11月22日,国家互联网信息办公室、公安部联合发布《大型网络平台个人信息保护规定(征求意见稿)》并向社会公开征求意见。

    《个人信息保护法》第58条规定了大型互联网平台个人信息保护的特别义务,包括成立独立监督机构,制定平台规则,定期发布个人信息保护社会责任报告等。《网络数据安全管理条例》进一步将大型网络平台定义为注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。本次《征求意见稿》在此基础上对大型网络平台的定义及个人信息保护义务进行进一步细化,主要内容如下:

    • 明确大型网络平台的认定标准,从用户规模、业务范围、数据事件影响等方面综合考量。同时明确由国家网信部门会同国务院公安部门等有关部门制定发布大型网络平台目录并动态更新,无须企业自行判断。
    • 个保负责人及工作机构设置义务。符合认定标准的大型网络平台应当指定个人信息保护负责人并明确个人信息保护工作机构,并向国家网信部门及时报送。《征求意见稿》针对个人信息保护负责人及工作机构的设置要求、职责范围、信息公开及报送流程进行了细化规定。
    • 大型网络平台境内数据中心设置义务。在中国境内运营中收集和产生的个人信息必须存储在境内数据中心,负责人具有中国国籍,无境外永久居留权或者长期居留许可。
    • 大型网络平台的其他义务:包括个人信息请求权、合规审计、风险评估等。

     

    北京四中院通报个人信息保护类案件审判情况及典型案例

    北京四中院集中管辖北京互联网法院审理的涉互联网民商事上诉案件,三年来审结共66件涉个人信息权益的二审民事案件,主要特点包括:案件主体多元,互联网平台成为主要被诉对象;侵权行为呈现“扩大化”与“叠加化”的特点;举证难度较大,消极事实认定成为争议焦点;新型技术应用加剧侵权隐蔽性与复杂性;数字认证业务运营流程存在系统性风险。

    北京四中院同时发布了七起典型案例:

    • 案例一:迟某与某信息公司、某科技公司等网络侵权责任纠纷案——“统一服务平台”处理敏感个人与私密信息时,需征得用户单独同意
    • 案例二:王某与某科技有限公司网络服务合同纠纷案——平台用户不能通过注销的方式实现对永久封禁账号的个人信息撤回
    • 案例三:李某某与某科技公司网络侵权责任纠纷案——个人信息查阅复制权的行使需基于个人信息权益保护目的
    • 案例四:肖某与某科技公司网络侵权责任纠纷案——人力技术成本、查询难度等一般不能成为个人信息查阅复制的有效抗辩事由,个人信息处理者应当依法全面提供所处理的信息内容,包括非主动提供型个人信息
    • 案例五:方某某与某信息公司网络侵权责任纠纷案——公司披露员工工资等私密信息应在合理范围之内
    • 案例六:文某与某咨询公司网络侵权责任纠纷案——公司人力资源部门在处理员工个人信息时应严格遵循合法正当、最小影响等原则
    • 案例七:王某某与余某网络侵权责任纠纷案——隐私信息的认定应结合传播范围、当事人主观意愿及社会共识予以判断

     

    ————数据出境————

    1031日,国家网信办发布《数据出境安全管理政策问答》针对近期咨询的 10 个代表性问题作出答复。针对《促进和规范数据跨境流动规定》规定的“为订立、履行个人作为一方当事人的合同”豁免场景,明确原文列举的跨境购物、跨境寄递等场景并未穷尽,但需符合合同关联与必要提供的原则;境内个人预定境内酒店时出境个人信息不适用上述豁免。明确2个月重要数据处理者数据出境安全评估申报期不可延长,但可提前准备材料;境外机构人员在境内调取数据不属出境。此外,还细化了系统升级是否需重报评估、标准合同备案次数及境外接收方转第三方等实操要求,旨在指导数据处理者高效合规地开展数据出境活动。

    1014日,国家网信办与市场监管总局联合发布第 20 号令《个人信息出境认证办法》自2026 年 1 月 1 日起施行。根据《办法》,个人信息处理者取得个人信息出境认证,应向依法取得资质的专业认证机构申请,境外个人信息处理者由其在境内设置的专门机构或指定代表协助申请。专业机构按照认证基本规范、个人信息保护认证规则开展认证活动,认证证书有效期为3年。到期需继续使用的,应在证书有效期届满前6个月提出申请。

    1128日,广东省网信办发布《粤港澳大湾区个人信息跨境流动标准合同备案指南》进一步优化了备案流程,允许符合条件的个人信息处理者或接收方通过线上报送系统向广东省网信办备案。

    11月中旬,杭州阿里巴巴海外数字商业有限公司完成数据出境负面清单备案,涉境内卖家境外收付款场景等26个数据项,成为杭州片区首个使用数据出境负面清单实现数据合规出境的企业。

     

    ————个人信息审计————

    10月20日,首批通过个人信息保护合规审计服务认证的专业机构名单出炉国家计算机网络与信息安全管理中心、中国软件评测中心等13家机构获个人信息保护合规审计服务认证证书。

     

    ————互联网合规————

    1030日,国家网络安全通报中心通报70款由国家计算机病毒应急处理中心于91日至28日检测发现的违法违规收集使用个人信息的移动应用,包括7 Eleven会员小程序、海螺AI等,涉及未提供撤回同意个人信息收集途径、未采取个人信息加密、去标识措施等12种违法违规行为。

    工信部在10281110陆续通报两批侵害用户权益行为的APPSDK),涉及APP及SDK合计81款,涉及问题包括隐私政策默认同意、违规收集个人信息、过度索取权限等。1022日,工信部还首次通报20款存在侵害用户权益行为的智能终端涉及产品包括家庭网络摄像机、智能音响、电话手表、智能锁等,问题项包括人脸信息收集未单独告知、强制自动续费、违规传输个人信息至云端等。

    1013日,国家网信办根据《区块链信息服务管理规定》,发布了第二十批共30个境内区块链信息服务名称及备案编号。又在116日,根据《互联网信息服务深度合成管理规定》,公开发布第十四批共680款境内深度合成服务算法备案信息。

     

    ————数据执法————

    1128日,上海网信部门、市场监管部门联合发布了5起不履行个人信息保护义务的典型案例。其中一例案例明确,餐饮企业点餐小程序要求消费者提供个人手机号码,否则无法点餐属于变相强制收集与经营活动无直接关系的个人信息,违反《消费者权益保护法实施条例》。

    1015日,杭州市市场监管系统数据保护行政执法十大案件公布其中有六起案件涉及以电商平台为代表的APP、网站交易订单、销量、用户流量等数据的非法爬取、拦截与劫持,最高罚款达到150万元。

    2025年前三季度,全国检察机关共起诉侵犯公民个人信息犯罪2100余件4400余人检察办案发现此类犯罪呈现针对性获取特定公民个人信息、犯罪手段智能化隐蔽化、网络 “开盒”助推网暴升级三大新特点,下一步检察机关将强化打击力度、严查泄露源头、发挥公益诉讼职能、加强以案释法,凝聚全社会保护公民个人信息、维护信息安全的共识。

     

    ————行业发展————

    1020日,国家卫健委等部门联合发布《关于促进和规范“人工智能+医疗卫生”应用发展的实施意见》,推动人工智能在基层诊疗智能辅助、医学影像智能辅助诊断、临床辅助决策等方面的应用。

    1125日,上海市网信办、上海市市场监督管理局、上海市卫生健康委员会联合发布《上海市医疗服务类互联网企业网络数据安全和个人信息保护合规指引》,明确规定企业收集、共享或委托处理个人健康医疗数据前,必须通过显著方式向个人告知处理目的、数据种类及共享对象,并取得其单独同意。

    10 16 日,中国互联网金融协会在全国团体标准信息平台上公开《移动金融小程序安全要求》(T/NIFA 33—2025)团体标准。此前协会已在中国人民银行和相关监管部门指导下开展包括备案在内的金融APP行业自律管理工作。

    由我国牵头提出的《智能出行服务安全与隐私》国际标准提案在网络安全国际标准组织成功立项,并获德国、法国、印度等多国支持,标志着全球首个聚焦智能出行领域的隐私保护国际标准正式启动制定。

     

    ————数据制度建设————

    113日,十部门联合印发《关于推动物流数据开放互联 有效降低全社会物流成本的实施方案》

    118日,国家网信办、中国人民外交学会共同举办2025年全球发展倡议数字合作论坛,提出《全球发展倡议数字普惠行动倡议》。

    116,中共北京市委、北京市人民政府公布《关于建设数据要素综合试验区 深化数据要素市场化配置改革的实施意见》。

    10 28 日,国家数据局综合司印发《关于在国家数据基础设施建设先行先试中加强场景应用的实施方案》

    10 13 日,公安部批准发布 19 项公共安全行业标准,包含网络直播服务、网络支付服务等安全管理要求强制性标准,于121日正式实施。

    1010日,中央网信办、国家发展改革委联合印发《政务领域人工智能大模型部署应用指引》,要求政务部门应以统筹集约的方式开展政务领域人工智能大模型部署。

     

    ————域外新闻————

    1119日,欧盟委员会发布了《数字综合监管提案》(Digital Omnibus Regulation Proposal),针对《通用数据保护条例》(GDPR)《人工智能法案》等数字与科技治理的关键法律提出一系列改革建议,以期为欧盟严格的数字监管松绑。根据《提案》,企业使用个人信息进行人工智能训练、科学研究,包括使用去标识后的个人信息的合规义务将大幅降低,数据主体请求权利也将得到一定限制。同时,原计划自2026年8月起生效的高风险人工智能系统合规义务最迟将延后16个月实施,中小企业宽缓措施适用范围进一步扩大,企业员工培训义务也得到适度放宽。

    1117日,欧盟理事会通过了一项新的规则,旨在改善各国数据保护机构之间的合作,加快处理GDPR框架下的跨境数据保护投诉。

    1024日,欧盟委员会初步认定 TikTok Meta违反了《数字服务法》(DSA 中规定的透明度义务,为研究人员获取公共数据设置了不必要的障碍,同时Meta旗下的Facebook和Instagram针对非法内容的投诉机制也被指存在瑕疵。

    苹果、Meta在4月分别因限制外部支付渠道和对个性化广告采取“付费或同意”模式遭到欧盟处罚。根据英国《金融时报》消息,两家科技巨头目前已接近与欧盟达成和解,有望避免整改措施无法得到欧盟认可时可能面临的最高达全球日平均收入 5%的持续处罚。

    1023日, 英国竞争上诉法庭(CAT在一起由超过1500名应用程序开发者提起的集体诉讼中认定苹果公司滥用其在iOS应用分发渠道上垄断地位,向应用开发者收取过高且不公平的佣金。苹果可能将面临约10亿英镑的赔偿责任。CAT并未许可苹果的上诉申请,但苹果仍可向更高级别法院提起上诉。

    1114印度政府发布了2025 年数字个人数据保护规则》(DPDP Rules, 2025,该规则标志着《数字个人数据保护法,2023》(DPDP法案)的全面实施,二者共同构成印度数据保护体系。