————路盛提示————

• 随着江苏和广西分别发布了自贸区数据出境管理负面清单，截止8月，我国共有7个省级地区已建立自贸区数据出境管理体系，数据目录覆盖汽车、医疗、人工智能等多个前沿行业，以及电子商务、深海、种业等地方特色产业。
• 最高法发布首批数据权益司法保护指导性案例，明确互联网生态下数据处理者与数据原始主体之间的权益划分，为数据业务合规开展提供参考。例如《个人信息保护法》将为订立、履行合同所必需设置为无须取得当事人同意即可处理个人信息的法定例外情形之一，最高法通过案例明确，APP自动化决策推送信息功能不属于上述“必需”，“先用后付”收集用户信用信息则可适用该例外。
• 9月1日，《人工智能生成合成内容标识办法》正式实施，人工智能生成服务提供者、网络平台均须采取相应措施标识AIGC内容。

————监管要闻————

江苏、广西分别发布自贸区数据出境管理负面清单

自由贸易试验区数据出境管理清单是对我国以申报数据出境安全评估、通过个人信息保护认证、订立个人信息出境标准合同为主的前置出境合规监管体系的重要补充。2024年《促进和规范数据跨境流动规定》允许自贸区在国家数据分类分级保护制度框架下自行制定需要履行上述合规程序的负面数据清单，清单外的自贸区数据可自由向境外提供。而随着今年8月4日和13日，《中国（广西）自由贸易试验区数据出境管理清单（负面清单）（2025版）》和《中国（江苏）自由贸易试验区数据出境负面清单管理办法（试行）》、《中国（江苏）自由贸易试验区数据出境管理清单（负面清单）（2025版）》分别发布，目前我国已有北京、天津、上海、浙江、海南、江苏、广西等7份负面清单出炉。

最高人民法院首次发布数据权益司法保护专题指导性案例

该批指导性案例共六件，积极回应数据权属认定、数据产品利用、个人信息保护、网络平台账号交付等问题，统一类案裁判尺度。具体如下：

1. 某科技有限公司诉某文化传媒有限公司不正当竞争纠纷案：短视频、用户评论和用户信息形成的数据集合属于受《反不正当竞争法》保护的经营性利益，直接抓取搬运50392个短视频被判赔偿短视频平台500万元。

2. 某网络信息技术有限公司诉某信息科技有限公司不正当竞争纠纷案：网络平台经用户许可提供关联账号服务，获取、保存、使用用户在关联平台上的数据，属于合法数据处理，不侵害关联平台的竞争权益。

3. 某钢铁有限公司诉某电子商务股份有限公司侵权责任纠纷案：通过公众号/微信群采集、电话询问、销售合同披露等方式收集行业内不同公司产品价格信息并编制价格指数属于合法处理，并未侵犯数据所涉企业权益。

4. 罗某诉某科技有限公司隐私权、个人信息保护纠纷案：APP以自动化决策推送信息为由收集用户画像信息的行为不属于“为订立、履行个人作为一方当事人的合同所必需” ，强制用户同意侵害个人信息权益。

5. 黄某欢诉某信用管理有限公司个人信息保护纠纷案：相反，“先享后付”功能以开通信用服务为必要条件，相关信用服务商收集反映用户个人信用或者风险状况的个人信息，属于“为订立、履行个人作为一方当事人的合同所必需”，不侵害个人信息权益。

6. 某文化传媒有限公司与游某梅执行实施案：对于交付网络平台账号及密码的执行，除交付账号密码外还应依法变更实名认证信息。被执行人拒绝履行的，可向执行法院申请协助执行通知书，要求网络平台进行变更。

————重要数据————

8月1日，国家工业信息安全发展研究中心数据安全所公开《工业领域重要数据识别指南》《工业企业数据安全防护要求》《工业领域数据安全风险评估规范》三项行业标准全文。三项标准已分别于2025年4月1日、2月1日和8月1日正式实施。

————人工智能————

2025年9月1日，《人工智能生成合成内容标识办法》正式实施，人工智能生成服务提供者、网络平台均须采取相应措施标识AIGC内容。为保障《办法》顺利落地，8月28日，网安标委发布6项实践指南，明确人工智能生成合成文本、图片、音频、视频等内容的文件元数据隐式标识方法，以及生成合成内容检测框架。

————标准管理————

8月4日，国家市场监督管理总局、国家标准化管理委员会发布2025年第19号《中华人民共和国国家标准公告》，正式发布网络安全技术公钥基础设施证书管理协议、公钥基础设施PKI组件最小互操作规范、公钥基础设施时间戳规范、信息安全风险管理指导、云计算服务安全能力评估方法、网络安全运维实施指南、人工智能计算平台安全框架共计7项网络安全国家标准。

8月15日，网安标委拟制定《数据安全国家标准体系（2025版）》《个人信息保护国家标准体系（2025版）》。数据安全国家标准体系以数据为核心，以数据分类分级保护为基础，覆盖数据收集、存储、使用、加工、传输、提供、公开、删除等全流程数据处理活动。个人信息保护体系则在数据安全国家标准体系的基础上，以个人信息权益保护为核心，涉及与个人信息紧密相关的组织、产品、服务、系统、活动、技术、管理等标准化对象，涵盖个人信息收集、存储、使用、加工、传输、提供、公开、删除等处理活动。意见反馈于8月29日截止。

8月27日，网安标委拟制定国家标准《网络安全技术 开放的第三方资源授权协议》，适用于互联网跨安全域身份鉴别与授权服务开发。公众意见反馈至10月26日截止。

————互联网合规————

8月4日，中国网络空间安全协会发布5款完成个人信息收集使用优化改进App清单，组织指导邮件快件寄递、二手车交易、旅游服务等3类5款App运营方，重点针对超范围收集个人信息、过度调用敏感权限、权限设置和账号注销不便等个人信息收集使用问题完成了优化改进。

8月13日，国家计算机病毒应急处理中心通报70款违法违规收集个人信息的移动应用。

8月21日，上海市通信管理局发布《关于下架58款侵害用户权益行为应用的通报》。在2025年7月公示的162款存在侵害用户权益行为的应用，有58款在整改期限后仍未落实相应要求。上海市通信管理局对前述58款应用在全国主流应用市场下架处理。

————数据制度发展————

8月14日，国务院新闻办公室举行“高质量完成‘十四五’规划”系列新闻发布会，会上国家数据局局长刘烈宏提到，去年中国推出公共数据资源开发利用等21项政策，今年还将继续推出数据产权等10多项制度，完善数据基础制度。

8月15日，中国（上海）自由贸易试验区临港新片区发布国际数据加工枢纽建设方案，强调加强与中国香港、欧洲、东南亚等区域数据合作，推动与《数字经济伙伴关系协定》《全面与进步跨太平洋伙伴关系协定》等国际规则对接，完善事前准入、事中自管、事后免责的创新管理制度，健全数据安全管理机制。

————域外新闻————

8月6日，韩国发布《生成式人工智能开发与应用个人数据处理指南》。《指南》将生成式人工智能的开发和利用完整生命周期分为四个阶段，分别为目标设定、策略制定、学习开发和应用管理，系统性针对各个阶段提出了最低安全措施。此外，针对实务中不确定性较高的问题，如能否利用用户数据训练AI等，《指南》基于个人信息委员会的政策及案例提出具体解决方案。

8月8日，澳大利亚信息专员办公室（AIC）向联邦法院申请对澳大利亚第二大电信运营商Optus处以民事处罚。根据AIC的指控，2019年10月17日至2022年9月20日期间，Optus未能采取合理措施保护其约950万名用户的隐私信息，导致了2022年9月的大规模用户信息泄露和曝光，甚至部分个人信息被发布在暗网上。根据事发当时的澳大利亚《隐私法》，每人信息泄露最高可处以222万澳元的处罚。

8月12日，澳大利亚联邦法院作出标志性判决，认定苹果和谷歌通过限制应用分发渠道、强制使用自家支付系统从结果上削弱了市场竞争，构成反竞争行为。这一判决标志着《堡垒之夜》开发商Epic Games在与科技巨头多年全球反垄断诉讼中取得部分胜利。Epic Games表示“这是澳大利亚开发者和玩家的胜利”，《堡垒之夜》及Epic应用商城很快便会上架iOS平台。苹果、谷歌均表示将在收到完整判决书之后再行评估决定后续行动。目前该案仍有上诉机会。