• 中文版
  • English

    • 《网络安全法》修订工作持续推进,预计将大幅提高处罚上限

    路盛

    2025/10/30

    ————路盛提示————

    • 9月,中国落地一起个人信息保护义务行政处罚案,再度强调中国数据出境、个人信息保护影响评估相关合规义务的重要性。公安网安部发现对外提供人工智能训练基础数据集的企业在处理人脸等生物识别类敏感个人信息前未展开个人信息保护影响评估,予以行政处罚并责令整改。
    • 全国人大开启《网络安全法修正草案》第三次征求意见,整体与网信办3月征求意见稿方向类似,在现行法律基础上大幅提升了违反网络安全责任义务的最高处罚额度。如成功通过,对企业处罚上限可达到1000万人民币。
    • 《国家网络安全事件报告管理办法》于9月出台,将于11月1日正式实施,针对不同事件等级,企业应在1-4小时内向有关部门进行通报。

     

    ————监管要闻————

    国家互联网信息办公室发布《国家网络安全事件报告管理办法》
    该办法自2025年11月1日起施行。根据《管理办法》,在中国境内建设、运营网络或通过网络提供服务的网络运营者,在发生网络安全事件时,应当依据安全事件分级履行报告义务。涉关键信息基础设施的,应在1小时内向保护工作部门、公安机关报告;网络运营者属于中央和国家机关各部门及其直属单位的,应在2小时内向本部门网信工作机构报告;其他网络运营者应当在4小时内向属地省级网信部门报告。构成重大、特别重大网络安全事件的,上述部门收到报告后还应在一定时限内向国家网信部门甚至国务院公安部门报告。
    对于未按照规定报告网络安全事件的,《管理办法》并未直接规定处罚措施,而是规定按照相关法律、行政法规处罚;对于迟报、漏报、谎报或者瞒报导致重大危害后果的,应对企业和责任人从重处罚。当前,《个人信息保护法》第57条规定了数据泄露通知制度,违反个人信息保护义务最高可面临5000万人民币或上一年营业额5%的罚款;《数据安全法》则为第45条违反报告制度设置了最高200万元、涉核心数据可升格为1000万元的罚款。
    目前,网信部门已开通12387网络安全事件报告热线、网站、微信小程序、微信公众号、邮件、传真等六类网络安全事件报告渠道,供网络运营者、社会组织和个人报告安全事件。

     

    全国人大开启《网络安全法(修正草案)》第三次征求意见
    继今年3月网信办就《网络安全法修正草案》第二次征求意见后,9月12日,全国人大启动为期30天的第三轮公开征求意见。本次修订主要针对的是第59条至第75条的法律责任条款,在第二次征求意见稿的基础上进行了一些调整。总体思路来看,在处罚上呈现宽严并济的趋势:一方面大幅提高了处罚上限,另一方面针对不同法律责任对处罚阶梯、处罚方式进行了细化,慎用关停APP、吊销许可等重罚。具体如下:
    提高针对一般企业的处罚力度:针对非关键信息基础设施运营者不履行网络运行安全保护义务、违规开展认证检测活动或发布系统漏洞,以及不依法履行违法信息处置义务的,《征求意见稿》下的处罚限额发生了大幅提升。此前首次违法的基本处罚为警告,《征求意见稿》改为可以并处一定限额的罚款。拒不改正或导致危害后果的,一般企业和直接责任人的处罚额度也发生了2倍-10倍不同程度的提升。
    完善责任认定:新增提供未认证产品的法律责任,有关部门可责令改正、停止违法行为、警告、没收违法所得,最高可处违法所得3倍的罚款。
    完善处罚梯度:例如,针对关键信息基础设施运营者,《征求意见稿》新增造成大量数据泄露、局部功能丧失、主要功能丧失等特别严重情形,最高可对企业处以1000万元罚款。一般企业存在设置恶意程序、放任产品风险等其他违法行为导致相同后果,依照同等标准处罚。
    调整责任形式适应网络环境:如将“关闭网站”修正为“关闭网站或应用程序”,慎用停止服务、吊销许可等严重处罚;新增减轻、从轻或不予处罚条款,鼓励企业在日常维护中履行基本义务,造成数据事件时主动消除或减轻危害后果。
    沿用网信办征求意见稿个保、数安处罚直接转致适用的规定。

     

    ————司法保护————

    最高人民法院发布互联网法院案件管辖规定,将网络数据、个人信息及隐私权纠纷挪入互联网法院集中管辖范围。相较《2018年规定》,本次新规主要将部分传统互联网纠纷(如著作权、电商合同、金融借款合同纠纷等)转移至基层法院受理,同时新增网络数据权属、侵权、合同纠纷,网络个人信息保护、隐私权纠纷,网络虚拟财产权属、侵权、合同纠纷,以及网络不正当竞争纠纷四大类互联网法院集中管辖案由类型。相应行政案件与涉外涉港澳案件管辖也随之调整。

     

    ————合规建设————

    网信办拟制定《大型网络平台设立个人信息保护监督委员会规定》,已于9月12日-10月12日向社会公开征求意见。《征求意见稿》主要对《个人信息保护法》第58条要求大型网络平台成立主要由外部成员组成的独立机构对个人信息保护情况进行监督的规定进行进一步细化。值得注意的是,此前《网络数据安全管理条例》将大型网络平台定义为注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。此次《征求意见稿》则明确提到大型网络平台也将采取清单认定制。如能正式通过,将大大提高合规工作的法律确定性。
    9月16日,全国网安标委发布正式版《数据安全国家标准体系(2025版)》和《个人信息保护国家标准体系(2025版)》。

     

    ————互联网合规————

    9月15日,网安标委发布了《网络安全标准实践指南——互联网平台停服数据处理安全要求》。《安全要求》指出,互联网运营平台应自停服之日起停止新增收集个人信息和重要数据,并按照数据分类分级要求采取必要安全保护措施。对于个人信息,须提前20个工作日发布处置公告并主动删除或匿名化处理个人信息;如需继续保存的,应采取加密、权限隔离等措施。重要数据在前述要求基础上,报告处置方案提前至停服前45个工作日,且删除完成后还应开展删除效果评估,确保重要数据和个人信息不可被识别、恢复。

     

    ————数据出境————

    中国拟制定全国范围内的自贸区数据出境负面清单。9月22日,商务部等9部门发布《关于促进服务出口的若干政策措施》,文件强调促进和规范数据跨境流动的重要意义,要求优化调整和动态更新自由贸易试验区数据出境负面清单,研究探索形成全国自由贸易试验区数据出境负面清单;支持具备条件的地区探索跨国公司内部个人信息跨境传输便捷化安排,允许通过评估或认证的跨国公司内部自由跨境流动个人信息。

    我国个人信息跨境安全管理领域首项推荐性国家标准《数据安全技术个人信息跨境处理活动安全认证要求》正式发布,将于2026年3月1日开始实施。《安全认证要求》规定了跨境处理个人信息时相关方应遵守的基本原则、基本要求和个人信息主体权益保障要求,适用于指导跨境处理个人信息的相关方规范自身个人信息跨境处理活动以及认证机构对个人信息跨境处理活动开展个人信息保护认证。

    9月5日,重庆网信办等3部门发布中国(重庆)自贸区数据出境负面清单及管理办法、实施指南。《负面清单》首批制定智能网联汽车领域,涉及4个业务活动、9个业务场景、110个数据项,基本涵盖智能网联汽车全业务链条。

     

    ————人工智能————

    9月15日,公安网安部门在“护网—2025”专项工作中发现,某主营业务为对外提供人工智能模型训练基础数据(算料)的科技有限公司,在处理人脸等生物识别类敏感个人信息前,未按《个人信息保护法》有关规定进行个人信息保护影响评估。属地公安机关依据《个人信息保护法》规定,对该公司依法予以行政处罚并责令整改。
    国家网信办继续推进深度合成服务和生成式人工智能服务备案工作。根据9月10日公告,截至2025年8月31日,中国累计有538款生成式人工智能服务完成备案,263款生成式人工智能应用或功能完成登记。深度合成服务方面,网信办11日发布第十三批算法备案信息,共有586款算法完成备案。

    9月15日,《人工智能安全治理框架》2.0版在2025年国家网络安全宣传周主论坛正式发布。《框架》2.0版在2024年《框架》基础上,结合人工智能技术发展和应用实践,持续跟踪风险变化,完善优化风险分类,研究探索风险分级,动态调整更新防范治理措施。

     

    ————监管执法————

    公安部公布“护网—2025”专项工作6起行政执法典型案例,涉及政务系统、短信平台、校园刷卡计费系统、旅游平台、APP及跨国企业等因未履行网络安全、个人信息保护或数据跨境合规义务,导致数据泄露或系统被攻击,相关责任单位均被行政处罚并责令整改。

    9月16日,国家网信办发布10起网络安全、数据安全、个人信息保护相关执法典型案例,其中7起案例为企业系统因安全防护不利导致网页遭到篡改、数据泄露、数据窃取,另有2例违法收集个人信息和1例深度合成服务未按规定备案。涉事企业均被依法责令整改并处罚,未备案深度合成服务APP已被下架。

    网信办加强互联网平台信息内容治理。9月10日,网信办开展新闻信息内容规范工作,督促网站平台强化内容管理,处置一批违法违规账号。其中发现1200余个账号假冒仿冒新闻单位、违规开展新闻采编、冒用新闻栏目照片、发布虚假不实信息。自11日起,网信部门还以未落实信息内容管理主体责任先后对小红书、快手、微博、今日头条 、UC采取约谈、责令限期改正、警告、从严处理责任人等处置处罚措施。五家平台被约谈后均回应“诚恳接受,深刻吸取教训,认真落实整改要求,第一时间成立整改专项工作小组。”

    9 月,国家金融监督管理总局与中国人民银行通过官网同步公布多份行政处罚决定书,以监管数据报送不合规、系统使用管控不到位等理由处罚多家全国性商业银行、政策性金融机构及地方中小型银行。其中,招商银行股份有限公司因数据安全管理不到位遭到警告,并处罚款60万元。

    9月10日,国家计算机病毒应急处理中心通报了69款存在违法违规收集使用个人信息问题的移动应用。 此次被通报的应用涉及打车租车、教育学习、办公管理、影音工具等多个高频使用领域。问题集中呈现12类违规情形,其中未采取加密、去标识化等安全技术措施的问题最为突出,涉及41款应用。

    9月18日,工信部通报29款App/小程序违法违规收集使用个人信息。通报问题集中在:违规收集个人信息、APP强制、频繁、过度索取权限、APP频繁自启动和关联启动、强制用户使用定向推送功能等4类问题。工信部表示,上述APP应按有关规定进行整改,整改落实不到位的,将依法依规组织开展相关处置工作。

     

    ————域外新闻————

    当地时间9月15日,中美双方经贸团队在马德里举行会谈。中美双方就通过TikTok美国用户数据和内容安全业务委托运营、算法等知识产权使用权授权等方式解决TikTok问题,达成了基本共识。中国政府将依法审批TikTok所涉及的技术出口、知识产权使用权授权等事宜。

    9月12日,《欧盟数据法案》在欧盟开始正式实施,法案核心是赋予联网设备用户数据控制权,并为小企业解锁数据创新机会。法案实施后,联网设备(如汽车、智能电视、工业机械等)制造商必须允许用户(包括商业用户)访问、使用并向第三方共享上述智能设备生成的原始数据,否则将面临监管处罚。

    《欧美数据隐私框架》(DPF)自2023年落地,允许根据DPF取得数据隐私保护认证的组织可自由将欧盟个人信息转移至美国,而美国将确保对上述个人信息提供与欧盟对等的保护。然而,在DPF落地不到两个月,法国议员菲利普·拉通贝即对DPF的合法性发起挑战,认为美国情报部门仍然可以大量访问欧盟公民的隐私,且DPF提供的补救、保障措施均不充分。9 月 4 日,欧盟普通法院驳回上述挑战,认为DPF框架已满足GDPR和欧盟在先判决的要求,为进行跨大西洋数据传输的企业提供了暂时法律确定性。不过,该判决主要针对的是DPF生效之时的安排,考虑到特朗普政府时期相关事态已发生改变,未来两国隐私传输仍可能发生变化。