数据安全每周观察|《大型网络平台个人信息保护规定（征求意见稿）》公开征求意见

一、个人信息识别、去标识化、匿名化等3项网络安全标准实践指南公开征求意见

      为帮助理解和实施个人信息保护政策法规，针对个人信息保护关键内容和难点堵点，依据《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规，参照个人信息保护相关国家标准，全国网络安全标准化技术委员会秘书处组织制定个人信息保护系列实践指南，为个人信息处理者提供具体、可操作的实施细则，以保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用。

      根据《全国网络安全标准化技术委员会<网络安全标准实践指南>文件管理办法》要求，秘书处现组织对《个人信息保护 个人信息识别指南（征求意见稿）》《个人信息保护 个人信息去标识化指南（征求意见稿）》《个人信息保护 个人信息匿名化指南（征求意见稿）》等3项网络安全标准实践指南面向社会公开征求意见。

二、国家互联网信息办公室、公安部关于《大型网络平台个人信息保护规定（征求意见稿）》公开征求意见的通知

      为规范大型网络平台个人信息处理活动，保护个人信息合法权益，促进平台经济健康发展，根据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》《网络数据安全管理条例》等法律法规，国家互联网信息办公室、公安部起草了《大型网络平台个人信息保护规定（征求意见稿）》，现向社会公开征求意见。

     《规定》指出，大型网络平台服务提供者应当明确个人信息保护工作机构，在个人信息保护负责人领导下开展个人信息保护相关工作，包括但不限于：制定实施内部个人信息保护管理制度、操作规程以及个人信息安全事件应急预案，合理确定个人信息处理的操作权限，对大型网络平台的个人信息处理活动进行安全管理；组织开展个人信息安全风险监测、风险评估、合规审计、影响评估、应急演练、宣传教育培训等活动，及时处置个人信息安全风险和事件；明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务，并对其个人信息处理活动和履行个人信息保护义务情况进行监督；明确专人负责未成年人个人信息保护工作；受理并处理个人信息保护投诉、举报；每年编制发布大型网络平台服务提供者个人信息保护社会责任报告。

      数据中心应当协助大型网络平台服务提供者履行个人信息保护义务，包括但不限于：建立健全内部个人信息管理制度和操作规程；发现系统、网络产品和服务等存在影响大型网络平台服务提供者履行个人信息保护义务的安全缺陷、漏洞等风险的，应当立即采取补救措施，按照规定向有关主管部门报告，并通报大型网络平台服务提供者个人信息保护负责人；发生个人信息安全事件时，应当立即通报大型网络平台服务提供者个人信息保护负责人，及时启动应急处置预案，采取措施防止危害扩大，消除安全隐患，并按照规定向国家网信部门、有关主管部门报告；及时执行国家网信部门、国务院公安部门和有关主管部门个人信息安全保护有关要求。

     《规定》支持大型网络平台服务提供者通过应用程序接口或者其他标准化技术方式提供转移途径，采取身份验证、加密传输等安全措施保障个人信息转移安全。个人重复转移个人信息的，大型网络平台服务提供者可以根据转移个人信息的成本收取必要费用。

      网信部门、公安机关和有关主管部门发现大型网络平台服务提供者、第三方专业机构或者数据中心未履行个人信息保护责任的，依法追究责任；构成犯罪的，依法追究刑事责任。国家网信部门、国务院公安部门和有关主管部门、第三方数据中心、第三方专业机构的工作人员应当对工作过程中知悉的个人隐私、个人信息、商业秘密、保密商务信息等依法予以保密，不得泄露或者非法向他人提供。

三、国家互联网信息办公室公开征求《网络安全标识管理办法》（征求意见稿）意见

      为提升产品的网络安全能力，加强消费者权益保护，维护网络安全和公共利益，根据《中华人民共和国网络安全法》等法律法规，国家互联网信息办公室、工业和信息化部起草了《网络安全标识管理办法》（征求意见稿），现向社会公开征求意见。

     《网络安全标识管理办法》涵盖总则、标识实施、监督管理、附则等内容。总则明确制定目的、适用范围、管理原则及部门职责。标识实施规定标识等级、内容、样式、检测、备案及有效期等要求，如网络安全标识分基础级、增强级、领先级，对应一星、二星、三星，产品生产者依规则检测、备案后使用标识。监督管理强调相关部门监督职责，对违规行为有撤销备案、公告等处理措施。附则说明相关定义、排除产品及施行日期。

四、中国气象局部署启动气象数据立法

      近日，中国气象局部署启动气象数据立法，落实中国气象局新“三定”规定要求，加快制定出台适应新要求的气象数据管理和治理法律制度体系，依法推动气象数据开放共享，激发数据要素应用潜能，提升数据治理能力，健全数据安全监管体系，促进气象数据产业健康发展。

      目前，中国气象局已成立立法工作组，印发《气象数据立法工作方案》，通过建立完善基础法律和气象数据供给、流通、安全监管等方面的制度，规范气象数据采集汇交、计算存储、开放共享、流通交易、开发利用、安全治理等气象数据全链条应用，构建气象数据合规高效流通管理体制机制，助力气象高质量发展。

五、《山东省数字经济促进条例》发布

      2025年11月20日山东省第十四届人民代表大会常务委员会第十八次会议，审议通过《山东省数字经济促进条例》。

     《条例》第八章 数字经济安全强调，县级以上人民政府应当组织有关部门强化数字经济安全风险综合研判，建立健全技术监测、风险预警和应急响应体系，防范化解数字经济安全风险。县级以上人民政府以及有关部门应当依法履行网络安全监督管理职责，健全网络安全风险评估、监测预警和应急工作机制，加强网络以及相关设施、设备的安全保障。网络运营者应当遵守网络安全等级保护、关键信息基础设施安全保护、密码应用安全性评估等制度，履行安全保护义务，制定网络安全事件应急预案，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

      违反有关网络安全、数据安全、个人信息保护等法律、行政法规的，由有关主管部门依法予以处罚；给他人造成损害的，依法承担民事责任；构成犯罪的，依法追究刑事责任。

六、上海市网信办推动“人脸识别”技术应用长效治理

      为深入贯彻中央网信办、工业和信息化部、公安部、市场监管总局等四部门关于开展2025年个人信息保护系列专项行动有关工作部署，进一步落实市委、市政府相关工作要求，今年以来，上海市网信办结合“亮剑浦江·2025”专项执法行动安排，牵头制定形成《上海市人脸识别技术应用安全治理专项工作协同机制（1.0版）》和《上海市人脸识别技术合规应用倡议书》，联合市市场监管局、市公安局以及市商务委、市教委、市科委、市文旅局、市体育局、市绿化市容局、市房管局等监管执法部门、行业主管部门，常态化推进人脸识别技术应用安全合规工作走深走实。

      上海市网信办表示，接下来将持续巩固深化工作成果，联合有关部门加强巡查督导，依据《个人信息保护法》《人脸识别技术应用安全管理办法》等法律法规，做好常态化协同治理，不断推动人脸识别技术应用安全管理落深落细，切实维护好公民敏感个人信息安全。

七、《上海市医疗服务类互联网企业网络数据安全和个人信息保护合规指引》发布

      2025年5月至9月，针对属地部分医疗服务类互联网企业频繁发生涉网络数据安全事件的情况，上海市网信办、市市场监督管理局、市卫生健康委联合开展“医疗服务类互联网企业网络数据安全、个人信息保护”专项整治，并制定了《上海市医疗服务类互联网企业网络数据安全和个人信息保护合规指引》，用于提升本市医疗服务类互联网企业网络数据安全与个人信息保护合规水平，推动行业健康发展。现全文发布如下。    

     《指引》依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规，结合本市医疗服务类互联网企业发展现状制定，旨在提升本市医疗服务类互联网企业网络数据安全与个人信息保护合规水平，规范健康医疗数据收集、存储、使用、加工、传输、提供、公开、删除等全生命周期处理活动。适用于本市行政区域内医疗服务类互联网企业，作为开展网络数据安全和个人信息保护合规管理的指导建议。

     《指引》强调，企业开展数据处理活动，应当自觉遵守法律法规和商业道德，参照国家有关标准要求，履行网络和数据安全保护义务，遵循合法、正当、必要、诚信原则，保障健康医疗数据安全和个人信息合法权益。企业处理个人信息，应当具有明确、合理的目的，并取得个人同意。处理个人信息应限于实现处理目的的最小范围，并采取对个人权益影响最小的方式，不得过度收集或超范围使用个人信息。企业不得以任何形式和理由非法收集、使用、加工、传输、买卖、提供或者公开他人健康医疗数据和个人信息。

      企业应当对健康医疗数据进行分类分级管理，针对不同等级类别的数据实施相应的安全保护措施。企业应当建立安全可靠的数据传输通道，采用加密传输协议等安全技术手段，确保健康医疗数据在互联网传输过程中的安全性。企业应当采取身份鉴别、访问控制、数据加密、数据脱敏、数据备份等技术措施，确保健康医疗数据在存储过程中的安全性，对于备份数据的安全保护要求不应低于原始数据。企业应当制定明确、合理的数据存储期限，在完成数据处理目的后应当及时删除数据。从医疗机构获得数据的，应当在合同中约定最长存储期限。

      企业应当建立健康医疗数据收集、存储、使用、加工、传输、提供、公开、删除等全生命周期安全管理机制，确保数据安全风险可控。企业应当在履行网络安全等级保护义务的基础上，按照法律法规要求开展数据安全风险评估、个人信息保护影响评估和商用密码应用安全性评估，识别数据处理活动中的安全风险点，采取相应的风险控制措施，并保留评估记录。处理1000万以上个人信息的企业，应当每两年至少开展一次个人信息保护合规审计。企业使用人工智能、区块链等技术处理健康医疗数据的，应当进行安全评估，保障数据安全和个人权益，并根据相关法律法规要求履行登记备案程序。

一、网信部门依法集中查处一批存在人工智能生成合成内容标识违法违规问题的移动互联网应用程序

      针对部分网站平台未有效落实人工智能生成合成内容标识规定要求相关问题，近期网信部门集中查处一批违法违规移动互联网应用程序，依法依规予以约谈、责令限期改正、下架下线等处置处罚。主要违法违规情形如下：

      1.人工智能生成合成服务提供者未对生成合成的内容添加显式标识；提供生成合成内容导出功能时，未在文件中添加显式标识；在生成合成内容的文件元数据中，未添加包含属性信息、服务提供者名称或者编码、内容编号等制作要素信息的隐式标识；隐式标识添加位置不规范等。

      2.网络信息内容传播服务提供者未落实隐式标识核验、在发布内容周边添加显著提示标识相关要求；未在生成合成内容传播活动涉及的文件元数据中添加属性信息、传播平台名称或编码、内容编码等传播要素信息；未向用户提供声明生成合成内容的功能等。

      国家网信办相关负责人表示，人工智能技术在促进经济社会发展的同时，也产生了生成合成技术滥用、虚假信息传播加剧等问题。党中央、国务院高度重视人工智能发展和安全，国家网信办近期制定出台了《人工智能生成合成内容标识办法》，明确了人工智能生成合成内容标识有关要求。网站平台应严格落实标识相关规定要求，强化标识互识、内容检测能力建设，做好用户提醒提示和账号管理，严守法律底线红线，切实依法合规运营。国家网信办将深入推进依法管网治网，持续强化人工智能生成合成内容标识监督管理，推动人工智能健康有序发展。

二、公安部门依法查处一起涉无人机管理平台遭攻击导致数据泄露案

      近期，陕西某无人机技术公司开发、使用的无人机管理平台遭黑客网络攻击，平台内存储的部分数据被窃取。

      在案件办理过程中，陕西西安公安网安部门发现，该公司无人机管理平台存在安全漏洞，且公司内部未建立全流程数据安全管理制度，未组织开展数据安全教育培训，缺乏必要的技术防护措施。针对该公司不履行数据安全保护义务的违法行为，陕西西安公安机关依据《中华人民共和国数据安全法》，依法追究了该公司的法律责任并责令其限期改正。

      同时，指导该公司建立健全相关安全管理制度，修复平台安全漏洞，开展网络和数据安全专项培训，提升员工安全防范意识，加强内部网络和数据安全防护。目前，案件仍在进一步侦办中。

三、泄露超28万患者敏感信息，地方诊所赔偿7100万元

      近日消息，美国佛罗里达州的沃森诊所（Watson Clinic）已同意支付1000万美元（约合人民币7110万元），以解决针对其2024年1月数据泄露事件提起的集体诉讼。该事件影响人数高达280278位。黑客窃取了数字图像等用户敏感数据，并将其发布到暗网。

      2024年2月6日，沃森诊所发现其计算机网络遭到未经授权访问。后续的取证调查确认，黑客最早于1月26日入侵其网络。对已暴露文件的审查显示，其中包含现任及前任患者的受保护健康信息，包括姓名、地址、出生日期、社会安全号码、政府身份标识、驾驶证号码、金融账号信息及医疗信息；医疗信息部分包括诊断、治疗、病历编号，以及术前和/或术后医学所需的图像。

      沃森诊所在2024年7月收到第三方完成的文件审查结果，并于2024年8月宣布发生数据泄露事件，随后向受影响个人发出通知。不久之后，原告Charles Viviani在美国佛罗里达中区联邦地区法院提起首起集体诉讼。第二起集体诉讼由原告David Thorpe在同一法院提交，两起诉状随后合并审理，案名为“Viviani诉沃森诊所”。进一步调查数据泄露范围后，2025年2月寄出了额外通知。

      沃森诊所被控存在过失、默示合同违约、受托责任违约，以及违反《佛罗里达欺诈性与不公平贸易行为法》的指控。沃森诊所否认诉讼中的所有重大指控和主张，并否认存在任何不当行为或责任。尽管其认为对所有指控均有强有力的抗辩理由，但考虑到诉讼可能旷日持久且费用高昂，加之任何诉讼本身都具有固有风险，因此决定选择和解。集体诉讼律师认为，此项和解符合所有集体成员的最佳利益。沃森诊所已同意设立一项1000万美元的和解基金，基金将用于扣除律师费用和支出、向指定原告支付奖励金，以及承担和解管理和通知成本。与许多集体诉讼和解相比，本案给予集体成员的补偿相当可观，包括向部分集体成员提供最高7.5万美元的现金赔偿，金额依据在暗网上被发布的数字图像类型而定。在暗网上被发布一张或多张数字图像的集体成员，将直接收到支票，无需提交索赔。具体赔偿金额如下表所示。每位集体成员仅能领取表列赔偿项目中的一项，且取其最高金额。剩余现金支付将在从和解基金中扣除成本和费用，并支付数字图像暴露现金赔偿及损失报销索赔后，按比例分配给选择领取此项付款的集体成员。该付款最高为50美元，但可能更低，具体金额取决于有效索赔数量。

四、OpenAI用户数据或因Mixpanel被黑而泄露

      近日，OpenAI通报部分用户数据可能因第三方分析平台Mixpanel遭网络攻击而泄露。Mixpanel于11月8日检测到一起smishing（短信钓鱼）攻击，导致其系统中存储的有限用户资料外泄。受影响数据来自platform.openai.com，包括用户姓名、邮箱、大致地理位置、操作系统/浏览器信息、组织或用户ID及来源网站，但不涉及ChatGPT聊天记录、API数据、密码、密钥或支付信息。OpenAI已从生产环境移除Mixpanel，并正通知受影响用户，同时密切监控潜在滥用行为。Mixpanel已重置员工密码、撤销会话、轮换凭证，并配合第三方取证团队调查。

五、日本啤酒巨头Asahi数据中心被黑，近200万人信息遭窃

      近日，日本最大酿酒企业Asahi Group Holdings确认，在9月29日遭遇的勒索软件攻击中，约200万客户与员工的个人信息遭窃。攻击者通过集团现场的网络设备非法接入数据中心网络，同时部署勒索软件加密多台服务器及PC。泄露数据包括152.5万名联系客服用户的姓名、地址、电话和邮箱；11.4万名外部联系人信息；10.7万名员工（含退休人员）及16.8万名其家属的出生日期、性别等敏感信息。Asahi强调，信用卡等金融数据未受影响。勒索团伙Qilin已在其Tor泄密站点公布部分被盗文件。公司正分阶段恢复系统，并加强全集团信息安全措施。

六、政府承包商Conduent数据泄露引发近十起集体诉讼

      政府承包商Conduent遭遇长达三个月的数据泄露事件，超1050万美国人的个人与健康信息泄露，成美国历史第八大医疗数据泄漏事件。2024年10月21日左右黑客入侵，2025年1月13日公司因“业务中断”才发现。受影响州和实体众多，SafePay勒索软件团伙曾宣称负责。Conduent已展开调查并通知执法，未发现数据被滥用。但该公司面临10起集体诉讼，被指未保护好个人信息、未及时通知，还违反相关法案。此外，还受相关部门调查，预计将承担高额成本与声誉损失。

七、哈佛大学披露数据泄露事件，校友和捐赠者信息受影响

      近日，哈佛大学披露其校友事务与发展系统遭语音网络钓鱼攻击，致使学生、校友、捐赠者、教职工的个人信息泄露。泄露数据包括邮箱、电话、地址、捐赠细节等，但不涉及社保号、密码等。受影响群体有校友及其配偶等、捐赠者、学生家长等。该校正与执法部门及安全专家调查此事，并已于11月22日向可能受影响者发通知，提醒警惕异常通信。10月中旬该校也曾调查另一起数据泄露事件。本月初，普林斯顿大学和宾夕法尼亚大学也披露了数据泄露事件。

八、新型Sturnus安卓恶意软件通过滥用无障碍服务读取WhatsApp、Telegram和Signal聊天记录

      荷兰网络安全公司ThreatFabric发现一款名为Sturnus的安卓银行恶意软件，它以复杂“混乱”通信方式得名。该恶意软件极为危险，不仅能窃取银行信息，还可借助安卓无障碍服务，绕过端到端加密，读取WhatsApp、Telegram和Signal等应用的聊天内容。它通过社会工程学手段传播，感染手机后，利用伪造登录界面与键盘记录等方式窃取敏感数据，赋予攻击者广泛远程控制权。虽处于早期测试阶段，未广泛传播，但已聚焦南欧和中欧金融机构，有发动大规模全球攻击之势。专家建议避免从谷歌应用商店之外下载APK文件，并监控恶意活动。

九、伊比利亚航空因供应商安全漏洞披露客户数据泄露事件

      西班牙旗舰航空公司伊比利亚航空（Iberia）因供应商安全漏洞，导致客户数据泄露，已开始通知客户。此前有威胁行为者在黑客论坛声称获取77GB伊航数据并欲以15万美元出售。伊航称，供应商系统遭未授权访问，泄露数据可能包括客户姓名、邮箱、忠诚卡识别号，但账户登录凭证、密码及银行支付卡信息未泄露。事件发生后，伊航启动安全协议，对客户账户关联邮箱增加保护，监测系统可疑活动，通知相关部门并与供应商协同调查。目前无数据被欺诈使用证据，伊航建议客户留意可疑通信。

一、国家数据局局长刘烈宏首提三大类数据流通服务机构

      近日，2025年“数据要素X”大赛全国总决赛颁奖仪式暨2025全球数商大会开幕式在上海市举行。国家发展改革委党组成员、国家数据局党组书记、局长刘烈宏出席并发表讲话，他提出，下一步国家数据局将加大对数据商在内的各类数据流通服务机构的培育力度，以繁荣数据产业生态，进一步激发市场活力，释放数据要素的价值。

      他指出，数据具有可复制、易传输、规模报酬递增等特点，加上数据可能承载的个人信息、商业秘密等，决定了数据在具有很强正外部性的同时，也具有负外部性，其开发利用离不开各方互信、安全可控的基础 设施支撑。数据基础设施正成为打破数据安全合规高效流通“不可能三角”，促进数据安全合规高效流通的重要基础设施保障。本次大赛中，超过15%的项目以可信数据空间为依托，深度集成隐私保护计算、区块链等技术，构建贯穿数据流通利用全流程的信任链条，使得数据流通利用过程“可管、可控、可计量”，推动医疗、工业、深空探测等领域高价值数据的深度开发利用。

      他强调，国家数据局将支持数据流通服务平台企业加快拓展行业数据融合利用新模式。这类主体主要聚焦行业领域、围绕产业链、生态链汇聚、共享、交换、交易数据，以价值共创的方式促进数据资源开发利用。它们往往以数据基础设施为载体，沿着产业链供应链或者平台生态，来推动数据流通、交换和交易，进而开发利用。从数据流通交易的角度看，服务行业、价值共创，流通方式以数据交换为主兼有数据交易是其主要特点。比如，互联网平台企业是产数、用数大户，也是平台生态数据流通的重要组织者和参与者，一直以来是数据市场的主要力量。随着数据基础设施加快建设和应用场景的牵引，产业互联网平台企业、云服务平台企业、特别是数据基础设施运营服务企业，围绕产业链、生态链，以价值共创方式，开展多种形式的数据流通、交换、交易，成为数据市场的生力军。我们要支持这些企业发挥熟悉行业、洞察应用场景等优势，以多主体数据价值共创机制，拓展数据流通利用新模式。

二、关于召开基于数据基础设施的智能体标准化研讨会的通知

      为促进地方、行业、领域、企业开展数据基础设施的规划、建设、运营和管理，前期，在国家数据局指导下，全国数据标准化技术委员会组织研制了《数据基础设施 参考架构》国家标准（已立项），明确了数据基础设施参考架构涵盖智能设施接入层，具备安全保障接入、服务应用赋能接入、数据流通执行接入、算力融合接入、网络适配接入等功能。

      为明确智能设施接入层标准研制需求，规划和引领数据基础设施智能设施接入层的建设和管理，全国数标委秘书处将于12月4日下午在北京组织召开基于数据基础设施的智能体标准化研讨会，邀请相关单位专家针对数据基础设施智能设施接入层5大功能开展交流研讨，明确下一步标准化工作需求和工作重点。