目 录
网络安全与数据合规月报(2025-07) ........................................1
资讯速递 ................................................................ 1
一、 境内资讯 ........................................................... 1
1. 国家网信办发布《关于开展个人信息保护负责人信息报送工作的公告》 .........1
2. 数据流通交易合同示范文本发布 ...........................................1
3. 全国网安标委发布《网络安全技术 信息系统灾难恢复规范》等 3项国家标准 ....2
4. 国家网信办发布强制性国家标准《数据安全技术 电子产品信息清除技术要求(征求
意见稿)》 ................................................................2
5. 全国网安标委发布《网络安全标准实践指南——扫码点餐个人信息保护要求(征求
意见稿)》 ................................................................3
6. 我国在世界人工智能大会发表《人工智能全球治理行动计划》 .................3
7. 全国网安标委发布《数据安全技术 未成年人产品和服务个人信息保护要求(征求意
见稿)》 ..................................................................4
8. 国务院审议通过《关于深入实施“人工智能+”行动的意见》 ..................4
二、 境内监管 ........................................................... 6
1. 中央网信办部署开展“清朗·2025 年暑期未成年人网络环境整治”专项行动 .... 6
2. 国家互联网信息办公室就 H20 算力芯片漏洞后门安全风险约谈英伟达公司 .......6
3. 上海市通信管理局关于侵害用户权益行为 APP 的通报(2025 年第五批) ........ 6
4. 北京市开展公共场所“强制刷脸”专项治理 .................................7
5. 国家计算机病毒应急处理中心发现 68 款违法违规收集使用个人信息的移动应用 ..7
6. 公安部计算机信息系统安全产品质量监督检验中心检测发现33款违法违规收集使用
个人信息的移动应用 ........................................................8
7. 上海市通信管理局开展“铸盾模都”2025 年人工智能安全赋能专项行动 ........ 8
三、 境外资讯 ........................................................... 9
1. 金砖国家领导人签署《全球人工智能治理宣言》 .............................9
2. 欧洲议会发布关于生成式人工智能与版权的研究报告 .........................9
3. 欧盟委员会发布《通用人工智能模型提供商指南》 ..........................10
4. 白宫发布《美国人工智能行动计划》 ......................................10
5. 欧盟委员会发布《通用人工智能模型训练内容公共摘要说明与模版》 ..........11
6. 欧盟委员会发布关于保护未成年人的指导方针 ..............................11
7. 韩国个人信息保护委员会发布《个人信息处理综合指南》 ....................12
8. 欧盟通过首个国际组织的充分性认定 ......................................12
9. 加州通过隐私法新规 ....................................................13
四、 境外监管 .......................................................... 14
1. 尼日利亚数据保护委员会对 Multichoice 处以 亿奈拉罚款 ...............14
2. 康涅狄格州总检察长与 TicketNetwork 达成数据隐私和解协议 ................14
3. 爱尔兰 DPC 宣布对 TikTok 将欧洲用户数据传输到中国服务器进行调查 .........14
4. 韩国 PIPC 因违反 PIPA 对 BYN Black Yak 处以 韩元的罚款 .............15
5. 奥地利隐私权倡导组织 noyb 在其官网宣布对 TikTok、AliExpress、WeChat 发起 GDPR
投诉 .....................................................................15
6. 西班牙数据保护局(AEPD)Atresmedia 处以 30,000 欧元罚款 ...............15
7. 克罗地亚个人数据保护局(AZOP)对 HEP-Toplinarstvo 公司处以 32万欧元罚款 16
8. 西班牙数据保护局(AEPD)对能源公司 Repsol 处以 138 万欧元罚款 ...........16
9. 澳大利亚信息专员办公室(OAIC)——公布 2025-2026 年监管重点 ........... 16
10. 澳大利亚通信和媒体管理局(ACMA)对 Betfair 处以 871,660 澳元罚款 .....17
1
资讯速递
一、境内资讯
1. 国家网信办发布《关于开展个人信息保护负责人信息报送工作的公告》
2025 年 7 月 18 日,国家互联网信息办公室发布《关于开展个人信息保护负责人信
息报送工作的公告》(以下简称“《公告》”),明确要求处理 100 万以上个人信息的
个人信息处理者(包括境内外实体)在线报告其个人信息保护负责人信息。
报送时间要求:(1)自《公告》发布之日起,个人信息处理者处理个人信息达到
100 万人的,应当自数量达到之日起 30个工作日内完成信息报送;(2)《公告》发布
前,个人信息处理者处理个人信息数量已经达到 100 万人的,应当在 2025 年 8 月 29 日
前完成信息报送;(3)报送信息发生实质性变更的,应当在变更之日起 30个工作日内
办理信息变更手续。
报送方式:个人信息保护负责人信息报送工作采用线上方式,可直接访问“个人信
息保护业务系统”(),按照系统首页提供的《个人信息
保护负责人信息报送系统填报说明(第一版)》,准备相关材料并履行信息报送手续,
也可从中国网信网()首页“全国网信政务办事大厅”栏目访
问“个人信息保护业务系统”。
更多深度解读内容参见本所文章《数据隐私与网络安全|个人信息保护负责人的责
任及其担责边界讨论》。
来源:国家互联网信息办公室
链接:
2. 数据流通交易合同示范文本发布
2025 年 7 月 2 日,国家数据局、市场监管总局联合印发《数据提供合同(示范文本)》
《数据委托处理服务合同(示范文本)》《数据融合开发合同(示范文本)》《数据中
介服务合同(示范文本)》(以下统称“示范文本”)。
制定示范文本主要有三方面目的和作用:一是降低数据流通交易成本,以标准化文
本形式引导经营主体在合同中约定责任边界,建立交易信任,预防交易纠纷,降低交易
成本。二是维护公平竞争环境,通过预先设定适用于不同数据流通交易场景的条款,保
护各方利益,引导形成各方相互尊重、平等协商的合作氛围。三是推动数据市场健康有
序发展,落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法
律法规和政策制度要求,在合同中设置数据产权登记、安全保密要求等条款,引导交易
各方守好合规交易安全底线。示范文本聚焦数据流通中最典型的 4类场景,即数据提供、
2
数据委托处理、数据融合开发和数据中介,供数据市场中的经营主体使用。后续,主管
部门还将及时跟踪实践发展,面向新情况、新变化,持续迭代更新示范文本。
来源:国家数据局
链接:
3. 全国网安标委发布《网络安全技术 信息系统灾难恢复规范》等 3 项国家标准
2025 年 6 月 30 日,国家市场监督管理总局、国家标准化管理委员会发布由全国网
络安全标准化技术委员会归口的 3项国家标准。
一是 GB/T 20988—2025《网络安全技术 信息系统灾难恢复规范》。该标准确立了
信息系统灾难恢复工作原则,给出了信息系统灾难恢复生命周期,规定了信息系统灾难
恢复应遵循的基本要求,描述了灾难恢复能力等级划分和测试评价方法;适用于灾难恢
复的需求方、服务提供方和评估方等各类组织开展信息系统灾难恢复的规划设计、建设
实施和运行管理等工作。
二是 GB/T 22080—2025《网络安全技术 信息安全管理体系要求》。该标准规定了
在组织环境下建立、实施、维护和持续改进信息安全管理体系的通用要求。这些要求适
用于各种类型、规模和性质的组织,并包括根据组织需求进行剪裁的信息安全风险评估
和处置要求。需要注意的是,当组织声称符合本文件时,不得排除第 4 章到第 10 章中
规定的任何要求。
三是 GB/T 45909—2025《网络安全技术 数字水印技术实现指南》。该标准提供了
数字水印技术的实现框架、功能、流程、水印算法选择、水印服务封装形式选择等方面
的建议;适用于数字水印技术的设计、开发、应用和测试。
以上标准将于 2026 年 1 月 1 日起正式实施。
来源:全国网络安全标准化技术委员会
链接:
4. 国家网信办发布强制性国家标准《数据安全技术 电子产品信息清除技术要求(征
求意见稿)》
2025 年 7 月 14 日,国家互联网信息办公室发布强制性国家标准《数据安全技术 电
子产品信息清除技术要求(征求意见稿)》(以下简称“《标准》”)。
《标准》旨在落实国务院《推动大规模设备更新和消费品以旧换新行动方案》的要
求,主要有两方面目的:一是对电子产品信息清除技术方法提出规范,二是引导二手电
子产品经销企业建立信息安全管理体系和信息技术服务管理体系。《标准》有助于防范
二手电子产品交易中个人信息泄露,促进二手电子产品交易行业发展。
3
《标准》的主要技术要求为数据覆写技术,适用于电子产品信息清除功能设计、开
发和验证,也适用于规范电子产品回收环节的信息清除过程,规定了电子产品信息清除
的技术和功能要求、电子产品在回收环节的信息清除和信息清除效果验证要求。《标准》
要求电子产品回收经营者应在电子产品回收时进行信息清除,规范了电子产品回收经营
者在防止用户个人信息泄露应采取的措施,确保电子产品信息清除流程的完整性和可追
溯性。
来源:国家互联网信息办公室
链接:
5. 全国网安标委发布《网络安全标准实践指南——扫码点餐个人信息保护要求(征求
意见稿)》
2025 年 7 月 22 日,全国网络安全标准化技术委员会发布《网络安全标准实践指南
——扫码点餐个人信息保护要求(征求意见稿)》(以下简称“《指南》”),面向社
会公开征求意见。《指南》规定了具体个人信息保护要求,包括开发运维小程序要求、
餐饮商家委托第三方要求以及第三方小程序平台要求。此外,《指南》还明确了扫码点
餐服务各方责任范围和必要个人信息范围。
《指南》旨在指导餐饮商家规范扫码点餐服务个人信息处理活动,减少因扫码点餐
造成的个人权益损害问题。《指南》适用于餐饮商家规范扫码点餐服务个人信息处理活
动,也适用于第三方评估机构等参考,提出了扫码点餐服务个人信息处理的基本原则。
《指南》规定了扫码点餐个人信息保护的总体要求,餐饮商家提供扫码点餐服务,应当
避免以下四类行为:(1)超范围收集个人信息;(2)强制关注公众号或注册会员;(3)
未经用户同意处理个人信息;(4)未提供个人信息删除功能。
来源:全国网络安全标准化技术委员会
链接:
6. 我国在世界人工智能大会发表《人工智能全球治理行动计划》
2025 年 7 月 26 日,2025 世界人工智能大会暨人工智能全球治理高级别会议在上海
开幕,大会公开发表《人工智能全球治理行动计划》(以下简称“《行动计划》”)。
《行动计划》提出了六项目标和原则,包括向善为民、尊重主权、发展导向、安全
可控、公平普惠以及开放合作。《行动计划》提出了十三项具体行动,呼吁各方:共同
把握人工智能机遇;促进人工智能创新发展,降低和消除技术壁垒;推动人工智能赋能
千行百业,推进人工智能全面赋能实体经济;加快数字基础设施建设;营造多元开放创
新生态,推动开源合规体系建设;积极推进优质数据供给,探索构建数据共享的全球性
机制平台,合作打造高质量数据集;有效应对能源环境问题;促进标准及规范共识;公
4
共部门率先部署应用,积极在医疗、教育、交通等公共服务领域优先部署可靠的人工智
能;开展人工智能安全治理,探索分类分级管理,建立人工智能风险测试评估体系,防
范人工智能技术误用、滥用;共同落实《全球数字契约》;加强人工智能能力建设国际
合作,弥合智能鸿沟;构建多方参与的包容治理模式,支持搭建基于公共利益、各类主
体共同参与的包容治理平台。
来源:新华社
链接:
88b1/
7. 全国网安标委发布《数据安全技术 未成年人产品和服务个人信息保护要求(征求
意见稿)》
2025 年 7 月 29 日,全国网络安全标准化技术委员会发布《数据安全技术 未成年人
产品和服务个人信息保护要求(征求意见稿)》(以下简称“《要求》”),面向社会
公开征求意见。《要求》旨在规范未成年人产品和服务提供,强化未成年人个人信息保
护。
《要求》将未成年人产品个人信息保护要求分为基础保护级、交互增强级和适龄优
化级三级。基础保护级:指未成年人产品和服务应按照相关法律法规要求,从保护未成
年人个人信息安全,保障未成年人个人信息权利等方面履行基础义务。交互增强级:指
未成年人产品和服务应在基础保护级基础上,向未成年人用户提供更多的个人信息保护
提示或选项,帮助未成年人用户更好地理解个人信息保护规则和行使个人信息权利,提
高未成年人在个人信息和网络保护方面的参与度,提升未成年人对网络空间的适应能力。
适龄优化级:指未成年人产品和服务应在交互增强级基础上,考虑未成年人在网络空间
的发展权,从适龄保护视角设计产品和服务,兼顾监护管理和独立适应,兼容自主选择
和智能推荐,提高未成年人在个人信息和网络保护方面的判断力,提升未成年人对网络
空间的掌控能力。
来源:全国网络安全标准化技术委员会
链接:
&norm_id=20250723112946&recode_id=59570
8. 国务院审议通过《关于深入实施“人工智能+”行动的意见》
2025 年 7 月 31 日,国务院常务会议审议通过《关于深入实施“人工智能+”行动的
意见》(以下简称“《意见》”)。
会议指出,当前人工智能技术加速迭代演进,要深入实施“人工智能+”行动,大
力推进人工智能规模化商业化应用,充分发挥我国产业体系完备、市场规模大、应用场
5
景丰富等优势,推动人工智能在经济社会发展各领域加快普及、深度融合,形成以创新
带应用、以应用促创新的良性循环。会议强调,要提升安全能力水平,加快形成动态敏
捷、多元协同的人工智能治理格局。
《意见》指出,政府部门和国有企业要强化示范引领,通过开放场景等支持技术落
地;要着力优化人工智能创新生态,强化算力、算法和数据供给,加大政策支持力度,
加强人才队伍建设,构建开源开放生态体系,为产业发展壮大提供有力支撑。
来源:新华社
链接:
6978/
6
二、境内监管
1. 中央网信办部署开展“清朗·2025 年暑期未成年人网络环境整治”专项行动
2025 年 7 月 15 日消息,为强化未成年人网络保护,营造良好网络环境,中央网信
办将在全国范围内开展为期 2个月的“清朗·2025 年暑期未成年人网络环境整治”专项
行动。为贯彻《未成年人网络保护条例》,本次集中治理将对暴力恐怖、封建迷信、淫
秽色情、煽动自残自杀、泄露未成年人隐私等违法信息“零容忍”,同步扫荡炫富拜金、
情绪极端、低俗庸俗等不良内容,重拳打击所有伸向未成年人的犯罪黑手。
同时,本次治理将紧盯四类新型风险:一是实施网络侵害行为,二是隐蔽传播违法
不良信息,三是诱导参与线下危险活动,四是利用未成年人形象牟利。另外,网信部门
将关注三类重点问题:一是未成年人模式的使用情况、内容建设问题。二是儿童智能设
备的内容安全、功能规范。三是 AI功能在未成年人领域不当应用、诱导沉迷问题。
来源:中央网信办
链接:
2. 国家互联网信息办公室就 H20 算力芯片漏洞后门安全风险约谈英伟达公司
2025 年 7 月 31 日,鉴于英伟达算力芯片被曝出具备定位追踪、远程控制等可能严
重影响国家安全的问题,中国国家互联网信息办公室(下称“网信办”)约谈了英伟达
公司。网信办依据《网络安全法》《数据安全法》《个人信息保护法》有关规定,要求
英伟达公司就对华销售的H20算力芯片漏洞后门安全风险问题进行说明并提交相关证明
材料。
来源:中央网信办
链接:
3. 上海市通信管理局关于侵害用户权益行为 APP 的通报(2025 年第五批)
2025年7月3日,上海市通信管理局发布了关于存在侵害用户权益行为APP的通报。
该通报依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人
信息保护规定》等法律法规,持续整治了 APP(SDK)侵害用户权益的违规行为。具体包
括未明示个人信息处理规则、超范围收集个人信息、自启动和关联启动行为等。上海市
通信管理局要求违规APP必须在30日内完成整改并上报,否则该局将依规处理违规APP。
来源:上海市通信管理局
链接:
7
4. 北京市开展公共场所“强制刷脸”专项治理
2025 年 7 月 8 日消息,北京网信办从 7月起开展公共场所违法违规收集使用人脸识
别信息专项治理。2025 年 6月 1 日起施行的《人脸识别技术应用安全管理办法》针对人
脸识别技术的应用提出了系统化的规范指引,其中规定:任何机构不得以胁迫方式采集
人脸信息;公共场所必须提供非生物特征验证选项;应用人脸识别技术处理的人脸信息
存储数量达到 10万人的个人信息处理者,应当向所在地省级网信部门履行备案手续。
据了解,在北京市网信办的指导下,已有 69 家单位通过履行人脸识别备案流程。7
月起,市网信办还将会同有关部门,聚焦交通运输、住宿旅游、教育培训、文化体育、
物流商贸、休闲娱乐等领域,开展公共场所违法违规收集使用人脸识别信息专项治理。
来源:北京市人民政府官网
链接:
5. 国家计算机病毒应急处理中心发现 68款违法违规收集使用个人信息的移动应用
2025 年 7 月 11 日,依据《中央网信办、工业和信息化部、公安部、市场监管总局
关于开展 2025 年个人信息保护系列专项行动的公告》,国家计算机病毒应急处理中心
公布了存在违法违规收集使用个人信息情况的 68 款移动应用。此次公告披露的主要违
法违规行为总结如下:
在《隐私政策》方面的违规行为包括:(1)APP 首次运行时未通过弹窗等明显方
式提示用户阅读隐私政策等收集使用规则,以默认选择同意隐私政策等非明示方式征求
用户同意等;(2)隐私政策未逐一列出 APP(包括委托的第三方或嵌入的第三方代码、
插件)收集使用个人信息的目的、方式、范围等。
在获取个人信息主体授权同意方面的违规行为包括:(1)对外提供个人信息时,
个人信息处理者未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式
和个人信息的种类,未取得个人的单独同意等;(2)未在征得用户同意后才开始收集
个人信息或打开可收集个人信息的权限;(3)未向用户提供撤回同意收集个人信息的
途径、方式,或未提供便捷的撤回同意的方式;(4)通过自动化决策方式向个人进行
信息推送、商业营销,未同时提供不针对其个人特征的选项,或者未向个人提供便捷的
拒绝方式。
在个人信息主体权利响应机制方面的违规行为包括:(1)未提供有效地更正、删
除个人信息及注销用户账号的功能。或虽提供了更正、删除个人信息及注销用户账号功
能,但未及时响应用户相应操作,需人工处理却未在承诺时限内完成核查和处理等;(2)
投诉、举报未在承诺时限内受理并处理;或未建立便捷的个人行使权利的申请受理和处
理机制。
8
来源:国家计算机病毒应急处理中心
链接:
6. 公安部计算机信息系统安全产品质量监督检验中心检测发现 33 款违法违规收集使
用个人信息的移动应用
2025 年 7 月 23 日,公安部计算机信息系统安全产品质量监督检验中心公布了 33
款存在违法违规收集使用个人信息情况的移动应用。
该公告披露的违法违规行为包括:(1)未公开个人信息收集使用规则;(2)未逐
一列出收集、使用个人信息的目的、方式、范围:(3)在申请打开可收集个人信息的
权限时,未同步告知用户其目的:(4)在申请收集用户等个人敏感信息时,未同步告
知用户其目的;(5)征得用户同意前就开始收集个人信息等。
来源:公安部计算机信息系统安全产品质量监督检验中心
链接:
7. 上海市通信管理局开展“铸盾模都”2025 年人工智能安全赋能专项行动
2025 年 7 月 27 日,为严格落实《网络安全法》《数据安全法》《个人信息保护法》
及《生成式人工智能服务管理暂行办法》等有关法律法规与文件要求,上海市通信管理
局开展了“铸盾模都”2025 年人工智能安全赋能专项行动。
专项行动的重点对象为在上海市电信和互联网行业中提供人工智能服务的企业,包
括:自研和开发人工智能技术的企业、使用人工智能技术对外提供服务的企业,上海市
基础电信企业等。专项行动聚焦 4 大板块、11 项重点。要求相关企业建立安全管理组
织与制度,落实网络、数据、内容、业务四条安全基线,市通管局定期组织对人工智能
业务的安全评估评测情况进行抽测,企业须 11 月 30 日前将年度人工智能业务清单上报
市通管局。完成资产备案、数据标注、上线评估、年度应急演练。上海市通管局将同步
提供安全评测工具,开展风险监测预警,进行攻防演练及典型案例评选。
来源:上海市通信管理局
链接:
9
三、境外资讯
1. 金砖国家领导人签署《全球人工智能治理宣言》
2025 年 7 月 9 日,金砖国家领导人(巴西、俄罗斯、印度、中国、南非)签署了
《全球人工智能治理宣言》。
该宣言主要提出了以下倡议:在多边主义、合法性与数字主权上,倡导以联合国为
核心,兼顾数字主权和发展权地协同治理人工智能。在市场规范、数据治理与技术可及
性上,需构建公平竞争的市场环境;以数据治理作为人工智能包容性治理的关键;人工
智能技术获取应遵循公平、公正、赋能性与包容性原则;为保护知识产权与维护公共利
益之间需要平衡,应在专利权、透明度及问责制之间建立平衡;国际标准应助力实现具
有包容性、代表性及可及性的人工智能。在公平与可持续方面,宣言倡议人工智能应普
惠共享;人工智能应当引领多方面可持续发展;人工智能应保障体面劳动,提高生产力;
人工智能应成为变革教育和学习的工具。最后,倡议提出必须创造符合伦理的、可信的、
负责的人工智能,未来应当以审慎方式发展通用人工智能,金砖国家将一同迈向公平、
包容的人工智能。
来源:中华人民共和国外交部官网
链接:
2. 欧洲议会发布关于生成式人工智能与版权的研究报告
2025 年 7 月 8 日,欧洲议会法律事务委员会发布《生成式人工智能与版权:训练、
创作与监督》研究报告(PE )。本报告得出了五项主要发现:包括:
(1)当前的欧盟文本和数据挖掘例外并非为适应生成式人工智能训练的表达性和
合成性而设计的,将其应用于此类系统可能会扭曲欧盟版权例外的目的和限制。
(2)完全由机器生成的作品不应受到保护,人工智能辅助的作品需要统一的保护
标准。
(3)法定报酬制度对于弥合创作者和人工智能开发人员之间日益扩大的价值差距
至关重要。此类制度可以采取集体许可或对 AI 输出的征收费的形式,由集体管理组织
管理,并基于透明、可审计的使用数据。
(4)当前欧盟人工智能碎片化的治理格局导致了执行缓慢、管辖权空白和监管不
确定性的问题。为此研究建议成立一个专门的 AI 与版权工作组,同时组织一个为期六
个月的高级专家小组。
(5)如果不及时进行改革,欧盟将面临法律不确定性、市场集中和文化同质化的
风险。据此,该研究建议采用“三支柱问责测试”来评估政策选择,即:认知问责制(关
10
于受版权保护的内容是否以及在何种方式下用于人工智能训练的透明度)、规范问责(权
利和收益的公平分配),以及系统性问责(有效的机构监督)。
来源:欧洲议会官网
链接:
774095
3. 欧盟委员会发布《通用人工智能模型提供商指南》
欧盟委员会于 2025 年 7月 18 日正式发布了《通用人工智能模型提供商指南》。作
为《人工智能法案》的重要配套文件,该指南旨在为企业履行 8月 2日生效的《人工智
能法案》下的相关义务提供操作框架。该指南的亮点内容如下:
指南要求通用人工智能模型提供商承担特殊责任。供应商应对可能威胁基本权利、
安全或可控性的“系统性风险模型”进行风险评估及制定缓解措施。例如在使用含版权
内容的数据集时需公开训练数据摘要并制定版权政策。
指南进一步明确了“提供商”与“投放市场”的定义,进而规制了在欧盟境内或境
外但向欧盟市场提供模型的主体。
指南豁免了满足透明度要求且采用免费开源许可(允许访问、修改及商业使用)的
模型的部分义务,但规定双重许可或需付费获取技术支持的开源模式不适用豁免。
指南强调建立系统性风险模型的动态监管机制,未来可能根据技术发展调整计算量
阈值(如从 10²³提升至 10²⁵ 次浮点运算)。
指南要求高风险模型供应商应在 2025 年 8 月 2 日后两周内向欧盟委员会报备。
来源:欧盟委员会官网
链接:
l-purpose-ai-providers
4. 白宫发布《美国人工智能行动计划》
2025 年 7 月 23 日,美国白宫正式发布了《赢得 AI竞赛:美国 AI行动计划》(Winning
the Race: AMERICA’S AI ACTION PLAN),意图通过系统性政策布局巩固其全球人工
智能领导地位,应对与中国的战略竞争。该计划围绕“加速创新、建设基础设施、主导
国际秩序”三大支柱提出了 90余项行动,其核心内容如下:
在本土法规政策领域:该计划提出撤销拜登政府时期强调安全与公平的监管框架,
废除联邦机构对 AI 研发的限制性法规。该计划将推动开源模型应用以降低技术门槛,
11
并通过联邦采购政策强制要求使用“无意识形态偏见”的 AI模型。
在基础设施建设领域:该计划提出简化数据中心、芯片工厂及能源设施的审批流程;
加速电网升级并开放联邦土地建设配套发电设施;扩大半导体制造、加强 AI 技能培训
以保障算力供应链。
在国际合作政策领域:该计划提出通过“全栈 AI 出口计划”向盟友输出硬件、模
型及标准;强化对华芯片出口管制并建立技术追踪机制;强调在国际组织中推广符合美
国价值观的治理框架。
来源:美国白宫官网
链接:
5. 欧盟委员会发布《通用人工智能模型训练内容公共摘要说明与模版》
2025 年 7 月 24 日,欧盟委员会发布了《通用人工智能模型训练内容公共摘要说明
与模版》。该模版系《人工智能法案》第 53 条的配套执行工具,旨在强制要求通用人
工智能模型提供者以标准化方式公开训练数据的来源、类型及处理方式,提升透明度并
平衡版权保护与商业机密需求。
在数据来源方面:模版要求披露公开数据集、已授权商业数据、网络抓取内容、用
户数据及合成数据的具体信息,例如公开数据集需列出主要来源及链接,抓取数据需说
明目标网站和时间范围。但对未授权私有数据,模版允许采用概括性描述以保护商业秘
密。
在模型版本更替方面:模版规定新模型需在上市时同步发布摘要。已上市的旧模型
需在 2027 年 8 月 2 日前补交摘要,否则将面临最高全球营业额 3%的罚款。
在不同类别、风险级别的模型义务方面:模版明确开源模型虽可豁免部分义务,但
仍需遵守版权政策及训练数据摘要要求。同时对于系统性风险模型,模版额外提交详细
技术网页。
该文件通过统一披露框架,为版权方维权和监管审查提供了依据,标志着欧盟在 AI
治理中强化数据溯源与合规透明度的核心策略。
来源:欧盟委员会官网
链接:
pose-ai-model-providers-summarise-their-training-content
6. 欧盟委员会发布关于保护未成年人的指导方针
12
2025 年 7 月 14 日,欧盟委员会正式发布《数字服务法案》框架下的未成年人保护
指南。该指南旨在通过系统性措施为儿童和青少年营造安全的数字环境,防范网络诱骗、
有害内容、成瘾行为、网络欺凌及有害商业实践等风险。作为《数字服务法案》第 28(1)
条的合规基准,该指南虽为自愿遵循,但将成为欧盟委员会评估平台合规性的重要依据。
该指南适用于所有允许未成年人访问的在线平台(微型和小型企业除外),核心要
求包括:
就在线平台功能、权限设置方面:指南要求对未成年人账户默认设置为私密模式以
隐藏个人信息;调整算法推荐系统以减少有害内容接触并增强未成年人对信息流的控制
权;禁止下载或截屏未成年人发布内容以防止性勒索;禁用通信“连击”、自动播放等
易致沉迷功能;限制利用儿童商业认知不足的操纵性设计(如虚拟货币或战利品盒)。
就平台准入机制、内容治理方面:指南强调需对用户采用精准可靠的年龄验证机制
(age assurance methods,如未来欧盟数字身份钱包的参考标准);建立透明的内容
审核与举报工具;同时要求平台不得过度限制未成年人权利。
来源:欧盟委员会官网
链接:
hes-guidelines-protection-minors
7. 韩国个人信息保护委员会发布《个人信息处理综合指南》
2025 年 7 月 11 日,韩国个人信息保护委员会(PIPC)发布了《个人信息处理综合
指南》,旨在通过案例解析帮助企业和机构理解并遵守 2023 年修订后的《个人信息保
护法》。
该指南整合了此前分散的多个指引文件,重点内容包括:(1)明确服务合同履行
中处理合同目的范围内的、信息主体可预测的个人信息无需额外同意,但需以清晰方式
告知信息主体;(2)允许在公共卫生等紧急情况下未经同意收集必要信息,但须履行
安全管理和数据销毁义务;(3)修订数据使用范围规则,允许在合理关联范围内持续
使用数据(需预先公开标准),临时性使用则无需公开;(4)强调考试监管等场景中
私人用途处理个人信息的违法风险;(5)要求企业停业时立即销毁无用数据;(6)规
范委托第三方处理数据时的安全措施及定期检查机制。PIPC 表示将持续完善指南内容,
并推动现场合规实践的持续改进。
来源:韩国个人信息保护委员会官网
链接:
4&mCode=C020010000&nttId=11349#LINK
8. 欧盟通过首个国际组织的充分性认定
13
2025 年 7 月 15 日,欧盟委员会依据 GDPR 第 45 条发布正式决定,认定欧洲专利组
织在个人数据保护方面达到了与 GDPR“基本等同”的水平。该充分性认定是首个针对
国际组织颁发的充分性认定,其意味着欧盟境内数据控制者和处理者可将个人数据传输
至欧洲专利组织,无需额外授权。
来源:欧盟委员官网
链接:
b1294dc5b591_en?filename=EPO%20Adequacy%20Decision%20July%
9. 加州通过隐私法新规
美国加州时间 2025 年 7月 24 日,加州隐私保护局(CPPA)召开会议一致通过了旨
在更新《加州消费者隐私法(CCPA)》的新规。新规亮点在于提出了对自动决策技术
(Automated Decision-making Technology,以下简称“ADMT”)、网络安全审计、风
险评估的最终规则等相关内容的要求。
来源:加州隐私保护局
链接:
14
四、境外监管
1. 尼日利亚数据保护委员会对 Multichoice 处以 亿奈拉罚款
7月 6日,尼日利亚数据保护委员会(NDPC)对非洲最大的电视运营商 Multichoic
e Nigeria 处以 亿奈拉罚款,认定其违反《尼日利亚数据保护法》。经 2024
年第二季度启动的调查发现,该公司存在过度收集用户个人数据及非法跨境传输等违规
行为。尽管 Multichoice 已采取整改措施,但 NDPC 认为其补救行动未达合规要求,故
在作出罚款决定的同时,要求对其所有数据收集网点展开全面合规调查。
来源:尼日利亚卫报
链接:
2%A6766m-for-data-protection-violations/
2. 康涅狄格州总检察长与 TicketNetwork 达成数据隐私和解协议
7 月 8 日,康涅狄格州总检察长办公室于 2025 年 7 月 8 日宣布与 TicketNetwork
就违反《康涅狄格州数据隐私法》(CTDPA)达成和解协议。该法适用于年收入超过 2500
万美元或处理超过 10 万消费者数据的本州企业。调查发现,TicketNetwork 未能满足 C
TDPA 关于数据透明度及消费者权利保障的法定要求。根据和解条款,TicketNetwork 须
完善隐私声明制度,保障消费者行使数据访问、更正、删除及退出数据处理和定向广告
等权利,并定期向总检察长提交消费者权利请求报告。因未能在 2025 年 1 月 1 日法定
整改期内完成合规整改,该公司另需支付 万美元和解金。
来源:康涅狄格州政府
链接:
ey-general-tong-announces-settlement-with-ticketnetwork
3. 爱尔兰 DPC 宣布对 TikTok 将欧洲用户数据传输到中国服务器进行调查
7月 10日,爱尔兰数据保护委员会(DPC)启动了新一轮对 TikTok 将欧洲用户个人
数据传输至位于中国的服务器的调查,DPC 称该调查是对其在 4月份对 TikTok 进行
亿欧元罚款的跟进。爱尔兰监管机构于 4月接到通报,称 TikTok 存在将部分欧盟用户
数据存储在中国服务器上的问题。爱尔兰监管机构表示,此次调查将重点关注 TikTok
是否遵守了欧盟《通用数据保护条例》(GDPR)规定的义务,包括与问责制、透明度、
与监管机构合作以及遵守欧盟以外数据转移规则相关的条款。
来源:爱尔兰数据保护委员会
链接:
ounces-inquiry-tiktok-technology-limiteds-transfers-eea-users-personal-data
15
-servers-located
4. 韩国 PIPC 以违反 PIPA 为由对 BYN Black Yak 处以 韩元的罚款
7月 10日,个人信息保护委员会(PIPC)对 BYN Black Yak Co. Ltd. 处以总计
亿韩元(约合 1,012,560 美元)的罚款,理由是违反了《个人信息保护法》(P
IPA)。PIPC 指出,BYN Black Yak 遭受了 SQL 注入攻击,恶意第三方获得了管理员访
问权限。数据泄露影响了 342,253 名用户的个人信息,个人信息被盗,包括姓名、性
别、出生日期、手机号码和地址。PIPC 指出,自 2021 年 10 月以来,BYN Black Yak
没有能对 SQL 注入攻击漏洞进行检查和采取措施,且没有使用除用户 ID 和密码以外
的任何安全身份验证方法。因此,PIPC 指出 BYN Black Yak 未能实施适当的安全措施,
违反了 PIPA 第 29 条。
来源:Dataguidance
链接:
-yak-krw-139b
5. 奥地利隐私权倡导组织 noyb 在其官网宣布对 TikTok、AliExpress、WeChat 发起
GDPR 投诉
7月 17 日,奥地利隐私权倡导组织 noyb 在其官网宣布向希腊数据保护局、法国数
据保护局和荷兰数据保护局对 TikTok、AliExpress、WeChat 发起 GDPR 投诉。Noyb 称,
三家科技公司均未遵守《通用数据保护条例》(GDPR)第 15 条规定的数据访问请求。
这使得欧洲用户无法行使隐私权,无法了解其个人数据的处理方式——也无法确认这些
公司是否遵守 GDPR 的其他规定,例如关于数据传输的规定;而根据欧盟法律,用户有
权获取其个人数据的完整副本。
来源:欧洲数字权利中心
链接:
ights
6. 西班牙数据保护局(AEPD)对 Atresmedia 处以 30,000 欧元罚款
7月 21日,西班牙数据保护局(AEPD)对媒体公司 Atresmedia 处以 5万欧元的罚
款,原因是该公司在报道一起性侵案件时,发布了一段法庭证词的录音。尽管视频中受
害者的脸部进行了马赛克处理,但其声音并未失真,导致其个人数据被泄露,违反了《通
用数据保护条例》(GDPR)中的数据最小化原则。AEPD 认为,保护受害者的隐私权优
先于媒体的报道自由权,并且该录音对新闻报道没有实质性价值。由于 Atresmedia 主
动承认责任并支付了罚款,最终罚款金额减至 3万欧元。
16
来源:Dataguidance
链接:
000-violation-data
7. 克罗地亚个人数据保护局(AZOP)对 HEP-Toplinarstvo 公司处以 32万欧元罚款
7月 23日,克罗地亚个人数据保护局(AZOP)公布对 HEP-Toplinarstvo 公司处以
32 万欧元的行政罚款。AZOP 认定,该公司将用户密码以可读形式存储于 HEP-Toplina
rstvo 数据库,使得用户密码存在未经授权披露和使用的风险,违反 GDPR 第 32 条第 2
款个人数据处理安全要求。该公司解决方案未包含基本安全措施,且未就应用程序建设
开展风险评估。此外,AZOP 指出 HEP-Toplinarstvo 既未展现足够的整改合作意愿以减
轻违规影响,也未依 GDPR 第 31 条向监管机构提供调查所需信息。
来源:威科先行数据库
链接:
croatia/cspd01772b73cfd1b1438ea24d64298e25d68f?refURL=https%3A%2F%
%2F#.
8. 西班牙数据保护局(AEPD)对能源公司 Repsol 处以 138 万欧元罚款
7月 28日,西班牙数据保护局(AEPD)对能源公司 Repsol 处以高达 138 万欧元的
罚款,原因是 Repsol 在未经核实数据准确性的情况下,通过其附属公司发送了大量营
销信息。调查显示,该公司使用了过时或不正确的客户数据,向一些已终止合同或要求
停止接收商业通信的客户发送了促销信息,严重违反了《通用数据保护条例》(GDPR)
中的数据准确性原则以及数据处理合法性原则。AEPD 强调,数据控制者有责任确保其处
理的个人数据是准确和最新的,否则将面临严厉处罚。
来源:Dataguidance
链接:
ata-accuracy-failures
9. 澳大利亚信息专员办公室(OAIC)——公布 2025-2026 年监管重点
7月 29日,澳大利亚信息专员办公室(OAIC)发布了 2025-2026 年的监管重点,
表示其将持续关注 OAIC 认为存在“权力与信息”失衡的领域。这些领域包括使用广告
技术(包括像素追踪),以及以可能“侵蚀”信息访问和隐私权的方式应用人工智能技
术。未来一年,OAIC 将特别关注的其他技术包括面部识别、生物特征扫描以及新型监
控,例如应用程序、车辆和其他设备中的位置追踪。此外,OAIC 也在密切关注过度收
集和保留个人信息的系统性问题。
17
来源:澳大利亚信息专员办公室 (OAIC)
链接:
-action-priorities-for-2025-26
10. 澳大利亚通信和媒体管理局(ACMA)对 Betfair 处以 871,660 澳元罚款
7月 31日,澳大利亚通信和媒体管理局(ACMA)对在线博彩公司 Betfair 处以高达
871,660 澳元的罚款。此次处罚的原因是该公司在未经客户明确同意的情况下,向超过
2万名澳大利亚客户发送了大量的营销邮件和短信。这些违规行为严重违反了澳大利亚
的《垃圾信息法》(Spam Act),该法律要求企业在进行电子营销时必须获得客户的同
意,并提供有效的退订选项。ACMA 强调,此举旨在警示所有企业,必须严格遵守直接营
销法规,否则将面临严厉处罚。
来源:Dataguidance
链接:
-871660-direct
网络安全与数据合规月报(2025-07)
资讯速递
一、境内资讯
1.国家网信办发布《关于开展个人信息保护负责人信息报送工作的公告》
2.数据流通交易合同示范文本发布
3.全国网安标委发布《网络安全技术 信息系统灾难恢复规范》等3项国家标准
4.国家网信办发布强制性国家标准《数据安全技术 电子产品信息清除技术要求(征求意见稿)》
5.全国网安标委发布《网络安全标准实践指南——扫码点餐个人信息保护要求(征求意见稿)》
6.我国在世界人工智能大会发表《人工智能全球治理行动计划》
7.全国网安标委发布《数据安全技术 未成年人产品和服务个人信息保护要求(征求意见稿)》
8.国务院审议通过《关于深入实施“人工智能+”行动的意见》
二、境内监管
1.中央网信办部署开展“清朗·2025年暑期未成年人网络环境整治”专项行动
2.国家互联网信息办公室就H20算力芯片漏洞后门安全风险约谈英伟达公司
3.上海市通信管理局关于侵害用户权益行为APP的通报(2025年第五批)
4.北京市开展公共场所“强制刷脸”专项治理
5.国家计算机病毒应急处理中心发现68款违法违规收集使用个人信息的移动应用
6.公安部计算机信息系统安全产品质量监督检验中心检测发现33款违法违规收集使用个人信息的移动应用
7.上海市通信管理局开展“铸盾模都”2025年人工智能安全赋能专项行动
三、境外资讯
1.金砖国家领导人签署《全球人工智能治理宣言》
2.欧洲议会发布关于生成式人工智能与版权的研究报告
3.欧盟委员会发布《通用人工智能模型提供商指南》
4.白宫发布《美国人工智能行动计划》
5.欧盟委员会发布《通用人工智能模型训练内容公共摘要说明与模版》
6.欧盟委员会发布关于保护未成年人的指导方针
7.韩国个人信息保护委员会发布《个人信息处理综合指南》
8.欧盟通过首个国际组织的充分性认定
9.加州通过隐私法新规
四、境外监管
1.尼日利亚数据保护委员会对Multichoice处以亿奈拉罚款
2.康涅狄格州总检察长与TicketNetwork达成数据隐私和解协议
3.爱尔兰DPC宣布对TikTok将欧洲用户数据传输到中国服务器进行调查
4.韩国PIPC以违反PIPA为由对BYN Black Yak处以 韩元的罚款
5.奥地利隐私权倡导组织noyb在其官网宣布对TikTok、AliExpress、WeChat发起GDP
6.西班牙数据保护局(AEPD)对Atresmedia 处以 30,000 欧元罚款
7.克罗地亚个人数据保护局(AZOP)对HEP-Toplinarstvo公司处以32万欧元罚款
8.西班牙数据保护局(AEPD)对能源公司Repsol处以138万欧元罚款
9.澳大利亚信息专员办公室(OAIC)——公布 2025-2026年监管重点
10.澳大利亚通信和媒体管理局(ACMA)对 Betfair 处以 871,660 澳元罚款
