1、数据安全政策与法律法规动态
1.1.国内数据安全政策与法律法规动态
1.1.1.《数据安全国家标准体系(2025版)》《个人信息保护国家标准体系(2025版)》正式发布
为支撑落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规政策要求,建立健全数据安全和个人信息保护标准体系,充分发挥标准对重点工作、产业发展、风险防范的基础性、规范性和引领性作用,经征求各相关方意见建议,全国网安标委秘书处组织编制完成了《数据安全国家标准体系(2025版)》和《个人信息保护国家标准体系(2025版)》,现予以印发。请各工作组、各有关单位结合实际,推进做好相关标准制修订工作。
来源:https://mp.weixin.qq.com/s/V03scIfxvdDw_6X741ffng
1.1.2.国家能源局综合司发布关于公开征求《能源行业数据安全管理办法(试行)(征求意见稿)》意见的通知
为贯彻落实党中央、国务院关于数据安全的决策部署,规范能源行业数据处理活动,加强数据安全管理,防范数据安全风险,促进数据开发利用,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国能源法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规,国家能源局编制了《能源行业数据安全管理办法(试行)(征求意见稿)》,现向社会公开征求意见。文稿中涉及的配套制度、标准规范等,将另行制定印发。欢迎有关单位和社会各界人士研提宝贵意见,自本通知发布之日起30日内传真至010-81929161,或发送电子邮件至gh@nea.gov.cn。
来源:https://mp.weixin.qq.com/s/P9TAg33LBEyiNU48Y1bD0Q
1.2.国外数据安全政策与法律法规动态
1.2.1.欧盟《数据法案》正式生效,赋予用户联网设备数据控制权
欧盟官网 9月12日消息,欧盟《数据法案》于当日正式生效。该法案不仅赋予用户对智能手表、汽车等联网设备所生成数据的控制权,还为中小企业利用这类数据开发创新型售后服务创造了机会。通过提高高质量数据的可获取性,法案将推动数据驱动型创新,并为欧洲数字经济的创新发展、竞争力提升与增长制定公平规则。根据法案规定,消费者与企业用户均可访问、使用并分享其联网设备(如汽车、智能电视、工业机械等)生成的原始数据。具体措施包括:确保欧盟市场上的联网设备具备数据共享功能;允许消费者选择性价比更高的维修服务,或自主进行设备维护;为制造业、农业用户提供工业设备性能数据,助力其提升生产效率;支持云服务用户切换服务商,或并行使用多个云服务;禁止通过不公平合同阻碍数据共享。此外,欧盟委员会还同步发布了车辆数据共享指南,以进一步优化维修维护、汽车共享等相关服务。
来源:https://digital-strategy.ec.europa.eu/en/news/eu-data-act-gives-users-control-over-data-connected-devices
1.2.2.美国白宫拟推量子技术行政令以加强联邦安全部署
Nextgov 9 月 19 日消息,白宫正计划推出聚焦量子技术的行政行动,以推动联邦政府对量子信息科学的应用及后量子密码的迁移工作。自今年初夏起,已有两项相关行政令处于酝酿阶段,具体数量或根据涉及范围调整为一至三项。尽管目前细节尚未公开,但后量子密码将是此次行动的核心内容 —— 美国国家标准与技术研究院已于去年发布了后量子密码的首批算法。该行政行动还将为各联邦机构制定明确时间表,要求其在容错量子计算机问世前,完成数字网络向后量子密码标准的迁移。
来源:https://www.nextgov.com/emerging-tech/2025/09/white-house-process-crafting-quantum-executive-action/408231/
1.2.3.韩国行政安全部首次引入“AI就绪”公共数据标准
韩联社9月18日消息,韩国行政安全部于当日宣布,将首次针对公共数据引入 “AI 就绪(Ready)” 概念,并同步制定详细标准与管理体系,以解决现有公共数据存在的格式兼容性低、更新周期不明确、摘要统计信息不足等问题。根据新标准要求,公共数据需以AI可直接读取和使用的格式提供,同时必须包含完整性、缺失率等摘要统计信息,以及更新周期、变更记录等丰富元数据。此外,数据还需采用地址、行政代码等标准化标识值,并严格符合数据质量规范,确保 AI 服务的准确性与可靠性。韩国行政安全部计划在年内组建专家工作组,进一步制定 “AI 就绪公共数据” 的详细标准与管理指南;同时,将率先对公共数据门户中开放的数据开展诊断,并优先对 AI 利用率高的数据应用上述新标准。
来源:https://www.yna.co.kr/view/AKR20250918049100530
2、个人信息保护政策与法律法规动态
2.1.国内个人信息保护政策与法律法规动态
2.1.1.2025年未成年人网络保护国际研讨会在北京举行
2025年未成年人网络保护国际研讨会在北京举行。研讨会以“智护未来:全球数字时代的未成年人保护与发展”为主题,开幕式暨主论坛设置主题演讲等环节。主论坛上发布“@芽”未成年人网络保护公益行动计划成果、未成年人网络安全视频课程、《未成年人网络保护情况报告(2025)》,举行了《网络安全技术 人工智能技术涉及未成年人安全应用指南》国家标准编制启动仪式。
来源:https://mp.weixin.qq.com/s/e8ktS1WIx9j_iD0ta4GhCg
2.1.2.商务部等九部门:支持跨国公司内部个人信息跨境传输便捷化安排
商务部等九部门印发《关于促进服务出口的若干政策措施》的通知。支持具备条件的地区探索跨国公司内部个人信息跨境传输便捷化安排,允许通过评估或认证的跨国公司内部自由跨境流动个人信息。在遵守国家网络管理制度前提下,支持相关企业、科研机构更便利地使用网络开展国际贸易和学术研究,参与国际竞争。
来源:https://mp.weixin.qq.com/s/SsUJeywSGmV_vvhuXrXMPQ
2.1.3.最高法指导案例:“先享后付”场景中个人信用信息处理的合法边界
最高人民法院发布指导性案例266号,“先享后付”功能以开通信用服务为必要条件,相关信用服务商收集反映用户个人信用或者风险状况的个人信息,属于“为订立、履行个人作为一方当事人的合同所必需”。为提供“先享后付”服务,信用服务商以对个人权益影响最小的方式收集用户有关信用信息,且对收集个人信息已尽到告知义务,用户主张该收集行为侵害其个人信息权益的,人民法院依法不予支持。
来源:https://mp.weixin.qq.com/s/YaQAYtZhSkHOiEnr2AkaTw
2.1.4.深圳出台加强APP个人信息保护15条
深圳市委网信办组织召开全市个人信息保护领域网络执法工作推进会,多方联动持续深化个人信息保护工作。会上重点发布了《深圳市加强应用程序个人信息保护若干指引(2025年版)》(以下简称《指引》),围绕隐私政策规范、用户同意管理、数据处理合规、用户权益保障四个板块提出15条规范指引。此外,腾讯、华为、中兴、荣耀、OPPO、酷派等6家属地重点应用软件分发平台企业负责人在会上签署了加强个人信息保护《合规运营承诺书》。
来源:https://mp.weixin.qq.com/s/V6qyyonbUcRohXExsf5kqg
2.1.5.《未成年人用户数量巨大和对未成年人群体具有显著影响的网络平台服务提供者认定办法(征求意见稿)》发布
落实《未成年人网络保护条例》要求,为进一步强化未成年人网络保护,保护未成年人合法权益,国家网信办会同国家新闻出版、电影部门和国务院教育、电信、公安、文化和旅游、市场监管、广播电视等有关部门起草了《未成年人用户数量巨大和对未成年人群体具有显著影响的网络平台服务提供者认定办法(征求意见稿)》,现向社会公开征求意见。
来源:https://mp.weixin.qq.com/s/N8dBBCy8HGmW2RDgRbtYIw
2.1.6.2025年国家网络安全宣传周个人信息保护论坛举办
2025年9月16日,由中央网信办网络数据管理局指导,中国网络空间安全协会、中国电子技术标准化研究院联合主办,新一代信息安全与隐私保护标准化技术工信部重点实验室承办,中国互联网发展基金会网络安全专项基金支持的“2025年国家网络安全宣传周个人信息保护分论坛”在云南成功举办。参会嘉宾围绕个人信息保护实践等主题,探讨App违法违规收集使用个人信息治理、个人信息保护认证、个人信息保护公益诉讼、个人信息保护合规要点等实践经验,共商应对个人信息保护新形势新情况新问题之策,共谋深化个人信息保护工作、汇聚个人信息保护合力之道,推动构建政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。
来源:https://mp.weixin.qq.com/s/MdYi2We6VZNjXD8ykd3ddw
2.1.7.《大型网络平台设立个人信息保护监督委员会规定》公开征求意见
为指导规范大型网络平台设立、运行个人信息保护监督委员会,对个人信息保护情况进行监督,保护个人信息权益,根据《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律、行政法规,国家互联网信息办公室起草了《大型网络平台设立个人信息保护监督委员会规定(征求意见稿)》,现向社会公开征求意见。
来源:https://www.cac.gov.cn/2025-09/12/c_1759395487456327.htm
2.2.国外个人信息保护政策与法律法规动态
2.2.1.Meta“付费或同意”模式获准在英国落地
Meta宣布将在英国推出“付费或同意”模式,用户可选择继续免费使用Facebook和Instagram并接受个性化广告,或每月支付订阅费以获得无广告体验。英国监管机构信息专员管理办公室(ICO)对此表示欢迎,认为Meta已采取措施解决其此前的不合规问题。
来源:https://mp.weixin.qq.com/s/2C8-fg5jGlLEasPRG-SIdQ
2.2.2.加拿大监管机构发现TikTok非法收集150万儿童敏感数据
加拿大多地隐私监管机构联合调查发现,TikTok 在三年内收集了约 150 万名 13 岁以下加拿大儿童的个人信息,之后才删除这些儿童的账户。TikTok 用于防止儿童使用平台的机制基本无效,且在收集上述信息后,将其用于广告投放、内容推荐等用途。令人担忧的是,所收集的信息包含面部、声音等生物识别数据,且这些数据的收集均未获得家长同意。
来源:https://mp.weixin.qq.com/s/mcfesZ7ykMHxmpnScZ2buA
3、国内外数据安全相关事件
3.1.国外数据安全相关事件
3.1.1.费尔蒙特信用合作社遭大规模数据泄露
9月13日,美国费尔蒙特联邦信用合作社(FFCU)近日通报一起严重数据泄露事件,涉及超18.7万名客户,泄露信息涵盖从基础身份信息到医疗健康数据的全维度敏感内容。此次泄露的数据范围惊人,包括全名、出生日期、地址、社会安全号码、护照号码、驾驶执照/身份证号码、金融账户及路由号码、信用卡/借记卡完整信息(含安全码/PIN码/到期日)、税务PIN码、医疗诊断/处方/提供者信息、保险单号、治疗费用详情,以及数字签名等。
来源:https://cybernews.com/security/fairmont-federal-credit-union-data/
3.1.2.FinWise银行内部人员信息泄露事件影响68.9万名客户
9月15日,FinWise银行于2024年5月31日发生一起由前雇员离职后访问敏感文件引发的数据泄露事件,涉及合作方美国第一金融(AFF)的68.9万名客户数据。泄露数据涉及AFF客户申请、账户管理、还款流程等关键信息。
来源:https://www.bleepingcomputer.com/news/security/finwise-insider-breach-impacts-689k-american-first-finance-customers/
3.1.3.Hello Gym数据库泄露事件:百万会员录音暴露
9月10日,美国明尼苏达州健身技术服务公司Hello Gym管理的未受密码保护数据库发生严重数据泄露,其中包括2020年至2025年超160万份健身房会员的电话录音和语音邮件。泄露的信息包括顾客姓名、电话号码及致电原因等个人身份信息(PII)的1605345个音频文件,涉及美国、加拿大多地健身房,部分记录提及知名健身品牌。
来源:https://hackread.com/hello-gym-data-leak-audio-files-of-gym-members/
3.1.4.海军联邦信用合作社服务器配置错误致内部文件泄露
9月3日,网络安全研究员Jeremiah Fowler在调查中发现,美国海军联邦信用合作社(NFCU)一台配置错误的服务器暴露了378GB敏感内部文件,事件由Website Planet研究团队与Hackread.com联合披露。该服务器未设置密码保护,任何人均可访问未加密的备份数据。暴露的文件包含大量潜在敏感数据:内部用户名、电子邮件地址、散列密码及密钥,以及由数据分析平台Tableau生成的多个工作簿文档。
来源:https://dailydarkweb.net/university-of-southeastern-philippines-database-allegedly-breached-student-data-for-sale/
3.1.5.全球多国遭遇超2.5亿份身份记录大规模泄露危机
9月3日消息,近期,一场涉及至少七个国家、超2.5亿份身份记录的大规模数据泄露事件引发全球关注。此次泄露的公民信息覆盖土耳其、埃及、沙特阿拉伯、阿联酋、墨西哥、南非和加拿大,包含身份证号码、出生日期、联系方式及家庭住址等政府级身份档案细节。三台配置错误的服务器(托管于巴西和阿联酋IP地址)成为泄露源头。
来源:https://cybernews.com/security/identity-records-global-data-leak/
4、移动互联网安全热点
4.1.国内移动互联网安全热点
4.1.1.工信部通报29款侵害用户权益APP(SDK)
根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,工信部对APP、SDK违法违规收集使用个人信息等问题开展治理。近期,经组织第三方检测机构进行抽查,共发现29款APP及SDK存在侵害用户权益行为。
来源:https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2025/art_2c42a3bd21cc4e3394472a68c5054b03.html
4.1.2.国家网络安全通报中心通报69款违法违规使用个人信息APP
依据《网络安全法》《个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求,经公安部计算机信息系统安全产品质量监督检验中心检测,69款移动应用存在违法违规收集使用个人信息情况。
来源:https://mp.weixin.qq.com/s/8yDgXMZxSkAeXmsSGD3lrg?scene=25&sessionid=-1896306706#wechat_redirect
4.2.国外移动互联网安全热点
4.2.1.两款热门安卓应用陷恶意软件风波,Necro木马威胁全球数百万用户
9月7日消息,安卓应用Wuta Camera(超1000万下载量)与Max Browser(超100万安装量)被曝为恶意软件陷阱,关联Necro木马。该远程控制木马(RAT)可窃取个人信息、植入隐藏广告,还能远程操控设备,2019年首次被发现,借隐写术将恶意代码藏于应用内,规避安全检测,在后台秘密活动。Wuta Camera仅6.3.7.138及以上版本无恶意软件,旧版本需立即卸载,谷歌已将其从Play商店下架;Max Browser则无论版本均建议卸载,目前或仍在部分设备中存在。专家提醒,勿从非官方渠道下载应用,GBWhatsApp等修改版应用也可能藏恶意软件,守护手机安全需谨慎选择下载源。
来源:https://pedirayudas.com/en/wuta-camera-and-max-browser-reported-malware-traps-50618/
4.2.2.Google从Play商店中清除224款恶意欺诈应用
近日,Google从Play商店中删除了224款安卓恶意应用。这些应用被用于实施大规模网络欺诈,每天可产生23亿次广告请求。据介绍,这些网络欺诈活动由Human公司的Satori威胁情报团队检测发现,相关应用下载量超3800万次。攻击者利用混淆技术和隐写术来隐藏恶意行为,以躲避Google和安全工具的检测,欺诈攻击范围广泛波及了全球228个国家和地区。Google表示将会进一步采取行动清除相关恶意应用,其开发者也会被加入黑名单。
来源:https://www.bleepingcomputer.com/news/security/google-nukes-224-android-malware-apps-behind-massive-ad-fraud-campaign/
4.2.3.新型iOS视频注入工具可绕过越狱iPhone的生物识别验证
iProov威胁情报团队发现了一款针对越狱iOS设备的新型复杂攻击工具,标志着数字身份欺诈能力出现重大升级。该工具专门设计用于对iOS 15及更高版本设备实施高级视频注入攻击,能够绕过薄弱的生物识别验证系统,并利用缺乏适当生物识别保护的身份验证流程。视频注入攻击的出现使得传统身份验证方法不再足够,需要采用全面的多层防御方法。组织必须实施能够同时满足以下要求的验证系统:通过身份信息与官方文件和数据库匹配确认正确人员;使用嵌入式图像和元数据分析验证真实人员以检测恶意媒体;通过独特的被动挑战-响应交互确保实时认证,防止重放攻击。
来源:https://cybersecuritynews.com/biometric-verification-with-jailbroken-iphones/
4.2.4.一加手机OxygenOS存在权限绕过漏洞,攻击者可窃取短信并绕过MFA保护
Rapid7研究人员披露了一加OxygenOS(一加专为海外市场开发的Android系统)中存在的一个关键权限绕过漏洞,CVE编号CVE-2025-10184。该漏洞允许受影响设备上安装的任何应用程序在无需权限、用户交互或同意的情况下,读取短信/彩信内容及其元数据。Rapid7指出:“当漏洞被利用时,设备上安装的任何应用都能从系统提供的Telephony提供程序中读取短信/彩信数据及元数据。整个过程无需权限、用户交互或同意,用户也不会收到短信数据被访问的通知。”
来源:https://www.rapid7.com/blog/post/cve-2025-10184-oneplus-oxygenos-telephony-provider-permission-bypass-not-fixed/
参考来源:
1、https://mp.weixin.qq.com/s/Y5IS4RRGkC0UlC4NYc0jPQ
2、https://mp.weixin.qq.com/s/BQIEL_UVs5LD-8F5q2t0CA