1、数据安全政策与法律法规动态
1.1.国内数据安全政策与法律法规动态
1.1.1.国家互联网信息办公室数据出境安全管理政策问答(2025年10月)
10月31日,国家网信办发布《数据出境安全管理政策问答(2025年10月)》,针对实践中的热点问题作出回应。问答明确,跨境购物等豁免场景的“等”不限于列举情形,但需符合合同关联与必要提供原则;境内个人预定境内酒店数据出境不适用豁免。对重要数据出境,明确2个月申报期内可提前准备材料;境外机构人员在境内调取数据不属出境。此外,还细化了系统升级是否需重报评估、标准合同备案次数及境外接收方转第三方等实操要求,为数据处理者合规提供清晰指引。
来源:https://mp.weixin.qq.com/s/JLr066P-zKJxs_0gcDu8rA
1.1.2.全国网安标委发布关于征求国家标准《数据安全技术 数据安全保护要求》(征求意见稿)意见的通知
10月31日,全国网络安全标准化技术委员会归口的国家标准《数据安全技术 数据安全保护要求》现已形成标准征求意见稿。根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,现将该标准征求意见稿面向社会公开征求意见。标准提出了数据安全保护框架,规定了数据安全保护的原则、目标和要求,适用于指导数据处理者开展数据分类分级保护工作,也可为主管监管部门、第三方评估机构等组织对数据安全进行监督、管理和评估提供参考。
来源:https://mp.weixin.qq.com/s/dISBt-qgXkGeONev_UnNcA
1.2.国外数据安全政策与法律法规动态
1.2.1.世界经济论坛发布《量子技术:先进制造和供应链的关键机遇》报告
10月28日,世界经济论坛(WEF)发布报告指出,量子技术依托模拟、优化、精密传感、安全通信四大核心能力,能够有效应对全球制造业与供应链面临的多重挑战,包括数字化转型压力、运营波动性加剧、定制化需求提升及可持续性要求升级等。报告将量子技术划分为量子计算、量子传感、量子安全与通信三大类别,各类别应用场景明确:量子计算可解决复杂组合优化问题,量子传感能实现超精密测量,量子安全与通信则用于保护敏感数据及工业网络安全。通过这些应用,量子技术可推动产品设计与研发创新、提升工厂生产精确度与效率、增强供应链敏捷性与安全性。具体案例显示,波音公司借助量子算法加快材料研发进程,台积电运用量子传感器识别纳米级缺陷,美国洛杉矶港通过量子优化引擎提高集装箱交付效率。报告同时建议,需通过搭建量子就绪平台、推动全球量子技术标准统一等举措,助力量子技术实现规模化落地应用。
来源:https://www.weforum.org/stories/2025/10/what-every-manufacturing-leader-know-about-quantum-technologies/
1.2.2.欧洲数据保护监督机构发布修订版生成式AI指南
10月28日,欧洲数据保护监督机构(EDPS)宣布更新针对欧盟机构、团体、办公室和机构(EUIs)使用生成式AI及处理个人数据的指南,以应对技术快速发展及生成式 AI 系统带来的新挑战。此次修订旨在强化数据保护,指导EUIs 全面遵守《欧盟法规第 2018/1725 号》规定的数据保护义务,且基于EUIs反馈提供更清晰实用的指导。关键更新包括:细化生成式AI定义以增强明确性与一致性、新增行动导向的合规检查清单(助力评估处理活动合法性)、明确 EUIs 作为控制者、联合控制者或处理者的角色责任,以及就合法依据、目的限制、数据主体权利处理提供详细建议。
来源:https://www.edps.europa.eu/press-publications/press-news/press-releases/2025/edps-unveils-revised-guidance-generative-ai-strengthening-data-protection-rapidly-changing-digital-era_en
1.2.3.Gartner发布《2026年十大战略技术趋势》报告
10月20日,Gartner发布报告指出,2026年是技术领导者的关键一年,在AI驱动的超互联世界中,颠覆、创新与风险正以前所未有的速度涌现。2026年十大战略技术围绕“架构师”“综合师”“先锋者”三大主题展开:“架构师”聚焦构建安全、可扩展、自适应数字基础,含AI原生开发平台、AI超级计算平台、机密计算3项技术;“综合师”强调技术协同创造新价值,含多智能体系统、领域特定语言模型、物理AI 3项技术;“先锋者”关注主动安全与透明治理,含先发制人型网络安全、数字溯源、AI 安全平台、地缘回迁4项技术。
来源:https://www.gartner.com/en/articles/top-technology-trends-2026
2、个人信息保护政策与法律法规动态
2.1.国内个人信息保护政策与法律法规动态
2.1.1.国家互联网信息办公室、国家市场监督管理总局联合公布《个人信息出境认证办法》
10月17日,国家互联网信息办公室、国家市场监督管理总局联合公布《个人信息出境认证办法》(以下简称《办法》),旨在保护个人信息权益、规范个人信息出境认证活动,促进个人信息高效安全跨境流动。
《办法》共十九条,对《个人信息保护法》第三十八条第一款第二项规定的个人信息出境认证制度作了基本规定,具体包括个人信息出境认证的适用情形、申请方式、认证要求、证书有效期等内容,细化专业认证机构应当履行的义务、监督管理等规定,并对违反《办法》规定的法律责任、适用效力等作出了规定。《办法》自2026年1月1日起施行。
来源:https://www.cac.gov.cn/2025-10/17/c_1762449728720008.htm
2.1.2.国家互联网信息办公室等发布第一批通过个人信息保护合规审计服务认证的专业机构名单
为落实《中华人民共和国个人信息保护法》《个人信息保护合规审计管理办法》相关要求,中央网信办(国家网信办)数据与技术保障中心、中国网络安全审查认证和市场监管大数据中心、北京赛西认证有限责任公司依据《中华人民共和国认证认可条例》以及相关认证规则、实践指南开展专业机构认证工作。10月21日,国家互联网信息办公室等联合发布通过第一批13家通过个人信息保护合规审计服务认证的专业机构名单,认证有效期为五年。
来源:https://www.cac.gov.cn/2025-10/21/c_1762768277043600.htm
2.1.3.工信部通报20款侵害用户个人信息权益行为的智能终端
10月22日,工业和信息化部信息通信管理局根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布《关于开展2025年个人信息保护系列专项行动的公告》,通报20款侵害用户权益行为的智能终端名单,要求其按照有关规定进行整改,对整改落实不到位的,将依法依规组织开展相关处置工作。
此次通报涉及家庭网络摄像机、儿童电话手表、智能音箱、(人脸)智能门锁、对话机器人、智能学习终端等产品,主要问题项包括未提供个人信息处理规则、收集人脸信息未单独告知、超范围收集非必要个人信息、违规传输个人信息至云端、未提供权限管控机制、强制自动续费等问题。
来源:https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2025/art_c5fe23fd370746c9bb8a50751390e374.html
2.1.4.最高法发布互联网法院案件管辖规定,“网络个人信息保护、隐私权纠纷”将由互联网法院集中管辖
10月11日,为加强互联网法院建设,进一步发挥互联网法院司法便民利民、公正高效便捷解纷、强化网络空间依法治理、服务保障数字经济健康发展的功能作用,最高人民法院发布《最高人民法院关于互联网法院案件管辖的规定》(法释〔2025〕14号,以下简称《规定》),对互联网法院案件管辖范围作出调整完善。《规定》自2025年11月1日起施行。
《规定》共四条,在《最高人民法院关于互联网法院审理案件若干问题的规定》(法释〔2018〕16号)的基础上,进一步明确了互联网法院的案件管辖范围、协议管辖规则、上诉审理机制等内容。其中,“网络个人信息保护、隐私权纠纷”作为新增网络案件类型纳入互联网法院集中管辖。《规定》施行后,北京市、杭州市、广州市市辖区内应由基层法院审理的上述案件将分别由三家互联网法院集中管辖,有效探索前述新型、前沿、重点网络领域裁判规则,发挥规范引领、促进保障作用,及时回应网络空间治理新要求,护航数字经济健康发展。
来源:https://www.court.gov.cn/fabu/xiangqing/478291.html
2.2.国外个人信息保护政策与法律法规
2.2.1.欧盟就《关于数字市场法与通用数据保护条例协同使用的联合指南》公开征求意见
10月9日,欧洲数据保护委员会与欧盟委员会就《关于数字市场法与通用数据保护条例协同适用的联合指南》公开征求意见,意见反馈截止时间为2025年12月4日。
该指南重点围绕DMA中涉及个人信息处理的核心条款展开,进一步明确了GDPR中的合法性基础、同意要求、透明度与最小化原则在DMA合规中的适用,以确保《数字市场法》(DMA)与《通用数据保护条例》(GDPR)在多个关键场景下得以有效协同适用,以达成各自的立法目标,同时充分尊重欧盟法律所确立的数据保护基本权利。
来源:https://mp.weixin.qq.com/s/TW06RlvqYnz1Smseg8-uLg
2.2.2.欧盟数据保护委员会明确第五次联合执法行动主题,将透明度遵守情况作为执法重点
10月14日,欧洲数据保护委员会(EDPB)宣布第五次联合执法行动主题,2026年将重点关注组织是否遵守《通用数据保护条例》规定的透明度和信息告知义务。
在此次联合行动中,欧盟各成员国数据保护机构 (DPAs)将先在本国围绕行动主题展开调查。随后,EDPB将汇总并分析各国的行动结果,并在必要时于国家或欧盟层面采取有针对性的后续措施。各成员国数据保护机构将在未来几周内自愿加入此项行动。
来源:https://www.edpb.europa.eu/news/news/2025/coordinated-enforcement-framework-edpb-selects-topic-2026_en
2.2.3.奥地利数据保护局微软365教育版非法追踪学生数据,要求限期整改
10月11日,奥地利数据保护局(DSB)审理认定Microsoft 365教育版非法追踪学生数据,拒绝披露数据收集和处理情况等行为,违反了欧盟《通用数据保护条例》相关规定,要求微软方面限期作出整改。微软方回应称将对裁决结果进行审查。
该事件的起因是一名奥地利学生依据GDPR相关规定,要求其学校披露使用Microsoft 365教育版过程中对学生数据的收集与处理情况。学校称对该软件收集的数据没有实际控制权,无法提供这些信息。其后,该学生在欧洲数据保护组织NOYB(None of Your Business)的支持下,于2024年对学校、地方教育委员会、教育部及微软公司发起投诉,指控使用该软件侵犯了学生合法权益。DSB就此作出裁决,认为微软存在多项违法行为:一方面,Microsoft 365教育版未经同意使用了跟踪cookie,并用于分析用户行为,违反GDPR,据此要求微软、学校和教育部门检查此类cookie是否仍在使用,并于十周内删除所有相关数据;另一方面,微软未能回应用户提出的披露数据收集和处理情况的要求,在数据处理透明度方面存在严重问题,侵犯个人的知情权和数据访问权,据此要求微软向原告提供长期有效的访问通道,在四周内对学生数据使用情况作出解释。此外,调查还发现部分数据已被传输至LinkedIn、OpenAI以及广告技术公司Xandr,构成违法数据传输行为。
来源:https://mp.weixin.qq.com/s/wiHMgEK9qHGXRLSr82BekA
3、国内外数据安全相关事件
3.1.国外数据安全相关事件
3.1.1.黑客出售800万份墨西哥债务催收机构数据
10月28日,网络犯罪分子在暗网论坛宣称出售包含超800万条记录的墨西哥债务人数据库,涉及2023至2025年间收集的个人及财务敏感信息。该数据库源自墨西哥某债务催收机构,该机构专门负责追讨客户逾期款项。威胁行为者声称已渗透其系统,但未公开具体机构名称,仅表示仍可访问其系统,并设定了数据集价格标签。据泄露样本显示,被盗数据涵盖姓名、债务金额、完整地址、出生日期、CURP(墨西哥个人身份证号)、电话号码、银行信息、金融产品及逾期投资组合分配日期等。
来源:https://www.venustech.com.cn/new_type/aqjx/20251030/28931.html
3.1.2.NCX加密平台超500万条敏感数据泄露
近日,Cybernews研究团队发现加密货币交易平台NCX因未受保护的MongoDB数据库泄露超500万条用户敏感信息,数据总量超过1GB。该数据库因人为配置错误未启用身份验证,导致全球用户信息长期暴露于公开网络,部分数据最早可追溯至数月前。泄露数据涵盖八大集合,最大集合包含超200万条记录,最小集合各含17万条以上,所有记录均为最新数据,反映平台高活跃度。具体暴露信息包括:全名、出生日期、电子邮件、用户上传的身份证件链接、双因素认证(2FA)代码及URL、内部API密钥、IP地址、哈希密码、个人资料照片、钱包地址、区块链交易记录、存款/取款历史、管理员支持日志等。
来源:https://www.venustech.com.cn/new_type/aqjx/20251030/28931.html
3.1.3.视频会议应用Huddle01泄露用户数据
10月15日,去中心化视频会议应用Huddle01宣称提供高安全性WebRTC服务,却因未受保护的Kafka Broker实例导致大规模用户数据泄露。研究团队发现,该平台用于传输实时日志的Kafka Broker未启用身份验证、加密或访问控制,暴露了2025年8月13日至26日期间超621000条实时日志条目,涵盖用户电子邮件、IP地址、加密钱包地址(支持比特币、以太坊等区块链)、通话参与记录、国家、时间、时长等敏感信息。这些数据以明文形式实时传输,任何第三方均可无障碍访问。
来源:https://www.venustech.com.cn/new_type/aqjx/20251017/28890.html
3.1.4.印度NetcoreCloud服务器配置错误致400亿条敏感数据泄露
10月16日,印度全球电子邮件营销与自动化企业NetcoreCloud因服务器配置错误,导致包含400亿条记录、总计13.4TB的敏感数据泄露,涉及全球客户电子邮件、内部详细信息及技术配置等核心数据。网络安全研究员Jeremiah Fowler在公开数据库中发现该漏洞,数据库未加密且未受保护,任何获取IP地址者均可访问海量邮件通信记录,包括医疗保健通知、银行活动警报、就业相关邮件及部分账户技术信息(如IP地址、SMTP配置),部分记录甚至标记为机密。
来源:https://www.venustech.com.cn/new_type/aqjx/20251017/28890.html
4、移动互联网安全热点
4.1.国内移动互联网安全热点
4.1.1.工信部通报42款侵害用户权益APP(SDK)
根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,我部对APP、SDK违法违规收集使用个人信息等问题开展治理。近期,经组织第三方检测机构进行抽查,共发现42款APP及SDK存在侵害用户权益行为。
来源:https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2025/art_c6db4ce807f44947a7cf9006ccf856c2.html
4.1.2.公安部计算机信息系统安全产品质量监督检验中心检测发现34款违法违规收集使用个人信息的移动应用
依据《网络安全法》《个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求,经公安部计算机信息系统安全产品质量监督检验中心检测,34款移动应用存在违法违规收集使用个人信息情况。
来源:https://mp.weixin.qq.com/s/jZ_bybsfUbmo8vchBu1pQw?scene=25&sessionid=#wechat_redirect
4.1.3.上海通管局通报大批金融APP/小程序违规收集处理个人信息
上海市通信管理局高度重视用户权益保护工作,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,对APP(SDK)侵害用户权益的违规行为持续开展整治。近期,我局组织第三方检测机构对我市APP(SDK)进行抽查,共发现27款APP(SDK)存在侵害用户权益行为。
来源:
https://mp.weixin.qq.com/s/fbFfnUGb1uhIiNE4ER9RSw?scene=25&sessionid=#wechat_redirect
4.2.国外移动互联网安全热点
4.2.1.三星Galaxy S25的0Day漏洞遭利用,可远程操控摄像头并追踪定位
在Pwn2Own Ireland 2025黑客大赛上,Interrupt Labs网络安全研究员通过成功利用三星Galaxy S25中的0Day漏洞。该漏洞使他们能够完全控制设备,实现摄像头远程激活和用户位置追踪功能。三星尚未就此次 Galaxy S25 漏洞利用事件发表具体声明,但根据历史经验,预计将很快发布安全更新修复该漏洞,类似近期其他 Android 0Day 漏洞的修复模式。建议用户启用自动更新功能并关注官方补丁发布渠道,因为未修复的漏洞可能导致真实攻击中敏感数据泄露。
来源:
https://www.freebuf.com/articles/endpoint/453913.html?sessionid=
4.2.2.Android旁路攻击30秒即可窃取双重验证码
研究人员在ACM计算机与通信安全会议(CCS 2025)上披露,Pixnapping是一种针对Android设备的新型旁路攻击,可在30秒内秘密提取屏幕敏感数据(包括Google Authenticator的双因素认证2FA验证码)。该攻击利用Android核心API和图形处理器(GPU)的硬件漏洞,几乎影响所有现代Android手机且无需特殊权限。
来源:https://www.freebuf.com/articles/452659.html
参考来源:
1、https://mp.weixin.qq.com/s/-ZahAp-X3aWwEu3ANs9YSw
2、https://mp.weixin.qq.com/s/Yw2DVlw4sZZIZTHkL0PxAQ