1 数据安全政策与法律法规动态
1.1.国内数据安全政策与法律法规动态
1.1.1.TC260发布文章:国家标准支撑《网络数据安全管理条例》生效施行(v1.0)
11月7日,全国网络安全标准化技术委员会(TC260)发布文章,主要介绍了TC260数据安全和个人信息保护相关标准工作,目前已经发布44项国家标准,正在制定2项强制性国家标准和15项推荐性国家标准,研制发布2项委员会技术文件和22项网络安全标准实践指南。网安标委秘书处分析了《网络数据安全管理条例》(以下简称《条例》)标准化需求,梳理出69项标准文件可为《条例》37项条款落地实施提供支撑,包括一般规定、个人信息保护、重要数据安全、网络数据跨境安全等重点内容,供各方参阅。
来源:https://mp.weixin.qq.com/s/Hi7AWL9Wlji0YisAqWDqGQ
1.2.国外数据安全政策与法律法规动态
1.2.1.美国国家标准与技术研究院发布的《NIST网络安全框架2.0》文件
11月24日,美国国家标准与技术研究院(NIST)正式推出《NIST 网络安全框架 2.0》,为各类组织开展网络安全风险管理、降低安全风险提供了全面实用的工具支撑体系。该框架以治理、识别、保护、检测、响应、恢复六大核心功能为支柱,构建形成覆盖网络风险管理全流程的整体视图。其核心内容包含三大关键组件:一是核心成果分类法,二是用于描述组织当前及目标安全状态的组织配置文件,三是评估风险管理实践严谨性的层级体系。为推动框架落地应用,NIST同步配套构建了丰富的资源支撑库,涵盖核心内容映射工具、专业参考工具及系列快速入门指南。这些指南针对不同应用场景与需求主体精准赋能,为小型企业、组织配置文件创建者、框架层级应用实践者、网络安全供应链风险管理者及企业风险管理从业者,提供了兼具针对性与可操作性的启动思路及实施步骤。该框架的核心目标是助力组织高效理解、科学评估、合理排序并有效沟通网络安全风险,强化内外部团队协同效能,推动网络安全管理与组织整体风险管理战略深度融合。
来源:https://csrc.nist.gov/pubs/sp/1308/2pd
1.2.2.欧盟修订《通用数据保护条例》和《人工智能法案》以简化监管
11月19日,欧盟发布《数字综合监管提案》《人工智能规则简化监管条例提案》,通过修订GDPR、《人工智能法案》等法规,为数字产业松绑。此次修订旨在平衡创新与安全,减轻企业合规负担。主要内容包括:扩大中小企业监管豁免范围,简化技术文档要求;允许企业基于“合法利益”用个人数据训练AI,用户仅享有“退出权”。高风险AI系统合规期限推迟至2027年12月。同时优化合规流程,节省企业行政成本。上述提案需经欧洲议会及成员国表决通过方能正式生效,其间仍可能出现修改。
来源:https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-ai-regulation-proposal
2 个人信息保护政策与法律法规动态
2.1.国内个人信息保护政策与法律法规动态
2.1.1.国家互联网信息办公室、公安部就《大型网络平台个人信息保护规定(征求意见稿)》公开征求意见
为规范大型网络平台个人信息处理活动,保护个人信息合法权益,促进平台经济健康发展,根据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》《网络数据安全管理条例》等法律法规,国家互联网信息办公室、公安部起草了《大型网络平台个人信息保护规定(征求意见稿)》(以下简称《征求意见稿》)。11月22日,国家互联网信息办公室、公安部就《征求意见稿》面向社会公开征求意见,意见反馈截止时间为2025年12月22日。《征求意见稿》共24条,涉及大型网络平台目录及动态更新、大型网络平台服务提供者个人信息保护负责人、个人信息保护工作机构等重要事项。
来源:https://www.cac.gov.cn/2025-11/22/c_1765543463511624.htm
2.1.2.上海市网信办、市市场监督管理局、市卫生健康委联合发布《上海市医疗服务类互联网企业网络数据安全和个人信息保护合规指引》
11月25日,上海市网信办、市市场监督管理局、市卫生健康委联合发布《上海市医疗服务类互联网企业网络数据安全和个人信息保护合规指引》(以下简称《指引》),用于提升上海市医疗服务类互联网企业网络数据安全与个人信息保护合规水平,推动行业健康发展。针对属地部分医疗服务类互联网企业频繁发生涉网络数据安全事件的情况,2025年5月至9月,上海市网信办、市市场监督管理局、市卫生健康委联合开展“医疗服务类互联网企业网络数据安全、个人信息保护”专项整治,推进《指引》的制定工作。《指引》共22条,对健康医疗数据收集、存储、使用、加工、传输、提供、公开、删除等全生命周期处理活动提出规范要求。
来源:https://mp.weixin.qq.com/s/K3_OzeO6IpsTngo7vW5ULw
2.1.3.个人信息识别、去标识化、匿名化等三部网络安全标准实践指南公开征求意见
11月24日,全国网络安全标准化技术委员会发布公告,就《个人信息保护 个人信息识别指南(征求意见稿)》《个人信息保护 个人信息去标识化指南(征求意见稿)》《个人信息保护 个人信息匿名化指南(征求意见稿)》等3项网络安全标准实践指南面向社会公开征求意见。意见征求日期截至2025年12月7日。
来源:https://mp.weixin.qq.com/s/HKL9XhCyE445mj-PzgdsmA
2.2.国外个人信息保护政策与法律法规动态
2.2.1.欧盟理事会通过跨境数据保护投诉处理新规
11月17日,欧盟理事会宣布通过跨境数据保护投诉处理的新规,旨在改善各国数据保护机构在执行《通用数据保护条例》(GDPR)时的合作,简化与投诉人权利、案件可受理性等相关的行政程序,使跨境案件的GDPR执法更加高效。
新规统一跨境数据保护投诉案件的受理标准、明确投诉人与被调查企业同等陈述权,并首次设定15个月调查时限(简易程序12个月),同时允许事实清楚的争议走简化合作通道。预计新规实施后,将显著压缩欧盟境内跨国隐私投诉的处理周期,提升执法效率与透明度。
来源:https://mp.weixin.qq.com/s/Z3GxUZBFdOlhlTzA5lajaQ
2.2.2.印度公布《2025年数字个人数据保护规则》
11月13日,印度电子与信息技术部公布《2025年数字个人数据保护规则》(Digital Personal Data Protection Rules,以下简称《规则》),对此前印度2023年《数字个人数据保护法》(Digital Personal Data Protection Act,DPDP Act)实施的关键问题作出了进一步明确,标志印度首部全面个人数据保护立法迈向落实。
《规则》核心是建立以“同意”为基础的数据处理框架,并分三阶段推进实施:首先成立数据保护委员会(DPB),随后引入“同意管理人”(Consent Managers)注册机制,最后全面落地安全协议与泄露通知等规定。《规则》主要合规要求包括:1)数据处理透明化:数据受托人(Data Fiduciary,即决定处理个人数据之目的和方式的实体)必须明确告知用户数据处理目的。2)同意可便捷撤回:必须为用户提供易于操作的同意撤回渠道。3)72小时泄漏通报:发生数据泄漏需在72小时内上报。4)儿童数据保护:特别强调对儿童数据的保护,大型平台对儿童数据的保留期限不得超过三年。5)新增责任主体:《规则》创设了“同意管理人”和“重大数据受托人”(Significant Data Fiduciaries,即依据所处理个人数据的性质、规模等因素被划分为特定类别的实体)两类新型责任主体。
来源:https://mp.weixin.qq.com/s/EgPQoCdlAPUl3sDnRR84_A
3 国内外数据安全相关事件
3.1.国外数据安全相关事件
3.1.1.伊比利亚航空因供应商安全漏洞致客户数据泄露
11月23日,西班牙国家航空公司伊比利亚航空近日通报,因第三方供应商系统遭未经授权访问,导致部分客户信息泄露。泄露数据涉及客户姓名、电子邮件及伊比利亚航空俱乐部会员卡识别号码,账户登录凭证、密码及银行支付信息未受影响。
来源:https://www.bleepingcomputer.com/news/security/cox-enterprises-discloses-oracle-e-business-suite-data-breach/
3.1.2.汉堡微缩景观馆线上购票页面存在安全漏洞,信用卡数据遭泄露
11月11日,汉堡微缩景观馆(德国北部热门旅游胜地及全球最大铁道模型展区)近日向游客通报一起严重数据安全事件。因其线上购票页面存在安全漏洞,6月6日至10月29日期间,通过线上渠道使用信用卡购买该馆门票的游客信息可能被未授权第三方获取,涉及持卡人姓名、卡号、验证码及有效期等敏感数据,影响范围预计达数千至数十万人。
来源:https://cybernews.com/security/miniatur-wunderland-museum-cyberattack/
3.1.3.英国历史影像档案馆用户数据泄露
11月12日,英国历史影像档案馆Francis Frith因一个被遗弃的Elasticsearch数据库暴露超过30万条用户记录,该数据库无需认证即可访问,由Cybernews研究人员发现。此次泄露的数据包含用户全名、邮箱地址及部分实体住址,涉及近4.4万条客户咨询记录,时间跨度从2006年至今近二十年。
来源:https://cybernews.com/security/francis-frith-data-leak-2025/
4 移动互联网安全热点
4.1.国内移动互联网安全热点
4.1.1.工信部通报39款APP及SDK侵害用户权益
根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,工信部对APP、SDK违法违规收集使用个人信息等问题开展治理。近期,经组织第三方检测机构进行抽查,共发现39款APP及SDK存在侵害用户权益行为。
来源:https://www.miit.gov.cn/xwfb/gxdt/sjdt/art/2025/art_9743958ccdc4447a90ad06578c6edcad.html
4.1.2.国家计算机病毒应急处理中心检测发现70款违法违规收集使用个人信息的移动应用
依据《网络安全法》《个人信息保护法》等法律法规,按照中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》要求,经国家计算机病毒应急处理中心检测,70款移动应用存在违法违规收集使用个人信息情况。
来源:https://www.cverc.org.cn/zxdt/report20251030.htm
4.1.3.北京市通信管理局通报15款问题App:8款被公开通报,7款被全网下架
依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络产品安全漏洞管理规定》等法律法规,按照工业和信息化部工作部署要求,北京市通信管理局持续开展移动互联网应用程序隐私合规和网络数据安全专项整治,将存在侵害用户权益和安全隐患等问题的移动互联网应用程序予以通报。截至目前,有8款App因未整改或整改不到位被公开通报,另有7款App因未完成整改被全网下架处置。
来源:https://bjca.miit.gov.cn/zwgk/wlaqgl/art/2025/art_6fb3525116cc4d0bb60c52e0e04b91ce.html
4.2.国外移动互联网安全热点
4.2.1.三星0Day漏洞遭间谍软件LANDFALL利用入侵Galaxy设备
研究人员发现了一个名为LANDFALL的新型Android间谍软件家族。该恶意软件利用三星图像处理库中的0Day漏洞(CVE-2025-21042)入侵Galaxy系列设备。攻击者通过WhatsApp发送嵌有间谍软件的恶意DNG图像文件,实现零点击感染并获取设备完全控制权。LANDFALL被描述为专为三星Galaxy系列设备(包括S22、S23、S24、Z Fold4和Z Flip4)设计的“商业级”间谍软件。一旦安装成功,攻击者即可获得对设备的广泛控制和监控能力。
来源:https://securityonline.info/zero-click-samsung-zero-day-cve-2025-21042-delivered-landfall-spyware-via-malicious-dng-images/
4.2.2.攻击者在暗网兜售iOS 26全链0Day漏洞利用工具
一名自称“ResearcherX”的攻击者在知名暗网市场发布据称可针对苹果最新iOS 26操作系统的全链0Day漏洞利用工具。该卖家声称该漏洞利用工具利用了iOS消息解析器中的关键内存损坏漏洞。若该漏洞属实,将意味着苹果最新安全架构的重大突破,攻击者无需任何用户交互即可获取现代iPhone和iPad的未授权root访问权限。网络安全专家建议组织和高风险个人密切关注可能在未来数周内发布的紧急安全更新(如iOS 26.0.2),这些更新可能修复解析逻辑缺陷。
来源:https://cybersecuritynews.com/ios-26-full%e2%80%91chain-0%e2%80%91day-exploit/
4.2.3.零检出RelayNFC安卓恶意软件将手机变为远程读卡器
Cyble研究与情报实验室(CRIL)发现一场快速演变的NFC中继恶意软件活动。这种新发现的恶意软件家族被命名为RelayNFC,能够将受害者的安卓设备转变为远程读卡器,使攻击者无需物理接触银行卡即可实施非接触式欺诈交易。CRIL将RelayNFC描述为“轻量级但具备高规避性的恶意软件”,其通过Hermes编译的载荷可悄无声息地窃取用户银行卡数据,并实时中继至攻击者控制的服务器。更令人警惕的是,当前所有样本在VirusTotal上的检测率为零,说明安全产品尚未具备对该威胁的识别能力。
来源:https://securityonline.info/zero-detection-relaynfc-android-malware-turns-phones-into-remote-card-readers/
资料来源:
https://mp.weixin.qq.com/s/pMrdUdyPzBs55ucj3Rmmeg
https://mp.weixin.qq.com/s/a3WdXCOIrHb4lzweZ-1eGw