1 数据安全政策与法律法规动态
1.1.国内数据安全政策与法律法规动态
1.1.1.国家能源局印发《能源行业数据安全管理办法(试行)》
为规范能源行业数据处理活动,加强数据安全管理,防范数据安全风险,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国能源法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规,国家能源局制定了《能源行业数据安全管理办法(试行)》自2026年7月1日起施行。本办法适用于在中华人民共和国境内开展能源行业数据处理活动及其安全监督管理,共六章三十七条,包括总则、能源行业数据安全基本职责、能源行业数据保护要求、能源行业数据安全监测预警和应急处置、监督检查和法律责任、附则。
来源:https://mp.weixin.qq.com/s/OpZFhHJGSpjp-hX4f-TW1w
1.1.2.《中华人民共和国网络安全法》修改后版本公布
2025年10月28日,第十四届全国人民代表大会常务委员会第十八次会议通过《全国人民代表大会常务委员会关于修改〈中华人民共和国网络安全法〉的决定》,该决定自2026年1月1日起施行。近日,《中华人民共和国网络安全法》根据该决定作相应修改并对条文顺序作相应调整后的版本重新公布。此次修改新增的第二十条对人工智能安全与发展作出专门规定,明确国家支持人工智能基础理论研究和关键技术研发,推进训练数据资源、算力等基础设施建设,完善伦理规范,加强风险监测评估和安全监管,促进人工智能应用和健康发展;支持运用人工智能等新技术创新网络安全管理,提升网络安全保护水平。此外,加强与《数据安全法》《个人信息保护法》等相关法律的衔接,提高违反网络安全义务行为的处罚力度。
来源:https://mp.weixin.qq.com/s/cBByqxOI5-pxzSrONk4yww
1.2.国外数据安全政策与法律法规动态
1.2.1.欧盟联合研究中心发布《后量子密码学:迄今为止的进展和未来的挑战》报告
12月12日,欧盟联合研究中心发布专项报告,对量子计算给现有密码体系带来的冲击及后量子密码学(PQC)的发展路径展开系统评估。报告明确,一旦具备密码破解能力的量子计算机问世,现有非对称密码将面临根本性失效风险,“先存储、后解密”的攻击模式进一步压缩迁移窗口期,相关布局亟需前置推进。当前,后量子密码学已从算法筛选阶段稳步迈入工程化落地关键期。以美国国家标准与技术研究院主导的全球标准化进程为核心,Crystals-Kyber、Crystals-Dilithium、SPHINCS+等重点算法已完成或即将完成标准发布,有望成为全球技术研发与产业应用的核心“锚点”。报告指出,未来行业竞争焦点将从单一算法优劣比拼,转向迁移实施速度、系统适配兼容性及跨国标准协同效率的综合较量。能否尽早制定清晰规划并分阶段推进密码体系迁移,将直接决定数字基础设施在量子时代的安全韧性与核心竞争力。
来源:https://publications.jrc.ec.europa.eu/repository/handle/JRC144095
2 个人信息保护政策与法律法规动态
2.1.国内个人信息保护政策与法律法规动态
2.1.1.国家网信办启动未成年人个人信息保护合规审计情况报送工作
12月29日,国家互联网信息办公室发布《关于报送未成年人个人信息保护合规审计情况的报告》,明确根据《未成年人网络保护条例》第三十七条规定,个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并向所在地设区的市级网信部门报送合规审计情况。处理未成年人个人信息的个人信息处理者,应当于每年1月底前报送上一年度未成年人个人信息保护合规审计情况。
情况报送工作采用线上方式,个人信息处理者可以直接访问“个人信息保护业务系统”(https://grxxbh.cacdtsc.cn),按照系统首页提供的《未成年人个人信息保护合规审计情况报送系统填报说明(第一版)》,报送合规审计情况有关材料,也可从中国网信网(https://www.cac.gov.cn)首页“全国网信政务办事大厅”栏目访问“个人信息保护业务系统”。
来源:https://www.cac.gov.cn/2025-12/29/c_1768735145606358.htm
2.1.2.国家市场监督管理总局、国家网信办变更个人信息出境认证依据标准
12月25日,国家市场监督管理总局、国家网信办发布关于变更个人信息出境认证依据标准的公告,旨在贯彻落实《个人信息出境认证办法》,确保个人信息出境认证工作有序实施。自公告发布之日起,《关于实施个人信息保护认证的公告》(国家市场监督管理总局、国家互联网信息办公室公告2022年第37号)附件《个人信息保护认证实施规则》中,涉及跨境处理活动的个人信息保护认证依据标准变更为GB/T 35273、GB/T 46068。
来源:https://www.cac.gov.cn/2025-12/25/c_1768389897326323.htm
2.1.3.国家网信办公告通过备案的个人信息出境认证专业机构
12月30日,国家互联网信息办公室发布《关于发布通过备案的个人信息出境认证专业机构的公告》,明确落实《个人信息出境认证办法》第十二条规定,国家互联网信息办公室会同国家数据局完成中国网络安全审查认证和市场监管大数据中心、中央网信办(国家网信办)数据与技术保障中心、北京赛西认证有限责任公司等3家机构的个人信息出境认证备案审核。个人信息处理者通过认证方式向境外提供个人信息的,可以向上述机构申请个人信息出境认证。
来源:https://www.cac.gov.cn/2025-12/30/c_1768735664909127.htm
2.1.4.国家网络身份认证公共服务6项公共安全行业标准获批发布
12月28日,公安部发布2025年第2号《中华人民共和国公安部公共安全行业标准公告》,国家网络身份认证公共服务标准体系中6项公共安全行业标准正式发布,包括GA/T 1721-2025 《国家网络身份认证公共服务 通用术语》GA/T 1723.1-2025《国家网络身份认证公共服务 认证服务 第1部分:认证因子》GA/T 1723.2-2025《国家网络身份认证公共服务 认证服务 第2部分:真实身份认证服务接口要求》GA/T 2364-2025 《国家网络身份认证公共服务 人脸活体图像采集控件技术要求》GA/T 2365-2025 《国家网络身份认证公共服务 安全接入设备技术规范》GA/T 2366-2025《国家网络身份认证公共服务 个人身份信息处理要求》,将于2026年5月1日实施。
来源:https://mp.weixin.qq.com/s/2CRsPNchgPPCW24eysISTg
2.2.国外个人信息保护政策与法律法规
2.2.1.韩国个人信息保护委员会成立防范数据泄露的新部门
12月23日,韩国个人信息保护委员会(PIPC)宣布经国务会议审议决议,新设负责前瞻性风险识别与预防检查的预防协调审议官及事前实况调查科,新增调查官、纠纷调解相关人力共7人以强化大型复杂泄露事故应对能力,还新设数字化沟通团队并配备2名专属人力以加强国民沟通与信息发布,此次共新设1个官职、1个科室并扩充总计17人编制,修订后的相关施行令及规则将发布后立即生效,旨在推动个人信息保护体系从事后应对转向事前预防,强化符合 AI 时代的各项相关功能,构建让国民安心的保护体系。
来源:https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=11707
2.2.2.Temu因非法收集用户数据等事项在美被诉
12月2日,亚利桑那州总检察长宣布已在马里科帕县高级法院对Temu及其母公司PDD Holdings Inc.提起诉讼,指控其违反《亚利桑那消费者欺诈法》,以违法方式收集用户数据,并通过虚假广告、不实低价承诺等方式误导消费者。经过调查,亚利桑那州总检察长认为Temu会在用户不知情或未明确同意的情况下收集大量敏感信息,包括:通过Wi-Fi接入点获取的位置信息、麦克风和摄像头访问权限、用户在Temu之外的活动、已安装应用列表等。诉状特别强调Temu总部及部分运营活动在中国,而中国法律可能要求企业在政府请求时提供数据,这可能进一步加剧对用户隐私的风险。
来源:https://www.azfamily.com/2025/12/02/arizona-ag-sues-temu-app-over-alleged-data-collection-customer-deception/
2.2.3.Meta个性化广告替代方案获欧盟委员会认可
12月8日,欧盟委员会认可Meta向Facebook和Instagram欧盟用户提供的个性化广告替代方案,包括由用户同意共享所有数据并查看完全个性化的广告或者由用户选择共享较少的个人数据,以获得个性化程度较低的广告体验。Meta将于2026年1月向欧盟用户推出前述选择。此前,在2025年4月欧盟委员会认为Meta违反了《数字市场法》,向其发出了与用户选择相关的违规决定。
来源:https://digital-markets-act.ec.europa.eu/meta-commits-give-eu-users-choice-personalised-ads-under-dma-2025-12-08_en
3 国内外数据安全相关事件
3.1.国外数据安全相关事件
3.1.1.黑客泄露Wired.com 230万用户数据
12月27日,化名为“Lovely”的黑客在Breach Stars论坛上泄露了国际期刊出版集团康泰纳仕旗下包括Wired、GQ、Vogue、纽约客等在内的多个媒体品牌用户数据。泄露数据最早可追溯至2011年,涵盖真实用户的姓名、邮箱地址、用户ID、账户创建与更新时间戳,部分记录还包括最近会话日期,但未涉及密码或支付信息。
来源:https://hackread.com/hacker-leak-wired-com-records-conde-nast-breach/
3.1.2.美国700Credit公司数据泄露事件波及580万人
12月15日,总部位于美国的金融科技公司700Credit近日披露,其超过580万名客户的个人信息在7月发生的数据泄露事件中遭窃取。此次事件源于其集成合作伙伴的系统遭不法分子入侵,攻击者利用未经验证的API漏洞,在5月至10月期间持续窃取约20%的消费者数据。经调查确认,泄露数据涉及姓名、实际地址、出生日期及社会安全号码(SSN)等高度敏感信息。
来源:https://www.bleepingcomputer.com/news/security/700credit-data-breach-impacts-58-million-vehicle-dealership-customers/
3.1.3. Cybernews揭露43亿条记录泄露事件
12月10日,Cybernews研究团队11月发现一个未设防护的MongoDB数据库实例,其中存储16.14太字节、近43亿份文档,包含来自领英的职业及企业情报数据,如全名、邮箱、电话、职位、教育背景、社交媒体账号等个人身份信息(PII),以及企业关联关系、职业经历等。
来源:https://cybernews.com/security/database-exposes-billions-records-linkedin-data/
3.1.4.法国索邦大学遭遇大规模员工数据泄露
12月1日,黑客在暗网论坛宣称窃取了法国顶尖学府索邦大学包含3.2万条员工信息的敏感数据,涉及七大类信息:专业身份信息(如内部标识符、就业状态)、合同数据(起止日期、行政文件PDF)、薪酬记录(奖金津贴、电子工资单)、银行信息(RIB/IBAN、BIC账号)、社会保障信息(社保号码、病假证明)、辅助文件(简历、毕业证书)及其他人力资源导出数据(员工表、任务分配表等)。
来源:https://cybernews.com/security/sorbonne-universite-data-security-incident/
4 移动互联网安全热点
4.1.国内移动互联网安全热点
4.1.1.工信部通报24款APP及SDK侵害用户权益
根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,工信部对APP、SDK违法违规收集使用个人信息等问题开展治理。近期,经组织第三方检测机构进行抽查,共发现24款APP及SDK存在侵害用户权益行为。
来源:https://www.miit.gov.cn/xwfb/gxdt/sjdt/art/2025/art_0bbaf7d930424be7aa1fcd3baaca8469.html
4.1.2.国家计算机病毒应急处理中心检测发现69款违法违规收集使用个人信息的移动应用
依据《网络安全法》《个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求,经国家计算机病毒应急处理中心检测,69款移动应用存在违法违规收集使用个人信息情况。
来源:https://www.cverc.org.cn/zxdt/report20251204.htm
4.1.3.上海市通信管理局下架38款APP
依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》要求,上海市通信管理局对APP(SDK)违法违规收集使用个人信息等问题开展治理。2025年11月,上海市通信管理局向社会公示了一批存在侵害用户权益行为的APP(SDK)。在规定的整改期限内,经核查复检,尚有38款APP(SDK)未按照要求落实整改,现对上述APP(SDK)采取下架处理。
来源:
https://mp.weixin.qq.com/s/6vG3y7OPD8C_k9wy9nesEg?scene=25&sessionid=&click_id=13#wechat_redirect
4.2.国外移动互联网安全热点
4.2.1.150美元Cellik RAT一键嵌入Google Play应用
移动安全公司iVerify近日披露一款新型Android远程访问木马(RAT)Cellik,该恶意软件以低门槛在暗网销售,月租150美元、带RDP版本200美元、终身版900美元。攻击者通过内置一键APK builder,直接浏览Google Play商店,选择热门合法应用(如游戏或工具),远程捆绑恶意负载生成trojanized版本,保留原应用界面和功能,大幅延长隐蔽期。
来源:https://www.securityweek.com/new-150-cellik-rat-grants-android-control-trojanizes-google-play-apps/
4.2.2.苹果0Day漏洞遭利用,针对特定iPhone用户发起复杂攻击
苹果公司修复了两个WebKit 0Day漏洞,这些漏洞已被用于针对运行iOS 26之前版本的特定iPhone用户发起复杂攻击。2025年12月12日发布的iOS 26.2和iPadOS 26.2更新修复了WebKit中的CVE-2025-43529和CVE-2025-14174漏洞。CVE-2025-43529是一个释放后使用漏洞,攻击者可通过恶意网页内容实现任意代码执行,该漏洞由谷歌威胁分析小组发现。CVE-2025-14174则是相关的内存损坏问题,苹果和谷歌TAG确认这两个漏洞与针对性间谍软件活动有关。
来源:https://www.freebuf.com/articles/endpoint/461874.html?sessionid=
4.2.3.安卓紧急预警:框架组件存在严重拒绝服务漏洞及两个遭利用的0Day漏洞
谷歌发布2025年12月Android安全公告,披露了影响全球最流行移动操作系统的一系列漏洞。本次更新的重点警告包括野外活跃攻击事件,以及Android框架组件中一个可能允许远程攻击者瘫痪设备的关键漏洞。安全补丁将分两阶段推送:2025-12-01级别涵盖Android核心组件(框架、系统),而2025-12-05级别则修复内核及供应商特定问题。
来源:https://securityonline.info/android-emergency-critical-dos-flaw-and-2-exploited-zero-days-in-framework-require-immediate-patch/
参考来源:
https://mp.weixin.qq.com/s/O_z5WkWHzMW_32m1lovESA
https://mp.weixin.qq.com/s/AV2-u0vn7tKs3hdTJbeCGA