1、数据安全政策与法律法规动态
1.1.国内数据安全政策与法律法规动态
1.1.1.国家数据局等部门关于培育数据流通服务机构 加快推进数据要素市场化价值化的意见
数据流通服务机构是链接数据供需双方,促进数据流通交易,推进数据要素市场化价值化的重要主体,包括数据交易所(中心)、数据流通服务平台企业、数据商等。当前,各类数据流通服务机构竞相发展,在优化数据资源配置、拓展数据应用场景、激发数据市场活力等方面发挥了积极作用,但也存在功能定位尚不清晰、服务能力仍有短板、监督管理亟待完善等新情况新问题。为进一步明晰数据流通服务机构功能定位,提升数据流通交易服务效能,释放数据要素价值,加快繁荣数据市场生态,国家数据局、工业和信息化部、公安部、中国证监会提出了明确功能定位、提升服务能力、强化实施保障等意见,其中明确了强化数据安全保障相关要求。
来源:https://mp.weixin.qq.com/s/RvZuJopPb9uSm06nMQ20lQ
1.2.国外数据安全政策与法律法规动态
1.2.1.英国《数据使用与访问法案》进一步实施生效
英国《数据(使用与访问)法案》(DUAA)于2025年6月通过,法案分阶段落地实施,首批条款已于2025年8月生效,第二批条款在2月5日落地,英国科学创新和技术部已公布详细实施计划。该法案并未取代英国现有的 数据保护相关法规,而是对其进行优化。英国信息专员办公室(ICO)已公布相关配套指引,明确法案对各主体的要求,梳理了修改要点,为法案落地提供监管与执行参考。
来源:https://ico.org.uk/about-the-ico/what-we-do/legislation-we-cover/data-use-and-access-act-2025/
2、个人信息保护政策与法律法规动态
2.1.国内个人信息保护政策与法律法规动态
2.1.1.最高检召开新闻发布会,明确将加大对公民个人信息保护力度
2月5日,最高检举行“强化刑事检察监督 推进更高水平平安中国建设”新闻发布会。最高人民检察院党组成员、副检察长苗生明介绍,加大对公民个人信息保护力度,会同公安部等部门常态化开展个人信息违法犯罪案件专项打击治理行动,对网络“开盒”行为、海外“社工库”等侵犯公民个人信息犯罪加大打击力度,1至11月起诉利用网络实施的侵犯公民个人信息犯罪1685人,织密保护个人隐私和信息安全法网。会同最高人民法院等部门先后出台办理帮助信息网络犯罪活动等刑事案件有关问题的意见和办理掩饰、隐瞒犯罪所得、犯罪所得收益刑事案件适用法律若干问题的解释,进一步明确相关犯罪的定罪量刑标准和政策指引规则,编发典型案例,加强办案指导,加大惩治、教育力度,受理审查起诉帮助信息网络犯罪活动罪3.5万人,受理掩饰、隐瞒犯罪所得、犯罪所得收益罪11.5万人,同比分别下降63.4%、20.7%。
来源:https://www.chinanews.com.cn/fz/shipin/cns-d/2026/02-05/news1045412.shtml
2.1.2.中央网信办数据中心首批通过个人信息保护认证和数据安全管理认证委托人名单公布
中央网信办数据与技术保障中心(中央网信办数据中心)落实《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》等法律法规相关要求,依据《中华人民共和国认证认可条例》以及相关认证实施规则、国家标准,开展个人信息保护认证和数据安全管理认证两项国家统一推行的认证工作。
近日,中央网信办数据中心首批认证工作已经完成,3家认证委托人获个人信息保护认证证书,4家认证委托人获数据安全管理认证证书。
来源:https://mp.weixin.qq.com/s/JNRPorfZCua_zdj3owTdVw
2.2.国外个人信息保护政策与法律法规
2.2.1.韩国修订《个人信息保护法》,针对数据泄露事件设置高昂罚款
2月12日,韩国国会表决通过《个人信息保护法修正案》(PIPA),针对严重个人数据泄露事件,明确可对企业处以最高为全球总收入10%的罚款。修订将于六个月后正式生效。此次修订源于电信、互联网以及金融服务业一系列大规模数据泄露事件,根据修订后的框架,符合情形之一时,个人信息保护委员会可以适用前述高额罚款:企业在三年内故意或存在重大过失实施违法行为并再次违反;或者故意或重大过失行为影响了1000万人或以上,或者企业为遵守个人信息保护委员会的责令改正命令导致泄露事件发生。
来源:https://www.hunton.com/privacy-and-cybersecurity-law-blog/south-korea-amends-privacy-law-to-authorize-fines-of-up-to-10-of-total-revenue
2.2.2.欧盟法院裁定EDPB作出的数据保护裁定具有可诉性
2月10日,欧盟法院(CJEU)作出裁定,明确企业可就欧洲数据保护委员会(EDPB)具有约束力的决定向欧盟法院提起诉讼。该裁定源于WhatsApp针对EDPB第1/2021号决定的上诉案,推翻了普通法院此前关于EDPB决定不可诉的认定。CJEU认为,EDPB为解决成员国数据保护机构之间的争议而作出的决定,不仅对各监管机构具有约束力,也对企业法律地位产生直接影响,且未给监管机构留下裁量空间,因此构成《欧盟运行条约》(TFEU)第263条意义上的可诉行为。本案已发回普通法院(the General Court)就WhatsApp是否违反GDPR透明度义务等实体问题进行审理。
来源:https://mp.weixin.qq.com/s/NyBoSfvZvuvm2O_ksxRNRw
3、国内外数据安全相关事件
3.1.国外数据安全相关事件
3.1.1.法国银行约120万个银行账户信息泄露
2月19日,法国经济部披露一起重大数据泄露事件,涉及约120万个银行账户信息,引发社会广泛关注。据调查,此次事件源于威胁行为者通过窃取某官员凭证,未经授权访问了国家银行账户登记系统FICOBA。该数据库存储了所有在法国开设的银行账户信息,包括IBAN国际银行账号、账户持有人姓名、地址及部分税务识别号等敏感数据。
来源:https://www.securityweek.com/french-government-says-1-2-million-bank-accounts-exposed-in-breach/
3.1.2.PayPal因软件错误致客户敏感信息泄露近半年
2月20日,美国在线支付服务商PayPal因PayPal Working Capital(PPWC)贷款应用程序中的软件错误,导致2025年7月1日至12月13日期间约100名客户的敏感个人信息(包括姓名、电子邮件、电话、公司地址、社会保障号码及出生日期)泄露。
来源:https://www.bleepingcomputer.com/news/security/paypal-discloses-data-breach-exposing-users-personal-information/
3.1.3.Flickr因第三方服务漏洞致用户数据泄露
2月9日,Flickr作为美国SmugMug旗下拥有超1亿注册用户、数百万活跃摄影师的照片分享平台,于2026年2月5日发现其第三方电子邮件服务提供商存在系统漏洞,可能造成部分用户个人信息遭未经授权访问。据官方通报,此次事件可能泄露的信息包括用户姓名、电子邮箱地址、IP地址及账户活动记录,但未涉及密码、支付数据等敏感信息。
来源:https://securityaffairs.com/187753/data-breach/flickr-moves-to-contain-data-exposure-warns-users-of-phishing.html
4、移动互联网安全热点
4.1.国内移动互联网安全热点
4.1.1.广东省通信管理局通报31款未按要求完成整改APP
2月6日,广东省通信管理局依据《个人信息保护法》《网络安全法》等法律法规,持续开展移动应用程序专项治理工作,对前期发出整改通知书后仍未完成整改的31款APP予以公开通报。
来源:https://gzwxb.gov.cn/context/contextId/215137
4.1.2.新一批通报!72款移动应用被检测发现违法违规收集使用个人信息
依据《网络安全法》《个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求,经国家计算机病毒应急处理中心检测,72款移动应用存在违法违规收集使用个人信息情况,予以通报。
来源:https://mp.weixin.qq.com/s/gkioia6dZIwcrxzpc5utRA?scene=25&sessionid=#wechat_redirect
4.1.3.鸿蒙系统(HarmonyOS)曝出多个高危漏洞,可导致敏感信息泄露与权限绕过
2月6日,华为鸿蒙系统被披露存在多个安全漏洞,涉及身份认证绕过及权限控制缺陷。其中,漏洞CVE-2026-24916存在于HarmonyOS 6.0.0的窗口模块中,攻击者可利用该漏洞绕过身份认证,未经授权访问设备上的敏感信息,严重影响服务保密性。另一漏洞CVE-2026—24931则影响HarmonyOS 5.1.0和6.0.0的卡片模块,由于安全校验机制不完善,具备本地访问权限的攻击者可能利用该漏洞获取对敏感服务数据的非授权访问。目前华为尚未发布针对这些漏洞的补丁,建议用户密切关注官方安全公告并加强设备物理访问控制。
来源:https://consumer.huawei.com/cn/support/bulletin/2026/2/
4.2.国外移动互联网安全热点
4.2.1.谷歌:约四成Android设备不再收到安全补丁,10亿用户面临风险
谷歌发布的调查报告显示,由于Android系统的碎片化问题,截至2025年12月,仅有57.9%的设备运行Android 13或更新版本,这意味着约42.1%(近10亿)的Android设备已不再收到安全补丁,主要涉及Android 12及更早版本的手机。这些设备正暴露在恶意软件和间谍软件的攻击风险之下。相比之下,已有50%的iPhone运行最新的iOS 26系统。
来源:https://www.ithome.com/0/920/093.htm
4.2.2.Android设备曝“预装恶意软件”风险,超1.3万用户系统数据遭窃取
卡巴斯基实验室研究人员发现一种名为“Keenadu”的复杂恶意软件,能够通过感染OTA升级包、非官方应用商店甚至Google Play商店潜入Android设备固件。该恶意软件可获取设备的完整访问权限,包括访问系统文件、个人敏感信息,并在未经用户同意的情况下安装应用。截至2月底,已有超过1.3万名用户受害,主要分布在日本、俄罗斯、荷兰、德国和巴西等地。由于恶意软件深度嵌入固件,普通用户几乎无法清除,安全专家建议受影响用户更换信誉良好的制造商设备。
来源:https://www.notebookcheck-cn.com/Android.1233384.0.html
4.2.3.iOS 26.3发布紧急更新,修复多个锁屏敏感信息泄露漏洞
2月11日,苹果发布iOS 26.3和iPadOS 26.3正式版,修复了41个安全漏洞,其中包括多个可导致敏感用户信息泄露的高危漏洞。本次更新重点解决了锁屏状态下的信息泄露问题(CVE-2026-20645、CVE-2026-20674),拥有物理接触权限的攻击者可在设备锁定的情况下查看敏感用户信息。此外,本次更新还修复了WebKit、CoreAudio、ImageIO等多个组件的内存损坏与信息泄露漏洞,部分漏洞(如CVE-2025-14174)已被证实存在在野攻击。
来源:https://www.cybersecurity-help.cz/vdb/SB2026021194
参考来源:https://mp.weixin.qq.com/s/KPP_HphhMbQly3Dm8z2spw
参考来源:https://mp.weixin.qq.com/s/hSidzyue6ORWEACImRhFmQ