1、数据安全政策与法律法规动态
1.1.国内数据安全政策与法律法规动态
1.1.1.国家互联网信息办公室发布关于《金融信息服务数据分类分级指南(征求意见稿)》公开征求意见的通知
为规范金融信息服务数据处理活动,提升金融信息服务的数据安全水平,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》《金融信息服务管理规定》等法律法规规章和政策规定,国家互联网信息办公室会同有关部门组织起草了《金融信息服务数据分类分级指南(征求意见稿)》,现向社会公开征求意见。意见反馈截止时间为2026年2月23日。该指南明确了目的依据、适用范围、术语定义、数据分类规则、数据分级规则、数据分类分级流程及示例模板等主要内容。
来源:https://mp.weixin.qq.com/s/NgRdiqnQFrhfZa3HUO_BZA
1.1.2.工业和信息化部等八部门关于印发《汽车数据出境安全指引(2026版)》的通知
为贯彻落实党中央、国务院决策部署,推动建立高效便利安全的汽车数据跨境流动机制,提升汽车数据出境便利化水平,推动构建汽车产业高质量发展和高水平安全良性互动格局,工业和信息化部、国家网信办、国家发展改革委、国家数据局、公安部、自然资源部、交通运输部、市场监管总局等八部门近日联合印发《汽车数据出境安全指引(2026版)》(以下简称《安全指引》)。
《安全指引》规定了汽车数据出境活动管理方式和适用条件,提出九类豁免情形,面向研发设计、生产制造、驾驶自动化、软件升级、联网运行等业务场景细化重要数据判定规则,明确开展数据出境安全评估、订立个人信息出境标准合同或者通过个人信息出境认证的工作要求,并从管理制度、技术防护、日志管理、应急处置等方面提出保护要求,指导企业规范开展数据出境活动,提升汽车数据安全保护水平。
来源:https://mp.weixin.qq.com/s/vdsEk0RCYR35tKsPyg4k-w
1.2.国外数据安全政策与法律法规动态
1.2.1.新法律要求新加坡医疗服务提供者共享患者数据
Healthcare 1月14日消息,新加坡国会正式通过《健康信息法案》。根据法案要求,自2027年初起,新加坡所有持牌医疗机构(含军方、监狱系统内医疗服务机构)须将公民、永久居民及长期准证持有者的关键健康信息,包括过敏史、疫苗接种记录、诊断结果、用药情况、实验室检测数据、影像资料及出院小结等,统一上传至国家电子健康记录(NEHR)系统。该法案核心愿景为 “一个患者、一份健康摘要、一段连续照护旅程”,旨在通过打通跨机构健康数据壁垒,提升协同诊疗质量,为国家健康战略落地提供制度支撑。
来源:https://www.healthcareitnews.com/news/asia/new-law-mandates-singaporean-providers-share-patient-data
1.2.2.G7网络专家组为金融领域向后量子密码学过渡提出建议
美国财政部1月12日消息,七国集团(G7)网络专家组正式发布金融行业后量子密码技术过渡路线图。该路线图核心目标为推动金融领域协同迁移至后量子密码技术,构建密码敏捷性体系,明确四大关键考量因素——灵活性、风险导向、标准依托、协同合作,并规划六步迁移实施路径:意识培育与准备、资产发现与盘点、风险评估与规划、迁移落地执行、迁移效果测试、持续验证与监控。同时强调,治理与风险管理、外部依赖管控及利益相关方对话需贯穿迁移全流程,确保过渡工作有序推进。
来源:https://home.treasury.gov/news/press-releases/sb0355
2、个人信息保护政策与法律法规动态
2.1.国内个人信息保护政策与法律法规动态
2.1.1.国家网信办发布《个人信息保护政策法规问答(2026年1月)》
国家互联网信息办公室持续加强个人信息保护相关政策法规宣贯,指导帮助个人信息处理者规范开展个人信息处理活动,保护个人信息权益。1月9日,国家互联网信息办公室发布《个人信息保护政策法规问答(2026年1月)》 ,就个人信息定义、敏感个人信息定义、应用人脸识别技术处理人脸信息前如何进行个人信息保护影响评估、个人信息处理者需指定个人信息保护负责人和报送负责人信息的条件等《个人信息保护法》实施中的疑难点进行了权威解答。
来源:https://www.cac.gov.cn/2026-01/09/c_1769688003183197.htm
2.1.2.国家网信办发布《互联网应用程序个人信息收集使用规定(征求意见稿)》
1月10日,国家互联网信息办公室发布《互联网应用程序个人信息收集使用规定(征求意见稿)》,向社会公开征求意见,意见反馈截止日期为2026年2月9日。
为规范互联网应用程序个人信息收集使用活动,保护个人信息权益,促进个人信息合理利用,根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规,国家互联网信息办公室起草了《互联网应用程序个人信息收集使用规定(征求意见稿)》,共七章39条,明确互联网应用程序运营安全管理要求、软件开发工具包运营安全管理要求、应用程序分发平台安全管理要求、智能终端安全管理要求、监督管理等重点内容。
来源:https://www.cac.gov.cn/2026-01/10/c_1769603446094128.htm
2.1.3.最高检发布个人信息保护检察公益诉讼典型案例
1月22日,最高人民检察院发布了一批个人信息保护检察公益诉讼典型案例。本次发布的典型案例共6件,涉及智慧停车场、小区人脸识别、网络虚假招聘、“网络开盒”、逝者及其亲属个人信息泄露、“黄牛”及旅行社滥用个人信息等场景,涉及个人行踪轨迹、人脸信息、医疗健康信息、消费信息等与公民个人信息权益密切相关的领域。
来源:https://www.spp.gov.cn/xwfbh/wsfbt/202601/t20260122_716635.shtml#1
2.1.4.多项个人信息保护相关国家标准明确2026年制修订计划
1月30日,全国网络安全标准化技术委员会(TC260)调研国家网络安全重点工作和技术产业发展需求,研究形成了2026年度第一批网络安全国家标准需求清单,其中标准制定项目包括《数据安全技术 个人信息识别指南》《数据安全技术 个人信息保护负责人设立和职责要求》《数据安全技术 个人信息处理目的兼容性指南》《数据安全技术 公开个人信息指南》《数据安全技术 人工智能用户个人信息保护指引》;标准修订项目包括《数据安全技术 个人信息安全影响评估方法》《数据安全技术 人脸识别数据安全要求》《数据安全技术 个人信息安全工程指南》。
来源:https://www.tc260.org.cn/portal/article/2/df9022b9293c465a83a15931b2903175
2.2.国外个人信息保护政策与法律法规
2.2.1.欧盟和巴西明确互认数据跨境流动保护充分性决定
1月27日,欧盟与巴西共同正式宣布,双方相互认定对方的个人数据保护体系达到“充分性”保护标准。两方各自作出的充分性决定:欧盟委员会基于《通用数据保护条例》(GDPR)第45条,认定巴西的《一般数据保护法》(LGPD)提供了相当于欧盟的数据保护水平;同时,巴西国家数据保护局(ANPD)也认可欧盟的数据保护标准在LGPD框架下具有充分性效力。这意味着巴西和欧盟承认彼此的法律在个人数据保护方面提供了等效保障,使数据可以在双方之间直接、安全且简化地流通,不再需要额外的法律协议或审批程序。
来源:https://mp.weixin.qq.com/s/AhJLAdR4wYkVFzrVwC8GEQ
2.2.2.美国多州消费者隐私法生效
1月1日起,美国加利福尼亚州最新修订的《加州消费者隐私法》(CCPA)及其配套实施规则正式生效,主要修订内容涉及:个人信息处理活动前风险评估、消费者退出请求、知情权请求、数据更新与正确义务、青少年数据等问题。
此外,1月1日起,另有三个美国州级消费者隐私法案正式生效,包括罗得岛州《数据透明与隐私保护法》(RIDTPPA)印第安纳州《消费者数据保护法》(ICDPA)肯塔基州《消费者数据保护法》(KCDPA)。
来源:https://mp.weixin.qq.com/s/9hLyIrefnxFKSXD9w9mt1g
2.2.3.英国更新个人信息跨境传输指引
1月15日,英国信息专员办公室(ICO)发布个人信息跨境传输更新版指南,旨在帮助企业快速理解并遵守《英国通用数据保护条例》(UK GDPR)项下的跨境传输规则。
新版指南精简规则条款,明确核心合规要求,增设“三步核验法”供机构判断是否涉及受限数据传输;针对企业高频疑问领域补充阐释内容,新增权责划分章节以适配多层级传输场景。同时配套推出简明操作指引、速查问答手册及术语表,帮扶非专业机构合规。
此次更新为阶段性成果,后续将进一步细化传输风险评估方法、补充《国际数据传输协议》及云服务专项指引,还计划上线交互式工具及新增案例研究。
来源:https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2026/01/updated-guidance-on-international-transfers-published/
3、国内外数据安全相关事件
3.1.国外数据安全相关事件
3.1.1.韩国制药巨头超800万条内部信息及员工档案遭泄露
1月21日消息,韩国知名药企Boryung制药近日发生严重数据泄露事件,其企业级通讯工具GW即时通讯软件使用的MongoDB数据库因无任何授权防护,导致超800万条内部通讯记录及近3500份员工档案外泄。泄露数据分为三大类:一是员工身份数据,包含全名、企业邮箱、用户名、哈希加密密码及设备元数据;二是内部通讯记录,涵盖800万条涉及商业洽谈、人力资源、财务、项目管理及员工私人对话的聊天记录,其中包含内部链接、IP地址、研发动态等敏感信息;三是系统元数据,如时间戳、消息渠道、用户—渠道对应关系等。
来源:https://cybernews.com/security/boryung-corporation-leaks-internal-messages/
3.1.2.美国伊利诺伊州IDHS近70万居民数据泄露
1月10日,美国伊利诺伊州人类服务部(IDHS)披露了一起因隐私设置配置错误导致的大规模数据泄露事件。经调查,2021年4月至2025年9月期间,约32401名康复服务部(DRS)客户的姓名、地址、病例编号、转介来源及受益人状态等敏感信息遭泄露;2022年1月至2025年9月,672616名医疗补助和医疗保险储蓄计划受益人的地址、病历编号、人口统计信息及计划名称亦被泄露,但姓名未被暴露。此次事件源于IDHS家庭和社区服务司规划与评估局在地图网站上创建的内部资源分配规划地图被错误设置为公开可访问。
来源:https://securityaffairs.com/186745/data-breach/illinois-department-of-human-services-idhs-suffered-a-data-breach-that-impacted-700k-individuals.html
3.1.3.美国中央缅因州医疗保健中心数据泄露影响超14.5万患者
1月15日,美国中央缅因州医疗保健中心近日披露一起重大数据安全事件,影响145381名患者。该非营利性医疗系统于2025年6月1日检测到IT系统异常活动,随即启动安全加固并联合第三方网络安全专家展开调查,同步通报执法部门。调查于11月6日完成,确认2025年3月19日至6月1日期间,未经授权的第三方访问了其IT环境,可能获取患者敏感信息,包括姓名、出生日期、治疗详情、服务日期、医疗提供者姓名、保险信息,部分病例还涉及社会保障号码。
来源:https://securityaffairs.com/186959/uncategorized/central-maine-healthcare-data-breach-impacted-over-145000-patients.html
3.1.4.美国Bluspark Global物流平台Bluvoyix暴露客户数据
1月14日,美国纽约Bluspark Global公司,其物流平台Bluvoyix为数百家大型企业提供全球货物运输与追踪服务,支撑着海量供应链运作。安全研究员Eaton Zveare发现该平台存在明文密码存储、未经身份验证的API接口等严重安全漏洞,导致包括2007年以来的货运记录中的所有客户数据暴露于互联网。
来源:https://techcrunch.com/2026/01/14/us-cargo-tech-company-publicly-exposed-its-shipping-systems-and-customer-data-to-the-web/
4、移动互联网安全热点
4.1.国内移动互联网安全热点
4.1.1.工信部:定位等敏感权限调用记录功能,应方便用户查看、关闭
工信部表示,为推动“信息通信暖心服务十件实事”,已取得多项进展。其中关键一点是推动终端企业为麦克风、摄像头、定位等敏感权限增加调用记录功能,让用户能方便地查看和关闭,以更好地保护个人信息。此外,相关工作还促进了算法推荐的透明化,并为用户提供了便捷的“来电免打扰”等服务。
来源:https://www.secrss.com/articles/87203
4.1.2.93款违法违规App/SDK被通报,涉违规收集个人信息等行为
1月5日,国家网络安全通报中心发布通报:依据《网络安全法》《个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求,经国家计算机病毒应急处理中心检测,71款移动应用存在违法违规收集使用个人信息情况,涉及知情同意、隐私政策、自动化决策等13方面问题。
来源:https://mp.weixin.qq.com/s/5eqwgY8kgwS9kRnsJnGReg?click_id=110&scene=25&sessionid=#wechat_redirect
4.2.国外移动互联网安全热点
4.2.1.Instagram曝大规模数据泄露事件,1750万用户信息遭泄露
Instagram发生大规模数据泄露,约1750万用户的个人信息(包括邮箱、电话等敏感数据)在暗网流通,导致用户面临账户劫持和钓鱼攻击等风险。网络安全机构建议受影响用户立即启用双重验证并更换密码。目前,其母公司Meta尚未就此事件发布官方声明。
来源:https://www.freebuf.com/articles/database/465810.html
4.2.2.苹果新型TCC绕过漏洞,macOS面临自动化攻击风险
研究人员发现macOS存在一个高危安全漏洞(CVE-2025-43530),攻击者可借此绕过透明化、同意与控制(TCC)保护机制。该漏洞通过VoiceOver屏幕阅读器框架中的com.apple.scrod服务实现攻击。据GitHub上发布的jhftss报告显示,该漏洞已有公开可用的PoC,表明很可能存在活跃攻击。所有macOS用户应立即升级至26.2或更高版本以防范此高危TCC绕过漏洞。
来源:https://www.freebuf.com/articles/system/465195.html
参考链接:https://mp.weixin.qq.com/s/7f5Yt5WvPg4EyRGFD_wKag
参考链接:https://mp.weixin.qq.com/s/pyJn49bKiBskzxAn-blMJA