1.1.1.上海发布2025版数据出境负面清单及其管理办法

1.2.1.美国众议院共和党推出联邦数据隐私立法提案

Politico网站4月22日消息，美国众议院共和党公布两项数据隐私立法草案，分别为《SECURE Data Act（安全数据法）》与《GUARD Financial Data Act（保护金融数据法）》，旨在建立全国统一的数据隐私联邦标准，取代各州现行数据法规。法案要求科技与金融机构限制个人数据收集，赋予消费者获取自身数据的权利，违规行为由政府监管机构主导执法。提案获众议院相关委员会共和党支持，民主党方面对此提出批评。

来源：https://www.politico.com/news/2026/04/22/house-republicans-roll-out-landmark-data-privacy-push-00886800

1.2.2.澳大利亚加强隐私与网络安全监管协同

DIG网站4月24日消息，澳大利亚电子安全专员办公室与信息专员办公室签署谅解备忘录，强化在线隐私与安全监管协作。协议重点针对年龄验证技术、社交媒体最低年龄合规开展联合监督，应对人工智能等新兴技术带来的复杂数字风险，通过信息共享与执法协同提升监管一致性，在保障儿童在线安全的同时遵守隐私法律义务。

来源：https://dig.watch/updates/australia-privacy-and-online-safety-regulation

1.2.3.欧盟提议谷歌依据《数字市场法》向第三方开放搜索数据

4月16日，欧盟委员会依据《数字市场法》向谷歌提出初步措施建议，要求谷歌以公平、合理、非歧视条件向第三方搜索引擎开放排名、查询、点击、浏览等核心搜索数据。措施将具备搜索功能的人工智能聊天机器人纳入数据受益方范围，明确数据共享方式、个人数据匿名化要求及定价参数，并启动公众咨询完善规则，旨在促进市场竞争、打破谷歌搜索主导地位。欧盟委员会已开启公众咨询，相关方可在5月1日前提交意见，预计将于7月27日做出最终具有约束力的决定。

来源：https://digital-strategy.ec.europa.eu/en/news/commission-proposes-measures-google-sharing-search-engine-data-third-parties-under-digital-markets

2.1.1.中央网信办、工信部、公安部联合部署开展2026年个人信息保护系列专项行动

4月2日，中央网信办、工信部、公安部发布《关于开展2026年个人信息保护系列专项行动的公告》，部署2026年个人信息保护系列专项行动，将会同相关部门，进一步深入治理App、SDK等服务产品以及互联网广告、教育、交通、卫生健康、金融等重点领域违法违规收集使用个人信息典型问题，着力提升人民群众满意度、获得感。

来源：https://mp.weixin.qq.com/s/vyyzdKV5AqvumivAsJsoKg

2.1.2.国家互联网信息办公室发布《小型个人信息处理者个人信息保护简化措施规定（征求意见稿）》

4月3日，国家互联网信息办公室发布《小型个人信息处理者个人信息保护简化措施规定（征求意见稿）》，面向社会公开征求意见，意见反馈截止时间为2026年5月3日。

为支持中小微企业创新发展，简化小型个人信息处理者履行个人信息保护法律法规义务的措施，根据《中华人民共和国个人信息保护法》《中华人民共和国民法典》《网络数据安全管理条例》等法律、行政法规，国家互联网信息办公室起草了《小型个人信息处理者个人信息保护简化措施规定（征求意见稿）》，其中小型个人信息处理者是指处理不满10万人个人信息的个人信息处理者，内容共22条，同时包括《小型个人信息处理者个人信息保护合规审计自查表》《小型个人信息处理者个人信息保护影响评估表》两份附件。

来源：https://mp.weixin.qq.com/s/8l5mV2gO3TZuF-mkr22Bhw

2.1.3.国家互联网信息办公室发布《个人信息保护政策法规问答（2026年4月）》

4月29日，国家互联网信息办公室发布《个人信息保护政策法规问答（2026年4月）》，持续宣贯个人信息保护相关政策法规。此次问答聚焦个人信息保护合规审计，包括如何统计涉及个人信息数量、个人信息处理者开展个人信息保护合规审计的频率、未成年人个人信息保护合规审计内容等问题。

来源：https://www.cac.gov.cn/2026-04/29/c_1779200509387274.htm

2.2.国外个人信息保护政策与法律法规

2.2.1.日本拟修订《个人信息保护法》，放宽人工智能相关数据利用

4月7日，日本内阁会议通过了《个人信息保护法（修正案）》，并提交第221届特别国会。此次修订意在重新平衡数据流通促进和数据风险控制，包括重构AI训练与统计利用的合法性基础，拓展解释“统计利用”，纳入AI训练，并针对统计生成情形，确立目的限定性豁免结构；同时引入明显不损害权益作为同意的例外，通过综合衡量处理行为的必要性与对个人权益的影响，判定处理行为合法性，通过修法回应数据供给问题。此外，此次修订还涉及强化未成年人保护、增加生物识别信息特别规则、强化执法机制与制裁体系等内容。

来源：https://www.ppc.go.jp/news/press/2026/260407/#?ref=ninf

2.2.2.EDPB发布DPIA模板征求意见稿

4月14日，EDPB发布并采用数据保护影响评估（DPIA）模板并启动公众咨询，旨在落实赫尔辛基声明，试图以统一结构、统一逻辑和更强可审计性，重塑DPIA实施路径，提升GDPR合规效率并强化欧洲范围内的一致性。

此次DPIA模板配套解释性文件，以通俗语言拆解关键概念，帮助组织规范开展DPIA流程，在涉及高风险数据处理时更好地描述处理方式、评估必要性与适当性，并识别和降低对个人权利的风险。虽然模板并非强制使用，但其预设字段有助于确保信息完整、结构清晰，从而减少错误并节省时间。公众咨询截至2026年6月9日，后续各成员国数据保护机构将推进其作为统一标准或协调“元模板”落地，同时鼓励组织积极试用并反馈意见，以进一步提升DPIA实践的一致性与可操作性。

来源：https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2026/edpb-dpia-template_en

3.1.1.Salesforce配置错误致McGraw-Hill数据泄露

来源：https://www.bleepingcomputer.com/news/security/mcgraw-hill-confirms-data-breach-following-extortion-threat/

3.1.2.成人夜总会巨头RCI Hospitality数据泄露

来源：https://www.securityweek.com/nightclub-giant-rci-hospitality-reports-data-breach

4.1.1.中央网信办通报33款App（含小程序）违规收集使用个人信息

根据中央网信办、工业和信息化部、公安部联合发布的《关于开展2026年个人信息保护系列专项行动的公告》，依据《网络安全法》《个人信息保护法》《网络数据安全管理条例》《App违法违规收集使用个人信息行为认定方法》等法律法规和有关规定，中央网信办组织对App收集使用个人信息行为进行检测，现对有关问题的33款App（含小程序）予以通报。

来源：https://www.cac.gov.cn/2026-04/27/c_1779028107561553.htm

4.1.2.国家计算机病毒应急处理中心通报71款违法违规移动应用

依据《网络安全法》《个人信息保护法》等法律法规，经国家计算机病毒应急处理中心检测，71款移动应用存在违法违规收集使用个人信息情况，现予以通报。

来源：https://baijiahao.baidu.com/s?id=1861160645354064415&wfr=spider&for=pc

4.1.3.三部门：重点治理App及SDK违法违规收集使用个人信息

中央网信办、工业和信息化部、公安部联合发布《关于开展2026年个人信息保护系列专项行动的公告》，明确将深入治理App、SDK、互联网广告、教育、交通、卫生健康、金融等重点领域违法违规收集使用个人信息典型问题。重点治理问题包括：未公开个人信息收集使用规则、超出必要范围收集使用个人信息、未经用户同意收集使用个人信息等。

来源：https://www.cac.gov.cn/2026-04/02/c_1776867645836849.htm

4.2.国外移动互联网安全热点

4.2.1.SparkCat恶意软件绕过App Store与Google Play双重审查，瞄准加密货币钱包

卡巴斯基实验室发现SparkCat加密窃取木马的新变种首次同时在苹果App Store和Google Play上架，成功绕过两大应用商店的安全审查。该木马伪装为企业通信应用和外卖应用等正常应用程序，通过光学字符识别模块扫描相册图像中的文本，一旦检测到加密货币钱包助记词或恢复短语，便将图片发送至攻击者服务器。Android变种主要针对亚洲用户，iOS变种理论上可影响全球用户。新变种采用代码虚拟化与跨平台编程语言等高级反分析技术，相比旧版大幅提升了隐蔽性。安全专家建议用户不将敏感截图存放于相册，应使用专用加密应用存储。卡巴斯基已向Google和Apple报告相关恶意应用，其恶意代码已从官方商店移除。

来源：https://www.kasperskylabs.ru/research/sparkcat-new-variant-2026

4.2.2.Pixnapping新型攻击威胁Android设备：无需权限即可窃取2FA验证码

尼日利亚国家计算机应急响应团队发布安全公告，揭露一种名为Pixnapping的新型攻击方式。该攻击允许恶意安卓应用在未申请任何权限的情况下，通过逐像素分析屏幕渲染时间来“读取”屏幕内容，在数秒内窃取双因素认证验证码、短信和邮件等敏感数据。该攻击利用Android操作系统侧信道漏洞（CVE-2025-48561），影响Android 13至16版本，主要针对Google Pixel和Samsung Galaxy S25系列设备。攻击起初通过钓鱼等手段诱导用户安装恶意应用，后续可实现账户接管，造成金融损失和隐私泄露风险。ngCERT建议用户及时更新设备安全补丁、限制应用权限、优先采用非短信形式的双因素认证（如身份验证器App）。

来源：https://csirt.ncc.gov.ng/security-advisories/2026/04/24/pixnapping-attack-android

4.2.3.Goldoson Android恶意软件通过60款应用感染超1亿设备

McAfee研究团队发现新型Android恶意软件Goldoson，通过60款常规热门应用潜入Google Play，累计下载量已超过1亿次。Goldoson恶意组件是一个第三方库，被60款应用的开发者无意中集成到应用中。恶意组件注册设备后从混淆远程服务器获取配置，定期每两天收集用户已安装应用列表、地理位置历史、Wi-Fi及蓝牙连接设备MAC地址等敏感数据，并无感执行后台广告点击以进行广告欺诈。受影响应用包括“L.POINT with L.PAY”（1000万次下载）、“Money Manager Expense & Budget”（1000万次下载）、“GOM Player”（500万次下载）等知名应用。McAfee建议用户立即更新所有应用至最新版本，并使用手机安全软件定期扫描设备。

来源：https://csirt.ncc.gov.ng/security-advisories/2026/04/24/goldoson-android-malware