网络安全与数据合规月报（2025-07）

「声明」 本资讯内容均来源于网络公开信息，旨在为您提供前沿、及时、凝练的“境内外网络安全与数据合规”月度新闻热点。为方便您快速了解热点，编辑人员对网络公开信息进行了整理和摘要。本资讯仅作一般参考，并不保证其完整性，不代表专业法律意见，不代表编辑人员立场，亦不代表本公众号观点。 本期编辑人员：张燕、梁天翔、杨玥祺、刘瑞华、郭芷旋、张沣铭、郭子航、付颖、张雪晴、于声、查文昊 目录 资讯速递................................................................1一、境内资讯...........................................................11.国家网信办发布《关于开展个人信息保护负责人信息报送工作的公告》.........12.数据流通交易合同示范文本发布...........................................13.全国网安标委发布《网络安全技术信息系统灾难恢复规范》等3项国家标准....24.国家网信办发布强制性国家标准《数据安全技术电子产品信息清除技术要求（征求意见稿）》................................................................25.全国网安标委发布《网络安全标准实践指南——扫码点餐个人信息保护要求（征求意见稿）》................................................................36.我国在世界人工智能大会发表《人工智能全球治理行动计划》.................37.全国网安标委发布《数据安全技术未成年人产品和服务个人信息保护要求（征求意见稿）》..................................................................48.国务院审议通过《关于深入实施“人工智能+”行动的意见》..................4 二、境内监管...........................................................6 1.中央网信办部署开展“清朗·2025年暑期未成年人网络环境整治”专项行动....62.国家互联网信息办公室就H20算力芯片漏洞后门安全风险约谈英伟达公司.......63.上海市通信管理局关于侵害用户权益行为APP的通报（2025年第五批）........64.北京市开展公共场所“强制刷脸”专项治理.................................75.国家计算机病毒应急处理中心发现68款违法违规收集使用个人信息的移动应用..76.公安部计算机信息系统安全产品质量监督检验中心检测发现33款违法违规收集使用个人信息的移动应用........................................................87.上海市通信管理局开展“铸盾模都”2025年人工智能安全赋能专项行动........8 三、境外资讯...........................................................9 1.金砖国家领导人签署《全球人工智能治理宣言》.............................92.欧洲议会发布关于生成式人工智能与版权的研究报告.........................93.欧盟委员会发布《通用人工智能模型提供商指南》..........................10 4.白宫发布《美国人工智能行动计划》......................................105.欧盟委员会发布《通用人工智能模型训练内容公共摘要说明与模版》..........116.欧盟委员会发布关于保护未成年人的指导方针..............................117.韩国个人信息保护委员会发布《个人信息处理综合指南》....................128.欧盟通过首个国际组织的充分性认定......................................129.加州通过隐私法新规....................................................13 四、境外监管..........................................................14 1.尼日利亚数据保护委员会对Multichoice处以7.66亿奈拉罚款...............142.康涅狄格州总检察长与TicketNetwork达成数据隐私和解协议................143.爱尔兰DPC宣布对TikTok将欧洲用户数据传输到中国服务器进行调查.........144.韩国PIPC因违反PIPA对BYNBlackYak处以1.39B韩元的罚款.............155.奥地利隐私权倡导组织noyb在其官网宣布对TikTok、AliExpress、WeChat发起GDPR投诉.....................................................................156.西班牙数据保护局（AEPD）Atresmedia处以30,000欧元罚款...............157.克罗地亚个人数据保护局（AZOP）对HEP-Toplinarstvo公司处以32万欧元罚款168.西班牙数据保护局（AEPD）对能源公司Repsol处以138万欧元罚款...........169.澳大利亚信息专员办公室（OAIC）——公布2025-2026年监管重点...........1610.澳大利亚通信和媒体管理局（ACMA）对Betfair处以871,660澳元罚款.....17 资讯速递 一、境内资讯 1.国家网信办发布《关于开展个人信息保护负责人信息报送工作的公告》 2025年7月18日，国家互联网信息办公室发布《关于开展个人信息保护负责人信息报送工作的公告》（以下简称“《公告》”），明确要求处理100万以上个人信息的个人信息处理者（包括境内外实体）在线报告其个人信息保护负责人信息。 报送时间要求：（1）自《公告》发布之日起，个人信息处理者处理个人信息达到100万人的，应当自数量达到之日起30个工作日内完成信息报送；（2）《公告》发布前，个人信息处理者处理个人信息数量已经达到100万人的，应当在2025年8月29日前完成信息报送；（3）报送信息发生实质性变更的，应当在变更之日起30个工作日内办理信息变更手续。 报送方式：个人信息保护负责人信息报送工作采用线上方式，可直接访问“个人信息保护业务系统”（https://grxxbh.cacdtsc.cn），按照系统首页提供的《个人信息保护负责人信息报送系统填报说明（第一版）》，准备相关材料并履行信息报送手续，也可从中国网信网（https://www.cac.gov.cn）首页“全国网信政务办事大厅”栏目访问“个人信息保护业务系统”。 更多深度解读内容参见本所文章《数据隐私与网络安全｜个人信息保护负责人的责任及其担责边界讨论》。 来源：国家互联网信息办公室 链接：https://mp.weixin.qq.com/s/DTM9QMXH6u11CnH9LYG-lA 2.数据流通交易合同示范文本发布 2025年7月2日，国家数据局、市场监管总局联合印发《数据提供合同（示范文本）》《数据委托处理服务合同（示范文本）》《数据融合开发合同（示范文本）》《数据中介服务合同（示范文本）》（以下统称“示范文本”）。 制定示范文本主要有三方面目的和作用：一是降低数据流通交易成本，以标准化文本形式引导经营主体在合同中约定责任边界，建立交易信任，预防交易纠纷，降低交易成本。二是维护公平竞争环境，通过预先设定适用于不同数据流通交易场景的条款，保护各方利益，引导形成各方相互尊重、平等协商的合作氛围。三是推动数据市场健康有序发展，落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规和政策制度要求，在合同中设置数据产权登记、安全保密要求等条款，引导交易各方守好合规交易安全底线。示范文本聚焦数据流通中最典型的4类场景，即数据提供、 数据委托处理、数据融合开发和数据中介，供数据市场中的经营主体使用。后续，主管部门还将及时跟踪实践发展，面向新情况、新变化，持续迭代更新示范文本。 来源：国家数据局 链接：https://mp.weixin.qq.com/s/NQ1WOvE2tt020r_yl-aQ-Q 3.全国网安标委发布《网络安全技术信息系统灾难恢复规范》等3项国家标准 2025年6月30日，国家市场监督管理总局、国家标准化管理委员会发布由全国网络安全标准化技术委员会归口的3项国家标准。 一是GB/T20988—2025《网络安全技术信息系统灾难恢复规范》。该标准确立了信息系统灾难恢复工作原则，给出了信息系统灾难恢复生命周期，规定了信息系统灾难恢复应遵循的基本要求，描述了灾难恢复能力等级划分和测试评价方法；适用于灾难恢复的需求方、服务提供方和评估方等各类组织开展信息系统灾难恢复的规划设计、建设实施和运行管理等工作。 二是GB/T22080—2025《网络安全技术信息安全管理体系要求》。该标准规定了在组织环境下建立、实施、维护和持续改进信息安全管理体系的通用要求。这些要求适用于各种类型、规模和性质的组织，并包括根据组织需求进行剪裁的信息安全风险评估和处置要求。需要注意的是，当组织声称符合本文件时，不得排除第4章到第10章中规定的任何要求。 三是GB/T45909—2025《网络安全技术数字水印技术实现指南》。该标准提供了数字水印技术的实现框架、功能、流程、水印算法选择、水印服务封装形式选择等方面的建议；适用于数字水印技术的设计、开发、应用和测试。 以上标准将于2026年1月1日起正式实施。 来源：全国网络安全标准化技术委员会 链接：https://mp.weixin.qq.com/s/aaiOm7gl_qjfyKdOSkk0eQ 4.国家网信办发布强制性国家标准《数据安全技术电子产品信息清除技术要求（征求意见稿）》 2025年7月14日，国家互联网信息办公室发布强制性国家标准《数据安全技术电子产品信息清除技术要求（征求意见稿）》（以下简称“《标准》”）。 《标准》旨在落实国务院《推动大规模设备更新和消费品以旧换新行动方案》的要求，主要有两方面目的：一是对电子产品信息清除技术方法提出规范，二是引导二手电子产品经销企业建立信息安全管理体系和信息技术服务管理体系。《标准》有助于防范二手电子产品交易中个人信息泄露，促进二手电子产品交易行业发展。 《标准》的主要技术要求为数据覆写技术，适用于电子产品信息清除功能设计、开发和验证，也适用于规范电子产品回收环节的信息清除过程，规定了电子产品信息清除的技术和功能要求、电子产品在回收环节的信息清除和信息清除效果验证要求。《标准》要求电子产品回收经营者应在电子产品回收时进行信息清除，规范了电子产品回收经营者在防止用户个人信息泄露应采取的措施，确保电子产品信息清除流程的完整性和可追溯性。 来源：国家互联网信息办公室 链接：https://www.cac.gov.cn/2025-07/14/c_1753948488354406.htm 5.全国网安标委发布《网络安全标准实践指南——扫码点餐个人信息保护要求（征求意见稿）》 2025年7月22日，全国网络安全标准化技术委员会发布《网络安全标准实践指南——扫码点餐个人信息保护要求（征求意见稿）》（以下简称“《指南》”），面向社