一、政策形势

1、《数据安全技术 个人信息跨境处理活动安全认证要求》国家标准获批发布

https://std.samr.gov.cn/gb/search/gbDetailed?id=3DBA213287020D16E06397BE0A0A8119

2、《数据安全技术 数据安全和个人信息保护社会责任指南》国家标准获批发布

https://std.samr.gov.cn/gb/search/gbDetailed?id=3DBA213287060D16E06397BE0A0A8119

3、工信部发布《工业和信息化领域人工智能安全治理标准体系建设指南（2025版）》

工信部发布的《工业和信息化领域人工智能安全治理标准体系建设指南（2025版）》，围绕人工智能安全治理标准化工作，明确总体要求、体系结构与建设内容，为工信领域AI安全发展提供框架性指引，助力平衡AI创新与安全风险。

此指南为工业和信息化领域AI安全治理提供了系统性的标准化蓝图。

核心内容：指南规划的标准体系涵盖7大板块：

治理能力：规范支撑技术（如验证、溯源）与管理能力（如风险管理）标准。

基础安全：聚焦硬件（如芯片抗攻击）、软件（如漏洞管理）、智算中心（如访问控制）、供应链（如供应商评估）安全要求。

网络安全：明确AI产品/服务的防护措施、监测接口、定级备案及风险评估方法。

数据安全：覆盖基础数据服务、训练数据（收集、存储、标注安全）、业务数据（分类分级与隐私保护）全流程安全。

算法模型安全：规范算法设计与模型训练、部署安全（如深度学习算法可靠性、大模型部署安全）。

应用安全：针对新型工业化、行业场景（如工业AI研发设计安全防护、智能网联汽车）、智能产品（如生成式AI）等提出安全评估方法。

赋能安全：指导AI如何提升网络、数据、信息、业务安全的效能，如用于威胁情报挖掘、数据泄露溯源等。

潜在影响：AI的深度应用在带来效率提升的同时，也引入了新的安全风险（如数据隐私、算法偏见、模型滥用）。此指南为AI在工业制造、通信、互联网等领域的应用提供了安全基线。相关企业和机构需关注其要求，将安全内嵌于AI系统的开发和应用全过程。

https://www.sohu.com/a/931388058_121970615?scm=10001.325_13-325_13.0.0.5_32&spm=smpc.channel_248.block3_308_NDdFbm_1_fd.1.1756873367340ZtHfdTB_324

4、工信部发布《2025年护航新型工业化网络安全专项行动方案》

此方案旨在为新型工业化战略保驾护航，明确了2025年度工业领域网络安全的工作重点。

核心内容：《方案》明确了三大重点任务方向：

提高企业防护水平：梳理建立2025年工业领域网络安全防护重点企业清单，指导清单企业落实工业互联网安全分类分级管理，并提升重点车联网平台安全防护能力。

增强工业控制系统产品安全能力：深化工业控制系统网络安全评估，研究制定评估实施指南。推动PLC、DCS等重点工业控制产品网络安全标准研制。

创新赋能模式：持续开展“安全深度行”活动，推广应用优秀案例与方案，并探索网络安全保险新模式等。

潜在影响：工业数字化、网络化、智能化程度不断提升，但其网络安全基础可能相对薄弱。此方案表明监管对工业领域网络安全提出了更高、更具体的要求。工业互联网平台企业、标识解析企业、车联网企业、工控系统供应商等，需对照要求进行自查和加固，否则可能面临监管风险。

https://wap.miit.gov.cn/jgsj/waj/wjfb/art/2025/art_62e699f6183e4e4fbac700a1a1f0bc86.html?sessionid=-748476320

5、港澳大湾区探索数据跨境流动

粤港澳大湾区作为我国开放程度最高、经济活力最强的区域之一，在国家数字经济战略布局中具有重要特殊地位。粤港澳三地区域一体化发展不断完善，区域内经济活动与国际市场联系紧密，尤其是在科技创新、金融贸易、文化创意、跨境电商等领域，数据跨境流动越来越频繁。面对日益严峻的数据安全挑战和数据跨境流动监管问题，必须构建数据跨境流动治理新范式，才能确保数据跨境流动更高效便利安全。

推动数据跨境流动法律体系协同

目前，粤港澳大湾区内的法律体系尚存在差异，要推动粤港澳三地的法律对接与协调，制定适应大湾区特点的数据跨境流动规范，确保数据流动的法律合规性。在统一法律框架的基础上，建立数据跨境流动的合作机制，明确数据跨境流动中各方责任与义务，为数据跨境流动提供法律保障。同时，制定细化的执行标准，推动三地政府部门在数据监管方面的协同，减少法律冲突和监管空白。

建立统一的数据安全技术标准

要确保数据跨境流动的安全性，必须在技术层面加强标准化建设，推动数据流动安全防护方面技术和规范的统一。目前，内地与香港、澳门在数据存储、传输、加密、保护等方面技术标准不一致，影响数据互联互通效率，增加企业技术对接难度，也可能导致数据安全性不足，甚至出现数据泄露、篡改等风险，而且会导致跨境数据流动的技术兼容性差，增加了监管的复杂性。因此，三地应建立统一的数据安全技术标准，规范跨境数据的传输、存储、处理等环节，减少技术漏洞，防范安全风险。同时，加强大湾区数据安全基础设施建设，推动共建数据安全平台、数据传输网络和数据安全检测机制，提高整体数据跨境流动治理能力。

健全数据跨境流动监管共享机制

数据跨境流动不仅是法律和技术的问题，更是监管协调的难题。要确保数据跨境流动更高效便利安全，必须建立健全跨境监管合作机制。首先，粤港澳大湾区可设立专门的跨境数据流动监管协调机构，具备政策研究、法规协调、标准制定等职能，确保监管工作的协调性和有效性。其次，建立跨境信息监管共享机制，构建数据跨境流动的实时监控与信息交流平台，确保数据流动过程中的监管透明度，及时发现并应对潜在的安全风险。再次，加强对数据跨境流动的合规审查，确保所有涉及跨境数据传输的企业和机构都遵循相关法律法规，保障数据流动的合规性。同时，对数据跨境流动中的潜在风险进行评估，确保数据跨境流动更高效便利安全。

加强数据跨境流动治理国际合作

在全球数字经济发展日益广泛深入的背景下，数据跨境流动的治理不能仅仅局限于区域范围，更要加强国际合作与经验共享。粤港澳大湾区应积极参与国际数据治理体系建设，推动区域数据治理规则与全球接轨。在“一带一路”倡议和RCEP框架下，与友好国家建立数据跨境流动合作机制，探索互认评估结果等。要积极助力国家在国际数据治理框架中形成话语权，争取在全球数据保护和治理领域占据一席之地。

构建数据跨境流动治理新范式

构建粤港澳大湾区数据跨境流动治理新范式，既是适应全球数字经济发展的必然要求，也是推动粤港澳大湾区一体化发展的关键环节。要通过法律协调、技术标准、监管共享以及国际合作等方面的共同努力，推动大湾区数据跨境流动更高效便利安全，助力大湾区在全球数字经济格局中占据领先地位，打造具有国际竞争力的数据流动高地。抢抓数字经济发展机遇，确保大湾区数据跨境流动更高效便利安全，将为全国数据要素市场化配置改革提供可复制可推广的经验，使大湾区真正成为全球数据治理的标杆区域。

https://money.fjsen.com/wap/2025-09/02/content_32030129.htm

二、数据安全事件

1、超范围收集个人信息 8000万用户平台卡牛信用管家被通报

近期，深圳市卡牛科技有限公司（以下简称“卡牛科技”）旗下卡牛信用管家因实际收集的个人信息超出相关功能的必要范围被国家网络安全中心通报。

2025年8月底，卡牛科技官网介绍，卡牛信用管家App累计用户规模超过8000万，业务涵盖智能账单管理、信用卡信息服务、信用科技服务三大板块。

卡牛信用管家表示，针对通报所涉及问题，公司高度重视，已经第一时间启动全面核查，对现有用户数据保护体系中存在疏漏的进一步加固与完善。在本次事件中未发生用户数据泄漏也未造成实际用户损失。

对于被通报细节，卡牛信用管家透露，公司与检测中心工作人员取得联系，发现问题根源为“剪贴板”使用授权不充分。针对卡牛科技提到违规的“剪贴板”使用问题，此前也有其他机构也曾因剪贴板问题引发过关注。

广州互联网法院发布个人信息保护典型案例曾指出，用户手机存储空间属于个人隐私范畴，手机剪贴板作为手机存储空间的一部分，亦属于个人隐私。App未经许可检测、读取手机剪贴板的行为属于侵犯隐私权的行为。互联网平台、手机App作为个人信息处理者，应当按照隐私政策，以用户知情同意为前提，严格根据法律规定收集和使用个人信息，主动告知收集的个人信息种类，切实保护用户的个人信息权益。

前述典型案例为，李某某在使用某公司运营的App时发现，该App存在未经用户同意监测、收集手机剪贴板信息的情形。李某某认为剪贴板可以存储身份证号、手机号、照片等涉及隐私的个人信息，但该App的《隐私政策》没有包括将收集手机用户剪贴板信息的说明，也未履行告知提醒义务征得用户同意，某公司的行为侵害其个人信息权益以及隐私权。

法院生效判决认为，案涉App在其《隐私政策》中对App拟收集的用户信息进行了列举，但用户剪贴板信息并未列举其中。在成功安装App后，手机页面显示的App权限内容也未包含剪贴板信息，结合鉴定意见和某公司的答辩情况，可以确认某公司未经李某某许可，对其剪贴板信息进行监测和读取。案涉App未经许可监测、读取李某某手机剪贴板信息的行为侵害了李某某的隐私权。

据不完全统计，2025年以来，国家计算机病毒应急处理中心的违法违规收集使用个人信息的移动应用，涉及银行、消费金融机构以及助贷平台超过20家。

https://baijiahao.baidu.com/s?id=1842134558405859332&wfr=spider&for=pc

2、供应链攻击致多家巨头数据泄露（Salesforce生态系统）

云安全公司Zscaler、数字运营管理公司PagerDuty以及网络服务提供商Cloudflare等多家企业相继确认，其存储在Salesforce环境中的客户数据因第三方销售自动化平台Salesloft Drift的漏洞而遭遇泄露

·        攻击源头与方式：攻击者通过社会工程手段获取了Salesloft Drift的OAuth凭证，从而得以访问与其集成的众多企业的Salesforce实例。这种攻击方式属于典型的供应链攻击。

·        泄露数据内容：根据各公司通报，泄露的信息主要包括客户的业务联系信息（如姓名、职位、邮箱、电话号码）、部分销售数据、支持工单内容，甚至在Cloudflare的案例中，发现104个有效的API令牌被窃。

·        影响范围广泛：这起事件影响了全球数百家使用Salesforce和Salesloft Drift集成的公司。除了上述公司，已确认受影响的企业还包括Palo Alto Networks、Google、思科、香奈儿、澳洲航空、安联人寿、 Farmers Insurance、Workday等各行业巨头。

·        潜在风险：虽然核心业务系统未受攻击，但泄露的联系信息可能用于后续的钓鱼攻击和社会工程攻击，而泄露的API令牌等敏感信息若被滥用，可能导致进一步的入侵。

·        事件启示：此事件再次警示企业，第三方应用和集成的安全状况可能成为自身安全的短板，需要对供应链安全进行严格评估和管理。

https://www.secrss.com/articles/82643

3、 英国政府被曝要求苹果提供iCloud全球数据访问权

据英国《金融时报》披露，根据英国调查权力法庭（IPT）的文件，英国内政部向苹果发出的技术能力通知（TCN）要求，并不仅限于英国本土用户，而是适用于全球所有iCloud用户的相关数据类别。这意味着，一旦执行，该要求将影响数亿用户的隐私安全。

要求范围：英国政府的要求不仅要求破解iCloud的“高级数据保护”（ADP）端到端加密功能，还试图获取包括消息和密码在内的标准云备份数据。

苹果的立场与现状：苹果长期以来反对为加密系统设置后门，认为这会削弱所有用户的安全。苹果已于2025年2月因该命令在英国下架了ADP功能。目前，苹果受法律限制无法公开讨论此事。

全球影响与担忧：此事件被视为自2016年苹果与FBI解锁之争以来最重大的加密法律战之一。它引发了人们对政府跨境数据索取权的深切担忧，担心这可能成为一个危险的先例，威胁到全球用户的隐私权。

https://www.ithome.com/0/879/135.htm

三、技术、产品与市场

第三届“数据要素流通与安全”学术会议在上海举行

2025年8月30日-9月1日，由《网络与信息安全学报》编辑部主办，上海电力大学、哈尔滨工业大学网络空间安全学院联合承办的第三届数据要素流通与安全学术会议在上海隆重举行。

本次会议汇聚了中国工程院院士方滨兴等顶尖学者，以及来自能源、人工智能、数据交易等领域的100余所高校、科研机构、企业的300余名专家、学者和学生参会，探讨了数据要素流通与安全的核心议题，包括人工智能行为体安全、数据要素流通利用与安全的挑战与对策、对数据价值的再认识、人工智能安全治理框架及标准化、智慧能源管理引擎以及数据要素市场建设与新型交易模式探索等。

https://jsjxy.shiep.edu.cn/10/da/c972a266458/page.htm