一、政策形势

1、《网络安全法修正草案》提请审议，大幅提高违法成本

2025年9月8日，《中华人民共和国网络安全法（修正草案）》首次提请十四届全国人大常委会第十七次会议审议。此次修改是《网络安全法》自2017年施行以来的首次重大修正，旨在适应网络安全新形势新要求。

核心内容：

大幅提高罚款额度：对不依法履行网络运行安全保护义务的行为，区分不同情形提高罚款幅度。例如，对于企业拒不改正或导致危害网络安全等后果的行为，罚款幅度拟从“一万元以上十万元以下”提高至“五万元以上五十万元以下”；造成大量数据泄露、关键信息基础设施丧失局部功能等严重后果的，可处50万元至200万元罚款；导致关键信息基础设施丧失主要功能等特别严重后果的，罚款额度更是高达200万元至1000万元。

强化与相关法律的衔接：修正草案注重与《数据安全法》、《个人信息保护法》等法律的有机衔接。例如，对侵害个人信息权益等行为的法律责任，明确适用《个人信息保护法》等法律、行政法规的规定处理。

新增法律责任情形：对销售或提供未经安全认证、安全检测或检测不合格的网络关键设备和网络安全专用产品的行为，增加了法律责任规定。

潜在影响：此举极大地提高了企业的违法成本，迫使网络运营者将网络安全视为生存和发展的生命线，而不仅仅是一项合规成本，从而驱动所有行业企业进行安全转型，从“被动合规”走向“主动免疫”。

http://cpc.people.com.cn/n1/2025/0910/c64387-40560770.html

2、《关键信息基础设施商用密码使用管理规定》已正式施行

此项规定由国家网信办会同有关部门发布，旨在规范关键信息基础设施（CII）领域的商用密码使用管理，提升CII的安全保障能力。

核心内容：

明确责任主体：规定适用于依法认定的关键信息基础设施运营者（CIIO），并明确了其总体责任。

“三同步一评估”原则：要求CIIO落实同步规划、同步建设、同步运行商用密码保障系统，并定期开展商用密码应用安全性评估。

具体制度要求：CIIO需建立包括商用密码使用、应急处置、重大事件报告等在内的制度体系，并做好人员和经费保障。

细化使用要求：规定了在规划、建设、运行等不同阶段商用密码的使用要求，以及数据安全保护和个人信息保护的相关要求。

潜在影响：该规定强制要求CIIO将密码技术深度融入其基础设施的全生命周期管理中，为其安全保障设置了硬性门槛。商用密码应用安全性评估的定期开展，也将成为检验CII安全防护水平的重要标尺。

https://www.cac.gov.cn/2025-07/01/c_1753083518894995.htm

二、数据安全事件

1、迪奥（Dior）因数据跨境传输违规在中国被处罚

2025年9月9日，迪奥（上海）商业有限公司因违反《中华人民共和国个人信息保护法》被中国属地公安机关行政处罚。

三项违法事实：

（1）擅自跨境传输数据：在未通过国家网信部门组织的数据出境安全评估、未订立个人信息出境标准合同或通过个人信息保护认证的情况下，擅自将用户个人信息传输至法国迪奥总部。

（2）未充分告知并取得用户单独同意：在向境外提供个人信息前，未向用户充分告知境外接收方的处理方式，也未取得用户的“单独同意”。

（3）安全措施不足：未对已收集的个人信息采取加密、去标识化等安全技术措施。

事件源头与影响：此次处罚源于今年5月迪奥披露的数据泄露事件。当时有未经授权的外部人员获取了部分客户数据，包括姓名、性别、手机号、邮箱、地址、消费水平和偏好等（财务信息未泄露）。部分中国用户后续遭遇了“精准诈骗”，例如接到自称“迪奥官方”的诈骗电话，以“误录代理商名额”为由要求缴纳费用。

执法信号：此事表明中国监管部门对个人信息保护，尤其是数据出境合规的执法力度正在加大。奢侈品牌拥有大量高净值客户数据，一旦发生泄露可能造成较大影响，必须强化数据安全管理体系建设和合规操作流程

https://www.bjnews.com.cn/detail/1757411016129483.html

2、北京农商银行被罚185万 涉网络与数据安全等多项违规行为

近日，国家金融监督管理总局北京监管分局发布了罚单，剑指北京农商银行及其相关责任人。

罚单显示，北京农商银行的主要违法违规事实（案由）为：互联网相关系统安全管理违反审慎经营规则，网络安全管理不符合监管要求，数据安全管控措施不符合监管要求，数据报送不准确，违规开展债券包销业务。

针对以上问题，国家金融监督管理总局北京监管分局对北京农商银行罚款185万元；对责任人韩继炀给予警告并罚款5万元，对责任人武凌给予警告。

https://mp.weixin.qq.com/s/Xh1skAyNlIDVN1zAg7VNxw

3、招商银行济南分行被罚137.8万元，涉网络与数据安全等多项违规行为

近日，根据中国人民银行山东省分行行政处罚决定信息公示表（鲁银罚决字〔2025〕18号-22号），其行政处罚决定书显示，招商银行股份有限公司济南分行存在以下违法违规行为：

1.违反金融统计相关规定；

2.违反账户管理规定；

3.违反商户管理规定；

4.违反数据安全管理规定；

5.违反网络安全管理规定；

6.违反反假货币业务管理规定；

7.占压财政资金；

8.违反信用信息提供相关管理规定；

9.未按规定履行客户身份识别义务。

针对以上问题，中国人民银行山东省分行对招商银行股份有限公司济南分行警告、通报批评，罚款1378000元。

https://mp.weixin.qq.com/s/jyVs8wtynWJDVQUwSldtlQ

4、Plex媒体流平台再次发生数据泄露

知名媒体流平台Plex近日确认其用户数据库遭遇入侵，部分客户数据被未授权第三方访问。这已是Plex三年内第二次发生类似的安全事件（2022年8月曾发生几乎完全相同的数据泄露）。

泄露信息：被盗信息包括用户的电子邮件地址、用户名以及经过安全哈希处理的密码和认证数据。Plex强调支付卡信息未受影响，因为这些数据并未存储在其服务器上。

应对措施：Plex已建议所有用户重置密码，并启用“更改密码后注销已连接设备”选项。对于使用单点登录(SSO)的用户，公司建议通过安全页面注销所有活动会话。

风险提示：尽管密码已进行安全哈希处理，但如果哈希算法不够强大或方式不当，仍存在被破解的风险。此次事件再次提醒用户，即使是对信誉良好的服务，启用多因素认证(MFA)和定期更新密码也是重要的安全习惯。

http://ti.dbappsecurity.com.cn/info/12170

三、技术、产品与市场

1、Gartner发布2025中国网络安全趋势报告

全球知名IT研究与顾问咨询公司Gartner发布了《2025年中国网络安全技术成熟度曲线报告》，揭示了影响未来市场的关键趋势。

核心趋势：

AI助手领跑：网络安全AI助手凭借其知识摘要、自动化脚本生成等能力，在生成式AI快速普及的背景下展现出巨大价值，成为提升安全运营效率的重要工具。

暴露面管理与协作防御崛起：报告预测，到2027年，60%的中国大型企业将采用暴露面管理技术来优化事件响应流程，有效降低系统漏洞风险。更值得注意的是，为应对AI安全挑战，到2028年，60%已部署AI的中国企业将建立跨职能的协作防御体系，而目前采用此模式的企业不足5%。

软件成分分析（SCA）重要性提升：随着AI数字系统中第三方组件使用量年均增长45%，SCA技术能精准识别开源模型与第三方组件中的安全许可问题，帮助开发团队减少30%以上的延迟风险，其市场渗透率正以每年20%的速度提升。

市场信号：这份报告指明了中国网络安全市场正从传统防御向智能化、协同化防御范式转变。企业正从被动修补漏洞转向主动构建弹性防御体系，并更加注重“技术+管理+生态”的三维防御新格局

https://www.gartner.com/cn/newsroom/press-releases/2025-cyber-security-trends

2、CCF技术前线研讨会聚焦“可信数据空间”

2025年9月16日，中国计算机学会（CCF）将在线举办第171期技术前线研讨会，主题为“构建可信数据空间：企业数据流通的技术前沿与最佳实践”。

核心议题与价值：会议将探讨如何利用隐私计算、联邦学习等技术前沿，实现数据在流通与协作中的“可用不可见”，旨在破解数据孤岛难题，在保护数据主权与隐私的前提下安全合规地释放数据要素价值。

行业大咖云集：研讨会邀请了来自蚂蚁集团、字节跳动、炼石网络等顶尖企业和组织的一线专家，分享国内在可信数据空间领域的最新进展及实践成果。例如，蚂蚁集团的副总裁将分享“密态可信数据空间”实践，字节跳动安全研究团队负责人将介绍其Jeddak大模型在可信数据空间的应用。

行业影响：此类高规格的学术技术论坛，汇聚了产学研各方的智慧，旨在共同推动数据安全流通技术的创新与发展，为构建可信、合规、高效的数据要素市场提供技术路径和解决方案参考

https://ccf.org.cn/171