一、政策形势

1、深圳市发布《深圳市加强应用程序个人信息保护若干指引（2025年版）》

《深圳市加强应用程序个人信息保护若干指引（2025年版）》（以下简称《指引》）已于2025年9月28日由深圳市委网信办发布。这项新规旨在为应用程序处理个人信息提供清晰、可落地的操作规范，切实保障用户的个人信息权益。

《指引》围绕四个关键板块提出了15条具体规范，其核心要点可以概括为以下几个方面：

隐私政策透明化：要求应用分发平台及App内必须提供便于访问、长期有效的隐私政策，内容需包含个人信息处理规则、用户权利行使和投诉渠道。特别强调，涉及未成年人个人信息时，必须单列规则进行保护。

用户同意自主化：明确要求处理个人信息前需以显著方式告知用户，禁止默认勾选或捆绑授权。对于敏感个人信息的处理，必须获取用户的"单独同意"，并且用户撤回同意的权利必须得到切实保障。

数据处理规范化：严格遵循数据 "最小、必要" 原则，严禁"一揽子"授权和频繁弹窗骚扰用户。对于个性化推荐，应提供非定向选项或便捷的拒绝方式。同时，该《指引》也展现出前瞻性，明确规定生成式人工智能服务不得滥采、滥留个人信息，训练数据若涉及个人信息，必须依法合规。

权益保障实质化：要求运营者明确告知用户享有查阅、复制、更正、删除、限制处理其个人信息的权利，并须在15个工作日内受理和处理用户的相关诉求，不得人为设置障碍。

这项《指引》的出台，预计将产生以下几方面的重要影响：

提升合规效率：该《指引》被专家评价为一部"菜单式"的操作指南，它将上位法的原则性规定转化为可具体执行的步骤，能有效降低企业的合规成本与政府的监管成本。

强化行业自律在《指引》的推进会上，腾讯、华为、中兴、荣耀、OPPO、酷派等六家深圳属地重点应用软件分發平台企业签署了《合规运营承诺书》。这标志着正在推动构建一个"政府监管、企业自治、行业自律、社会监督"的多元共治格局。

具备技术前瞻性：《指引》针对生成式人工智能等新兴技术的数据采集行为进行了精准规制，这为科技企业在创新与合规之间找到了平衡点，有助于激发科技创新的活力。

https://mp.weixin.qq.com/s/97Dztzl_oJ7ZdJVXmaoNeg

2、甘肃省发布《甘肃省数据条例》

《甘肃省数据条例》已由甘肃省第十四届人民代表大会常务委员会第十八次会议于2025年9月26日通过并公布，自2026年1月1日起施行。

核心要点与影响：

1.统筹数据发展与安全：规范数据资源管理、流通交易，同时强调保障数据安全。

2.压实安全责任：明确数据处理者需履行数据安全保护义务，并建立健全数据质量管控体系。

3.细化数据流通规则：为数据要素的市场化配置提供了明确的地方性法规依据。

http://ydyl.gansu.gov.cn/gsydyl/fzzc/gszc/202510/t20251009_30904.html

3、湖北省发布《湖北省数据条例》贯彻工作方案

《湖北省数据条例》于2025年9月28日发布并生效，核心要点与影响：

1.推动合规落地：部署了一系列具体任务（如制定配套制度、开展数据资源调查），推动条例切实执行。

2.强化个人信息保护：明确要求依法整治违规收集、泄露、交易个人信息等行为。

3.构建数据市场基础：通过健全交易体系、建立价格机制等措施，促进数据要素高效有序流通。

https://www.hubei.gov.cn/zfwj/ezbh/202510/t20251009_5784855.shtml

二、数据安全事件

1、企业员工为泄愤向境外泄露核心机密

近日，据国家安全部披露，某大型企业员工董某某因对领导心怀不满，为泄私愤，多次向境外人员泄露企业内部敏感信息，给企业带来重大经济损失，危害了国家利益。

事件性质：某大型企业员工董某某因对领导不满，多次通过境外邮箱向某国机构泄露公司出口货物的核心商业数据。

严重后果：境外人员利用该信息对企业进行恶意抹黑、非法拦截货船并实施制裁，导致企业和国家利益蒙受重大损失。

https://news.cnr.cn/native/gd/kx/20251008/t20251008_527388504.shtml?sign=ABZ0cnNfd2NtX3ByZXZpZXdfYWNjZXNzAAAH6QAAAAkAAAAIAAAACAAAACgAAAAU

2、四川某科技公司数据泄露被顶格罚款

四川省网安部门在例行检查中发现一起严重的数据泄露事件，影响了成都一家科技公司的票务管理系统。

事件根源：公司票务管理系统存在多项严重安全漏洞，如核心数据库未加密、后台权限设置缺陷、日志留存不足。

泄露规模：超50万条含用户ID、手机号、出行信息的记录在暗网被出售。

处罚结果：公司被顶格罚款30万元，系统安全负责人也被罚款，成为四川省首例网络安全"双罚"案件。

https://www.freebuf.com/articles/database/450611.html

3、英国税务系统遭大规模网络攻击

近日，英国税务与海关总署（HM Revenue & Customs, 简称HMRC）证实，其在线税务服务平台遭遇严重网络安全事件，约13,000个“自我评估”（Self Assessment）税务账户被黑客非法访问，引发公众对政府数字服务安全性的广泛关注。

攻击手法：约13,000个税务账户被黑客通过"凭证填充"（撞库）技术入侵，即利用从其他网站泄露的账号密码进行尝试。

潜在损失：事件可能导致高达4700万欧元的经济损失，暴露了单一密码认证体系的脆弱性。

https://baijiahao.baidu.com/s?id=1844286291556525505&wfr=spider&for=pc

三、技术、产品与市场

1、山东计算机学会2025网络空间安全学术会议

2025年9月27日，山东计算机学会2025年网络空间安全学术会议在青岛举行。会议以"数据要素安全流通"为主题，汇聚了国内百余名专家学者，共同探讨该领域的最新研究成果、技术应用及未来趋势，推动了产学研合作。

https://xxkxjsx.sdupsl.edu.cn/info/1026/6173.htm

2、G7发布AI与网络安全声明

近日，七国集团网络专家组（CEG）就网络安全政策问题向七国集团财政部长和中央银行行长提供建议，这些问题对金融体系的安全性和韧性至关重要。鉴于人工智能（AI）技术的快速发展，包括生成式人工智能（GenAI）、代理式人工智能和其他先进系统，CEG鼓励各司法管辖区监测当前的发展情况，促进公私学术合作，并积极应对人工智能可能带来的新兴和不断演变的网络安全风险。

核心要点与影响：

1.关注金融领域：声明重点关注人工智能在金融系统中带来的网络安全风险与机遇。

2.双刃剑效应：指出AI既能增强威胁检测、欺诈防范等防御能力，也可能被恶意用于制造更精准的网络攻击。

3.非强制性指南：该声明旨在提高意识并鼓励合作，目前不设强制性监管要求。

https://www.gov.uk/government/publications/g7-cyber-expert-group-statement-on-ai-and-cybersecurity/g7-cyber-expert-group-statement-on-artificial-intelligence-and-cybersecurity-september-2025