🌍数据隐私合规动态周报

覆盖范围：EU US CN要点：中国聚焦个人信息专项执法攻坚，欧盟推进网络安全与隐私协同治理，美国面临州级隐私立法落地与AI安全双重挑战。

CN动态 | 个人信息保护专项行动进入集中执法核查周期

本周，中央网信办、工信部、公安部联合开展的2026个人信息保护专项行动正式进入集中处罚整改阶段。整治覆盖App/SDK、互联网广告、医疗、金融、教育等七大高频场景，严厉打击强制索要权限、后台静默采集、超范围收集个人信息、关闭个性化推荐后依旧违规抓取用户数据、SDK跨主体私自共享隐私等行业突出问题。

监管明确违规处罚上限为5000万元或企业上一年度全球营收5%，实行常态化通报曝光、应用下架联合惩戒。目前已有数千款主流应用完成合规筛查，大量不合规产品被责令整改，行业合规压力持续加大。

• 国安、网信、工信多部门联合发布NFC终端隐私安全预警,
  
  提示长期常开NFC易被近距离设备读取银行卡、电子身份证、门禁、医保信息，存在隔空盗刷、身份信息泄露风险，同步规范App NFC权限调用必须恪守最小必要原则。
• 北京警方侦破多起网络“人肉开盒”案件,
  
  打掉非法倒卖公民个人信息的社工库黑灰产业链，严厉打击非法查询、泄露、贩卖个人敏感信息行为。
• 粤港澳大湾区持续开展数据安全宣讲落地,
  
  围绕重要数据分类分级、数据出境安全评估、企业合规审计等内容，强化跨境企业全流程数据风控管理。

EU动态 | EDPB联合ENISA明确隐私与网络安全协同监管规则

本周欧洲数据保护委员会EDPB与欧盟网络安全局ENISA联合发布专项监管意见，统一NIS2网络安全法案与GDPR数据保护规则衔接标准。监管着重强调，企业搭建网络安全防护体系时，所有技术措施必须满足必要、适度、比例原则，不得以安全防护为名过度收集、留存个人数据。

同时规范ICT全链路供应链安全审计、跨境网络安全事件通报、漏洞应急处置流程，要求安全相关数据处理全程留痕可追溯，兼顾基础设施防护安全与欧盟用户个人隐私权利，避免两端监管失衡。

• 欧盟正式上线开源匿名年龄核验工具,
  
  落实DSA数字服务法未成年人保护要求，大型社交、内容平台需按期接入，从严管控青少年算法推荐与个人信息处理行为。
• 欧洲议会通过游戏账号数据保护新规,
  
  要求厂商关停服务器前必须提前公示，并为用户提供账号数据导出、迁移服务，完善用户数字遗产隐私保障。
• 欧盟儿童线上内容安全扫描临时条款到期,
  
  大型科技平台自愿筛查模式缺乏统一规范，引发隐私泄露与未成年人安全双重争议。

US动态 | AI自主挖掘零日漏洞，触发全行业关键设施安全警报

本周IMF、美英多国金融与网络监管机构联合发布高危风险预警。Anthropic新一代大模型已具备自主挖掘未公开零日漏洞、自动生成攻击利用代码的能力，累计发现大量长期隐匿高危漏洞，广泛覆盖金融、能源、医疗等关键基础设施。

监管警示，AI自动化攻击门槛大幅降低，极易被黑客、境外威胁组织滥用，引发大规模系统性网络瘫痪与数据泄露事件，已要求关键行业企业加速漏洞排查、升级防护架构、完善AI安全内控机制。

• 印第安纳、肯塔基、罗得岛三州同步落地本州隐私保护法案,
  
  细化数据最小化、自动化决策告知、用户删除权、DPIA风险评估等合规义务，美国州级碎片化隐私监管持续完善。
• 加州DROP个人隐私维权平台正式上线,
  
  民众可一键批量申请数据经纪商删除本人信息，大幅降低个人行使数据权利成本。
• 微软当月安全补丁修复上百个高危系统漏洞,
  
  覆盖Windows全系列产品；国税局税务外包数据泄露事件持续发酵，相关集体诉讼与监管追责同步推进。

本文信息来源于各国监管机构官方公告、欧盟 EDPB/ENISA 公开文件、IMF 全球网络安全预警、公安部案情通报、厂商安全响应中心公开披露等官方公开动态，仅供参考。