01.《个人信息保护合规审计管理办法》公布
2025年2月14日,国家互联网信息办公室发布了《个人信息保护合规审计管理办法》。《管理办法》共二十条,对个人信息保护合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定,旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范,提升个人信息处理活动合法合规水平,保护个人信息权益。《管理办法》以附件形式提供了《个人信息保护合规审计指引》,对个人信息保护相关法律、行政法规的关键要点做了梳理,从合规审计的角度进行了细化。
02.《人工智能生成合成内容标识办法》及配套强制性国家标准发布
2025年3月14日,国家互联网信息办公室、工业和信息化部、公安部、国家广播电视总局联合发布了《人工智能生成合成内容标识办法》,自2025年9月1日起施行。《标识办法》共十四条,规定了人工智能生成合成内容的定义、标识方式、服务提供者的标识责任、网络信息内容传播服务的服务提供者和互联网应用程序分发平台的责任义务、用户使用网络信息内容传播服务发布生成合成内容的标识要求、以及违规处理等内容,旨在促进人工智能健康发展,规范人工智能生成合成内容标识,保护公民、法人和其他组织合法权益,维护社会公共利益。3月15日,全国网安标委发布强制性国家标准GB 45438-2025《网络安全技术 人工智能生成合成内容标识方法》。两者共同构建了AI生成内容全流程的可信安全生态,要求图片、视频、文本等必须添加显式或隐式标识。
03.《网络安全技术 生成式人工智能服务安全基本要求》《数据安全技术 敏感个人信息处理安全要求》等标准发布
2025年4月25日,全国网安标委发布GB/T 45654-2025《网络安全技术 生成式人工智能服务安全基本要求》、GB/T 45574-2025《数据安全技术 敏感个人信息处理安全要求》、GB/T 45674-2025《网络安全技术 生成式人工智能数据标注安全规范》、GB/T 45652-2025《网络安全技术 生成式人工智能预训练和优化训练数据安全规范》、GB/T 45577-2025《数据安全技术 数据安全风险评估方法》等五项国家标准,均自2025年11月1日起实施。这批标准覆盖了生成式人工智能服务安全、敏感个人信息保护、数据标注、预训练数据安全、风险评估方法等关键领域,为相关主体提供了细化的技术指引和合规依据。
04.《国家网络身份认证公共服务管理办法》公布
2025年5月19日,公安部、国家网信办、民政部、文化和旅游部、国家卫生健康委、国家广电总局等六部门联合发布《国家网络身份认证公共服务管理办法》,自2025年7月15日起施行。该办法根据《网络安全法》《数据安全法》《个人信息保护法》制定,明确了网号、网证的申领使用规则:网号是与自然人身份信息相对应、不含明文身份信息的网络身份符号,网证是承载网号及非明文身份信息的网络身份认证凭证。办法要求互联网平台接入公共服务后,用户选择使用网号、网证核验身份并通过验证的,平台不得要求用户另行提供明文身份信息,从源头减少个人信息采集,实现公民身份信息”可用不可见”。
05.《关于开展人脸识别技术应用备案工作的公告》发布
2025年5月28日,国家互联网信息办公室发布《关于开展人脸识别技术应用备案工作的公告》。该公告根据《人脸识别技术应用安全管理办法》规定,明确了人脸信息存储数量达到10万人的个人信息处理者应当自达到之日起30个工作日内向所在地省级网信部门履行备案手续,并开通了”个人信息保护业务系统”线上备案渠道。公告同时明确了备案所需材料,包括个人信息处理者基本情况表、人脸识别技术应用情况备案表、个人信息保护影响评估报告等,标志着人脸识别监管从立法阶段进入实质性执法阶段。
06.《数据安全技术 个人信息跨境处理活动安全认证要求》、《数据安全技术 数据安全和个人信息保护社会责任指南》发布
2025年9月6日,全国网络安全标准化技术委员会归口的GB/T 46068-2025《数据安全技术个人信息跨境处理活动安全认证要求》、GB/T 46071-2025《数据安全技术 数据安全和个人信息保护社会责任指南》2项国家标准正式发布,将于2026年3月1日起正式实施。《认证要求》规定了跨境处理个人信息时相关方遵守的基本原则、基本要求和个人信息主体权益保障要求;《责任指南》提供了组织在数据安全与个人信息保护方面的社会责任指南,涵盖治理、合规、创新、公平运营、用户权益、公益参与及信息披露。
07.《国家网络安全事件报告管理办法》发布
2025年9月11日,国家互联网信息办公室发布《国家网络安全事件报告管理办法》,自2025年11月1日起施行。《办法》共十四条,主要对网络安全事件报告适用范围、监管职责、报告主体、报告流程、报告时限、报告内容等提出规范要求,旨在规范网络安全事件报告管理,及时控制网络安全事件造成的损失和危害。《办法》明确,对迟报、漏报、谎报或者瞒报网络安全事件造成重大危害后果的运营者依法从重处罚;对采取合理必要的防护措施,有效降低网络安全事件影响和危害,并按照规定及时报告的运营者,可视情从轻或不予追究责任。
08.《个人信息出境认证办法》发布
2025年10月17日,国家网信办、市场监管总局联合公布了《个人信息出境认证办法》,自2026年1月1日起施行。《个人信息保护法》对个人信息出境认证制度作了基本规定,按照国家网信部门的规定经专业机构进行个人信息保护认证是向境外提供个人信息的法定途径之一。《办法》对个人信息出境认证的适用情形、申请方式、认证要求及证书有效期等作出细化规定,旨在保护个人信息权益,规范个人信息出境认证活动,促进个人信息高效安全跨境流动。个人信息处理者通过个人信息出境认证的方式向境外提供个人信息的,应当同时符合下列情形:一是非关键信息基础设施运营者;二是自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息,且向境外提供的个人信息中不包括重要数据。
09.《中华人民共和国网络安全法》修改决定通过
2025年10月28日,十四届全国人大常委会第十八次会议表决通过关于修改网络安全法的决定,自2026年1月1日起施行。2016年制定的网络安全法是网络安全领域的基础性法律。此次网络安全法的修改,适应网络安全新形势新要求,重点强化网络安全法律责任,加强与相关法律的衔接协调。回应人工智能治理和促进发展的需要,修改后的网络安全法明确,国家支持人工智能基础理论研究和算法等关键技术研发,推进训练数据资源、算力等基础设施建设,完善人工智能伦理规范,加强风险监测评估和安全监管,促进人工智能应用和健康发展。
10.国家互联网信息办公室就《网络数据安全风险评估办法(征求意见稿)》公开征求意见
2025年12月6日,国家互联网信息办公室发布了《网络数据安全风险评估办法(征求意见稿)》并向社会公开征求意见。《评估办法》共二十五条,旨在规范网络数据安全风险评估活动,保障网络数据安全,促进网络数据依法合理有效利用。《评估办法》明确了安全评估的主管部门、数据处理者、第三方机构的各自责任。《评估办法》提出,处理重要数据的网络数据处理者应当每年度对其网络数据处理活动开展风险评估。重要数据安全状态发生重大变化可能对数据安全造成不利影响的,应及时对发生变化及其影响的部分开展风险评估。鼓励处理一般数据的网络数据处理者至少每3年开展一次风险评估。
原文来源公众号:合规社
