以下为近期国内外数据与网络安全合规前沿资讯概要，如需获取详细内容与要点解读，请联系我们：puyuhan@zhonglun.com

点评：2024年4月17日，中国商务部就欧盟《网络安全法》修订草案向欧方提交了正式评论意见，表达了严正关切。中方认为，该草案以网络安全为名，将经贸问题政治化、泛安全化，其计划通过主观的“非技术风险”因素，将所谓“网络安全关切国家”和“高风险供应商”排除在欧盟关键行业供应链之外。中方指出，这种做法涉嫌违反WTO最惠国待遇、国民待遇等多边规则，不仅会损害中欧经贸关系、冲击全球产业链稳定，也将拖累欧盟自身的转型进程。为此，中方建议欧方删除相关歧视性条款，并警告若欧方执意通过该法并歧视对待中国企业，中方将采取必要反制措施。

点评：《管理办法》规定应用算法推荐技术开展网络营销的，不得设置诱导金融消费者和投资者过度消费的算法模型，应当同时提供不针对其个人特征的选项，或者提供便捷的关闭算法推荐服务的选项；以弹窗广告形式开展网络营销的，应当显著标明关闭标志并提供一键关闭功能；金融机构委托第三方互联网平台为金融产品网络营销提供服务，应当与第三方互联网平台经营者签订包含数据安全条款的书面合作协议，并督促其加强数据和个人信息安全。

点评：2025年2月，上海发布数据出境负面清单，在自贸试验区及临港新片区落地应用；而此次发布的负面清单适用范围从自贸区扩展至了整个上海市，在原数据出境负面清单基础上新增再保险、国际航运、商贸、气象四大行业领域，共涉及9个具体场景、29个数据子类、109个数据项。

点评：近日，中国（江苏）自由贸易试验区数据出境管理联席会议第一次全体会议在南京召开。会上，《中国（江苏）自由贸易试验区苏州片区数据出境负面清单实施操作指引（试行）》获审议通过，明确企业依托负面清单开展数据出境业务主要包含判断适用范围、准备申报材料、提交备案申请和定期跟踪报告四个步骤，为企业依托负面清单开展数据出境业务提供清晰、规范、可落地的全流程指引。

点评：《行动方案》聚焦新能源汽车、电子信息、集成电路、具身智能、先进材料等产业链发展需求，发挥产业互联网平台服务链接作用，力争到2028年，打造“10+20+X”产业互联网标杆平台。

点评：2026年4月17日，哈密市商业银行股份有限公司因违反网络安全与数据安全管理规定等五项问题，被中国人民银行新疆维吾尔自治区分行警告并处罚款383.6万元。时任哈密市商业银行股份有限公司信息技术部相关人员梁某鹏因对上述单位违规行为中的“违反网络安全与数据安全管理规定”负有责任，被罚款1万元。

点评：指南指出科学研究须同时满足六项要素：系统性方法论、遵守伦理规范、可验证性与透明度、自主独立性、明确研究目标、能贡献或创新应用科学知识；以科学研究为目的的后续处理推定与原始目的兼容，无需另行进行目的兼容性测试，但须确保原法律依据仍适用；允许“宽泛同意”与“动态同意”结合使用，前提是须配套伦理审查等额外保障措施；数据主体的删除权与反对权在科学研究场景下可受限制；多方参与时须明确各方属于控制者、共同控制者还是处理者；应采用匿名化、假名化及安全处理环境等保障手段。

点评：意大利数据保护局（Garante）通过了关于电子邮件通信中追踪像素（Tracking Pixel）的指南。指南适用于所有在电子邮件中使用跟踪像素的实体，强调了各类数据保护法律所规定的透明度、同意及问责义务。除非事先获得同意或适用特定的法定豁免，否则一般禁止使用追踪像素。自指南发布之日起，各实体有六个月的期限进行合规整改。

点评：阿拉巴马州与Roblox公司达成1220万美元的和解协议，Roblox承诺采取一系列全面措施，包括沟通安全、内容审核、年龄验证、家长控制以及与执法部门的合作，以解决儿童安全问题。具体而言，Roblox将实施增强版的家长控制面板和远程控制工具，限制用于年龄验证的数据使用，同时设立专职执法联络员并开展培训活动。

点评：澳大利亚隐私专员于2026年4月22日发布裁定，认定InspectRealEstate 公司运营的2Apply租房科技平台过度收集个人信息且收集手段不公平，指出租赁房产市场存在显著权力失衡，租客在提交租房申请时往往缺乏真正选择，导致2Apply收集了对其职能或活动并非合理必要的个人信息。隐私专员要求其停止收集性别、学生身份、公民身份、签证到期日期及以前居住历史等信息。

点评：本次修订主要针对新技术环境，提出五项调整：一是允许将大量或频繁变更的个人信息接收方进行类型化披露（如“出租车司机”），但需提供具体确认途径；二是对低风险变更（如受托人名单）可汇总告知，但重大变更需立即公告；三是明确设备端处理标准：数据传至服务器需制定个人信息处理政策，仅终端内处理则建议告知用户；四是要求受托人政策以保护信息主体权利等核心内容为主；五是为行为信息提供分类示例，并明确简化版政策的必备项目。此外，新增生成式AI附录，要求明确预期用例、处理项目、学习利用及拒绝程序、举报途径等。

点评：该修正案针对关键信息基础设施（CII）及受限个人数据引入了数据本地化要求；存储于云端的受限个人数据或由关键信息基础设施处理的数据，必须在孟加拉国境内保留其同步的实时副本；同时，针对违反数据主体权利的董事总经理，取消监禁作为刑事处罚，保留罚款作为唯一处罚措施。