一、政策形势

1、美国加州通过CCPA最新修订条例

加州隐私保护机构于近期批准了CCPA（《加州消费者隐私法案》）最新修订条例。最终确定了关于自动化决策技术（ADMT）、网络安全审计和隐私风险评估的细则，为企业设定了分阶段实施的合规截止日期。

加州隐私保护机构批准的这些条例使法律要求变得更加具体和可操作：

自动化决策技术：要求企业向消费者提供关于ADMT如何用于做出“重大决策”（如信贷、就业、教育等）的知情权和解释权。ADMT 指的是任何利用算法、机器学习或人工智能技术，在没有实质性人工参与的情况下，为消费者做出或协助做出“重大决策”的系统、软件或流程。

网络安全审计：根据企业收入规模，设定了2028年至2030年不等的分阶段合规截止日期，要求企业完成网络安全审计并提交认证。这为企业提供了明确的准备时间表。

2、欧盟EDPB发布《数字服务法》与《通用数据保护条例》适用指南

欧洲数据保护委员会（EDPB）于近期批准了《数字服务法》与《通用数据保护条例》适用指南，这份指南首次明确两大法规重叠领域的合规要求，涉及平台内容审核、广告透明度、推荐系统和“暗黑模式”等，为企业解决了一个实际难题：在遵守《数字服务法》要求营造更安全网络环境的同时，如何不违反《通用数据保护条例》的数据处理规则。指南中的几个亮点包括：

内容审核：平台在进行主动的非法内容探查时，若使用自动化工具，需注意这可能构成《通用数据保护条例》下的“自动化决策”，并需要确保透明度。

广告透明度：《数字服务法》的广告透明度要求与《通用数据保护条例》的要求并存且侧重点不同，企业需同时满足。

暗黑模式：指南明确，那些诱导用户分享个人数据的“暗黑模式”将同时受到两部法律的监管。

https://www.wsgr.com/en/insights/edpb-issues-first-guidelines-on-the-interplay-between-the-digital-services-act-and-the-gdpr.html

3、中国证券业协会发布《证券公司投资者个人信息保护技术规范》团体标准

据中证协9月25日发布，中国证券业协会会员单位中泰证券、财信证券联合中国信通院共同编写了《证券公司投资者个人信息保护技术规范》（简称《技术规范》）。

《技术规范》全文共8章，含3项附录，包含基本原则、投资者个人信息分类分级（包含分类分级参考表）、投资者个人信息保护体系、投资者个人信息全生命周期保护要求、特定场景中的投资者个人信息保护、个人信息保护政策模板六个方面。

基本原则为个人信息保护工作提供总体性、纲领性要求；投资者个人信息分类分级根据证券公司业务特点，对投资者个人信息进行了分类分级，并提供分类分级参考表，为开展投资者个人信息保护工作提供基础；保护体系涵盖内控制度、组织架构、人员管理、安全防护技术要求和措施、访问控制、投资者个人信息保护影响评估、监控、投资者个人信息安全事件处置、安全教育与培训、第三方服务机构管理、审计监督等内容；全生命周期保护基本要求对收集、存储、使用、加工、传输、提供、公开、删除等各环节提出明确规范；特定场景结合证券业务实际，重点列举了六大典型业务场景下的具体应用要求，同时提供了个人信息保护政策模板，为行业提供了全面、可操作的实施指引，助力行业机构不断提升合规水平。

https://mp.weixin.qq.com/s/nWLsJuGVuXSp-QX44tldvQ

4、美国《后量子金融基础设施框架》提案

为应对量子计算对现有加密体系的威胁，提出美国金融系统向“量子安全”迁移的全面战略路线图，旨在防御“现在收集，以后解密”的新型攻击。

2025年9月，一份名为《后量子金融基础设施框架》（简称PQFIF）的政策提案正式提交至美国加密资产特别工作组，系统性地提出了美国金融系统向“量子安全”过渡的全面框架。该文件不仅是一份技术提案，更是一份具有战略意义的政策蓝图，旨在确保美国在全球金融竞争中保持领先地位，并在量子时代来临前筑牢金融安全防线。

这份关于后量子金融基础设施的提案虽然尚处于政策提案阶段，但其影响深远。它直接回应了一种名为“现在收集，以后解密”的潜在攻击策略，即攻击者目前就开始大量窃取和存储加密的敏感金融数据，等待未来量子计算机成熟后再进行解密。该框架的价值在于其系统性，它为企业规划了清晰的四阶段迁移路径（评估、试点、推广、优化），并强调了加密敏捷性，即要求系统设计能够适应未来的算法更新，这对于金融基础设施的长期安全至关重要。

https://www.weiyangx.com/452529.html

二、数据安全事件

1、浙江杭州警方破获“AI换脸”窃取信息案 

根据公安部网安局通报，杭州警方近期破获了一起利用AI技术突破平台人脸识别认证的案件。犯罪团伙利用生成式人工智能技术伪造受害者的人脸视频，成功绕过某些互联网平台的人脸验证机制，非法登录他人账号并窃取个人信息。

攻击模式：这标志着利用AI进行身份欺诈的犯罪已从概念威胁变为现实风险，对依赖生物特征进行身份验证的平台构成了直接挑战。

责任划分：该案例也明确了各方责任：实施犯罪的团伙将承担刑事责任；而相关互联网平台如果未采取有效措施保护用户个人信息，也可能面临连带的行政处罚和民事赔偿。这促使平台必须升级和强化其身份认证系统的防伪能力。

https://news.china.com/yaoyan/xinxi/13004635/20250925/48855260.html

2、山东某医学检验公司遭数据泄露

这起事件由网信部门在公开典型案例时披露。涉事公司的系统存在目录遍历和未授权访问漏洞，并且未正确配置防火墙策略，也未按照规定留存必要的网络日志。这使得搜索引擎爬虫能够直接访问并抓取到本应受保护的系统数据和文件。涉事主体面临警告、罚款处罚。

暴露问题：这起事件暴露出一些企业在基础安全防护上的严重缺失，特别是对于存储敏感信息的系统，未能履行法定的网络安全和数据安全保护义务。

行业警示：医疗健康数据属于高度敏感的个人信息，此案为所有处理类似数据的企业敲响了警钟，必须加强漏洞管理、访问控制和日志审计等核心安全环节

https://law.cnr.cn/wxyw/20250921/t20250921_527370255.shtml

3、美国Red Coats公司遭数据泄露

据2025年9月19日公开披露，美国Red Coats公司遭数据泄露，导致数千名现任及前任员工和承包商的敏感个人信息（包括社保号、驾照号）暴露，身份盗窃风险高。

这起事件典型地展示了针对企业内部的网络攻击所能造成的深远影响。

数据敏感性极高：泄露的信息包括社会安全号码和驾驶执照号码，这类信息是身份盗用和金融欺诈的核心要素，因此给受害者带来的潜在风险非常大。

目标指向明确：攻击者窃取的是当前和前任员工及承包商的数据，这表明他们非常清楚这类数据蕴含的价值，或者是有针对性地对特定目标（如设施服务提供商）进行攻击以获取个人身份信息。

https://blog.rankiteo.com/red1302713092425-red-coats-breach-september-2025/

4、美国马里兰州交通部数据遭黑客拍卖

据近期公开报道，美国马里兰州交通部遭勒索软件攻击（Rhysida团伙），并尝试了勒索的新模式。

Rhysida勒索软件团伙对马里兰州交通部数据的处理方式，体现了当前勒索趋势的一个危险变化。

“数据拍卖”模式：与传统勒索软件攻击中仅加密数据并向受害组织索要赎金不同，该团伙直接将窃取的敏感数据在暗网以30比特币（约合340万美元）的价格进行拍卖，并限时7天出售给单一买家。这种模式意味着，即使受害组织不从攻击者那里购买解密密钥，数据也可能被第三方买走并公开，极大增加了数据泄露的危害性。

政府机构成目标：此次事件也表明，政府交通部门持有的包含公民敏感个人信息的数据集，正成为黑客组织重点攻击的目标。

三、技术、产品与市场

1、第三届网络空间安全（天津）论坛召开 

作为国内唯一以网络空间安全为主题的国际性官方论坛，第三届网络空间安全（天津）论坛于9月22日至24日在天津市滨海新区举办。本次论坛将“AI+网络安全”和数据安全与个人信息保护作为核心议题，直面技术发展带来的双重性挑战。一方面，AI可被用于制造深度伪造、自动化攻击等新型威胁；另一方面，它也是提升防御效率的关键。此外，论坛成立国家计算机病毒协同分析平台建设发展联盟，旨在通过共享威胁情报，共同应对高级持续性威胁等复杂网络攻击，这体现了协同共治已成为应对全球网络安全威胁的必由之路。

http://tj.people.com.cn/n2/2025/0920/c375366-41358021.html

2、2025年中国网络安全设备行业：数据安全法与隐私计算催生新增长极

随着全球数字化转型加速，网络安全威胁呈现复杂化、高频化特征，中国网络安全设备行业迎来政策驱动、技术迭代与需求升级的三重共振。国家层面将网络安全纳入新基建核心领域，明确要求关键信息基础设施运营者网络安全投入占比提升至信息化总预算的10%以上，为行业注入制度性红利。与此同时，5G、工业互联网、物联网等新兴技术的规模化应用，推动安全防护场景从传统IT架构向云网端一体化延伸，催生零信任架构、量子加密、AI威胁检测等技术创新需求。

政策驱动与合规需求成为核心引擎

2025年修订的《关键信息基础设施安全保护条例》进一步明确，运营商、能源、金融等八大行业需在2027年前完成国产化安全设备100%替代，直接带动党政机关及央企采购需求激增。以“东数西算”工程为例，其配套的数据中心集群安全标准强制要求采用自主可控的加密芯片与访问控制设备，推动西部枢纽节点安全设备采购规模年均增长超35%。

市场需求呈现结构性分化

政府端，智慧城市建设拉动安全投入持续增长。2025年，全国地级市智慧城市项目中安全设备预算占比达12%，较2020年提升5个百分点，重点投向态势感知平台与数据防泄漏系统。企业端，金融行业因数字人民币推广与跨境支付监管强化，硬件升级需求呈现刚性特征，2025年银行业安全设备采购额同比增长27%，其中支持国密算法的硬件加密模块占比超65%。

https://m.chinairn.com/hyzx/20250925/103555713.shtml