一、政策形势

1. 《汽车数据出境安全评估方法》（T/CIQA131—2025）团体标准正式批准发布

该标准中国汽研牵头起草工作，联合赛力斯集团、比亚迪汽车、中国第一汽车等25家行业领军企事业单位共同完成编制，填补了汽车行业数据出境安全评估的具体操作标准空白，为企业合规出海提供了明确指引。

评估方法按“自评估+文档/访谈/核查/测试”开展，落实合法正当必要与分类分级；对核心/测绘/重要数据与接收方保障不足等高风险情形，须降险后再评；建立持续监督与应急处置。

评估方法与《数据出境安全评估办法》等法规相衔接，涉及重要数据或达到人数阈值的个人信息出境，按规定申报评估；建议采用脱敏/去标识化、访问控制、日志留存（≥3年）与隐私计算/联邦学习等技术，降低合规与泄露风险。

https://www.sohu.com/a/954774134_121885028

2. 《湖南省数据条例》自2025年12月1日起施行

《湖南省数据条例》自2025年12月1日起施行，是湖南省首部数据领域综合性地方法规，涵盖数据权益、资源管理、流通交易、产业发展与安全保障等内容。

《条例》构建“责任+管理+技术”三重安全机制：一是明确网信、公安、数据主管部门及数据处理者的安全职责，建立权责清晰的协同监管体系；二是推行公共数据分类分级保护制度，制定重点数据目录，强化重要数据与个人信息保护；三是要求数据处理者落实加密、备份、访问控制等技术措施，并鼓励发展安全保险、托管等服务。同时，严禁危害国家安全或损害公共利益的数据处理行为，为数据要素市场化配置筑牢安全底线。

https://mp.weixin.qq.com/s/WrcKs4R-_znIdDyk2E2BKQ

二、数据安全事件

1.某学校视频监控系统未履行数据安全保护义务 被处罚!

2025年11月18日，据网信湖南报道：近日，湘西州网信办依法对湘西某学校作出行政处罚，系湘西州首例未履行数据安全保护义务被行政处罚案例。

经调查核实，该学校的视频监控系统未采取相应防护措施履行数据安全保护义务，存在较大数据泄漏风险，其行为违反了《中华人民共和国数据安全法》第二十七条：建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。湘西州互联网信息办公室根据《中华人民共和国数据安全法》第四十五条之规定，对该学校作出警告的行政处罚，并责令限期整改。

https://mp.weixin.qq.com/s/lBXWnN7AFGM80ijalgBB_A

2.未完成等保测评 两家单位被公安机关处罚！

2025年11月18日，据同仁公安报道：近日，同仁市公安局在开展辖区网站及重要信息系统例行检查中，发现两家单位未按规定完成网络安全等级保护测评，存在严重网络安全隐患，违反《中华人民共和国网络安全法》相关规定。

为筑牢网络安全防线，规范网络运营秩序，公安机关依据《中华人民共和国网络安全法》第五十九条规定，对两家涉事单位依法作出行政警告处罚，同步下达整改通知，责令限期消除隐患，督促严格履行网络安全主体责任。

https://baijiahao.baidu.com/s?id=1848486934201688936&wfr=spider&for=pc%20

3. 一公司因未处置高危漏洞被黑客攻击篡改，公安机关依法处罚

近日，河南某公司因不履行网络安全保护义务，未及时处置信息系统存在的高危漏洞，被黑客利用并实施页面篡改等破坏活动，河南安阳公安机关依据《网络安全法》责令该公司改正，并对该公司和直接负责的主管人员依法处以行政处罚。

“高危漏洞、高危端口、弱口令”是威胁网络安全的三个常见问题，简称“两高一弱”。它们利用难度小，攻击危害大，成为黑客攻击的重要手段。本次遭受攻击的信息服务平台早已停用，但该公司未及时将其下线，仍暴露在互联网上，且存在高危漏洞，这给不法分子提供了可乘之机。攻击者轻易获取了平台管理员权限，进而实施了页面篡改等破坏活动。

https://mp.weixin.qq.com/s/jeU1UdEDVkIDOuDnr2SGrg

4.罗技 1.8T 数据泄露，第三方组件成缺口

罗技（Logitech）向美国证券交易委员会（SEC）提交 8-K 表格，正式确认公司遭遇了一起网络安全事件，导致包含部分员工与消费者信息，以及客户和供应商相关的数据泄露，总量达1.8TB。

此次事件由 Clop 勒索组织策划，该组织长期以“挖软件漏洞、偷海量数据、再勒索企业”这一模式著称。今年 7 月，他们就曾借助相关漏洞，对 Oracle E-Business Suite（甲骨文电子商务套件）的用户发动过多轮攻击。此次攻击虽然罗技尚未公布具体的漏洞细节，但是从技术特征分析，大概率是利用了新的电子商务套件 0Day 漏洞（编号 CVE-2025-61882）。

https://www.toutiao.com/article/7573877261464633906/

三、技术、产品与市场

1.《关于推动物流数据开放互联 有效降低全社会物流成本的实施方案》印发

近日，国家发展改革委、国家数据局、中央网信办、交通运输部、海关总署、市场监管总局、国家铁路局、中国民航局、国家邮政局、中国国家铁路集团有限公司制定并印发了《关于推动物流数据开放互联 有效降低全社会物流成本的实施方案》。

《方案》强调筑牢安全保障，建立健全物流数据开放互联安全防护体系。压实相关部门和单位安全管理责任，制定完善网络安全、数据安全事件应急预案，及时处置相关安全威胁和事件，并按照规定向有关主管部门报告。落实物流数据分类分级保护要求，鼓励加强区块链、隐私计算等技术应用，促进数据可信交互，切实保障数据安全。

https://www.toutiao.com/article/7571308175488664070/

2.AI主导全球首例大规模网络攻击？

近日，人工智能安全公司Anthropic发布的一则报告在网络安全界掀起巨浪。报告称，其旗下的Claude Code模型被黑客劫持，并用于实施了“全球首例由AI高度自主执行的大规模网络攻击”。据称，该攻击覆盖全球30个目标，80%至90%的攻击流程由AI自主完成，从目标选择、漏洞利用到数据提取，几乎全程无人干预。

然而，这一指控并未得到业内的普遍认可，反而因证据链的严重缺失而陷入广泛营销质疑。但不可否认，这场充满疑点的“自主攻击”事件撕开了一个关键命题：AI正在重塑网络安全的攻防规则。

该报告虽未证实真实攻击，却凸显AI滥用对数据安全的潜在风险：若大模型被武器化，可能自动化完成漏洞探测、凭证窃取与敏感数据外传，极大提升攻击效率。事件警示需加强对AI系统输出内容的审计、访问控制与使用边界管理，并推动建立AI赋能攻击的检测指标体系。

https://www.sohu.com/a/955262494_121124363