为发挥标准对电信和互联网行业数据安全的规范和保障作用，加快制造强国和网络强国建设步伐，工业和信息化部办公厅于2020年12月17日印发《电信和互联网行业数据安全标准体系建设指南》（以下简称《指南》）。

《指南》指出，电信和互联网行业数据安全标准体系包括基础共性、关键技术、安全管理和重点领域等标准。其中，基础共性标准包括术语定义、数据安全框架、数据分类分级等，为各类标准提供基础支撑。关键技术标准从数据采集、传输、存储、处理、交换、销毁等全生命周期维度，对数据安全关键技术进行规范。安全管理标准包括数据安全规范、数据安全评估、监测预警与处置、应急响应与灾难备份、安全能力认证等。重点领域标准主要是结合相关领域的实际情况和具体要求，指导行业有效开展重点领域数据安全保护工作。

《指南》提出了电信和互联网行业数据安全标准体系建设目标，到2021年，研制数据安全行业标准20项以上，初步建立电信和互联网行业数据安全标准体系，有效落实数据安全管理要求，基本满足行业数据安全保护需要，推动标准在重点领域中的应用；到2023年，研制数据安全行业标准50项以上，健全完善电信和互联网行业数据安全标准体系，标准的技术水平、应用效果和国际化程度显著提高，有力支撑行业数据安全保护能力提升。

2020年11月27日，全国信息安全标准化技术委员会秘书处组织编制 了《网络安全标准实践指南——移动互联网应用程序（APP）使用软件开发工具包（SDK）安全指引》。

该《实践指南》旨在帮助APP提供者使用SDK时防范SDK安全和合规风险，帮助SDK提供者保障SDK安全和用户个人信息。《实践指南》给出了SDK常见安全风险，针对当前App使用SDK过程中存在的SDK自身安全漏洞、SDK恶意行为、SDK违法违规收集APP用户的个人信息问题，结合当前移动互联网技术及应用现状，给出了APP提供者、SDK提供者针对SDK安全问题的实践指引。

国家互联网信息办公室官网12月1日消息，为落实《中华人民共和国网络安全法》关于个人信息收集合法、正当、必要的原则，规范APP个人信息收集行为，保障公民个人信息安全，国家互联网信息办公室研究起草了《常见类型移动互联网应用程序（APP）必要个人信息范围（征求意见稿）》，并向社会公开征求意见。该文件规定了地图导航、网络约车、即时通信等38类常见类型APP必要个人信息范围。必要个人信息是指保障App基本功能正常运行所必须的个人信息，缺少该信息APP无法提供基本功能服务。只要用户同意收集必要个人信息，APP不得拒绝用户安装使用。

2020年11月19日，国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2020年第26号），全国信息安全标准化技术委员会归口的GB/T 39335-2020《信息安全技术个人信息安全影响评估指南》国家标准正式发布，并将于2021年6月1日正式实施。

《个人信息安全影响评估指南》（以下简称“评估指南”）针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。《评估指南》旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险，能够加强对个人信息主体权益的保护，有利于组织展示其保护个人信息安全的努力，提升透明度，增进个人信息主体对其的信任。

《评估指南》分为“范围”、“规范性引用文件”“术语和定义”“评估原理”“评估实施流程”五个主要部分以及“评估性合规的示例及评估要点”“高风险的个人信息处理活动示例”“个人信息安全评估常用工作表”“个人信息安全影响评估参考办法”四个附录。《评估指南》的出台将有力支撑未来《个人信息保护法》的实施。

主要内容包括：

1、若进口的物项和技术在《商用密码进口许可清单》范围内（包括加密电话机、加密传真机、密码机（密码卡）、加密VPN设备），应当向商务部申请办理两用物项和技术进口许可证；

2、若出口的物项和技术在《商用密码出口管制清单》范围内（包括安全芯片、密码机（密码卡）、加密VPN设备、密钥管理产品、专用密码设备、量子密码设备、密码分析设备、密码研制生产设备、密码测试验证设备及相关软件、技术），应当向商务部申请办理两用物项和技术出口许可证；

3、商用密码进出口许可主要程序如下，其他具体程序、特殊情况处理等参照《两用物项和技术进出口许可证管理办法》（商务部 海关总署令2005年第29号）的相关规定执行：

①经营者通过省级商务主管部门向商务部提出申请；

②商务部收到申请文件后会用国家密码管理局等有关部门进行审查，并在法定期限内作出决定。审查予以许可的，由商务部颁发两用物项和技术进出口许可证。

12月9日，国家广播电视总局批准发布了广播电视和网络视听推荐性行业标准《广播电视网络安全等级保护定级指南》，这是国内继金融行业后第二个出台等保2.0标准的行业。《指南》建议，根据广电行业实际情况，按照定级对象的基本特征，综合考虑定级对象的责任单位、业务类型和业务重要性等因素，将广播电视网络安全等级保护对象按照机构类别及承载的业务种类进行分类，并给出了相应的安全保护等级建议。

国家卫健委、国家中医药管理局联合制定了《全国公共卫生信息化建设标准与规范（试行）》。该《规范》鼓励各级各类医疗卫生机构根据自身情况，运用大数据、人工智能、云计算等新兴信息技术与公共卫生领域的应用融合，探索创新发展模式，在疫情监测分析、病毒溯源、防控救治、资源调配等方面更好发挥支撑作用。

12月1日，天津市第十七届人民代表大会常务委员会第二十四次会议通过《天津市社会信用条例》（以下简称《条例》）。《条例》就个人敏感信息的收集行为作出规制，涉及生物识别信息、疾病和病史等。《条例》第四章为“信用主体的权益保护”，就社会信用信息的采集、归集、应用进行规定，其中多条涉及个人信息保护。例如，条例明确，除了法律、法规另有规定的情况，任何组织和个人不得非法采集、归集、使用、加工、传输，或是非法买卖、提供及公开社会信用信息。未经信用主体书面授权，任何组织和个人不得查询信用主体非公开的社会信用信息。

欧盟委员会提出了两项新的立法——《数字市场法》（Digital Markets Act）和《数字服务法》（Digital Services Act）。如果两项立法获得通过，欧盟将使大型科技公司删除有害内容并开放竞争，否则科技公司将面临巨额罚款的风险。

第一项草案是《数字服务法》（Digital Services Act）。该草案要求所有数字服务平台创建举措来打击非法在线内容，未能限制非法在线内容传播的公司将面临巨额罚款。在最严重的情况下，欧盟委员会可能对服务提供商处以全球营业额6％的罚款。

第二项草案是《数字市场法》（Digital Markets Act）。草案要求“守门人”公司避免“不公平的做法”，如阻止用户卸载任何预装的软件或应用程序等。对于不遵守规则的“守门人”，欧盟建议对其处以全球营业额10％的罚款。

欧盟委员会和外交与安全政策联盟高级代表发布了新的《欧盟数字十年的网络安全战略》（The EU's Cybersecurity Strategy for the Digital Decade）。

欧盟网络安全战略包含法规、投资和政策工具方面的相关建议，旨在应对欧盟行动的三个领域：

（1）韧性、技术主权和领导力；

（2）建立预防、制止和应对的行动能力；

（3）推进全球开放的网络空间。

此外，欧盟委员会还通过了一项有关修订《网络和信息系统安全指令》（NIS 2指令）的提案以及《关于关键实体韧性的指令》提案。

Digital Watch网站12月2日消息，欧盟委员会向欧盟议会、欧洲理事会和欧盟理事会发布了有关新的欧盟-美国全球变化议程（A new EU-US agenda for global change）的联合通讯。此举被视为向美国总统当选人拜登和美国政府进一步靠拢。议程涵盖了技术和数字等议题，包括：作为技术联盟，联合力量共同推动技术发展、使用，塑造监管环境；在数字供应链安全领域开展广泛合作，包括保障全球5G基础设施安全，并就6G展开对话；在网络安全能力建设、态势感知、信息共享以及应对第三国威胁方面进行合作；促进自由数据流动并促进监管趋同；坚决致力于在经合组织和二十国集团框架下，及时就数字经济中的公平税收得出全球解决方案等。

11月27日，工信部组织召开全国APP个人信息保护监管会。

电信终端产业协会秘书长谢毅发布《APP用户权益保护测评规范》10项标准及《APP收集使用个人信息最小必要评估规范》8项标准，涉及人脸、通讯录、位置、图片、软件列表、设备、录像信息等多个方面，这些标准将为企业合规经营提供明确规范要求，为治理工作提供依据和支撑。

苏宁、蚂蚁、爱奇艺、360、小米、新浪、快手、哔哩哔哩、滴滴、阿里、百度等11家互联网公司做出“加强APP个人信息保护”公开承诺。向社会做出公开郑重承诺，将严格落实APP侵犯用户权益各项整治工作，保障用户合法权益。

依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，工信部近期组织第三方检测机构对手机应用软件进行检查，督促存在问题的企业进行整改，并通报了第七批仍未整改的APP。

此次检测发现，APP未经用户同意，私自收集设备MAC地址信息；将用户个人信息发送给第三方SDK的问题较多。部分头部企业APP检测仍发现问题，且未按工业和信息化部要求时限整改完成。部分应用商店及移动应用分发平台对利用技术对抗、更换“马甲”等方式故意逃避工业和信息化部监管的企业，监测发现和处置力度不够。后续工信部将对上述问题突出、有令不行、整改不彻底的相关企业，采取全面下架、停止接入、行政处罚以及纳入电信业务经营不良名单或失信名单等措施，依法严厉处置。

新浪网12月16日消息，证监会科技监管局局长姚前表示，企业可以从大数据分析洞察用户的特征、习惯、需求和偏好，感应市场变化，调整竞争策略。第三方平台企业掌握大量用户数据，就像掌握了宝贵的矿产资源。平台价值来源于用户，所以用户理应享受平台创造的收益。作为价值创造来源，用户却未能真正享受平台收益。因此，基于上述“用户创造价值”理念，作为公众代表，政府有必要像征收自然资源税一样，对平台企业征收数字服务税。

路透社12月18日消息，美国商务部将数十家中国公司，包括芯片制造商中芯国际（SMIC）和中国无人机制造商深圳大疆科技有限公司（SZ DJI Technology Co Ltd）列入了实体清单，进一步加剧了与中国的紧张关系。

美国商务部表示，针对中芯国际的行动源于北京将民用技术用于军事目的，并且有证据表明中芯国际与中国军事工业公司之间有活动往来。此外，商务部以促成“大规模侵犯人权”为由，将大疆创新、无锡中德美联生物技术（AGCU Scientech）、中国科学器材公司以及深圳光启集团（Kuang-Chi）列入黑名单。

法国总统马克龙称，欧洲必须维护其“数字主权”，并阐述了一系列旨在减少对美国科技巨头依赖的措施。马克龙认为，在新冠疫情爆发后，虽然美国数字平台促成了社会的“大变革”，但在科技方面，需要考虑“欧洲解决方案和欧洲的主权”。为此，马克龙阐述了实现欧洲数字主权战略需要采取的3条措施：

一是欧盟需要在创业融资等问题上有更多的参与；

二是需要开拓注重个人隐私和技术创新的“数字单一市场”；

三是建设欧洲云，开发相关数据解决方案，以减少对美国公司的依赖。与此同时，欧盟委员会、德国和法国正在拟定一项旨在减少对美国云巨头依赖的倡议，并通过开发名为“Gaia-X”的项目，为欧洲的数字基础设施建立新的框架。

TechCrunch网12月3日消息，欧盟立法者将在2021年第三季度推出在线政治广告的新规则，以提高政治广告透明度。相关规则将针对付费内容和制作/发行渠道的赞助商，包括在线平台、广告商和政治顾问，要求其阐明各自的职责，告知赞助者及其费用、目的，并提供合规性证据。新规则将确定哪些参与者和哪种赞助内容属于增强透明度要求的范围，并指导相关规则的执行和监督。该规则是更广泛的民主行动计划的一部分，其中包含一揽子措施，旨在支持整个欧盟委员会任期4年内的选举自由、公正，加强媒体多元化、提高媒体素养。

近日，苹果在新发布的iOS14.3系统中上线新的隐私保护功能，要求开发者在App Store中介绍App收集使用用户数据的类型和目的，尤其是这些数据是否会被用于广告“追踪”等。苹果曾于今年6月宣布增加这项隐私功能，旨在为App隐私政策打造一套用户容易理解的系统，并且它会随着用户的需求不断调整。

在App Store中，App需要披露的数据类型分为“用于广告追踪的数据”“与用户关联的数据”“未与用户关联的数据”，具体涉及联系信息（如姓名、地址等）、财务信息（付款信息、信用信息等）、位置信息、联系人、浏览历史记录、使用数据（广告数据等）、诊断数据（崩溃数据等）、设备标识符等。

“与用户关联的数据”指的是，绑定用户身份（如ID、设备标识符）的数据。苹果强调，若App声明收集的数据与用户没有关联，则收集之前必须采取隐私保护措施，例如去掉用户ID等任何直接标识符，并避免在收集后将这些数据重新与用户身份信息进行关联等做法。

苹果还规定，对于用户在App界面中直接提交的数据，每次收集均需用户选择同意的数据等，开发者可选择性披露。

除了App本身收集用户信息，App嵌入的第三方插件或代码等会收集用户信息。这些数据最常用的使用方式之一是“追踪”，即与第三方数据相关联，用于定向广告推送或广告评估等目的。

在国内，随着App治理的不断深入，监督第三方插件或代码合规使用用户数据逐渐成为重点治理方向。

此外，苹果此次新上线的隐私保护功能中也要求，如果App中整合了第三方合作伙伴的插件或代码，如分析工具、广告网络、第三方SDK等，也需要说明其收集、使用的数据类型等。开发者还需要介绍第三方合作伙伴是否将收集的数据用于“追踪”，并说明这些数据是否会与用户身份（如账户、设备标识符等）相关联。

从2020年12月8日起，开发者提交至App Store的新App和更新App都需要提交用户数据收集和使用的内容。之后，苹果有专门的团队、以人机结合的方式进行审核，并进行不定期的抽查。如果有App没有遵守规则或没有如实填写，苹果会与开发者沟通，帮助其对申报进行调整；如果沟通后未改进，苹果会下架相关App，严重的会注销开发者账户。

苹果还规定，从明年年起，苹果将会要求所有想要跟踪用户的App获得用户的明确同意，否则的话，将会从应用商店删除该应用程序。

因为被动物园要求采用“刷脸”方式入园，游园年卡办理者郭兵在协商不成的情况下，决定以服务合同违约为由，将提供服务的杭州野生动物世界告上法庭。11月20日，这一涉及公民生物识别信息采集的服务合同纠纷案，在浙江省杭州市富阳区人民法院一审宣判。最终，法院判决野生动物世界赔偿郭兵合同利益损失及交通费共计1038元，删除其办理指纹年卡时提交的包括照片在内的面部特征信息；驳回郭兵提出的其他诉讼请求。

由一段“戴头盔逛售楼处”视频引发的“人脸识别系统是否会侵害客户个人隐私”讨论不断发酵，甚至引了一些地方政府部门的重视。

日前，南京市住房保障和房产局紧急通知，要求楼盘售楼处未经别人同意，不得拍摄来访人员的面部信息。指出为加强住房消费者权益和个人信息保护，规范和净化南京市房地产市场环境，对购房人身份识别，收集、使用购房人个人信息应遵循合法、正当、必要的原则，南京市要求商品房销售现场禁止使用人脸识别系统。

青岛市发布公告称，因青岛市胶州中心医院已发现新冠肺炎确诊病例，要求相关密切接触人员，立即到居住社区做好登记。很快，一份包含多达6000多“密接人员”的名单在网络传播，其中涉及这6000多人的姓名、住址、联系方式、身份证号码等个人身份信息。在事件引发舆论之后，公安机关做出调查，是叶某工作中将接到的随访人员名单信息转发至所在公司微信群，另外两人也是这样把名单发到了家人群里，引发的名单泄漏。当地警方对造成泄漏的3人给予行政拘留的处罚。

南宁市不动产登记中心上线名为“邕e登”的线上业务办理平台，市民在该APP上通过刷脸即可办理房产过户。南宁市民黎先生通过某一置业顾问销售房屋，在收取3万元的定金后，该名置业顾问同样以房屋查档为由，要求黎先生和他见面，并用手机进行刷脸。但是令业主没想到的是，房屋交易明明还没有完成，房子已经被过户了。目前，这名中介已被警方控制。据了解，从今年6月到10月，该名置业顾问用同样的手法过户了十几名业主的房产，涉案金额超过1000万元。大家都是被置业顾问要求完成刷脸认证查档后，房子当天就被过户出去，立刻被买家抵押给第三方。

东莞莞城街道为打造星级公厕，采用人脸识别系统为用户提供厕纸。采用人脸识别取纸机之后，市民只需站在取纸机前3秒，通过机器自动“刷脸”功能，便能得到设定好的纸量，由于取纸量及取纸频率都是设定好的，还可杜绝同一人短时多次重复取纸造成纸张浪费的不文明现象，一定程序上提升了市民文明素养。

该人脸识别取纸设备的生产企业是天津一科技公司。据该公司官网显示，该公司的第五代人脸识别厕纸机是“为了方便市民用纸及节约企业购纸成本而设计。”该企业工作人员接受媒体采访时表示，公司的设备已经通过了公安部安全与警用电子产品质量检测中心的检测。检测报告中的“人脸识别信息自动删除功能检验”的检验项目中显示，检验结果是“符合要求”。

对此，东莞城管在微博通报回应此事称，初衷为防止浪费。“刷脸”设备没有网络功能模块，可在规定时间内限制同一人取纸巾的次数。每次拍摄到的用户照片均在规定时间内自行删除。目前已终止使用该设备，改用常规的方式免费提供纸巾。

近日，疑似明星北京“健康宝”照片被泄露一事备受关注。有网友通过输入明星姓名加身份证号，无需人脸识别，查询到其在北京“健康宝”上的认证照片，疑似30余位明星的照片被传播、出售。

疑似王源、王俊凯、易烊千玺、刘昊然、杨幂、邓伦、蔡徐坤等超50名明星的“健康宝”照片在网上传播，涉及北京、厦门、上海等多地核酸检测机构，这些信息甚至在相关群组内被出售。

上述“健康宝”一般指“北京健康宝”，是北京市大数据中心依托北京市防疫相关数据和国家政务服务平台，针对新冠肺炎疫情防控需要推出的小程序。开发者为北京市经济和信息化局。

据不完全统计，网络上流传着七十多名明星的核酸检测照片截图。截图中包括：明星的人脸照片、姓名首字母、身份证号码的前后两位，以及做核酸检测的机构及具体检测时间。