Aggregator

为规范商用密码应用安全性评估行业秩序、营造公平诚信市场环境，中国密码学会密评联委会发起《商用密码应用安全性评估行业自律公约》签约倡议。公约以独立公正、科学客观为核心，划定自律红线，筑牢行业发展制度根基。重庆信通设计院积极响应并签署践行，携手提升行业公信力，助力商用密码应用安全事业高质量发展。

来源：重庆信通设计院天空实验室

2025 年全球网络安全法规政策聚焦数据安全、AI 治理、关键信息基础设施保护等核心领域，我国持续完善网络安全法律体系，细化合规要求与责任界定，欧美等国强化监管规则与技术落地标准，形成了兼具地域特色与全球共识的治理格局。下面将盘点国内外发布的主要法规政策，梳理全年网络安全监管的发展脉络与核心方向。

国内网络安全法规政策：

《网络安全法》修正

2025年10月28日，全国人大常委会通过修改决定，2026年1月1日起施行。新增第三条明确网络安全工作坚持党的领导，贯彻总体国家安全观；增加 AI 相关条款，支持 AI 技术研发与安全监管；完善个人信息保护关联条款，明确网络运营者处理个人信息需遵守《个人信息保护法》等规定，同时调整部分处罚额度中央网信办。

《个人信息出境认证办法》

2025年10月14日由国家网信办、市场监管总局联合公布，2026年1月1日起施行，规范个人信息出境认证活动，明确认证条件、流程及专业机构要求，完善数据跨境流动合规体系中央网信办。

《网络数据安全管理条例》

自2025年1月1日起，《网络数据安全管理条例》正式实施。围绕网络数据处理活动的安全与规范，明确了总则、一般规定、个人信息保护、重要数据安全、数据跨境安全管理、网络平台服务提供者义务、监督管理及法律责任等内容，坚持总体国家安全观，实行数据分类分级保护，细化各方主体责任，规范数据处理全流程，兼顾数据利用与安全，同时明确违法处罚标准，保障个人、组织合法权益及国家安全和公共利益。

《个人信息保护合规审计管理办法》

自2025年5月1日起，《个人信息保护合规审计管理办法》正式实施。规范境内个人信息保护合规审计活动，明确了审计开展主体、频次、触发情形及专业机构资质与义务，细化了个人信息处理者的审计责任、整改要求及监督机制，附件《个人信息保护合规审计指引》则从合法性基础、处理规则、权利保障、技术措施、应急处置等多方面，明确了合规审计的重点审查事项，违规行为将依法追究法律责任，国家机关及相关公共事务组织的审计不适用本办法。

《人脸识别技术应用安全管理办法》

自2025年6月1日起，《人脸识别技术应用安全管理办法》正式实施。规范我国境内人脸识别技术处理人脸信息的活动（研发、算法训练除外），明确处理活动需遵循合法、正当、必要及最小影响原则，要求以显著方式充分告知个人相关事项并取得单独同意，对未成年人、特殊群体人脸信息保护作出专门规定，限定人脸信息存储传输要求、保存期限与备案流程，禁止将人脸识别作为唯一验证方式，严禁在私密空间安装相关设备，同时明确了事前评估、安全防护、监督检查及违规追责等要求，以此保护个人信息权益，维护国家安全与公共利益。

《关键信息基础设施商用密码使用管理规定》

自2025年8月1日起《关键信息基础设施商用密码使用管理规定》正式实施。明确监管职责分工，要求关键信息基础设施运营者落实商用密码 “三同步” 建设、定期开展应用安全性评估，规范人员、经费、产品技术管理，设定违规处罚机制，保障关键信息基础设施安全。

《国家网络身份认证公共服务管理办法》

自2025年7月15日起，《国家网络身份认证公共服务管理办法》正式实施。推进国家网络身份认证公共服务建设，明确网号、网证的定义与用途，规范申领规则（未成年人需监护人同意或代办）。鼓励部门、行业及平台推广应用，同时保留其他合法核验方式，禁止平台强制索要明文身份信息。强调公共服务平台的信息安全与隐私保护义务，明确违规处罚依据，保障公民信息安全，支撑数字经济健康发展。

《人工智能拟人化互动服务管理暂行办法（征求意见稿）》

2025年12月27日，为了促进人工智能拟人化互动服务健康发展和规范应用，依据《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规，国家互联网信息办公室起草了《人工智能拟人化互动服务管理暂行办法（征求意见稿）》。

国外主要网络安全法规政策

欧盟《人工智能法案》

欧盟《人工智能法案》（AI Act）全面生效：2025年正式落地，对高风险 AI 系统实施严格监管，算力超 10^25 FLOPS 的基础模型需完成全流程安全认证，要求训练数据可追溯、模型可解释，且高风险 AI 系统需每季度提交更新报告并附第三方评估结论，同时衔接 GDPR，强化欧盟公民数据保护。

欧盟《网络安全蓝图提案》

2025年2月，欧盟委员会公布提案，明确各主体在网络危机生命周期中的角色，加强民事与军事实体（含北约）合作，提升大规模网络事件响应能力。

美国《AI 数据安全联合指南》

2025年5月，NSA、CISA 联合澳、新、英等国发布《AI 数据安全：保障用于训练和运行 AI 系统的数据的最佳实践》，强调 AI 全生命周期数据保护策略，提供数据供应链、恶意数据篡改等风险缓解措施。

美国《人工智能立法》

美国38个州通过了人工智能立法，其中最重要的法律于2026年1月1日生效。涵盖算法透明度、自动决策告知、训练数据标注等内容，构建联邦与州两级 AI 监管体系。

结语：

2025年，全球网络安全法规政策的发展方向十分明确，数据安全与跨境流动规则在不断完善，中国、欧盟等主要经济体都在强化个人信息和重要数据的保护，推动数据合规跨境流动。此外，AI 安全治理成为各国监管的重点，相关法规陆续出台，目的就是规范技术研发和应用，在创新和安全之间找到平衡点。同时，关键信息基础设施的保护力度持续加大，通过立法明确了各方责任主体，对技术防护和合规管理都提出了更严格的要求。

参考及来源：

https://www.cac.gov.cn/2025-12/31/c_1768823198284221.htm?f_link_type=f_linkinlinenote&flow_extra=eyJpbmxpbmVfZGlzcGxheV9wb3NpdGlvbiI6MCwiZG9jX3Bvc2l0aW9uIjowLCJkb2NfaWQiOiIzYjNkZDgwYTY5Yjc0ZjI1LTE0MmU2Y2ZiMzkyYTJkNGIifQ%3D%3D

https://www.gov.cn/zhengce/zhengceku/202409/content_6977767.htm

https://www.cac.gov.cn/2025-02/14/c_1741233507681519.htm

https://www.gov.cn/zhengce/zhengceku/202503/content_7016075.htm

https://www.cac.gov.cn/2025-07/01/c_1753083518894995.htm

https://www.cac.gov.cn/2025-05/23/c_1749711107835487.htm

https://www.cac.gov.cn/2025-12/27/c_1768571207311996.htm

https://www.twobirds.com/-/media/new-website-content/pdfs/capabilities/artificial-intelligence/eu-ai-act-guide-chinese-version.pdf

https://ecas.cas.cn/xxkw/kbcd/201115_147064/ml/xxhzlyzc/202503/t20250324_5059696.html

https://ecas.cas.cn/xxkw/kbcd/201115_147878/ml/xxhzlyzc/202506/t20250618_5073693.html

https://introl.com/zh/blog/federal-state-ai-law-showdown-trump-executive-order

The last day of Pwn2Own Automotive 2026 saw the world’s top security researchers take their final shots at the latest automotive systems. Over three days of intense competition, $1,047,000 USD was awarded for 76 unique 0-day vulnerabilities, with bold exploits, clever techniques, and collisions keeping the action thrilling throughout.

By the end, Tobias Scharnowski (@ScepticCtf), Felix Buchmann (@diff_fusion), and Kristian Covic (@SeTcbPrivilege) of Fuzzware.io claimed the title of Master of Pwn, earning 28 points and $215,500 USD.

Follow the final updates on Twitter, Mastodon, LinkedIn, and Bluesky, and join the conversation using #Pwn2OwnAutomotive and #P2OAuto.

SUCCESS / COLLISON - Tobias Scharnowski (@ScepticCtf), Felix Buchmann (@diff_fusion), and Kristian Covic (@SeTcbPrivilege) of Fuzzware.io targeted the Alpine iLX-F511, demonstrating one vulnerability previously used by another contestant, earning $2,500 USD and 1 Master of Pwn point. #Pwn2Own #P2OAuto

SUCCESS / COLLISON - Slow Horses of Qrious Secure (@qriousec) targeted the Grizzl-E Smart 40A but encountered two bug collisions, still earning $5,000 USD and 2 Master of Pwn points.

SUCCESS / COLLISON - Team MST targeted the Kenwood DNR1007XR, demonstrating one bug but running into a collision, earning $2,500 USD and 1 Master of Pwn point.

SUCCESS - PetoWorks (@petoworks) targeted the Grizzl-E Smart 40A, exploiting one buffer overflow bug, and earned $10,000 USD and 4 Master of Pwn points.

SUCCESS - Bongeun Koo (@kiddo_pwn) and Evangelos Daravigkas (@freddo_1337) of Team DDOS targeted the Alpine iLX‑F511, exploiting a stack‑based buffer overflow to earn $5,000 USD and 2 Master of Pwn points.

SUCCESS - Viettel Cyber Security (@vcslab) targeted the Sony XAV‑9500ES, exploiting a heap‑based buffer overflow to achieve arbitrary code execution, earning $10,000 USD and 2 Master of Pwn points. #Pwn2Own #P2OAuto

SUCCESS / COLLISON - Qrious Secure (@qriousec) targeted the Kenwood system, demonstrating three bugs - one n-day and two unique vulnerabilities (incorrect permission assignment and a race condition), earning $4,000 USD and 1.75 Master of Pwn points.

SUCCESS - Boom! or shall we say Doom? Game On! Aapo Oksman, Elias Ikkelä-Koski and Mikael Kantola of Juurin Oy exploit the Alpitronic HYC50 with a TOCTOU bug - and installed a playable version of Doom to boot. They earn $20,000 and 4 Master of Pwn points. #Pwn2Own #P2OAuto

SUCCESS / COLLISON - Nguyen Thanh Dat (@rewhiles) of Viettel Cyber Security (@vcslab) targeted the Kenwood DNR1007XR, demonstrating one bug but encountering a collision, earning $2,500 USD and 1 Master of Pwn point.

SUCCESS / COLLISON - Autocrypt (Hoyong Jin, Jaewoo Jeong, Chanhyeok Jung, Minsoo Son, and Kisang Choi) targeted the Alpine iLX-F511, demonstrating two vulnerabilities to gain root access. One collided with a previously known issue, earning $3,000 USD and 1.25 Master of Pwn points.

SUCCESS - Elias Ikkelä-Koski and Aapo Oksman of Juurin Oy targeted the Kenwood DNR1007XR, demonstrating a link-following vulnerability to earn $5,000 USD and 2 Master of Pwn points.

SUCCESS - Nam Ha Bach and Vu Tien Hoa of the FPT NightWolf Team targeted the Alpine iLX-F511, exploiting one unique vulnerability to gain root access and earning $5,000 USD and 2 Master of Pwn points.

SUCCESS / COLLISON - Ryo Kato (@Pwn4S0n1c) targeted the Autel MaxiCharger AC Elite Home 40A, demonstrating a three-bug chain but encountering one collision, still earning $16,750 USD and 3.5 Master of Pwn points.