一、 国家安全动态、政策和法规

定期了解国家安全动态、政策和法规，以及相关行业规范标准，有助于完善单位自身的信息安全管理体系。
以下是2026年1月份国家新发布的法规政策以及行业相关动态：

1.1 ​新修订《中华人民共和国网络安全法》正式施行

发布来源：全国人民代表大会常务委员会
发布时间：2026-01-01
发布链接：
https://www.cac.gov.cn/2025-10/29/c_1763461514768457.htm、https://www.cac.gov.cn/2025-12/29/c_1768735112911946.htm
内容概要：
作为网络安全领域基础性法律，此次修订立足数字时代新要求，针对生成式AI、云计算、物联网等新技术带来的安全风险，以及新型网络违法犯罪等问题进行系统性升级。新增第三条明确网络安全工作坚持党的领导、贯彻总体国家安全观；新增第二十条将人工智能安全纳入监管，既支持AI基础理论研究和关键技术研发，又要求完善伦理规范和风险监测，鼓励运用AI提升网络安全保护水平。修法强化了与《民法典》《个人信息保护法》等法律法规的衔接，新增第七十三条引入从轻、减轻及不予处罚情形，优化整合处罚条款避免重复。责任体系方面，将网络运营者一般违法行为罚款上限提升至200万元，特别严重情形可处200万-1000万元罚款，新增“关闭网站或应用程序”处罚措施；明确禁止销售未经安全认证的网络关键设备，强化跨境网络安全威胁应对，对境外危害我国网络安全的行为可采取冻结财产等制裁措施，为网络强国建设和数字经济发展提供法治保障。
 

1.2 ​《个人信息出境认证办法》正式施行

发布来源：国家互联网信息办公室、国家市场监督管理总局
发布时间：2026-01-01
发布链接：
https://www.cac.gov.cn/2025-10/17/c_1762449728720008.htm
内容概要：
该《办法》作为个人信息出境监管的重要配套制度，自2026年1月1日起正式施行。明确了个人信息出境认证的适用范围、申请条件、办理流程及监督管理要求，规范个人信息出境认证活动，保障个人信息权益。《办法》要求个人信息处理者向境外提供个人信息时，需通过认证机构的合规评估，确保出境数据符合《个人信息保护法》等法律法规规定，防范数据出境安全风险。认证流程包括材料提交、审核评估、证书颁发等环节，认证机构需对个人信息出境的合法性、安全性进行全面审查，对不符合要求的申请不予认证并说明理由。该办法的施行进一步完善了个人信息出境安全监管体系，为跨境数据流动提供明确合规路径。
 

1.3 工信部通报22款 App及SDK侵害用户权益行为

发布来源：工业和信息化部
发布时间：2026-01-06
发布链接：
https://www.miit.gov.cn/xwfb/gxdt/sjdt/art/2026/art_465b7019918a4d669039c6e6c7c37279.html
内容概要：
这是工信部2026年首次发布侵害用户权益App及SDK通报，累计通报已达54批。此次抽查覆盖荣耀应用市场、苹果App Store、三星应用商店、应用宝、豌豆荚、快手等多个分发渠道，点名妹聊、Sinzar、海滨城、好通行、酒泉一卡通、雷电SDK等22款产品。违规问题主要集中在个人信息保护领域，包括违规收集个人信息、超范围收集个人信息、未明示收集个人信息清单、强制频繁过度索取权限等；此外，“岁岁”（版本5.5，豌豆荚）存在强制自动续费问题，“漾泉行”（版本1.1.0，App Store）存在“信息窗口乱跳转”问题。工信部要求相关产品按规定完成整改，整改不到位将依法依规开展进一步处置，持续推进App治理常态化。
 

1.4 中央网信办发布第十五批深度合成服务算法备案信息

发布来源：国家互联网信息办公室
发布时间：2026-01-07
发布链接：
https://www.cac.gov.cn/yaowen/A0936index_1.htm
内容概要：
作为对深度合成技术监管的重要举措，此次备案信息发布延续了算法安全监管的常态化机制。深度合成服务涵盖AI换脸、语音合成、文本生成等各类生成式AI应用，备案制度要求相关服务提供者履行安全评估、技术监测、应急处置等责任，确保服务符合《网络安全法》《生成式人工智能服务管理暂行办法》等规定。第十五批备案信息的发布进一步扩大了深度合成技术的监管覆盖范围，有助于防范深度合成技术被用于制作虚假信息、侵害他人权益等违法违规行为，促进生成式AI技术健康有序发展。
 

1.5 市场监管总局、国家网信办联合发布《网络交易平台规则监督管理办法》

发布来源：国家市场监督管理总局、国家互联网信息办公室
发布时间：2026-01-07
发布链接：
https://www.cac.gov.cn/2026-01/07/c_1769515215345420.htm
内容概要：
《办法》以规范平台规则的制定、修改与执行为核心，进一步压实网络交易平台责任。明确平台在规则制定过程中须履行公示、征求意见及设置过渡期等义务，建立便捷高效的纠纷解决机制。在网络安全与权益保护方面，细化平台在保障用户信息安全、防范数据泄露的具体要求，明确禁止利用规则实施大数据“杀熟”、不合理限制经营者或加重消费者责任等行为。同时，强化部门协作监管机制，要求两部门加强线索移交与联合研判，可通过约谈督促平台整改；鼓励平台开展合规自评或引入第三方评估，推动社会共治。该办法旨在维护公平有序的网络交易环境，兼顾数据安全与交易效率，保障消费者、经营者合法权益及网络空间安全。
 

1.6 中央网信办就《互联网应用程序个人信息收集使用规定（征求意见稿）》公开征求意见

发布来源：国家互联网信息办公室
发布时间：2026-01-10
发布链接：
https://www.cac.gov.cn/yaowen/A0936index_1.htm
内容概要：
为进一步规范互联网应用程序（App）个人信息收集使用行为，保障用户合法权益，中央网信办发布该征求意见稿并向社会公开征求意见。此次征求意见聚焦App个人信息收集、存储、使用、传输等全流程管理，预计将明确个人信息收集的最小必要原则、明示同意要求、数据安全保护措施等核心内容，是落实《个人信息保护法》《网络安全法》的重要配套制度。意见稿的出台将进一步细化App个人信息保护的具体要求，为监管部门执法和企业合规运营提供更明确的依据，推动个人信息保护常态化、制度化。
 

1.7 中央网信办召开全国网络辟谣联动机制第三次全体会议

发布来源：中央网络安全和信息化委员会办公室
发布时间：2026-01-16
发布链接：
https://www.cac.gov.cn/yaowen/A0936index_1.htm
内容概要：
会议聚焦网络辟谣工作的协同推进，总结了前期网络辟谣联动机制运行成效，分析了当前网络谣言传播的新特点、新趋势，部署了下一阶段重点工作。作为网络生态治理的重要组成部分，全国网络辟谣联动机制旨在整合中央和地方网信部门、相关行业主管部门、新闻媒体、互联网平台等多方力量，建立谣言监测、识别、澄清、处置的全链条工作体系。此次会议的召开将进一步强化各地区各部门的协同配合，提升网络谣言治理的精准性和时效性，维护网络空间真实可信、风清气正的环境，保障社会公共利益和公众合法权益。
 

1.8 八部门联合发布《可能影响未成年人身心健康的网络信息分类办法》

发布来源：国家互联网信息办公室、国家新闻出版署、国家电影局、教育部、工业和信息化部、公安部、文化和旅游部、国家广播电视总局
发布时间：2026-01-23
发布链接：
https://www.cac.gov.cn/2026-01/23/c_1770728781060093.htm
内容概要：
该《办法》为落实《未成年人网络保护条例》要求制定，自2026年3月1日起施行。明确了可能影响未成年人身心健康的4类网络信息及具体表现形式，将不当使用未成年人形象等突出问题纳入治理范围，针对算法推荐、生成式人工智能等新技术应用的内容风险提出防范要求。《办法》规定，网络信息内容生产者及平台需采取防范抵制措施，在信息展示前作出显著提示，不得在首页首屏、弹窗、热搜等醒目位置呈现相关信息；算法推荐和生成式AI服务提供者不得向未成年人推送此类信息，专门面向未成年人的网络产品和服务中禁止传播相关信息。违反规定者将依据《网络安全法》《未成年人网络保护条例》等法律法规处理，旨在为未成年人营造清朗网络空间。​
 

二、 境内安全事件

汇总本月发生的重大安全事件，分析事件的发生原因、影响和对应解决方案，可提高对相应事件的应对能力，实现“防患于未然”。

2.1 71款移动应用因违法违规收集使用个人信息被国家通报

事件日期：2026-01-05
事件概况：
国家网络安全通报中心依据《网络安全法》《个人信息保护法》等法规，通报了经国家计算机病毒应急处理中心检测发现的71款违法违规移动应用，涵盖微信/抖音/支付宝小程序及手机App，涉及宠物服务、出行、教育、购物等多个民生领域。此次通报明确13类违规问题，核心包括：13款应用未以显著方式提示隐私政策或政策难以访问（如《阿闻宠物》微信小程序、《朴朴超市》微信小程序）；31款应用未逐一列明个人信息收集使用的目的、方式及第三方共享情况（如《蛋仔派对》应用宝版、《中公网校》应用宝版）；13款应用未经用户单独同意向第三方提供个人信息（如《51CTO》PP助手版、《真爱网》vivo版）；5款应用未提供有效账号注销功能或设置不合理条件（如《易捷加油》微信小程序、《边界猎手》vivo版）；23款应用未提供个人信息收集同意的撤回途径（如《Keep奖牌》今日头条小程序、《工程相机》vivo版）；另有3款应用违规处理未成年人信息、3款应用通过自动化决策进行强制营销。这些行为严重侵犯用户隐私，部分应用的违规收集行为可能导致个人信息流入黑产，引发诈骗风险。
如何防范：
1、个人层面：下载应用优先选择官方正规渠道，安装前仔细阅读隐私政策，拒绝非必要权限授权，对要求开放通讯录、定位、相册等敏感权限的小众应用保持警惕；定期通过手机系统设置查看App权限使用情况，关闭闲置应用的后台权限，及时卸载违规通报的应用；
2、企业层面：严格落实个人信息保护“最小必要”原则，梳理第三方插件/代码的信息收集行为并公示，优化隐私政策的可读性与访问便捷性，完善账号注销、同意撤回等功能，定期开展合规自查；
3、监管层面：持续推进App专项治理，强化应用商店的上架审核与动态监测，对整改不到位的应用依法采取下架、处罚等措施，畅通用户投诉举报渠道。
 

2.2 新型HTML表格二维码钓鱼邮件攻击境内企业，绕过主流安全检测​​

事件日期：2026-01-07
事件概况：
1月上旬，境内多家企业员工收到新型钓鱼邮件，攻击者利用纯HTML表格代码“绘制”二维码替代传统图片二维码，成功绕过主流邮件安全网关的检测。该攻击的技术核心是通过HTML单元格背景色（黑色#000000、白色#FFFFFF）构建45×45像素的二维码矩阵，无任何图像文件或外部资源引用，导致依赖图片识别的安全引擎无法识别。邮件内容简洁，仅含“请扫码确认账户状态”等诱导性文字，二维码指向动态生成的恶意子域名（如companycomA3F9.lidoustoo.click），URL中嵌入收件人邮箱所属组织域名，增强伪装可信度。点击后跳转至钓鱼网站，诱导用户输入账号密码、验证码等敏感信息，已造成部分企业员工信息泄露及少量财产损失。此类攻击最早可追溯至 2025年12月下旬，1月在境内呈现扩散态势，尤其针对金融、制造、互联网行业企业。
如何防范：
1、个人层面：不扫描来源不明邮件中的二维码，即使邮件看似来自 “内部系统”，需通过官方渠道核实；养成“悬停预览”习惯，查看链接真实域名；收到可疑邮件及时向企业IT部门上报，不转发、不点击任何可疑内容；
2、企业层面：升级邮件安全网关，引入基于计算机视觉的HTML渲染分析模块，对包含大量`标签的邮件进行风险评分；阻断新注册低信誉域名的动态子域链接，重点拦截URL中包含收件人组织信息的可疑链接；部署企业级扫码工具，集成安全检测功能，禁止员工使用个人社交App扫描工作邮件中的二维码；
3、技术防护：定期更新邮件客户端及安全软件，开启垃圾邮件过滤功能，对陌生发件人的邮件实施严格审核。
 

2.3 ​​遵义市住建局应急演练暴露政务系统三大典型网络安全风险

事件日期：2026-01-19
事件概况：
遵义市住房和城乡建设局组织全局干部职工及第三方技术单位开展网络安全应急演练，模拟DOS攻击、勒索病毒入侵、SQL注入攻击三类高发场景，检验应急预案可行性与处置流程规范性。演练结果显示，政务系统在实战场景中暴露三大核心风险：一是面对短时高频DOS攻击时，服务器带宽快速被占满，核心业务系统响应延迟超30秒，缺乏智能流量清洗与快速切换机制；二是勒索病毒入侵模拟中，因部分终端未及时安装安全补丁、共享文件夹未设置访问权限，病毒在3分钟内扩散至5台办公终端，加密23个含工程数据、民生服务信息的重要文件；三是SQL注入攻击场景中，某业务子系统因未对用户输入数据进行过滤，攻击者成功获取后台数据库中的公民房产查询记录、企业资质审批信息等敏感数据。此次演练虽未造成实际损失，但反映出部分政务单位在终端防护、权限管理、漏洞修复等方面的薄弱环节。
如何防范：
​​​​1、政务及企业单位：部署抗DDoS设备与智能流量分析系统，建立带宽过载时的业务降级与容灾切换机制；定期对服务器、终端进行安全补丁更新，禁用不必要的共享服务，对重要文件实施加密存储与多副本备份（含离线备份）；
​​2、技术防护：对Web应用部署WAF（Web应用防火墙），开启SQL注入、XSS等攻击的防护规则，对用户输入数据进行严格过滤与校验；
3、管理层面：完善网络安全应急预案，明确事件上报、处置、复盘的全流程责任分工，每季度至少开展1次实战化应急演练；加强员工安全培训，提升对钓鱼邮件、恶意链接的识别能力，规范U盘等移动存储设备的使用。

2.4 淄博警方打掉两个跨境侵犯公民信息犯罪团伙，涉案金额超200万元
​​事件日期：2026-01-26
事件概况：
淄博市公安局周村分局在“冬季守护”专项净网行动中，侦破两起重大侵犯公民个人信息案件。经查，犯罪团伙于2026年1月初通过网络聊天工具招揽客户，接单后从多名上家非法获取公民实名商超会员号、手机号、网络平台账号等各类个人信息，加价转售赚取差价，全程使用虚拟货币结算以规避监管，为电信诈骗、身份冒用等下游犯罪提供数据支持。警方经半个月深度研判，摸清团伙组织架构、人员分工及活动场所，远赴重庆、四川等地实施抓捕，抓获犯罪嫌疑人9名，查实涉案金额达200余万元，目前犯罪嫌疑人已被采取强制措施，案件正在进一步办理中。此类案件凸显公民个人信息黑产的跨境化、隐蔽化特点，犯罪团伙利用虚拟货币匿名性、网络聊天工具加密传输等方式逃避打击，严重威胁群众财产安全和个人隐私。
如何防范：
1、个人层面：不随意在非正规平台填写实名信息，谨慎授权App的信息收集权限，定期注销闲置网络账号，避免个人信息被过度收集；在商超、电商平台注册时，可使用虚拟手机号或二次邮箱，减少真实信息暴露；
2、企业层面：严格落实《网络安全法》《个人信息保护法》要求，建立用户信息安全管理制度，采用加密存储、访问权限管控、操作日志审计等技术措施，防止数据泄露；
3、监管层面：加强网络聊天工具、虚拟货币交易平台的监管，打击非法信息交易产业链，建立公民信息保护举报渠道，推动跨区域、跨境执法协作；
4、公众层面：发现个人信息被泄露或滥用时，及时留存证据并向公安机关报案，配合开展调查取证工作。