来源:北京市竞天公诚律师事务所
发布日期:2025年10月21日
竞天公诚网络安全与数据合规团队
编辑团队:张燕、梁天翔、杨玥祺、刘瑞华、郭芷旋、张沣铭、郭子航、张雪晴、于声、吴倩
资讯速递
一
境内资讯
1. 全国人大常委会会议审议网络安全法修正草案
▲向上滑动阅览
2025年9月8日,网络安全法修正草案首次提请全国人大常委会会议审议。此次修改 重点强化网络安全法律责任,加大对违法行为处罚力度,加强与数据安全法、个人信息保护法、行政处罚法等相关法律有机衔接 ,科学设置 网络 运行安全、网络信息安全 等不同类型违法行为的法律责任。
在完善 不依法履行网络运行安全保护义务行为 的法律责任方面,修正草案区分造成大量数据泄露、关键信息基础设施丧失局部功能等严重情形,以及造成关键信息基础设施丧失主要功能等特别严重情形,参照数据安全法有关规定,提高罚款幅度。在完善 不依法履行违法信息处置义务行为 的法律责任方面,修正草案结合近年来网络信息内容违法行为执法实践,对网络运营者发现网络违法信息未依法采取相应处置措施,或者不按照有关部门的要求采取相应处置措施的行为,完善处置处罚措施;对造成特别严重影响、特别严重后果的违法情形,加大处罚力度。
来源:新华网
2. 国家互联网信息办公室发布《国家网络安全事件报告管理办法》
▲向上滑动阅览
2025年9月15日消息,国家互联网信息办公室发布《国家网络安全事件报告管理办法》(以下简称 《办法》 ),自2025年11月1日起施行。《办法》共十四条,主要对网络安全事件报告适用范围、监管职责、报告主体、报告流程、报告时限、报告内容等提出规范要求。《办法》所称网络安全事件是指由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素,对网络和信息系统或其中的数据和业务应用造成危害,对国家、社会、经济造成负面影响的事件。在中华人民共和国境内建设、运营网络或者通过网络提供服务的网络运营者,在发生网络安全事件时,应当按照本办法的规定进行报告。
《办法》附件《网络安全事件分级指南》将网络安全事件分为特别重大、重大、较大及一般四级。《办法》要求网络运营者在发现或获知涉及本单位的网络安全事件时,应当按照《网络安全事件分级指南》进行研判,属于较大以上网络安全事件的,按规定程序、时限向有关部门报告。此外,网信部门建设12387网络安全事件报告热线电话和网站、邮箱、传真等方式,统一接收网络安全事件报告。
来源:国家互联网信息办公室
3. 国家网信办发布《大型网络平台设立个人信息保护监督委员会规定(征求意见稿)》
▲向上滑动阅览
为指导规范大型网络平台设立、运行个人信息保护监督委员会,国家互联网信息办公室发布《大型网络平台设立个人信息保护监督委员会规定(征求意见稿)》( 《规定》 )并公开征求意见。根据《规定》,个人信息保护监督委员会,是指由大型网络平台服务提供者成立的,主要由外部成员组成的,对大型网络平台个人信息保护情况进行监督的独立机构。 大型网络平台名单将由网信办等以清单形式公布 。《规定》要求外部成员在受聘期间应保持独立性,并具备正常履职的必要条件。
根据《网络数据安全管理条例》第44条规定,大型网络平台服务提供者应当每年度发布 个人信息保护社会责任报告 ,报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。《规定》明确了个人信息保护监督委员会的组织形式、重点监督事项、成员的职责及解聘要求等内容。此外,根据《规定》,个人信息保护负责人应当 每三个月 向监督委员会报告大型网络平台个人信息保护有关情况。监督委员会应当 每年 向所在地省级网信部门报送履行职责情况报告。
来源:国家互联网信息办公室
4. 国家网信办就《未成年人用户数量巨大和对未成年人群体具有显著影响的网络平台服务提供者认定办法》征求意见
▲向上滑动阅览
《未成年人网络保护条例》( 《条例》 )第二十条对未成年人用户数量巨大和对未成年人群体具有显著影响的网络平台提出了特殊义务要求。2025年9月16日,为进一步落实《条例》要求,强化未成年人网络保护,国家网信办会同有关部门起草了《未成年人用户数量巨大和对未成年人群体具有显著影响的网络平台服务提供者认定办法(征求意见稿)》( 《办法》 ),并向社会公开征求意见。
《办法》明确了两类提供者的认定标准/考量因素、认定程序及流程。根据《办法》,国家网信部门等指导设立 认定咨询委员会 承担具体工作。认定咨询委员会拟定认定名单建议稿,国家网信部门会同有关部门综合研究确定最终认定名单并向社会公布。认定工作原则上每3年开展一次,也可在网络平台出现用户数量激增、对未成年人影响显著提升、社会广泛关注等情形时视情启动。
来源:国家互联网信息办公室
5. 商务部等9部门印发《关于促进服务出口的若干政策措施》的通知 促进和规范数据跨境流动
▲向上滑动阅览
2025年9月22日,商务部等9部门发布了《关于促进服务出口的若干政策措施》,其中包含13项具体措施促进服务出口。其中第十一条“促进和规范数据跨境流动”,明确提出:制订重要数据目录,出台更具操作性的 重要数据识别指南 。优化调整和动态更新自由贸易试验区数据出境负面清单,研究探索形成 全国自由贸易试验区数据出境负面清单 。支持具备条件的地区探索跨国公司内部个人信息跨境传输便捷化安排,允许 通过评估或认证的跨国公司内部 自由跨境流动个人信息。在遵守国家网络管理制度前提下,支持相关企业、科研机构更便利地使用网络开展国际贸易和学术研究,参与国际竞争。
来源:中国人民政府网
6. 中国提出《“人工智能+”国际合作倡议》
▲向上滑动阅览
当地时间9月23日,李强总理在纽约联合国总部出席由中方主办的全球发展倡议高级别会议,提出“人工智能+”国际合作倡议。中方倡议各国结合国情,推进“人工智能+”行动,在民生福祉、科技进步、产业应用、文化繁荣、人才培养等方面加强合作,分享最佳实践和解决方案,确保各国普遍受益。
来源:外交部官网
7. 《人工智能服务未成年人伦理规范共识》正式发布
▲向上滑动阅览
2025年9月23日,《人工智能服务未成年人伦理规范共识》(以下简称 《共识》 )在北京文化论坛重要成果专场正式发布。《共识》聚焦人工智能服务未成年人过程中存在的现实风险,从健康优先、内容保障、隐私守护、规则清晰、透明可信、协同共治、伦理先行等七个方面提出行业规范,倡导人工智能服务提供者在产品设计、内容管理、隐私保护、心理健康引导等方面履行社会责任,共同营造安全、健康、可信的数字环境。
来源:中国网络空间安全协会
8. 重庆市发布《中国(重庆)自由贸易试验区数据出境管理清单(负面清单)(2025版)》《中国(重庆)自由贸易试验区数据出境负面清单实施指南(试行)》
▲向上滑动阅览
2025年9月5日,重庆市互联网信息办公室等三部门制定发布了《中国(重庆)自由贸易试验区数据出境负面清单管理办法(试行)》《中国(重庆)自由贸易试验区数据出境管理清单(负面清单)(2025版)》《中国(重庆)自由贸易试验区数据出境负面清单实施指南(试行)》。该《负面清单》聚焦重庆自贸区产业发展和数据处理者实际需求,针对汽车行业,清单覆盖“车辆研发与测试、生产制造、供应链、用户服务”4个业务活动下的重要数据。依据《管理办法》及《实施指南》,使用负面清单开展数据出境活动的数据处理者,应按照所属区域向各自贸板块报告数据出境情况。
来源:重庆市互联网信息办公室
9. 《人工智能安全治理框架》2.0版发布
▲向上滑动阅览
2025年9月15日,在国家网络安全宣传周主论坛上,《人工智能安全治理框架》2.0版(以下简称《框架》2.0版)正式发布。《框架》2.0版结合人工智能技术发展和应用实践,持续跟踪风险变化,完善优化风险分类,研究探索风险分级,动态调整更新防范治理措施。相较于2024年的1.0版本,2.0版本新增人工智能应用衍生安全风险,并细化综合治理措施。在人工智能安全风险分级方面,提出根据“应用场景、智能化水平、应用规模”三类主要分级要素,将风险级别划分为“低、一般、较大、重大、特别重大”五级。
来源:中央网信办
二
境内监管
1. 公安网安部门依法查处迪奥(上海)公司未依法履行个人信息保护义务案
▲向上滑动阅览
2025年9月9日,国家网络安全通报中心通报,公安网安部门针对迪奥(上海)公司未依法履行个人信息保护义务进行依法查处。经查,该公司存在三项违法事实:一是违规向法国迪奥总部传输中国用户个人信息(未通过数据出境安全评估、订立标准合同或通过保护认证);二是未充分告知用户并获取其“单独同意”;三是未对收集的个人信息采取加密、去标识化等安全技术措施。该案警示,跨国企业应当重视数据合规体系本土化建设,依法依规开展数据跨境传输活动,保障中国境内个人信息主体合法权益。
来源:国家网络安全通报中心
2. 网信部门依法查处多家主流平台破坏网络生态案件
▲向上滑动阅览
2025年9月,国家网信办因多家国内主流社交网络平台未落实信息内容管理主体责任,对相关方采取约谈、责令限期改正、警告及从严处理责任人等处罚措施。通报称,相关平台在热搜榜单重点环节频繁呈现多条存在炒作明星琐事、泛娱乐化或扎堆呈现极端敏感不良信息等问题。网信部门将持续督促网站平台履行主体责任和社会责任,切实维护清朗网络空间。
来源:网信中国
3. 国家网信办发布近期网络安全、数据安全、个人信息保护相关执法典型案例
▲向上滑动阅览
2025年9月16日,国家网信办发布了近期网络安全、数据安全和个人信息保护领域的十大执法典型案例,涉及网页篡改、数据泄露、数据窃取、超范围收集个人信息、违法违规收集人脸信息以及涉深度合成服务等新技术新应用未经安全评估上线等问题。涉事企业违反了《网络安全法》《数据安全法》《个人信息保护法》等法律法规,各地网信部门依法对相关企业采取了责令改正、警告、罚款、下架App等处罚措施。
来源:网信中国
4. 公安网安部门依法对某人工智能服务科技有限公司予以行政处罚
▲向上滑动阅览
2025年9月15日,在“护网—2025”专项工作中,公安网安部门发现,某主营业务为对外提供人工智能模型训练基础数据(算料)的科技有限公司,在处理人脸等生物识别类敏感个人信息前,未依法进行个人信息保护影响评估。属地公安机关依据《中华人民共和国个人信息保护法》对该公司的违法行为依法予以行政处罚,并责令其整改。通报提示,产业链相关企业要以案为鉴,切实履行网络安全、数据安全和信息安全责任义务,在采集公民个人信息时及时征得采集对象同意,对外交付数据前开展个人信息保护影响评估及数据出境安全评估,以更高水平的训练数据安全保障人工智能产业高质量发展。
来源:国家网络安全通报中心
5. 公安部公布“护网—2025”专项工作6起行政执法典型案例
▲向上滑动阅览
2025年9月18日,公安部公布了6起不履行网络安全、数据安全和个人信息保护义务的行政执法典型案例。相关案例涉及政务、教育、电商等多个领域,包括:贵州某政务服务系统因未采取技术防护措施被网络攻击案、江苏某短信平台被滥发诈骗短信案、河南某学校系统漏洞致个人信息泄露案、安徽某电商公司旅客信息被批量爬取案、云南某科技公司APP数据泄露案以及上海某跨国公司违规向境外传输个人信息案。公安机关对相关责任单位及人员依法予以行政处罚并责令限期改正。
来源:公安部
6. 北京互联网法院发布涉人工智能纠纷典型案例
▲向上滑动阅览
2025年9月10日,北京互联网法院召开新闻发布会,集中发布了八起涉人工智能纠纷的典型案例,涵盖知识产权侵权、网络侵权责任、网络服务合同等多个案由。发布的八起新型案例,明确了“AI文生图”若具有作品的法律属性则依法受到著作权保护、自然人声音权益可及于AI生成声音、未经权利人许可使用AI合成的名人声音用于“带货”构成侵权委托推广商家应承担连带责任、未经授权对包含他人肖像的视频进行“AI换脸”处理构成对他人个人信息权益的侵害、网络平台利用算法工具检测AI生成内容但未尽到合理适度说明义务的应承担违约责任、利用AI软件恶搞丑化他人肖像构成人格权侵权、具有独创性的虚拟数字人形象构成美术作品、未经同意创造自然人的AI形象构成对人格权的侵害等裁判规则。
来源:北京互联网法院
7. 法院判决特斯拉向“车顶维权女车主”提供完整行车数据
▲向上滑动阅览
2025年9月16日,北京市大兴区人民法院就备受关注的“特斯拉车顶维权”案作出一审判决,责令被告特斯拉汽车销售服务(北京)有限公司和特斯拉(上海)有限公司在判决生效后十日内,向车主张女士提供其车辆在2021年2月21日发生交通事故前半小时的完整行车数据。法院强调,涉事车辆作为智能网联汽车,其行车数据对于分析事故成因至关重要,消费者要求获取此类数据属于知情权范畴,具有合理性和必要性。该判决通过司法实践厘清了智能汽车时代的数据权利问题,为同类纠纷提供了裁判范例。
来源:新京报
8. 青海省互联网信息办公室依法对省内某运输公司存在的不履行网络安全保护义务违法行为进行行政处罚
▲向上滑动阅览
2025年9月9日,青海省互联网信息办公室在日常巡查中发现省内某运输公司因其OA系统存在认证绕过漏洞,导致存储的个人敏感数据暴露于互联网端,存在被查看和复制的泄露风险,该行为违反了《中华人民共和国网络安全法》中关于履行网络安全和数据安全保护义务的规定。省互联网信息办公室对该公司作出责令改正,予以警告的行政处罚。
来源:网信青海
三
境外资讯
1. 美国人工智能公司Anthropic停止向中国公司提供Claude AI服务
▲向上滑动阅览
2025年9月5日,美国人工智能公司Anthropic发布公告《更新对不受支持地区的销售限制》(Updating restrictions of sales to unsupported regions,以下简称“ 公告 ”),宣布立即停止向中国公司提供Claude AI服务。根据公告规定,任何由中国公司直接或间接控股超过50%的实体,无论其实际在何处运营,均被禁止使用Anthropic的服务。
来源:Anthropic官网
2. 欧盟《数据法案》正式实施
▲向上滑动阅览
2025年9月12日,欧盟《关于公平访问和使用数据的统一规则的条例》(Regulation on Harmonized Rules on Fair Access to and Use of Data,简称《数据法案》,以下称“ 法案 ”)正式实施。法案旨在构建一个统一、安全、公平的单一数据市场,推动数字经济发展与数据价值共享。法案针对互联产品数据的 数据访问、数据共享和数据保护 进行了规制,涵盖的数据范围不仅包括个人数据,还包括非个人数据,并根据不同场景分别对相应数据类型予以规制以及管控。
法案赋予互联产品(如智能网联汽车、智能健身设备、联网工业机械等)或相关服务的用户(拥有、租赁或租用此类产品的企业或个人)访问和使用其生成的数据的广泛权利,确保用户可以及时访问和使用该数据,包括与其选择的第三方共享数据。法案设置了数据共享义务,规定数据持有者 有义务 在特定情况下向用户及其选择的第三方提供数据,并确保数据持有者在公平、合理、非歧视的条款和条件下,以透明的方式向欧盟境内的数据接收者提供数据。
根据法案规定, 位于欧盟境外的互联产品制造商和相关服务提供商、数据持有者、数据处理服务提供商,如果向欧盟境内投放产品、提供服务或提供相关数据,则也处于法案的规制范围之内。 目前欧盟已发布与法案相配套的 车辆数据指南 ,重点关注法案第二章范围的数据以及适用的数据访问规则,为汽车利益相关者提供了如何落实法案义务的具体建议。
来源:欧盟官方公报
3. 意大利通过欧盟首部国家层面的人工智能法案
▲向上滑动阅览
2025年9月17日,意大利正式通过了《关于人工智能的规定和政府授权》(Disposizioni e deleghe al Governo in materia di intelligenza artificiale,以下简称“ 法案 ”),成为 首个确立国家级人工智能监管框架的欧盟成员国 。法案以欧盟《人工智能法案》为基础,结合意大利国情提出具体规定。法案第一部分确立了基本原则和目标,强调透明度、以人为本、隐私保护、网络安全等一般原则。法案第二部分对人工智能在医疗卫生、劳动就业、公共管理和司法活动等多个关键领域的使用划定了明确界限,确保人类的监督和决策权。法案指定意大利国家网络安全局(ACN)和意大利数字局(AgID)为人工智能监管机构,由意大利数字化转型部统筹制定和更新国家人工智能战略。法案还明确了人工智能辅助作品的版权保护、国家人工智能战略措施及关于人工智能的刑事责任等内容。
来源:意大利官方公报
4. 巴西颁布《儿童和青少年数字权益保护法》
▲向上滑动阅览
2025年9月17日,巴西总统签署《儿童和青少年数字权益保护法》(Estatuto Digital da Criança e do Adolescente,以下简称“ 法案 ”)。法案适用于所有未成年人可能接触的信息技术产品或服务,旨在将未成年人的保护范围延伸至数字环境。
新法案对数字服务提供商施加了严格的义务,其核心要求包括:(1) 强制年龄验证 :对于包含不适宜或禁止18岁以下人群访问的内容、产品或服务,必须采用可靠且可审计的年龄验证机制。新法案明确禁止仅依靠用户的自我声明(即用户简单勾选“我已满18岁”)作为验证方式。(2) 数据保护与隐私 :法案要求所有产品和服务必须默认采用最高级别的隐私和数据保护设置。禁止利用未成年人的个人数据进行分析画像和定向广告。(3) 家长监督机制 :数字平台必须提供易于使用且有效的家长监督机制,确保监护人能够管理和限制数字服务的使用、访问的内容以及个人数据处理。(4) 内容限制与整治 :法案要求平台采取合理措施阻止未成年人接触暴力、色情、性剥削、鼓励自残、赌博等非法或不当内容。法案将于2026年3月正式生效。
来源:巴西总统府法令官网
5. 新西兰隐私法修正法案正式通过
▲向上滑动阅览
2025年9月22日,新西兰隐私法修正法案正式通过。修订后的隐私法引入了一项新的信息隐私原则(IPP 3A),要求收集个人信息的机构从第三方来源收集个人信息时,必须采取合理措施通知该个人,告知事项包括个人信息收集的事实、目的、预期接收者、机构身份、法律依据以及访问和更正其个人信息的权利。对此要求的例外情况,包括个人事先已知、信息公开可得、法律强制执行等。IPP 3A不适用于2026年5月1日之前收集的个人信息。修正案还包括允许隐私专员对外国隐私法进行评估、将信息更正请求的回复期限设定为20个工作日等内容。
来源:新西兰立法官网
6. 美国加州通过《前沿人工智能透明度法案》
▲向上滑动阅览
2025年9月29日,美国加利福尼亚州正式通过第53号法案《前沿人工智能透明度法案》(Transparency in Frontier Artificial Intelligence Act,以下简称“ 法案 ”)。这项法案是美国首个针对前沿人工智能模型设立透明度和安全报告义务的州法律。
法案为符合条件的前沿人工智能开发者规定了以下义务:(1) 前沿人工智能框架 :开发者需制定并定期公开其人工智能框架,明确如何识别、评估和缓解模型带来的“灾难性风险”。(2) 透明度报告 :在部署新模型或重大修改版本前,开发者必须发布公开报告,披露模型的预期用途、语言、输出形式、风险评估摘要以及第三方参与评估的情况等。(3) 灾难性风险评估与报告 :开发者需每季度向加州应急服务办公室提交内部使用模型导致灾难性风险的评估摘要。(4) 事故报告机制 :开发者或公众可通过指定机制报告严重安全事件(如模型失控、被黑客攻击、造成伤亡等)。一旦发现此类事件,开发者需在发现后15日内报告;若存在紧迫人身危险,则必须在24小时内报告相关公共安全机构。(5) 举报人保护 :法案要求建立匿名内部举报渠道,并严格禁止开发者阻止或报复举报其存在灾难性风险或违反法案行为的员工。
法案规定由加州应急服务办公室负责接收和审查风险评估与事故报告,并发布年度汇总报告;加州总检察长负责执行民事处罚,并处理举报人投诉。违反法案的行为可能面临最高100万美元的民事罚款。
来源:加利福尼亚州立法官网
7. 美国加州隐私保护局最终确定加强消费者隐私保护的法规
▲向上滑动阅览
2025年9月23日,美国加利福尼亚州隐私保护局(CPPA)宣布,加利福尼亚行政法办公室已正式批准加利福尼亚消费者隐私法案(CCPA)的更新,内容涵盖 网络安全审计、风险评估、自动化决策技术 等。新规将于 2026年1月1日 生效,并分阶段实施,核心在于加强企业的问责制和算法透明度。
根据法案规定,企业必须根据收入在2028年4月1日、2029年或2030年4月1日之前 提交网络安全审计认证 :若企业年收入超过1亿美元,则需在2028年4月1日前提交;如果企业年收入在5000万至1亿美元之间,则需在2029年4月1日前提交;如果企业年收入低于5000万美元,则需在2030年4月1日前提交。企业在从事任何可能对消费者隐私构成重大风险的活动之前都必须进行 书面风险评估 ,相关企业需在2028年4月1日前提交已完成所需风险评估的证明和风险评估信息摘要。使用 自动化决策技术 作出重大决策的企业需在2027年1月1日前符合相关要求。
来源:加利福尼亚州隐私保护局
8. 韩国个人信息保护委员会宣布实施修订后的个人信息影响评估标准
▲向上滑动阅览
2025年9月4日,韩国个人信息保护委员会宣布实施修订后的个人信息影响评估标准,新增两个评估领域:
关于 人工智能系统的学习与开发 ,该标准要求审查:处理个人信息是否具有法律依据;是否不必要地包含敏感信息或与儿童相关的数据;是否明确规定了人工智能训练数据的保留和销毁;
关于 人工智能系统的运营和管理 ,该标准包括:明确开发者和运营商之间的责任;为生成式人工智能服务提供可接受使用政策(AUP);制定和实施保护数据主体权利的机制。
来源:韩国个人信息保护委员会官网
9. 欧盟与韩国实现个人数据跨境双向自由流动
▲向上滑动阅览
2025年9月16日,韩国个人信息保护委员会(PIPC)宣布, 承认欧盟个人数据保护框架具备等同效力 。继欧盟委员会于2021年作出关于韩国的充分性决定之后,此次决定的生效,标志着双方建立了涵盖两大司法管辖区的全面自由与安全的个人数据流动空间, 韩国与欧盟之间个人数据双向传输框架正式落地 。
这一创新性的互认充分性安排覆盖私营与公共部门。自2025年9月16日起,韩国国内的企业或公共机构向欧盟及欧洲经济区共30个国家传输员工或客户的个人信息时,将无需再履行征求个人同意等额外法律程序。韩国个人信息保护委员会将持续监督传输至欧盟的个人信息的保护状况。若在欧盟发生个人信息泄露事件,信息主体可直接向当地监管机构请求调查和处置。如遇困难,韩国个人信息保护委员会将通过欧洲执行委员会(EC)或欧洲个人信息保护委员会(EDPB)协助其提出请求并获取处理结果。
来源:欧盟委员会官网
10. 20个国家和地区签署隐私保护人工智能联合声明
▲向上滑动阅览
2025年9月15日至19日,澳大利亚、法国、意大利、英国、韩国等20个国家和地区的数据隐私保护机构代表出席了在韩国首尔举办的第47届全球隐私大会(GPA)。会间,各方签署了《构建可信数据治理框架以推动创新型隐私保护人工智能发展联合声明》(Joint Statement on Building Trustworthy Data Governance Frameworks to Encourage Development of Innovative and Privacy-protective AI,以下简称“ 联合声明 ”),以深化国际交流合作,推动人工智能发展。
签署方一致认为,在人工智能快速发展的背景下,数据和隐私保护机构在数据治理方面扮演着关键角色。联合声明强调了人工智能在各个领域所带来的机遇,同时也指出了数据保护与隐私、歧视与偏见、虚假信息等问题。各方主张在人工智能系统的设计中嵌入数据保护原则,建立稳健的数据治理机制,并提前规划风险管理。各方承诺将共享信息、加强合作、建立数据安全共识、持续监测人工智能的技术和社会影响,在推动创新的同时加强监管。
来源:法国国家信息与自由委员会官网
四
境外监管
1. SHEIN因未遵守cookies法规,被法国CNIL处罚1.5亿欧元罚款
▲向上滑动阅览
2025年9月3日,法国国家信息与自由委员会(CNIL)对SHEIN集团旗下爱尔兰主体运营的服饰在线销售网站“shein.com”进行了检查。该主体在cookies使用方面未能遵守《法国数据保护法》第82条所规定的义务,被处以1.5亿欧元的罚款。
具体违规事项包括: (1)设置cookies前未获取用户同意 。CNIL发现,部分用于广告目的的cookies在未经信息横幅提示或用户同意的情况下,即被植入用户终端设备; (2)告知义务履行不完整 。网站呈现了两个与cookie管理相关的界面,但均未提供完整信息。第一个横幅设有“Cookie设置”“全部拒绝”和“接受”三个按钮,但未包含关于cookies用于广告目的的任何说明;第二个界面仅设有一个“接受”按钮,同样未说明cookies的具体用途; (3)拒绝及撤回同意的机制存在缺陷 。当用户点击“全部拒绝”按钮,或试图撤销已授予的同意时,网站仍会植入新的cookies,并继续读取已存在的cookies。
来源:法国国家信息与自由委员会(CNIL)
2. 美国马萨诸塞州联邦地区法院因Temu涉嫌违反消费者告知法案对其罚款200万美元
▲向上滑动阅览
2025年9月,美国联邦贸易委员会(FTC)对电商平台Temu违反《消费者告知法案》中关于在线市场透明度规定的行为,处以200万美元罚款。该法案要求在线市场清晰披露第三方销售商的身份信息,确保消费者在购物时知晓交易对方。FTC指出,Temu未能充分披露销售商信息,损害了消费者的知情权。
此次执法行动源于FTC对Temu平台合规状况的调查。调查确认,Temu在商品列表页面未明确标识第三方销售商,导致消费者误认为交易直接与Temu进行。此类做法违反了法案关于“在线市场需向消费者披露其交易对象是否为第三方销售商”的核心要求。
来源:美国联邦贸易委员会(FTC)
3. 加利福尼亚州:CPPA因违反CCPA对零售商Tractor Supply罚款135万美元
▲向上滑动阅览
2025年10月1日,加州隐私保护管理局(CPPA)与零售商Tractor Supply达成一项具有标志性意义的执法和解。该公司因违反《加州消费者隐私法案》被处以135万美元罚款,此为CPPA迄今公开的最高金额处罚。
Tractor Supply的具体违规行为包括:未向求职者及消费者告知其隐私权、未要求第三方服务提供商对个人信息提供保护、未向消费者提供便捷的数据销售或共享退出机制。除罚款外,和解令要求Tractor Supply在未来四年内全面落实多项整改措施,包括:强化内部隐私管理制度,设立合规专职岗位,每年对跟踪技术、第三方及合同进行审查,并定期提交技术清单及退出机制更新报告。该案对中小型企业发出明确信号:隐私合规需建立持续治理机制,员工与求职者数据、供应商合同管理及跟踪技术使用均属监管重点。
来源:加州隐私保护管理局(CPPA)
4. 英国信息专员办公室(ICO)就Meta广告模式的变化发表声明:个性化广告不能作为使用服务的前提条件
▲向上滑动阅览
2025年9月26日,英国信息专员办公室(ICO)就Meta公司广告业务合规问题取得实质性监管进展。经过ICO介入,Meta已调整其在英国市场的广告模式,将原本作为服务条款一部分的个性化广告改为明确的用户同意机制。根据新的“同意或付费”模式,英国用户现可在同意接收个性化广告与支付月费享受无广告服务之间自主选择。值得关注的是,在ICO持续交涉下,Meta大幅降低了英国地区的订阅起步价格,最终定价仅为欧盟用户的一半左右。
ICO明确认可Meta此次调整解决了此前不符合英国法律的核心问题,即平台不能将个性化广告作为使用服务的前提条件。监管机构强调,企业必须在商业运营与法律合规之间取得平衡,而在线平台完全可以在遵守英国法律及ICO指南的前提下实现商业目标。ICO同时表示将继续密切关注Meta服务更新的实际推行效果,以及“同意或付费”模式在整个在线市场中的广泛影响,确保消费者选择权得到充分保障。
来源:英国信息专员办公室
5. 英国信息专员办公室(ICO)因Green Spark Energy Ltd违反《隐私与电子通信条例》对其处以罚款处罚
▲向上滑动阅览
2025年9月25日,英国信息专员办公室(ICO)对Green Spark Energy Ltd(下称“ GSE ”)处以25万英镑行政罚款,此前ICO对Green Spark Energy Ltd正式发出执行通知,认定其严重违反《隐私与电子通信条例》(PECR)第19条与第24条规定。
经调查,GSE在2023年5月至2024年5月期间,在未取得用户有效同意的情况下,通过自动呼叫系统发起共计9,587,050次录音式营销呼叫,并因此收到电信偏好服务(TPS)及ICO转来投诉497起。根据PECR第19条,此类自动营销呼叫仅可在已获得用户明确、具体且经主动确认的事先同意后方可进行。GSE未能提供任何有效同意证明,亦未在通话中依规提供自身名称及免费联系方式,违反PECR第24条所规定的告知义务。
ICO据此责令GSE在30日内停止相关违法行为,未来须仅在获得用户有效同意的条件下开展自动呼叫营销,并确保在通信中提供身份与联系方式信息。该案凸显英国监管机构对未经同意实施自动营销行为的严格执法立场。
来源:英国信息专员办公室
6. Garante因未能建立内部传输规程处理健康数据对医院处以80,000欧元的罚款
▲向上滑动阅览
2025年9月25日,意大利数据保护局(Garante)对Azienda Ospedaliero Universitaria Careggi(医院)违反《通用数据保护条例》(GDPR)和《个人数据保护法》的罚款80,000欧元,认定其在处理特殊类别个人数据时违反《通用数据保护条例》(GDPR)多项义务。
调查显示,该医院在通过内部系统传输包含医疗记录、诊断结果及治疗计划等敏感数据时,未采取适当技术与组织措施确保信息安全。具体而言,数据传输过程缺乏基本加密保护与访问控制机制,且未建立系统性审计日志以追踪数据访问情况,导致患者信息长期处于泄露与滥用风险之中。
Garante指出,上述情形构成对GDPR第5条所规定数据安全性与完整性原则的违反,同时未能履行第32条项下实施适当技术及组织措施的义务。尽管医院辩称内部系统具“固有安全性”,监管机构认定其未能展现与数据处理风险相称的保障力度。
来源:意大利数据保护局
7. 因违反GDPR的数据最小化和透明度原则法国老牌百货公司La Samaritaine被CNIL处以10万欧元罚款
▲向上滑动阅览
2025年9月18日,法国国家信息与自由委员会(CNIL)对老牌百货公司La Samaritaine处以10万欧元罚款,理由是其为防范财产损失在营业场所隐蔽安装摄像头,违反《通用数据保护条例》多项规定。
调查显示,La Samaritaine在试衣间入口区域、货架上方及员工工作区等位置设置了多处隐蔽摄像装置,持续进行图像及音频采集。CNIL指出,尽管企业财产防护可作为数据处理的法律依据之一,但本案中监控措施存在明显过度:其一,摄像头位置隐蔽且未向员工及顾客履行告知义务,侵犯数据主体的知情权,违反GDPR第12条与第13条规定的透明度原则;其二,为实现财产防护目的,企业未采取对隐私影响更小的替代方案,也未对音频录制提供充分必要性论证,与数据最小化原则相悖。
CNIL强调,以安全为由实施监控并不免除企业在目的限定与比例原则方面的合规义务。本案再次提示,在部署视频监控系统时,应严格评估其必要性、告知义务履行情况及数据留存期限的合理性。
来源:法国国家信息与自由委员会
数据隐私与网络安全系列专栏往期文章
作者介绍
周律师曾任职于国内著名互联网企业法律合规部,于2014年开始聚焦于网络安全和数据保护领域,受托处理了包括金融、房地产、能源、游戏、电子商务、零售和人工智能在内诸多行业领域的数据合规专项法律服务。
在数十家企业的专项数据合规服务项目中,周律师为客户提供了高效且贴合实际的解决方案,以其专业、勤勉的工作态度,以及其对于新兴业务卓越的理解能力和项目领导能力获得了客户的诸多好评。
在钱伯斯2024和2025年度的大中华区榜单中,客户对周律师的服务态度和服务质量作出了高度评价,“周杨律师非常擅长处理复杂的数据合规事务,有能力对复杂法律问题的长期、跨领域影响进行考虑和规划。”“她拥有很强的专业能力,对行业和监管动态非常敏感”“周杨律师很灵活,从意想不到的角度看待问题,这对我们解决难题非常有帮助”。
目前,周杨律师担任的社会职务包括:中国通信学会第一届网络空间安全战略与法律委员会委员、中国网络空间安全协会人工智能安全治理专业委员会委员、中国法学会会员及中国行为法学会数据要素专班成员、北京市律协数字经济与人工智能领域法律专业委员会委员、北京市朝阳区律师协会科技创新与数字经济研究会委员和中南财经政法大学硕士生校外导师。
周杨律师历史文章
石钛戈律师先后毕业于北京师范大学、对外经济贸易大学和威斯康星大学-麦迪逊分校,分别获得法学学士和两个法学硕士学位。
石律师的主要业务领域包括网络安全与数据合规、投资与并购、私募股权与风险投资、外商直接投资。他在2021年被法律评级机构LEGALBAND列入中国顶级律师排行榜(网络安全与数据合规);在2020年被LEGALBAND评为网络安全与数据保护领域的中国律师15强。
石律师是国内较早涉足云计算这一新兴领域的法律服务的律师之一,他在网络、数据安全及合规方面拥有丰富的经验:他处理了大量涉及网络安全和隐私保护的法律难题,例如跨法域的数据保护的协调,金融企业客户IT外包的监管合规等。石律师还持续为多家知名外资IT企业的云计算产品在华落地提供法律服务。他带领团队在充分熟悉和了解相关产品的特性、服务提供方式、所涉及的数据收集、传输、流动模式的基础上,围绕相关产品的法律合规性、网络安全和数据保护的充分性等议题为客户提供详细的分析和建议。石律师还为多家从事互联网与增值电信业务的企业就数据安全、个人信息保护、数据传输安全评估、网络安全审查、网络等级保护评测合规、关键信息基础设施保护等合规业务提供法律支持,涉及行业包括电子商务、超级计算、人工智能医疗应用、药物研发、生物科技、互联网视听传播、互联网广告、互联网出版、游戏电竞、奢侈品等。
石律师也作为项目负责人为TMT、互联网、生物医药、产业园区、医药研发、能源、教育等行业的客户的投资和并购交易中提供包括从尽职调查、交易架构设计、合同起草和谈判,直至交割的全流程法律服务。
石律师于2007年取得中华人民共和国执业律师资格,2012年取得通过美国纽约州律师执业资格。
石律师的工作语言为中文和英文。
石钛戈律师历史文章
声 明
本资讯内容均来源于网络公开信息,旨在为您提供前沿、及时、凝练的“境内外网络安全与数据合规”月度新闻热点。为方便您快速了解热点,编辑人员对网络公开信息进行了整理和摘要。 本资讯仅作一般参考,并不保证其完整性,不代表专业法律意见,不代表编辑人员立场,亦不代表本公众号观点。
我们为您提供了包含资讯来源链接的完整文档,您可点击文末“ 阅读原文 ”查看。
