月刊主编:杨洪泉、沈飏、施俊侃
01 中国法律观察
立法追踪
New PBoC Data Security Rules
中国人民银行业务领域数据安全管理办法
2025年5月1日,中国人民银行发布了《中国人民银行业务领域数据安全管理办法》,该《办法》将自2025年6月30日起正式实施。《办法》适用于金融机构以及经中国人民银行批准设立或者认定的其他机构,并在业务数据分类分级,全流程业务数据安全管理要求、技术要求以及风险与事件管理方面作出了详细规定。
来源:
http://www.pbc.gov.cn/tiaofasi/144941/144957/5702602/index.html
Government Data Sharing Regulation
政务数据共享条例
2025年5月9日,国务院通过了《政务数据共享条例》,该条例自2025年8月1日起施行。《条例》所称的政务数据指的是政府部门在依法履行职责过程中收集和产生的各类数据,但不包括属于国家秘密、工作秘密的数据。《条例》的制定则旨在推进政务数据在政府部门之间安全有序高效共享利用,提升政府数字化治理能力和政务服务效能,全面建设数字政府。
来源:
https://www.gov.cn/zhengce/content/202506/content_7026294.htm
National Internet ID Service Launching
国家网络身份认证公共服务管理办法
2025年5月19日,公安部、网信办等六部门联合公布了《国家网络身份认证公共服务管理办法》,该《办法》将自2025年7月15日起施行。《办法》明确了网号、网证的自愿使用原则,持有有效法定身份证件的自然人,可以自愿向公共服务平台申领网号、网证;鼓励主管部门按照用户自愿原则推广应用网号、网证,但同时保留、提供现有的或者其他合法方式进行登记、核验身份;鼓励互联网平台接入国家网络身份认证公共服务,但应当保障未使用网号、网证的用户与使用网号、网证的用户享有同等服务。
来源:
https://www.cac.gov.cn/2025-05/23/c_1749711107835487.htm
New Public Security Surveillance Rules in Effect
公共安全视频图像信息系统监督管理工作规定
2025年5月21日,公安部印发了《公共安全视频图像信息系统监督管理工作规定》,《规定》自印发之日起实施。为保障《公共安全视频图像信息系统管理条例》的贯彻实施,《规定》对公共安全视频系统管理单位的备案流程、备案信息要求等作出了详细规定,明确了公安机关对公共安全视频系统建设、使用情况的监督检查内容、方式和响应处理措施,同时强调公安机关应当建立完善公共安全视频系统监督检查工作机制,加强信息共享和协作配合,防止多头检查、重复检查。
来源:
https://www.mps.gov.cn/n6557558/c10093599/content.html
A Q&A on Data Export Policies
2025年5月数据出境安全管理Q&A
2025年5月30日,网信办就数据出境安全管理政策的相关问题作出答复,指出各部门正在制定相关行业、领域的数据分类分级标准规范和重要数据识别申报规则,数据处理者应当按照相关标准规范、申报规则和有关主管部门的要求,及时做好重要数据识别、申报工作。没有发布行业、领域的数据分类分级标准规范和重要数据识别申报规则,数据处理者也没有被有关部门告知应当进行重要数据识别申报的,未识别申报重要数据,未对相关数据进行重点保护,不会被认定为违反重要数据保护相关规定,不会因此受到行政处罚。
来源:
https://www.cac.gov.cn/2025-05/30/c_1750315283722063.htm
Shanghai Lin-gang Special Area Issues Operational Guidelines for Cross-Border Data Transfer
上海市临港区印发数据出境操作指引
2025年5月12日,上海市临港新片区就再保险、国际航运、生物医药3个领域编制《数据出境操作指引》,旨在对《促进和规范数据跨境流动规定》中豁免的典型场景予以细化指引,与负面清单相配套共同解决企业数据跨境合规性问题。目前临港新片区暂未对外公开《指引》全文。
来源:
https://mp.weixin.qq.com/s/Llf3H-PXygisqOMJkEH04A
典型案例
Hainan Network Technology Company Penalised for Data Security Issues
海南某网络科技公司因数据安全问题受罚
2025年5月,海南省网信办经调查发现,海南某网络科技公司存在不履行网络安全义务、数据安全保护义务行为。该公司相关系统未采取技术措施和其他必要措施保障数据安全,存在未授权访问漏洞,造成部分数据泄露,损害了数据安全。因此,海南省网信办依据《中华人民共和国数据安全法》,责令该公司改正,给予警告,并处以人民币五万元罚款的行政处罚。
来源:
https://mp.weixin.qq.com/s/mIo8xENK4QOP1MwhEBMz6g
官方通告
CAC Announcement on Facial Recognition Technology Filings
关于开展人脸识别技术应用备案工作的公告
2025年5月28日,国家网信办就开展人脸识别技术应用备案工作有关事项发布公告。自2025年6月1日起,应用人脸识别技术处理的人脸信息存储数量达到10万人的,应当自数量达到之日起30个工作日内履行备案手续。之前已经达到10万人的,应当在今年7月14日前履行备案手续。备案信息发生实质性变更的,应当在变更之日起30个工作日内办理备案变更手续。
来源:
https://www.cac.gov.cn/2025-05/30/c_1750315544241157.htm
CAC Notice on “Doxxing”
网信办进一步加强“开盒”问题整治工作
2025年5月27日,国家网信办印发通知,从多维度明确了“开盒”问题整治工作要求,并召开专题部署会督促社交媒体类重点网站平台予以落实。此前,网信部门已采取了相关行动清理涉“开盒”违法违规信息,处置相关账号群组,处罚相关网站平台。下一步举措,将全力阻断违法传播个人信息、泄露公民隐私的渠道,对利用个人信息开展违法犯罪活动的行为加大打击力度。
来源:
https://www.cac.gov.cn/2025-05/27/c_1749968642745140.htm
CAC to Strengthen Governance of Information Recommendation Algorithms
网信办持续加强信息推荐算法治理
2025年5月22日,国家网信办发布通知称将持续加强信息推荐算法治理工作。目前,针对算法推荐低俗信息、加剧“信息茧房”等问题,网信办已督促指导重点平台针对性优化信息推荐算法功能、调整信息推荐算法规则。重点平台积极响应,完善算法推荐内容审核,开设专门网站、频道或账号集中公开算法规则原理,同时创设新功能以完善用户兴趣偏好管理服务,提升算法推荐内容多样性。网信办表示,算法治理是一项长期性、系统性工程,将持续开展巡查,督导平台优化算法运行机制,切实维护网民合法权益。
来源:
https://www.cac.gov.cn/2025-05/22/c_1749536203490537.htm
02 出海法律观察
聚焦欧洲
欧洲数据保护机构支持简化GDPR记录保存义务
2025年5月8日,欧洲数据保护委员会(EDPB)与欧洲数据保护监督机构(EDPS)针欧盟委员会关于简化GDPR中记录保存义务的提议发布联合信函。EDPB和EDPS表示,在当前阶段不影响数据控制者和处理者履行GDPR下其他义务的责任,可初步支持这一简化举措。同时,他们也请求欧盟委员会更充分地评估此项变更对相关组织的影响,审查提案是否在保护个人数据与员工少于500人的组织利益之间实现了适当的平衡。
来源:
https://www.edpb.europa.eu/news/news/2025/simplification-record-keeping-obligation-edpb-and-edps-adopt-letter-eu-commission_en
欧盟委员会发布《数字服务法案》未成年人在线保护指南草案
2025年5月13日,欧盟委员会发布了《数字服务法案》(DSA)下关于未成年人在线保护的指南草案,并向公众征集意见,截止日期为6月10日,最终版本预计将于2025年夏天正式发布。该草案将适用于除超小型企业之外的所有向未成年人开放的平台,旨在促使平台在服务设计中优先考虑未成年人的隐私、安全与心理健康。草案涵盖的具体要求包括平台应实施有效的年龄验证机制,调整推荐算法以避免向未成年人推送有害内容,将未成年用户的账户默认设置为私密状态,并设立适合儿童使用的举报和支持渠道。
来源:
https://digital-strategy.ec.europa.eu/en/news/commission-publishes-draft-guidelines-protection-minors-online-under-digital-services-act?sessionid=1427222188
欧盟委员会拟简化中小企业的GDPR合规义务
2025年5月21日,欧盟委员会发布了一项单一市场简化提案,旨在降低企业的合规成本、提高欧盟规则和法规的清晰度和一致性。根据当前欧盟的规则,当中小企业(SMEs)员工超过250人时,合规义务将急剧增加。为保证中小企业的竞争力及增长机会,欧洲委员会拟将员工人数不超过750人,营业额不超过1.5亿欧元或总资产不超过1.29亿欧元的公司定义为“中型企业(SMCs)”,并拟针对性修改SMEs与SMCs的GDPR合规义务,比如GDPR第30条中免于记录的条件将从雇员少于250人放宽至少于750人,同时仅在处理活动可能产生“高风险”时才需留存记录。
来源:
https://commission.europa.eu/law/law-topic/data-protection_en
欧盟委员会就利用数据发展人工智能公开征求意见
2025年5月23日,欧盟委员会启动关于数据如何支持人工智能发展的公开征询,涵盖数据规则简化和国际数据流动,以为即将发布的“数据联盟战略”(Data Union Strategy)征求各方意见。数据联盟战略旨在建设高质量、互操作和多样化的数据集,确保政策、基础设施与法律工具之间协调一致,推动可信跨境数据流、共建“行业数据空间”,并与AI生态系统紧密衔接。欧盟委员会主席冯德莱恩将其视为促进欧洲成为“AI大陆”目标的关键举措之一,鼓励学术界、研究机构和企业在7月18日前提交反馈。
来源:
https://digital-strategy.ec.europa.eu/en/news/commission-seeks-views-use-data-develop-artificial-intelligence
TikTok因数据传输违规被罚款5.3亿欧元
2025年5月2日,爱尔兰数据保护委员会DPC发布裁决,认定TikTok存在涉及跨境数据传输及透明度义务的严重违规行为。DPC经调查发现,TikTok允许其中国员工远程访问欧洲经济区EEA用户的个人数据,但未能充分确保在中国的数据处理活动能提供与GDPR相当的保护标准,亦未与接收方建立具有法律约束力的传输机制。DPC认为这种未经适当保障的跨境传输存在较高的数据被获取风险,违反了第46条规定。在透明度方面,DPC认为TikTok于2021年适用的隐私政策未向用户清晰披露其数据可能被传输至中国,也未说明这种传输存在的法律与制度风险,亦未说明TikTok是否采取了有效的保障措施,这违反了第13(1)(f)条项下的透明度义。因此,DPC决定对TikTok处以针对第46条的4.85亿欧元罚款,以及针对第13条透明度义务的4500万欧元罚款,并要求其在六个月内采取整改措施,若未完成整改,TikTok将面临被中止跨境传输的风险。TikTok对裁决结果表示异议,称其已采取了包括“Clover项目”在内的合规技术措施,并计划提出上诉。
来源:
https://www.dataprotection.ie/en/news-media/latest-news/irish-data-protection-commission-fines-tiktok-eu530-million-and-orders-corrective-measures-following
TikTok被初步认定违反《数字服务法》
2025年5月14日,欧盟委员会布初步结论,认为TikTok的广告库未能符合《数字服务法案》(DSA)对平台透明度的要求,没有充分披露广告内容、定向投放标准和赞助方信息,同时搜索功能不完善,限制了公众的有效查阅与监督。
如果最终被认定违规,TikTok可能面临最高相当于全球年营业额6%的罚款,并可能被纳入更严格的监管程序。此次调查是欧盟对TikTok广泛合规审查的一部分,聚焦于算法风险、青少年保护以及选举信息的透明性等问题。目前,TikTok有机会就初步结论作出回应。
来源:
https://ec.europa.eu/commission/presscorner/api/files/document/print/en/ip_25_1223/IP_25_1223_EN.pdf
美国Luka公司因数据处理违规被处以500万欧元罚款
2025年5月19日,聊天机器人服务Replika的运营方美国公司Luka,因违反GDPR规定被意大利数据保护机构Garante处以500万欧元行政罚款。此次处罚基于Garante于2023年2月对该Replika下达封锁命令时指出的多项违规行为,包括Luka公司未能识别其通过Replika实施的数据处理操作的合法依据,且所提供的隐私政策在多个方面内容不充分,未能满足GDPR的基本透明度要求。此外,Garante指出,尽管Luka公司宣称不面向未成年人提供服务,但其在注册及使用过程中并未设置任何年龄验证机制。基于此,除了罚款,Garante还要求Luka公司全面调整数据处理活动使其符合法规要求。与此同时,Garante正式发函启动新一轮调查,要求Luka沟通四提供其在整个生成式人工智能系统生命周期内的数据处理信息,包括模型开发与训练阶段的风险评估、数据保护措施、处理的数据类别,以及是否采取匿名化或假名化技术等内容。
来源:
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10132048#english
北美观察
美国商务部(DOC)撤销拜登时代人工智能扩散规则并加强芯片相关出口管制
2025年5月13日,美国商务部(DOC)启动撤销拜登政府的人工智能扩散规则,并宣布采取额外措施加强全球半导体出口管制。该人工智能扩散规则于2025年1月15日发布,原定于2025年5月15日生效,但DOC认为新规则会抑制美国创新,给企业带来繁重监管负担,还会损害美国与数十个国家的外交关系,据此美国商务部工业与安全局(BIS)计划发布联邦公报通知正式撤销该规则,并将在未来发布替代规则。除撤销规则外,BIS还宣布采取行动加强海外人工智能芯片的出口管制,包括发布指引提醒行业使用中国先进计算集成电路的风险、警告公众允许美国AI芯片用于中国AI模型训练和推理的潜在后果,以及指导美国公司防范供应链被转移。
来源:
https://www.bis.gov/press-release/department-commerce-rescinds-biden-era-artificial-intelligence-diffusion-rule-strengthens-chip-related
美国加州隐私保护局对Todd Snyder公司处以345,178美元罚款
2025年5月6日,因Todd Snyder公司违反《加州消费者隐私法案》(CCPA),美国加州隐私保护局CPPA决定对其处以345,178美元罚款。CPPA经调查发现,在2023年11月1日至2024年12月31日期间,Todd Snyder公司在其网站上安装了第三方跟踪软件,并将收集到的个人信息出售给广告网络用于跨场景行为广告。虽然该公司告知用户可以通过网站底部的“Cookie偏好中心”退出基于设备的信息共享或出售,但用户实际上无法完成退出操作。此外,根据CCPA规定,用户在行权拒绝“出售或共享个人信息”时无需验证其身份,但Todd Snyder公司仍要求消费者在提交退出出售或共享请求时提供验证信息,且要求提供的验证信息已超出了必要的范围。因此,除了罚款以外,CPPA还要求Todd Snyder公司采取纠正措施,以保证消费者能根据CCPA要求享有相应的用户权利。
来源:
https://cppa.ca.gov/pdf/20250501_snyder_order.pdf
美国德州要求多家中国企业进行隐私保护整改
2025年5月6日,美国德克萨斯州总检察长(AG)Ken Paxton依据《德州数据隐私与安全法》(TDPSA),向TP-Link、阿里巴巴、CapCut等多家中国公司发出正式通知,认为其涉嫌侵犯德州居民的隐私权。根据TDPSA规定,前述企业需在接到通知后30日内采取整改措施以满足德州对消费者数据保护的更高要求,包括必须披露是否处理消费者数据,允许消费者选择退出数据收集,并为消费者提供完全删除其个人数据的途径,如果公司在限期内未能完成整改,将有可能面临民事诉讼和强制禁令。
来源:
https://www.texasattorneygeneral.gov/es/news/releases/procurador-general-ken-paxton-toma-accion-legal-contra-empresas-chinas-que-violan-los-derechos-de
洞悉亚太
日本通过《促进人工智能相关技术研发及利用法案》
2025年5月28日,日本参议院以多数票通过《促进人工智能相关技术研发及利用法案》,该法案随后于6月4日公布为法律第53号,标志日本首部集中规范人工智能技术的国家级立法正式成立。该法案旨在将AI纳入国家战略框架,设立由首相领导的“人工智能战略本部”,统一负责制定国家AI基本计划并推动公共领域AI应用,以提升行政效率与公共服务质量;特别强调研发与利用过程中的透明性与风险防控,规定政府应开展人工智能相关的伦理审查、安全评估与滥用调查,建立算法偏见治理机制,并对包括深度伪造(deepfake)在内的潜在滥用场景制定应对措施。此外,法案还提出建立适当的法律责任框架,确保因AI引发的事故或损害能够依法追责,并为后续政策制定提供基础。
来源:
https://www.sangiin.go.jp/japanese/joho1/kousei/gian/217/meisai/m217080217029.htm
韩国PIPC对跨境电商平台Temu处以13.69亿韩元
2025年5月14日,韩国个人信息保护委员会PIPC决定,对跨境电商平台Temu的两家运营公司Whaleco Technology Limited、Elementary Innovation Pte. Ltd.违反韩国个人信息保护法的行为处以合计13.69亿韩元罚款,并责令其针对韩国用户数据处理行为进行限期整改。
经PIPC调查确认,两公司主要违规行为包括:
1. 未披露跨境数据转移情况:Temu将韩国用户信息传输至中国、新加坡、日本等地,却未在隐私政策中披露数据接收方、目的、类别等内容,也未依法指定在韩代表机构。
2. 阻碍用户权利行使:用户在申请账户注销、删除数据或撤回同意时面临繁琐流程,且Temu未建立有效的内部控制机制对受托方进行监督。
3. 非法收集敏感信息:Temu在招募韩国当地卖家时,收集了相关用户身份证号码、面部照片等敏感身份信息,但未说明其处理目的或取得用户的明示同意。
据此,PIPC对Whaleco Technology Limited处以8.79亿韩元罚款及额外1760万韩元的“警告性罚款”,对Elementary Innovation Pte. Ltd.处以4.9亿韩元罚款。此外,PIPC责令两公司补充隐私政策、披露跨境处理详情、简化用户注销流程,并加强对受托方的管理。
PIPC表示将持续关注中国平台在韩的数据处理合规情况,并同步发布了中文版《外国经营者个人信息保护法适用指南》。
来源:
https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=11200#LINK
《外国经营者个人信息保护法适用指南》:https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=G010030000&nttId=10059#LINK
环球拾遗
肯尼亚高等法院裁定Worldcoin违法处理生物识别数据
2025年5月5日,肯尼亚高等法院裁定,与Worldcoin相关的机构在未进行有效的数据保护影响评估、未获得合法同意、且未依法注册为数据控制者或处理者的情况下收集并传输生物识别数据,已违反当地的《数据保护法》。因此法院禁止相关机构在肯尼亚境内继续处理生物识别数据,并要求其在七天内删除此前收集的全部相关数据。法院表示,只有在完全符合《数据保护法》要求的前提下,相关数据处理活动方可恢复。
来源:
https://x.com/ICJKenya/status/1919365505141383239
月刊概览
往期推荐
点击“阅读原文”查看月刊全部内容。
声 明
文章仅代表作者观点,不视为安杰世泽律师事务所正式法律意见或建议。如需转载或引用请注明出处。如有任何问题,欢迎与本所联系。
