1. 国务院发布《公共安全视频图像信息系统管理条例》

来源：国务院

2月14日，国家网信办公布《个人信息保护合规审计管理办法》（“《办法》”）。根据《办法》，个人信息保护合规审计（“个保审计”），是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。《办法》明确要求“处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息处理者的个人信息保护合规审计工作。”

根据《个人信息保护法》有关规定，个保审计可分为自主审计和强制审计两类。对于个人信息处理者开展的自主审计，《办法》以个人信息处理规模（1000万人）及审计频次（每两年一次）为触发条件，这使得未满足触发条件的企业可以灵活确定审计频率，减轻企业合规负担。对于强制审计，《办法》明确，履行个人信息保护职责的部门履行职责过程中，发现个人信息处理者有“（1）个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的；（2）个人信息处理活动可能侵害众多个人的权益的；（3）发生个人信息安全事件，导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。”情形之一的，可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计。《办法》同时对专业机构受托开展个人信息保护合规审计活动作出了具体规定。《办法》自5月1日起施行。

2月8日，国家互联网信息办公室发布《互联网军事信息传播管理办法》（“《办法》”），旨在规范互联网军事信息传播活动。互联网军事信息，是指互联网信息服务提供者和用户制作、复制、发布、传播的涉及国防和军队的文字、图片、音视频等信息。凡是向社会公众提供互联网军事信息服务的主体，都将受到《办法》规制。《办法》共5章30条，适用于在中华人民共和国境内从事互联网军事信息传播活动，开办互联网军事网站平台、网站平台军事栏目、军事账号等，以及对互联网军事信息传播实施监督管理。

《办法》提出建立互联网军事信息传播管理工作协调机制，依法实施监督管理。《办法》第二章“开办规范”，明确了军事网站平台（及栏目、账号等）的开办要求、编辑机构和专业人员配备、军事账号认定条件、网站平台对申请开办军事账号的用户的身份核验、军事账号的冠名限制等内容；第三章“信息传播”规定了互联网军事信息的“正面清单”、“负面清单”、“保密清单”，要求加强军队人员等的信息保护，并对使用涉军属性传播军事信息及使用互联网新技术新应用传播军事信息作出相关禁止性规定，规范各类主体的军事新闻信息转载活动，并要求互联网军事信息服务提供者加强涉军信息监测管理。《办法》已于3月1日起生效施行。

为进一步摸清全国数据资源底数和发展趋势，国家数据局综合司、公安部办公厅于2月21日联合印发《全国数据资源统计调查制度》，有效期3年。该制度的调查对象包括合法拥有或控制数据的国家行政机关、事业单位、企业（包括央企、部分银行金融机构、数据交易机构、符合条件的数据服务方和数据应用方）、社会团体（如重点行业协会商会）等。报告期别为年报，各被调查对象需于次年2月28日完成报送。

该制度的调查内容覆盖数据生产、存储、计算、流通、应用和安全等数据资源指标。调查数据资源，按类型可分为公共数据、科学数据和企业数据。按照《制度》安排，公安部负责全国数据安全情况统计报送工作，国家金融监督管理总局负责金融行业（证券业除外）数据资源的统计报送工作，其余则统一由国家数据局负责。统计调查结果与国家统计局、公安部、金融监管总局等部门依据相关法律规定实现共享。届时通过发布《全国数据资源调查报告》向社会公布有关数据。

2月15日，国家发展改革委等部门印发《关于开展物流数据开放互联试点工作的通知》。根据《通知》，国家发展改革委、国家数据局会同中央网信办、交通运输部、海关总署、国家铁路局、中国民航局、中国国家铁路集团有限公司，联合开展物流数据开放互联试点工作。《通知》选取天津、唐山、宁波等16个城市，围绕“多式联运数据开放互联”、“制造业、商贸业与物流业数据融合应用”、“国际物流数据综合服务”、“国家物流枢纽间数据互联共享”四大主要任务，开展物流数据开放互联试点工作。

本次试点工作，着力打通政府部门、相关企业及港口、公路、铁路、航空等业务系统数据，创新物流数据交互模式和解决方案，打造一批有代表性的示范项目，探索建立公益性和市场化有机结合的多层次物流数据开放互联机制，建立健全物流数据分类及交换应用标准规范，形成物流公共数据共享开放清单，在全国范围推广应用，促进物流资源优化配置，推动有效降低全社会物流成本。

《公共数据资源登记管理暂行办法》于3月1日生效，国家公共数据资源登记平台（网址：https://sjdj.nda.gov.cn/userHome）也于3月1日正式上线试运行。平台建设遵循“统一标准，两级架构”的理念。国家数据局制订统一的登记技术和业务标准，负责建设国家登记平台，确保与各省级平台对接，实现登记信息互联互通和统一赋码。同时，各省级数据管理部门牵头建设省级登记平台。登记主体按照属地原则，到相应登记平台进行资源登记。国家数据局陈荣辉表示，登记平台不仅是公共数据资源的管理系统，也是信息披露和资源发现的窗口，目标在今年年内建成职责明确、分工负责、运转有序的全国公共数据资源登记体系。

2月8日，上海市网信办等五部门发布《中国（上海）自由贸易试验区及临港新片区数据出境负面清单管理办法（试行）》《中国（上海）自由贸易试验区及临港新片区数据出境管理清单（负面清单）（2024版）》。其中，《管理办法》适用于在上海自贸试验区及临港新片区内注册且在上海自贸试验区及临港新片区内开展数据出境活动的数据处理者。使用负面清单开展数据出境活动的数据处理者，应按照所属区域及时向上海自贸试验区管委会、临港新片区管委会报告数据出境情况，包括但不限于数据出境业务场景、出境数据目录、出境数据规模、境外接收方等情况。其他自贸区正式发布的数据出境负面清单，上海自贸试验区及临港新片区可参照执行。

《负面清单》则综合考虑行业主管监管部门要求、数据分类分级规则、数据敏感程度等因素，首批制定涵盖金融（再保险）、航运（国际航运）和商贸（零售与餐饮业、住宿业）3个关键领域，包括重要数据、个人信息2类数据，涉及6个具体场景，84个数据项。相较于《促进和规范数据跨境流动规定》，《负面清单》在个人信息量级进行了突破，在风险可控前提下，有效降低企业数据出境合规成本。为推动负面清单落地，上海自贸试验区五大片区同时设立数据跨境服务中心，提供专业咨询和辅导。同时出台服务指南，进一步向企业明确适用范围、报备流程及方式、注意事项等。

2月20日，《海南自由贸易港数据出境管理清单（负面清单）（2024年版）》正式发布。负面清单按照“急用先行、小步快跑”原则，聚焦服务深海、种业、航天等未来产业和旅游、免税商品零售业务等特色产业的发展需求，涵盖14个具体业务场景，针对每个场景详细规定了数据子类、基本特征与描述，同时明确了适用范围、数据定义和管理要求，构建了从资源勘探、科研监测到经营管理的全方位数据治理体系。

2月5日，北京市政务服务和数据管理局发布《关于加快北京市公共数据资源开发利用的实施意见（征求意见稿）》（简称“《实施意见（征求意见稿）》”）。《实施意见（征求意见稿）》提出两阶段发展目标，即到2025年底，基本建立公共数据共享、开放、登记等制度规则。到2030年，公共数据开发利用体系更加成熟。

《实施意见（征求意见稿）》提出，一是夯实公共数据开发利用基础，包括完善公共数据目录、提升公共数据质量、开展公共数据登记等；二是畅通公共数据开发利用渠道，包括高效开展公共数据共享、有序推动公共数据开放、规范管理公共数据授权运营；三是加强公共数据开发利用服务能力，包括充分利用价格政策维护公共利益、强化监督管理、布局新型数据基础设施；四是释放数据要素市场创新活力，包括丰富数据应用场景、加强央地协同和区域合作发展、促进公共数据产品流通交易、繁荣数据产业发展生态；五是统筹发展和安全，加大创新激励、强化安全管理、鼓励先行先试；六是健全公共数据保障体系，包括加强组织领导、加强资金保障、增强支撑能力、加强评价监督。

2月11日，上海高院、上海证监局共同签署《推动资本市场高质量发展助力上海国际金融中心建设合作备忘录》（“《备忘录》”），出台10项机制26条举措。《备忘录》将共建数据互联互通机制作为重点内容，要求进一步探索打破“数据壁垒”，实现金融司法数据与金融监管执法数据的互联互通，扩大联动范围：司法执行方面，探索证券期货领域刑事案件中司法保全与行政监管中行政保全相衔接新模式，加强信息公开答复、行政监管执法等领域中的疑难问题研究，优化证券机构协助法院查冻扣划机制；风险防范方面，将充分发挥上海法院金融纠纷风险预警平台作用，构建资本市场金融测试案例和资本市场违法违规线索发现和移送机制。未来将以共建数据互联互通机制作为重点，进一步实现金融司法数据与金融监管执法数据的互联互通；继续研究探索支持资本市场监管治理新场景，优化数据共享通道和查询。

2月14日，重庆市发布《重庆市数字化城市运行和治理中心建设运行管理暂行办法》，旨在规范数字化城市运行和治理中心建设运行，运用数字技术赋能超大城市现代化治理。《办法》明确了数字化城市运行和治理中心的总体框架和功能定位，强调市、区县（自治县）、乡镇（街道）三级治理中心的协同作用。市级中心定位为城市大脑，区县级中心为实战枢纽，乡镇（街道）级中心为执行末端，共同支撑数字化应用的集约建设、互联互通和协同联动。

2月17日，江苏省数据局发布《江苏省公共数据资源登记管理规范（试行）（征求意见稿）》。该征求意见稿沿用2025年1月22日公布的《江苏省数据条例》中对公共数据资源的定义，即“本省国家机关、法律法规授权的具有管理公共事务职能的组织和教育、医疗、供水、供电、供气、通信、交通运输、文化旅游、体育、环境保护等公共企事业单位依法履行职责或者提供公共服务过程中产生的具有利用价值的数据集合，以及中央国家机关派驻本省的机关或者派出机构根据本省应用需求提供的具有利用价值的数据集合。”可以看到，相较于国家发改委、国家数据局印发的《公共数据资源登记管理暂行办法》（“《暂行办法》”）对公用企业的有限列举（“供水、供气、供热、供电、公共交通”），江苏省地方政策对公用企业的范围进行了一定程度上的扩张。按照征求意见稿，根据工作职责直接持有或管理公共数据资源的单位，应按照“申请、受理、形式审核、公示、赋码”等程序，通过省公共数据资源登记系统，对纳入授权运营范围的公共数据资源进行登记。

2025年2月21日，中央网信办在贵州贵阳召开全国网络法治工作会议，总结2024年网络法治建设成效，部署2025年重点任务。会议强调，2025年是“十四五”规划和法治领域“一规划两纲要”收官之年，网络法治工作要强化网络法治统筹协调，起草发布中国网络法治发展年度报告；完善网络法律规范体系，加强网信领域党内法规建设；提升网信法治政府建设水平，加快完善行政裁量权基准制度；突出法治内容供给、加强网络法治宣传；积极参与网络空间国际规则制定、拓展涉外法治合作；夯实体系能力建设，加强研究支撑。会议举行了首批国家互联网信息办公室网络立法联系点授牌仪式，表彰了2024年度网络法治宣传成绩突出的单位和个人。

2025年2月25日，国家网信办通报2024年执法情况：2024年，全国网信系统依法对11159家网站平台予以约谈，对4046家网站平台实施警告或罚款处罚，责令585家网站暂停有关功能或信息更新，下架移动应用程序200款，处置小程序40款，会同电信主管部门取消违法网站许可或备案、关闭违法网站10946家，督促相关网站平台落实主体责任，依法依约关闭账号107802个。

全国网信系统持续推进依法治网，聚焦打击侵害未成年人身心健康、网络暴力、扰乱传播秩序、破坏网络生态等违法违规行为；深入推进网络安全、数据安全、个人信息保护等领域执法，不断健全制度机制、完善工作流程、加大执法力度，筑牢网络空间安全屏障。国家网信办加强全国全网执法统筹，着力推进网络执法监督检查，切实维护网络空间清朗。

2025年2月19日国家网信办消息，针对App未公开收集使用规则、未按法律规定提供删除或更正个人信息功能等问题，国家网信办依据《个人信息保护法》《网络数据安全管理条例》《App违法违规收集使用个人信息行为认定方法》等法律法规，依法查处了82款违法违规App（含小程序）。经查，4款App因未公开收集使用规则，违反相关法律法规，依法予以下架处置；78款App因未按法律规定提供删除或更正个人信息功能，依法责令限期1个月完成整改，逾期未完成整改的，依法予以下架处置。

2025年2月21日，国家网信办发布2025年“清朗”系列专项行动整治重点。“清朗”系列专项行动将继续深化治理，重点整治八类问题：一是整治春节网络环境，打击极端对立、不实信息、低俗内容等；二是整治“自媒体”发布不实信息，规范重点领域信息内容传播；三是整治短视频恶意营销，治理虚假摆拍、炒作争议话题等；四是整治AI技术滥用乱象，强化合成内容标识，打击虚假信息与网络水军；五是整治涉企网络“黑嘴”，处置恶意抹黑企业、虚假测评等行为，优化营商网络环境；六是整治暑期未成年人网络环境，净化儿童智能设备、未成年人模式等内容；七是整治网络直播打赏乱象，整治诱导未成年人打赏、低俗内容刺激打赏等问题；八是整治恶意挑动负面情绪，严查炒作不实信息、渲染恐慌焦虑的违规营销号。

2025年2月11日，最高人民法院发布6起依法惩治利用网络敲诈勒索犯罪的典型案例。本次发布的案例涉及网络造谣、恶意索赔、曝光企业“黑料”后寻求“商务合作”、借“裸聊”实施威胁等多种新型犯罪手段。最高院表示，虽然手段升级，但该等案例本质上仍是以非法占有为目的，采取威胁、要挟手段迫使他人基于心理强制交付财物，对于依照刑法第二百七十四条规定构成敲诈勒索罪的，人民法院坚决依法从严惩处。针对跨境“裸聊”等网络敲诈勒索犯罪呈现出的团伙化、链条化、国际化特征，人民法院在审理时，应坚持全面准确贯彻宽严相济的刑事政策，重点惩处团伙犯罪中的组织者、策划者和骨干成员，同时对具有从轻情节的从犯依法从宽处理。

2025年2月17日，最高人民法院发布了6件企业名誉权司法保护典型案例，依法加强企业信用环境建设，维护公平竞争的市场秩序。此次发布的案例涉及房地产、自媒体、征信机构、网络测评等多个行业，包括自媒体运营者恶意抹黑企业案、传媒公司散布不实信息损害企业声誉案、征信机构错误关联企业信息案、企业创始人名誉受损案、虚假测评文章侵害企业名誉案以及企业紧急申请行为保全防止名誉受损扩大案等。最高人民法院指出，企业名誉是市场竞争中的重要无形资产，任何基于流量经济的恶意抹黑、虚假传播行为都将受到法律的严肃惩治。

2025年2月13日，最高人民法院发布了人民法院案例库入库参考案例《李某侮辱、传播淫秽物品案（入库编号：2024-04-1-196-001）》，明确了在信息网络上传播可识别真实身份淫秽物品行为的定性及追诉程序适用规则，为司法实践中类案裁判提供指导。

该案例的裁判要旨之一，系明确了传播淫秽物品罪与侮辱罪的界分原则。该案中，被告人李某传播的淫秽视频中，有些未能识别特定自然人身份，依法认定为传播淫秽物品罪；而其未经被害人美某某同意，传播可识别美某某身份的私密淫秽视频，则应当择重罪以侮辱罪定罪处罚，以充分保护被害人合法权益；裁判要旨之二，强调了网络侮辱案件的公诉标准。根据《刑法》及相关司法解释，侮辱罪原则上属于告诉才处理的案件，但若行为“严重危害社会秩序和国家利益”，则可以适用公诉程序。本案中，李某的行为犯罪动机卑劣，传播的信息易被反复转载，难以彻底删除，严重损害被害人及其亲属的正常生活，法院据此认定该行为属于“严重危害社会秩序”的情形，依法适用公诉程序。

2月26日，上海市网信办依法约谈一批在沪App运营者，针对国家网信办2月19日公开发布的《国家网信办依法集中查处一批侵害个人信息权益的违法违规App》通报中指出的“无用户账号注销功能、未提供有效的用户账号注销功能、为用户账号注销设置不合理条件”等问题，提出整改指导意见，要求企业立即整改。上海市网信办表示，将持续推进“亮剑浦江·2025”消费领域个人信息权益保护专项执法行动，聚焦保护“个人信息删除权”，对屡教不改者依法处罚。

2024年2月6日，上海高院发布10件上海法院服务保障数字经济发展第二批典型案例。此次发布的典型案例旨在为全市法院审判工作提供参考和指引，促进数字经济健康持续发展。10件案例所涉及的主题包括：网络社交平台账号管理与个人信息保护、个人信息“共同处理者”的责任认定、数据处理行为的合理性界定、涉短视频创作的复合型互联网侵权行为、互联网不正当竞争中商业道德的司法认定、存在依附关系的平台经营者和服务提供者之间的竞争行为正当性判断、电商平台协助消费者维权义务的履行标准、数字平台投保模式下保险人提示和明确说明义务的履行标准、游戏宣传推广中的不正当竞争行为及算法推荐的责任认定、专门用于侵入计算机信息系统的程序及提供行为的审查认定。

2025年2月20日，广州互联网法院公布一起入库案例——“宋某诉广州某计算机系统有限公司、叶某网络侵权责任纠纷案（入库编号：2024-18-2-369-002）”，该案明确了网络主播在提供网络表演及视听节目服务过程中引导、放任网络用户侵害他人名誉权的法律责任，为司法实践中处理此类案件提供指导。

该案例的裁判要旨之一，明确了网络主播在网络公共空间内引导、放任他人侮辱、谩骂特定对象的法律责任，其引导、放任行为致使他人名誉权遭受侵害的，应当依法承担侵权责任；裁判要旨之二，明确了网络直播平台在网络侵权案件中的责任认定标准。法院认为，直播平台运营者虽提供直播服务，但并非案涉网络游戏运营方，不知晓游戏用户真实身份，亦难以实时监控直播间弹幕情况。本案中，在宋某投诉时，因其未能提供构成侵权的初步证据及权利人的真实身份信息，且直播平台在宋某起诉后已删除涉案直播回放，并提供侵权用户身份信息，未违反法定义务，故法院认定其不构成共同侵权，不承担侵权责任。

2025年2月20日，广西壮族自治区南宁市西乡塘区人民法院受理一起某超市个人信息保护纠纷案。原告认为，某超市将人脸识别设置为唯一身份验证方式，消费者若不上传人脸照片，则无法使用会员码进入某超市线下购物，涉嫌侵犯消费者的自主选择权和公平交易权。这种做法超出了《中华人民共和国个人信息保护法》规定的“必要性与最小化原则”的范围，要求被告某超市提供其他核验身份方式。该超市客服回应称，目前除人脸识别外并无其他方式核验会员身份，且不支持现金支付，此举是为了会员码“专人专用”。目前该案仍在审理中。

2025年1月29日，美国版权局发布了《版权和人工智能：第二部分 可版权性》报告。该报告就AI生成内容可版权性问题发表了如下结论：（1）现有法律已可对版权性提供充分适当的保护，无需变更、新增立法。（2）版权法将持续适应新技术，个案确定生成式人工智能输出成果反映人类贡献的程度，以决定是否保护其可版权性。仅将AI作为工具，作者可决定输出成果包含人类表达元素时，成果受版权法保护。仅凭提示词生成内容，不包含人类表达元素且人类对输出结果无控制权的输出成果，不受版权法保护。

2025年2月13日，欧盟数字委员会批准将自愿性《反虚假信息行为守则》[1]正式纳入《数字服务法》（DSA）的框架体系。该守则规定了打击虚假信息的广泛承诺，以及签署方为履行这些承诺而需采取的措施和相应的关键绩效指标，包括：广告投放审查、政治广告审查、服务诚信、赋予用户权利、赋予事实核查权力以及建立透明度中心等。同时，该守则要求建立一个常设工作组，以支持准则的实施并深化不同领域的合作。

2025年2月21日，特朗普发布《保护美国公司和创新者免受海外敲诈及不公平罚款与处罚》（Defending American Companies and Innovators from Overseas Extortion and Unfair Fines and Penalties）备忘录。该备忘录在第一节“目的”中强调了数字服务税、数字服务法规、跨境流动限制等监管规则对美国公司的影响。在第二节“政策”中规定了美国将针对“歧视性”“抑制发展”“知识产权转移”“影响全球竞争力”等不公平监管政策采取反制措施。在第三节“机构责任”中，美国提出：重启数字服务税301调查，调查使用数字税“歧视美国公司”的国家；考虑报复性关税等应对措施，以抗衡他国政府对美国企业征收的数字服务税等举措。

2025年2月21日，特朗普发布《美国优先投资政策》（America First Investment Policy）备忘录。该备忘录重申了对特定国家投资的谨慎立场，特别强调中国投资的潜在安全风险。该备忘录围绕“美国优先”原则制定了12条具体的政策举措。

在数据领域值得重点关注的政策总结如下：（1）鼓励盟友和伙伴国家对美投资。为其提供进入美国AI等高科技产业的“快速通道”，但要求其不得与对手国家合作。（2）限制特定国家在敏感技术领域的投资。通过所有必要法律手段，例如美国外国投资委员会（CFIUS）审查，以限制与中国有关联的实体对美国技术、关键基础设施、医疗保健、农业、能源、原材料以及其他战略领域的投资。强化CFIUS对“绿地”投资的管控，以遏制外国竞争者在敏感技术领域（特别是人工智能）获取人才和业务，并扩展CFIUS对“新兴和基础”技术的审查范围。（3）再评估对特定国家在高科技领域的投资限制措施。再次评估对中国在半导体、人工智能、量子技术、生物技术、高超音速技术、航空航天、先进制造、定向能技术以及其他受中国国家军民融合战略影响的领域新增或扩大的美国对外投资限制。

2025年2月4日，欧盟委员会批准了《人工智能法案》（“《AI法案》”）下的《禁止性人工智能实践指南》（“《禁止性AI指南》”）[2]。

《AI法案》第五条规定了8类禁止性人工智能[3]，《禁止性AI指南》通过“禁止示例+例外示例”的形式补充解释了各项禁止性AI的实践运用。进一步解释了《AI法案》的适用范围，说明了“投放市场”“投入使用”“使用”“提供者”“部署者”等概念的含义及例外情形。该指南也澄清了《AI法案》与欧盟其他规范的关系，以及《AI法案》第五条与其他条款的关系。

2025年2月6日，为促进《人工智能法案》的适用，欧盟委员会批准了《人工智能系统定义指南》。该指南拆分并逐一解读了《AI法案》第3（1）条“AI系统”定义的7个主要要素，即：（1）基于机器的系统；（2）自主性；（3）适应性；（4）目标性；（5）从其接收到的输入中推断如何生成输出的流程；（6）预测、内容、建议或决策能力；（7）对物理或虚拟环境的影响。

该指南明确了不属于“AI系统”定义的情形，即：用于改进数字优化的系统；仅进行基本数据处理的系统；基于经典启发式算法的系统；性能依赖基本统计学习规则的简单预测系统。

2025年2月4日，OECD发布了《基于数据抓取训练的人工智能中的知识产权问题》报告。该报告围绕数据抓取技术，确定了主要的利益相关者以及全球范围内的法律和监管策略。

报告总结认为，数据抓取可能引发版权、数据库权利、商标、商业机密、公开肖像权和道德权等多种知识产权法律问题。数据抓取领域的知识产权和相关法律需在不同法域进行审查和更新。报告建议，政策制定者应考虑制定跨境“数据抓取行为规范”统一AI数据抓取术语，以供相关守则或合同条款参考；开发标准化、易访问的技术工具；增强利益相关者对其权利和责任的认识。

2025年2月5日，英国信息专员办公室发布了《就业记录处理指南》，要求雇主根据《英国通用数据保护条例》和《数据保护法案》管理就业记录。指南强调雇主需要平衡运营需求与员工隐私权。并概述了推荐举措，例如：确保数据处理的合法性基础；确保数据安全；确保信息透明度。该指南规定了特殊类别数据的处理规则，并针对就业相关数据保护方案提供了数据共享、推荐信管理、多样性监测和公司重组管理等方面的指导。

2025年2月5日，法国网络安全局联合加拿大、德国等18国网络安全机构发布了《基于网络风险评估方法建立可信赖人工智能的指南》。该联合指南强调了需要考虑AI面临的特定风险，包括：AI托管和管理的基础设施受损、供应链攻击、信息系统控制权、AI系统响应故障等问题。

该联合指南为人工智能用户、开发者、运营者提供了指导方针，包括：根据风险分析、业务需求和所采取行动的关键性，调整人工智能系统的自主水平；绘制人工智能供应链图；跟踪AI系统与其他信息系统之间的互联情况；实施预测重大技术和监管变化的流程等。该联合指南还提出了多项建议行动，包括：禁止AI系统自动执行关键操作；确保在关键流程中适当适用AI并采取安全措施；开展专门的风险分析；对AI系统安全性展开全生命周期的研究。

2025年2月18日，日本经济产业省 (METI) 更新发布了《人工智能使用和开发合同清单》。该清单为所有日本企业经营者提供了利益和风险分配方面的指导，以确保各方在采用 AI 解决方案时具备充分考虑数据范围和合同利益的必要知识。该清单内容包括人工智能开发者和供应商的条款，并涵盖了输入信息、数据共享条件、人工智能使用目的、数据保留和删除义务、权利转让以及人工智能系统输出要求等合同因素。

加利福尼亚州隐私保护局（CPPA）已对杰里科影业公司（Jerico Pictures, Inc.）旗下的国家公共数据公司（National Public Data）采取执法行动，原因是该公司未依据《删除权法案》（DELETE Act）进行注册并缴纳规定的年费，因此拟被处以4.6万美元的罚款。

《删除权法案》要求数据经纪商需在规定时间内向加州隐私保护局（CPPA）注册并缴纳年费，且有义务保障所处理数据的安全性。国家公共数据公司延迟了230天才完成注册，而且是在加州隐私保护局于2024年10月启动的一项调查中与其取得联系之后才进行的注册。此外，国家公共数据公司曾遭遇一起严重的数据泄露事件，致使包括社会保障号码等敏感信息的29亿条记录遭到泄露。 

美国卫生与公众服务部民权办公室（OCR）因沃比·帕克公司（Warby Parker, Inc.）违反了《健康保险流通与责任法案》（HIPAA）的安全规定，对其处以150万美元的罚款。这一处罚源于2018年12月报告的一起网络安全漏洞事件。该次漏洞事件影响了客户的个人和健康信息。

HIPAA安全规则要求涵盖实体（covered entities，包括医疗保健提供者等）对其系统中的电子受保护健康信息（ePHI）进行准确和彻底的风险分析，以识别潜在风险和漏洞。涵盖实体还需要实施足够的安全措施，将电子受保护健康信息（ePHI）的风险和漏洞降低到合理和适当的水平，实施定期审查信息系统活动记录的程序。沃比·帕克公司直到2022年才进行全面的风险分析，也未实施足够的安全措施，并且直到2020年才对信息系统活动进行审查，违反了前述要求。

欧盟委员会（EC）依据《数字服务法》（DSA）向希音（Shein）发出了信息索取函（RFI），旨在获取有关希音推荐系统透明度、研究人员的数据访问权限、消费者保护措施以及用户数据保护等方面的详细信息。Shein须在2025年2月27日前做出回应。

此前，2024年4月26日，欧盟委员会根据《数字服务法案》（DSA）正式指定Shein为超大型在线平台（VLOP）。欧盟委员会称，Shein在欧盟的月用户数量超过4500万。根据欧盟委员会官网，Shein需要遵守的《数字服务法》下最严规则与额外义务，包括加强对非法产品的监督、加强消费者保护措施、提高透明度和问责制等。 

欧洲数字权利非政府组织（NOYB）向德国北莱茵-威斯特法伦州（North Rhine-Westphalia）数据保护和信息自由专员（LDI NRW）对WetterOnline提起投诉。WetterOnline出于广告目的，将其用户的个人数据（包括高度精确的位置数据）分享给数百家第三方公司。一位记者向WetterOnline提交了访问个人数据的请求，但WetterOnline拒绝履行提供信息的法律义务。

NOYB的投诉称其违反了GDPR第15条第1款（c）和第15条第3款关于数据主体的访问权。要求WetterOnline完全遵守投诉人的访问请求，提供已处理的个人数据副本以及有关这些数据接收者的信息。为了防止未来发生类似的违规行为，NOYB还建议主管机构处以行政处罚。

2025年2月4日，法国数据保护机构国家信息与自由委员会（CNIL）因一家房地产公司过度监控员工，对其处以4万欧元的罚款。该公司在员工设备上安装并使用了“交互式”和“静默式”软件过度监控员工，并且在员工休息区进行持续视频监控。

CNIL认定，该公司使用软件来衡量工作时间和工作表现缺乏法律依据，此外，该公司没有向员工提供有关监控的书面信息，不当共享管理员账户数据访问权限，并且没有对系统性监控进行必要的数据保护影响评估，违反了《通用数据保护条例》（GDPR）第5条第1款（c）项、第6条、第12条、第13条、第32条、第33条。

2025年2月4日，联邦行政法院维持了萨尔州数据保护机构2017年对一家牙科黄金贸易公司未经请求进行电话营销的禁令。该公司未经许可，利用从牙科诊所公开渠道获取的信息进行直接营销。该公司收集和使用这些信息的行为，未获取数据主体的同意且侵犯了数据主体的知情权，违反了GDPR第6条关于数据处理合法性的规定，及第13条、第14条关于数据控制者的信息提供义务。

2025年2月18日，荷兰人权委员会发布了第2025-17号裁决，认定Meta平台爱尔兰有限公司（Meta Platforms Ireland Ltd.）在荷兰存在基于性别的间接歧视行为，其使用的算法以带有偏见的方式展示招聘广告。委员会判定，该算法主要向女性展示“典型的女性工作”，从而强化了性别刻板印象，而且Meta本应监控并调整该算法以避免这种情况。因此，Meta平台爱尔兰有限公司可能会因未遵守对所有欧盟成员国都具有约束力的非歧视原则而面临法律诉讼。

2025年2月5日，荷兰市场信息研究基金会（Stichting Onderzoek Marktinformatie, SOMI）在德国对TikTok和X（原Twitter）提起了四起跨境集体诉讼，索赔金额高达400亿欧元。SOMI认为，TikTok故意操纵年轻用户，滥用敏感数据来推动其推荐算法；X多次未报告重大数据泄露事件，未通知受影响的用户且未提供赔偿，处理敏感的用户数据以支撑其推荐算法。此外，TikTok和X都助长了虚假信息、深度伪造和误导性内容的传播，尤其在选举期间可能操纵公众舆论。为此，SOMI要求禁止处理用于个性化内容和广告的敏感数据，保障儿童和青少年安全，打击虚假信息和外国干涉，保护选举完整性。同时，要求向受影响用户提供经济补偿，TikTok用户每人500-2000欧元，X用户每人750-1000欧元。

2025年2月10日，意大利数据保护监管机构（Garante）因一公司未经同意通过电子邮件发送促销信息，对其处以1万欧元的罚款。投诉者称即便选择取消订阅后，仍收到了不想要的邮件。该公司未能遵守用户取消订阅促销信息的请求，仍在其取消订阅后发送广告，违反了GDPR第6条第1款（a）项关于数据处理的合法性依据，即要求取得数据主体的同意或其他合法依据。

意大利数据保护监管机构（Garante）对一外科医生处以2万欧元的罚款，因该医生在未经患者同意的情况下，在Instagram上发布了患者面部拉皮手术前后的照片。Garante在收到一项投诉后展开了调查，该外科医生非法处理了患者的个人健康数据，违背了患者对隐私和保密性的预期，违反了GDPR的第5条关于个人数据处理的原则，且患者个人健康数据属于特殊类型个人数据，违反第9条对特殊类型个人数据的处理规则。

2025年2月10日，西班牙数据保护局（AEPD）对阿特里姆·莱克斯特殊金融公司（ATRIUM LEX SFC, S.L.）处以10万欧元的罚款。AEPD在一名投资者就其敏感数据处理问题提出投诉后进行调查发现，阿特里姆公司要求投资者提供身份证复印件（DNI），但未按GDPR规定向其告知有关其国民身份证（DNI）数据处理的情况，并且以不安全的普通电子邮件方式不恰当地发送了该身份证信息。该公司违反了GDPR第13条关于收集数据主体个人数据时应当提供的信息及第32条第1款关于数据控制者和处理者应采取技术和组织措施，确保数据处理安全性的义务。

2025年2月17日，西班牙数据保护局（AEPD）对Orange Espagne公司处以120万欧元的罚款，此前有投诉称，一张未经适当实名认证的重复SIM卡被发行，导致投诉人的银行账户被盗9000欧元。AEPD认定，Orange Espagne未能按照GDPR第25条的要求，通过设计实施必要的技术和组织措施进行数据保护，并在未经所有者同意的情况下发行重复的SIM卡，违反了GDPR第6条第1款关于数据处理的合法性要求。

2025年2月18日，西班牙数据保护局（AEPD）因萨拉曼卡农村信用社（Caja Rural de Salamanca）违反《通用数据保护条例》（GDPR），对其处以25万欧元的罚款，由于该信用社自愿缴纳，罚款金额减至20万欧元。此次罚款源于一起因安全措施不当导致的数据泄露事件，由于银行电子系统因单点登录（SSO）存在漏洞，遭到网络攻击，导致客户的个人数据被非法访问，包括个人身份信息、联系方式和财务数据。西班牙数据保护局认为，萨拉曼卡农村信用社未能确保数据的保密性和完整性，违反了《通用数据保护条例》第5条第1款（f）项的规定。

2025年2月4日，瑞典行政法院维持了瑞典隐私保护局（IMY）对博尼耶新闻社（Bonnier News AB）处以1300万瑞典克朗罚款的决定。法院指出，博尼耶新闻社为了营销目的，不当收集和处理客户及网站访问者的个人数据，在未获得适当同意的情况下创建用户画像，违反了GDPR第5条第1款（b）项即数据应仅为特定、明确和合法的目的而收集，且后续处理不得与这些目的相冲突，第13条和第14条即数据主体的知情权，第22条关于自动化决策和用户画像的规定。

艾伯塔省医疗服务机构的一名前雇员因未经授权泄露了一人的健康信息，被埃德蒙顿法院（Edmonton Court of Justice）处以2000加元的罚款。该雇员曾在阿尔伯塔大学医院（University of Alberta Hospital）担任四级行政医疗秘书而有权访问患者信息系统。其被指控未经授权访问17个人的健康信息，并未经授权泄露了两个人的健康信息。该雇员曾访问包括传染病详细信息在内的健康信息，导致其中一人收到了骚扰信息。其未经授权的上述行为违反了《健康信息法》（Health Information Act）。

2025年2月13日，印度德里高等法院正在审查一项禁止DeepSeek的请求。该请求源于一份公益诉讼，该诉讼认为DeepSeek对印度主权、数据安全和公共秩序构成“即时和紧急威胁”。尽管DeepSeek未满足印度2011年《信息技术（合理安全实践和程序以及敏感个人数据或信息）规则》和2023年《数字个人数据保护法》的关键规定，却仍能通过移动应用商店在印度免费访问，其使用条款和隐私政策也未充分保障印度用户权利。诉状还提及意大利已禁止DeepSeek，澳大利亚禁止在政府设备上使用，多国也因类似问题对其展开调查，印度财政部也曾建议政府部门勿用该工具。请愿人敦促法院阻止DeepSeek在各平台的访问，禁止政府实体使用并删除现有实例，还请求法院制定指导方针，封锁威胁印度安全的人工智能工具。

巴西国家数据保护局（ANPD）正依据《通用个人数据保护法》（General Personal Data Protection)，对23家足球俱乐部展开调查，原因是这些俱乐部在使用面部识别系统方面可能存在违规行为。ANPD的检查总协调部门（The General Coordination of Inspection）发现，这些俱乐部可能未履行透明度方面的义务，并且在处理未成年人数据方面存在问题。各俱乐部被要求在其票务平台上发布有关球迷注册和身份识别的清晰信息，并需在20个工作日内提交个人数据保护影响报告。 

2025年2月3日，罗马尼亚国家个人数据处理监管局（ANSPDCP）因意大利联合信贷银行（UniCredit Bank S.A.）的一款应用程序出现故障导致数据泄露，对其处以72,650罗马尼亚列伊的罚款。此次数据泄露导致客户个人数据被未经授权披露，其中包括姓名、账户信息和交易明细。调查发现，意大利联合信贷银行未能实施必要的数据保护技术和组织措施，违反了《通用数据保护条例》第25条第1款。因此，ANSPDCP责令意大利联合信贷银行制定一份涉及个人数据处理的应用程序测试计划。

2025年2月5日，罗马尼亚国家个人数据处理监管局（ANSPDCP）在FARMEC S.A.公司发生数据泄露事件后，对其罚款24,855罗马尼亚列伊。ANSPDCP依据《通用数据保护条例》第33条，在收到FARMEC公司发出的数据泄露通知后展开调查。此次数据泄露由网络攻击引起，FARMEC公司网站的用户和管理员数据库遭到非法访问，数据库中的数据被提取。调查结果显示FARMEC公司未能实施足够的安全措施，也未对其IT系统进行更新，违反了GDPR第5条第1款（f）项、第24条、第32条。