1. 中央网信办发布数据出境安全管理政策问答，释放积极信号

来源：中央网信办

2025年4月15日，国家发展改革委、国家数据局印发《2025年数字经济发展工作要点》，提出7个方面重点任务。

一是加快释放数据要素价值。以数据要素市场化配置改革为主线，加快完善数据产权、全国一体化数据市场等数据基础制度，以公共数据为突破口深化数据资源有序开发利用。二是筑牢数字基础设施底座。统筹“东数西算”工程与城市算力建设，以全国一体化算力网建设优化算力资源布局，推动建设国家数据基础设施。三是提升数字经济核心竞争力。促进科技创新和产业创新深度融合，推动数据产业、数据标注产业高质量发展，支持人工智能技术创新和产业应用。四是推动实体经济和数字经济深度融合。深入实施数字化转型工程，探索金融、文旅、医疗等领域数字化赋能路径，搭建转型公共服务平台，培育数字化转型服务商。五是促进平台经济规范健康发展。强化灵活就业和新就业形态劳动者权益保障。六是加强数字经济国际合作。加快发展数字贸易，推进海外智慧物流平台建设，促进跨境电商发展，探索数据跨境流动管理新模式。七是完善促进数字经济发展体制机制。

2025年4月17日，中国人民银行、国家网信办等六部门联合印发《促进和规范金融业数据跨境流动合规指南》（以下简称《指南》）。《指南》旨在促进中外资金融机构金融业数据跨境流动更加高效、规范，进一步明确数据出境的具体情形以及可跨境流动的数据项清单，便利数据跨境流动。《指南》要求金融机构采取必要的数据安全保护管理和技术措施切实保障数据安全。《指南》全文目前尚未公开。

2025年4月24日，工信部、国家卫健委等七部门联合印发《医药工业数智化转型实施方案（2025-2030年）》（以下简称《实施方案》）。《实施方案》提出以数智化改造为主攻方向，统筹提升医药工业数智化发展和智慧监管水平。

《实施方案》聚焦数智技术赋能行动、数智转型推广行动、数智服务体系建设行动、数智监管提升行动等四个方面系统提出14项具体工作任务，包括加强医药工业数智产品研发应用、整合释放医药数据要素价值、深化医药人工智能大模型赋能应用、打造医药工业数智化转型典型应用场景（包括医药研发、 医药生产、 经营管理决策、  医药质量安全保障、医药流通与追溯、医药合同研发生产服务（CXO）等六个方面）等。

其中，整合释放医药数据要素价值，鼓励医药企业、医疗机构、科研院所等合作建设医药工业大数据平台，形成研发、生产、临床、大健康等领域高质量数据集，推进数据分类分级管理和数据要素市场试点。落实数据基础制度，推进医药工业公共数据规范化开发利用，完善医药工业数据产权归属认定、市场交易、权益分配、利益保护等具体规则，培育专业化医药数据服务企业，支持数据交易机构开展医药工业数据流通共享探索。推动落实数据管理能力成熟度、个人信息保护等评估，规范医药工业数据跨境传输管理。

4月23日，中国气象局与国家互联网信息办公室联合发布《人工智能气象应用服务办法》（以下简称《办法》）。《办法》包括总则、支持与促进、应用服务规范、监督管理和附则等五章，共二十九条。

《办法》明确人工智能气象应用服务提供者的合规义务，包括：（1）备案义务：从事气象信息服务活动的提供者应当按照《气象信息服务管理办法》向其营业执照注册地的气象主管机构备案，提供具有舆论属性或社会动员能力的人工智能气象应用服务的，需开展算法备案和安全评估；（2）通过合法渠道获取标注相应气象数据身份标识的气象数据，按规定添加人工智能生成合成内容标识；（3）风险管理：对人工智能气象应用服务进行全生命周期风险管理和控制；（4）在应用内设置投诉举报入口并及时受理处理用户投诉举报；（5）不得向社会发布和传播非气象主管机构所属气象台站提供的公众气象预报、灾害性天气警报和气象灾害预警信号。

2025年4月18日，国家数据局发布数据提供、数据委托处理、数据中介、数据融合开发四类数据流通交易合同示范文本并向社会公开征求意见。示范文本为推荐性使用的合同范本。关于数据产权安排，合同范本按照有关数据的数据持有权、数据使用权、数据经营权在当事人之间进行约定。

数据提供合同适用于数据提供方与数据接收方开展数据有偿交易、无偿共享、许可使用等数据提供活动，共17条，明确了标的数据描述、数据产权安排、数据交付和验收、数据质量异议与补救措施、当事人合同义务、违约责任、争议解决等内容。合同附件2提出数据交付质量要求参照标准，从数据规范性、完整性、准确性、一致性、时效性、可访问性明确具体执行标准。

数据委托合同适用于数据委托方将其享有合法权利的数据委托给受托方，由受托方按照委托方的指示和要求进行数据处理的活动，共19条，明确了数据委托处理合同的当事人、原始数据情况、结果数据和过程数据的取得、委托处理的限制、数据验收、转委托、保密要求、违约责任、争议解决等内容。受托方仅能在委托处理的目的范围内开展处理活动，不得对数据委托处理的范围进行任何扩展、限缩或其他变更。

数据融合开发合同共16条，适用于多方合同当事人将其享有合法权利的原始数据向彼此开放共享，用于共同创建数据平台、数据空间、数据池、衍生数据等，如合作创建人工智能数据训练专区、行业数据共享利用平台、联盟式共建数据资源池等。提供数据的合同当事人一般是为了相同目标的多方主体，承担开发管理职责的合同当事人可以是提供数据中的一方或者多方，也可以是专门从事开发管理职责的特定主体。合同明确了数据融合开发合同的原始数据描述、各方的贡献投入与分工、结果数据取得、结果数据的成本与收益分配、数据产权安排、数据安全要求、违约责任、争议解决等内容。

数据中介合同适用于数据中介方为促成数据交易而提供交易撮合服务等的活动，共12条，明确了数据中介服务合同的标的数据情况、中介服务的期限与范围、中介服务费、各方的权利义务、数据产权要求、保密要求、违约责任、争议解决等内容。

2025年4月8日，国家数据局启动企业、行业、城市三类可信数据空间试点工作，探索数据资源规模化流通利用新模式，支撑全国一体化数据市场建设。

企业可信数据空间试点方面，支持龙头企业等运营企业可信数据空间，深化数据驱动型创新实践，完善数据供给机制，丰富数据应用场景，带动供应链上下游企业、生态合作伙伴等协同开放共享数据资源。围绕业务协同、资源优化、服务增值等供应链企业共性需求，打造一批数据产品和服务，培育供应链协同创新模式。行业可信数据空间试点方面，面向新材料、科技、能源、物流、医疗等行业，培育特定行业可信数据空间，构建高价值行业数据库、知识库、模型库。城市可信数据空间试点方面，围绕城市全域数字化转型需求，探索公共数据融合企业数据等创新应用的有效机制与激励措施，构建城市数据资源体系。打造共建共治共享的数据流通利用服务生态链，带动城市的数据产业发展。

2025年4月2日，国家市场监管总局发布《网络交易合规数据报送管理暂行办法》，规范网络交易平台经营者向市场监管部门报送产生于中国境内的网络交易合规数据活动，以及监管部门管理活动，办法于4月25日生效实施。根据办法，网络交易合规数据，是指产生于中国境内的网络交易经营者身份信息、违法行为线索数据、行政执法协查数据、特定商品或者服务交易数据等网络交易监管相关数据。市场监管部门可以将网络交易平台经营者报送或者提供的网络交易合规数据依法用于监管执法活动。

依据办法，市场监管总局可以根据有关规定或者标准，探索开展公共数据开放和授权运营，依法合规向网络交易平台经营者提供政务数据服务，支持网络交易平台经营者更好地开展平台内经营者身份核实、许可信息验证、信用体系建设和平台内治理等工作。

2025年3月31日，国家标准化管理委员会印发《标准数字化标准体系建设指南》。标准数字化是指利用数字技术对标准内容及生命周期全过程赋能,使标准承载的规则能够以数字形式被机器读取、传输与使用的系列活动。标准数字化参考架构从生命周期、能力特征、应用层级三个维度对标准数字化活动所涉及的过程、能力等级以及应用对象等内容进行描述,主要用于明确标准数字化活动的标准化对象和范围。

图 1 标准数字化参考架构

标准数字化标准体系结构包括“基础通用类、过程实现类、数字标准类、应用与服务类”四个板块。基础通用类标准提供标准数字化的底层共识与公共规则，解决的是“标准数字化是什么”的问题。过程实现类标准聚焦标准研制过程各阶段实现数字化的技术规范，解决的是“研制过程如何数字化”的问题。数字标准类标准用于统一数字标准相关概念，解决的是“什么是数字标准”的问题。应用与服务类标准用于提供标准数字化产品在不同场景应用与服务的相关规则。

2025年4月10日，浙江省网信办发布《中国（浙江）自由贸易试验区数据出境负面清单（2024版）》及配套《管理办法》，是继京津沪琼之后，国内第五个发布《负面清单》的省市。发布的《负面清单》，聚焦浙江自贸试验区需求集中的优势产业，基于企业数据出境实际需求而编制。《负面清单》综合考虑数据出境必要性、数据出境规模等因素，首批制定涵盖电子商务（企业对企业）、清结算2个关键领域，包含重要数据、个人信息2类数据，涉及8个具体场景，134个数据项，降低了企业在数据出境过程中的合规成本。其他自贸区正式发布的数据出境负面清单，浙江自贸试验区可参照执行。

定密，是指国家机关和涉及国家秘密的单位（以下简称机关、单位）依法确定、变更和解除国家秘密的活动。保密事项范围是国家秘密确定、变更和解除的依据。关于定密权限，《国家秘密定密管理规定》规定，中央和国家机关、省级机关可以确定绝密级、机密级和秘密级国家秘密；设区的市级机关可以确定机密级和秘密级国家秘密。前述机关、单位可以在工作职责范围内作出定密授权。机关、单位主要负责人为本机关、本单位的法定定密责任人，对定密工作负总责。国家秘密一经确定，应当在国家秘密载体上规范作出国家秘密标志。国家秘密标志形式为“密级★保密期限”“密级★解密时间”或者“密级★解密条件”。国家秘密标志应当与载体不可分离，明显并易于识别。

2025年4月30日消息，为规范AI服务和应用，促进行业健康有序发展，保障公民合法权益，中央网信办印发通知，在全国范围内部署开展为期3个月的“清朗·整治AI技术滥用”专项行动。

本次专项行动分两个阶段开展：第一阶段强化AI技术源头治理，清理整治违规AI应用程序，加强AI生成合成技术和内容标识管理，推动网站平台提升检测鉴伪能力。第二阶段聚焦利用AI技术制作发布谣言、不实信息、色情低俗内容，假冒他人、从事网络水军活动等突出问题，集中清理相关违法不良信息，处置处罚违规账号、MCN机构和网站平台。

第一阶段重点整治6类突出问题：一是违规AI产品（如未依法履行大模型备案或登记程序；提供违背法律、伦理的功能；未经授权侵犯他人隐私）；二是传授、售卖违规AI产品教程和商品；三是训练语料管理不严；四是安全管理措施薄弱；五是未落实内容标识要求；六是医疗、金融、未成年人等重点领域安全风险。第二阶段重点整治7类突出问题：一是利用AI制作发布谣言；二是利用AI制作发布不实信息；三是利用AI制作发布色情低俗内容；四是利用AI假冒他人实施侵权违法行为；五是利用AI从事网络水军活动；六是AI产品服务和应用程序违规；七是侵害未成年人权益。

为进一步深化短视频恶意营销问题治理，营造清朗网络空间，中央网信办自2025年4月15日起，开展为期3个月的“清朗·整治短视频领域恶意营销乱象”专项行动。

专项行动集中整治短视频领域恶意营销四类突出问题，从严打击恶意虚假摆拍、散布虚假信息、违背公序良俗、违规引流营销等恶意营销乱象，切实维护网民合法权益，推动短视频行业健康有序发展。

依据中央网信办等四部门发布《关于开展2025年个人信息保护系列专项行动的公告》，工信部近期对APP、SDK违法违规收集使用个人信息等问题开展治理。根据2025年4月21日工信部发布的关于侵害用户权益行为的APP（SDK）通报（2025年第一批，总第46批），52款APP及SDK存在侵害用户权益行为，所涉问题包括超范围收集个人信息、APP强制、频繁、过度索取权限等问题、APP频繁自启动或关联启动、违规收集个人信息、应用分发平台上的APP信息明示不到位、信息窗口乱跳转、信息窗口无法关闭、SDK信息公示不到位，SDK使用说明不完整等。

2025年4月11日，上海市通信管理局发布关于侵害用户权益行为APP的通报（2025年第二批），5款APP及小程序存在侵害用户权益行为。所涉问题包括：违规收集个人信息，APP强制、频繁、过度索取权限，未明示个人信息处理规则，以及自启动和关联启动行为。

2025年4月17日，国家计算机病毒应急处理中心通过互联网监测发现13款移动应用存在隐私不合规行为。

违法违规情形主要涉及以下几类：（1）个人信息处理者在处理个人信息前，未履行告知义务或履行未达合规要求。（2）隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等。（3）个人信息处理者向其他个人信息处理者提供个人信息行为未达合规标准。（4）App未在征得用户同意后开始收集个人信息或打开可收集个人信息的权限。（5）个人信息主体的更正、删除权利响应未达合规要求。（6）投诉、举报未在承诺时限内受理并处理；个人信息处理者未建立便捷的个人行使权利的申请受理和处理机制。（7）未向用户提供撤回同意收集个人信息的途径、方式或未提供便捷的撤回同意的方式。（8）处理敏感个人信息未取得个人的单独同意。（9）个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则。（10）个人信息处理者向中华人民共和国境外提供个人信息未达合规要求。（11）未采取相应的加密、去标识化等安全技术措施。

2025年4月18日消息，重庆市江北区网信办依法对属地未履行网络安全保护义务，导致危害网络安全的某公司作出行政处罚。

经查，该公司未履行网络安全保护义务，存在未制定网络安全管理制度和操作规程，未确定网络安全负责人落实网络安全保护责任；未采取必要措施防范危害网络安全行为，未按规定留存网络日志，未制定网络安全应急预案等违法违规情形，导致其运营的信息化管理系统遭受网络攻击导致被恶意篡改，违反了《中华人民共和国网络安全法》相关规定。

重庆市江北区网信办依据《中华人民共和国网络安全法》责令其限期改正，给予警告，对该公司和直接负责的主管人员处以罚款的行政处罚。目前，该公司已按要求完成全面整改。

2025年4月1日消息，四川省南充市互联网信息办公室依法查处两起违反《中华人民共和国网络安全法》典型案例，南充市某行政单位和某学校因未履行网络安全保护义务分别受到行政处罚并责令限期整改。

案例一：某行政单位网络安全责任缺失。经查，该单位OA系统存在严重安全隐患：未按要求完成网络安全等级保护备案；系统日志留存周期不足法定六个月标准；系统存在“弱口令”漏洞。上述问题直接导致境外黑客组织成功入侵系统窃取信息。该单位涉嫌违反《网络安全法》第二十一条第（三）项、第（四）项规定。南充市网信办依据《网络安全法》第五十九条第一款规定，依法对该单位作出警告并责令改正的行政处罚。

案例二：某学校不及时整改网络安全问题。南充市网信办在监管中发现该校官方网站存在黑链植入、日志存档缺失、高危系统漏洞等多项问题，期间累计三次监测到违法链接并印发网络安全问题整改提醒函，该校均未及时整改。该学校涉嫌违反《网络安全法》第二十一条第（二）项、第（三）项、第（四）项之规定。南充市网信办依据《网络安全法》第五十九条第一款规定，依法对该单位作出责令改正并处两万元罚款的行政处罚。

2025年4月22日，据国家网络与信息安全信息通报中心通报，依据《网络安全法》《个人信息保护法》等法律法规，按照中央网信办等四部门《关于开展2025年个人信息保护系列专项行动的公告》要求，经国家计算机病毒应急处理中心检测，67款移动应用存在违法违规收集使用个人信息情况。

违法违规情形主要涉及以下几类：（1）个人信息收集行为未达合规要求。（2）隐私政策未逐一列出App收集使用个人信息的目的、方式、范围等。（3）个人信息处理者向其他个人信息处理者或第三方提供个人信息行为未达合规要求。（4）App未在征得用户同意后开始收集个人信息或打开可收集个人信息的权限。（5）个人信息主体的更正、删除权利响应未达合规要求。（6）投诉、举报未在承诺时限内受理并处理；个人信息处理者未建立便捷的个人行使权利的申请受理和处理机制。（7）未向用户提供撤回同意收集个人信息的途径、方式或未提供便捷的撤回同意的方式。（8）通过自动化决策方式向个人进行信息推送、商业营销，未同时提供不针对其个人特征的选项，或者未向个人提供便捷的拒绝方式。（9）处理敏感个人信息未取得个人的单独同意；个人信息处理者处理敏感个人信息的，未向个人告知处理敏感个人信息的必要性以及对个人权益的影响。（10）个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则；收集未成年人信息未取得监护人单独同意。（11）个人信息处理者向中华人民共和国境外提供个人信息未达合规要求。（12）未采取相应的加密、去标识化等安全技术措施。

2025年4月22日，上海市通信管理局发布关于开展“铸盾车联”2025年车联网网络和数据安全专项行动的通知。

此次专项行动旨在科学统筹车联网行业发展与安全，系统构建车联网领域网络和数据安全治理体系，有序提升车联网行业网络和数据安全管理水平。根据专项行动要求，各车联网企业应：（1）落实网络和数据安全主体责任；（2）加强车联网平台安全；（3）加强智能网联汽车产品安全；（4）加强车联网数据安全（包括加强车联网重要数据识别及目录备案管理、加强车联网数据安全风险评估管理、加强车联网个人信息保护管理、加强数据共享和出境安全管理）；（5）加强车联网网络和数据安全事件应急处置管理；（6）加强车联网安全漏洞管理；（7）加强L3及以上自动驾驶功能网络和数据安全保障管理；（8）试点开展车联网网络和数据安全能力成熟度评估。

第14117号总统行政令之最终规则《防止受关注国家或受规制主体获取批量美国敏感个人数据和政府相关数据》（又称数据安全计划，“DSP”）于4月8日正式部分生效（部分将于10月6日生效）。4月11日，美国司法部国家安全司（NSD）发布《数据安全计划合规指南》。指南确认了遵守DSP的良好实践（best practices），提供了关键定义、禁止和限制类交易、建立数据合规计划（data compliance program）的要求的相关指导，并提供了示范合同条款（model contractual language），还就遵守DSP的审计和记录保存要求提出了实践建议。

4月11日，美国司法部国家安全司（NSD）发布《数据安全计划：至2025年7月8日的实施与执法政策》（Data Security Program: Implementation and Enforcement Policy through July 8, 2025，“《实施与执法政策》”），该文件介绍了《最终规则》生效后前90日内的实施和执法政策，是对从4月8日起到7月8日止90天过渡期的政策性安排。在接下来的90天内，NSD 将根据情况对严重、故意的违规行为进行处罚和其他执法行动，在90天过渡期内，即便美国实体没有达到100%合规，但能够提供善意努力证据的，不太可能被处罚。

善意努力的证据可能包括：（1）自查是否有权限接触敏感个人数据，包括涉及这些数据的交易是否构成数据经纪；（2）自查内部数据集和数据类型是否可能受DSP潜在影响；（3）与供应商重新谈判或与新的供应商谈判协议；（4）更换新的产品和服务供应商；（5）对潜在的新的供应商开展尽职调查；（6）与数据经纪交易的对手方外国人谈判数据再传输（onward transfer）条款;（7）调整雇员的工作地点、角色或职责;（8）评估受关注国家或受规制主体的投资;（9）与受关注国家或受规制主体重新谈判;（10）实施CISA安全要求（包括必要的数据级别要求组合,以防止受规制主体访问受限交易的受监管数据）。

当90天过渡期结束后，NSD将展开全面执法，美国实体应完全遵守DSP。

4月11日，美国司法部国家安全司（NSD）发布《数据安全计划：常见问题解答》（Frequently Asked Questions），提供了有关申请许可证和咨询意见、披露数据安全计划违规行为和报告拒绝的数据交易活动的流程等内容，旨在解答DSP相关的高频问题。该FAQs后续会由NSD视情况进一步更新和补充。

4月28日，美国众议院以压倒性优势通过《删除法案》（TAKE IT DOWN Act），并提交美国总统特朗普签署。《删除法案》将故意（knowingly）发布未经本人同意的私密露骨影像（Non-consensual Intimate Imagery, NCII）行为认定为违法犯罪，无论是真实还是利用AI等“数字伪造”（digital forgery）的，只要影像中能够识别受害者的面容或特征。网络服务提供者需建立响应流程，在收到受害人或其授权人通知后48小时内删除相关图像，并尽力删除所有已知副本。若平台基于善意判断而删除或限制访问某段影像，即使相关内容最终被认定为是合法的，平台也豁免被追责或索赔。

4月9日，欧盟委员会发布《人工智能大陆行动计划》（AI Continent Action Plan），旨在推动欧洲成为全球AI领域的领军者。《人工智能大陆行动计划》立足于欧盟独特的产业生态和制度优势，基于算力基础设施、高质量数据集、AI素养、算法研究与应用、法规监管“五大战略支柱”，构建出完整的人工智能发展生态体系。

在数据方面，《人工智能大陆行动计划》指出高质量数据资源是人工智能发展的核心基础，欧盟委员会计划实施双轨并行的数据战略。一方面出台《数据联盟战略》，构建欧盟统一的内部数据市场，打通数据流通壁垒。另一方面在AI工厂设立专业数据实验室，用于收集和整理来自不同来源的高质量数据，提升欧盟数据资源的可利用性和质量。

4月10日，欧洲数据保护委员会（EDPB）发布《大型语言模型（LLMs）数据保护风险和缓解指南》报告，共107页。本报告性质为专家研究报告，是EDPB委托专家提供有关特定主题的报告和工具，并不反映EDPB的官方立场。

关于隐私风险，报告认为，大型语言模型（LLMs）全生命周期中数据保护风险贯穿始终。识别和解决这些风险对于旨在负责任地采购、开发或部署LLM的组织至关重要。关于LLMs与AI系统的关系上，报告认为，大型语言模型（LLMs）通常作为复杂AI系统的核心组件，其本身并非完整系统。构建真正的LLM系统需整合用户界面等配套组件以形成闭环运行能力。

4月14日，欧洲数据保护委员会（European Data Protection Board, EDPB）发布《关于通过区块链技术处理个人数据的指南》（Guidelines 02/2025 on processing of personal data through blockchain technologies，以下简称《指南》）并公开征求意见。

《指南》旨在为计划使用区块链技术处理个人数据的组织提供合规框架，全面分析了区块链技术的分布式特性、去中心化治理以及加密机制与《通用数据保护条例》（GDPR）要求的相互作用，阐述了其在个人数据处理中可能引发的合规风险和对数据主体权利与自由的潜在威胁。《指南》强调，数据控制者需通过数据保护影响评估（DPIA）识别风险，并优先采用技术措施（如数据最小化、链外存储）来降低对数据主体的威胁。通过提供技术与组织措施的具体建议，《指南》帮助数据控制者在设计和实施区块链解决方案时确保符合GDPR的要求。

4月16日，英国地方政府协会（LGA）、伦敦技术与创新办公室（LOTI）、平等与人权委员会（EHRC）和信息专员办公室（ICO）共同发布了一份《如何将平等原则与数据保护融入人工智能委托及采购流程：英格兰各议会指南》。该指南旨在将平等原则与数据保护融入人工智能采购流程。关键考量因素包括合法数据处理、数据保护原则以及开展数据保护影响评估（Data Protection Impact Assessments）。其他因素还包括2023年《采购法》（Procurement Act 2023）、1998年《人权法》（Human Rights Act 1998）、道德实践以及对敏感数据的保护。

4月14日，美国国家标准与技术研究院（NIST）发布了新版NIST隐私框架（NIST Privacy Framework）并向公众征求意见。与旧版相比，新版隐私框架增加了有关人工智能和隐私风险管理的章节，明确概述了人工智能与隐私的关系，以及如何使用隐私框架来管理人工智能隐私风险。本次更新的NIST隐私框架可以看作对此前发布的指南的回应与更新，体现了NIST控制人工智能隐私风险的尝试。

4月15日，香港数字政策办公室（数字办）公布《香港生成式人工智能技术及应用指引》，为技术开发者、服务提供商和使用者提供实务操作指引，内容涵盖生成式人工智能的应用范围和局限、潜在风险与治理原则，包括需关注的资料泄露、模型偏见和错误等技术风险等。

《香港生成式人工智能技术及应用指引》核心目标是平衡人工智能的创新发展、应用与责任，为人工智能生态圈各持份者建构一套符合香港情境、具本地特色的治理框架。

3月31日，法国竞争管理局裁定美国苹果公司滥用其在iOS设备定向广告中的主导地位，对其处以1.5亿欧元罚款。

案件源于苹果2021年4月推出的“应用程序跟踪透明度”（ATT）机制，该机制要求第三方应用在追踪用户数据前必须弹窗获取用户同意，但法国监管机构认为其实施方式对于苹果保护个人数据的目标“既无必要也不适当”，多个同意弹窗的叠加导致第三方应用（尤其是小型开发者）面临更复杂的合规流程，且苹果自身应用（如Apple Music）长期豁免于同类要求，形成“不对称待遇”，损害移动广告市场公平竞争。处罚涵盖2021年4月至2023年7月期间的违规行为，并要求苹果在官网连续七天公示处罚摘要。

5月2日,爱尔兰数据保护委员会（DPC）宣布对TikTok违规数据跨境处5.3亿欧元罚款，原因是其违反欧盟《通用数据保护条例》（GDPR）将欧盟用户数据传输至第三国供工程师访问。调查始于2021年9月，DPC认定TikTok未采取必要措施确保数据跨境传输的合法性，且未能履行对用户的透明度义务，例如未明确告知数据用途及接收方信息。DPC认为，TikTok的违规行为主要涉及GDPR第46（1）条、第13（1）（f）条（向数据主体提供数据控制者将个人数据传输至第三国的信息）。TikTok表示对该处罚依法提起上诉。

4月10日，韩国个人信息保护委员会（PIPC）因数据安全违规对ClassU处以6080万罚款。2023年8月1日至2024年7月25日期间，韩国知名在线网课平台ClassU因数据库管理员账号被黑客入侵，导致约160万名用户的个人信息泄露。攻击者通过公开存储的数据库访问信息文件获取权限，进而窃取数据。PIPC调查发现，ClassU违反韩国《个人信息保护法》（PIPA）多项条款，存在多项数据安全措施疏漏，包括未限制IP访问权限、无合法理由情况下共享管理员账号、居民注册号（RRN）等敏感信息未加密存储等。并且，ClassU延迟了数据泄露报告。

4月10日，韩国个人信息保护委员会（PIPC）对礼品网站giftishow运营方KT alpha罚款1181万韩元，因其未有效阻止黑客通过凭证填充攻击窃取9.8万用户账户信息，导致51人数据泄露。攻击者使用4305个IP发起540万次登录尝试，但KT alpha因未部署异常检测系统、延迟上报泄露（PIPA修订前要求24小时内报告）及访问控制疏漏被认定违规。PIPC责令公开处罚结果，并强调企业需加强网页脱敏、异常登录拦截等防护措施。

4月11日，爱尔兰数据保护委员会（DPC）宣布对X公司（原Twitter）展开调查，指控其未经欧盟用户同意，利用平台公开帖子、互动记录等个人数据训练AI聊天机器人Grok，并共享给马斯克旗下xAI公司。此举涉嫌违反欧盟《通用数据保护条例》关于数据处理的合法性基础（第6条）、透明性义务（第13条）及跨境数据传输限制（第44条）。

DPC此前已通过法律程序迫使X公司承诺暂停处理欧盟用户数据，但后者后续恢复相关操作引发二次调查。若最终认定违规，X公司可能面临最高全球年营业额4%的罚款（潜在金额达数十亿欧元），并需承担业务限制、数据删除等后果。

4月24日，韩国个人信息保护委员会（PIPC）审议通过对中国人工智能公司DeepSeek的调查结果，认定其2025年1月15日在韩国推出服务时，隐私政策仅提供中英文而未以韩语完整披露数据处理方式，且透明度不足。并且，在未获取用户单独同意的情况下，将设备信息、用户输入内容及AI提示数据传输至中国字节跳动子公司火山引擎（Volcano）。同时，DeepSeek未向用户提供退出将用户输入数据用于AI开发和训练的选择退出功能，以及缺乏年龄验证程序来识别用户是否为儿童，并未能指定国内代理人。DeepSeek在PIPC调查期间已采取措施完成整改，相关应用程序已重新上架。

4月15日，英国信息专员办公室（ICO）对利物浦律所DPP Law Ltd罚款6万英镑，因其未启用多因素认证导致管理员账户被入侵，2022年泄露32.4GB含客户案件、DNA及性犯罪受害者资料的数据，且延迟43天上报、违反英国《通用数据保护条例》（UK GDPR）72小时报告义务。处罚依据《2018年数据保护法》及GDPR第32条（安全措施）、第33条（事件报告），强调企业需落实基础防护。

2025年4月23日，欧盟委员会依据《数字市场法案》（DMA）对苹果公司和元宇宙平台公司（Meta）分别处以5亿欧元和2亿欧元罚款。调查发现，苹果通过其应用商店（App Store）强制限制开发者引导用户使用第三方支付渠道或外部优惠链接，剥夺消费者选择更优服务的机会，且未能证明相关限制的必要性；Meta则在2023年推出“同意或付费”模式，要求用户要么允许其整合个人数据用于个性化广告，要么支付月费使用无广告服务，涉嫌违反数据使用规则。此次处罚是DMA生效以来首次对科技巨头作出的非合规认定，欧盟要求两家公司60天内整改，否则将追加罚款。

4月25日，英国信息专员办公室（ICO）调查发现，AFK公司在2023年1月至9月期间拨打95,277通垃圾电话，引发多起针对该公司向ICO和电话优先服务（TPS）的投诉。由于AFK未能提供任何证据表明被呼叫方曾同意接收其电话，ICO已对其处以9万英镑罚款。调查显示，AFK 通过第三方数据供应商获取用户信息，但未验证数据来源的合法性，且其隐私政策未明确说明将通过电话联系用户，导致 56% 的呼叫对象为已注册 “拒绝营销电话服务”（TPS）的用户。该公司未能提供任何有效同意证据，甚至以 “数据保留期仅三个月” 为由拒绝配合调查，最终因系统性违规被 ICO 认定为 “蓄意侵犯用户隐私”。此次处罚凸显英国对电话营销行业的严格监管，特别是针对未履行 TPS 筛查义务和数据处理透明度缺失的行为。

4月25日，芬兰数据保护机构批准了诺基亚提交的两项约束性企业规则（BCR），允许其在欧盟/欧洲经济区境外跨境传输个人数据，这是芬兰首次批准此类规则。

BCR基于欧盟《通用数据保护条例》，旨在为跨国企业集团内部数据流动提供统一的法律框架，确保数据在欧盟以外地区（如中国、印度等）处理时仍符合隐私保护要求。此次审批历经国际合作与欧盟数据保护委员会的审核支持，最终通过芬兰国家决议确认其法律效力，覆盖诺基亚作为数据控制者向境外传输数据，以及作为数据处理者为欧盟境内企业处理数据的两种场景。规则明确要求诺基亚建立数据保护监督机制、员工培训计划及年度合规报告制度，同时强调企业仍需个案评估数据传输风险并采取补充保护措施。