1. 《政务数据共享条例》公布，8月1日起施行

来源：中国政府网

2025年5月9日，中国人民银行发布《中国人民银行业务领域数据安全管理办法》（以下简称《管理办法》），共七章五十六条，自 2025年6月30日起施行。《管理办法》与国家金管局此前发布的《银行保险机构数据安全管理办法》共同规范金融数据处理活动，其中《管理办法》是垂直业务监管，《银行保险机构数据安全管理办法》是横向机构监管，二者形成“业务-主体”双轨制，相关数据处理者面临双重监管。

根据《管理办法》，业务数据安全工作遵循“谁管业务，谁管业务数据，谁管数据安全”原则。中国人民银行汇总形成重要数据具体目录，经国家数据安全工作协调机制审定后，确定重要数据的处理者并告知其对应的重要数据。数据处理者应当建立业务数据资源目录，并从业务关联性、敏感性和可用性方面分别做好业务数据分类，业务数据的结构化数据项应当逐一标识敏感性。业务数据资源目录应每年至少更新一次。《管理办法》第三章、第四章则详细规定了全流程业务数据安全管理要求和技术要求，具有较强的参考性。

《管理办法》要求，重要数据的处理者应当自行或者委托第三方评估机构，每年对业务数据开展一次风险评估，并于每年1月15日前向中国人民银行或者住所地中国人民银行省级分支机构报送上一年度风险评估报告。数据处理者每三年至少开展一次业务数据安全合规审计，重要数据的处理者应当每年至少开展一次与重要数据安全相关的合规审计。发生重大或者特别重大事件后，应当开展专项审计。值得注意的是，《银行保险机构数据安全管理办法》也有类似数据安全风险评估与数据安全审计要求，二者关系如何协调有待进一步观察。

5月23日，公安部、国家互联网信息办公室等六部门联合公布《国家网络身份认证公共服务管理办法》，旨在推进国家网络身份认证公共服务建设，保护公民身份信息安全。《管理办法》自2025年7月15日起施行，共16条，办法明确了网号、网证的概念及申领方式。网号，是指与自然人身份信息相对应，由字母和数字组成、不含明文身份信息的网络身份符号；网证，是指承载网号及自然人非明文身份信息的网络身份认证凭证。

网号、网证可用于在互联网服务及有关部门、行业管理、服务中非明文登记、核验自然人真实身份信息。持有有效法定身份证件的自然人，可以自愿向国家网络身份认证公共服务平台申领网号、网证。互联网平台按照自愿原则接入公共服务，依法履行个人信息保护和核验用户真实身份信息的义务，并应当保障未使用网号、网证但通过其他方式登记、核验真实身份的用户与使用网号、网证的用户享有同等服务。公共服务平台仅限收集网络身份认证所必需的信息，处理个人信息或者向自然人提供公共服务，应当依法履行告知义务并取得其同意。

5月30日，国家网信办发布《数据出境安全管理政策问答（2025年5月）》，指导数据处理者合规开展数据跨境活动。根据有关问题答复，各部门正在制定相关行业、领域的数据分类分级标准规范和重要数据识别申报规则，为本行业、领域的数据处理者识别申报重要数据提供具体依据和操作指导。数据处理者应当按照相关标准规范、申报规则和有关主管部门的要求，及时做好重要数据识别、申报工作。相关行业主管部门对数据处理者申报重要数据进行认定，对确认为重要数据的，将及时向数据处理者告知或者公开发布。没有发布行业、领域的数据分类分级标准规范和重要数据识别申报规则，数据处理者也没有被有关部门告知应当进行重要数据识别申报的，未识别申报重要数据，未对相关数据进行重点保护，不会被认定为违反重要数据保护相关规定，不会因此受到行政处罚。

数据处理者应当按照相关规定识别、申报重要数据，未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估，相关数据出境活动不会被认定为违法违规出境重要数据，不会因此受到行政处罚。

2025年5月30日，国家网信办就《网信部门行政处罚裁量权基准适用规定（征求意见稿）》（“《适用规定（征）》”）公开征求意见。《适用规定（征）》共20条，旨在规范网信部门行政处罚行为，适用于网信部门依据行政处罚裁量权基准行使行政处罚裁量权。

规定所称行政处罚裁量权基准，是指网信部门在实施行政处罚时，按照裁量涉及的违法行为的事实、性质、情节、社会危害程度、当事人主观过错等因素，对法律、法规、规章中的原则性规定或者具有一定弹性的执法权限、裁量幅度等内容进行细化量化而形成的具体执法尺度和标准。

依据规定，网信部门行政处罚裁量权基准划分为不予处罚、减轻处罚、从轻处罚、一般处罚、从重处罚等裁量阶次。其中，从重处罚包括：违法行为严重危害网络信息内容安全、网络运行安全、网络数据安全的，违法处理个人信息或者处理个人信息未履行个人信息保护义务情节严重的；因同种违法行为一年内受到网信部门两次以上行政处罚的；违法行为引起群众强烈反映，引发群体性事件或者造成其他不良社会影响的；违反未成年人保护相关规定情节严重的等九种情形。从重处罚的罚款数额应当在法定最低限至法定最高限幅度或者倍数区间超过70%的数额。

根据《个人信息保护合规审计管理办法》规定，专业机构应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等。5月26日，全国网安标委发布《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求》，支撑个人信息保护合规审计工作，落实合规审计中专业机构相关规定。《实践指南》从基本条件、管理能力、专业能力、人员能力、场所与设备资源能力五个方面规范了专业机构提供个人信息保护合规审计服务的能力要求，可用于规范专业机构个人信息保护合规审计活动。

《个人信息保护法》《网络数据安全条例》规定个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。5月26日，全国网络安全标准化技术委员会发布《网络安全标准实践指南——个人信息保护合规审计要求》。《审计要求》提出了个人信息保护合规审计原则，规定了个人信息保护合规审计的总体要求、实施流程、内容和方法。开展个人信息保护合规审计，应当遵循合法性、独立性、客观性、公正性、专业性、保密性原则。个人信息保护合规审计实施流程包含审计准备、审计实施、审计报告、问题整改、归档管理5个阶段。附录部分给出了个人信息保护合规审计证据类型及有效性要求、个人信息保护合规审计底稿模板及个人信息保护合规审计报告模板。

为深入贯彻落实《中共中央办公厅、国务院办公厅关于健全社会信用体系的意见》，国家发展改革委、公安部、国家数据局于5月9日发布《关于全面推行以专项信用报告替代有无违法违规记录证明的通知》。开展以专项信用报告替代有无违法违规记录的证明（以下简称“信用代证”）是使用基于信用信息共享平台汇集的各领域违法违规信息形成的专项信用报告，替代多个行政机关单独出具的有无违法违规记录的证明。信用代证是政务数据共享的典型实践，实现“一份信用报告代替一摞证明”，是惠企便民的重要举措。《通知》要求夯实专项信用报告数据基础，各省（区、市）专项信用报告应至少涵盖行政处罚、行政强制、严重失信主体名单和刑事裁判等信息，强化数据质量管理，建立数据异议反馈、核查修正机制，持续提高数据的全面性、真实性、准确性。

同时，《通知》明确“信用代证”的适用对象包括企业、个体工商户、农民专业合作社等各类经营主体，鼓励有条件的地方将“信用代证”工作拓展至社会组织和自然人。通知要求各省级社会信用体系建设牵头部门依托省级信用网站，建立专项信用报告查询专区，完善查询、下载、咨询、投诉等服务功能，免费向社会提供服务。《通知》还强调建立专项信用报告跨省互认机制，完善信息主体信息异议申诉机制。

5月12日，为加强地理信息数据安全保护，促进地理信息数据流通交易和开发利用，自然资源部印发了《地理信息数据分类分级工作指南（试行）》。《指南》包括四方面主要内容：

一是明确地理信息数据分类分级原则，在数据分类、数据分级、目录管理与更新等各环节均应遵循“科学实用、综合判定、动态更新”原则。

二是确定数据分类规则，将地理信息数据分为基础地理信息数据、遥感影像数据和专题地理信息数据三大类，大类下再细分若干中类，同时可根据数据管理实际和应用服务场景再细化分类。

三是提出数据分级规则，确定了识别地理信息数据分级因素、开展数据影响分析和综合评估定级的分级规则，同时给出了重要数据、核心数据识别的判定指标。

四是明确分类分级管理要求，规定了地理信息重要数据目录申报、审核、认定等相关工作程序，以及动态更新情形与更新管理等若干要求。下一步，自然资源部将开发重要数据目录系统，实现全国地理信息重要数据目录一站式申报、审核、查询、检索和更新。

5月30日，国家网信办发布《关于开展人脸识别技术应用备案工作的公告》。根据《人脸识别技术应用安全管理办法》第十五条规定，应用人脸识别技术处理的人脸信息存储数量达到10万人的个人信息处理者，应当向所在地省级网信部门履行备案手续。人脸识别技术应用备案采用线上方式，依据公告要求，（一）自2025年6月1日起，应用人脸识别技术处理的人脸信息存储数量达到10万人的，应当自数量达到之日起30个工作日内履行备案手续。（二）2025年6月1日前，应用人脸识别技术处理的人脸信息存储数量已经达到10万人的，应当在2025年7月14日前履行备案手续。（三）备案信息发生实质性变更的，应当在变更之日起30个工作日内办理备案变更手续。

5月21日，公安部印发《公共安全视频图像信息系统监督管理工作规定》，保障《公共安全视频图像信息系统管理条例》（“《条例》”）的实施。根据《条例》第十四条，公共安全视频系统管理单位应当在系统投入使用之日起30日内，将单位基本情况、公共安全视频系统建设位置、图像采集设备数量及类型、视频图像信息存储期限等基本信息，向所在地县级人民政府公安机关备案。根据《工作规定》，公共安全视频系统管理单位可以通过线上或者线下方式办理规定的备案。公安机关根据工作需要，通过一般检查和专业检查方式，对公共安全视频系统的建设使用情况依法开展监督检查。

检查内容包括：（一）建设安装主体是否符合《条例》规定；（二）是否设置显著的提示标识；（三）是否拍摄涉密单位信息；（四）是否备案以及备案信息是否真实；（五）系统是否正常运行；（六）是否建立系统监看、管理等重要岗位人员的入职审查、保密教育、岗位培训，以及信息调用登记等管理制度；（七）视频图像信息的保存期限是否符合《条例》规定；（八）是否按照相关标准开展公共安全视频系统建设，并妥善保管设计、施工、检验、验收等工作的档案资料；（九）图像采集设备的安装位置、拍摄角度和数据采集范围是否符合《条例》和强制性标准规定；（十）公共安全视频系统采用的产品、服务是否符合国家标准的强制性要求；（十一）是否采用完善的防攻击、防入侵、防病毒、防篡改、防泄露等安全技术措施；（十二）是否定期维护设备设施；（十三）是否采取规范内部人员查阅处理视频图像信息的授权管理、访问控制等技术措施。

上海市网信办等五部门曾于2025年2月8日印发数据出境负面清单管理办法、负面清单（2024版）、数据出境负面清单实施指南（试行）。为进一步落实《促进和规范数据跨境流动规定》等文件精神，临港新片区构建“负面清单+操作指引”相结合的数据跨境流动新机制。本轮操作指引聚焦再保险、国际航运、生物医药3个领域，内容包括说明、场景名称、场景描述、数据基本特征与描述与备注5个方面。其中，再保险领域包括财产险再保险、人身险再保险等3大场景11个子场景，国际航运领域包括国际集装箱舱位交易、船检和船舶管理等5个领域，生物医药领域包括组织商业合作伙伴管理、跨境购买药品等9个场景。有合规化需求的数据处理者可通过临港新片区数据跨境服务中心进行咨询，并通过数据便捷流通公共服务管理平台申报备案，开展数据跨境流动。

5月8日，最高人民法院发布法答网精选答问（第十九批）。其中，就个人是否可以通过直接起诉的方式行使查阅、复制、更正、删除个人信息等权利的问题，答疑意见认为，个人因行使个人信息查阅、复制、更正、删除等权利而向法院起诉的，应当根据个人信息保护法第五十条第二款的规定，提供个人信息处理者拒绝个人行使权利请求的初步证明材料，证明其诉讼请求具有一定的事实依据。在受理该类案件时，法院对当事人提交的初步证明材料只作形式审查，而不作实质审查；有关证明材料能否达到证明目的，应否被采信作为认定事实的依据，则在审理程序中解决。

从保障当事人诉权的角度来说，对于个人信息处理者“拒绝个人行使权利请求”的把握也不宜过于严苛，此“拒绝”应当既包括个人信息处理者以口头或书面方式作出拒绝的意思表示，也包括个人信息处理者在合理期限内未对个人的请求作出回复等多种情形。

5月13日，工业和信息化部公开征求对《儿童手表安全技术要求》强制性国家标准（征求意见稿）的意见。文件规定了儿童手表的安全技术要求，描述了相应的试验方法。标准的适用对象为 3 周岁及以上，14 周岁以下儿童使用的手表。标准在网络安全（包括信息安全、数据安全和个人信息保护、内容安全）、网络沉迷防治、生物特征识别等多方面对儿童手表提出了具体要求，包括制定专门的儿童个人信息处理规则，不向应用程序默认开放麦克风摄像头、定位、通讯录短信等权限，账号的解绑和注销应通过儿童智能手表管理端由监护人进行操作，不可预置生成式语音问答应用程序等，指导儿童手表企业进行有效的供应链质量管理和风险管理以及提高产品质量。

5月13日，上海市通信管理局发布《关于开展“浦江护航”2025年电信和互联网行业数据安全专项行动的通知》。本次专项行动适用范围为上海市电信和互联网行业数据处理者。其中，重点对象为在电信和互联网行业运营重要网络信息系统或处理重要数据、1000万人以上个人信息的电信业务经营者。本次专项行动有七大重点任务，分别是：促进电信和互联网行业数据要素安全流通和利用，推动跨行业数据协同和价值释放；深化行业首席数据官制度落地实施；深入推进重要数据识别认定及本单位重要数据目录管理；加强行业数据安全风险评估管理，处理电信领域重要数据或1000万人以上个人信息的企业，应自行或委托具有工业和信息化数据安全工作能力的第三方机构每年对其数据处理活动至少开展一次风险评估；加强数据对外共享安全管理，对数据合作方的数据安全保障能力及履约情况进行监督审查；加强互联网数据中心客户数据安全保护；加强数据安全风险防范及应急处置，落实工业和信息化部“数安护航”行动要求。

5月26日，商务部、国家发展改革委、教育部、工业和信息化部、交通运输部、农业农村部、税务总局、国家数据局八部门联合印发了《加快数智供应链发展专项行动计划》，明确在农业、制造业、批发业、零售业等重点领域加快数智供应链发展，推动有效降低全社会物流成本。重点任务包括：培育数智供应链领军企业；探索推进供应链数据交易，鼓励供应链领军企业、行业协会等主体探索数据确权机制，制定数据资产认定、质量评价、流通交易等系列标准，合法合规开展数据交易；通过加密技术、零信任、关键数据备份等措施，保障供应链数据流动安全；加强政府部门、行业协会、科研院所、供应链领军企业等合作，建立数智供应链协调推进机制，统筹推动重要产业链供应链数智化建设；加强数智供应链人才培育，鼓励建立首席供应链官、首席数据官制度。

5月28日，工业和信息化部、国家发展改革委、国家数据局三部门联合印发《电子信息制造业数字化转型实施方案》，进一步推动电子信息制造业数字化转型、智能化升级，巩固电子信息制造业稳增长内生动力。其中提到：推动数据要素价值加快释放，引导企业建立健全数据管理制度，推动数据管理相关标准贯标；打造锂电池、光伏、消费电子、新型显示等重点产品全生命周期碳排放可信数据空间；加快制定主数据、元数据、数据质量、数据管理等数据标准，推动数据管理国家标准贯标；强化网络和数据安全治理，推进电子信息制造业细分行业领域重要数据识别等标准规范研制，指导企业开展重要数据识别与目录备案，加强分类分级防护。

5月19日，国家互联网信息办公室发布第十一批境内深度合成服务算法备案信息，本批次共有211项算法完成备案。根据《互联网信息服务深度合成管理规定》第十九条的规定，具有舆论属性或者社会动员能力的深度合成服务提供者，应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照履行备案和变更、注销备案手续。尚未履行备案手续的深度合成服务提供者和技术支持者应当尽快申请备案。

2025年4月27日，中国人民银行北京市分行作出银京罚决字[2025]45号行政处罚决定，某汽车金融（中国）有限公司因未经同意查询个人信息或企业的信贷信息被处以90.1万元罚款。时任中国区IT总监因对违规行为负有直接责任被罚款10万元。

对于网络服务提供者在名誉权侵权案件中是否应当承担责任的问题，应当重点把握以下两点：

其一，网络服务提供者在接到受害人的通知后是否及时转送行为人或采取必要措施。需要注意的是，对于以营利为目的的网络服务提供者的法律责任认定，尚不能完全局限于是否依法履行通知转送、删除等义务。因为作为以内容获取点击量和广告收入的网络服务提供者，其对于侵权行为人发布的谣言及不实内容，非但没有直接经济利益损失，相反还可能获取网页点击量，得到经济收入，甚至还可能提高其影响力和知名度。故对于以内容获取点击量和广告收入的网络服务提供者，还应当承担与其收益相对应的注意义务。在判断网络服务提供者应当采取哪些必要措施时，应当充分考虑该因素。依据过往案例，可结合法律规定、技术手段、获利模式、公众利益四个维度，将网络服务提供者的注意义务在“通知-删除”的基础上延伸为“必要预防措施+删除”，从而平衡权利人、网络服务提供者和社会公众的利益。

其二，网络服务提供者是否知道或者应当知道行为人对受害人实施了侵权行为。具体而言，需要考察两个方面：一是主观上网络服务提供者对有关信息和事实的知悉状态，二是客观上违背对其传输的信息应尽到的合理注意义务。对于前者，判断的直接证据可以是网络服务提供者的工作人员明确承认、相关文件的明确记载等。对于后者，注意义务的设置应当在网络服务提供者实际履行能力的范围之内。

答复意见认为，尽管现有法律未明确规定网站登录信息、观影信息是否为个人信息保护法的保护客体，但是上述信息明显具有与个人喜好密切相关的可识别性，对视频网络平台而言则具有营销价值。因此，认定视频平台用户登录信息和观影记录为个人信息进而加以保护，具有合理合法性。

在用户注册会员时，视频平台的经营者通常会告知将收集用户登录记录和浏览观影记录；而作为一般用户，对平台收集自己的登录记录和浏览观影记录也是明知的。故在平台已明确告知并获得用户同意的情形下，收集该记录通常并不构成侵权。但是，视频平台作为个人信息的收集人，对相应信息的使用应当以合法、正当、必要为边界，并遵循诚信原则，否则仍然可能成立侵权。

为进一步提高ICP备案信息的准确率，2025年5月19日，上海市通信管理局发布了关于清理空壳类ICP备案数据的公示（20250519批次），其中公示了存在空壳信息的842个网站、6款移动应用、130款小程序以及701个主体。上海市通信管理局要求相关ICP备案主办者尽快联系互联网接入服务企业，履行ICP备案手续，并完成备案信息真实性核验工作。公示期满后，上海市通信管理局将依法对未落实整改的ICP备案数据予以注销。

依据中央网信办等四部门发布《关于开展2025年个人信息保护系列专项行动的公告》，工信部近期对APP、SDK违法违规收集使用个人信息等问题开展治理。根据2025年5月29日工信部发布的关于侵害用户权益行为的APP（SDK）通报（2025年第二批，总第47批），49款APP及SDK存在侵害用户权益行为，所涉问题包括：超范围收集个人信息、APP强制、频繁、过度索取权限等问题、APP频繁自启动或关联启动、违规收集个人信息、应用分发平台上的APP信息明示不到位、信息窗口乱跳转、信息窗口无法关闭、SDK信息公示不到位，SDK使用说明不完整等。

2025年5月13日消息，国家计算机病毒应急处理中心检测发现65款移动应用存在违法违规收集使用个人信息情况。具体违法违规情况包括在APP首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；以默认选择同意隐私政策等非明示方式征求用户同意；隐私政策难以访问；个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。

2025年5月20日，公安部计算机信息系统安全产品质量监督检验中心公布35款违法违规收集使用个人信息的移动应用。主要违法违规情况包括：违反规定包括未以结构化清单的方式逐一列出收集、使用个人信息规则；实际收集的个人信息超出用户授权范围；个人信息保护政策中描述收集的个人信息与业务功能无直接关联；在配置文件中声明与移动应用的所有业务功能均没有直接关联的权限；申请的可收集个人信息的权限与业务功能没有直接关联；提前要求用户授权当前未使用的特定功能所需的权限；提前要求用户填写当前未使用的特定功能需要的个人信息；实际收集的个人信息与业务功能没有直接关联；实际收集个人信息的频率与业务功能没有直接关联；未向用户提供更正或补充其个人信息的具体途径；广告存在误导、欺骗用户行为。

2025年4月28日，美国国会众议院通过了《删除法案》（TAKE IT DOWN Act）。5月19日，总统特朗普签署了该法案。这是美国首个联邦层面的涉及人工智能生成内容监管的法案，聚焦于打击未经同意传播的私密影像（包括AI生成的“深度伪造”内容），强化了平台责任与受害者保护。法案主要内容涉包括：

（1）设立了刑事条款：传播成年人非自愿私密内容最高可判处两年监禁，涉及未成年人时最高可判处三年监禁。同时明确了执法司法、医疗教育、合法举报、本人自愿发布等情形可豁免刑事责任。

（2）定义了“网络平台”的范围：“网络平台”指用户能够发布相关文字、图片、音频、视频、游戏等内容的网站、应用及网络服务，排除了如电子邮件、宽带服务、新闻网站等非用户提供内容的平台。

（3）确定了平台删除义务：用户生成内容平台应在48小时内删除举报内容，并尽力清除副本。

（4）强制设立举报系统：强制平台建立标准化举报流程，需包含电子签名、内容定位及非自愿声明。

（5）设立了平台免责条款：平台基于善意判断删除内容可免责，但需公示流程并使用通俗语言说明。

2025年5月7日，欧盟与新加坡正式签署了《数字贸易协定》（Digital Trade Agreement，DTA）。该协定是对2019年《欧盟-新加坡自由贸易协定》（EUSFTA）的补充，旨在为数字贸易制定更高标准的约束性规则，消除不合理壁垒，并增强法律确定性。

协定的核心内容包括以下几方面：一是禁止数据本地化：双方不得强制企业将数据存储或处理本地化，也不得要求使用特定网络设备作为跨境数据流动前提。二是构建可信数据流动框架：延续“可信数据自由流动”（DFDI）原则，在保障隐私和国家安全前提下促进数据跨境流动。三是强化源代码保护：禁止强制企业转让或开放源代码作为市场准入条件。四是强化隐私保护：维持高水平的个人数据保护标准，要求公开数据跨境传输规则及救济途径。五是打击网络欺诈：要求加强电子交易中的消费者权益保护，打击误导性商业行为。六是加强中小企业支持，提高数字包容性：推动电子支付、电子发票互通及无纸化贸易，降低中小企业参与全球价值链的门槛。七是人工智能与网络安全：要求加强监管对话，探索AI伦理和网络安全威胁应对合作。八是开放政府数据：推动公共数据开放，促进创新应用，尤其惠及中小企业。

欧盟和新加坡正按规定程序推进协定批准，后续还需欧洲议会批准生效。

2025年5月9日，美国版权局预发布了关于人工智能与版权法系列报告的第三部分。该报告探讨了使用受版权保护的材料训练生成式人工智能模型的法律影响。

报告全面审查了使用特定版权作品是否构成合理使用时应考虑的四个非排他性因素：一是使用的目的和性质，包括此类使用是否属于商业性质或用于非营利性教育目的；二是版权作品的性质；三是所使用部分相对于整个版权作品的数量和实质性；四是使用对版权作品的潜在市场或价值的影响。报告的结论是，第一和第四个因素可能比其他因素更重要，但合理使用的判定“需要根据具体情况平衡多项法定因素”，并需针对个案分别处理。

报告指出，在创作者权利是否以及在多大程度上优先于合理使用权，以及合理使用权与创作者权利之间是否存在冲突的问题上，市场化途径将比政府干预提供更好的替代方案。同样，人工智能技术的发展或许可以在不牺牲质量的情况下减少未经授权的作品数量。

欧盟《数据法案》（Data Act）将于2025年9月12日全面实施。2025年4月29日，汉堡数据保护和信息自由专员（HmbBfDI）发布了《数据法案》指南。该指南确定了企业为应对《数据法案》的实施应采取的关键步骤，包括数据映射、更新数据共享协议、标记商业秘密、响应用户的访问权等。该指南分析了GDPR与《数据法案》下个人数据保护相关义务之间的相互关系，指出发生法律冲突时应优先适用GDPR。

2025年4月30日，法国国家信息与自由委员会（CNIL）发布了2024年年度执法报告，并针对2024年大规模数据泄露事件激增的情况，发布了强化大型数据库安全保障的合规建议。

建议包括四方面：一是通过多因素身份验证确保信息系统的安全外部访问；二是记录、分析并限制流经信息系统的数据流；三是定期组织内部员工、外部数据处理者开展隐私保护和数据安全培训；四是有效监督数据处理者的数据安全情况，数据控制者与数据处理者签订数据处理协议以明确处理期限、范围、目的、处理指令、数据泄露通知等相关事项，并定期予以审计或检查。

2025年5月23日，欧盟委员会就人工智能数据使用、简化数据规则以及国际数据流动向公众征求意见，以便为即将出台的数据联盟战略提供信息。

数据联盟战略是欧洲打造人工智能大陆计划（AI continent action plan）的重要组成部分。该战略将帮助欧盟建立人工智能所需的高质量、可互操作和多样化的数据集，利用数据潜力，支持生成式人工智能的发展。该战略旨在确保数据政策、基础设施和法律文书之间的一致性。它将在现有工作的基础上，实现可信的跨境数据流动，支持通用数据空间及其与人工智能生态系统的联系，并确保数据共享的信任。

2025年4月27日，沙特数据和人工智能管理局（SDAIA）就《〈个人数据保护法〉实施条例》修正案草案公开征求意见。该修正案中的部分关键修订包括：

（1）对隐私政策的新要求：拟议的修正案强调了起草隐私政策的重要性，要求隐私政策的语言应与向个人提供服务或产品时通常使用的语言相匹配。

（2）对发送广告的同意新要求：拟议的修正案建议删除此前规定的如果控制者与接收者有过互动，豁免控制者获取同意的条款。据此，在沙特发送所有广告和宣传材料都需要获取同意。

（3）对营销同意的新要求：根据现行的《实施条例》，组织需要获得同意，才能出于直接营销目的处理个人数据。拟议的修正案建议删除“直接营销”的定义，仅要求同意将个人数据用于“营销”目的。

（4）扩大向SDAIA注册的范围：增加了在组织将个人数据传输到沙特阿拉伯之外时向SDAIA注册的要求。

（5）增加了对控制者回应请求的时间要求：要求控制者在10个工作日内回应SDAIA关于遵守PDPL及其实施条例的请求。

（6）取消了数据主体投诉的时间限制：拟议的修正案建议取消之前提交投诉的90天限制，允许数据主体随时提出投诉。

5月2日，韩国个人信息保护委员会（PIPC）召开会议，审议 SK 电讯数据泄露事件，黑客攻击 SKT 家庭用户服务器导致约 2500 万用户数据泄露，SK 电讯在事件发生后未按《个人信息保护法》（PIPA）第34条规定向全体数据主体履行个案数据泄露通知义务，提出的应对方案也因库存不足等问题未能有效实施，且服务获取方式对弱势群体（老年人和残疾人）不友好。

PIPC 决议要求 SK 电讯立即通知用户数据泄露事件，七日内提交事件应对措施执行结果，针对弱势群体制定差异化隐私保护措施，同时 PIPC 将持续监督并推进对 SK 电讯数据处理系统的全面审查，后续还将依法采取处罚措施 。

5月7日，意大利隐私监管机构对Acea Energia Spa及其关联公司展开调查，发现其通过非法获取用户个人数据（包括电话号码、税号、电表信息等）并虚构技术故障威胁，利用激进电话营销手段迫使用户更换能源供应商，期间高管与营销团队存在直接利益关联。

意大利数据保护局称该行为违反《通用数据保护条例》（GDPR）第5条（合法透明原则）、第6条（处理合法性基础）及第7条（有效同意要求），且未履行数据安全保护义务（第32条）。监管机构据此对Acea Energia处以300万欧元罚款，涉案机构网络共罚85万欧元，并责令其通报受影响用户、核查次级责任方及禁止使用非法联系人名单。

5月8日，佛罗里达州数据经纪商国家公共数据公司（Jerico Pictures）因涉嫌违反加州《删除法案》被加州隐私保护局调查，该公司不仅未能按时注册并缴纳年费，更在2024年9月调查启动后才延迟注册。此前该公司曾因数据泄露事件引发关注，导致29亿条含社保号等敏感信息的外泄。执法部门于2025年2月提起行政诉讼，最终因企业未应诉而直接下达处罚决定。

根据加州《删除法案》，数据经纪商须依法注册并缴纳年费以支持消费者数据删除机制建设，违者将面临最高法定处罚。加州隐私保护局裁定企业缴纳4.6万美元罚款（法律规定的最高额），该行政处罚标志着针对企业注册违规行为的执法行动告终。案件同时推动建立全美首个跨平台数据删除系统DROP，预计2026年上线。

5月9日，美国德克萨斯州总检察长肯·帕克斯顿与谷歌达成13.75亿美元和解协议，创全美各州依据隐私法对科技公司索赔最高纪录，该案源于2022年对谷歌非法追踪用户位置、误导隐身模式隐私保护及未经同意收集生物识别数据（如面部特征和声纹）的指控，和解金额远超单一州最高9300万美元及多州联盟3.91亿美元赔偿，帕克斯顿强调此举维护了德州居民隐私权并警示企业不得滥用公众信任，此前他还主导了针对Meta非法使用面部识别数据的14亿美元和解案，凸显其通过激进执法推动科技巨头数据合规的立场。

5月15日，韩国个人信息保护委员会（PIPC）经调查发现，Temu 在运营中未在隐私政策披露并通知用户其将个人数据处理和存储委托给韩国、中国等多国企业，且未对受托方有效管理监督，同时未按要求指定国内代理，在卖家招募中还无合法依据处理居民登记号码（RRN）等数据，违反《个人信息保护法》（PIPA），被处以 13.69 亿韩元违规处罚及 1760 万韩元过错罚款，涉及的 Whaleco Technology Limited 和 Elementary Innovation Pte. Ltd. 分别承担相应金额，PIPC 还对其发出整改令及指定国内代理等建议。

5月15日，法国国家信息自由委员会对数字营销企业SOLOCAL MARKETING SERVICES开出90万欧元罚单，该企业因通过数据经纪商及线上抽奖平台非法获取用户信息，并向数百万消费者发送商业推广信息被查处。监管机构发现其数据收集系统存在诱导性设计，包括设置默认勾选框或模糊授权选项等手段，且在调查中未能提供有效用户同意记录，致使数据处理合规性无法核实。

此行为同时违反欧盟《通用数据保护条例》（GDPR）第7条关于数据处理“必须基于用户自愿、明确且充分知情的许可”的核心原则，以及法国《邮政与电子通信法典》（CPCE）第L.34-5条规定的“开展电子商业营销活动应取得个人有效同意”的强制性规定。CNIL在综合考量违规行为波及范围、企业市场影响力及违法所得等因素后，依法作出行政处罚决定。

5月15日，英国纽卡斯尔个体经营者达里安・毕晓普以 ECO4U 名义向英国 TPS（ Telephone Preference Service register ）登记册人员拨打超 19.4 万次涉及锅炉和太阳能补贴的非法营销电话（通话中暗示与政府计划有关），其声称的 Facebook 广告获同意被投诉人否认，且其曾因类似行为被调查，因违反 “未经 TPS 登记册人员明确同意不得拨打营销电话” 的法律规定，被处以 5 万英镑罚款并收到执法通知。

意大利数据保护局（GPDP）经调查认定，美国公司 Luka Inc. 开发的 AI 聊天机器人 “Replika” 存在多项违反《通用数据保护条例》（GDPR）的行为，包括未明确用户数据用于大语言模型（LLM）训练的合法依据、隐私政策未披露数据处理目的及存储期限等透明度缺陷、未成年人年龄验证机制失效（用户可随意篡改年龄且无技术拦截），以及未采取措施防止向未成年人提供不当内容。基于上述违规事实，意大利监管机构于 2025 年 5 月 19 日对 Luka Inc. 处以 500 万欧元罚款，责令其限期整改隐私政策与年龄验证系统，并启动独立调查以核查其生成式 AI 数据处理全流程的合规性。

5月22日，罗马尼亚国家个人数据处理监督局（ANSPDCP）宣布完成对运营商Dumitru Viorel Focșa的调查，认定其违反《通用数据保护条例》（GDPR）第5条第1款a项及第6条第1款规定。该运营商因在Facebook（Meta）页面的公开帖子中披露投诉人的姓名、姓氏及电话号码，且未取得其同意或满足GDPR第6条第1项规定的其他合法处理条件，被处以4,977.30列伊（按BNR适用汇率折合1000欧元）的行政罚款。调查系基于投诉人对数据保护违法行为的举报启动，ANSPDCP指出，尽管该运营商此前已因类似行为被处罚，但仍再次违规处理个人数据，违反法律要求的合法、公平、透明原则。