Colorado 强制 AI 决策披露、Connecticut AI Profiling 08-01 生效、加州 120 天供应商认证——三州正把 AI 合规从趋势推进到作业单。
欧盟委员会2026年4月15日宣布 EU Age Verification App 完成技术开发进入推广,基于零知识证明让用户不披露出生日期即可证明年满18岁。但开源当天安全顾问 Paul Moore 称两分钟内破解,本地存储未加密、生物识别可被逻辑绕过。
2026年2月起,Lenovo、Temu(PDD)、Google 相继在美国卷入涉华数据传输诉讼。私人原告与州检察机关借助州隐私法、消费者保护法与 ECPA,将 EO 14117 的国家安全议题转化为可主张高额赔偿的民事与州级责任,形成对跨境数据合规的多维围剿。
H.R. 7757已获美国众议院通过并转交参议院委员会,但尚未成为法律。本文梳理其对平台默认设置、年龄核验、联网游戏、AI聊天机器人及COPPA 2.0的主要要求。
从 TIDA 移除义务、FTC 披露指南到韩国水印要求——平台内容治理的三条新红线正在从行业自律变成有期限、有后果的监管义务。
EO 14117 实施细则生效一周年,DOJ 国家安全司尚未公开重大执法,但两条路径已在收紧:FinCEN 2026年4月1日发布举报人激励拟议规则,把违反数据安全计划列入 TCR 举报表、最高分成30%制裁金;私人原告与州检察长在集体诉讼中援引 EO 14117。
英国 DUAA 2025 于2025年6月19日颁布,第80条以新的第22A–22D条替换 UK-GDPR 第22条,放宽一般数据的自动化决策、收紧敏感数据处理。ICO 于2026年3月31日更新 ADM 指南草案,明确“实质性人类参与”标准、合法路径与安全保障措施。
2026年3月30日,FTC 就 Match Group 及子公司 Humor Rainbow(OkCupid)向德州北区联邦法院提起诉讼,指控其隐私政策虚假陈述——将约300万用户照片及人口统计、地理位置信息提供给创始人投资、无业务往来的 Clarifai,违反15 U.S.C. § 45(a)。
欧盟《网络韧性法案》(Regulation (EU) 2024/2847)为含数字元素的产品设定强制网络安全要求:2024年12月10日生效、2027年12月11日全面适用,其中第14条报告义务自2026年9月11日起先行落地,最高罚款1500万欧元或全球营业额2.5%。
H.R. 7757已获美国众议院通过并转交参议院委员会,但尚未成为法律。本文梳理其对平台默认设置、年龄核验、联网游戏、AI聊天机器人及COPPA 2.0的主要要求。
欧盟委员会2026年4月15日宣布 EU Age Verification App 完成技术开发进入推广,基于零知识证明让用户不披露出生日期即可证明年满18岁。但开源当天安全顾问 Paul Moore 称两分钟内破解,本地存储未加密、生物识别可被逻辑绕过。
2025年9月至2026年1月,FTC 对面向儿童与陪伴型 AI 产品密集执法。深圳玩具商 Apitor 因集成的极光 JPush SDK 未经家长同意收集儿童位置被罚50万美元;FTC 同时依第6(b)条对七大 AI 公司启动陪伴型聊天调查。运营者须对第三方代码承担严格责任。
从 TIDA 移除义务、FTC 披露指南到韩国水印要求——平台内容治理的三条新红线正在从行业自律变成有期限、有后果的监管义务。
Colorado 强制 AI 决策披露、Connecticut AI Profiling 08-01 生效、加州 120 天供应商认证——三州正把 AI 合规从趋势推进到作业单。
英国 DUAA 2025 于2025年6月19日颁布,第80条以新的第22A–22D条替换 UK-GDPR 第22条,放宽一般数据的自动化决策、收紧敏感数据处理。ICO 于2026年3月31日更新 ADM 指南草案,明确“实质性人类参与”标准、合法路径与安全保障措施。
EO 14117 实施细则生效一周年,DOJ 国家安全司尚未公开重大执法,但两条路径已在收紧:FinCEN 2026年4月1日发布举报人激励拟议规则,把违反数据安全计划列入 TCR 举报表、最高分成30%制裁金;私人原告与州检察长在集体诉讼中援引 EO 14117。
2026年2月起,Lenovo、Temu(PDD)、Google 相继在美国卷入涉华数据传输诉讼。私人原告与州检察机关借助州隐私法、消费者保护法与 ECPA,将 EO 14117 的国家安全议题转化为可主张高额赔偿的民事与州级责任,形成对跨境数据合规的多维围剿。
2025年9月2日,Porcuna v. Xandr 与 Baker v. Index Exchange 两起集体诉讼把 EO 14117 与 ECPA 结合:若拦截行为违反 EO 14117 大宗数据规则,即构成 ECPA 第2511(2)(d)条的犯罪或侵权目的,使 AdTech 无法再援引一方例外抗辩。
2026年3月30日,FTC 就 Match Group 及子公司 Humor Rainbow(OkCupid)向德州北区联邦法院提起诉讼,指控其隐私政策虚假陈述——将约300万用户照片及人口统计、地理位置信息提供给创始人投资、无业务往来的 Clarifai,违反15 U.S.C. § 45(a)。
2025年10月10日,加州北区联邦法院驳回领英的驳回动议,允许三起集体诉讼继续推进。原告指控领英 Insight Tag 像素在用户不知情下从医疗网站抓取 IP、设备标识与健康浏览数据,触发 CIPA 第632条窃听条款与加州宪法隐私权。
2025年9月,爱尔兰广播机构 RTÉ 卧底调查发现约 6.4 万部手机的精确位置数据可被直接购买,轨迹可追踪到军事基地与议会大厦人员的住址。爱尔兰 DPC 于 9月26日对两家公司启动调查。本文梳理事件经过,以及“匿名化”位置数据为何仍可被重新识别、给出海企业带来的合规风险。
欧盟《网络韧性法案》(Regulation (EU) 2024/2847)为含数字元素的产品设定强制网络安全要求:2024年12月10日生效、2027年12月11日全面适用,其中第14条报告义务自2026年9月11日起先行落地,最高罚款1500万欧元或全球营业额2.5%。
2025年12月19日,奥地利最高法院(OGH)终审裁定 Meta 个性化广告数据处理违法,否定「履行合同所必需」抗辩,认定其无差别抓取第三方敏感数据、未完整履行 GDPR 第15条访问权,判赔500欧元。本文拆解三项违规,并给出跨国企业的三点合规指引。
2025年10月14日,ISO/IEC 27701:2025 正式发布,隐私信息管理体系(PIMS)成为独立标准,不再作为 ISO 27001 的扩展。企业可直接认证隐私合规,无需先行或并行实施 27001。本文梳理三条认证路径与第4–10条核心条款。
2026年2月11日,加州总检察长依 CCPA 对迪士尼流媒体开出创纪录的275万美元罚单,指其数据出售/共享退出机制存在三项技术缺陷:退出仅限当前设备与服务、网页退出未阻断第三方追踪像素、GPC 信号仅在单一设备生效。洛杉矶高等法院录入永久禁令。
谷歌与经期追踪应用 Flo Health 因未经明确同意向第三方共享用户生殖健康数据,达成 5600 万美元和解,等待法官 James Donato 批准。本文拆解两项核心违规:违背目的限制、第三方 SDK 失控,以及分层同意与追踪器审计的应对。
FTC 首次执行《消费者告知法案》(INFORM Consumers Act),指 Temu 运营方 Whaleco 未向消费者提供卖家身份与举报渠道,2025年9月5日发布拟议同意令要求支付 200 万美元。本文拆解违规细节及在线市场的披露义务。
2025年9月1日,法国 CNIL 对 SHEIN 爱尔兰子公司开出 1.5 亿欧元 Cookie 罚单。本文拆解四项违规:未经同意即植入广告 Cookie、拒绝按钮缺失、第三方身份未披露、点击“全部拒绝”后仍继续放置 Cookie,并说明为何合规不能只看 GDPR。
Oracle 同意设立 1.15 亿美元的基金,以和解关于其非法收集、使用用户数据的指控。
韩国金融监督院查明 Kakao Pay 在未取得用户同意的情况下,将用户个人信息从韩国跨境传输至中国的支付宝公司,此举或违反韩国《信用信息利用和保护法》。
伊利诺伊州颁布《生物识别信息隐私法》修正案,主要对第10条河第20条作出修订。
德州总检察长曾指控 Meta 在未获得知情同意的情况下非法收集德州居民的生物识别标识符用于商业目的。Meta 同意支付 14 亿美元,以和解该诉讼。
Zellmer 根据伊利诺伊州《生物识别信息隐私法》起诉 Facebook 公司(现更名为 Meta)侵犯其个人隐私权。本文将对该案进行分析。