COPPA 对面向儿童与混合受众的服务设定六项核心义务:直接通知、家长同意、在线通知、家长权利、禁止诱导超量披露、安全保障。本文(下篇)以检查清单形式梳理这六项,并解析 COPPA 对“从儿童处收集的个人信息”的特殊界定与儿童友好隐私政策。
2025年10月23日,加州总检察长办公室宣布就 SB 976《反社交媒体成瘾法案》执行细则征集公众意见,11月5日举行公开会议。此前第九巡回法院推翻禁令、放行成瘾性信息流限制。法案2027年1月生效,焦点是年龄验证与可验证家长同意。
COPPA 把在线服务分为面向儿童、混合受众、一般受众三类,决定是否适用13岁以下儿童的可验证家长同意义务。本文(上篇)梳理法律渊源、两步判断逻辑,并厘清一个常见误区:混合受众下 Age Gate 只能区分用户,不能直接屏蔽儿童。
2025年10月14日,ISO/IEC 27701:2025 正式发布,隐私信息管理体系(PIMS)成为独立标准,不再作为 ISO 27001 的扩展。企业可直接认证隐私合规,无需先行或并行实施 27001。本文梳理三条认证路径与第4–10条核心条款。
2025年10月10日,加州北区联邦法院驳回领英的驳回动议,允许三起集体诉讼继续推进。原告指控领英 Insight Tag 像素在用户不知情下从医疗网站抓取 IP、设备标识与健康浏览数据,触发 CIPA 第632条窃听条款与加州宪法隐私权。
2025年9月4日,CJEU 在 EDPS 诉 SRB 案中裁定:数据是否“可识别”须从控制者视角、在收集时点判断;假名化不能免除控制者的透明度义务。本文梳理判决三大结论、假名化的相对性,以及对企业数据共享实践的影响,EDPB 已就此召集专门利益相关者会议。
谷歌与经期追踪应用 Flo Health 因未经明确同意向第三方共享用户生殖健康数据,达成 5600 万美元和解,等待法官 James Donato 批准。本文拆解两项核心违规:违背目的限制、第三方 SDK 失控,以及分层同意与追踪器审计的应对。
2025年9月,爱尔兰广播机构 RTÉ 卧底调查发现约 6.4 万部手机的精确位置数据可被直接购买,轨迹可追踪到军事基地与议会大厦人员的住址。爱尔兰 DPC 于 9月26日对两家公司启动调查。本文梳理事件经过,以及“匿名化”位置数据为何仍可被重新识别、给出海企业带来的合规风险。
2025年9月12日,EDPB 通过《DSA 与 GDPR 相互关系指南》(Guidelines 3/2025),公众咨询至 10月31日。本文梳理两法互补的定位,以及在通知-行动机制、欺骗性设计、广告透明度、推荐系统、未成年人保护等场景下中介服务商的 GDPR 义务。
2025年9月11日,FTC 依《联邦贸易委员会法》第6(b)条向 Alphabet、Meta、OpenAI、Snap、X.AI、Character Technologies、Instagram 七家公司发布特别报告提交令,调查陪伴型聊天 AI 对儿童青少年的影响、数据处理与商业模式,主要执法抓手为 COPPA。
FTC 首次执行《消费者告知法案》(INFORM Consumers Act),指 Temu 运营方 Whaleco 未向消费者提供卖家身份与举报渠道,2025年9月5日发布拟议同意令要求支付 200 万美元。本文拆解违规细节及在线市场的披露义务。
2025年9月3日,欧盟普通法院在 Latombe 诉委员会案中驳回对 EU-US 数据隐私框架的挑战,确认其充分性决定有效。这是继安全港、隐私盾相继失效后,欧美跨境传输机制首次通过司法审查。本文梳理 DPRC 独立性、批量收集与实质等同三大裁决要点,以及企业仍需保留 SCC 备用方案的原因。
2025年9月1日,法国 CNIL 对 SHEIN 爱尔兰子公司开出 1.5 亿欧元 Cookie 罚单。本文拆解四项违规:未经同意即植入广告 Cookie、拒绝按钮缺失、第三方身份未披露、点击“全部拒绝”后仍继续放置 Cookie,并说明为何合规不能只看 GDPR。
2025年8月18日,Google 与子公司 YouTube 同意支付 3000 万美元,和解 Hubbard 等人的儿童隐私集体诉讼。本文梳理这场持续六年案件的时间线,以及第九巡回法院确立的关键规则:COPPA 无私人诉权,但消费者可援引州法并行起诉。
欧盟委员会2025年7月10日发布《通用人工智能实践准则》,作为 AI Act 通用模型规则的过渡性合规指引。AI Act 已于2025年8月2日生效,准则一年后对新模型、两年后对现有模型强制执行。准则含透明度、版权、安全保障三章,签署方可借此证明合规。
TCPA 立法核心在于规制自动电话营销行为,包括对自动拨号系统的使用以及人工预录语音信息传输的监管,除非事先获得个人的明确同意。尽管该法案常被称作 Do-Not-Call 法规,其监管范畴已超越传统“call”的语音通信。
判断企业是否落入美国 EO 14117 监管,看三件事:是否涉及美国人的受保护敏感数据、是否达到批量门槛、是否通过受涵盖交易流向中国等关注国家。行政令2025年4月8日生效、审计要求10月6日生效,违规面临刑事责任与千万级罚款。本文给出自测清单。
2025年6月,越南正式通过《个人数据保护法》(PDPL),该法标志着越南正式建立起覆盖全国范围的、统一的个人数据保护法律框架。该法律将于2026年1月1日起施行,是当前越南最严格、全面的隐私法规,届时将取代2023年发布的《第13/2023/NĐ‑CP号法令》(PDPD)。
美国前总统拜登于当地时间2025年1月16日签署了行政命令 14144。美国现任总统特朗普在当地时间6月6号发布了对原有的 EO 14144 的一系列修订,使得指令更加聚焦。
2025年6月20日,纽约州《儿童数据保护法案》(New York Child Data Protection Act,简称NYCDPA)正式生效。该法案的出台,旨在填补联邦立法《儿童在线隐私保护法案》(Children's Online Privacy Protection Act,简称COPPA)在儿童用户年龄覆盖、数据控制权和技术适应性等方面的空白,标志着州一级在儿童及青少年数据保护领域迈出关键一步。
2025 年 5 月 21 日,希腊数据保护局(Hellenic Data Protection Authority,HDPA)发布第 18/2025 号决定,因 DeepSeek 向欧盟数据主体提供人工智能服务,要求其指定一名欧盟代表。
2025年6月3日,斯德哥尔摩上诉行政法院裁定,Spotify AB在处理个人数据过程中未充分履行 GDPR 规定的信息透明度义务,维持瑞典隐私保护局(Integritetsskyddsmyndigheten, IMY)于 2023 年对其作出的 5800 万瑞典克朗行政罚款决定。
2025年6月3日,斯德哥尔摩上诉行政法院裁定,Spotify AB在处理个人数据过程中未充分履行 GDPR 规定的信息透明度义务,维持瑞典隐私保护局(Integritetsskyddsmyndigheten, IMY)于 2023 年对其作出的 5800 万瑞典克朗行政罚款决定。
马来西亚《个人数据保护法》修正案自2025年6月1日起全面生效,引入任命数据保护官、数据泄露通报机制及数据可携权等关键制度。为配合新法落地,监管机构发布《DPO 指南》和《数据泄露通知指南》,进一步规定企业合规责任与风险管理要求。