
2023 年 7 月 10 日,欧盟委员会通过 EU-US DPF 充分性决定,参与框架的美国企业可无额外措施接收欧盟个人数据。本文梳理从安全港、隐私盾到 DPF 的第三次尝试、企业加入清单的认证流程与八项原则,以及未列入清单时仍可用 SCC/BCR 的选项。

2023 年 7 月 17 日,挪威数据保护局 Datatilsynet 对 Facebook、Instagram 颁临时禁令,禁止 Meta 基于用户位置与网络行为投放个性化广告,逾期未改每日最高罚 100 万挪威克朗。本文说明禁令范围、与爱尔兰 DPC 3.9 亿欧元罚款的关系,以及对广告业务的启示。

2023 年 7 月,瑞典隐私保护局 IMY 认定四家企业用 Google Analytics 将个人数据传至美国违反 GDPR,对 Tele2、CDON 分别罚 1200 万、30 万瑞典克朗,并令其余企业停用。本文说明为何 SCC 之外还需额外保障措施,以及网站运营商可采取的降险措施。

2023 年 5 月,爱尔兰 DPC 依 GDPR 对 Meta 处以 12 亿欧元罚款,创下 GDPR 最高纪录,理由是仅靠标准合同条款(SCC)无法弥补美国法律的保护落差。本文梳理从 Schrems II 到本案的逻辑,说明为何 SCC 未失效、但企业须叠加转移影响评估与补充措施。

2023 年 5 月 3 日,FTC 第三次就隐私问题对 Meta 采取行动,提出五项修改建议,其中全面禁止将 18 岁以下用户数据用于盈利最受关注。本文回溯 Meta 从 2012 年和解、2019 年 50 亿美元罚款到 2023 年新要求的十年,说明为何罚款只是合规整改的第一步。

2023 年 3 月 ChatGPT 引爆生成式 AI 后,监管随即跟进:意大利 4 月 1 日封禁 ChatGPT、OpenAI 上线 AI 安全页面、白宫呼吁两党隐私立法、欧盟 AI Act 进入审议。本文梳理这些动作,说明为何 GDPR 与 CCPA 已足以约束 AI 企业的数据处理。