《网络数据安全管理条例》已经2024年8月30日国务院第40次常务会议通过，自2025年1月1日起施行。《条例》旨在规范网络数据处理活动，保障网络数据安全，促进网络数据依法合理有效利用，保护个人、组织的合法权益，维护国家安全和公共利益。《条例》明确鼓励网络数据在各行业、各领域的创新应用，对网络数据实行分类分级保护，积极参与网络数据安全相关国际规则和标准的制定，加强行业自律，禁止非法网络数据处理活动。要求网络数据处理者履行建立健全网络数据安全管理制度、安全风险报告、安全事件处置等义务。

9月10日，国家网信办发布《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同实施指引》，旨在促进大湾区内个人信息的安全有序流动，推动区域发展。根据指引，内地和澳门之间的个人信息处理者及接收方可通过订立标准合同进行跨境数据流动，但重要数据除外。个人信息处理者需告知信息主体或获得同意，并仅能向大湾区内的组织或个人提供信息。跨境信息提供前需进行个人信息保护影响评估。标准合同生效后，需在规定时间内向相关部门备案。如信息处理目的或方式变更，需重新评估和订立合同。违规行为可被投诉举报，发生信息安全事件时需立即采取补救措施并通知监管机构。

9月14日，国家网信办公布《人工智能生成合成内容标识办法（征求意见稿）》，旨在规范人工智能生成合成内容的标识，保护公民和组织合法权益，维护社会公共利益。适用本办法的服务提供者需对通过人工智能技术生成的文本、图片、音频、视频等信息进行显式或隐式标识。显式标识需明显提示用户，隐式标识则通过技术手段添加至文件数据中。服务提供者须确保下载或复制的内容包含显式标识，并在文件元数据中添加隐式标识。此外，服务提供者应规范内容传播，核验隐式标识，并在必要时添加提示标识。违反标识规定的，将依法受到处罚。

9月27日，国家网信办发布《终端设备直连卫星服务管理规定（征求意见稿）》，以促进和规范终端设备直连卫星服务健康发展。征求意见稿包含总则、发展与促进、设备设施与服务管理、监督管理和法律责任、附则五个部分，适用于向中华人民共和国境内提供终端设备直连卫星服务，以及在中华人民共和国境内生产、组装、提供、销售和使用支持直连卫星服务的终端设备。征求意见稿一方面明确了终端设备直连卫星产业的发展与促进措施，另一方面将分散于其他法律、行政法规和部门规章中的有关管理规定进行整合，明确了对于终端设备、终端设备直连卫星服务和有关基础设施的管理要求。

国家数据局于9月27日就《关于促进数据产业高质量发展的指导意见》公开征求意见。其中提到研究制定《国家数据标准体系建设指南》，加快推动数据资源、数据技术、数据流通利用数据基础设施等标准规范研制。加强国际国内数据标准衔接，积极参与国际数据治理规则制定。

《意见》提出，完整、准确、全面贯彻新发展理念，着力推动高质量发展，统筹数据发展和安全，以深化数据要素市场化配置改革为主线，以激发企业创新活力为关键，以健全企业数据权益实现机制为重点，充分发挥企业主体作用，分类推进企业数据资源开发利用，提升企业竞争力，赋能产业数字化转型，助力提升治理效能和公共服务能力，为培育新质生产力、推动高质量发展提供有力支撑。

8月29日，工信部发布《关于推进移动物联网“万物智联”发展的通知》，旨在推动社会经济数字化转型，加快移动物联网与行业融合，助力数字化和新型工业化。中国已成为全球首个实现移动物联网终端用户数超过移动电话用户数的国家。《通知》提出了到2027年的发展目标，包括完善移动物联网生态体系、提升网络基础设施、扩大融合应用规模、以及促进产业生态繁荣。重点任务涵盖加强网络建设、提升产业创新、深化智能应用和营造良好发展环境。为保障实施，《通知》提出了强化要素保障、监测评估和加强交流推广等措施。

9月25日，外交部长王毅在人工智能能力建设国际合作高级别会议上发表了《推动普惠发展，弥合智能鸿沟》的致辞，宣布了中国的《人工智能能力建设普惠计划》，围绕全球南方普遍期待的“五大愿景”，积极开展“十项行动”。主要内容包括促进人工智能和数字基础设施联通、推进“人工智能+”赋能千行百业、加强人工智能素养和人才培训、提升人工智能数据安全和多样性、确保人工智能安全可靠可控等，倡议成立“人工智能能力建设国际合作之友小组”。

9月20日，自然资源部发布《智能网联汽车时空数据传感系统安全基本要求》（征求意见稿）和《智能网联汽车时空数据安全处理基本要求》（征求意见稿）等2项强制性国家标准，以规范智能网联汽车时空数据的获取与处理活动，保障国家地理信息安全、促进智能网联汽车产业的健康发展。前者旨在确保智能网联汽车时空数据传感系统测绘功能和行为的安全、合规，后者旨在确保智能网联汽车时空数据的安全、合规与有效利用，同时兼顾智能网联汽车技术发展的数据需求。

9月5日，民政部等部门联合发布《个人求助网络服务平台管理办法》，旨在规范个人网络求助行为，保护各方权益。《办法》规定个人求助平台需经民政部指定，未经指定不得开展相关服务。明确了平台申请条件、求助信息发布规则、个人信息保护、捐助资金管理等要求。强调了平台真实性查验责任，要求公开透明。同时，明确了监督管理措施和法律责任，确保平台合规运营。

9月12日，国家金融监督管理总局发布《关于加强银行业保险业移动互联网应用程序管理的通知》，旨在规范金融机构移动互联网应用程序（移动应用）的管理。《通知》明确，金融机构需将移动应用纳入数字化转型规划，明确管理职责，建立台账和准入退出机制，控制移动应用数量，并优化或终止低效应用。需明确移动应用的管理部门及责任人，并通过合同明确与第三方合作的责任义务。

9月9日，市场监管总局发布《关于推动网络交易平台企业落实合规管理主体责任的指导意见（征求意见稿）》，旨在引导网络交易平台企业加强合规管理，提升依法依规经营管理水平。意见明确了网络交易平台企业的合规管理职责，要求企业建立健全合规管理组织，明确合规负责人和管理员的岗位职责，提升合规管理能力。企业需建立合规风险管控动态管理机制，定期排查、整改、调度工作制度。市场监督管理部门将加强指导和监督，支持企业开展合规培训，并定期进行监督抽查考核，确保企业合规管理落实。

9月23日，市场监管总局发布《防范外卖餐饮浪费规范营销行为指引（征求意见稿）》，以规范外卖商家营销行为，落实网络餐饮平台主体责任。《指引》结合网络餐饮行业特点，从规范外卖餐饮行业的营销行为入手，将反食品浪费举措落实到业务全流程的各环节。《指引》督促网络餐饮平台发挥引领带动作用，引导平台进一步优化平台规则协议，加强对平台内经营者发布的广告内容的监测、排查，建立健全外卖餐饮浪费评价评估机制，推动反食品浪费源头治理。

9月27日，国家数据局发布《关于促进企业数据资源开发利用的意见（征求意见稿）》，以培育全国一体化数据市场，促进企业数据资源合规高效开发利用。《意见》围绕企业数据资源开发利用提出健全企业数据权益实现机制、培育企业数字化竞争力、赋能产业转型升级、服务经济社会高质量发展、营造开放透明可预期的发展环境等举措，要求各行业主管部门结合本领域数据资源开发利用实际，分业分类施策，细化落实方案。

9月27日，国家数据局发布《关于促进数据产业高质量发展的指导意见（征求意见稿）》，以深化数据要素市场化配置改革、构建以数据为关键要素的数字经济。《意见》明确，数据产业是利用现代信息技术对数据资源进行产品或服务开发，并推动其流通应用所形成的新兴产业，包括数据采集汇聚、计算存储、流通交易、开发利用、安全治理和数据基础设施建设等，并从加强数据产业规划布局、培育多元经营主体、加快数据技术创新、提高数据资源开发利用水平、繁荣数据流通交易市场、强化基础设施支撑、提高数据领域动态安全保障能力、优化产业发展环境等方面提出具体措施。

9月9日，全国网安标委发布《人工智能安全治理框架》1.0版，旨在确保人工智能技术的安全、可靠、公平和透明，同时促进其健康发展与规范应用。框架遵循“以人为本、智能向善”的原则，强调发展与安全并重，倡导全球共治共享。内容涵盖人工智能安全治理原则、框架构成、风险分类、技术与管理应对措施、安全开发应用指引等。框架特别指出人工智能内生安全风险和应用安全风险，并提出相应的技术对策和综合治理措施，以实现对人工智能安全风险的有效治理。

9月18日，全国网安标委发布《网络安全标准实践指南——敏感个人信息识别指南》，旨在指导组织识别和保护敏感个人信息。该指南依据我国相关法律法规，明确了敏感个人信息的定义，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。指南提出了识别敏感个人信息的规则，并提供了常见敏感个人信息类别和示例。此外，还建议考虑个人信息的单项和多项融合后的整体属性，以及法律法规的规定。附录部分列出了具体的敏感个人信息类别和典型示例，并提供了相关国家标准的参考。

8月30日，全国网安标委发布《数据安全技术 二手电子产品信息清除技术要求》（征求意见稿），根据二手电子产品可用程度分级思路，规定了二手电子产品信息清除各个环节应遵循的技术要求，对电子产品厂商和二手电子产品经销者制定要求。同时，从信息清除环境、过程和管理方面，引导二手电子产品经销企业建立信息安全管理体系和信息技术服务管理体系。

9月18日，工信部发布19项通信行业标准的报批稿，包括《面向云计算的零信任体系 第4部分：数据保护能力要求》《电信网和互联网安全等级保护实施指南》《电信网和互联网灾难备份及恢复实施要求》《移动通信网安全防护要求》《电信网和互联网第三方安全服务能力评定准则》《移动应用商店恶意程序的监测与处置接口技术要求》等。

8月26日，平潭综合实验区发布《中国（福建）自由贸易试验区平潭片区数据跨境流动一般数据清单（试行）》，以提升数据处理者数据跨境活动便利性。该清单适用于在平潭自贸片区范围内登记注册的，且在平潭自贸片区内开展数据跨境流动活动的数据处理者，但不适用于关键信息基础设施运营者。数据处理者向境外提供清单内数据，被传输数据在境内运营中收集和产生，并且数据出境行为符合本清单传输要求的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。该清单详细列举了跨境旅游、跨境电商、国际航运、跨境直播等领域的场景化一般数据清单，包括数据类别、典型示例和说明以及传输要求。

9月8日，天津市数据局发布《天津市深化数据要素市场化配置改革实施方案（征求意见稿）》，目标到2027年建立顺畅的数据要素市场体系，培育数据型企业和数字产业集群。方案提出增加公共数据供给、激励企业数据供给、保护个人信息数据、构建数据产权体系、完善数据流通机制、强化数据应用、保障数据安全等措施。

9月2日，湖北省数据局发布《湖北省公共数据授权运营管理办法（试行）（征求意见稿）》，旨在规范公共数据开发利用，促进数字经济发展。办法明确了公共数据定义、授权运营主体、数据产品和服务形态，并规定了授权运营原则和监管机构。提出了实施方案要求、授权管理流程、运营管理规范、数据激励措施、数据安全与监督管理。强调了数据安全、合规流通、个人隐私保护，并鼓励数据创新应用，同时明确了法律责任。

9月19日，《湖南省数据知识产权登记管理办法（试行）》公开发布。该《办法》共二十四条，以“数据二十条”为依据，在厘清数据知识产权内涵的基础上，明确数据知识产权保护的对象和主体，从而确定数据知识产权的登记对象和申请登记主体。沿着“登记什么－谁来登记－如何登记”的逻辑，对数据知识产权的登记对象、申请登记主体、登记机关、登记流程、登记效力、证书运用和登记的监督管理进行了规定。

9月10日，网信中国发布中国互联网联合辟谣平台2024年8月辟谣榜，就“房屋养老金”需业主额外缴费、全国12315平台发布“行政处罚退费公告”、广东深圳劳动仲裁“熔断”、湖南宁乡劳动局向企业发送“高风险名单”、湖南博物院的辛追夫人曲裾式素纱单衣被盗、内蒙古呼和浩特市公租房可办理到个人名下等内容进行辟谣。

9月14日，公安部公布10起通过网络实施侮辱谩骂、造谣诽谤、侵犯隐私等网络暴力违法犯罪活动，包括北京公安机关侦破赵某、成某某实施“开盒”网络暴力案、辽宁大连公安机关侦破石某某等人实施“有偿代骂”网络暴力案、四川成都公安机关侦破万某等人非法利用信息网络案、浙江杭州公安机关侦破杨某等人侵犯公民个人信息案等。

公安机关紧密结合“夏季治安打击整治行动”，持续对广告推广型网络黑灰产犯罪保持高压严打态势，9月2日发布北京公安机关破获“美女搭讪”型帮助信息网络犯罪活动案、江苏公安机关破获“精准获客”型侵犯公民个人信息案、江苏公安机关破获“劫持流量”型破坏计算机信息系统案、安徽公安机关破获“出海投资”型帮助信息网络犯罪活动案、四川公安机关破获“募捐红包”型帮助信息网络犯罪活动案等相关信息。

9月19日，公安部公布打击整治“移花接木”拼接网络谣言违法犯罪5起典型案例，包括广东公安机关侦办的张某某拼接虚假字幕谣言案、江苏公安机关侦办的徐某某拼接“高速公路交通事故55人死亡”网络谣言案、湖北公安机关办理的袁某拼接“公安交警与部队人员发生冲突”谣言案、江苏公安机关办理的马某某拼接“南京机场女子排队中暑进大厅休息被安检员拒绝”网络谣言案、青海公安机关办理的童某某拼接“网约车罢工”网络谣言案等。

9月9日至15日，2024年国家网络安全宣传周在全国范围内统一开展，北京互联网法院与市委网信办陆续推出10个个人信息保护典型案例。包括关联产品间共享用户数据应获有效同意、搜索引擎服务提供者处理公开个人信息“通知删除”规则的适用、APP登录界面收集用户面像信息未设置拒绝选项侵害用户个人信息权益、个人信息处理者可以依据其信息存储形式和能力选择合理的信息提供方式、利用已公开个人信息有误导致受众混淆构成侵权、信息处理者对其尽到告知同意义务负有相应的举证责任等。

拜耳医药保健有限公司于9月11日通过中国（北京）自由贸易试验区高端产业片区亦庄组团负面清单备案审核，成为全市首家通过自贸试验区数据出境负面清单政策实现数据合规出境的企业。本次负面清单备案从申报使用负面清单到取得备案结果仅用时5个工作日，负面清单的申报审核流程相较于负面清单政策出台前企业须履行的合规要求大幅简化。

截至9月9日，上海市新增喜马拉雅音模等7款已完成备案的生成式人工智能服务，累计已完成41款生成式人工智能服务备案。备案信息包括模型名称、备案单位备案号和备案日期。已上线的生成式人工智能应用或功能，应在显著位置或产品详情页面公示所使用已备案生成式人工智能服务情况，注明模型名称及备案号。

9月6日，上海市市场监督管理局公示了关于宁波森浦信息技术有限公司实施滥用市场支配地位行为的行政处罚书，对森浦公司处以人民币4532782.9元罚款。森浦公司滥用其在债券声讯经纪实时交易数据市场中的支配地位，拒绝与其他金融信息服务商进行交易，限制了市场的公平竞争。此案是我国金融数据领域的第一起滥用市场支配地位案，监管部门明确了对数据滥用市场支配地位行为的打击方向，具有重要的法律和市场示范意义。

浙江省版权局、省互联网信息办公室等部门联合开展专项行动，将聚焦“两保护、两整治”：以院线电影、短视频、微短剧为重点，开展视听作品版权保护行动；以网络小说、电子书、有声书为重点，开展网络文学版权保护行动；以电商平台、直播平台、短视频平台为重点，开展网络销售版权整治行动；以浏览器、搜索引擎、网盘为重点，开展重点平台版权整治行动。

9月13日，内蒙古内蒙网警通报7起不履行网络安全保护义务处罚案例，主体包括内蒙古呼和浩特市某博物馆、内蒙古锡林郭勒盟某公司、内蒙古通辽某热电公司、内蒙古鄂尔多斯市某事业单位、内蒙古某供应链企业、内蒙古鄂尔多斯市某酒店、内蒙古赤峰市某培训学校。

南昌市某学校未采取技术措施和其他必要措施，对网站公示附件中的学生名字、身份证号等4000多条个人信息开展脱敏或去标识化处理，导致信息泄露风险。9月12日，南昌市网信办依据《中华人民共和国网络安全法》第六十四条第一款的规定，对该学校作出警告的行政处罚。

近日，江西省吉安市公安局网安支队工作中发现某电子公司系统登录页面被植入违法信息图片，扰乱网络空间秩序，造成不良影响。经调查，该公司既没有制定、落实网络安全管理制度，也没有部署网络安全技术措施，违反了《网络安全法》《数据安全法》关于网络运营者应履行安全保护义务的规定。依据《网络安全法》，公安机关依法对该公司处以罚款1万元，并对直接负责的主管人员处以罚款5000元。

近日，重庆市梁平区属地一公司对收集到的个人信息未履行好个人信息保护义务，存在个人信息泄露的情形，梁平区网信办依法对其作出行政处罚。经查，该公司存在违反最小范围、必要原则收集个人信息；未建立健全个人信息安全事件应急预案、用户信息保护等相关管理制度；存在个人信息泄露等情形，履行主体责任不到位，违反《个人信息保护法》相关规定，梁平区网信办责令该公司限期整改，并给予警告的行政处罚。

9月10日，中国网络空间安全协会发布“关于发布完成个人信息收集使用合规整改App清单的公告”，称共10类62款App运营方已在应用商店上架合规版本，APP涉及网上购物、地图导航、浏览器、新闻资讯、在线影音、电子图书、拍摄美化、云盘、短视频、演出票务等领域，包括但不限于京东、淘宝等。

9月14日，深圳市网络数据合规与流通促进会成立大会暨数据合规与流通专题活动在深圳交易集团总部大楼举行。促进会在市互联网信息办公室的指导下，由深圳交易集团作为主要发起单位，联合中国联通深圳分公司、深圳数据交易所、华为技术有限公司、广东广和律师事务所等47家具有行业代表性的大型国企、科技企业、金融机构、数据服务商、律师事务所共同发起成立。

9月5日，美国、欧盟、英国等10个国家和组织于立陶宛举办的欧洲委员会司法部长会议上共同签署了全球首个具有法律约束力的国际人工智能条约《人工智能（AI）框架公约》（以下简称《公约》）。《公约》旨在应对人工智能技术可能带来的风险，要求签署国对人工智能系统造成的任何有害和歧视性后果负责。《公约》还要求各国采取行动打击超出参数范围的技术活动，解决对公共服务构成威胁的人工智能模型滥用问题。值得一提的是，《公约》没有清晰的执行和惩罚机制，对签署各国的约束力相对较弱。

9月13日，二十国集团（G20）领导人于数字经济部长会议上达成联合声明，旨在共同努力打击虚假信息并制定人工智能议程，以应对各国政府在虚假信息和仇恨言论方面的挑战。声明主要内容包括：其一，数字平台需要保持透明并“符合相关政策和适用的法律框架”；其二，在符合隐私法、人权法和知识产权法框架下进行数据访问、数据分享、跨境数据流动、可信数据自由流动；其三，AI 的开发和部署应合乎道德、透明、可审计，并有人工监督，并确保个人数据保护以及对人权法和知识产权的尊重。

9月17日，全球移动通信系统（GSMA）发布首个跨行业的负责任人工智能成熟度路线图（Responsible AI Maturity Roadmap），旨在为电信运营商提供必要的工具和指导，以帮助电信运营商来测试和评估其是否负责任地使用人工智能（AI）技术。据了解，该倡议得到了Axiata集团、德国电信、Orange、西班牙电信和澳洲电讯的支持。路线图以五个核心基本维度为基础：(1)组织的愿景、价值观和战略目标；(2)其运营模式以及如何在所有运营中维护人工智能治理；(3)符合监管要求的技术控制；(4)与第三方生态系统合作；(5)企业变革管理和沟通策略。

9月24日，欧盟委员会发布《数据治理法案》实施指导文件（Implementing the Data Governance Act – guidance document），针对公共部门机构持有的某些类别受保护数据的再利用、适用于数据中介服务的要求、数据利他主义组织、主管机关和程序性规定等内容进行阐释，并指出以委员会专家小组的形式设立了欧洲数据创新委员会(EDIB)，以促进了最佳实践的分享。需要指出，该文件的目的是为利益攸关方提供实施《数据治理法案》的实用指导，而不是一份具有法律约束力的文件，也不代表欧盟委员会的正式立场，并可能会随着时间的推移而更新。

9月，欧盟委员会宣布计划于2024年第四季度就《通用数据保护条例》（GDPR）下的标准合同条款（SCC）征求公众意见。标准合同条款是欧盟数据控制者或处理者可以纳入其合同的示范性数据保护条款，旨在根据《通用数据保护条例》（GDPR）的要求将个人数据传输给第三国的相关主体。本次即将公布的SCC强调即使是受GDPR管辖的进口商也可能受制于与欧盟标准相冲突的外国法律，有必要通过SCC条款达到合规要求，因此关注数据进口商位于第三国但受GDPR管辖的特定情况。此外，本次公众咨询也将补充现有的SCC，即向不受GDPR管辖的第三国数据进口商传输数据之情况下的示范条款。

9月23日，美国白宫发表声明，宣布美国和阿联酋有意促进人工智能及相关技术的合作。该声明称两国将签署一份关于人工智能的政府间谅解备忘录，强调两国在实施各自的国家人工智能战略时遵循推进安全、可靠和值得信赖的人工智能、调整监管框架以加强创新生态系统、促进合乎道德的人工智能研究和开发、扩大和深化人工智能保护和网络安全领域的合作、促进可信赖的贸易和投资机会、支持人工智能促进发展中国家的可持续发展等原则。

9月23日，美国参议员Gary Peters和Todd Young宣布，参议院关于《数据实践现代化以改善政府法案》（Modernization Data Practices to Improve Government Act）的5109号法案已提交至美国国会。该法案概述了在2025年的初始到期日之后将首席数据官（CDO）委员会延长七年的目标，要求管理和预算办公室（OMB）提供一份报告，建议如何澄清和加强CDO在政府中的作用，包括确定支持联邦机构数据治理和人工智能（AI）采用所需的资源和技能。该法案还要求CDO委员会向OMB报告机构的关键数据治理问题，包括确保机构数据可靠、透明、高质量的最佳做法，并保护个人的隐私和个人身份信息。此外，该法案要求对阻碍各机构采用人工智能的数据挑战进行评估。CDO委员会还需要在采购人工智能时就数据所有权和保留政策提出建议，以及机构应如何定义和使用人工智能系统创建的合成数据。

9月9日，美国商务部工业与安全局（Bureau of Industry and Security，简称BIS）发布了《建立高级人工智能模型和计算集群开发报告要求》拟议规则，规定先进人工智能模型和计算集群开发者有向联邦政府提供报告之义务。报告内容包括开发活动、网络安全措施和红队测试结果。红队测试涉及测试危险能力，例如协助网络攻击的能力或降低非专家开发化学、生物、放射或核武器的准入门槛的能力。BIS指出，拟议规则要求收集的信息对于确保技术符合安全性和可靠性的严格标准、抵御网络攻击以及限制技术被外国对手滥用的风险而言至关重要。

9月24日，美国参议员Ed Markey宣布向美国参议院提交《人工智能民权法案》（AI Civil Rights Act）。该法案禁止开发者或部署者提供、许可、推广、销售或使用可能导致不平等影响或歧视的算法，规定了开发者和部署者应遵守的标准，包括进行预先部署评估和后期部署影响评估。在透明度方面，该法案要求开发人员和部署人员以通俗易懂、清晰、醒目、不误导、易于阅读和易于获取的方式公开披露，详细准确地说明开发人员或部署人员在法案要求方面的做法。该法案由联邦贸易委员会（FTC）和州总检察长负责执行。

9月17日，美国加州州长Gavin Newsom签署了三项立法，旨在限制人工智能特别是深度伪造音频和视频记录在竞选活动中的作用。其中，《AB-2655法案》要求大型在线平台采取措施阻止发布“与加州选举相关的重大欺骗性内容”，并在收到通知后72小时内删除任何此类材料；《AB-2839法案》作为紧急措施即时生效，规定在选举前120天内和选举后60天内散播“候选人的具有重大欺骗性的音频或视频媒体”是非法的；《AB-2355法案》要求所有与选举相关的AI生成广告必须明确标注，防止误导性信息传播。截至目前，美国大多数监管人工智能应用于政治领域的立法工作都在州一级进行，但美国国会两党立法者小组亦于此前提出一项措施，授权联邦选举委员会监督政治竞选活动中人工智能的使用情况。

9月23日，美国商务部工业和安全局（BIS）发布拟议规则制定通知（NPRM），以国家安全之名，提议禁止销售或进口集成了来自中国或俄罗斯相关特定软硬件的网联车。拟议规则将禁止进口和销售与中国或俄罗斯有联系的、集成到车辆连接系统（VCS）或自动驾驶系统（ADS）中的软硬件。拟议规则将适用于公共道路上的所有轮式车，包括汽车、卡车和公共汽车，但不影响农业或采矿车等不在公共道路上使用的车。根据美商务部的声明，软件禁令将适用于2027年及以后的车型，硬件禁令将于2029年1月或2030年车型生效。美国拜登政府将在30天的公众意见征询期后起草最终规则，并计划在拜登明年1月20日卸任之前成为一项永久性规定。

9月20日，美国加州州长Gavin Newsom批准了关于《保护青少年免受社交媒体成瘾法案》（SB 976）的参议院第 976 号法案。该法案将规定，令人上瘾的社交媒体平台的运营商向用户提供令人上瘾的信息流是非法的，除非运营商已合理地确定用户不是未成年人或已获得可验证的父母同意。该法案将令人上瘾的社交媒体平台定义为互联网网站、在线服务、在线应用程序或移动应用程序，其中用户生成或分享的多个媒体片段会根据用户提供的信息或与用户或用户设备相关的其他信息向用户推荐、选择或优先显示，满足某些特定条件的平台除外。

9月18日，俄罗斯联邦政府下属的国家人工智能发展中心宣布，423个组织在国际技术大会上签署了《人工智能道德准则》。《人工智能道德准则》规定了参与人工智能领域活动的人员（人工智能参与者）应遵循的一般道德原则和行为标准，包括以人为本、承认人类的自主性和自由意志、遵守法律、非歧视以及评估风险和人道主义影响等。《人工智能道德准则》强调，人类始终对人工智能系统应用的后果负责，这意味着人工智能参与者应确保人工智能系统的全面监督，不应允许将道德选择的责任转移到人工智能系统，也不应将决策后果的责任委托给人工智能系统。

9月26日，挪威政府宣布了新的挪威数字化战略，包括公共部门现代化、商业发展、打击犯罪和数字基础设施等领域的措施。政府表示，到2030年，它将确保所有数字化工作中的隐私，包括确保公共部门的所有相关IT解决方案都有内置的隐私保护，并确保公民的隐私在面对大型技术时得到保护。为此，将建立调查数据伦理委员会，以评估与隐私和社会利益之间的平衡有关的问题。同时，政府将为AI建立国家基础设施，将欧盟《人工智能法案》纳入挪威法律，并建立人工智能的国家监督和管理机构。

9月10日，澳大利亚总理阿尔巴尼斯表示，其领导的工党政府今年将推出一项重要立法，旨在落实社交媒体及其他相关数字平台的最低访问年龄限制。澳大利亚此前并没有全国性的社交媒体使用最低年龄限制，只有个别州拟立法禁止13岁以下儿童使用社交媒体。本次推出的立法案将使用社交媒体的最低年龄定在14岁至16岁之间，并参考了澳大利亚前高等法院首席大法官罗伯特·弗伦奇曾发布的一份有关儿童社交媒体安全的报告建议（报告提议禁止14岁以下儿童使用社交媒体，并要求社交媒体平台在允许14岁和15岁儿童使用前应获得家长同意），以确保澳大利亚儿童得到更好保护。

9月，沙特数据和人工智能管理局（SDAIA）相继发布《境外个人数据传输条例》（以下简称《条例》）修订版以及配套《个人数据传输的标准合同条款》和个人数据传输约束通用规则指南，旨在基于沙特《个人数据保护法》向数据控制者阐明个人数据跨境传输的详细规定和程序。《条例》重点条款内容包括向境外传输或披露个人数据的目的、评估境外个人数据保护水平的程序和标准、数据控制者免于遵守同等保护水平和最低个人数据传输要求的例外情况、跨境传输或披露个人数据的风险评估等。此前，沙特《个人数据保护法》《沙特王国个人数据跨境传输条例》于2023年9月14日一并正式生效。

9月16日，阿根廷数据保护局（AAIP）发布了针对公共和私营实体的《人工智能透明度和个人数据保护指南》。指南侧重于探讨基于自动决策系统的技术，特别是结合人工智能（AI）的技术对基本权利的影响，以及如何从监管和机构角度应对这些挑战。指南指出透明度和个人数据保护是确保人工智能负责任使用的关键要素，并为AI系统全生命周期中的个人数据保护和透明度确保提供了建议。

9月9日，新加坡数码发展及新闻部兼卫生部政务部长拉哈尤在国会为《选举（维护网络广告诚信）（修正）法案》（Elections (Integrity of Online Advertising) (Amendment) Bill）提出一读。该法案旨在禁止公众于国会选举和总统选举期间，传播通过数码技术篡改的深度伪造视频等内容。此外，该法案还规定，经由生成式人工智能等数码技术创作的网络竞选广告，若其中存在歪曲候选人的言行，都不可向外发布。法案还规定了详细罚则，一旦确定违反本法，内容发布者、社交媒体服务和互联网服务提供者须遵从更正指示，撤下违法内容，或禁止新加坡用户在选举期间访问违法内容。社交媒体服务商不遵从更正、撤销指示，最高可被罚款100万元。

9月26日，韩国个人信息保护委员会（PIPC）发布《关于自动决策的数据主体权利指南》。该指南强调，并非所有由自动化系统做出的决策都被视为自动化决策，如果在做出最终决定之前建立并运行了人类判断程序，则不被视为自动决定。数据主体可以要求对其权利或义务产生重大影响的自动决策进行解释或审查。根据该指南，企业和组织必须采取提供简洁而有意义解释信息、提前在公司网页上披露标准和程序等措施。

9月24日，越南公安部（MPS）就《个人数据保护法（草案）》（Personal Data Protection Law）面向社会公开征求意见。该草案预计在年底提交国民议会，并预计于2026年1月1日生效。该法律草案规定了个人信息的处理原则，包括透明度、目的限制、数据最小化、安全性、存储限制和数据主体的同意等。此外，该法律草案详细规定了与个人数据有关的禁止行为以及数据主体的权利。值得注意的是，该法律草案规定了个人数据保护专家或数据保护官（DPO）的必要资格，其负有完成数据保护影响评估（DPIA）和个人数据传输影响评估（TIA）的责任。

9月26日，欧盟法院（CJEU）公布了其对C-768/21号案件的判决，该案件涉及数据保护机构（DPA）在违反GDPR情况下的纠正权力。某银行员工在未经适当授权的情况下访问了客户的个人数据，该银行将数据泄露事件告知黑森州数据保护局（HBDI），但决定不通知客户。客户向HBDI提出投诉，HBDI认为其没有必要对银行行使纠正权力。该客户遂向威斯巴登行政法院对HBDI提起诉讼，威斯巴登法院要求欧盟法院澄清相关规定。欧盟法院裁定，当确定存在个人数据泄露时，DPA没有义务在所有案件中行使纠正权力，特别是如果控制者已经主动采取了必要的措施并确保其不再发生，即GDPR赋予DPA自由裁量权决定如何处理发现的个人数据保护问题。

9月17日，美国联邦通信委员会（FCC）公布了一项于9月16日通过的同意令，宣布与AT&T Services Inc.达成1300万美元的和解协议。这项和解源于FCC对AT&T涉嫌违反《通信法》的调查。FCC指出，2023年1月，AT&T因使用的一家供应商的云环境发生数据泄露，未能确保客户信息在不再需要时被销毁或返还。FCC认定AT&T未能保护客户专有网络信息（CPNI），并存在不当使用、披露客户信息的情况。根据和解协议，AT&T将支付1300万美元，并需改进隐私和数据安全措施，包括限制供应商访问敏感信息、建立信息安全计划、加强供应商管理，并进行年度合规审计。

9月18日，德州司法部长宣布，已与Pieces Technology公司就其生成式人工智能产品可能违反《德州欺骗性贸易行为与消费者保护法》（DTPA）的问题达成和解。Pieces Technology为医疗机构开发并推广AI产品，帮助医生和护士进行临床总结、生成图表等操作。然而，司法部长指控该公司的产品宣传具有误导性，未充分说明某些关键指标的含义。根据和解协议，Pieces Technology需在产品描述中明确解释使用的指标和测试方法，并禁止虚假或未经证实的陈述。此外，Pieces Technology还需向客户提供关于其产品潜在风险和用途的完整文件，以确保正确使用和避免误用。

9月9日，加拿大隐私专员办公室（OPC）发布新闻稿，宣布联邦上诉法院支持了OPC的决定，认定Facebook违反了《个人信息保护与电子文件法》（PIPEDA）。OPC指控Facebook在2013至2015年间通过“thisisyourdigitallife”应用程序未经有效同意便与第三方共享用户及其好友的信息。起初，联邦法院裁定OPC未能证明Facebook违反PIPEDA，驳回了诉讼。然而，OPC提起上诉后，加拿大联邦上诉法院确认Facebook的行为违反了PIPEDA的规定，包括未能获得用户及其好友的有效同意（违反PIPEDA第4.3条和第6.1条），以及未能采取适当措施保护用户个人信息安全（违反PIPEDA第4.7条）。最终，法院要求Facebook在90天内与OPC达成补救措施的协议，并期望Facebook提出合规方案。

近日，领英（LinkedIn）更改了其隐私政策，使用“选择退出”设置来使用客户数据训练其内部人工智能模型。公司表示使用用户数据将有助于改善生成式人工智能功能。英国信息专员办公室（ICO）对此举表示担忧，指出选择退出的方法不足以保护用户隐私。该变更同样引发了社交媒体用户的强烈反对，数字权利活动家敦促用户选择退出该计划。目前，领英已暂停将英国用户数据用于人工智能训练。

9月17日，德国柏林数据保护和信息自由专员Meike Kamp发布了其2023年度工作报告，详细介绍了监管机构在地方、国家和欧洲层面的工作内容。报告指出，2023年其对私营企业的罚款接近55万欧元，接收的数据泄露事件报告达1,129起，接收的数据主体咨询与投诉达5,537件，共发出139次警告和2项命令。同时，报告中总结了三个典型案例，包括因某银行未能履行自动化个人决策的透明度义务对其处以300000欧元的罚款、因公司处理员工不必要信息等违规事项对其处以共计215000欧元的罚款、因公司对员工进行秘密视频监控对其处以4,00欧元的罚款等。

9月12日，法国国家信息与自由委员会（CNIL）公布了其于9月5日作出的决定，对CEGEDIM SANTÉ处以80万欧元罚款。该处罚是因为CEGEDIM SANTÉ违反了《通用数据保护条例》（GDPR）和《关于信息处理、档案与个人自由的法案》。CEGEDIM SANTÉ运营着一款在25,000家医疗实践和500个健康中心使用的管理软件，允许医护人员管理患者的病历信息。CNIL调查后认为，尽管患者数据被加密并赋予了唯一标识符，但这些数据并未达到匿名化标准，而是处于假名状态，因而受GDPR管辖。CNIL指出，由于每个患者的标识符与其详细的医疗记录相关联，即便没有直接的身份特征，仍可通过其他丰富信息解除假名化状态。因此，CEGEDIM SANTÉ未能满足GDPR第5(1)(a)条关于合法处理个人数据的要求。此外，CEGEDIM SANTÉ的在线健康保险服务‘HRi’在未经适当授权的情况下处理患者数据，进一步违反了GDPR规定。同时，根据法案第66条，CEGEDIM SANTÉ在未获得CNIL授权的情况下处理健康领域内的个人数据，构成了违法行为。基于以上理由，CNIL作出了罚款决定。

9月6日，数据保护委员会（DPC）宣布了对Supermac's Ireland Limited在高威地区法院提起的诉讼结果。DPC指出，Supermac's Ireland对其在客户通知公司不再接收此类邮件后仍发送未经请求的营销邮件的五项指控认罪。此前，DPC曾在2023年2月，根据先前提交的投诉进行调查后发出警告。作为定罪和罚款的替代，Fahy法官要求Supermac's Ireland捐赠3500欧元，这笔款项将平均分配给Galway Simon Community和COPE Galway两个组织。

9月12日，数据保护委员会（DPC）宣布，根据《2018年数据保护法》第110条，启动对Google爱尔兰有限公司的调查。此次调查旨在查明Google在开发人工智能基础模型Pathways Language Model 2（PaLM 2）过程中，是否依照《通用数据保护条例》（GDPR）第35条的要求，在处理欧盟/欧洲经济区数据主体的个人数据前，进行了数据保护影响评估（DPIA）。DPC强调，DPIA旨在确保当处理活动可能带来高风险时，能够充分考虑并保护个人的基本权利和自由。根据GDPR第35条，当处理活动的性质、范围、上下文及其目的可能导致个人权利和自由面临高风险，尤其是使用新技术时，必须进行DPIA。

9月27日，爱尔兰数据保护委员会（DPC）宣布，因Meta Platforms爱尔兰有限公司（Meta）在密码存储方面的做法违反了《通用数据保护条例》（GDPR），对其处以9100万欧元的罚款。根据DPC的声明，2019年3月，Meta曾通知DPC，其无意中以明文形式在其内部系统上存储了部分用户的密码。此后，DPC于2019年启动了调查，以评估Meta是否遵守了GDPR的要求，特别是是否采取了适当的技术和组织措施以确保用户密码的安全。调查结果显示，Meta未能采取适当的技术或组织措施来防止用户密码被未经授权的处理，并确保适当的保护水平；此外，Meta也未能及时向DPC通报个人数据泄露事件以及对此事件进行适当的记录。因此，DPC对Meta爱尔兰公司发出了警告，并处以9100万欧元的罚款。

9月3日，荷兰数据保护局（AP）宣布，已于同年5月16日对Clearview AI Inc.公司开出了3050万欧元的罚单，原因是该公司违反了《通用数据保护条例》（GDPR）。根据荷兰数据保护局的调查，Clearview AI未经许可处理了大量荷兰公民的个人数据，其中包括从公开网络及社交媒体平台收集的超过300亿张照片。调查结果表明，Clearview AI的行为触犯了GDPR的多项条款，具体包括未经合法基础处理生物识别信息、未能向数据主体提供必要的信息、未在欧盟地区指定代表，以及没有响应来自荷兰数据主体的数据访问请求。除了上述罚款之外，荷兰数据保护局还要求Clearview AI立即停止对荷兰公民个人数据的处理活动，并删除所有非法获取的信息。若Clearview AI未能遵循这一指令，将可能被追加处以最高510万欧元的罚款。

9月3日，波兰个人数据保护局（UODO）公布了其在2023年案件DKN.5131.33中的决定，对国家检察院处以85,000兹罗提（约合人民币150，000元）的罚款。UODO表示，在一次新闻发布会上，国家检察院检察官与司法部长披露了一起刑事案件中受害者的个人数据，包括姓名、姓氏及特殊类别数据，而此次数据泄露既未通报给UODO，也未通知受影响的个人。在接到第三方通知后，UODO展开调查并要求国家检察院作出解释。国家检察院回应称，所披露的数据是法院判决的一部分，用于说明一个关键点，并已在法庭上公开。然而，UODO认定国家检察院违反了GDPR的相关规定，包括未经合法基础披露个人数据、未及时报告数据泄露及未通知数据主体。因此，UODO对其处以85,000兹罗提罚款，并命令其在收到决定后三日内通知受影响的个人并提供相关信息。

9月6日，比利时数据保护局（Gegevensbeschermingsautoriteit）发布第113号决定，认定Mediahuis NV在其网站上使用非法Cookie及暗黑模式，违反了GDPR。此决定基于一名由NOYB代理的比利时公民的投诉，投诉指出Mediahuis的Cookie横幅缺乏拒绝选项、按钮颜色误导用户、撤回同意比给予同意更困难等问题。比利时DPA调查后确认，Mediahuis的Cookie同意机制不明确，并使用误导性设计增加用户拒绝Cookie的难度。因此，比利时DPA裁定Mediahuis违反了GDPR相关条款，并要求其在45天内在所有网站的Cookie横幅中加入拒绝选项，禁止使用误导性设计，否则将面临每日25,000欧元的罚款，并对Mediahuis提出了警告。

9月6日，比利时数据保护局（Belgian DPA）发布了第114/2024号决议，对一家未具名公司处以45,000欧元罚款，原因是该公司违反了《通用数据保护条例》（GDPR）。比利时数据保护局在调查中发现，该公司通过指纹收集员工的敏感生物数据，用于工作时间登记，但未能提供明确的法律依据。同时，公司无法证明员工的同意是自由、具体、知情且明确的。该公司也未能遵守数据收集目的的限制原则，并违反了数据最小化原则。此外，公司未在员工手册中向员工提供透明的相关信息。基于这些违规行为，比利时数据保护局决定对该公司处以45,000欧元的罚款。

9月，挪威数据保护局（Datatilsynet）宣布对阿格德大学（UiA）处以15万挪威克朗的罚款，原因是该大学在使用Microsoft Teams时，未能采取适当措施保障个人数据的安全。此次违规事件是在2024年2月由UiA的一名员工发现的，涉及大量员工、学生及外部人员的个人信息。这些信息自2018年8月该大学开始使用Microsoft Teams以来，一直存储在开放文件夹中，未经授权的员工可以通过搜索访问。约有16,000名注册人员受到了影响，涉及的信息包括姓名、社会保障号码、考试安排以及难民的联系方式和居住状态等。

9月13日，个人数据保护机构（AZOP）宣布，对多家公司总计处以270,700欧元的罚款，原因是这些公司违反了《通用数据保护条例》（GDPR）及相关实施法律，导致个人提出投诉。其中，里耶卡地区专科医院因在2019年7月丢失健康数据后未能采取适当的技术保护措施、未及时通报AZOP、未签订数据处理合同以及在电话录音处理上缺乏法律依据等多项违规行为，被处以190,000欧元罚款。此外，AZOP对两家未经授权使用cookies处理个人数据的酒店分别处以45,000欧元罚款，并对九家未标明视频监控信息或标识不明显的商店总计处以35,700欧元罚款。

9月13日，意大利数据保护局（Garante）在其第527期通讯中公布了编号为440的决定，对HERA COMM S.p.A.处以500万欧元罚款，原因是该公司违反了《通用数据保护条例》（GDPR）。此次处罚源于Garante收到的多起投诉，投诉者指出HERA COMM处理了不准确和过时的客户个人数据，并且在未经客户同意的情况下激活了能源供应合同。此外，HERA COMM还被指延迟回应数据主体的权利请求。Garante调查后认定HERA COMM违反了GDPR的多项条款，包括未能采取适当的技术和组织措施防止上门代理非法使用客户数据。因此，除了罚款外，Garante还要求HERA COMM实施纠正措施，如定期审计代理工作，并确定合理的客户数据保留期限。

9月13日，意大利数据保护局（Garante）对Nomodidattica S.r.l.处以10,000欧元罚款。处罚缘由是该公司作为在线杂志moltocomuni.it的出版方，在2023年2月13日全文发布了维琴察法院的一项判决链接，其中包含了未成年人的信息而未作匿名化处理。判决内容涉及两个市镇间关于未成年人接待设施经济管理的争端，并提及了未成年人的名字、住址及居住时长。Garante认定Nomodidattica违反了GDPR第5(1)(a)条和第5(1)(c)条关于处理合法性、正确性和数据最小化的原则，并指出在发布涉及未成年人判决的文章时，必须确保遮盖可能会损害未成年人隐私的信息。鉴于Nomodidattica随后立即对文章进行了屏蔽处理并从搜索引擎中移除，Garante对其处以10,000欧元罚款。

9月2日，希腊数据保护局（HDPA）发布第23/2024号决定，对国家紧急援助中心（EKAB）处以3万欧元的行政罚款，原因是其违反了GDPR的规定。该决定源于两位公民的投诉。HDPA发现，在投诉人行使访问录音电话的权利后，EKAB未对其请求作出回应，也未告知申请人拒绝处理请求的原因或要求提供额外信息以确认身份，而是无视了这一请求。此外，EKAB还因未能通过其网站公布更新的隐私政策而违反了GDPR的透明度原则，因此被处以总计3万欧元的罚款，并被责令满足数据主体获取通话录音副本的要求以及修订其隐私政策以符合GDPR第15条的规定。

9月26日，韩国个人信息保护委员会（PIPC）公布了其决定，因违反《个人信息保护法》（PIPA），对韩国社会福利委员会处以4.874亿韩元（约371060美元）的罚款，对有限公司Techlab处以2.24亿韩元（约合170400美元）的罚金。韩国社会福利委员会因密码更改功能中的漏洞而遭受入侵，黑客访问并泄露了135万名成员的个人信息；Techlab未经授权使用个人资料图片构成了非常严重的违规行为，对数据主体的权利、利益和隐私产生了重大影响。此外，PIPC建议韩国社会福利委员会在整个系统主页上实施检查和改善个人信息保护状况等改进措施，并定期对个人信息处理人员进行个人信息保护教育，对泄密者采取纪律处分；建议Techlab通知其个人资料图片被用于创建虚假账户的成员，并将结果告知PIPC。