1. 国务院审议通过《公共安全视频图像信息系统管理条例（草案）》

来源：司法部

12月27日，国家金融监督管理总局正式发布《银行保险机构数据安全管理办法》，正式稿与今年3月的征求意见稿内容基本保持一致，主要包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则等内容。办法要求银行保险机构将数据安全风险纳入全面风险管理体系，切实保障金融数据安全，维护金融消费者权益。

12月18日，市场监管总局印发《网络交易执法协查暂行办法》，旨在进一步规范市场监督管理部门网络交易执法协查工作，提高执法协查质量和效率，保护数据安全和个人信息安全。网络交易平台需依法履行执法协查的法定义务，积极协助市场监督管理部门开展执法工作。《办法》将于2025年1月20日起正式施行。

12月6日，中国证券业协会、中国期货业协会、中国证券投资基金业协会联合发布《证券期货业移动应用软件备案工作指引（试行）》，旨在规范证券期货业移动应用软件的备案管理，提高移动应用软件的安全水平，保护投资者权益。相关证券公司、期货公司、基金管理公司应按照指引规定的内容和时限要求完成备案报送。

12月20日，国家税务总局发布《互联网平台企业涉税信息报送规定（征求意见稿）》，向社会公开征求意见。《规定》共13条，内容涉及涉税信息报送主体、内容、方式、频次、数据安全等各类事项，旨在落实《电子商务法》《税收征收管理法》等法律的规定，规范互联网平台企业报送信息，提升税收服务与管理效能。报送涉税信息的具体操作，仍有待于进一步的配套操作性文件明确。

12月20日，国家数据局、中央网信办等五部门共同发布《关于促进企业数据资源开发利用的意见》。意见指出，应重点健全企业数据权益实现机制（包括权益形成、保护及收益分配机制），培育企业数字化竞争力，赋能产业转型升级，服务经济社会高质量发展，营造开放透明可预期的发展环境，扩大数据领域高水平开放，提升数据安全合规治理效能。

12月30日，国家发展改革委等部门发布《关于促进数据产业高质量发展的指导意见》，提出到2029年，数据产业规模年均复合增长率超过15%，数据产业结构明显优化，数据技术创新能力跻身世界先进行列，数据产品和服务供给能力大幅提升，催生一批数智应用新产品新服务新业态，涌现一批具有国际竞争力的数据企业，数据产业综合实力显著增强，区域聚集和协同发展格局基本形成。在附件部分，提出了数据技术和产业重点发展方向。

12月19日，全国网络安全标准化技术委员会发布《网络安全标准实践指南—— 一键停止收集车外数据指引》。所谓“车外数据”，是指通过车载摄像头、雷达等传感器从汽车外部环境收集的道路、建筑、地形、交通参与者、机动车车牌等数据，以及其经处理产生的数据。《指引》提出较为便捷的“一键停止收集车外数据”功能实践指引，旨在加强智能网联汽车的数据安全和个人信息保护。

12月17日，《网络安全标准实践指南——生成式人工智能服务安全应急响应指南（征求意见稿）》发布并向社会公开征求意见。指南围绕生成式人工智能服务安全事件，给出了生成式人工智能服务安全事件的分类、分级建议和生成式人工智能服务安全应急响应过程的管理措施和技术方法等内容，可用于指导生成式人工智能服务提供者提高安全应急响应能力，做好安全应急响应工作。

12月30日，国家数据局发布数据领域常用名词解释（第一批），对“数据、原始数据、数据产品和服务、数据资产、数据流通、数据交易、公共数据、元数据、数据分析、数据挖掘、数据仓库、数据湖、隐私保护计算”等业界关心的重要数据领域名词给出了官方定义，有利于推动社会各界对数据领域术语形成统一认识。

12月13日，工业和信息化部发布公告，决定成立部人工智能标准化技术委员会，主要负责人工智能评估测试、运营运维、数据集、基础硬件、软件平台、大模型、应用成熟度、应用开发管理、人工智能风险等领域行业标准制修订工作。第一届工业和信息化部人工智能标准化技术委员会由41名委员组成，秘书处由中国信息通信研究院承担。

12月4日，由中国移动通信集团江西有限公司等单位联合起草的《数据资源公证登记规范》等行业标准被批准为江西省地方标准，并于2025年6月1日起实施。作为数据资源和数据资产质押公证确权登记领域的全国首个省级地方标准，其标志着“数据资源+区块链+公证”的“江西经验”成为了“江西标准”，数据资源和数据资产质押公证确权领域的省级地方标准实现了“从0到1”的重要突破。

12月19日，国家互联网信息办公室通报网上侵害未成年人合法权益行典型案例，包括恶意炮制发布“沙雕动画”短视频、隐匿传播涉未成年人软色情内容、利用“网红儿童”违规牟利、利用AI新技术新应用生成涉未成年人不良内容等。针对影响未成年人身心健康的各类新问题，网信部门将重拳出击，持续净化未成年人上网环境。

12月22日，审计署向第十四届全国人大常委会报告了2023年度中央预算执行和其他财政收支审计查出问题的整改情况。其中关于利用政务数据牟利成为新苗头的问题，3个部门已停止利用5个系统数据违规对外收费行为，涉及金额8101.29万元；2个部门修订3项数据管理制度，完善了数据业务审批流程。此前，教育部、工信部、交通运输部、市场监督管理总局所属几家单位因违规利用系统政务数据收费被通报。

2024年12月20日，国家互联网信息办公室发布第九批境内深度合成服务算法备案信息，腾讯、万方数据、中移智行等企业所开发的411项算法完成备案，取得备案编号。《互联网信息服务深度合成管理规定》第十九条明确规定，具有舆论属性或者社会动员能力的深度合成服务提供者、服务技术支持者，应当履行备案手续。

12月8日，公安部网安局通报一起新型侵犯公民个人信息案件。犯罪分子利用制作、安装盗号木马程序等手段，倒卖“登录态”数据（游戏登录缓存）和网民游戏账号、虚拟装备，涉案金额高达三千多万元。警方提醒，在网吧等公众场合登录个人游戏账号时，最好使用人脸识别或令牌验证进行登录，防止游戏账号被盗造成损失。

12月27日，上海市委网信办联合相关部门召开算法治理合规指导会，哔哩哔哩、小红书、拼多多、携程、饿了么等100余家网站平台相关负责人参加。市委网信办现场向网站平台下发了《算法治理专项行动企业自查问题清单》，要求各企业对照清单，有序推进整改工作。按照此前清朗·网络平台算法典型问题治理”专项行动的工作安排，自2025年1月1日起，由属地监管部门核验企业自查情况，并督促整改。

12月23日，郑州网信通报2起“清朗”行动违法违规平台和账号典型案例，一是短视频账号“桃气小周”为博取关注、吸引流量，编造发布涉郑不实信息，扰乱网络传播秩序。二是属地某分发平台疏于管理，为涉非法彩票打印功能的APP提供分发服务并造成不良影响，郑州网信提醒，广大网友严格遵守相关法律法规，自觉规范网络言行，用实际行动共同维护清朗网络空间。

12月17日，中部三省数字生态共建签约暨江西省数据汇聚流通基础设施平台发布会在南昌举行。江西省、湖北省、湖南省经友好协商，同意建立战略合作关系，并签订《中部三省数字生态共建战略合作协议》，以互信互利理念为基础，在协同开展区域合作机制、数据基础设施建设、数字技术创新能力提升、营造良好数字生态等方面深化合作，携手打造具有区域特色及国际竞争力的数字生态。

12月27日，美国司法部发布防止受关注国家访问美国大量敏感个人数据和政府相关数据最终规则。“受关注国家”为中国（包括香港和澳门）、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉。最终规则明确了禁止、限制、豁免交易类别，设定了人类基因组（组学）数据、生物识别信息、精准地理位置数据、个人健康数据、个人财务数据、某些涵盖的个人识别信息（及组合数据）6类敏感个人数据的阈值。最终规则将于《联邦公报》刊登后90天生效，有关部分肯定性的尽职调查、报告、审计要求将在刊登后270天后生效。

12月26日，德克萨斯州众议院一名议员提交法案。该法案要求企业披露是否使用人工智能，建立预防偏见的指南，并保护个人数据。该法案还包括促进教育培训项目，以更好地适应人工智能驱动的经济，并为“合法政治言论”设立言论自由保护。此外，法案还将禁止某些操纵人类行为、进行社会评分、捕捉生物识别信息、推断敏感属性、未经同意推断情感或制作违反州法律的深度伪造的人工智能系统。法案若获通过，将于2025年9月1日生效。

12月18日，欧洲数据保护委员会（EDPB）发布的意见书28/2024，详细列出了将AI模型视为匿名的标准，强调了以“合法利益”作为处理法律依据时需进行的三步评估流程，讨论了用于平衡数据主体权利与控制者利益的缓解措施。意见书强调使用加密技术、匿名化和假名化方法来保护个人数据的重要性，并建议对算法进行适当的审计和监督，防止潜在的歧视和隐私侵犯。

12月2日，欧洲数据保护委员会（EDPB）发布了关于通用数据保护条例（GDPR）第48条的02/2024号指南，并公开征求意见。根据GDPR第48条，第三国法院或行政当局的判决、决定，若要求欧盟内的数据控制者或处理者传输或披露个人数据，只有在存在与欧盟或成员国之间的国际协议，如相互法律协助条约，这些判决或决定才可能在欧盟境内被认可或执行。该指南明确了数据控制者或处理者向第三国当局披露个人数据的条件，强调处理数据的合法理由和数据转移的法律依据。

12月20日，英国信息专员办公室（ICO）就《存储与访问技术草案更新指南》进行公众咨询。该指南前称为“详细Cookies指南”，以提供关于数据存储和访问技术的最新指导。草案阐述了干预的必要性，包括数据保护危害、政策背景、市场失灵等因素并拟议干预方案细节。

12月19日，欧盟委员会发布《通用人工智能实践准则》的第二稿。这份草案基于2024年11月14日发布的首份草案反馈意见进行修订，针对2025年8月2日之后发布的新模型，详述了透明度和版权义务，对某些开源模型提供者给予豁免。此外，对可能构成系统性风险的先进通用人工智能模型提供者，提出系统性风险评估和缓解措施，包括模型评估、事件报告和网络安全义务。准则结构调整为明确目标、承诺和措施，并纳入了初步的关键绩效指标（KPIs）示例，以进一步明确《人工智能法案》下的具体义务。

12月19日，美国国会两党人工智能特别工作组发布一份全面报告，深入探讨了人工智能的技术细节和发展趋势。报告阐述了人工智能政策的四大原则：风险防护、行业监管、渐进式方法和以人为中心的AI。报告涉及政府AI应用、联邦对州法律的优先权、数据隐私、国家安全以及医疗和金融等行业的AI使用，建议在联邦标准和州法律之间寻求平衡，推动隐私增强型数据访问，并保持内容真实性。报告还提出在医疗领域激励隐私和安全措施，并强调在金融领域AI应用中保护消费者权益。

12月16日，美国国家网络安全局（CISA）发布了《国家网络安全事件响应计划》（NCIRP）的更新草案，NCIRP 的主要内容包括，“四条行动线”即资产响应、威胁响应、情报支持和受影响实体响应，涵盖了应对网络安全事件的各个方面。“协调机构”即建立了网络响应组（CRG）和网络统一协调组（Cyber UCG）等协调机制，以促进跨部门、公私合作和联邦层面的协调。草案将网络安全事件响应分为检测和响应两个阶段，分别涵盖了事件识别、评估、遏制、消除、恢复和执法调查等活动。建议在事件发生后进行审查，总结经验教训，并根据需要进行计划调整。

12月14日，新加坡个人数据保护委员会（PDPC）近日就国民身份证（NRIC）号码的使用问题回应了媒体查询。PDPC指出，根据由医疗保健数据和信息部（MDDI）发布的声明，强烈建议个人不应将NRIC号码用作密码，同时组织机构也不应使用NRIC号码来验证个人身份或设置默认密码。建议采用复杂的密码组合，包括大小写字母、数字和特殊字符，并定期更新密码。此外，公告还提供了多种措施，包括启用双因素认证和使用密码管理器，以帮助公众和企业更好地保护其在线账户。

12月17日，澳大利亚与新加坡签署的人工智能合作谅解备忘录。备忘录详细规划了双方的合作方向。合作细节包括共同投资于人工智能研究项目，涵盖机器学习、数据分析和机器人技术领域；建立研究人员的交流计划，促进技术共享；并在商业化和市场推广方面提供支持，帮助两国企业在全球市场中保持竞争力。此外，备忘录还提到了在制定人工智能伦理准则和标准方面的合作，确保技术的发展与应用符合社会价值观和法律规定。

12月11日，巴西国家数据保护局（ANPD）发布2025-2026年的监管议程。该议程重点关注数据保护法规的执行和监督，旨在提升个人信息保护水平。议程包括：加强数据处理透明度、推广隐私保护最佳实践，以及提高公众对数据保护权利的认识。此外，ANPD计划通过技术手段提升监管效率，确保数据处理活动符合法律规定，从而保障公民的隐私权和数据安全。

12月6日，香港政府在宪报上刊登《关键基础设施（计算机系统）保护条例草案》，并计划于12月11日在立法会进行宣读。法案规定的法定义务分为三类：组织义务、预防义务以及事件报告和响应义务。运营商需建立专门的管理单位来监督计算机系统安全，并采取预防措施以提高对网络攻击的韧性。一旦发生计算机系统安全事件，运营商需向负责执行该条例的专员办公室报告，并按照提交的紧急响应计划采取自身响应措施以恢复系统。专员办公室将提供及时协助并采取补救措施，以控制问题并最小化对其他关键基础设施的影响。

欧盟委员会通过了金融数据获取（FIDA）法规，构建了金融数据获取的统一框架，以服务金融机构间客户数据的互访。该框架通过统一数据共享规则，促进透明度和可比性，确保数据持有者获得适当补偿，以此提升市场参与者为目标消费者提供高度个性化的金融产品和服务的能力。此外，新框架将保证客户对其数据的有效控制，并授权欧洲监管当局发布指南，以防止不公平待遇或排除风险。

12月6日，美国哥伦比亚特区联邦巡回上诉法院维持了要求某大型出海社交媒体公司在2025年1月19日前与其母公司剥离的法案，否则将从美国应用商店下架，法院认为该法案不违反美国宪法第一修正案下的言论自由权。判决作出后，某大型出海社交媒体公司向原审法院申请暂停法案实施的临时禁令同样被驳回。12月18日，美国联邦最高法院发布命令，正式受理该案。案件双方于2025年1月10日就《保护美国人免受外国对手控制应用侵害法案》（PAFACA）是否在适用于上诉人时违反了美国宪法第一修正案关于言论自由的规定进行了辩论。定于2025年1月10日进行该案的口头辩论。案件双方将就《保护美国人免受外国对手控制应用法案》是否在适用于上诉人时违反了美国宪法第一修正案关于言论自由的规定进行辩论。

美国联邦贸易委员会（FTC）对AI写作助手服务Rytr发出最终命令，因其违反FTC法案第5（a）节，提供生成虚假和欺骗性消费者评论的手段。作为“操作AI合规”行动的一部分，FTC针对使用AI进行欺骗性行为的公司采取行动。Rytr的“推荐信与评论”功能允许创建详细的虚假评论，FTC认为这是一种可能损害消费者和市场的不公平商业行为。因此，Rytr被禁止提供任何评论或推荐信生成服务。

美国联邦贸易委员会（FTC）对IntelliVision Technologies Corp.提出了一项拟议同意令，因其对面部识别技术（FRT）的性能、准确性、种族偏见缺乏以及用于训练的面部图像数量进行了虚假宣传。FTC发现IntelliVision的FRT仅基于约10万张独特图像进行训练，而非数百万张，且在NIST测试的算法中排名不在前100名。FTC的调查得出结论，IntelliVision违反了FTC法案第5（a）节，通过欺骗行为误导消费者，因此禁止其对FRT性能进行某些虚假陈述。

12月17日，加州隐私保护局（California Privacy Protection Agency, CPPA）宣布，根据《加州消费者隐私法案》（CCPA），将根据消费者价格指数（CPI）的上涨情况每两年调整一次罚款和货币门槛，新金额将于2025年1月1日生效。调整包括提高货币赔偿、行政罚款和民事罚款的金额，以及企业认定收入门槛和CPPA董事会成员的薪酬标准。例如，“企业”（business）认定门槛从上一年度收入达到2500万美元上调至2662.5万美元，民事罚款金额调整为不超过每违规行为2,663美元（调整前为2500美元），对故意损害行为或明知侵害的是16周岁以下消费者个人信息的违规行为罚款金额调整为7,988美元（调整前为7500美元）。董事会成员的日薪补偿率（Daily compensation rate）也从100美元提高到107美元。这些调整基于加州工业关系部发布的CPI百分比变化计算得出。

意大利数据保护机构Garante对OpenAI OpCo, LLC处以1500万欧元罚款，因其在管理ChatGPT时违反了欧盟通用数据保护条例（GDPR）。违规行为包括数据处理的法律依据不足、缺乏透明度以及年龄验证不足。该决定是在2023年3月启动的调查之后做出的，并参考了欧洲数据保护委员会的意见28/2024。Garante还要求OpenAI进行为期六个月的宣传活动，以提高公众对ChatGPT的数据保护影响和用户权利的认识，并将此案提交给爱尔兰数据保护委员会，后者是OpenAI在爱尔兰设立欧洲总部后的主导监管机构。

意大利数据保护局（Garante）在10月的会议上对Selectra S.p.A.公司进行了调查。根据投诉，Selectra公司在终止合作关系后仍保留并访问了一位前代理商的企业电子邮箱内容。调查发现，公司未能提供完整的隐私通知，并且在数据存储和访问方面存在违规行为。意大利数据保护局最终裁定Selectra S.p.A.违反了多个GDPR条款，并处以8万欧元的罚款，同时禁止继续使用相关软件进行数据处理。

巴西数据保护机构（ANPD）发布了第29/2024/FIS/CGF号决定，要求X公司（前Twitter）停止使用未成年人数据进行人工智能训练，并相应更新其隐私政策。X公司还必须禁用数据共享选项，并在10天内向ANPD提供关于欧盟、欧洲自由贸易联盟和英国数据处理文件在巴西适用性的澄清，并修订其使用条款，以明确数据处理目的。

澳大利亚信息专员办公室（OAIC）与Meta Platforms, Inc.达成了5000万澳元的和解协议，解决了与“这是你的数字生活”（This is Your Digital Life）应用及剑桥分析事件（Cambridge Analytica incident）相关的隐私法违规问题。和解是在法院命令的调解下达成的，Meta的做法被认为可能违反了澳大利亚隐私原则，导致一项可执行的承诺，包括为受影响的澳大利亚Facebook用户提供支付计划。该计划补偿了在特定时期内有Facebook账户并与应用直接或通过朋友有联系的用户。

法国监管机构对软件公司Kaspr处以24万欧元的罚款，因其在LinkedIn上非法抓取数据。法国国家信息与自由委员会（CNIL）表示，这家总部位于巴黎的公司违反了欧盟隐私规则，收集并存储了其无权收集或保留的来自专业社交网络的数据。Kaspr通过付费的Chrome浏览器扩展，允许客户获取LinkedIn上的专业人士联系信息，创建潜在客户名单并构建外展活动等。CNIL表示，Kaspr未能遵守向其收集数据的个人提供透明信息的义务。除了罚款外，CNIL还命令Kaspr停止其非法行为并遵守通用数据保护条例（GDPR）。

芬兰监管机构因Posti公司非法处理个人数据，对其处以240万欧元的行政罚款。调查发现，Posti在未经客户同意的情况下，自动为客户创建电子邮箱，并将该邮箱与其他服务捆绑，客户无法选择不使用电子邮箱。此外，Posti未能清晰告知客户电子邮箱的激活情况，且服务中的技术设置不符合数据保护要求，包括自动激活的选择功能和预勾选的复选框。芬兰监管机构认为，即使不自动创建电子邮箱，Posti公司也可以提供客户请求的服务，要求Posti纠正其非法行为，确保电子服务从一开始就只处理必要的个人数据。

12月18日，荷兰数据保护局（Dutch DPA）对Netflix处以475万欧元罚款，原因是该公司在2018至2020年间未能充分告知客户其个人数据的处理情况，且提供的信息在某些方面不清晰。Netflix收集了包括电子邮件地址、电话号码、支付详情以及客户观看习惯等各类个人数据。荷兰DPA调查显示，Netflix在其隐私声明中未能清晰说明这些数据的具体用途，也未能在客户询问时提供充分信息，违反了GDPR。Netflix已更新其隐私声明并改进信息提供，同时对罚款提出异议。

12月17日，爱尔兰数据保护委员会（DPC）对Meta Platforms Ireland Limited（MPIL）处以2.51亿欧元罚款，这是在对2018年9月MPIL报告的个人数据泄露事件进行两项调查后的最终决定。该数据泄露影响了全球约2900万Facebook账户，泄露的个人数据包括用户的全名、电子邮件地址、电话号码、位置、工作地点、出生日期、宗教、性别等。DPC发现MPIL违反了GDPR的多项条款，包括未能在数据泄露通知中包含所有所需信息、未能记录每次泄露的事实和补救步骤，以及未能确保数据处理系统的设计中保护数据保护原则。

英国信息专员办公室（ICO）对两家位于曼彻斯特的金融和债务管理公司处以共计15万英镑的罚款。这两家公司分别为Quick Tax Claims Limited（专注于PPI退税）和National Debt Advice Limited（提供债务咨询服务），因未经许可发送超过750万条垃圾短信而受到处罚。ICO调查发现：Quick Tax Claims Limited在一个月内发送了7,863,547条非法短信，导致66,793起投诉，其中93%的投诉表示短信中没有“退订”选项，违反了PECR 第22条规定，被罚款12万英镑；National Debt Advice Limited在四个月内发送了129,902条垃圾短信，导致4,033起投诉。由于未能进行适当的同意检查，并发送给贷款被拒的用户，被罚款3万英镑。