1. 国家互联网信息办公室等四部门联合发布《人工智能生成合成内容标识办法》

来源：网信中国

2025年3月21日，国家互联网信息办公室、公安部联合公布了《人脸识别技术应用安全管理办法》（以下简称“《办法》”）。该办法将于2025年6月1日起施行。

《办法》首次从人脸识别技术应用部署的必要性层面提出要求，适用于中国境内应用人脸识别技术处理人脸信息的活动，排除适用为从事人脸识别技术研发、算法训练活动应用人脸识别技术处理人脸信息。《办法》明确要求，实现相同目的或者达到同等业务要求，若存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式，充分尊重和保障个人选择权和个人信息控制权。《办法》规定，除法律、行政法规另有规定或者取得个人单独同意外，人脸信息应当存储于人脸识别设备内。同时，个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续。

为进一步落实《个人信息保护合规审计管理办法》第七条对个人信息保护合规审计专业机构的要求，2025年3月4日，全国网安标委发布《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求（征求意见稿）》（以下简称“《指南》”）。该《指南》从以下五个方面进一步细化了对个保审计专业机构的能力要求。

• 基本条件：该《指南》从适格性、无不良记录和实务经验多个方面，设置了成为个保审计专业机构的基本条件。

• 管理体系：《指南》从管理制度和机制、合规审计风控、业务持续性保障管理三个方面，对个保审计专业机构的管理体系提出了要求。

• 技术能力：《指南》要求专业机构掌握法律法规和标准规范知识；具备对个人信息保护各个环节的识别检测能力；把握国标《数据安全技术 个人信息保护合规审计要求》对审计内容的要求。

• 人员能力：《指南》要求专业机构配备足额具有职称的审计人员，设立专门的合规审计负责人，且对审计人员进行背景审查。

• 场所和设备资源能力：《指南》对专业机构的办公场所安全性、设备设施的可用性和安全性等提出了要求。

为贯彻落实《国家数据基础设施建设指引》，国家数据局指导全国数据标准化技术委员会研究形成了《数据基础设施 参考架构（试行）》《数据基础设施 互联互通基本要求（试行）》《数据基础设施 用户身份管理和接入规范（试行）》《数据基础设施 标识管理规范（试行）》《数据基础设施 接入连接器技术要求（试行）》《数据基础设施 数据目录描述规范（试行）》等6项技术文件，引导地方、行业、领域、企业按照“统一目录标识、统一身份登记、统一接口要求”推进国家数据基础设施建设。

上述技术文件围绕数据基础设施架构、互联互通、用户身份管理、标识管理、接入连接器、数据目录描述及安全保障等提出了技术标准要求，为构建横向联通、纵向贯通、协调有力的国家数据基础设施提供基础支撑。

2025年3月19日，全国数据标准化技术委员会2025年第一次“标准周”全体会议在成都举行。国家数据局表示，我国今年拟制修订41项数据领域国家标准。本年修订的标准范围涵盖高质量数据集、数据基础设施建设、城市全域数字化转型等领域，关系到人工智能、数据流通利用、智慧城市等产业行业的发展。

全国数据标准化技术委员会提出，要积极支持民营企业参与数据领域国家标准制定。该委员会联合了多个国家级、行业、地方标准委员会发出全国数据标准化联合行动倡议，预计在2026年底基本建成国家数据标准体系。

2025年3月8日，《全国人民代表大会常务委员会工作报告》提出，2025年要高质量推进立法工作，围绕完善国家安全体系和公共安全治理机制，修改《网络安全法》《治安管理处罚法》等法律。围绕人工智能、数字经济、大数据等新兴领域加强立法研究。

2025年3月召开的全国两会中，数据领域相关话题成为众多全国人大代表和全国政协委员关注的焦点。节选整理两会上的部分“数据”声音如下：

为推动加快形成绿色金融服务体系，金融监管总局、央行发布了《银行业保险业绿色金融高质量发展实施方案》。该方案在深化绿色金融机制建设方面，要求银行保险机构夯实数据基础。银行保险机构要建立健全绿色金融统计数据管理制度，落实绿色金融统计制度等要求，完善内部数据收集、审核、报送等流程，进一步提高绿色金融统计数据的规范性、及时性和准确性。加强数据治理，强化对数据质量的内部检查和审计监督，坚决杜绝绿色金融数据瞒报、虚报等情况。加快推进绿色金融数字化建设，根据自身实际积极运用大数据、区块链、人工智能等科技手段逐步提升绿色金融管理水平。

国家数据局函复同意天津市、河北省（雄安新区）、上海市、江苏省、浙江省、广东省、四川省等7个地方开展国家数字经济创新发展试验区建设工作。各试验区将聚焦制约数字经济高质量发展的关键环节和突出问题，围绕推进数据要素市场化配置改革、优化数据基础设施建设布局、突破关键核心数字技术、纵深推进数字化转型、推进适数字化改革等5个方面重点任务，开展针对性试点试验，探索数据要素赋能实体经济发展的可行路径。

2025年3月20日，北京市政府举办“推动首都高质量发展”系列主题新闻发布会——2025北京加快全球数字经济标杆城市建设专场。据有关负责人介绍，国家数据局已正式批复北京市创建数据要素综合试验区。北京市持续推进完善数据基础制度，研究制定公共数据开发利用实施意见、数据登记管理办法等制度文件以及公共数据分级分类、数据流通交易等开展标准。加强公共数据共享开发和授权运营，支持北数所提升能级，畅通数据流通渠道。深化京津冀数据领域合作，签订《京津冀数据协同发展战略合作协议》，推动“通武廊”数据协同应用场景试点，形成首批交通、水务领域共享需求清单。

2025年3月12日讯，国家互联网信息办公室发布关于第十批深度合成服务算法备案信息的公告。本批次备案共收录395条算法信息，覆盖文本生成、图像创作、数字人技术等多个领域。公告指出，根据《互联网信息服务深度合成管理规定》第十九条明确规定，具有舆论属性或者社会动员能力的深度合成服务提供者，应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照履行备案和变更、注销备案手续，即需关注间接合规风险。

2025年3月5日，国家计算机病毒应急处理中心通报近期监测发现的15款存在隐私不合规行为的移动应用情况：其中，在告知层面，6款应用未显著告知个人信息处理者信息及保存期限；在隐私政策层面，11款应用未逐一列出收集信息的目的、方式、范围等；在授权同意层面，3款应用向其他处理者提供个人信息未履行告知义务，且未取得单独同意；在用户权利响应层面，4款应用未提供有效更正、删除个人信息及注销账号功能，2款应用未在承诺时限内处理投诉、举报；在撤回同意层面，14款应用未提供便捷撤回同意方式；在自动化决策层面，3款应用未提供不针对个人特征的选项或便捷拒绝方式；在敏感个人信息处理层面，1款应用处理敏感个人信息未取得单独同意。

2025年3月18日，公安部通报2024年“净网”专项行动成果。在成效层面，全国公安机关侦破侵犯公民个人信息案件7000余起；在技术层面，公安机关利用技术手段监测和打击侵犯公民个人信息犯罪，通过木马程序、黑客手段等技术侦查方式，精准定位犯罪团伙，形成“技术侦查+人工打击”闭环；在方向层面，公安机关深入推进侵犯公民个人信息犯罪打击行动，不断健全制度机制、完善工作流程、加大执法力度。针对信息获取、倒卖、使用等关键环节，公安机关将继续保持高压严打态势，督促个人信息处理者严格履行法定义务，完善保护制度和技术措施。

公安部公布依法打击侵犯公民个人信息犯罪10起典型案例，包括制作木马程序，通过入职教培机构投放，控制计算机窃取信息；勾结快递员工，窃取快递订单信息出售；伪造营业执照，在招聘网站骗取简历，向诈骗团伙贩卖；勾结教育行业人员，非法获取并出售个人信息；成立法律服务公司，非法获取个人信息牟利；用黑客手段获取停车小程序数据，安装定位设备提供车辆定位服务；以特定领域工作人员，骗取信息注册账号出售；在短视频平台发虚假视频，骗取网络账号出售等。

2025年3月3日，国家网络安全通报中心援引清华大学网络空间测绘联合研究中心发布分析报告，指出开源跨平台大模型工具Ollama存在严重安全隐患。分析报告具体内容包括风险隐患详情与安全加固建议两部分内容。

报告提出了三点风险隐患。其一，未授权访问。Ollama在本地部署时默认开放11434端口且无鉴权机制，攻击者可借此调用模型服务、获取模型信息，甚至删除模型文件或窃取数据；其二，数据泄露。攻击者可通过特定接口访问并提取模型数据，如/api/show接口可获取模型的license等敏感信息；其三，利用历史漏洞。攻击者可利用Ollama框架历史漏洞，实施数据投毒、参数窃取、恶意文件上传及关键组件删除等操作，威胁模型服务的核心数据、算法完整性和运行稳定性。

报告提出了四点安全加固建议，包括：限制Ollama监听范围、配置防火墙规则、实施多层认证与访问控制、禁用危险操作接口、历史漏洞修复。国家网络安全通报中心表示将进一步加强监测并适时发布后续通报。

2025年3月15日，中央广播电视总台第35届“3·15”晚会对食品安全、公共安全、金融安全、数字经济等领域侵害消费者权益的违法行为进行通报，其中网络安全和数据合规领域相关的代表性内容如下：其一，用爬虫技术窃取个人信息。某科技有限公司开发的获客软件可通过预设关键词，在短视频平台评论区扫描相关留言，强行抓取用户电话、微信账号等信息。该软件还具备监控竞品直播间数据功能，可实现“截流和引流”操作；另一某科技有限公司同样涉嫌利用爬虫技术窃取信息。其内部资料显示，该公司将用户划分为9种类型，建立包含3800项标签的数据库，覆盖2亿多个网站及6万个互联网品牌。该公司宣称每日处理数据量达100亿条，除网络数据外还涉及三网通信大数据抓取；其二，偷取消费者电话号码拨打营销电话。某网络科技有限公司等企业从事违法违规外呼业务，其利用智能机器人拨打营销电话，通过虚拟运营商购买的“小号”偷取消费者电话号码，形成电话销售黑色产业链。

2025年3月7日，上海市委网信办通报“清朗浦江·网络平台算法典型问题治理”专项行动成果。其中，在问题整治层面，检查发现属地12家网站平台存在多类算法问题，涵盖短视频类、生活服务类、论坛社交类等平台。具体问题如下：

其一，在信息茧房方面：部分平台标签管理机制不健全，算法推送内容多样性不足；用户负反馈功能效果不佳，模型识别同质化内容能力有待提高；算法推荐过程依赖用户已有兴趣点，拓展优质兴趣不足，易形成负面低质内容“茧房”；个别平台强制用户选择兴趣标签，或不支持用户管理兴趣标签。

其二，在热搜榜单方面：部分平台榜单存在泛娱乐化情况；未有效公示热搜榜单算法原理，榜单透明度和可解释性不足。

其三，在算法“向上向善”方面：部分平台对违法不良信息检索过滤能力不足，存在将违法和不良信息记入用户标签并推送的情况；对正向优质内容扶持力度不够，正能量优质内容池较小，未有效运用算法技术赋能优质内容传播；对个别平台未成年人模式下内容审核不足，存在不适宜未成年人内容进入推荐池的风险；对AI生成信息的识别和审核能力不足，部分平台AI生成内容存在诱导性信息。

其四，在算法安全主体责任方面：平台内部算法安全组织架构不健全，未有效搭建与业务量相适应的治理机构，内容安全管理部门参与度不够；算法常态化评估机制不健全，未定期开展安全自评估；算法“应备尽备”落实不到位，部分平台算法尚未备案或进度缓慢。

上海市委网信办已向被检查企业反馈问题，要求简单问题立即改正，复杂问题制定方案深入整改。下一步将继续督促平台强化整改，开展“回头看”检查，对整改不彻底的平台依法依规处置处罚。

北京市通信管理局持续开展APP隐私合规和网络数据安全专项整治。2025年3月5日讯，北京市通信管理局通报，北京市部分APP存在“未公开收集使用规则”“违反必要原则收集个人信息”“未明示收集使用个人信息的目的、方式和范围”“未经用户同意收集使用个人信息”“APP频繁自启动和关联启动”“违规向他人提供个人信息”等侵害用户权益和安全隐患类问题。其中，19款存在问题的APP被公开通报，4款未按要求整改或整改不到位的APP被全网下架。

2025年3月19日，海南省互联网信息办公室通报2025年第一季度移动应用程序巡查情况。本次巡查聚焦省内用户量大、群众投诉反映集中的涉网络社交、网络游戏、生活服务类等领域移动应用程序，发现16款App存在非法获取、超范围收集、过度索权等违法违规收集使用个人信息行为。具体包括以下问题：其一，在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；其二，收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关；其三，因用户不同意提供非必要个人信息或打开非必要权限，拒绝提供业务功能等。

海南省互联网信息办公室重点提示，在使用移动应用程序时应当仔细阅读隐私规则条款，谨慎授权应用服务，对非必要收集用户个人敏感信息、拒绝提供用户账号注销、隐私政策表述不明确等违规行为，及时向属地网信部门进行投诉举报。海南省互联网信息办公室表示将持续开展多场景移动应用个人信息保护专项治理，紧密结合人民群众生产生活实际，深入开展行业秩序规范治理。通过常态化动态监测、集中社会通报整改及专题培训等方式，促进行业法治素养进一步提升，全面巩固专项治理工作成效，努力营造海南自由贸易港安全有序的网络法治环境。

2025年3月21日讯，青海网信办依法对海西州某公司存在的网络数据安全违法行为进行行政处罚，开出省内首张网络数据安全“罚单”。

青海省互联网信息办公室针对有关问题线索充分调查取证，依法查明海西州某公司存在不履行网络安全、数据安全保护义务行为。该公司办公OA系统未采取技术措施和其他必要措施保障数据安全，存在未授权访问漏洞，造成企业部分数据泄露。省互联网信息办公室依据《中华人民共和国数据安全法》第四十五条第一款规定，对该公司作出责令改正，给予警告，并处5万元罚款的行政处罚，对直接主管人员和其他责任人员分别处以1万元罚款处罚。

2025年3月13日讯，根据国家网信办移交的问题线索，重庆市网信办依据《中华人民共和国数据安全法》对属地存在个人信息泄露的重庆某公司作出行政处罚。经查，该公司履行网络安全、数据安全保护义务不到位；执行网络安全、数据安全管理制度不到位；网络日志留存不符合法律法规规定；运行的系统未采取技术措施和其他必要措施保障数据安全，导致发生个人信息被窃取等违法情形，违反了《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规。

重庆市网信办依据《中华人民共和国数据安全法》，对该公司作出责令改正，给予警告，并处五万元罚款的行政处罚，对其直接负责的主管人员和其他直接责任人员分别处以一万元罚款处罚。目前该公司已按要求全面深入整改。

2025年3月4日，英国《人工智能（监管）法案》（Artificial Intelligence （Regulation） Bill）在上议院通过一读程序。该法案提出设立人工智能管理局，承担人工智能监管职责，推动各监管机构之间的协调一致，并审查人工智能相关立法，评估监管有效性。该法案还规定了人工智能监管的原则，包括安全性、透明度、公平性、问责制以及补救措施，要求企业遵守这些原则并任命人工智能官员，从而确保人工智能的使用合乎伦理道德。

2025年3月5日，《欧洲健康数据空间条例》（European Health Data Space Regulation, EHDS）全文正式刊载于欧盟官方公报，自3月26日起生效。作为《欧洲数据战略》（A European Strategy for Data）的一部分，该条例旨在构建起“欧洲健康数据空间”，推动欧盟内部的医疗健康数据流通共享，在保障个人对医疗健康数据访问和控制的同时，促进医院、医务人员、研究人员、大学、企业以及政策制定者等更便利地访问基本健康信息。该条例制定了医疗健康数据流通的制度框架，并设立欧洲健康数据空间委员会，负责监督成员国和委员会之间的数据共享。

2025年3月5日，欧盟委员会更新了采购高风险和非高风险AI系统的标准合同条款（Model Contractual Clauses for AI, MCC）。这些条款专为从外部供应商采购AI系统的公共组织而设计，属于《人工智能法》全面适用前的临时指导措施，其目的在于帮助公共机构更好管控AI风险。针对高风险AI系统的条款与欧盟《人工智能法》第三章的规定相一致，包括建立风险管理系统、数据和数据治理、透明度义务、人工监督、解释AI决策、提供数据集、记录事件，准确性、稳健性和网络安全等；非高风险AI条款则关注透明度与基本权利。

2025年3月6日，荷兰数据保护局发布《算法决策中有意义的人类干预（指南草案）》（meaningful human intervention in algorithmic decision-making）并公开征求意见。GDPR第22条原则上禁止完全自动化决策，人工干预的有效实施十分重要。该文件是全球首份探索实现算法决策中真正有意义人类干预的指南，指出人类审核员应当能够获取所有相关信息、具备适当的技能及足够的资源，从而做出理性周全的判断。该指南还强调，人类审核员应成为算法决策过程的核心，应拥有充足的时间与充分的能力来挑战决策。

2025年3月11日，西班牙政府批准了一项人工智能治理法草案，要求企业在使用人工智能（AI）生成的内容时必须清晰标识。该草案建立三级风险管控体系，强调AI技术使用应当合乎伦理道德、具有包容性以及有益于人类，禁止有害的人工智能实践，对关键行业的高风险人工智能系统加强监管，并部署AI测试沙盒机制。

高风险人工智能系统主要包括用于关键基础设施、教育、就业和执法的系统。草案为这些系统的部署设定了严格的义务，包括全面的风险管理协议和强制性的人工监督等。草案还规定了违规罚款，金额自750万欧元至3500万欧元，或占全球营业额的2%至7%，而中小企业的罚款金额较低。

2025年3月11日，《通用人工智能行为准则》（General-Purpose AI Code of Practice）第三稿在欧盟官网公布。此稿由欧盟与工业界、学术界及民间社会合作制定，通过精简结构、明确条款和加强承诺来优化此前的版本。通用人工智能模型厂商，特别是对于那些被视为构成系统性风险的模型，可以以该准则作为指引来遵守欧盟人工智能法所规定的义务。

准则对所有通用人工智能模型厂商提出了透明度要求和版权义务，包括模型文档化、信息可及性、遵守技术标准与规范以及防范侵权风险等。准则还针对少数可能存在系统性风险的模型厂商提出了更具体的风险防控要求，包括评估系统性风险、减少风险、遵守技术标准、实施事故响应机制等。

2025年3月13日，韩国《个人信息保护法》修正案在国会通过，待总统签署并在《政府公报》颁布后正式生效，预计2025年下半年起实施。修正前，该法要求外国企业在韩国境内指定当地代表，履行个人信息保护义务及承担相关责任，但规则相对空泛，实际效果不佳。

此次修正案由韩国国会与个人信息保护委员会共同制定，要求在韩设有法人的海外企业必须指定该境内法人作为当地代表，而不得外包给第三方机构。外国企业应在其隐私政策中详细说明当地代表的职责，且海外总部应持续监督和管理当地代表履行职责。修正案还新增违法处罚条款，违反前述规定的企业可能被处以1000万或2000万韩元（约合5万或10万人民币）的罚款。

2025年3月19日，欧洲数据保护委员会（European Data Protection Board, EDPB）发布了新的《关于批准控制者和处理者的约束性企业规则的合作程序》（Co-Operation Procedure for the approval of Binding Corporate Rules for Controllers and Processors, BCRs）。

约束性企业规则（Binding Corporate Rules, BCRs）是欧盟境内企业为在企业集团内将个人数据传输到欧盟以外而应遵循的数据保护规则，需提交选定的数据保护机构获得批准后，适用于集团内部所有实体。该文件规定，多法域集团化企业应选定某一数据保护机构作为主监管机构，并说明理由。BCRs依次经主监管机构牵头审查、多机构共同审查、各机构全体审查以及EDPB审查通过后，方可由主监管机构批准生效。

2025年3月27日，中国台湾地区行政管理机构批准了《个人资料保护法》（Personal Data Protection Act, PDPA）修正草案与《个人资料保护委员会组织法》草案。台湾地区将于2025年8月前成立个人资料保护委员会（Personal Data Protection Commission, PDPC），专司数据保护监管职责。

在六年的过渡期内，PDPC将从行业监管机构和地方行政管理机关手中逐渐接过监管职权，并重点关注行政检查和数据泄露通报。PDPA修正草案引入一系列新规则，包括强制向PDPC报告数据泄露，通知受影响数据主体，以及在政府和某些私营企业中任命数据保护官等。草案将提交当地立法机构进一步审议。

2025年3月28日，英国信息专员办公室（Information Commissioner's Office, ICO）发布了其匿名化指南。该指南主要面向使用或考虑使用匿名化技术的组织，包括人工智能开发人员，旨在指导有效实施匿名化技术，确保个人数据在共享、发布或再利用时符合英国及欧盟的数据保护法律法规。该指南解释了匿名化（anonymisation）与假名化（pseudonymisation）的概念，若经假名化的个人数据结合其他数据后可归属于自然人，则仍然是个人数据。指南说明了如何确保匿名化的有效性，以及组织进行匿名化前履行DPIA等数据保护义务，并提供了实施适当技术措施的实用建议。

2月28日，西班牙数据保护局 （AEPD） 对西甲联赛国际集团（LaLiga Group International，以下简称“西甲联赛”）处以100万欧元罚款。

• 违规条款及原因

西甲联赛在球场引入面部、指纹生物信息识别系统作为控制球迷入场的身份验证时，未能依据GDPR第35条开展数据保护影响评估。同时，西甲联赛在使用生物识别技术处理个人数据时，未能充分证明其必要性、相称性和透明性。

• 案件主张及认定

本案认定了西甲联赛由于提供访问系统，且响应各俱乐部关于访问系统的要求，构成数据控制者，反驳了西甲联赛关于各个俱乐部作为单独的数据控制者承担义务的主张。基于此，本案进一步强调了鉴于该案处理大规模生物识别数据的高风险性质，西甲联赛作为控制者在开始数据处理之前应当履行GDPR第35条下开展数据保护影响评估的义务。

• 案件异议及认定

西甲联赛对罚款提出异议，认为该技术是基于反暴力委员会的建议实施的，并且其不直接管理相关生物识别数据。此外，LaLiga强调该系统是自愿使用的，并且已经获得了用户的明确同意。

AEPD认为，即使该系统是自愿使用的，也可能对球迷的基本权利和自由造成不成比例的限制。此外，AEPD指出，使用面部识别系统必须满足严格的要求，以确保个人权利得到保障。

3月17日，芬兰数据保护监察机构宣布正式启动对赫尔辛基大学向中国基因技术公司BGI集团传输个人数据的调查。

芬兰数据保护监察机构将调查本次个人信息传输过程中是否遵守了GDPR。由于中国尚未获得GDPR下数据保护的充分性认定，欧盟委员会也尚未对中国数据保护水平进行评估。因此作为数据传输方，赫尔辛基大学需要自行评估是否存在其他合法传输依据，并确定需要采取哪些数据保护措施。本次调查重点聚焦赫尔辛基大学是否已采取了保护个人信息的必要措施，确保所转移的人类研究样本相关个人数据不会被用于非预期用途，例如政府部门可能获取这些数据。

芬兰数据保护监察机构强调，如果未能落实充分的数据保护措施，这些数据可能存在被滥用或被政府获取的风险。

3月25日，意大利数据保护机构 Garante 因Wind Tre S.p.A.违反了《通用数据保护条例》（GDPR）被处以347,520 欧元的罚款。

该公司违反GDPR的具体事项包括：使用非法收集的联系人名单进行电话营销；在非欧盟名单内的数据传输缺乏充分保障；未能充分证明用户同意；数据保存方式不当，以及对客户数据保障的安全措施不足等。

3月18日，卢森堡行政法院作出裁决，维持国家数据保护委员会（CNPD）对亚马逊欧洲核心公司开出的7.46亿欧元处罚。该处罚基于亚马逊公司违反了《通用数据保护条例》（GDPR）多项条款，包括涉及合法数据处理、信息透明度及个人权利保障的第6条、第12-17条以及第21条。判决书指出，亚马逊在基于个性化偏好的广告业务中存在GDPR合规性问题，且未按要求采取整改措施，故维持原处罚决定。

3月27日，英国信息专员办公室（ICO）因Advanced Computer Software集团（以下简称“Advanced集团”）违反《英国通用数据保护条例》对其处以307万英镑罚款。该公司作为NHS等医疗机构的IT服务商，在2022年8月遭受勒索软件（ransomware）攻击时存在重大安全漏洞，攻击者通过一个未启用多因素认证（MFA）的消费者账户入侵系统，导致79,404人个人信息泄露。最终，ICO认定Advanced集团由于未部署多因素认证、漏洞扫描不全面及补丁管理不足，违反了《英国通用数据保护条例》第32（1）条“数据控制者和数据处理者应采取适当的技术和组织措施确保数据安全”。

3月4日，澳大利亚电信公司Telstra因违反垃圾短信法规被澳大利亚通信和媒体管理局（ACMA）处以62.6万澳元罚款，并受到法院的强制执行。

ACMA调查发现，Telstra在2022至2024年间发送了1043万条不符合退订机制法定要求的商业短信。其中，超1030万条要求收件人需提供个人信息才能退订。此外，Telstra旗下的Belong品牌在2022年10月至2023年7月间向4.3万名未同意接收或已撤销同意的客户发送了商业短信。

ACMA指出，虽然Telstra已主动报告并修复大部分问题，但作为成熟企业理应遵守已实施20年的垃圾邮件同意规则（The spam consent rules）。除罚款外，Telstra还承诺进行独立审查、实施改进措施并定期向ACMA报告。

3月12日，加州隐私保护局（CPPA）因美国本田汽车违反《加州消费者隐私法案》对其处以63.2万美元罚款。

CPPA调查发现，本田在响应用户隐私权时，要求用户提供了过多的个人信息，设置了不合理的验证阻碍请求，且未通过合规的合同即向广告技术公司共享相关数据。另外，该公司还被认定在“选择退出”（opt-out）请求、数据限制请求及授权代理权限等方面违规。

根据CPPA要求，其整改措施包括简化请求流程、增设cookie管理的“全部拒绝”按钮，并确保第三方合同符合《加州消费者隐私法案》的要求。

3月20日，纽约州总检察长办公室与Root汽车保险公司达成97.5万美元的和解协议。调查发现，Root公司在线报价工具存在安全漏洞，导致超过4.4万名纽约市民的驾照号码等敏感信息泄露。总检察长办公室认定Root公司未能采取合理的安全防护措施，包括未识别系统设计缺陷、未使用访问频率限制工具，以及未建立完善的安全程序。

根据和解协议，Root公司必须实施全面的安全改进措施，包括建立完善的信息安全计划、开展年度风险评估、建立数据清单、实施合理的访问认证机制，以及部署可疑活动监控系统。

3月13日，韩国个人信息保护委员会（PIPC） 因Modutour Network公司违反《韩国个人信息保护法》对其处以7.572亿韩元（约合52万美元）的罚款。经调查，该公司曾在2024年7月发生涉及约300万人的个人信息泄露事件。在该事件中，该公司未按要求向PIPC报告，且存在超目的保留个人信息等违规行为。前述行为被认定为违反了PIPA第21条“个人信息处理目的”、第29条“安全措施”，以及第34条“泄露通知义务”的规定。

3月25日，泽西岛信息专员办公室（JOIC）因Star-Delta电气服务公司违反《2018年泽西岛数据保护法》对其进行处罚。经调查，JOIC发现该公司在社交媒体页面非法公开与其存在费用争议的客户及其合作伙伴的姓名、照片、财务状况等信息，且调查期间拒不删除相关内容，甚至持续发布经篡改的图像及侮辱性言论。JOIC认定该公司违反该法第8（1）（a）条“无合法依据处理数据”、第9（1）条“非法公开数据”，以及第8（1）（b）条“超出收集目的处理数据”的规定。同时JOIC查明案涉公司未依法完成数据控制者注册并缴纳费用。基于上述违规行为，JOIC最终作出处罚决定。