全球数字治理前沿洞察
【目录】
1.法国国家信息与自由委员会(CNIL)对NEXPUBLICA FRANCE处以170万欧元罚款
2.美国迪士尼因涉嫌违反《儿童在线隐私保护法》(COPPA)规定与联邦贸易委员会达成1000万美元和解
3.美国印第安纳州《消费者数据保护法》生效
4.越南《个人数据保护法案》生效1.法国国家信息与自由委员会(CNIL)对NEXPUBLICA FRANCE处以170万欧元罚款
2025年12月30日资讯,法国国家信息与自由委员会(CNIL)近日作出行政处罚决定,因未能采取充分的技术和组织性安全措施保护个人数据,对法国数字服务公司 NEXPUBLICA FRANCE 处以 170 万欧元罚款。
国家信息与自由委员会在调查中指出,该公司在信息系统安全管理方面存在多项严重缺陷,包括访问控制和身份认证机制不足、系统漏洞长期未得到修复,以及对敏感数据的存储和传输缺乏有效加密和风险防控措施,导致个人数据面临被非法访问和泄露的高度风险。监管机构强调,作为为公共部门和大型机构提供数字解决方案的服务商,NEXPUBLICA FRANCE 本应依据《通用数据保护条例》(GDPR)履行更高水平的数据安全义务,但其安全治理体系与业务规模和数据敏感性明显不匹配。国家信息与自由委员会表示,此次处罚旨在重申数据控制者和处理者必须将“数据保护内嵌于设计和默认设置”原则落到实处,通过持续的安全评估、技术更新和内部管理改进,切实防范数据安全事件的发生。
2、美国迪士尼因涉嫌违反《儿童在线隐私保护法》(COPPA)规定与联邦贸易委员会达成1000万美元和解
2025年12月30日资讯,美国联邦贸易委员会(FTC)近日宣布,迪士尼公司因涉嫌违反《儿童在线隐私保护法》(COPPA)相关规定,同意与监管机构达成和解,并支付合计 1000 万美元的民事罚款和补救性费用。
根据联邦贸易委员会的调查,迪士尼在其部分面向儿童的在线服务和应用程序中,未能充分履行COPPA 要求的合规义务,包括在收集 13 岁以下儿童个人信息前未取得可验证的家长同意,以及在数据保留和内部管理方面缺乏必要的合规控制。联邦贸易委员会指出,作为全球知名的娱乐和内容提供商,迪士尼在儿童用户群体中具有显著影响力,其在线产品应当在设计阶段就将儿童隐私保护作为核心要素,严格落实“最小必要”“透明告知”和“家长可控”等原则。此次和解不仅要求迪士尼支付罚款,还要求其全面整改儿童数据处理流程,以防止类似问题再次发生。联邦贸易委员会同时借此重申,将持续加大对儿童在线隐私保护的执法力度,督促大型科技和内容平台切实履行对未成年人个人信息的特殊保护责任。
3.美国印第安纳州《消费者数据保护法》生效
2026年1月1日资讯,美国印第安纳州《消费者数据保护法》(Indiana Consumer Data Protection Act, ICDPA)正式生效,标志着该州在个人数据与隐私保护领域迈出关键一步,成为美国又一个建立综合性州级数据保护制度的司法辖区。该法适用于在印第安纳州开展业务、并在一年内处理一定规模州内居民个人数据的企业,核心目标在于强化消费者对其个人数据的控制权,同时明确企业在数据处理过程中的合规义务。根据该法,消费者享有包括知情权、访问权、更正权、删除权以及数据可携带权在内的一系列权利,并可就定向广告、个人数据出售及特定类型的自动化决策处理行使选择退出权。
企业方面,则被要求遵循数据最小化、目的限定和安全保障等基本原则,建立合理的数据安全措施,并在涉及敏感个人数据处理时履行更严格的合规要求。执法层面上,该法由印第安纳州总检察长负责实施,在一定宽限期内优先采取整改导向的执法方式。总体来看,该法的生效进一步推动了美国州级数据保护立法的扩展趋势,也对跨州运营企业提出了更高的合规管理和数据治理要求。
4.越南《个人数据保护法案》生效
2026年1月1日资讯,越南《个人数据保护法案》正式生效,标志着越南在数据保护和数字治理领域迈入系统化、法制化的新阶段,也使其成为东南亚地区个人信息保护制度较为完备的国家之一。
该法案在此前个人数据保护政令的基础上上升为成文法律,系统确立了个人数据处理的基本原则、数据主体权利以及数据处理者和控制者的合规义务,重点强调合法性、透明性、目的限定和数据最小化原则。
法案明确区分一般个人数据与敏感个人数据,对生物识别信息、健康数据、金融信息、位置信息等提出更为严格的处理条件,原则上要求取得数据主体的明确同意,并在特定情形下履行事前评估和向监管部门备案的义务。同时,法案对跨境数据传输设定了专门规则,要求企业在向境外传输越南个人数据时满足安全评估、合同保障或监管批准等条件,以防范数据外流风险。在执法机制上,越南公安部被赋予核心监管职责,可对违法行为采取责令整改、暂停数据处理活动以及行政处罚等措施。总体而言,该法案的生效不仅回应了数字经济快速发展背景下个人信息滥用和数据安全风险上升的问题,也对在越南运营的本土及跨国企业提出了更高的数据合规和内部治理要求。
