行业洞察 | 全球数据合规资讯2026年1月速报

2026年第一个工作周，《网络交易平台规则监督管理办法》（以下简称《平台规则办法》）发布。《平台规则办法》首次将“平台规则”作为独立规制对象，聚焦平台规则的“制定-修改-执行-监督”全流程，在现有电商平台法律法规的基础上，细化要求、填补空白，形成更精准的监管框架。

1. 平台规则制定和公示新要求

(1) 规则检索功能：要求采取技术措施，在平台规则展示页面设置检索功能，为检索和浏览平台规则中的特定内容提供便利（第9条）；

(2) 规则制定程序：要求强制公开征求意见（第10条），要求归纳整理并回应意见，资料存档备查三年（第11条）；

(3) 公示期分级：一般规则提前7日，重大规则提前15日（第12条）

(4) 额外过渡期要求：对有关各方重要权益造成重大影响的设置合理过渡期（第13条）

2. 平台内经营者权益保护

(1) 明确细化利用平台规则的七类不合理行为（第27条）；

(2) 细化7类不合理收费（第28条），细化和升级2025年《网络交易平台收费行为合规指南》；

(3) 违约金合理性审查（第29条）。

3. 消费者权益保护

(1) 结合平台场景细化《消费者权益保护法》的“减轻自身责任、加重消费者责任”的禁止性行为（第30条）；

(2) 对《网络交易监督管理办法》的 “禁止大数据杀熟”要求具象化（第31条）；

(3) 保障会员权益的稳定性，对《网络交易监督管理办法》第18条预付式服务规定的专门化延伸。

除以上亮点外，《平台规则办法》还聚焦信息、网络和数据安全保护，明确监管要求和责任。《平台规则办法》已于2026年2月1日实施。

来源及全文链接：享法互联网JoyLegal

https://mp.weixin.qq.com/s/Vpp_jciOvLryTZJ97PSX8A

近日，国家互联网信息办公室、国家新闻出版署、国家电影局、教育部、工业和信息化部、公安部、文化和旅游部、国家广播电视总局发布《可能影响未成年人身心健康的网络信息分类办法》（以下简称《办法》），自2026年3月1日起施行。

《办法》落实《未成年人网络保护条例》要求，明确可能影响未成年人身心健康的网络信息的四种类型包括：

1. 可能引发或者诱导未成年人模仿或者实施不良行为的信息；

2. 可能对未成年人价值观造成负面影响的信息；

3. 不当使用未成年人形象的信息；

4. 不当披露和使用未成年人个人信息。

《办法》罗列以上四类信息的具体表现形式，将不当使用未成年人形象等近年来突出问题纳入治理范围，对算法推荐、生成式人工智能等新技术、新应用、新业态可能带来的内容风险提出防范要求，确保《办法》科学严谨、与时俱进。

《办法》要求，对可能影响未成年人身心健康的网络信息，网站平台和内容生产者应当采取防范和抵制措施，避免对未成年人产生负面影响。《办法》同时要求制作、复制、发布、传播该信息的组织和个人应当在信息展示前，在明显位置作出显著提示。

来源及全文链接：国家互联网信息办公室

https://www.cac.gov.cn/2026-01/23/c_1770728781060093.htm

2026年1月9日，国家互联网信息办公室发布《个人信息保护政策法规问答（2026年1月）》，聚焦个人信息保护领域核心疑问，为个人信息处理者及公众提供权威解读，助力政策法规落地实施。 

问答明确了个人信息的定义与范围，涵盖个人基本资料、生物识别信息、网络身份标识等多类与可识别自然人相关的信息，匿名化处理后的信息除外。敏感个人信息则界定为泄露或非法使用易危害人身财产安全的信息，包括生物识别、医疗健康、金融账户等，不满十四周岁未成年人信息也纳入其中。针对人脸识别技术应用，要求事前开展个人信息保护影响评估，重点评估处理合法性、权益影响、安全风险等四方面内容。同时规定，处理100万人以上个人信息的处理者需指定个人信息保护负责人，相关信息可通过“个人信息保护业务系统”线上报送。

来源：网信中国

2026年1月7日，《直播电商监督管理办法》（以下简称“办法”）由国家市场监督管理总局、国家互联网信息办公室于2025年12月18日以第117号令公布，于2026年2月1日起正式施行，全文共七章69条，旨在加强直播电商监督管理，保护消费者和经营者合法权益，推动行业健康发展。

办法在数据合规方向的核心法条如下：

1. 第六条：直播电商平台经营者应当建立健全个人信息保护、网络和数据安全保护机制，同时加强直播电商信息内容管理，建立健全内容审核机制。

2. 第十六条：直播电商平台经营者需通过技术手段确保交易信息完整性，交易信息应包含直播账号、商品/服务的直播视频回放记录、直播互动信息、订单快照、客服记录、支付记录、物流及售后等信息，且保存时间自交易完成之日起不少于三年（法律、行政法规另有规定的除外）。

来源及全文链接：国家互联网信息办公室

https://www.cac.gov.cn/2026-01/07/c_1769516655383334.htm?_refluxos=a10

2026年1月14日，交通运输部研究起草了《交通运输数据安全管理办法（征求意见稿）》（以下简称“该办法”），该办法旨在贯彻落实《数据安全法》等法律法规及国家数据安全工作要求。

明确了“谁管业务、谁管业务数据、谁管数据安全”和“属地管理”的工作原则并对交通运输部各省级主管部门及数据处理者的职责进行了划分。建立数据分类分级保护机制将数据依法划分为一般数据、重要数据、核心数据三个级别，围绕数据收集、存储、使用、加工、传输、提供、公开、删除等全生命周期环节规定相应的安全管理要求，规范数据安全风险评估工作明确需评估的特定情形及要求。建立数据安全监测预警与应急处置机制并明确了监督检查与责任追究的相关规定。

该办法对个人信息、重要数据和核心数据的管理提出了特定要求并对数据跨境、人工智能数据处理、委托处理等特定情形作出了规范。

来源：光明网

全文链接：

https://www.mot.gov.cn/yijianzhengji/dangqianzhengji/202601/P020260114353161408937.doc

2026年1月10日，国家互联网信息办公室正式发布《互联网应用程序个人信息收集使用规定（征求意见稿）》（以下简称“规定”），向社会公开征求意见。该规定共七章三十九条，覆盖互联网应用程序（App）、软件开发工具包（SDK）、分发平台、智能终端等全链条主体，旨在规范个人信息收集使用行为，筑牢用户权益保护防线。

规定明确，个人信息收集使用需遵循合法、正当、必要、诚信原则，采用对用户权益影响最小的方式，不得超范围收集。App首次启动需通过弹窗告知收集使用规则并获明确同意，权限调用需与功能场景直接相关，相机、麦克风仅限用户主动使用时调用，位置权限按场景控制频度。生物识别等敏感信息优先存储于设备内，未成年人个人信息需监护人同意。用户可便捷查阅、删除个人信息及注销账号，账号注销后15个工作日内需完成信息删除或匿名化处理。同时，App需公示嵌入SDK的详细信息并履行审核义务，分发平台、智能终端厂商需严格落实上架审核与预置核验责任。

来源及全文链接：国家互联网信息办公室

https://www.cac.gov.cn/2026-01/10/c_1769603446094128.htm?_refluxos=a10

2026年1月23日，北京市经济和信息化局等四部门关于印发《北京市关于促进商业卫星遥感数据资源开发利用的若干措施（2026-2030年）》（以下简称《措施》），旨在为深入贯彻落实国家关于发展商业航天、促进数据资源开发利用的相关决策部署，推进商业卫星遥感数据资源（简称遥感数据资源）开发利用，打造天地一体、应用牵引、数智融合的卫星应用服务创新高地，催生一批遥感数据新产品、新服务、新业态。

根据《措施》，北京鼓励企业积极开展数据资产管理工作，通过政策宣贯、业务培训等方式，依据会计准则和相关规定，支持企业开展卫星数据资产入表标准化处理。鼓励在北京国际大数据交易所等服务机构进行卫星数据资产登记、评估、流通、增信，一体化推动数据资产化和数据供需有效对接。

鼓励健全数据安全管理体系，加强对卫星数据的获取、存储、传输和使用环节的安全保护，支持数据加密、可信流通、安全治理等技术创新和应用，确保开发利用过程可管、可控、可追溯。鼓励各类主体与网络安全、信创行业开展合作，提升卫星数据汇聚管理水平和风险识别能力，加强对涉及国家安全、商业秘密、个人隐私等数据的分级保护，构建全链路自主可控生态，确保卫星数据安全。

来源及全文链接：北京市经济和信息化局

https://jxj.beijing.gov.cn/zwgk/2024zcwj/202601/t20260123_4459532.html

巴西与欧盟在个人数据保护及国际合作领域迈出历史性一步。2026年1月27日下午，巴西总统府普拉纳尔托宫将举行仪式，正式宣布双方互认彼此个人数据保护水平的等效性。

此举这意味着巴西和欧盟承认彼此的法律体系为个人数据提供了同等水平的保护，从而允许相关数据在双方之间直接、安全、简化地流通，无需额外的传输机制。

“充分性认定”是巴西《通用数据保护法》（LGPD）中规定的一种工具，当数据接收国或国际组织能提供被认为是充分的保护水平时，即允许进行国际数据传输。

就巴西-欧盟而言，这是双方以协调方式独立作出的单边且具有法律自主性的认定。欧盟委员会认定巴西提供了充分的个人数据保护，而巴西则通过ANPD的决议，承认欧盟提供了与LGPD兼容的保护水平。

来源：巴西国家数据保护局（ANPD）

2026年1月23日，欧洲数据保护委员会（EDPB）发布《欧盟-美国数据隐私框架（DPF）欧洲企业常见问题解答》2.0版本（以下简称《问题解答2.0》），为欧洲经济区（EEA）企业向美国传输个人数据提供关键指引。

《问题解答2.0》明确DPF是美国公司的自我认证机制，通过认证的公司需遵守EEA个人数据处理相关原则与义务。欧盟委员会认可其数据保护水平，EEA企业向认证的公司传输个人数据可自由进行，无需额外保障措施，适用于各类商业、健康及人力资源相关个人数据。

有资格参与DPF的美国公司，须受美国联邦贸易委员会（FTC）或运输部（DoT）的管辖。EEA企业传输数据前，需确认美国公司持有有效年度认证且覆盖所传数据；传输人力资源数据时，还需确认认证范围或企业隐私政策承诺，并告知对方数据类型，可通过美国商务部《数据隐私框架清单》核验认证有效性。

向认证公司美国子公司传输需核查母公司认证覆盖范围；向美国控制者传输需符合GDPR相关规定；向美国处理者传输，无论其是否认证，均需签订数据处理协议，明确各项数据保护义务。

来源及全文链接：欧洲数据保护委员会（EDPB）

https://www.edpb.europa.eu/system/files/2026-01/edpb_dpf_faq-for-businesses_v2_en.pdf

2026年1月20日，土耳其个人数据保护局（KVKK）发布公告，概述了在其网站上发布个人数据泄露通知的最新规则。

根据土耳其《个人数据保护法》第6698号第12条，数据控制者若发现个人数据遭非法获取，必须在知悉后72小时内向数据主体及KVKK报告。KVKK有权在官网或其他适当渠道公示相关违规事件。

KVKK在决定是否公示数据泄露事件时，将综合考量以下因素：受影响人群范围与数量、泄露数据的性质与规模、事件发生方式、涉事企业所属行业、是否已向数据主体履行通知义务等。

根据KVKK2025年12月25日第2025/2451号决议，现对公示规则调整如下：

1. 新增公示时限：数据泄露公示期最长不超过60天；

2. 提前下架机制：若数据控制者能证明已在更短时间内直接通知所有受影响个体，相关公示可从官网提前移除。

来源：土耳其个人数据保护局（KVKK）

2026年1月20日，欧盟委员会宣布提出一项新的《网络安全方案》，旨在应对日益增长的威胁，进一步强化欧盟的网络安全防御与应对能力。

1. 该方案提议对以下法规进行修订：

(1) 《欧盟网络安全法案》

(2) 《关于在欧盟范围内实现高水平网络安全措施指令》（NIS2指令）

(3) 欧洲网络安全认证框架

2. 主要修改包括：

(1) 加强欧盟信息通信技术供应链的安全；

(2) 通过简化的认证流程，确保进入欧盟市场的产品在设计阶段即具备网络安全保障；

(3) 简化企业遵守现有欧盟网络安全规则的流程，并强化欧盟网络安全局在支持成员国及欧盟应对网络威胁方面的作用。

3. 修订提案旨在：

(1) 简化在欧盟运营企业遵守网络安全规则及风险管理要求的流程，并与《数字综合法案》中提出的单一事件报告入口点形成互补；

(2) 提升法律清晰度；

(3) 简化管辖权规则，优化勒索软件攻击数据的收集，并借助ENISA强化的协调作用，便利对跨境实体的监管。

此外，修订案增设了“中小市值企业”新类别，预计将为约2.25万家企业降低合规成本。

修订后的《网络安全法案》将使ENISA能够协助欧盟及其成员国识别共同威胁。ENISA还将与欧洲刑警组织合作，通过发布网络威胁与事件早期预警，进一步支持在欧盟运营的企业及相关方。

来源：DG

全文链接：

https://ec.europa.eu/commission/presscorner/api/files/document/print/en/ip_26_105/IP_26_105_EN.pdf

2026年1月16日，法国国家信息与自由委员会（CNIL）正式发布《跨设备同意采集指南》（以下简称“指南”），旨在帮助相关方在遵守GDPR的前提下，实现用户在多设备间的同意管理。

本指南主要针对已登录账户的用户（即“登录场景”）。当用户通过任一设备（如手机、平板、电脑或智能电视）在网站或移动应用中对Cookie等追踪技术做出选择时，该选择将自动同步至其账户下所有关联设备及浏览器。

1. 关键合规要求

(1) 选择权对等原则：若允许用户一次性为所有设备授予同意，则拒绝或撤回同意也需具备同等便捷性与覆盖范围。

(2) 透明化告知：需明确告知用户其选择将应用于账户下的所有设备。

(3) 新设备提示：当用户通过新设备登录时，建议通过临时弹窗提示其当前适用的同意范围。

2. 用户选择冲突处理方案

当用户未登录时做出的选择与账户存储偏好冲突时，可采用以下任一方案：

(1) 优先最新选择：以登录前在同意界面做出的最后一次选择为准；

(2) 优先账户记录：以账户中已保存的偏好设置为准。

CNIL计划于2026年启动“跨域名同意”机制研究，旨在为媒体集团或多品牌生态提供合规框架，在减少重复同意请求的同时保障用户隐私与选择自由。指南是对CNIL原有《Cookie及其他追踪技术使用指南》的补充修订，重点明确了跨设备同意的合规实操要求。

来源：法国国家信息与自由委员会（CNIL）

全文链接：

https://www.cnil.fr/sites/default/files/2026-01/recommandation_multi-terminaux.pdf

2026年1月15日，英国信息专员办公室（ICO）发布了更新版《个人信息国际传输指引》（以下简称“指引”），旨在帮助企业更快速理解并遵守英国《通用数据保护条例》（UK GDPR）下的数据传输规则。

精简后的指引为企业提供了明确的“三步测试法”，以识别是否涉及受限数据传输。ICO还针对企业常见疑问领域提供了明确解释。此外，新增章节明确了各方角色与责任，以应对多层传输场景的复杂性。另附简明指南、快速问答及术语表，将为缺乏国际传输专业经验的组织提供支持。

本次更新是持续改进项目的一部分，未来将进一步扩展指引内容，包括传输风险评估（TRA）方法、国际数据传输协议（IDTA）及云服务的补充指引。ICO计划推出交互工具协助组织识别受限传输，并增加反映全球数据传输复杂性的实例与案例研究。

来源：英国信息专员办公室（ICO）

全文链接：

https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/

2026年1月23日，近日，湖南省网信办在依法查处某信息公司未履行数据安全保护义务案件过程中，查明该案件关联公司某科技公司在未经委托方同意擅自分包的情况下，未经同意向某信息公司提供个人信息数据，未对某信息公司履行网络数据安全义务的情况进行有效监督。湖南省网信办依据《网络数据安全管理条例》对该科技公司作出警告，并对该公司、主管人员分别处罚款三十万元、三万元的行政处罚。此案是湖南省网信办依据《网络数据安全管理条例》查处的首例典型案件。涉事科技公司未认真把关分包公司数据安全防护条件，擅自分包，对分包公司履行网络数据安全义务监督流于形式。各相关单位要引以为戒，向其他网络数据处理者提供、委托处理个人信息和重要数据的，应当通过合同等约定网络数据安全保护义务，并对网络数据接收方履行义务的情况进行持续有效监督，切实维护网络数据安全。

来源：网信湖南

2026年1月22日，最高人民检察院发布了一批个人信息保护检察公益诉讼典型案例。本次发布的典型案例共6件，涉及智慧停车场、小区人脸识别、网络虚假招聘、“网络开盒”、逝者及其亲属个人信息泄露、“黄牛”及旅行社滥用个人信息等场景：

1. 河北省保定市徐水区检察院聚焦智慧停车移动应用程序存在的突出问题，充分发挥公益诉讼检察职能，通过办案推动智慧停车行业治理；

2. 重庆市两江新区检察院聚焦小区物业、房地产企业等人脸识别高频应用场景，不仅推动个案整改，更从行业层面为推动《人脸识别技术应用安全管理办法》落地落实提供实践样本；

3. 针对网络虚假招聘隐蔽性强等特点，广东省广州市天河区检察院突破个案局限，通过大数据筛查类案线索实现类案治理；

4. 浙江省杭州市临安区检察院针对“网络开盒”侵害个人信息问题提起民事公益诉讼，通过追究民事侵权责任加大司法惩治力度，并为反网络暴力积累经验；

5. 个别医疗机构从业人员倒卖逝者及家属信息，上海市闵行区检察院敏锐发现治理盲区，推动堵塞监管漏洞，为贯彻实施新修订的《殡葬管理条例》作出了示范；

6. 针对“黄牛”及旅行社滥用个人信息违规预约博物馆、热门景区并获利的行为，江西省景德镇市检察院通过制发检察建议督促行业主管部门依法履行监管职责，强化旅游行业个人信息保护。

来源：新华网

2026年1月16日，《网络数据安全管理条例》正式施行一年来，在上级网信部门指导下，上海市网信办依据《网络安全法》《数据安全法》《个人信息保护法》，以及《网络数据安全管理条例》（以下简称《条例》）等法律法规，持续加大执法力度，规范网络数据处理活动，保障网络数据安全，促进网络数据依法合理有效利用，保护个人、组织的合法权益。现将典型案例发布如下。

一、未依法履行网络数据安全主体责任，导致发生数据泄露法律和《条例》明确规定，网络数据处理者在境内开展网络数据处理活动，应当加强网络数据安全防护，建立健全网络数据安全管理制度，采取相应技术措施和其他必要措施，保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用等，并对所处理网络数据的安全承担主体责任。网信部门办案中发现，部分涉案企业未能依法履行网络数据安全主体责任，未采取有效安全防护措施，致使网络数据遭到攻击窃取而泄露。典型案例有：1.某物流运输网络科技企业数据泄露案；2.某物联网科技企业用户数据泄露案；3.某事务中心档案查询系统信息泄露案

二、未落实网络数据跨境安全管理要求，导致数据违法违规出境

法律和《条例》明确规定，网络数据处理者向境外提供重要数据或个人信息，应当遵循合法正当必要原则，按照国家网信部门的规定，选择申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证等多种方式合规开展数据出境活动。网信部门办案中发现，部分涉案企业未能真正落实相关规定要求，导致数据违规出境造成个人信息安全风险。典型案例有：4.某酒店管理企业违法违规出境用户数据案；5.某物业管理企业违法违规出境用户数据案；

 三、未有效履行个人信息安全保护义务，导致个人信息权益受到侵害

法律和《条例》明确规定，网络数据处理者收集、处理个人信息，不得超范围收集个人信息，不得通过强制、误导、欺诈、胁迫等方式取得个人信息，并对收集的用户个人信息做好相应安全防护措施。网信部门办案中发现，部分涉案企业未能依法履行个人信息保护义务，违规收集、处理个人信息导致公民权益受到侵害。典型案例有：6.某咖啡企业违法违规收集使用个人信息案；7.某SDK网络科技企业违法违规收集个人信息案；8.某酒店管理企业存在个人信息泄露风险案。

案例详细介绍请见来源链接。

来源：网信上海

https://mp.weixin.qq.com/s/W_EDyn0NIltRWO72L7dVyA

2026年1月5日，依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，经国家计算机病毒应急处理中心检测，71款移动应用存在违法违规收集使用个人信息情况，现通报如下。

1. 在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；隐私政策难以访问；个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。涉及13款移动应用。

2. 隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等。涉及31款移动应用。

3. 个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。涉及13款移动应用。

4. 未在征得用户同意后才开始收集个人信息或打开可收集个人信息的权限。涉及3款移动应用。

5. 未提供有效的更正、删除个人信息及注销用户账号功能；为更正、删除个人信息或注销用户账号设置不必要或不合理条件；虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内完成核查和处理。涉及5款移动应用。

6. 投诉、举报未在承诺时限内受理并处理；个人信息处理者未建立便捷的个人行使权利的申请受理和处理机制。涉及2款移动应用。

7. 未向用户提供撤回同意收集个人信息的途径、方式；个人信息处理者未提供便捷的撤回同意的方式。涉及23款移动应用。

8. 通过自动化决策方式向个人进行信息推送、商业营销，未同时提供不针对其个人特征的选项，或者未向个人提供便捷的拒绝方式。涉及3款移动应用。

9. 个人信息处理者处理敏感个人信息的，未向个人告知处理敏感个人信息的必要性以及对个人权益的影响。涉及3款移动应用。

10. 个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则；收集未成年人信息未取得监护人单独同意。涉及3款移动应用。

11. 未采取相应的加密、去标识化等安全技术措施。涉及27款移动应用。

12. 实现相同目的或者达到同等业务要求，存在其他非人脸识别技术方式的，将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的，未提供其他合理、便捷的方式。涉及6款移动应用。

13. 无隐私政策。涉及5款移动应用。

来源：国家计算机病毒应急处理中心

2026年1月22日，法国就业局（原法国就业中心）因未能切实保障求职者的数据安全被法国国家信息与自由委员会对处以 500 万欧元罚款。

2024年第一季度，一名或多名黑客入侵了法国就业局的信息系统，盗取了法国残障人士就业支持机构 CAP EMPLOI 顾问的账户权限。

调查证实，黑客获取了过去 20 年所有在册及曾在册人员、以及法国就业局官网注册求职者的相关数据，含社保号、邮箱、通讯地址及电话号码，但未获取求职者包含健康数据在内的完整档案。

法国国家信息与自由委员会（CNIL）经调查认定，该局数据安全技术与组织防护措施存在重大缺陷。CAP EMPLOI 顾问访问法国就业局信息系统的身份验证流程存在严重漏洞；同时，系统异常行为的日志监测机制不完善；此外，该局为 CAP EMPLOI 顾问设置的账户访问权限过宽，顾问可查看非其服务对象的个人数据，大幅扩大了黑客可获取的数据范围。

CNIL对其处以 500万欧元罚款，同时责令其提交整改措施说明及具体实施时间表。若未按要求执行，该局将按逾期天数每日缴纳 5000 欧元滞纳金。

来源：法国国家信息与自由委员会（CNIL）

2026年1月19日，罗马尼亚国家个人数据保护局（ANSPDCP）于2025年12月完成了对大陆汽车产品有限公司（Continental Automotive Products SRL）的调查，确认该公司违反了《欧盟第2016/679号条例》第5条第（1）款c项、第（2）款，以及第32条第（1）款b项、第（2）款的规定，决定对其罚款76,366列伊。

调查启动的起因是大陆汽车产品有限公司依据GDPR第33条规定，提交了一份关于个人数据安全违规的通知。

根据通知表中记载的内容，该公司在内部反复分发一份Excel文件，该文件包含公司员工的汇总信息，其中包含特定时期内员工及前员工的病假证明/医疗证明中的数据。

此外，调查还发现该公司未实施充分的技术和组织措施来确保数据处理安全及系统韧性。此漏洞导致大量员工和前雇员的个人数据遭到未授权访问。

监管机构责令该公司采取纠正措施，即在技术及组织流程框架内，落实所有涉及个人数据处理的相关流程，包括建立相关流程的监控与管控机制，以便及时发现可能发生的个人数据安全事件。

来源：罗马尼亚国家个人数据保护局（ANSPDCP）

2026年1月13日，法国国家信息与自由委员会（CNIL）对FREE MOBILE和FREE公司分别处以2700万欧元和1500万欧元的罚款，原因是两家公司为保障用户数据安全所采取的措施严重不足。

2024年10月，一名攻击者成功侵入两家公司的信息系统，访问了涉及2400万份用户合同的个人数据，其中包括FREE MOBILE和FREE双重客户的国际银行账户号码。在此次数据泄露事件影响下，个人投诉数量激增（截至目前已超过2500起）。CNIL随即展开调查，发现FREE MOBILE和FREE（二者分别为其自身用户的数据控制者）存在多项违反《通用数据保护条例》（GDPR）义务的行为。

因此，CNIL下设的惩戒委员会——负责实施制裁的机构——在综合考虑两家公司的财务能力、对基本安全原则的认知缺失、受影响人数、所涉数据的“高度”敏感性以及泄露特定数据（如国际银行账户号码）所带来的风险后，决定对FREE MOBILE处以2700万欧元罚款，对FREE处以1500万欧元罚款。

FREE与FREE MOBILE的具体违规行为：

1. 违反个人数据安全保障义务（GDPR第32条）；

2. 违反数据泄露通知数据主体的义务（GDPR第34条）；

3. FREE MOBILE违反个人数据有限期保留义务（GDPR第5-1-e条）。

惩戒委员会责令该公司在收到本决定通知后的六个月内，完成数据的分类与清理工作。

来源：法国国家信息与自由委员会（CNIL）