行业洞察 | 全球数据合规资讯2026年3月速报

2026年3月13日，《中华人民共和国国民经济和社会发展第十五个五年规划纲要》（以下简称《纲要》）发布，对数据合规、网络安全与人工智能治理作出系统部署，为我国未来五年的数字化智能化发展确立了清晰的治理框架。

《纲要》明确在下一个五年期间，坚持促进发展和规范管理相统筹，加强数据基础制度规则建设和人工智能治理，营造有益、安全、公平的发展环境。

1.健全数据要素基础制度：建立健全数据产权、流通利用、收益分配、安全治理等数据要素基础制度。完善数据产权结构性分置制度，构建全国统一的数据产权登记体系。建设开放共享安全的全国一体化数据市场，加快完善数据流通交易规则和标准，优化数据交易机构布局，规范发展第三方专业服务机构。建立数据要素价格形成机制，探索兼顾各方利益的数据收益分配机制。完善数据领域法律法规，健全数据采集、存储、流通、使用管理规则。实施数据分类分级管理，提升数据安全保护能力。

2.完善科学有效监管机制：健全新技术新业态安全监管框架，构建技术标准研制调整、技术应用分级管理机制，推进多元协同共治。完善人工智能领域法律法规、政策制度、应用规范、伦理准则，健全算法备案、透明度管理、安全评估等制度，探索建立人工智能生成物权利归属和开发者经营者使用者权责认定规则。推动建立人工智能全生命周期风险管理制度，健全覆盖安全监测、风险预警、应急响应的风险防控体系。推动平台经济创新和健康发展，加强平台企业数据、算法、流量和规则监管，促进平台企业和平台内经营者、劳动者共赢发展。依法打击数据滥用、深度伪造、泄露隐私等行为。

3.拓展数智领域国际合作：构建全球数字合作伙伴关系网络，深化电子商务、数字支付、智慧城市等领域合作，探索建设离岸算力设施、数据跨境流动服务基础设施。积极参与人工智能、数字货币、数据跨境流动等领域国际治理，在数据安全、隐私保护、跨境执法协作等方面达成更多共识，加强国际司法协调和规则互认。推动建立各国广泛参与的人工智能治理框架，共同构建平权、互信、多元、共赢的全球人工智能开放生态，支持全球南方国家加强人工智能能力建设。

来源及全文链接：新华社

https://www.gov.cn/yaowen/liebiao/202603/content_7062633.htm

2026年3月30日，市场监管总局发布关于进一步贯彻实施《中华人民共和国反不正当竞争法》的通知，要求准确把握贯彻实施反不正当竞争法的工作重点，综合整治“内卷式”竞争、强化网络不正当竞争行为监管等，及时应对各类新型网络不正当竞争行为。

强化网络不正当竞争行为监管。统筹好活力和秩序的关系，完善网络竞争规则，着力提升对网络不正当竞争行为的常态化监管水平。运用好禁止侵害数据权益的专款规定、商业秘密保护规则，准确识别数据不正当竞争行为，平衡好数据保护和数据利用的关系，加大对人工智能等新兴产业的保护力度，有效保护数据要素各参与方的合法权益，维护数据市场竞争秩序。及时应对各类新型网络不正当竞争行为，有效规制利用数据和算法、技术、平台规则等实施不正当竞争行为。准确把握网络不正当竞争行为法律构成和实践特点，持续加大对流量劫持、恶意干扰、恶意不兼容、滥用平台规则实施虚假交易、虚假评价或者恶意退货等各类变相表现形式的甄别和监管执法，进一步加大对数字经济市场秩序的维护力度。

来源：中工网

全文链接：

https://www.chinanews.com.cn/gn/2026/03-30/10595206.shtml

由中国网络安全审查认证和市场监管大数据中心牵头编制的我国首项个人信息跨境安全管理领域国家标准GB／T 46068—2025《数据安全技术 个人信息跨境处理活动安全认证要求》，经国家市场监督管理总局、国家标准化管理委员会批准于2026年3月1日正式实施，该标准的发布与实施不仅有助于提升个人信息跨境处理活动的合规性和标准化，也为我国参与全球数据治理，构建安全、有序、自由的国际数据流通奠定了坚实基础。

一是该标准明确了跨境处理个人信息时相关方应遵守的基本原则、基本要求和个人信息主体权益保障要求，覆盖了境内个人信息处理者、境外接收方的义务和责任以及个人信息跨境处理全流程。

二是完善了跨境活动秩序，为跨境贸易、数据流动、服务提供等跨境活动提供统一的技术标准、操作规范和合规要求，确保跨境活动在有序、合法框架内开展。

三是该标准对标国际通用原则与技术要求，通过统一标准，促进不同国家和地区在跨境数据共享、技术合作、监管协调等方面互信互认，减少因标准差异导致的合作障碍，为进一步推动跨境交流合作与数据安全认证结果的双边多边互认提供了基础支撑。

来源：中国网络安全审查认证和市场监管大数据中心

2026年3月25日，工业和信息化部科技司发布公示，宣布已完成《汽车数据安全保障要求》《汽车安全漏洞分类分级评价》2项汽车行业推荐性国家标准的编制工作，现向社会公开征求意见。

其中，《汽车数据安全保障要求》（计划号：20243203-T-339）主要规定了组织的汽车数据安全管理、相关方管理、数据全生命周期管理、安全监测与处置、安全工程、安全风险评估等要求及相应的检验方法，适用于汽车数据处理者。而《汽车安全漏洞分类分级评价》（计划号：20243206-T-339）则确立了汽车安全漏洞分类分级的总体原则与评价指标体系，明确了分类规则、分级评价内容与方法、评价指标取值规则及评价结果形成规则，适用于相关组织在漏洞管理、技术研发、产品生产、安全运营等活动中开展评价工作。

来源及全文链接：标准网

《汽车数据安全保障要求》

http://www.bzw.com.cn/page/preview?filepath=/profile/upload/2026/03/24/20243203-T-339_20260324164506A003.pdf

《汽车安全漏洞分类分级评价》

http://www.bzw.com.cn/page/preview?filepath=/profile/upload/2026/03/24/20243206-T-339_20260324164506A004.pdf

2026年3月3日，全国网络安全标准化技术委员会发布《网络安全标准实践指南—网络安全标识 消费类网联摄像头安全要求（征求意见稿）》（以下简称“安全要求”），面向社会公开征求意见。

安全要求旨在支撑消费类网联摄像头网络安全标识检测工作，从物理与硬件安全、系统与软件安全、网络与通信安全、数据安全与个人信息保护和安全保障5个方面给出消费类网联摄像头网络安全能力要求，由低到高按照基础级、增强级、领先级划分为三个等级，适用于指导消费类网联摄像头的设计、开发、使用、维护和检测。

来源及全文链接：全国网络安全标准化技术委员会

https://www.tc260.org.cn/sysFile/downloadFile/d366cb897f9e4066bbe584081342f7ef

2026年3月11日，全国网络安全标准化技术委员会发布通知，下达16项网络安全推荐性国家标准计划，其中包括：

1.《数据安全技术 数据提供、委托处理、共同处理实施指南》

2.《数据安全技术 数据安全评估机构能力要求》

3.《数据安全技术 数据安全评估报告模版》

4.《数据安全技术 数据安全从业人员能力基本要求》

5.《数据安全技术 个人信息保护合规审计机构能力要求》

6.《数据安全技术 个人信息匿名化处理系统技术要求》

7.《数据安全技术 数据分类分级自动化技术能力评估方法》

8.《数据安全技术 数据安全监测平台技术要求与测试评价方法》

9.《数据安全技术 数据安全管理平台通用安全技术要求》

10.《数据安全技术 人工智能生成内容标识解析服务接口规范》

11.《数据安全技术 人工智能数据集质量评价规范》

12.《数据安全技术 基于互联网广告的第三方数据流通安全要求》

13.《信息安全技术 网络安全产品互联互通框架》

14.《信息安全技术 电子文档加密技术应用指南》

15.《信息安全技术 网络弹性评价准则》

16.《信息安全技术 软件物料清单数据格式》

这些标准由全国网络安全标准化技术委员会归口管理，将进一步完善我国数据安全领域的标准体系，为数据处理活动提供更明确的合规指引。

来源：全国网络安全标准化技术委员会

2026年3月27日，在2026中关村论坛数据跨境流动创新发展论坛上正式发布《数据跨境流动便利化综合配套改革3.0版方案》，这是继2025年出台2.0版方案后，北京对数据跨境流动工作的又一次系统性升级。3.0版方案聚焦医疗健康、人工智能等6个重点领域，开展“一业一策”，让医疗、汽车、金融等领域北京方案落地应用。

数据跨境3.0版方案以重点行业为突破口，更加强化标杆场景引领，聚焦医疗健康、人工智能、智能网联汽车、贸易物流、科技金融、商业航天等6个重点领域，开展“一业一策”，畅通数据获取、加工、传输、交易的全流程合规路径，推动数据跨境向赋能产业全链条协同拓展。

比如在医疗健康领域，3.0版方案着力加强本市医疗机构高价值数据供给，鼓励运用《健康医疗数据匿名化技术规范》开展医疗健康数据合规开发利用，加快制定医疗健康数据分类分级制度规范，促进医疗数据合规流通与创新应用。同时，试点创新药“走出去”服务模式，在本市自贸区探索建立“负面清单管理+可控技术环境”数据出境技术路径，整合电子数据采集、临床试验管理等数字化平台，为药品海外注册上市按下“加速键”。

同时，3.0版方案立足重点功能区域发展定位，率先推动数据跨境服务能力向重点区域延伸，锚定为企服务向专业化、集成化升级。在国际医药创新公园、法商融合示范区、商务中心区、数字经济企业出海创新服务基地、国际数据枢纽港、综合保税区等6个特色区域，打造“一区一品”数据跨境特色服务品牌，为企业提供从合规咨询、方案设计、技术支撑到数据获取、规范处理、交易流通的全链条增值服务，形成数据跨境流通利用“一件事”集成服务能力。“就是要打通数据从源头到交易的所有合规堵点，让数据在跨境流动时既安全又顺畅，也能产生价值。”市网信办相关负责人说。

来源：北京日报

2026年3月25日，《重庆市数字经济促进条例》（下简称“条例”）表决通过，自2026年6月1日起施行。

条例共七章五十三条，主要包括数字基础设施、数字产业化、产业数字化、数据要素价值化等内容，旨在完善数字经济发展的制度体系，破解发展中的体制机制障碍和要素瓶颈制约，推动数字经济高质量发展。

为夯实数字经济发展的底座，条例明确推进全国一体化算力网络成渝国家枢纽节点建设，促进云网协同和算网融合发展，构建多元计算、高效协同的算力网络，保障国家“东数西算”工程在重庆落地实施，支持新型能源算力枢纽建设。

在构建数字产业化与产业数字化“双轮驱动”方面，条例紧扣“培育新质生产力”核心目标，以深化拓展“人工智能+”、构建新兴产业与未来产业双轮驱动格局为导向，推动数字产业化提速升级与产业数字化深度转型。

条例还严格对标国家数据基础制度，以“数据要素价值化”为主线，着力破解数据要素流通壁垒，充分释放数据要素核心价值。针对“确权难”问题，条例明确健全数据产权基础制度，建立数据资源、数据产品的持有权、使用权、经营权三权分置的产权运行机制，夯实数据要素市场化配置的制度基础。

围绕构建规范有序、保障有力、监管有效的数字经济发展环境，统筹发展和安全，推进数字经济治理体系和治理能力现代化，条例重点作了如下规定：

——强化数字经济发展保障。明确统筹运用各类资金、基金，支持数字基础设施建设、数字经济关键核心技术攻关、重大创新平台和公共技术平台等建设，健全数字人才培养、引进、使用、评价和激励机制，加强数字经济领域关键核心技术人才培养。

——强化数字经济监管。明确运用数字技术构建新型监管机制，加强市场准入、公平竞争、网络安全等方面监管信息的归集共享和有效利用；对新技术、新产业、新业态、新模式实行包容审慎监管，同时开展数字经济统计调查和监测分析，实现监管与发展的动态平衡。

——筑牢数字经济安全与伦理防线。明确按照国家规定对涉及个人信息、人工智能等数字经济领域科技活动开展科技伦理审查，防范数字技术应用伦理风险；建立健全网络安全保障体系、数据安全治理体系和个人信息保护体系，守住数字经济安全发展底线。

——赋能超大城市现代化治理。明确加强一体化智能化公共数据平台、数字化城市运行和治理中心建设，推进重点领域数字化应用建设和使用，实现城市运行态势监测、公共资源配置、宏观决策、统一指挥调度和事件分拨处置的数字化，以法治方式固化数字赋能超大城市治理的实践成果，提升城市治理现代化水平。

来源：重庆日报

全文链接：

https://epaper.cqrb.cn/cqrb/2026-03/29/004/content_rb_358268.htm

2026年3月，重庆市通信管理局组织召开2026年重庆市信息通信行业网络和数据安全工作会议。

会议要求，全行业要严格落实网络安全主体责任，围绕2026年重点任务，巩固拓展优势，补强短板弱项，共同打造坚实可靠的网络安全防线。

一是强化行业网络安全韧性，健全完善行业网络安全联防联控机制，巩固提升基础电信网络安全管理能力。

二是深入开展工业互联网安全分类分级管理，推进车联网服务平台网络安全定级备案。

三是夯实行业数据安全基础管理，落实汽车数据出境合规管理要求，增强行业数据安全风险应对处置能力，完善数据安全治理体系。

四是加快人工智能与网络安全技术融合应用，推动网络安全从“被动应对”向“主动防御”转变。

五是强化5G应用安全创新推广,加强5G-A安全服务产品研发应用，鼓励行业加大网络和数据安全技术创新力度。

来源：重庆市通信管理局

2026年3月13日，四川省互联网信息办公室发布了《四川省网络安全条例（草案征求意见稿）》（以下简称《条例草案》），旨在健全完善四川省网络安全保障工作法律规范体系，加强网络安全保障体系和能力建设，应对日益严峻的网络安全形势，解决网络安全突出问题。

《条例草案》共六章五十八条，包括总则、网络安全建设、网络安全运行、网络安全监管、法律责任、附则。

第一章总则包括立法目的、适用范围、网络安全基本原则、网络安全领导体制、网络安全管理制度、网络安全企业履责、网络安全行业自律、网络安全全民守法、网络安全社会监督、网络安全表彰奖励、网络安全区域合作。

第二章网络安全建设包括网络安全政策统筹、网络安全标准制定、网络安全人才培养、网络安全技术研发、网络安全技术应用、新技术应用安全风险评估、网络安全产业发展、网络安全服务体系建设、网络安全宣传教育、网络安全工作考核。

第三章网络安全运行包括网络运营者的网络安全保护义务、重要信息系统保护机制、禁止利用网络从事违法活动、禁止发布传输有害网络信息、网络运营者有害网络信息管理义务、互联网违法和不良信息投诉举报制度、网络数据处理的安全保护义务、网络运营者个人信息保护义务等。

第四章网络安全监管包括网络安全监督管理、行业主管部门应急处置职责、运营者配合义务、网络安全监管行业配合义务、网络安全监管社会协助义务、人工智能技术发展风险防控、网络安全监督管理约谈机制等。

第五章法律责任包括重要信息系统运行安全责任、违反算法技术管理法律责任、有关组织负责人限制从业责任、网络安全失信联合惩戒机制、网络安全监管渎职法律责任等。

来源及全文链接：网信四川

https://mp.weixin.qq.com/s/HynP2RCojx8ZwIwlVKs5ZQ

2026年3月30日，世界数据组织在北京成立，组织英文名为World Data Organization，简称WDO，是由全球数据领域相关单位及个人自愿结成的专业性、非政府、非营利性国际团体，旨在“弥合数据鸿沟、释放数据价值、繁荣数字经济”。

据了解，组织将致力于推动全球数据合作与治理实践，积极探索数据在合规、安全、可信基础上的高效交流与合理利用路径，为全球数字经济发展提供坚实支撑。

世界数据组织的一项重要功能是“破壁垒”：破解各国数据政策不一的难题，推动形成行业共识、标准建议和最佳实践，为各国政府和研究机构提供参考，并帮助跨国企业降低数据合规成本。

此外，世界数据组织还突出“建生态”：把数据用到医疗、教育、能源等实际场景，推动项目落地与产业创新；加强人才培养，尤其帮助全球南方国家、发展中国家提升数据能力，缩小数据鸿沟。

目前，世界数据组织已汇集200余个会员，覆盖全球40多个国家。

世界数据组织的会员涵盖企业、高校与智库、国际组织、金融机构等多元主体，涉及工业、金融、医疗、公共服务、电商零售、交通物流、能源、建筑、互联网、农业、教育、媒体、汽车、法律等14个行业，已初步形成全球布局、多元协同的会员生态。

来源：北京青年报

2026年3月26日，欧洲数据保护委员会（EDPB）发布了一份关于《通用数据保护条例》（GDPR）“合法利益”法律依据的一站式服务（OSS）案例摘要。该摘要汇总了自GDPR生效以来，各数据保护机构（DPA）通过一站式服务机制作出的多项相关决定，旨在为控制者如何合法依赖“合法利益”作为数据处理法律依据提供实践指引。

摘要系统梳理了数据保护机构在具体情境中运用“三步测试法”的分析思路，并结合EDPB此前发布的1/2024号指南，提供了正面与负面的合规示例。此外，摘要还纳入了欧盟法院相关判例以及部分数据保护机构决定和国内法院判决，为实务操作提供参考。

该案例摘要是EDPB专家库支持计划的一部分，旨在通过提供专业工具和知识，加强各数据保护机构之间的执法协作。

来源：欧洲数据保护委员会（EDPB）

全文链接：

https://www.edpb.europa.eu/system/files/2026-03/spe-oss-case-digest-legitimate-interest_en.pdf

2026年3月20日，美国俄克拉荷马州发布《第546号法案》（下称"法案"）由俄克拉荷马州州长签署成为法律，并将于2027年1月1日正式生效。法案建立了一个全面的数据隐私框架，并明确了控制者与处理者的义务。以下是法案的核心要点：

1.法案适用于同时符合以下条件的控制者和处理者：

(1)在俄克拉荷马州开展业务，或面向俄克拉荷马州居民；

(2)且在单个日历年内，控制或处理至少10万名消费者的个人数据；或控制或处理至少2.5万名消费者的个人数据，同时年总收入的50%以上来源于出售个人数据。

非营利组织、高等教育机构以及受GLBA或HIPAA监管的实体，整体不适用本法案；此外，就业相关数据及特定企业对企业通信数据也被排除在法案适用范围之外。

2.控制者具有以下义务：

(1)个人数据的收集范围限制在出于已告知目的所必需的、适当的、相关的且合理的范围内；

(2)实施与数据的数量及性质相适应的、合理的行政管理、技术及物理安全措施；

(3)不得因消费者行使其在本法案下的权利而歧视消费者；

(4)提供清晰的隐私通知，其中须说明（包括但不限于）个人数据的类别及处理目的、消费者享有的权利，以及与第三方共享的个人数据类别；

(5)针对特定的高风险处理活动（包括定向广告、出售个人数据或进行画像分析等），进行并记录数据保护影响评估。

处理者必须遵循控制者的指令，并协助控制者履行其义务，包括协助控制者响应消费者的请求、提供安全与数据泄露通知方面的支持，以及为数据保护影响评估提供所需信息。

来源：DG

全文链接：

https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB546%20ENR.PDF

2026年3月20日，巴西国家数据保护局（ANPD）发布了关于《儿童及青少年网络保护年龄验证机制初步指引》（以下简称“指引”）。该局旨在依据第15.211/2025号法律（《数字儿童青少年法》），进一步保障儿童及青少年在数字环境中的安全。

指引为技术产品与服务提供商实施年龄验证机制提供了初步参数，旨在确保相关机制与儿童及青少年的隐私权和个人数据保护权相协调。该文件反映了ANPD的机构立场，在向社会公开征求意见并发布最终指引之前，将作为监督活动的参考依据。

指引建议企业在选择年龄验证方法时考虑以下因素：

1.相称性：企业须识别和评估数字服务或产品固有的风险，特别是对儿童隐私、安全和健康的潜在风险，同时识别和评估年龄验证机制本身可能引入的风险。

2.准确性、稳健性与可靠性：企业须确保年龄验证机制：准确性高，能够可证明、可衡量地精确识别年龄或年龄段；稳健性强，能够抵御特别是未成年人发起的、合理可预见的规避或欺诈尝试；可靠性好，在实际运行条件下能够产生一致、可验证的结果；不单纯依赖用户自行声明（该类声明被明确认定为不可靠）；由独立、可信的数据源支持；定期重新评估以应对技术过时和新兴风险；并记录测试、验证结果、故障及纠正措施。

3.隐私保护：企业须在设计和默认情况下应用隐私与数据保护原则，将数据处理限制在实现年龄验证所需的最少数据或年龄属性范围内。

4.包容性与非歧视：企业须确保年龄验证机制不会不成比例地排斥用户，或对用户访问造成不合理的障碍。

5.透明度与可审计性：企业须就年龄验证的目的提供清晰、易懂、可获取的信息，并允许用户对年龄或年龄段的认定提出质疑和更正。

6.互操作性：企业应设计具有互操作性的解决方案，仅传递必要的年龄属性或验证结果，而非底层个人数据，并使用采用默认隐私保护设计的安全应用程序编程接口。

来源：DG

全文链接：

https://www.gov.br/anpd/pt-br/assuntos/eca-digital/mecanismos-confiaveis-de-afericao-de-idade-orientacoes-preliminares.pdf/@@download/file

2026年3月17日，澳大利亚信息专员办公室（OAIC）发布了关于年龄验证技术的新指南，以帮助相关实体确保澳大利亚民众在接受在线年龄核查时其隐私权得到保护。

指南明确了OAIC的期望，强调必要性、相称性、透明度、有效的投诉机制以及强有力的供应商管控。

该指南要求实体：

1.确定是否需要进行年龄核查，并采取“隐私设计”方法；

2.进行尽职调查，以确保实体年龄验证生态系统的安全性；

3.评估风险，并选择相称且最小化数据收集的年龄验证方法；

4.在收集敏感信息（如生物识别模板）或进行二次使用及披露时，确保使用明确的同意请求；

5.在隐私通知中保持透明，并通过简单易用的投诉流程，在关键时刻为个人提供有意义的支持。

未能履行这些义务可能构成“侵犯个人隐私”，并可能引发合规或执法行动。

来源：澳大利亚信息专员办公室（OAIC）

全文链接：

https://www.oaic.gov.au/__data/assets/pdf_file/0017/262043/OAIC-privacy-guidance-on-age-assurance-technologies.pdf

2026年3月1日，欧洲自由贸易联盟与新加坡之间的《数字经济协定》（ESDEA）已正式对新加坡和挪威生效，标志着双方在推进数字贸易合作方面迈出了重要里程碑。该协定于2025年9月25日在瑞士签署，在两国完成必要程序后正式生效。

ESDEA是一项具有法律约束力的协定，旨在加强新加坡与欧洲自由贸易联盟成员国之间的数字与经济互联互通。通过建立清晰、稳健的数字贸易规则，该协定为企业跨境经营提供了更大的法律确定性和信心，助力其在日益数据驱动的全球经济中蓬勃发展。

该协定的核心支柱是致力于实现开放、安全、高效的跨境数据流动。双方同意不采取限制跨境数据传输的措施，包括不要求将数据存储在特定地点。

这对于金融服务等行业尤为重要，因为数据的无缝流动是其日常运营的基础。通过消除不必要的壁垒，企业可以自主选择数据存储和处理的地点，从而提高效率、降低成本，并增强运营韧性。

该协定还通过强力的个人数据保护承诺来增强消费者信任。新加坡和欧洲自由贸易联盟成员国将维持符合国际公认原则的法律框架，以保护个人数据。双方还将公布数据保护权利及救济途径等信息，为消费者和企业提供明确的指引。

为推进端到端的数字贸易，ESDEA推动了电子支付和电子发票系统的互操作性。通过鼓励采用国际公认标准并增强系统兼容性，该协定旨在使跨境交易更快捷、更安全、更可靠。

协定还大力支持无纸化贸易，要求接受进口、出口或过境货物所需的贸易管理文件电子版，从而显著减轻行政负担、降低交易成本。

重要的是，新加坡与欧洲自由贸易联盟成员国承诺不对电子传输征收关税。该协定还通过禁止将转让源代码或加密密钥作为市场准入条件，保护了技术创新，为软件开发者和科技公司在彼此市场运营提供了更大的保障。

ESDEA还涵盖了人工智能和网络安全等新兴领域。双方将在可互操作的治理框架和国际最佳实践指导下，促进人工智能的负责任、符合伦理且可信赖的应用。

双方还将加强网络安全合作，以应对不断演变的威胁，加强信息共享，并提升应对网络安全风险的人员能力建设。

中小企业将从该协定中显著受益。通过便利中小企业获取数字工具、分享最佳实践并降低参与壁垒，ESDEA致力于扩大中小企业参与跨境数字贸易的机会。

关于数字包容的承诺进一步确保所有个人和企业都能有意义地参与数字经济，获取新机遇，并充分受益于新兴技术进步与创新。

来源：OpenGov Asia

全文链接：

https://isomer-user-content.by.gov.sg/166/bbfbdd0e-7032-442f-96ae-0f4e44f0853e/MTI%20press%20release%20on%20ESDEA%20entry%20into%20force%20for%20Singapore%20and%20Norway.pdf

近日，青岛胶州市公安局破获一起利用AI技术侵犯公民个人信息并实施诈骗的重大案件，查获利用AI合成的动态人脸视频5万余条，涉案公民个人信息达50余万条。3月16日，央视新闻频道《法治在线》栏目对此案进行了报道。

经查，犯罪嫌疑人贾某通过境外社交软件非法获取公民姓名、身份证号等信息，并在网上公开兜售。警方进一步侦查发现，贾某的上线周某组织了一个专门从事黑灰产的工作室，通过购买公民照片、身份证号、手机号等完整个人信息要素，利用AI技术将静态证件照合成为“摇摇头”“眨眨眼”的动态人脸视频。

这些伪造的动态人脸视频被用于规避各类社交平台的实名认证机制，非法注册具有支付功能和直播权限的账号，进而实施诈骗、刷单，发布涉赌涉黄等违法信息。为逃避打击，团伙成员分散作案，并通过虚拟币进行转账交易。

警方通过深度研判，赴多地开展抓捕行动，共抓获犯罪嫌疑人14名，查扣涉案手机、电脑80余部，云服务器60台。目前，周某、贾某等14名犯罪嫌疑人已被依法采取刑事强制措施，案件仍在进一步深挖中。警方提示公众增强个人信息安全意识，谨防信息泄露风险。

来源：山东公安

2026年3月13日，工业和信息化部高度重视用户权益保护工作，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，持续整治APP侵害用户权益的违规行为。通报批评24款APP及SDK存在侵害用户权益行为：

1.违规收集个人信息，共15款APP及SDK涉及；

2.APP 强制、频繁、过度索取权限，共5款APP及SDK涉及；

3.超范围收集个人信息，共5款APP及SDK涉及；

4.信息窗口无法关闭、信息窗口点击乱跳转，共2款APP及SDK涉及；

5.SDK 信息公示不到位，共2款APP及SDK涉及；

6.欺骗误导用户提供个人信息，共1款APP及SDK涉及；

7.APP 频繁自启动和关联启动，共1款APP及SDK涉及；

8.违规提供自动续费服务，共1款APP及SDK涉及；

9.违规使用个人信息。共1款APP及SDK涉及。

来源：工业和信息化部

2026年3月3日，中国最高人民法院发布5件依法惩治网络暴力违法犯罪典型案例，表示人民法院将坚持严格公正司法，依法从严惩处网络暴力犯罪。

此次发布的案例涵括网络侮辱、诽谤、侵犯公民个人信息，以及利用网络实施敲诈勒索、商业诋毁等常见多发的网络暴力违法犯罪类型。这批案例说明，实施网络暴力违法犯罪行为，必将受到应有的法律制裁。

在“吕某某侮辱案”中，吕某某多次将被害人的裸体照片及视频通过网络通信群组等向外散布，并配以侮辱性文字，严重损害被害人人格尊严。法院综合考虑被告人的犯罪情节，以侮辱罪判处其有期徒刑一年二个月。

近年来，一些针对知名企业和企业创始人的网络谣言不时出现。发布者通过歪曲事实、制造话题、炒作热点、吸引流量并从中获利，已超出正当商业评价的范畴。

此次发布的“柴某某等商业诋毁、名誉权纠纷案”，即是判决网络“黑嘴”恶意诋毁抹黑企业商誉和企业家名誉依法承担法律责任的典型案例。

此外，通过“人肉搜索”“开盒”等在网络上非法曝光他人隐私、发布公民个人信息，极易使相关个体直接成为海量网络言论的标靶，进而遭受网络暴力的侵害，甚至引发线下滋扰、伤害。

此次发布的“吴某某、陈某某等侵犯公民个人信息案”明确，为实施诽谤通过网络“开盒”曝光他人个人信息的，依法定罪处罚。

来源：中国新闻网

全文链接：中国人民法院

https://www.court.gov.cn/zixun/xiangqing/490901.html

2026年3月19日，欧盟法院就C-526/24案（Brillen Rottler案）作出重要判决，明确数据主体的首次数据访问请求在特定情形下可被视为“滥用”，数据控制者有权拒绝，且当事人主张损害赔偿需证明实际损害。

案件源于一名奥地利居民在德国一家眼镜公司网站订阅新闻通讯时提供了个人数据。13天后，该用户依据《通用数据保护条例》（GDPR）第15条向该公司提出数据访问请求。该公司以该请求构成滥用为由予以拒绝，指出有公开信息显示该用户存在系统性行为模式：频繁订阅各类公司新闻通讯后随即提出访问请求并主张赔偿。该用户随后提起诉讼，要求至少1000欧元的非财产损害赔偿。

欧盟法院在裁决中指出，首次访问请求在特定情况下即可被视为“过度”请求，进而构成滥用。认定标准在于：控制者若能证明，该请求形式上虽符合GDPR规定，但其真实目的并非为了解数据处理情况、核实处理合法性，而是意图人为制造获取赔偿的条件，则构成滥用。可参考的考量因素包括数据主体是否已向多家控制者大量提出类似请求并随之索赔。

法院同时强调，依据GDPR第82条主张损害赔偿的，数据主体必须证明其确实遭受了实际损害，且非财产损害原则上涵盖对个人数据失控或对数据处理不确定性所带来的影响。此外，若数据主体自身行为是造成损害的决定性原因，则无权获得赔偿。

来源：欧盟法院

2026年3月12日，韩国个人信息保护委员会（下称委员会）12日表示，对用户个人信息保护不到位造成45万名用户身份证号码泄露的乐天信用卡公司作出行政处罚，处以96.248亿韩元（约合人民币4482万元）罚款。

委员会前一天举行全体会议，表决通过包含上述内容的议案。金融监督院去年9月向委员会通报，乐天信用卡发生个人信用信息遭泄露的情况。委员会经调查确认，乐天信用卡网络支付系统遭受黑客攻击，导致297万名用户的信用信息被泄露，其中包括45万名用户的身份证号码。

来源：韩联社

2026年3月11日，澳大利亚运动服饰公司露露乐蒙澳大利亚私人有限公司（Lululemon）因发送逾 37 万封未设置退订功能的商业推广邮件，被罚702,900 澳元。

澳大利亚通信和媒体管理局（ACMA）调查发现，在2024年12月1日至2025年1月5日期间，Lululemon将本为配送通知、订单确认等服务性质且附带销售推广内容及促销链接的邮件错误归类为非商业信息，而《反垃圾邮件规则》明确含促销或销售内容的电子信息均属商业信息，营销该类信息必须设置退订选项，这也是近18个月来ACMA第五次对类似违规企业采取执法行动，除罚款外，Lululemon还签署了具有法院强制执行力的承诺书，承诺委托独立机构审查合规情况并定期向ACMA汇报整改进度。

来源：澳大利亚通信和媒体管理局（ACMA）

2026年3月10日，意大利数据保护机构（Garante）宣布对能源公司Acea Energia处以200万欧元罚款，原因是该公司在客户数据处理方面存在多项严重违规行为。

调查发现，Acea Energia在未获客户知情同意的情况下，使用不准确甚至伪造的个人数据激活能源合同。许多客户在收到缴费通知后才得知自己“被签约”，甚至从未授权过任何服务。更严重的是，即使合同本身存在欺诈或未经授权，相关客户数据仍被保留在主客户关系管理系统中长达10年，并用于非合同目的。

监管机构指出，该公司在多个环节存在系统性管理缺失：代理商使用个人手机拍摄客户身份证件并长期保存在本地设备中，公司缺乏有效监控和管控；未建立数据准确性核验机制，也未主动排查重复联系方式、虚假地址等欺诈模式；对已被确认存在违规行为的代理商未采取后续措施；直到2024年底，公司才建立结构化的审计制度。

此外，该公司的隐私通知也存在问题——内容不完整、表述误导，甚至将自己错误标注为“联合控制者”。在处理客户数据时，公司未能采取适当的技术和组织保障措施。

除罚款外，意大利数据保护机构责令Acea Energia采取一系列整改措施，包括：引入异常检测系统、对可疑合同实施即时核实、为非法激活数据设定专门保存期限、将受影响数据隔离保护、加强代理商培训、以及修正隐私通知内容。

来源：意大利数据保护机构（Garante）