6月25日,美国两党提报了一项名为《禁止敌手人工智能法案》的法案，目标是“为保护美国政府免受外国对手人工智能的侵害”。《法案》指向的对象，包括外国对手和外国敌对实体，具体包括中国、俄罗斯和伊朗等。《法案》要求联邦采购安全委员会在法案生效之日起60天内，识别并列出由敌对实体开发的人工智能，定期更新该名单；在《法案》颁布之日起180日内，美国管理与预算办公室应与联邦采购安全委员会协调，在可公开访问的网站上公布该名单，并应至少每180天更新一次；相关联邦机构应与采购安全委员会协调，在法案颁布90天内对被列入清单的人工智能系统进行核查并排除。法案允许在某些特定且有限的情形下豁免使用，比如用于研究、测试或国家安全目的，但仍须提交书面说明，通知国会相关委员会及管理和预算办公室。若相关负责人判定获取、采用或使用人工智能是必要的，包括进行科学上有效的研究、评估、培训、测试或分析，以及开展反恐或反情报活动等，可予以豁免使用。

6月13日，欧盟委员会联合研究中心发布《生成式人工智能展望报告》，聚焦生成式人工智能对欧盟的变革性影响。《报告》概述了欧盟现行的立法框架，包括《人工智能法案》《数字服务法案》和GDPR等数据领域法规。《报告》指出，生成式人工智能成为推动医疗、教育、科学及创意产业创新的颠覆性技术，但同时也带来虚假信息扩散、偏见加剧、劳动力中断和隐私风险等跨领域挑战，因此强调应通过多学科研究，结合《人工智能法案》等监管框架实施审慎管理及政策干预，确保技术发展与欧盟民主价值观及法律体系相契合。

6月19日，法国国家信息与自由委员会（CNIL）发表文章，明确基于合法利益基础开发AI系统的合规要求。合法利益是GDPR第6条规定的六种合法性基础之一，它通常被用来证明在非基于个人同意情况下使用数据库开发人工智能系统的合理性。CNIL指出，适用合法利益基础需满足以下三个条件：机构追求的利益必须是“合法的”；计划中的数据处理活动必须符合“必要性”条件，即为实现所追求的合法利益所必需；数据处理活动不应给被处理数据的个人的权利和利益带来不成比例的影响，同时需考虑其合理期待。

6月11日，迪士尼公司联合环球影业公司对知名AI文生图平台Midjourney提起诉讼，指控其热门AI图像生成器未经授权使用两家电影公司旗下知名IP角色形象进行复制与训练等行为同时构成直接侵权和间接侵权。其中，被诉直接侵权行为包括在数据抓取、数据清洗、模型训练等阶段都存储、复制了相关IP形象；被诉间接侵权行为是指Midjourney不仅自身侵权，还通过其平台和探索页面，鼓励、展示和传播侵权内容，吸引用户并从中获利，放任用户侵权行为发生。据此，两公司起诉要求Midjourney停止侵权，并为每部故意侵权的作品支付最高15万美元的赔偿。

6月23日，美国北加利福尼亚地区法院就三作家起诉AI公司Anthropic版权侵权一案作出裁决，首次认定使用受版权保护作品训练人工智能属于《美国版权法》第107条规定的“合理使用”。Anthropic被指在2021年至2024年间，从盗版平台下载超700万册受版权保护书籍，并将部分作品用于训练其AI模型“Claude”。此外，该公司还购买印刷书籍并破坏性扫描成数字版本，构建“世界书籍中央图书馆”。法院指出，Anthropic使用书籍训练LLM的行为“极具转换性”——AI通过分析文本统计关系生成新内容，而非直接复制或取代原作，符合合理使用的核心要件，但从盗版网站获取作品的行为仍构成单独的侵权行为。后续，案件将进入审判阶段，重点解决盗版书籍的侵权责任及赔偿问题。

6月5日，欧洲数据保护委员会（EDPB）发布《向第三国监管机构传输数据的指南》最终版本。《指南》聚焦GDPR第48条的解释与适用，明确指出：第三国法院、法庭或行政机关作出的要求欧盟境内控制者或处理者移交或披露个人数据的判决或决定，除非依据欧盟或成员国与该第三国之间生效的国际协议，否则在欧盟范围内不得自动或直接执行。即使数据控制者或处理者回应该类请求，数据传输仍须符合GDPR的第6条和第五章的跨境传输要求。

6月6日，法国国家信息与自由委员会（CNIL）发布《关于识别数据控制者、处理者和共同控制者的指导方针》。《方针》支持：在处理个人数据之前，相关主体必须明确自身角色数据处理控制者、数据处理受托方或共同控制者，这一区分决定了各方的义务、相关标准及实际后果。《方针》明确：数据控制者决定数据处理的目的与方式；数据处理者遵循数据控制者指示处理数据，但不能决定处理的目的，特定情形下可进行数据再利用；数据共同控制者则共同决定处理目的与方式；数据控制者与数据处理者需签订数据处理协议，与共同控制者之间建立透明的责任机制。

6月11日，英国议会审议通过《数据（使用和访问）法案》（Data Use and Access Bill，简称《DUA法案》）。《DUA法案》旨在平衡数据创新与隐私保护，建立综合性数据治理框架，并通过推动数据共享促进经济增长。根据《DUA法案》，英国引入了“认可的合法利益”概念，并就满足特定条件的数据控制者的某些特定的数据处理活动免于进行平衡测试；放宽了针对自动化决策的限制，禁止使用特殊类别数据进行此类自动化决策，除非有适当的保障措施；进一步加强儿童数据保护，要求遵循儿童最大利益原则；成立英国信息委员会，取代原先的信息专员办公室（ICO），成为英国新的数据监管机构；提高违反《隐私与电子通信条例》（PECR）的罚款上限，即最高1750万英镑或相当于企业全球营业额4%的罚款等。该法案目前等待皇室批准成为议会法律。

6月11日，亚太隐私机构（APPA）技术工作组发布《匿名化入门指南》。《指南》旨在帮助组织从结构化、文本化和非复杂数据集着手开展匿名化工作，并提供了有效匿名化个人数据的五步流程：了解数据、移除标识符、应用匿名化技术、评估风险、管理风险。值得注意的是，《指南》侧重于技术层面的规范，不提供法律或政策建议，也不代表APPA或其成员的官方立场，并建议读者参考各自司法管辖区的具体法规以确保合规性。

6月26日，越南国会通过《个人数据保护法》（PDPL）。PDPL共39条，涵盖了个人数据在收集、存储、使用和共享各阶段所需的保护措施等规定。PDPL禁止与个人数据滥用有关的七项具体行为；明确了金融、广告、社交媒体甚至AI、元宇宙、区块链场景下个人数据处理的要求；对小企业和初创企业开展个人数据保护影响评估、任命数据保护官给予五年的豁免，并对微型企业、个体工商户直接予以豁免，但前述过渡期不适用于数据密集类企业等；允许在某些条件下传输个人数据，例如同意和组织重组；对违规行为进行严厉处罚，如对买卖个人数据行为施以非法数据销售金额10倍的罚款，对违规跨境传输行为处以高达上一年营收5%的罚款。该法案将于2026年1月1日生效。

6月12日，爱尔兰数据保护委员会（DPC）宣布了对爱尔兰社会保障部（DSP）在公共服务卡（SAFE 2）注册流程中使用人脸识别技术的调查的最终决定。SAFE 2注册是申请公共服务卡的强制流程，涉及大规模收集、存储和处理公民高度敏感的个人数据，包括由面部模块组成的生物特征数据。根据GDPR，生物特征数据被归类为特殊类别的数据，必须对其应用更高的保护和保障措施。经调查，DPC认定DSP违反GDPR规定，包括：未能确定收集与SAFE 2注册相关的生物特征数据的有效合法依据；不当保留生物识别数据；未向数据主体提供充分透明的信息；数据保护影响评估内容缺失等。DPC对DSP作出警告，并处以55万欧元罚款，同时要求其在9个月内停止相关生物特征数据处理，除非确立合法依据。

6月3日，德国联邦数据保护和信息自由专员（BFDI）因沃达丰违反GDPR对其处以总额达4500万欧元的罚款。据查，沃达丰存在两项违法行为：一是违反GDPR第28条，未对合作代理机构开展充分的数据保护合规审查和监督；二是违反GDPR第32条，身份验证系统存在安全漏洞，使得未经授权的第三方能够获取eSIM配置文件。沃达丰对此采取了相应的整改措施，BFDI将在后续调查中评估其所采取措施的有效性。

6月27日，柏林数据保护与信息自由专员公署因Deepseek涉嫌非法将数据跨境传输并存储在中国，通知德国境内的苹果和谷歌公司下架Deepseek。柏林数据保护与信息自由专员公署认为，Deepseek通过Google Play Store 和 Apple App Store以德语版应用向德国用户提供服务，因此受GDPR的约束，但Deepseek将其提供服务时收集的大量德国用户文本输入、聊天记录、位置等个人数据传输至中国存储，而欧盟尚未发布针对中国的充分性决定，Deepseek未能证明德国用户的数据在中国能受到与欧盟相当水平的保护，故存在非法跨境传输数据的问题。柏林数据保护与信息自由专员公署曾于2025年5月要求其整改，遭拒后于6月27日向苹果和谷歌公司发送通知，要求两公司审查并下架应用。

6月5日，OpenAI发表声明表示已就用户数据保存令向纽约联邦法院提起上诉。该数据保存令源于《纽约时报》对OpenAI提起的版权诉讼，在该案中，法院下令OpenAI无限期保存ChatGPT的所有数据。OpenAI认为这一“广泛且前所未有的命令”违背了其对用户隐私保护的承诺。OpenAI的隐私政策原本规定，当用户删除聊天记录时，OpenAI会在30天后永久删除数据。然而，根据法院的命令，OpenAI不得不暂停这一政策，直到法院另行通知。

6月21日，美联社报道网络安全媒体Cybernews的研究人员发现，数十亿账户登录信息被泄露并被汇编成在线数据集。Cybernews报告指出，研究人员最近发现了30个这样的数据集，每个数据集均包含大量登录信息，共计160亿个账户，涉及谷歌、Fackbook、苹果在内的多个平台。Cybernews指出，数据中肯定存在重复数据，因此“无法判断实际暴露了多少人或账户”。

6月24日，美国参议员重新提出了《开放应用市场法案》，其认为苹果和谷歌公司通过主导移动应用操作系统及应用商店，限制竞争并损害了消费者的选择权，故拟通过制定公平、可执行的规则，打破苹果和谷歌公司对应用市场的垄断控制，推动应用市场回归良性竞争。《法案》旨在实现多项目标：通过向第三方应用商店、初创公司的应用程序和替代支付系统开放市场来促进竞争；让消费者更好地控制他们的设备；建立保障措施来保护消费者的隐私和安全；确保开发商告知消费者更低价格并提供有竞争力的价格的权利；强制苹果和谷歌公司允许应用程序侧载等。

6月10日，韩国出版文化协会、电子出版协会等在美国向苹果、谷歌提起正式诉讼一事，在韩国得到广泛响应。已有超过100家企业表示，就苹果、谷歌的不正当做法，有意向美国法院提起集体调解。这些企业主张，苹果与谷歌凭借在应用商店领域的垄断地位，强制对应用程序内的交易抽取最高达30%的服务费，涉嫌违反美国及韩国的相关法律，要求下调服务费比例，并赔偿由此造成的经济损失。

6月18日，欧盟委员会宣布就Ali Express是否遵守《数字服务法》（DSA）的调查采取了两项重要举措：首先，欧盟委员会已接受Ali Express为平息多项担忧而提出的一系列承诺，例如该平台在广告和推荐系统方面的透明度，包括广告库和个性化推荐系统的选项；其次，经过深入调查，欧盟委员会初步认定Ali Express违反了DSA规定的评估和降低非法产品传播风险的义务。欧盟委员会当前发送的初步调查结果不影响调查的最终结果，Ali Express现在有机会通过查阅欧盟委员会调查档案中的文件并对欧盟委员会的初步调查结果作出书面答复来行使其辩护权。如欧盟委员会的初步观点最终得到确认，欧盟委员会将做出不合规决定，认定Ali Express未遵守DSA，并对其处以罚款。

6月12日，澳大利亚信息专员办公室（OAIC）发布《儿童在线隐私准则》的问题文件，以征询公众意见。该文件旨在加强未成年人网络隐私保护，概述了包括在线服务类型、适龄隐私保护设计标准、对儿童的差异化保护、家长监管权限与透明度要求以及管理儿童个人信息的原则等关键领域的问题。反馈意见需在2025年7月31日前提交。OAIC计划于2026年就《准则》草案进行正式公众咨询。

6月20日，纽约总检察长签署《停止对儿童提供上瘾信息利用法案》（SAFE）与《纽约儿童数据保护法案》。《停止对儿童提供上瘾信息利用法案》将要求社交媒体公司限制其平台上18岁以下用户使用上瘾信息，除非获得父母同意，否则18岁以下用户将不会收到令人上瘾的信息。《纽约儿童数据保护法案》将禁止网站收集、使用、共享或出售任何18岁以下人士的个人数据，除非他们获得知情同意，或除非这样做对于网站的目的而言是绝对必要的。该法案还授权OAG执行法律并禁止此类行为，并要求其对每次违法行为处以最高5000美元的赔偿或民事处罚。通过这两项新签署的立法，纽约建立了全国最严格的保护措施来保护社交媒体上儿童的安全。

6月19日，G7数据保护和隐私主管机构发布《推动负责任创新与儿童保护，优先考虑隐私》的声明。《声明》指出应优先考虑隐私来促进负责任的创新和儿童保护，将隐私保护置于新技术设计、开发及部署的核心环节；应优先考虑隐私以支持市场信心和个人信任，组织应明确告知个人使用设备或服务时将涉及哪些数据处理活动，尤其是在这些活动与合理预期不符时；优先考虑隐私以保护儿童，可以通过关闭或限制对已知儿童用户的追踪、以适龄且易懂的方式向儿童及其父母传达隐私政策等方式来保护儿童隐私等。

6月16日，内华达州总检察长宣布对YouTube及其母公司谷歌和Alphabet提起诉讼，指控该平台危害该州青少年。该诉讼与此前该办公室对Meta（Facebook母公司）、TikTok和Snap提起的诉讼类似，指控YouTube创建了一个“高度成瘾且有害的平台”。YouTube以内华达州青少年为目标用户，通过无休止地滚动视频列表、算法定位、持续通知、根据“点赞”对内容进行优先级排序以及无效的家长控制，使得年轻人尽可能长时间地留在平台上并沉迷，导致他们出现抑郁、焦虑和负面身体形象等问题。

IAB（The Interactive Advertising Bureau）是专注于数字广告生态建设及健康发展的国际数字广告业自律组织。IAB中国作为其重要组成部分，致力于搭建一个国内外数字广告领域的协作平台，通过提供行业助力中国品牌扬帆出海，推动国际企业进入中国市场，持续推动中国数字营销产业的全球化进程。