7月26日，2025世界人工智能大会暨人工智能全球治理高级别会议发表《人工智能全球治理行动计划》，呼吁各方遵循向善为民、尊重主权、安全可控等原则协力推进全球人工智能发展与治理。计划强调：积极推进优质数据供给，推动数据依法有序自由流动，探索构建数据共享的全球性机制平台，合作打造高质量数据集；积极维护个人隐私和数据安全，提高人工智能数据语料多样化，消除歧视和偏见，促进、保护和保全人工智能生态系统和人类文明的多样性；严格遵守数据和隐私保护，积极探索训练数据的依法有序交易，共同推动数据的合规开放利用；完善数据安全和个人信息保护规范，加强训练数据采集、模型生成等环节数据安全管理。加大技术研发投入，实施安全开发规范，提高人工智能可解释性、透明性、安全性。

7月10日，欧盟委员会发布《通用人工智能实践准则》。该准则是一项自愿性工具，由独立专家在多方利益相关者参与下制定，旨在帮助行业遵守《人工智能法案》对通用AI模型提供商的义务。该《准则》由透明度、版权和安全保障三个章节组成。透明度和版权章节为所有通用A1模型提供商提供了一种证明其遵守《人工智能法》第53条规定的义务的方法。安全和保障章节仅与少数最先进模型的提供商有关，这些提供商受《人工智能法案》第55条规定的具有系统性风险的通用AI模型提供商的义务约束。在接下来的几周内，欧盟成员国和欧盟委员会将评估其充分性。准则通过批准后，自愿签署该准则的人工智能模型提供商可以通过遵守该准则来展示其符合《人工智能法》要求。此外，欧盟委员会关于通用AI模型关键概念的指南也将对该准则进行补充。

7月18日，欧盟委员会发布《关于欧盟人工智能法案第2024/1689号条例中通用人工智能模型义务适用范围的指南》，旨在协助“通用人工智能模型”（GPAI）提供商履行欧盟《人工智能法》下的义务，帮助整个人工智能生态的参与者明确自身是否受该义务规制。指南明确了GPAI的判定标准，并设定系统性风险模型的识别门槛；明确了GPAI“提供商”与“投放市场”的定义框架，并规定了在满足透明度要求的免费开源许可下发布模型的豁免条件；还规定了最先进或最具影响力的GPAI提供商的具体义务。该指南将于 2025年8月2日生效。

7月9日，外交部发布《金砖国家领导人关于人工智能全球治理的声明》。数据安全方面，《声明》强调：数字主权和发展权是全球人工智能治理的关键，我们坚定支持各国在捍卫基本权利的同时，有权充分利用数字经济与新兴技术特别是人工智能带来的发展红利，通过加强数字基础设施建设、培育本土技术人才、确保公民免受人工智能风险伤害等方式，制定本国法律权限范围内的人工智能监管框架，提升人工智能研究能力，培育自主技术创新，确保数据安全，推进本国数字经济发展；数据治理是人工智能包容性治理的关键，需在尊重隐私权、个人数据保护、算法透明性、知识产权和国家安全等相关法律框架的同时，为发展中国家提供公平、一致、安全、可靠的高质量数据等。

7月23日，美国白宫发布《赢得AI竞赛：美国AI行动计划》。《计划》依据《消除美国AI领导地位障碍》行政命令制定，围绕“加速AI创新、建设美国AI基础设施、领导国际AI外交与安全”三大支柱提出超过90项联邦政策行动，旨在通过全面战略部署，确保美国在全球AI领域的绝对主导地位。该计划的主要政策包括：商务部和国务院将与行业合作，向美国的朋友和盟友提供安全的全栈AI出口方案，包括硬件、模型、软件、应用程序和标准；加快数据中心和半导体晶圆厂的许可并实现现代化；取消阻碍人工智能开发和部署的繁重联邦法规；更新联邦采购指南，确保政府只与前沿大型语言模型开发商签订合同。《计划》特别关注美国与中国在AI领域的技术竞争，力求通过技术出口、出口管制和国际合作，确立美国在全球AI生态的核心地位。

7月9日，美国加州参议院修订SB-243伴聊机器人法案，该法案是全球首个针对陪伴型AI心理健康风险的系统性监管，旨在规范陪伴型聊天机器人（具有情感交互能力的AI系统）的运营。该法案新增对陪伴型聊天机器人（具有情感交互能力的AI系统）的运营要求，主要包括：运营商须设置自杀干预机制，未建立有效自杀干预方案前，不得开放聊天功能；运营商每年须向自杀预防办公室提交年度报告，报告不得包含用户身份数据；运营商须通过应用/浏览器等渠道显著提示用户，聊天机器人可能不适合某些未成年人等。

6月25日，美国加州北区联邦地区法院对多名作家起诉Meta侵犯著作权案作出阶段性裁决。该案中，包括 Richard Kadrey等人在内的作者指控Meta未经允许从shadow libraries（影子图书馆，即未经授权的在线存储库）中下载大量其创作的书籍用于训练大语言模型Llama的行为侵犯其版权。法院作出裁定，AI训练与传统复制、销售有本质不同，原告未能举证被告公司的AI训练对作品市场产生替代效应，Meta使用原告书籍的目的和性质与书籍本身存在“进一步的用途”和“不同的特征”——具有高度转化性，故认定Meta复制作品用于模型训练的行为属于合理使用，驳回原告动议并支持Meta请求。同时，法院明确声明裁判仅适用于本案13位原告作品，不能被解读为Meta训练Llama所涉所有版权作品均合法。

7月12日，xAI为其聊天机器人Grok赞美希特勒等言论致歉。事件源于7月8日系统更新时误用废弃代码，导致Grok引用社交媒体X上的极端内容生成不当回复，包括宣扬纳粹思想、传播种族仇恨等。目前，这段代码已经被移除，且xAI称“对整个系统进行了重构，以防止类似滥用再次发生”。xAI声明，该公司于当地7月8日上午发现Grok的“不良响应”并立即开始调查。当天下午，由于Grok的“滥用情况加剧”，Grok在X平台被暂时禁用。这是Grok今年第二次引发争议，今年5月，xAI称其一名员工在未经授权情况下修改了Grok的程序，导致其在不相关的对话中反复提到南非政治议题，并错误地坚称该国正在进行针对白人的“种族屠杀”。

7月3日，欧洲数据保护委员会（EDPB）发布《加强清晰性、支持和参与声明》。《声明》针对微型、小型和中型组织，提出了一系列新举措，旨在简化GDPR合规流程，并加强跨监管机构之间的合作。措施包括：为组织提供一系列现成可用的模板，为数据保护机构设计数据泄露通知的通用模板，提供直接且易于应用的资源（如清单、操作指南、常见问题解答）帮助组织理解其关键义务。同时，《声明》提出了将主动加强与其他监管机构合作：酌情与其他监管机构共同编制更多联合指南；促进与其他监管机构的结构化合作，解决具体案件中跨监管合作面临的法律和实践挑战；主动邀请其他监管机构参加相关的EDPB会议。

7月15日，欧盟委员会正式发布决定，确认欧洲专利组织（EPO）在个人数据保护方面达到了与《通用数据保护条例》（GDPR）“基本等同”的水平。该决定基于GDPR第45（3）条，欧盟区域的数据控制者与处理者向EPO传输数据时，无需另行采取额外的保障措施，便可实现数据自由流动，特别是在专利申请和管理过程中。该决定源于对EPO法律框架和技术措施的全面评估：其数据处理原则严格遵循目的限制、数据最小化等核心要求，赋予数据主体访问、更正、删除及反对等完整权利体系，并设立完全独立的数据保护监管机构行使审计调查职能。欧盟委员会将持续监控EPO的法律框架与实践，包括至少每四年进行一次全面评估以确保保护水平维持充分；若EPO未能满足充分性要求，该决定可能被修订、暂停或废止。

7月4日，法国数据保护机构（CNIL）发布了一份指南，阐释了在特定条件下如何使用数据分析类Cookie而无需获得用户事前同意。该指南明确若相关Cookie符合以下条件，则可适用豁免同意机制：仅用于生成匿名统计数据；完全服务于网站或APP自身的流量分析；不用于跨站追踪、建立用户画像；且不向第三方传输；在隐私政策中向用户进行明确告知；设置合理的数据存储期限（建议Cookie最长存储13个月，统计数据保留不超过25个月）。同时，CNIL还提供技术配置建议及评估工具，供服务提供者自查是否符合《信息技术和自由法》第 82 条规定的免除同意的范围。

7月21日，韩国个人信息保护委员会（PIPC）发布《个人信息安全性确保措施基准》征求意见稿。此次修订旨在优化对个人信息处理系统的“互联网封锁”规定，对于具备较高安全防护能力或风险较低的大规模处理者（如日均处理用户超过100万的企业），可在满足条件的前提下允许选择性接入互联网。《征求意见稿》还强调访问系统时需加强身份认证措施，提升整体安全性。此外，《征求意见稿》鼓励在保障隐私前提下促进信息利用，企业可依据数据规模、业务特性等因素，在内部管理计划中自主设定系统访问日志检查周期，优化资源配置同时保障隐私安全。意见征集截止日期为2025年8月9日。

7月24日，美国加利福尼亚州隐私保护局（CPPA）通过《自动化决策技术、网络安全审计、风险评估、保险及消费者隐私法案（CCPA）更新规则》。内容包括新增“自动化决策技术”（ADMT）定义，即“为处理个人信息并使用计算来执行决策、替代人类决策或实质性替代人类决策的任何技术”，并将计算器、电子表格、数据库等常用商业工具排除在ADMT定义之外，前提是这些工具不替代人类决策；要求使用ADMT做出重大决策的企业，必须在2027年1月1日之前全面遵守第11章的所有要求；对处理个人信息的企业实施年度第三方网络安全审计并整改，首轮网络安全审计按企业规模分阶段执行，最迟2030年4月完成；规定年度风险评估框架与文档存档；要求企业购买网络安全保险并设定最低保额；对CCPA现有条款作出通知、链接展示、服务商合规及执法处罚等修订。

近日，Meta、X、LinkedIn针对意大利税务机关首次将免费社交平台注册视为“个人数据与服务交换”并据此征收逾10亿欧元增值税的决定提起上诉。意大利税务机关认为，用户为免费获取在线服务而同意平台使用其个人数据，平台对用户数据的运营活动应纳税，Meta面临约8.876亿欧元、LinkedIn约1.4亿欧元、X约1250万欧元税负。意大利拟于11月前提交欧盟增值税委员会咨询，该委员会2026年春季出具非约束性意见将成关键风向标。若判决成立，航空、零售等依赖“免费服务+数据收集”模式的行业均面临增值税风险。当前Meta声明“强烈反对该征税逻辑”，X未置评，LinkedIn保持沉默。本案若进入全面诉讼将历时约10年。

6月30日，巴西经济保护行政委员会（CADE）总监察长办公室发布公告，向CADE提议认定苹果强制开发者使用其支付系统构成垄断。公告指出，苹果公司在其iOS生态系统内强制应用程序开发商独家使用其自营支付系统，并限制第三方数字商品及服务的分发与商业化，据此收取不公平的30％的苹果税。调查显示，苹果公司通过不公平的商业行为，使其自家应用的竞争力得到不当提升，抑制了其他开发者的创新和市场参与。调查认为苹果公司的行为违反了巴西反垄断法，建议对苹果公司进行处罚，并敦促其采取措施，改变当前限制竞争的做法。目前该案件已移交法院。

7月1日，美国加州圣何塞法院裁定，谷歌因未经授权收集和使用闲置安卓用户数据，需向受影响的加州用户赔偿3.146亿美元。该案源于2019年发起的集体诉讼，原告代表大约1400万加州居民，指控谷歌通过特殊编程手段，在用户未连接网络时，仍让安卓手机设备将数据传输到谷歌服务器上，用于个性化广告投放等活动。谷歌公司辩称，其服务条款和隐私政策中已对数据传输进行了说明，用户已同意相关条款，没有安卓用户因数据传输而受到损害。法院裁定谷歌公司在未获用户授权的情况下，利用手机设备发送和接收信息，侵犯了用户权益。目前，谷歌已提起上诉，在法律程序结束之前不会支付任何款项。

7月23日，英国竞争与市场管理局（CMA）提议指定苹果和谷歌在各自的移动平台上具有“战略市场地位”（SMS），CMA表示，苹果和谷歌的移动平台处于“实际的双寡头”状态，英国约90%—100%的移动设备都运行在这两家公司的移动平台上。CMA指出，英国企业和消费者担忧以下行为可能造成自我优待，阻碍创新、限制竞争及用户真实选择：（1）应用程序审核流程不一致且难以预测；（2）应用商店搜索排名标准不一致；（3）高达30% 的IAP抽成，以及限制支付渠道；（4）限制开发者访问设备互联等特殊功能；（5）“选择架构”（如默认设置、预安装、突出显示等）。CMA指出，最终决定将于10月22日作出。

7月10日，爱尔兰数据保护委员会（DPC）宣布对TikTok“跨境传输数据保存至中国服务器”的行为实施独立调查。此次调查是对早前案件的跟进，在前次调查中，TikTok最初声称未将欧洲用户数据存储在中国，仅由中国员工远程访问，但后续改口承认部分数据确实存于中国服务器。监管机构当时即表示将考虑采取进一步措施。此次调查的目的是确定TikTok在当前涉及的数据传输方面是否遵守了《通用数据保护条例》（GDPR）规定的相关义务。调查将涉及GDPR的：第5（2）条（责任）、第13（1）（f）条（关于向第三国传输数据的透明度信息）、第31条（与监管机构合作的义务）以及第五章（遵守向第三国传输数据的相关要求）。

7月3日，近日，法国竞争、消费与反欺诈总局（DGCCRF）发布公告，认定新兴快时尚电商巨头SHEIN的销售公司Infinite Style E-commerce LTD（ISEL）在向消费者提供价格折扣和环保声明时实施了商业欺诈行为。经调查发现，SHEIN在部分情况下先抬高价格再宣称折扣，57%的促销活动并未真正降低价格，19%的折扣幅度低于宣传，11%的所谓“折扣”实为价格上涨。此外，SHEIN在其网站上宣称“负责任的企业”并承诺减少25%温室气体排放的环保声明，也被指缺乏依据，构成误导。ISEL与DGCCRF达成和解，接受了4000万欧元的罚款处罚。此项处罚将在巴黎检察官办公室批准后正式生效。

7月28日，欧盟委员会初步认定Temu违反了《数字服务法》（DSA）规定的义务，即正确评估非法产品在其市场上传播的风险。欧盟委员会指出，在Temu上购物的消费者很可能会在优惠中找到不合规的产品，例如婴儿玩具和小型电子产品。如果该初步意见最终得到确认，认定Temu违反DSA第34条，Temu或将面临最高全球年营业额6%的罚款，此外还可能触发加强的监督期。欧盟委员会还将继续调查2024年10月启动的Temu其他涉嫌违规情况，包括其缓解措施的有效性、成瘾性设计特征的使用、推荐系统的透明度以及研究人员的数据访问权限。

7月14日，欧盟委员会发布了发布《数字服务法》（DSA）下保护未成年人指南。指南列出了一个非详尽的措施清单，旨在采取适当且比例合适的措施，保护儿童免受在线风险的威胁，如诱骗、有害内容、问题性和成瘾行为，以及网络欺凌和有害商业行为。该指南适用于所有未成年人可访问的在线平台，但微型和小型企业除外。其核心建议如下：默认将未成年人账户设为“私密”模式，以此隐藏其个人信息、数据及社交媒体内容；调整平台推荐系统，降低儿童接触有害内容的风险；赋予儿童对任意用户进行封锁和静音的权限，且确保未经其明确同意，不得将其加入群组；禁止他人下载或截图未成年人发布的内容等。指南将用于检查允许未成年人使用的在线平台是否符合DSA要求，并为各国监管机构的执法行动提供参考。

IAB（The Interactive Advertising Bureau）是专注于数字广告生态建设及健康发展的国际数字广告业自律组织。IAB中国作为其重要组成部分，致力于搭建一个国内外数字广告领域的协作平台，通过提供行业助力中国品牌扬帆出海，推动国际企业进入中国市场，持续推动中国数字营销产业的全球化进程。