9月10日，国家计算机病毒应急处理中心检测发现69款违法违规收集使用个人信息的移动应用。本次通报涉及的手机端APP共43个，小程序共25个，SDK共1个，通报问题包括：首次运行时未通过弹窗等明显方式提示用户阅读隐私政策；隐私政策披露不完整；未充分告知并征得单独同意即向第三方提供个人信息；未经用户同意即开始收集信息或开启权限；未提供有效的更正、删除个人信息及注销用户账号功能；投诉、举报未在承诺时限内受理并处理；未向用户提供撤回同意收集个人信息的途径、方式；个人信息处理者未提供便捷的撤回同意的方式；通过自动化决策方式向个人进行信息推送、商业营销，未同时提供不针对其个人特征的选项，或者未向个人提供便捷的拒绝方式等。

9月6日，全国网安标委正式发布《数据安全技术 个人信息跨境处理活动安全认证要求》与《数据安全技术 数据安全和个人信息保护社会责任指南》。《要求》规定了跨境处理个人信息时相关方遵守的基本原则、基本要求和个人信息主体权益保障要求；适用于跨境处理个人信息的相关方规范自身个人信息跨境处理活动，也适用于主管部门、第三方机构等组织对个人信息处理者跨境处理个人信息的活动进行监督、管理、认证和评估。《指南》提供组织在数据安全与个人信息保护方面的社会责任指南，涵盖治理、合规、创新、公平运营、用户权益、公益参与及信息披露，适用于组织自查与第三方评价。两项标准将于2026年3月1日起正式实施。

近日，全国网安标委发布4项国家标准征求意见稿。其中，《数据安全技术 个人信息匿名化处理指南及评价方法》（征求意见稿）正文包括：范围、规范性引用文件、术语和定义、概述、准备工作、匿名化评价方法。《征求意见稿》明确了匿名化处理的目标，提供了个人信息匿名化处理的指南，并给出了匿名化评价方法，适用于个人信息匿名化处理工作，也适用于开展个人信息安全管理、监管和评估等工作；其主要技术内容包括：匿名化目标要求、匿名化处理流程、匿名化评价方法。征集意见时间截止至2025年10月26日。

9月9日，上海市公安局网安部门组织对迪奥（上海）公司数据泄露事件依法开展行政调查。此前，多家媒体报道法国时尚消费品牌迪奥发生数据泄露事件，中国大陆地区用户也陆续收到迪奥官方警示短信。经查，迪奥（上海）公司存在三项违法事实：一是未通过数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证，违规向法国迪奥总部传输用户个人信息。二是向法国迪奥总部提供用户个人信息前，未向用户充分告知其个人信息境外接收方的处理方式，未取得用户“单独同意”。三是未对收集的个人信息采取加密、去标识化等安全技术措施。属地公安机关依据《个人信息保护法》规定，对迪奥（上海）公司依法予以行政处罚。

9月8日，最高法发布2025年人民法院反不正当竞争典型案例，此次发布的8件典型案例，涉及仿冒混淆、侵害技术秘密、商业诋毁、网络不正当竞争行为的认定及反不正当竞争法一般条款的适用等重要法律问题，广泛涉及电商平台、养车服务等线上线下产业领域，以及人工智能、直播平台等新技术新业态。其中：案例7涉及侵害数据权益不正当竞争行为的认定，法院认为商品数据是原告投入大量成本合法收集、加工而成的稀缺性数据资源，能为原告带来经营收益和竞争优势，非法爬取海量数据的行为侵夺了原告潜在利益；案例8涉及人工智能模型结构和参数的反不正当竞争法保护，法院认为被告直接使用原告的人工智能模型结构和参数，对原告的竞争利益造成实质性损害，其行为构成不正当竞争行为。

9月10日，北京互联网法院发布八起涉人工智能典型案例。八起案例分别明确了“AI文生图”的法律属性及权利归属的认定、自然人声音权益可及于AI生成声音、未经权利人许可使用AI合成的名人声音用于“带货”构成侵权委托推广商家应承担连带责任、未经授权对包含他人肖像的视频进行“AI换脸”处理构成对他人个人信息权益的侵害、网络平台利用算法工具检测AI生成内容但未尽到合理适度说明义务的应承担违约责任、利用AI软件恶搞丑化他人肖像构成人格权侵权、具有独创性的虚拟数字人形象构成美术作品、未经同意创造自然人的AI形象构成对人格权的侵害等裁判规则。

9月8日，全国人大常委会初次审议《网络安全法》修正草案。修正草案完善以下几个方面：其一，完善不依法履行网络运行安全保护义务行为的法律责任，区分造成大量数据泄露、关键信息基础设施丧失局部功能等严重情形，以及造成关键信息基础设施丧失主要功能等特别严重情形，提高罚款幅度；对销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的行为，增加规定法律责任；对违反规定开展网络安全认证、检测等活动，完善处置处罚措施。其二，不依法履行违法信息处置义务行为的法律责任，对造成特别严重影响的违法情形，加大处罚力度。其三，修正草案还做好侵害个人信息权益等行为法律责任的衔接，增加从轻、减轻或者不予行政处罚的规定。

9月11日，国家网信办指导上海市网信办，依据《网络信息内容生态治理规定》等有关规定，针对红书平台未落实信息内容管理主体责任，在热搜榜单重点环节频繁呈现多条炒作明星个人动态和琐事类词条等不良信息内容，破坏网络生态问题，对小红书平台采取约谈、责令限期改正、警告、从严处理责任人等处置处罚措施。网信部门将持续聚焦破坏网络生态违法违规突出问题，发挥网络执法“利剑”作用，督促网站平台履行主体责任和社会责任。

9月8日，国家药监局公布《处方药网络零售合规指南（征求意见稿）》。《征求意见稿》共五章四十六条，包括总则、经营主体的合规要求、经营活动的合规要求、平台管理的合规要求、附则。其中，《征求意见稿》明确了药品网络交易第三方平台企业应该遵循的合规管理要求，如要求第三方平台应当建立药品质量安全管理机构，配备药学技术人员承担药品质量安全管理工作，要求完善平台处方药信息展示管理规范，明确禁止各类促销行为，强化处方审核要求、建议将处方审核人员的日均审方数量控制在300张以内等。征求意见截止时间为2025年9月15日。

近日，全国平台经济治理标准化技术委员会成立。组建平台经济治理标委会是为了充分发挥标准化对推进治理体系和治理能力现代化的系统性支撑作用，强化其在明确市场规则、规范行业发展方面的引领作用，以统一标准促进平台企业合规经营水平同步提升，推动平台经济从扩规模向优质量转变。要坚持问题导向，围绕平台经济治理中的重点领域、关键环节和难点堵点，强化规则和规范的顶层设计。要夯实标准基础，全方位提升平台经济治理标准化工作效能。构建科学合理、系统完善的国家平台经济治理标准体系，强化标准的实施应用，加强国际交流合作，坚持标准国际化和产业国际化互为引领。成立大会上审议了《直播电商平台服务管理基本要求》《网络交易合规数据报送规范》两项国家标准立项材料。

9月4日，欧盟法院对欧洲数据保护监管局（EDPS）诉单一清算委员会（SRB）上诉案作出裁决，该案重新界定假名化数据的“个人数据”属性。判决认为假名化数据是否为个人数据应从相关性与可识别性两方面来判断。在相关性上，该判决认为观点或意见作为自然人的思想表达，天然与自然人相关；在可识别性上，该判决认为须以数据控制者在收集时的视角为准。法院还指出数据控制者收集数据时的透明度义务也不因后续数据假名化或接收方不可识别数据而减轻。

9月5日，欧盟委员会宣布因谷歌在线广告技术中的滥用行为对其罚款29.5亿欧元。欧盟委员会认定，至少从2014年起，谷歌滥用主导地位，通过损害竞争对手、广告主、第三方网站和应用程序的利益来支持自己的在线广告业务，进而强化在这一领域的竞争优势，收取更高的中介费，违反了《欧盟运作条约》（TFEU）第102条。欧盟委员会初步结论为谷歌必须 剥离部分业务才能解决公平竞争问题。目前谷歌还有60天的整改期，欧盟委员会将先听取谷歌的整改措施再做最终决定。

9月2日，美国联邦贸易委员会（FTC）因迪士尼公司非法收集儿童数据，对其罚款1000万美元。该机构称该公司违反了《儿童在线隐私保护法》（COPPA），未能正确将部分上传至YouTube的视频标记为“面向儿童”。这种错误标记使得迪士尼能够通过YouTube收集观看儿童导向视频的13岁以下儿童的个人数据。COPPA规则要求针对13岁以下儿童的网站、应用程序和其他在线服务告知父母他们收集哪些个人信息，并在收集此类信息之前获得可验证的父母同意。

9月3日，法国国家信息与自由委员会（CNIL）因处理用户Cookies违规，对SHEIN和Google公司分别处罚1.5亿和3.25亿欧元，理由为这两家公司未遵守Cookies追踪规则。CNIL认为，谷歌存在在未经用户同意的情况下，在Gmail邮件界面中违规展示广告并使用Cookies进行追踪等问题；SHEIN存在擅自在用户设备中存储追踪文件，未能尊重用户意愿及履行充分告知义务等问题。