9月5日，欧盟委员会宣布因谷歌在线广告技术中的滥用行为对其罚款29.5亿欧元。欧盟委员会认定，至少从2014年起，谷歌滥用其在广告技术供应链多个环节的主导地位，采用包括优先使用谷歌自身广告交易平台AdX，排除或限制竞争对手进入市场，通过损害竞争对手、广告主、第三方网站和应用程序的利益等方式来支持自己的在线广告业务，进而强化在这一领域的竞争优势，收取更高的中介费，违反了《欧盟运作条约》（TFEU）第102条。欧盟委员会初步结论为谷歌必须剥离部分业务才能解决公平竞争问题，同时欧盟委员会给出谷歌60天的整改期，欧盟委员会后续将先听取谷歌的整改措施再做最终决定。

9月3日，法国国家信息与自由委员会（CNIL）因处理用户Cookies违规，对SHEIN与Google公司分别处以1.5亿欧元和3.25亿欧元罚款。CNIL调查发现，Google未征得用户明确同意便在Gmail邮件界面中违规展示广告并使用Cookies进行追踪等问题。SHEIN则被认定在用户访问其网站时，擅自在终端设备上存储追踪性文件，且未提供足够明确的告知内容或选择机制，未能保障用户有效行使权利。CNIL认定两家公司的上述行为严重违反《电子通信隐私指令》（ePrivacy Directive）及相关数据保护规则，最终决定对两家公司作出高额经济处罚。

9月18日，欧洲数字广告行业协会（IAB Europe）发布《人工智能对数字广告的影响》报告，这是其首次就AI在广告行业的应用现状、挑战与治理需求开展的系统性调研。报告显示，人工智能技术正在欧洲数字广告生态中加速渗透，但同时引发对隐私与治理结构的广泛关注。报告披露四大要点：在人工智能采纳方面，85%的受访公司表示已在数字广告营销流程中使用AI工具，近四分之三的公司至少有一项数字广告营销活动功能由人工智能驱动，主要集中在内容生产、广告定向、动态创意优化等领域。在隐私问题方面，隐私被认为是当前使用AI技术时最主要的担忧，43%的企业明确禁止将用户数据用于模型训练，另有32%仅允许用于内部模型训练，仅有极少数公司允许用于第三方模型训练。在治理框架方面，68%的公司已建立通用的AI指导方针，但仅有43%的企业拥有专门针对广告与营销场景的具体政策。在后续挑战方面，缺乏内部专业知识与培训是更广泛采纳人工智能的重要障碍。IAB Europe表示，此次调研旨在为广告行业提供基准参考，并推动构建统一、可执行的人工智能使用框架。

9月16日，迪士尼、环球影业与华纳兄弟对中国人工智能企业MiniMax提起版权诉讼。本次诉讼核心指控包括：（1）训练数据侵权：MiniMax通过网络爬虫技术，从互联网（包括潜在盗版渠道）抓取大量受版权保护的影视素材，并将这些内容清洗、格式化后用于“海螺AI”的模型训练。（2）生成内容侵权：同时原告表示，用户仅需输入简单提示词，即可生成高质量可下载的图片与视频，且输出内容包含超出提示词的细节，原告通过技术分析证明，这些生成内容与原作构成“实质性相似”，属于未经授权的复制与衍生作品创作。（3）商业推广侵权：MiniMax在官网“探索”页面、Instagram、TikTok等社交平台公开展示侵权内容，并将自身品牌水印叠加在生成作品上进行广告引流。（4）主观故意认定：原告曾就侵权行为多次发函要求MiniMax停止不当使用行为，但对方迟迟未实质回应，也未中止相关行为。目前，MiniMax尚未公开回应相关指控。

9月17日，美国两党参议员联合提出《消费者安全技术法案》（Consumer Safety Technology Act），旨在赋予联邦机构更强能力以应对人工智能和区块链等新兴技术带来的产品安全挑战。法案要求美国消费者产品安全委员会（CPSC）启动人工智能试点项目，利用AI技术分析产品伤害趋势、识别潜在危险、监控召回情况，发现不符合关键安全标准的产品，从而提高危险产品识别与响应的效率。同时，法案还指示联邦贸易委员会（FTC）与商务部长共同提交一份报告，评估区块链技术和数字代币在产品安全、供应链完整性与追溯机制中的潜力与风险。

9月14日，美国媒体集团潘世奇传媒公司（Penske Media Corporation）在华盛顿特区联邦法院对谷歌提起诉讼，指控其在“AI Overview”（AI 概览）功能中未经授权使用其旗下媒体内容。潘世奇传媒公司称，谷歌通过其AI生成摘要工具，向用户展示潘世奇媒体公司的原创新闻内容的摘要信息，而未提供原始来源链接或跳转路径，导致用户在未访问潘世奇网站的情况下即可获取相关报道内容，从而对其流量、广告收入与订阅构成实质影响。潘世奇在起诉文件中表示，谷歌此类使用行为未经许可，亦未支付任何费用，构成对其受版权保护内容的非法复制与不当使用，违反美国版权法。截至目前，谷歌方面尚未就该起诉讼做出公开回应。

9月12日，意大利参议院正式通过《意大利人工智能法》。这标志着意大利成为欧盟成员国第一个拥有与《欧盟人工智能法案》完全对齐的国家级法律框架的国家。该法旨在在《欧洲人工智能法》正式生效前，抢先构建国内人工智能应用监管机制与发展战略，推动技术创新与基本权利保护并行。该法确立了多项制度性安排：（1）设立协调机构，统筹国家层面人工智能政策、监管和伦理指导。（2）优先在医疗、教育、交通、司法和公共行政等高影响领域推动“可信任人工智能”的研发与试点。（3）指定国家网络安全局（ACN）和意大利数字化局（AgID）为主管国家机构。并由二者共同制定《国家人工智能战略》，每两年更新一次，每年向议会提交战略实施情况监测报告。（4）启动一项总额10亿欧元的投资计划，重点扶持人工智能、网络安全及新兴技术领域的初创企业和中小企业。

9月3日，欧盟普通法院裁定驳回法国欧洲议会议员拉通贝就欧美《数据隐私框架》（EU-U.S. Data Privacy Framework）提出的无效之诉，维持欧盟委员会此前确认该框架“提供充分数据保护水平”的决定。拉通贝议员此前主张，美国国家安全机构在跨境数据传输中可大规模访问欧盟公民数据，违反《欧盟基本权利宪章》中关于隐私和个人数据保护的规定，并质疑美国对欧盟数据主体缺乏有效的法律救济途径。欧盟普通法院在判决中指出，欧盟委员会在作出充分性认定时，已综合评估美国法律框架中所引入的多项保护机制，包括“数据保护审查法院”（Data Protection Review Court）和对情报机构数据访问的比例性约束。法院认为，在欧盟委员会作出该项决定之日，美国提供了与欧盟《通用数据保护条例》（GDPR）相当的保护水平，足以为从欧盟向美国的跨境数据传输提供法律基础。

9月16日，韩国个人信息保护委员会（PIPC）承认欧盟的个人信息保护体系与韩国具有实质同等水平，这标志着韩欧之间首个数据保护互认框架正式建立。根据韩国个人信息保护委员会公告，自即日起，韩国企业与公共机构在向欧盟成员国传输个人数据时，无需再单独满足额外的跨境传输要求，如签署标准合同条款或实施附加保障措施。这一互认决定是在欧盟委员会于2022年对韩国作出充分性认定之后，由韩方依据《个人信息保护法》进行的对等回应。

9月4日，欧盟法院对“欧洲数据保护监管局（EDPS）诉单一清算委员会（SRB）”上诉案作出终审判决，就假名化数据是否构成《通用数据保护条例》（GDPR）下的“个人数据”进行了重新界定。法院指出，评估信息是否为“个人数据”应从两方面入手：一是信息是否“与某一自然人有关”，二是该自然人是否“可识别”。在“相关性”方面，法院强调，即便是反映他人主观看法或非结构化意见的内容，只要与特定自然人存在关联性，即可构成与其“有关”；在“可识别性”方面，法院强调，应从原始数据控制者的视角出发，即评估其在收集数据时是否能够直接或间接识别数据主体，而非仅以后续接收方的识别能力为判断依据。判决进一步指出，即使数据经过假名化处理、且接收方无法识别特定个体身份，只要原始数据控制者能够单独或结合其他信息识别到数据主体，该数据仍属于个人数据范畴，GDPR下的相关义务仍应适用。因此，数据控制者在收集假名化数据时，依然必须履行信息透明义务，包括数据收集的目的、法律基础以及数据主体的权利提示。

9月10日，韩国个人信息保护委员会（PIPC）宣布因大规模用户SIM卡信息泄露事件对SK电信处以约1348亿韩元的行政罚款，并就其在事故发生后未能及时阻止损害扩大的行为，追加处罚960万韩元。PIPC调查显示，SK电信于2024年遭受网络攻击，导致约2297万名用户的姓名、出生年月日、电信服务加入日等敏感信息被泄露，占其总用户的近90%，为近年来韩国通信领域最大规模的信息安全事故之一。PIPC认定，SK电信在此次事件中存在三项重大违规：一是SK电信未履行必要的安全防护义务；二是SK电信未依法指定个人信息保护负责人，SK电信亦未对相关职责进行履行；三是SK电信未能在事故发生后第一时间内向用户和监管机构披露事件。PIPC要求SK电信在三个月内提交整改方案，并在法定期限内通过信息安全管理体系－个人信息保护（ISMS-P）认证。

9月12日，法国国家信息与自由委员会（CNIL）发布了关于在学校环境中使用视频监控系统的最新指南。《指南》旨在在维护校园安全与保障学生隐私之间实现平衡。CNIL指出，学校使用视频监控必须遵循比例原则与必要性标准，并根据设备类型与安装场所做差别化规定。《指南》明确禁止在未有法律依据或特别授权情况下，使用人工智能增强型摄像系统（如人脸识别、行为分析）监控学生活动，尤其在普通教学与管理情境中。对于传统视频监控，CNIL认可学校在入口、走廊及流通区域等公共通道出于防范侵入或暴力行为目的进行监控，但严禁在教学期间对教室、食堂、操场、医务室、卫生间及教职员工休息区等生活空间进行持续拍摄，除非能提供充分理由证明其必要性。此外，CNIL强调，视频画面应仅限于授权人员访问，且必须设置合理的数据保存期限，不得长期保留或用于除安全目的以外的用途。

9月16日，OpenAI宣布将为18岁以下的ChatGPT用户推出专门的安全措施，以加强对未成年用户的保护。官方表示，随着ChatGPT用户群体的扩大，保护未成年成为其系统性长期建设的一部分。具体而言，OpenAI将引入两项核心功能：（1）年龄预测机制，ChatGPT将逐步部署识别用户年龄的系统，一旦识别为18岁以下，用户将自动被引导至一个受“适合年龄内容政策”限制的ChatGPT版本，避免接触不当内容。（2）家长控制工具，家长可将自身账户与未成年用户账户关联，依据适用于未成年用户的特定模型行为政策来指导ChatGPT回应内容，同时能够管理如内存、聊天记录等功能的启用状态，系统还可在检测到儿童可能处于极度痛苦状态时通知家长，同时家长可以设置每日使用时间限制等。

9月11日，美国联邦贸易委员会（FTC）就AI 聊天机器人对青少年影响问题，宣布对七家运营生成式AI聊天机器人的企业发起正式调查。FTC表示，此举旨在评估这些公司是否已采取措施来保障其聊天机器人作为“陪伴型”AI产品时的使用安全性，尤其在限制儿童与青少年使用、减轻潜在负面影响，以及向用户与家长明确披露风险等方面。此次调查涵盖Alphabet、Amazon、Anthropic、Microsoft、Meta（Instagram）、OpenAI与XAI七家公司，内容涉及多个方面，主要包括：产品与角色设计；使用范围与年龄管理；潜在负面影响的测评与监控；变现方式与用户参与度驱动因素；披露、告知义务与透明性；公司政策、监管与执行机制等。

9月2日，美国联邦贸易委员会（FTC）宣布，迪士尼公司已同意支付1000万美元，以了结其因违反《儿童在线隐私保护法》（COPPA）而受到的调查与指控。FTC指出，迪士尼在向YouTube上传并运营旗下儿童内容相关频道时，未能将部分视频正确标记为“专为儿童制作”，使该公司得以收集在YouTube上观看这类视频的13岁以下儿童的个人数据，并利用这些数据向儿童投放个性化广告。另外，错误的标签设置还使儿童接触到了不适合其年龄的功能，比如视频自动播放等。FTC强调，该行为违反了COPPA关于儿童个人信息收集透明度与家长同意机制的核心要求。根据COPPA规定，针对13岁以下儿童运营的在线服务须明确告知其家长所收集的个人信息内容，并在收集、使用或披露前取得“可验证的父母同意”。后续迪士尼需要建立并实施一项程序，审核在YouTube上发布的视频是否应被标记为“MFK”（未成年人保护）——除非YouTube实施年龄保证技术，能够确定所有YouTube用户的年龄、年龄段或年龄类别，或者不再允许内容创作者将视频标记为“MFK”。

9月5日，美国联邦贸易委员会（FTC）宣布，因涉嫌违反《告知消费者法案》（INFORM Consumers Act），对跨境电商平台Temu处以200万美元民事罚款。根据FTC调查，其Temu带有抽奖和积分机制的“游戏化”购物界面中，Temu未能明确展示举报入口，也未依照联邦要求披露卖家的真实名称、地址和联系方式。FTC认为，Temu未能履行《法案》所要求的基本消费者保护义务，包括未向消费者提供识别高风险卖家的必要信息，亦未建立便捷的商品问题举报机制，该平台的界面设计降低了用户对卖家来源与商品真实性的识别能力，从而削弱了消费者在识别假冒、被盗或危险商品时的判断能力，构成对消费者的潜在误导。根据拟议的同意命令，Temu将被要求建立电话号码举报机制、补充游戏化商品列表的身份披露信息，并确保其所有版本的网站与APP均符合《告知消费者法案》要求。

IAB（The Interactive Advertising Bureau）是专注于数字广告生态建设及健康发展的国际数字广告业自律组织。IAB中国作为其重要组成部分，致力于搭建一个国内外数字广告领域的协作平台，通过提供行业助力中国品牌扬帆出海，推动国际企业进入中国市场，持续推动中国数字营销产业的全球化进程。