广告合规

卢森堡行政法院：判决撤销国家数据保护委员会因行为广告数据处理不合规对亚马逊欧洲核心公司处以7.46亿欧元罚款的决定

3月12日，卢森堡行政法院就卢森堡国家数据保护委员会（CNPD）针对亚马逊欧洲核心公司在线行为广告数据处理作出的行政处罚决定所引发的行政诉讼作出判决。法院总体上支持CNPD的核心执法结论，确认亚马逊以“合法利益”作为相关数据处理活动的法律依据并不成立，同时认可CNPD关于其信息告知程序不符合GDPR透明度要求的分析。法院还指出，在案件开庭前，亚马逊已遵守CNPD作出的合规命令。但在罚款问题上，法院基于欧盟法院判例法的发展，认为需重新评估企业过错程度，撤销了CNPD作出的罚款决定。（来源：CNPD官网）

人工智能

美国白宫：发布《国家人工智能立法框架》

3月20日，美国白宫发布《国家人工智能立法框架》。《框架》涵盖六个关键目标，包括儿童保护、社区与国家安全、知识产权、言论自由、创新促进及AI劳动力建设。在“守护儿童，赋能家长”方面，政府呼吁国会提供账户控制等有效工具，助力家长保护子女隐私、管理设备使用。同时，面向未成年用户的人工智能平台需建立相应机制，降低儿童遭遇性剥削或发生自残行为的风险。在“尊重知识产权并支持创作者”方面，政府提倡必须尊重创作者，但为了确保AI进步，必须允许其对学习到的内容进行合理使用。（来源：美国白宫官网）

欧洲议会：通过《关于版权与生成式AI——机遇与挑战的决议》

3月10日，欧洲议会通过《关于版权与生成式AI——机遇与挑战的决议》。《决议》认为，生成式AI的快速发展不应削弱欧盟现有版权制度、权利人基本权利及欧洲文化创意产业的可持续发展；就生成式AI训练而言，现行版权规则在训练数据使用、权利保留表达、许可机制及权利救济方面仍存在适用不明与执行不足的问题。为此，欧洲议会呼吁进一步澄清现行规则在生成式AI训练场景中的适用，并评估是否有必要建立补充性法律框架，以明确训练阶段使用受版权保护作品的合规边界、许可路径及侵权责任分配；建议欧盟知识产权局（EUIPO）作为可信中介协助管理或公示权利人排除其作品被用于AI训练的机制，以提升版权合规的可执行性；明确标识AI生成内容，便于平台执行透明义务。（来源：欧洲议会官网）

美国众议院：举行听证会，审查中国AI、机器人及自主技术的国家安全风险

3月17日，美国众议院举行听证会，审查中国AI、机器人及自主技术的国家安全风险。听证会核心议题围绕两类技术展开：一是以DeepSeek为代表的生成式AI模型，美方关注其在较低成本下实现能力扩散的路径，以及通过“模型蒸馏”等方式复制美国前沿模型能力的风险，并担忧相关模型一旦接入美国网络、政府系统或关键行业场景，可能引发数据安全、内容安全及供应链依赖等问题；二是以宇树科技为代表的机器人系统，重点审视现代机器人本质上属于“网络—物理系统”，通常依赖云连接、远程监测、在线更新和持续数据采集维持运行，因此如部署于港口、能源设施、医院、政府建筑等关键基础设施场景，可能带来持续数据获取、远程操控、系统入侵乃至现实物理安全风险。（来源：美国众议院官网）

美国政府：对两起涉华AI技术非法走私案提起诉讼

近日，美国政府对两起涉华AI技术非法走私案提起诉讼。其中，第一起案件美国政府起诉指控三人合谋将在美国组装并集成先进人工智能技术的高性能计算机服务器转移至中国，涉嫌违反《出口管制改革法》、走私、欺诈美国三项罪名；第二起案件美国政府向另三人提起刑事控告，指控三人合谋意图将受出口管制的计算机芯片经泰国非法转运至中国牟利，涉嫌实施走私及违反出口管制法规。（来源：DOJ官网）

美国最高法院：拒绝受理就AI生成作品版权问题提起的上诉

3月2日，美国最高法院拒绝受理就AI生成作品版权问题提起的上诉，从而维持下级法院关于“纯AI生成作品不具备版权登记资格”的既有立场。该上诉由计算机科学家斯蒂芬泰勒提出，涉案艺术品名为《通往天堂的最新入口》，泰勒曾为该图像提交联邦版权注册申请，然而美国版权局驳回了该申请，并明确认定，创意作品必须具备“人类作者身份”才有资格获得版权保护。华盛顿特区一名联邦法官在2023年的裁决中强调，人类作者身份是版权保护的“基石要求”。美国哥伦比亚特区联邦巡回上诉法院随后在2025年维持了该判决，进一步指出《版权法》所保护的作品须首先由人类创作完成。（来源：路透社官网）

美国第九巡回上诉法院：暂停执行要求Perplexity停止使用AI智能体访问亚马逊的禁令

3月16日，美国第九巡回上诉法院在Amazon.com Services, LLC v. Perplexity AI, Inc.一案中作出命令，批准Perplexity提出的行政性中止申请，决定将加州北区联邦地区法院于3月9日作出的相关禁令命令暂时中止执行，直至其关于“上诉期间中止执行”的正式动议获得进一步裁定。此前亚马逊起诉称，Perplexity 旗下 Comet AI 代理在未经授权的情况下借助用户账户凭证访问亚马逊平台，实施商品搜索、比价及下单等操作，并涉嫌将相关账户信息传输至其服务器以完成代理任务；地区法院据此于3月9日批准亚马逊申请的初步禁令救济。（来源：Thomson Reuters官网）

谷歌：在三星GalaxyS26系列上推出AI辅助使用手机功能

2月25日，谷歌宣布在三星GalaxyS26系列上推出AI辅助使用手机功能。在“待办事项辅助处理”功能中，用户可通过长按侧边按钮，将打车、点餐、采购清单整理等多步骤任务交由Gemini在后台执行；在执行过程中，用户仍可正常使用手机，并可通过通知实时查看任务进度、随时介入或中止任务，整体强调“AI代办”与用户控制并行的交互逻辑。与此同时，谷歌还在Galaxy S26的三星电话应用中引入基于设备端Gemini模型的诈骗电话检测功能；如系统在通话过程中识别出潜在诈骗风险，将即时向用户发出语音和触觉提醒。谷歌特别指出，该项诈骗检测分析完全在设备本地进行，以降低通话内容外泄和隐私泄露风险，且该功能默认不会对通讯录联系人触发。（来源：谷歌官网）

数据合规

欧洲数据保护委员会：启动针对GDPR透明度和信息告知义务的协同执法行动

3月19日，欧洲数据保护委员会（EDPB）启动针对GDPR透明度和信息告知义务的协同执法行动。本次执法行动重点聚焦GDPR中的透明度与信息告知义务，围绕GDPR第12、13、14条展开，相关条款确立了被告知权这一核心原则，即确保个人在其数据被收集或处理时，能够以清晰、易理解且易获取的方式获知相关信息，从而增强对自身数据的控制能力。2026年期间，欧洲范围内25个数据保护机构将参与该行动，在各成员国开展统一方法的合规评估与调查，重点审查数据控制者在隐私政策、信息披露方式及数据处理说明方面是否符合透明度要求。（来源：EDPB官网）

法国最高行政法院：判决维持对Criteo作出的4000万欧元罚款决定，明确假名化数据属个人数据

3月4日，法国最高行政法院判决维持对Criteo作出的4000万欧元罚款决定。法院认定，Criteo通过cookies收集的用户数据虽经假名化处理，但结合IP地址、浏览历史等信息仍可识别个人，因此相关数据仍属于GDPR意义上的个人数据，受其保护。Criteo作为数据控制者，未能证明相关用户已就其个人数据处理作出有效同意，且未充分告知用户数据用途，侵犯用户知情权、删除权等多项权利，此外，在用户行使删除权时，Criteo仅停止个性化广告展示，而未实际删除其数据库中保存的相关标识符及关联数据，仍继续将其用于算法优化等目的。法国最高行政法院全盘驳回Criteo上诉，维持法国国家信息化与自由委员会（CNIL）的违法认定及4000万欧元罚款，并确认处罚公示行为合法。（来源：法国政府法律公告官网）

英国信息专员办公室：发布关于认定“公认合法利益”的指南

3月23日，英国信息专员办公室（ICO）发布关于认定“公认合法利益”的专项指南，进一步明确在英国数据保护框架下适用该法律依据处理个人数据的条件与范围。指南规定，公认合法利益是指在特定公共利益场景下，经立法或监管明确认可的处理情形，其与一般合法利益的区别在于：在符合条件时，数据控制者无需再进行利益平衡测试，但仍须遵守必要性、数据最小化及透明度等基本原则。指南系统阐释了公认合法利益的适用逻辑，并明确列举了五类典型情形，包括：基于公共机构、执行公共利益职务的组织或者其他具有官方职能的组织的要求，向其共享所持有的个人信息；为了维护国家安全、公共安全和国防目的所必需；为了应对紧急情况所必需；为了发起、调查或预防犯罪，或者逮捕或起诉犯罪者所必需；为了保护弱势个体而处理个人信息。ICO同时强调，在适用公认合法利益时，仍需确保处理具有明确目的、范围合理，并通过隐私声明等方式向个人提供充分信息。（来源：ICO官网）

欧盟法院：自动化信用评估须向数据主体提供“合理解释”

2月27日，欧盟法院通过判决明确自动化信用评估须向数据主体提供“合理解释”。奥地利一消费者因自动化信用评估结果不佳被拒办手机合约，相关评估由自动化方式完成，但企业并未向其说明自动化信用评估做出的理由。欧盟法院判决认定，该企业的行为违反GDPR，当数据控制者基于自动化处理作出影响个人的重要决定时，应以清晰、简明且可理解的方式说明其实际适用的程序和原则，使数据主体能够理解其哪些个人数据被使用、如何被使用，并据此对相关决定提出质疑或异议。若企业提供的信息涉商业秘密，企业不得据此当然拒绝披露，而应提交监管机构或法院个案权衡，确定数据主体的访问范围，不得一概排除数据主体访问权。（来源：欧盟法院官网）

德国图林根州高等地区法院：因Meta未经同意追踪用户数据判决其支付赔偿金

3月3日，德国图林根高等地区法院因Meta未经同意追踪用户数据判决其支付赔偿金。Meta在相关人员未授权登录社交网络，也未对数据传输给予有效同意的情况下，通过其嵌入在第三方网站中的追踪技术大规模追踪用户的互联网使用情况，包括收集用户的精神疾病记录、医疗记录以及药物购买记录等健康相关信息。法院指出，上述数据收集行为缺乏合法性基础，亦不符合GDPR关于透明度、目的限制及数据最小化等基本原则；尤其是在涉及可能揭示敏感个人信息的情形下，企业更应取得明确、知情且具体的同意。（来源：PPC官网）

未成年人保护

法国巴黎上诉法院：裁决驳回法国政府对Shein平台的封锁请求，仅保留未成年人年龄验证禁令

3月19日，法国巴黎上诉法院就法国政府诉Shein一案作出终审裁决。法院认定Shein重新开放第三方市场引发国家采取诉讼措施的损害情形已不复存在，既无当前损害，也无确定未来损害，Shein在争议商品被发现后已“迅速反应”下架争议产品，并已对进入其第三方市场的卖家及商品建立相应控制措施，Shein建立的卖家准入与产品管控措施未被证明无效。据此，法院确认一审判决内容，维持对违法类商品恢复销售的年龄验证限制；驳回政府所有其他请求，包括封锁平台或限制第三方市场。（来源：巴黎上诉法院官网）

澳大利亚信息专员办公室：发布关于年龄验证技术的指南，以确保对澳大利亚用户的隐私保护

3月17日，澳大利亚信息专员办公室（OAIC）发布关于年龄验证技术的指南，旨在帮助各类实体在实施线上年龄核验时更好平衡未成年人保护与个人信息保护。《指南》要求各实体评估是否确有必要实施年龄核验，并在系统设计阶段贯彻“隐私保护内嵌”原则；进行尽职调查，确保实体年龄保障生态系统的安全；评估风险，选择符合比例原则且遵循数据最小化原则的年龄验证方法；在收集敏感信息或进行二次使用、披露时，确保取得清晰、明确的用户同意；保持透明的隐私声明，并在关键节点为个人提供支持，如建立简便、易于访问的投诉处理机制。（来源：OAIC官网）

平台治理

美国最高法院：认定无主动侵权意图前提下，互联网服务提供商无需对传输侵权内容担责

3月25日，美国最高法院就Cox Communications, Inc. v. Sony Music Entertainment一案作出判决，认定互联网服务提供商（ISP）在缺乏“侵权意图”的情况下，不应对其用户的盗版行为承担版权连带责任。法院认为，Cox提供的只是具有大量合法用途的一般性互联网接入服务，既没有诱导其用户侵权，也没有提供专为侵权而定制的服务，且其曾通过发送警告、暂停服务、终止账户等方式反复劝阻侵权，因此不足以认定其具有帮助侵权所要求的主观意图。美国最高法院进一步明确，“避风港”规则系为服务提供商设立的免责抗辩机制，并不当然意味着未满足避风港条件的服务商即应承担侵权责任，在司法案件中，主张服务提供商侵权的原告仍须证明服务提供商具备帮助侵权所要求的意图。（来源：SCOTUSblog官网）

谷歌：与Epic Games达成和解协议，降低其安卓应用商店收取的佣金

3月4日，谷歌与Epic Games就双方持续多年的反垄断争议达成和解协议，谷歌降低其安卓应用商店收取的佣金，将原先对应用内交易普遍收取的 15%至30%佣金调整至约10%至20%区间，并允许开发者继续采用谷歌之外的支付处理系统；同时，谷歌还将为第三方应用商店提供一套官方注册与认证渠道，经认证的替代应用商店在安卓设备上的分发将更少触发安全风险警示，从而为其进入平台生态提供更明确路径。该案始于2020年电子游戏开发商Epic Games提起的反垄断诉讼，指控谷歌滥用其对 Play Store 生态的控制地位对应用内交易收取15%至30%的佣金。谷歌曾试图推翻一名联邦法官要求其对Play Store进行更全面改革的命令，但美国最高法院驳回上诉，使相关判决及救济措施得以继续推进。（来源：AP官网）

美国加州一陪审团：裁定Meta与Google在社交媒体成瘾案中负有责任

3月25日，美国加州一陪审团裁定Meta和Google在一起社交媒体成瘾案中负有责任，并判令两家公司向原告合计赔偿600万美元。该案原告为一名现年20岁的女性，她声称自己在年幼时因长期使用Meta和Google旗下应用，相关平台通过无限滚动、自动播放等产品设计持续强化用户黏性，进而导致其出现抑郁、自残冲动等心理健康问题，要求赔偿并改变产品设计。陪审团认定，Meta旗下包括Instagram在内的应用、以及Google旗下的YouTube，在产品设计及风险提示方面存在过失，其中Meta承担70%的责任，Google承担30%的责任；赔偿金额包括300万美元补偿性赔偿及300万美元惩罚性赔偿。Meta和Google均表明将提起上诉。（来源：NPR官网）

谷歌：拟推出搜索新规应对CMA审查

3月18日，谷歌在回应英国竞争与市场管理局（CMA）就其搜索服务拟议行为要求的公开咨询时表示，其正在加紧开发全新的功能管控工具，该工具将赋予网站出版商自主选择权，使其可选择退出谷歌旗下的生成式人工智能相关功能。谷歌同时提出，将研究一种对用户干扰更低的默认搜索引擎切换方式，在设备设置中提供更便捷的切换路径，让用户能更轻松地切换服务商，而无需依赖可能令用户感到困扰的重复弹窗提示。此前，CMA已于2025年10月10日正式认定谷歌在英国一般搜索和搜索广告服务中具有“战略市场地位”（SMS），从而获得对其施加定向行为要求的法定权限。（来源：谷歌官网）

-END-