中國企業(yè)出海：網(wǎng)數(shù)合規(guī)案例分析報告

中國企業(yè)出海：?數(shù)合規(guī)案例分析報告匯業(yè)律師事務(wù)所1.本報告梳理了近年在海外被處罰、禁?、投訴的中國出海產(chǎn)品，涵蓋TikTok、Temu、小?、微信、速賣通、DeepSeek等，海外國家或地區(qū)集中為英國、歐盟、美國、澳?利亞、加拿?、韓國等地。2.出海數(shù)據(jù)合規(guī)?險的關(guān)注點集中于以下??：1)告知和同意義務(wù)的履?不合規(guī)；2)數(shù)據(jù)處理和共享超出業(yè)務(wù)所必需的必要范圍；3)未在歐盟境內(nèi)實際設(shè)?代表或者設(shè)?數(shù)據(jù)控制者；4)超出必要范圍或未經(jīng)??同意處理cookie數(shù)據(jù)和其他營銷數(shù)據(jù)；5)數(shù)據(jù)跨境傳輸?中國存在被中國政府當局?限制訪問的?險，境外??的數(shù)據(jù)難以在中國獲得與GDPR同等?平的保護；6)境外??的個?數(shù)據(jù)權(quán)利響應(yīng)機制缺位；7)未經(jīng)??或監(jiān)護?同意處理未成年?數(shù)據(jù)，未履?相應(yīng)的告知義務(wù)，未設(shè)置年齡驗證機制阻?未成年?不當使?產(chǎn)品，未向??或監(jiān)護?提供便捷的刪除機制；8)未采取恰當?shù)臄?shù)據(jù)安全和?絡(luò)安全措施，未及時監(jiān)督和檢查內(nèi)部的數(shù)據(jù)管理流程；9)未對使???智能處理個?數(shù)據(jù)的情況進?說明以履?透明度義務(wù)。第?部分中國出海產(chǎn)品在海外被投訴/禁?/ 2 4 第?部分出海?數(shù)與??智能場景?險 3.COOKIE和其他數(shù)據(jù)跟蹤問題 4.數(shù)據(jù)控制者的真實性或歐盟境內(nèi)代表的缺位 12投訴/禁用/處罰對象監(jiān)管機構(gòu)及其行動基本情況TikTok英國英國信息專員辦公室（ICO）罰款11.事件背景：2018年5月至2020年7月期間，英國信息專員辦公室（ICO）發(fā)現(xiàn)TikTok違反UKGDPR，大量13歲以下兒童使用其平臺。2.違規(guī)情況a.兒童注冊問題：盡管TikTok服務(wù)條款禁止13歲以下兒童創(chuàng)建賬號，但ICO估計在2020年英國仍有多達140萬13歲以下兒童使用了該平臺，平臺未能有效阻止這部分兒童注冊。b.數(shù)據(jù)處理問題：TikTok在未經(jīng)父母或監(jiān)護人同意的情況下處理兒童數(shù)據(jù)，并且未能充分檢查識別未成年用戶持有的賬戶并刪除。c.信息提供問題：未能以易于理解的方式向用戶提供有關(guān)數(shù)據(jù)收集、使用和共享的適當信息，也未能確保英國用戶的個人數(shù)據(jù)以合法、公平和透明的方式得到處理。3.處罰結(jié)果：2023年4月4日，ICO對TikTok信息技術(shù)英國有限公司和TikTok公司處以1270萬英鎊罰款。2023.4.4英國Ofcom罰款21.事件背景：2023年，Ofcom為撰寫一份關(guān)于兒童在線安全的報告，要求TikTok提供其家長控制功能“家庭配對”的使用數(shù)據(jù)，以了解其平臺為防止兒童接觸到有害內(nèi)容而采取的安全措施。2024.7.241.uk/about-the-ico/media-centre/news-and-blogs/2023/04/ico-fines-tiktok-127-million-for-misu2.uk/online-safety/protecting-children/tiktok-fined-1.875m-for-providing-inaccurate-dat3投訴/禁用/處罰對象監(jiān)管機構(gòu)及其行動基本情況2.違規(guī)情況：TikTok首次提交的數(shù)據(jù)不準確，Ofcom針對TikTok是否未履行回應(yīng)法定信息要求的職責展開調(diào)查，發(fā)現(xiàn)TikTok存在數(shù)據(jù)管理流程失誤，一方面內(nèi)部檢查不到位，導致提交的數(shù)據(jù)不準確；另一方面，TikTok從發(fā)現(xiàn)數(shù)據(jù)問題到提請Ofcom注意之間的時間間隔長達三個多星期。最終TikTok提交準確數(shù)據(jù)的時間距離原定截止日期超過七個月。3.處罰結(jié)果：TikTok的行為違反了《2003年通信法》第s368Z10條和第s368Y條規(guī)定的職責，即未能全面配合法定信息請求。Ofcom決定對TikTok處以187.5萬英鎊的罰款，該款項將上繳英國財政部。由于TikTok主動報告錯誤并積極采取措施改進內(nèi)部流程，接受調(diào)查結(jié)果并同意和解，罰款金額較原計劃削減了25%。4投訴/禁用/處罰對象投訴主體監(jiān)管機構(gòu)及其行動基本情況TikTok/法國法國CNIL罰款31.事實背景：CNIL在2020年5月至2022年6月期間對抖音網(wǎng)站（但不是其移動應(yīng)用程序）進行調(diào)查，發(fā)現(xiàn)抖音信息技術(shù)英國有限公司和抖音技術(shù)有限公司未能遵守《法國數(shù)據(jù)保護法》第82條規(guī)定。2.處罰原因：在實踐中，用戶需幾次單擊才能拒絕所有cookie。抖音提供的拒絕同意機制阻止了用戶拒絕cookie，反而鼓勵他們接受所有cookie。CNIL認為用戶非自愿同意，抖音違反了《法國數(shù)據(jù)保護法》第82條，同時用戶也沒有充分了解使用cookie的目的。3.處罰結(jié)果：罰款500萬歐元。2022.12/意大利意大利競爭管理局（AGCM）罰款41.處罰原因：AGCM發(fā)現(xiàn)抖音傳播的內(nèi)容可能威脅到未成年人和其他弱勢群體的身心安全，且沒有采取充分措施避免，也未遵從其內(nèi)部發(fā)布的安全指南，相應(yīng)的指南也未考慮到未成年人的認知弱勢。抖音通過基于用戶算法分析的“推薦系統(tǒng)”傳播上述有害的內(nèi)容，增加用戶黏性以提高廣告收入。2.處罰原因：AGCM對抖音公司（TikTok）的罰款為1000萬歐元（11002024.3.14/愛爾蘭愛爾蘭數(shù)據(jù)1.事實背景：DPC于2020年7月31日至2020年12月31日期間調(diào)查2023.93/article/cnil-fines-tiktok-5-million-euros-over-cookie-infringemen4https://www.agcm.it/media/comunicati-sta5投訴/禁用/處罰對象投訴主體監(jiān)管機構(gòu)及其行動基本情況保護委員會（DPC）罰款5TikTok遵守GDPR的情況，包括默認公開設(shè)置、“家庭配對”功能相關(guān)設(shè)置情況和年齡驗證機制。2.處罰原因：a.兒童賬戶默認為公開，任何人均可查看兒童用戶發(fā)布內(nèi)容；b.“家庭配對”功能允許非兒童用戶（無法被驗證為父母或監(jiān)護人）將其賬戶與兒童賬戶配對，非兒童用戶可開啟16歲以上兒童用戶的直接功能消息；c.未能向兒童用戶提供足夠的透明度信息，包括公共賬戶內(nèi)容可被非注冊用戶訪問等，呈現(xiàn)信息內(nèi)容模糊等；d.存在“暗黑模式”誘導用戶在注冊過程中和發(fā)布視頻時選擇不利于數(shù)據(jù)保護選項。3.處罰結(jié)果：處以3.45億歐元（3.7億美元）的罰款，并在三個月內(nèi)整/歐盟歐盟委員會禁止在官方設(shè)備使用TikTok6委員會工作人員必須在2023年3月15日之前從工作設(shè)備和任何使用委員會應(yīng)用程序和服務(wù)的個人設(shè)備中刪除中國字節(jié)跳動擁有的短視頻應(yīng)用程序，并表示：“該措施旨在保護委員會免受網(wǎng)絡(luò)安全威脅和可能被利用來對委員會公司環(huán)境進行網(wǎng)絡(luò)攻擊的行動。其他社交媒體平臺的安全發(fā)展也將不斷受到審查?！?023.2.235https://www.edpb.europa.eu/system/files/2023-09/final_decision_tiktok_in-21-9-1_-_redacted_86https://ec.europa.eu/commission/presscorner/6投訴/禁用/處罰對象投訴主體監(jiān)管機構(gòu)及其行動基本情況/荷蘭荷蘭數(shù)據(jù)保護局（AP）罰款71.處罰原因：抖音對荷蘭用戶（主要是兒童）提供的隱私聲明僅有英文版本，而不提供荷蘭語版本，未能充分解釋個人數(shù)據(jù)處理情況。2.處罰結(jié)果：對侵犯幼兒隱私的抖音處以75萬歐元的罰款。2021.7.22NOYB希臘希臘數(shù)據(jù)保護局（HDPA）81.事實背景：a.權(quán)利響應(yīng)不到位：按照公司提供的行權(quán)渠道提出了驗證其數(shù)據(jù)是否被傳輸?shù)街袊囊螅緝H提供有限的處理個人數(shù)據(jù)清單，投訴人進一步提出訪問請求，公司仍未對數(shù)據(jù)跨境傳輸情況回應(yīng)。b.隱私政策表明數(shù)據(jù)可能傳輸至中國并被中國政府訪問：i.未明確說明國際數(shù)據(jù)傳輸?shù)木唧w地點，但在“我們的全球運營與數(shù)據(jù)傳輸：集團公司內(nèi)的數(shù)據(jù)存儲及有限遠程訪問”等多個頁面內(nèi)容中表明數(shù)據(jù)可能傳輸至中國，并可能允許中國執(zhí)法官員獲取用戶數(shù)據(jù)。ii.小米集團的透明度報告表明其收到中國不同政府機構(gòu)數(shù)千條有關(guān)用戶數(shù)據(jù)的請求，且這些請求幾乎都會被批準。c.數(shù)據(jù)控制者不真實存在：隱私政策表明的數(shù)據(jù)控制者只是信箱地址，并非可實際決定數(shù)據(jù)處理的目的和方式的公司主體。2.投訴原因：2025.1.167https://www.edpb.europa.eu/news/national-news/2021/dutch-dpa-tiktok-fined-violating8https://noyb.eu/sites/default/files/2025-01/TikTok_complaint7投訴/禁用/處罰對象投訴主體監(jiān)管機構(gòu)及其行動基本情況違反GDPR第五章，投訴人無法了解是否有采取什么補充措施克服立法問題或數(shù)據(jù)保護水平不對等的問題。a.違反GDPR第五章數(shù)據(jù)跨境傳輸要求：i.缺乏充分性認定。ii.缺乏基本等同的數(shù)據(jù)保護水平，即沒有遵從CFR第7、8、47編做到相應(yīng)要求，包括提供可執(zhí)行的數(shù)據(jù)保護權(quán)利、提供有效的法律救濟、保證執(zhí)法部門和國家安全部門對個人數(shù)據(jù)的訪問受到限制。b.違反CFR第7、8編：i.SCC僅約束商業(yè)數(shù)據(jù)傳輸，并不約束數(shù)據(jù)控制者和中國當局之間的數(shù)據(jù)傳輸關(guān)系。ii.中國法律要求中國企業(yè)履行數(shù)據(jù)本地化義務(wù)，而數(shù)據(jù)向中國境外的跨境傳輸需取得CAC許可，但CAC對數(shù)據(jù)傳輸授權(quán)決定享有自由裁量權(quán)。iii.根據(jù)《數(shù)據(jù)安全法》第35條和《國家安全法》第11條，中國當局對公司處理的個人數(shù)據(jù)可能存在無限制的訪問權(quán)，小米透明度報告也證實這一點。c.違反CFR第47編：i.缺少專門、獨立、有能力的數(shù)據(jù)保護機構(gòu)。ii.中國司法對數(shù)據(jù)處理活動的監(jiān)督有限。8投訴/禁用/處罰對象投訴主體監(jiān)管機構(gòu)及其行動基本情況iii.執(zhí)法機構(gòu)或國家安全機關(guān)請求訪問個人數(shù)據(jù)時，數(shù)據(jù)主體無法了解此類請求如何被批準。iv.中國數(shù)據(jù)保護法律的范圍和適用不明確，數(shù)據(jù)主體權(quán)利行使情況不明確。3.投訴請求：a.請求HDPA展開全面調(diào)查。b.暫停向中國的數(shù)據(jù)傳輸。c.責令被投訴方的數(shù)據(jù)處理活動遵從GDPR第五章。d.處以罰款。小米NOYB希臘希臘數(shù)據(jù)保護局（HDPA）91.事實要點：a.權(quán)利響應(yīng)不到位：按照公司提供的行權(quán)渠道提出了驗證其數(shù)據(jù)是否被傳輸?shù)街袊囊?，公司僅提供有限的處理個人數(shù)據(jù)清單，投訴人進一步提出訪問請求，公司仍未對數(shù)據(jù)跨境傳輸情況回應(yīng)。b.隱私政策表明數(shù)據(jù)可能傳輸至中國并被中國政府訪問：i.隱私政策表明投訴人的任何個人數(shù)據(jù)都可能被傳輸?shù)蕉鄠€第三國，包括中國，并可能被中國政府部門獲取。ii.小米集團的透明度報告表明其收到中國不同政府機構(gòu)數(shù)千條2025.1.169https://noyb.eu/sites/default/files/2025-01/Mi9投訴/禁用/處罰對象投訴主體監(jiān)管機構(gòu)及其行動基本情況有關(guān)用戶數(shù)據(jù)的請求，且這些請求幾乎都會被批準。2.投訴原因：違反GDPR第五章，投訴人無法了解是否有采取什么補充措施克服立法問題或數(shù)據(jù)保護水平不對等的問題a.違反GDPR第五章數(shù)據(jù)跨境傳輸要求：i.缺乏充分性認定。ii.缺乏基本等同的數(shù)據(jù)保護水平，即沒有遵從CFR第7、8、47編做到相應(yīng)要求，包括提供可執(zhí)行的數(shù)據(jù)保護權(quán)利、提供有效的法律救濟、保證執(zhí)法部門和國家安全部門對個人數(shù)據(jù)的訪問受到限制。b.違反CFR第7、8編：i.SCC僅約束商業(yè)數(shù)據(jù)傳輸，并不約束數(shù)據(jù)控制者和中國當局之間的數(shù)據(jù)傳輸關(guān)系。ii.中國法律要求中國企業(yè)履行數(shù)據(jù)本地化義務(wù)，而數(shù)據(jù)向中國境外的跨境傳輸需取得CAC許可，但CAC對數(shù)據(jù)傳輸授權(quán)決定享有自由裁量權(quán)。iii.根據(jù)《數(shù)據(jù)安全法》第35條和《國家安全法》第11條，中國當局對公司處理的個人數(shù)據(jù)可能存在無限制的訪問權(quán)，小米透明度報告也證實這一點。c.違反CFR第47編：i.缺少專門、獨立、有能力的數(shù)據(jù)保護機構(gòu)。投訴/禁用/處罰對象投訴主體監(jiān)管機構(gòu)及其行動基本情況ii.中國司法對數(shù)據(jù)處理活動的監(jiān)督有限。iii.執(zhí)法機構(gòu)或國家安全機關(guān)請求訪問個人數(shù)據(jù)時，數(shù)據(jù)主體無法了解此類請求如何被批準。iv.中國數(shù)據(jù)保護法律的范圍和適用不明確，數(shù)據(jù)主體權(quán)利行使情況不明確。3.投訴請求：a.請求HDPA展開全面調(diào)查。b.暫停向中國的數(shù)據(jù)傳輸。c.責令被投訴方的數(shù)據(jù)處理活動遵從GDPR第五章。d.處以罰款。SHEINNOYB意大利意大利個人數(shù)據(jù)保護局（Garante）101.事實要點：a.權(quán)利響應(yīng)不到位：按照公司提供的行權(quán)渠道提出了驗證其數(shù)據(jù)是否被傳輸?shù)街袊囊螅緝H提供有限的處理個人數(shù)據(jù)清單，投訴人進一步提出訪問請求，公司仍未對數(shù)據(jù)跨境傳輸情況回應(yīng)。b.隱私政策表明數(shù)據(jù)可能傳輸至中國并被中國政府訪問：i.隱私政策表明數(shù)據(jù)可能被傳輸?shù)狡髽I(yè)集團的其他附屬公司，而部分SHEIN集團子公司在中國設(shè)立，可見數(shù)據(jù)將傳輸?shù)街?025.1.1610https://noyb.eu/sites/default/files/2025-01/SHEIN_complai投訴/禁用/處罰對象投訴主體監(jiān)管機構(gòu)及其行動基本情況國，并允許中國主管機關(guān)或法院合理請求訪問。ii.小米集團的透明度報告表明其收到中國不同政府機構(gòu)數(shù)千條有關(guān)用戶數(shù)據(jù)的請求，且這些請求幾乎都會被批準。c.數(shù)據(jù)控制者不真實存在：隱私政策表明的數(shù)據(jù)控制者只是信箱地址，并非可實際決定數(shù)據(jù)處理的目的和方式的公司主體。2.投訴原因：違反GDPR第五章，投訴人無法了解是否有采取什么補充措施克服立法問題或數(shù)據(jù)保護水平不對等的問題a.違反GDPR第五章數(shù)據(jù)跨境傳輸要求：i.缺乏充分性認定。ii.缺乏基本等同的數(shù)據(jù)保護水平，即沒有遵從CFR第7、8、47編做到相應(yīng)要求，包括提供可執(zhí)行的數(shù)據(jù)保護權(quán)利、提供有效的法律救濟、保證執(zhí)法部門和國家安全部門對個人數(shù)據(jù)的訪問受到限制。b.違反CFR第7、8編：i.SCC僅約束商業(yè)數(shù)據(jù)傳輸，并不約束數(shù)據(jù)控制者和中國當局之間的數(shù)據(jù)傳輸關(guān)系。ii.中國法律要求中國企業(yè)履行數(shù)據(jù)本地化義務(wù)，而數(shù)據(jù)向中國境外的跨境傳輸需取得CAC許可，但CAC對數(shù)據(jù)傳輸授權(quán)決定享有自由裁量權(quán)。iii.根據(jù)《數(shù)據(jù)安全法》第35條和《國家安全法》第11條，中國當局對公司處理的個人數(shù)據(jù)可能存在無限制的訪問權(quán)，小投訴/禁用/處罰對象投訴主體監(jiān)管機構(gòu)及其行動基本情況米透明度報告也證實這一點。c.違反CFR第47編：i.缺少專門、獨立、有能力的數(shù)據(jù)保護機構(gòu)。ii.中國司法對數(shù)據(jù)處理活動的監(jiān)督有限。iii.執(zhí)法機構(gòu)或國家安全機關(guān)請求訪問個人數(shù)據(jù)時，數(shù)據(jù)主體無法了解此類請求如何被批準。iv.中國數(shù)據(jù)保護法律的范圍和適用不明確，數(shù)據(jù)主體權(quán)利行使情況不明確。3.投訴請求：a.請求展開全面調(diào)查。b.暫停向中國的數(shù)據(jù)傳輸。c.責令被投訴方的數(shù)據(jù)處理活動遵從GDPR第五章。d.處以罰款。速賣通NOYB比利時數(shù)據(jù)保護局（GBA）111.事實要點：a.權(quán)利響應(yīng)不到位：按照公司提供的行權(quán)渠道提出了驗證其數(shù)據(jù)是否被傳輸?shù)街袊囊?，公司提供的是損壞的文件，投訴人進一步請求后，也只獲得了下載副本的可能性說明，而無實際副本，2025.1.1611https://noyb.eu/sites/default/files/2025-01/Aliexpress_complaint投訴/禁用/處罰對象投訴主體監(jiān)管機構(gòu)及其行動基本情況且公司并未對數(shù)據(jù)跨境傳輸情況回應(yīng)。b.隱私政策表明數(shù)據(jù)可能傳輸至中國并被中國政府訪問：i.未明確表示數(shù)據(jù)跨境傳輸?shù)木唧w目的地，其中可能涉及的服務(wù)提供商或其他關(guān)聯(lián)公司在中國設(shè)立，數(shù)據(jù)可能傳輸至中國，并可能允許中國主管機關(guān)基于合法請求訪問。ii.小米集團的透明度報告表明其收到中國不同政府機構(gòu)數(shù)千條有關(guān)用戶數(shù)據(jù)的請求，且這些請求幾乎都會被批準。c.數(shù)據(jù)控制者不真實存在：隱私政策表明的數(shù)據(jù)控制者只是信箱地址，并非可實際決定數(shù)據(jù)處理的目的和方式的公司主體。2.投訴原因：違反GDPR第五章，投訴人無法了解是否有采取什么補充措施克服立法問題或數(shù)據(jù)保護水平不對等的問題a.違反GDPR第五章數(shù)據(jù)跨境傳輸要求：i.缺乏充分性認定。ii.缺乏基本等同的數(shù)據(jù)保護水平，即沒有遵從CFR第7、8、47編做到相應(yīng)要求，包括提供可執(zhí)行的數(shù)據(jù)保護權(quán)利、提供有效的法律救濟、保證執(zhí)法部門和國家安全部門對個人數(shù)據(jù)的訪問受到限制。b.違反CFR第7、8編：i.SCC僅約束商業(yè)數(shù)據(jù)傳輸，并不約束數(shù)據(jù)控制者和中國當局之間的數(shù)據(jù)傳輸關(guān)系。投訴/禁用/處罰對象投訴主體監(jiān)管機構(gòu)及其行動基本情況ii.中國法律要求中國企業(yè)履行數(shù)據(jù)本地化義務(wù)，而數(shù)據(jù)向中國境外的跨境傳輸需取得CAC許可，但CAC對數(shù)據(jù)傳輸授權(quán)決定享有自由裁量權(quán)。iii.根據(jù)《數(shù)據(jù)安全法》第35條和《國家安全法》第11條，中國當局對公司處理的個人數(shù)據(jù)可能存在無限制的訪問權(quán)，小米透明度報告也證實這一點。c.違反CFR第47編：i.缺少專門、獨立、有能力的數(shù)據(jù)保護機構(gòu)。ii.中國司法對數(shù)據(jù)處理活動的監(jiān)督有限。iii.執(zhí)法機構(gòu)或國家安全機關(guān)請求訪問個人數(shù)據(jù)時，數(shù)據(jù)主體無法了解此類請求如何被批準。iv.中國數(shù)據(jù)保護法律的范圍和適用不明確，數(shù)據(jù)主體權(quán)利行使情況不明確。3.投訴請求：a.請求展開全面調(diào)查。b.暫停向中國的數(shù)據(jù)傳輸。c.責令被投訴方的數(shù)據(jù)處理活動遵從GDPR第五章。d.處以罰款。微信NOYB荷蘭荷蘭數(shù)據(jù)保護局（AP）1.事實要點：2025.1.16投訴/禁用/處罰對象投訴主體監(jiān)管機構(gòu)及其行動基本情況a.權(quán)利響應(yīng)不到位：按照公司提供的行權(quán)渠道提出了驗證其數(shù)據(jù)是否被傳輸?shù)街袊囊螅静⑽磳?shù)據(jù)跨境傳輸情況回應(yīng)。b.隱私政策表明數(shù)據(jù)可能傳輸至中國并被中國政府訪問：i.未明確表示數(shù)據(jù)跨境傳輸?shù)木唧w目的地，但可能被傳輸至騰訊某個辦公室或數(shù)據(jù)中心，包括位于中國的總部、服務(wù)提供商等，并可能允許中國主管機關(guān)基于合法請求訪問。ii.小米集團的透明度報告表明其收到中國不同政府機構(gòu)數(shù)千條有關(guān)用戶數(shù)據(jù)的請求，且這些請求幾乎都會被批準。c.數(shù)據(jù)控制者不真實存在：隱私政策表明的數(shù)據(jù)控制者只是信箱地址，并非可實際決定數(shù)據(jù)處理的目的和方式的公司主體。2.投訴原因：違反GDPR第五章，投訴人無法了解是否有采取什么補充措施克服立法問題或數(shù)據(jù)保護水平不對等的問題a.違反GDPR第五章數(shù)據(jù)跨境傳輸要求：i.缺乏充分性認定。ii.缺乏基本等同的數(shù)據(jù)保護水平，即沒有遵從CFR第7、8、47編做到相應(yīng)要求，包括提供可執(zhí)行的數(shù)據(jù)保護權(quán)利、提供有效的法律救濟、保證執(zhí)法部門和國家安全部門對個人數(shù)據(jù)的訪問受到限制。b.違反CFR第7、8編：12https://noyb.eu/sites/default/files/2025-01/WeChat_complaint投訴/禁用/處罰對象投訴主體監(jiān)管機構(gòu)及其行動基本情況i.SCC僅約束商業(yè)數(shù)據(jù)傳輸，并不約束數(shù)據(jù)控制者和中國當局之間的數(shù)據(jù)傳輸關(guān)系。ii.中國法律要求中國企業(yè)履行數(shù)據(jù)本地化義務(wù)，而數(shù)據(jù)向中國境外的跨境傳輸需取得CAC許可，但CAC對數(shù)據(jù)傳輸授權(quán)決定享有自由裁量權(quán)。iii.根據(jù)《數(shù)據(jù)安全法》第35條和《國家安全法》第11條，中國當局對公司處理的個人數(shù)據(jù)可能存在無限制的訪問權(quán)，小米透明度報告也證實這一點。c.違反《美國聯(lián)邦法規(guī)》第47編：i.缺少專門、獨立、有能力的數(shù)據(jù)保護機構(gòu)。ii.中國司法對數(shù)據(jù)處理活動的監(jiān)督有限。iii.執(zhí)法機構(gòu)或國家安全機關(guān)請求訪問個人數(shù)據(jù)時，數(shù)據(jù)主體無法了解此類請求如何被批準。iv.中國數(shù)據(jù)保護法律的范圍和適用不明確，數(shù)據(jù)主體權(quán)利行使情況不明確。3.投訴請求：a.請求展開全面調(diào)查。b.暫停向中國的數(shù)據(jù)傳輸。c.責令被投訴方的數(shù)據(jù)處理活動遵從GDPR第五章。d.處以罰款。投訴/禁用/處罰對象投訴主體監(jiān)管機構(gòu)及其行動基本情況NOYB奧地利奧地利數(shù)據(jù)保護機構(gòu)（DSB）131.事實要點：a.權(quán)利響應(yīng)不到位：按照公司提供的行權(quán)渠道提出了驗證其數(shù)據(jù)是否被傳輸?shù)街袊囊螅緝H提供了有限的個人數(shù)據(jù)副本，但公司并未對數(shù)據(jù)跨境傳輸情況回應(yīng)。b.隱私政策表明數(shù)據(jù)可能傳輸至中國并被中國政府訪問：i.未明確表示數(shù)據(jù)跨境傳輸?shù)木唧w目的地，但可能被傳輸?shù)疥P(guān)聯(lián)公司，Temu與中國有明確的關(guān)聯(lián)利益，并可能允許中國主管機關(guān)基于合法請求訪問。ii.小米集團的透明度報告表明其收到中國不同政府機構(gòu)數(shù)千條有關(guān)用戶數(shù)據(jù)的請求，且這些請求幾乎都會被批準。c.數(shù)據(jù)控制者不真實存在：隱私政策表明的數(shù)據(jù)控制者只是信箱地址，并非可實際決定數(shù)據(jù)處理的目的和方式的公司主體。2.投訴原因：違反GDPR第五章，投訴人無法了解是否有采取什么補充措施克服立法問題或數(shù)據(jù)保護水平不對等的問題a.違反GDPR第五章數(shù)據(jù)跨境傳輸要求：i.缺乏充分性認定。ii.缺乏基本等同的數(shù)據(jù)保護水平，即沒有遵從CFR第7、8、47編做到相應(yīng)要求，包括提供可執(zhí)行的數(shù)據(jù)保護權(quán)利、提供有效的法律救濟、保證執(zhí)法部門和國家安全部門對個人數(shù)據(jù)的2025.1.1613https://noyb.eu/sites/default/files/2025-01/TEMU_complaint投訴/禁用/處罰對象投訴主體監(jiān)管機構(gòu)及其行動基本情況訪問受到限制。b.違反CFR第7、8編：i.SCC僅約束商業(yè)數(shù)據(jù)傳輸，并不約束數(shù)據(jù)控制者和中國當局之間的數(shù)據(jù)傳輸關(guān)系。ii.中國法律要求中國企業(yè)履行數(shù)據(jù)本地化義務(wù)，而數(shù)據(jù)向中國境外的跨境傳輸需取得CAC許可，但CAC對數(shù)據(jù)傳輸授權(quán)決定享有自由裁量權(quán)。iii.根據(jù)《數(shù)據(jù)安全法》第35條和《國家安全法》第11條，中國當局對公司處理的個人數(shù)據(jù)可能存在無限制的訪問權(quán)，小米透明度報告也證實這一點。c.違反CFR第47編：i.缺少專門、獨立、有能力的數(shù)據(jù)保護機構(gòu)。ii.中國司法對數(shù)據(jù)處理活動的監(jiān)督有限。iii.執(zhí)法機構(gòu)或國家安全機關(guān)請求訪問個人數(shù)據(jù)時，數(shù)據(jù)主體無法了解此類請求如何被批準。iv.中國數(shù)據(jù)保護法律的范圍和適用不明確，數(shù)據(jù)主體權(quán)利行使情況不明確。3.投訴請求：a.請求展開全面調(diào)查。b.暫停向中國的數(shù)據(jù)傳輸。投訴/禁用/處罰對象投訴主體監(jiān)管機構(gòu)及其行動基本情況c.責令被投訴方的數(shù)據(jù)處理活動遵從GDPR第五章。d.處以罰款。歐洲消費者組織BEUC歐盟歐盟委員會及17個歐盟國家主管部1.事實背景：2024年5月16日，電商巨頭拼多多旗下跨境電商平臺Temu收到17個歐洲消費者利益團體的聯(lián)合投訴，要求歐盟根據(jù)《數(shù)字服務(wù)法》(DSA)將Temu緊急指定為“超大在線平臺（VLOP）”。Temu被投訴的主要問題包括該平臺上網(wǎng)店銷售的產(chǎn)品與供應(yīng)商的描述不符，涉嫌收集消費者隱私數(shù)據(jù)等，平臺對此沒有嚴格管理。2.其中涉及數(shù)據(jù)隱私的投訴要點主要包括：a.隱私政策存在缺陷，沒有指明DPO，數(shù)據(jù)主體難以行權(quán)。b.廣泛共享用戶數(shù)據(jù)，包括與母公司、關(guān)聯(lián)公司共享，增加數(shù)據(jù)安全風險。c.Cookie使用存在問題，將非必要的cookie歸類為嚴格必要的cookie，進行不必要的數(shù)據(jù)處理，強制用戶接受數(shù)據(jù)處理，剝奪用戶自由選擇的權(quán)利。d.跟蹤方式不合規(guī)，大量采用URL跟蹤等其他跟蹤形式但未告知用戶并取得用戶同意，且部分跟蹤超出了為用戶提供服務(wù)所必需的范圍。2024.5.16DeepSeek/意大利意大利數(shù)據(jù)保護局已禁1.事實背景：a.2025年1月28日，意大利監(jiān)管部門向DeepSeek請求獲取數(shù)據(jù)處2025.1.3014https://www.beuc.eu/sites/default/files/publications/BEUC-X-2024-046_Temu_Why_the_fast-growing_online_marketplace_fails_to_co投訴/禁用/處罰對象投訴主體監(jiān)管機構(gòu)及其行動基本情況用15理情況相關(guān)信息，包括數(shù)據(jù)類型、來源、處理目的、處理依據(jù)、存儲地點是否在中國、哪些信息被用于AI訓練等，并要求DeepSeek在20天內(nèi)提供信息。b.2025年1月30日，DeepSeek表示其不在意大利運營，歐洲立法不適用，而意大利監(jiān)管部門收到DeepSeek提供的信息內(nèi)容后，緊急限制DeepSeek的使用。2.禁用原因：a.DeepSeek未說明其服務(wù)范圍內(nèi)個人數(shù)據(jù)處理活動的主要方面。b.DeepSeek的隱私政策只有英文版本，未全面履行告知義務(wù)。c.隱私政策未詳細明確地說明DeepSeek服務(wù)范圍內(nèi)每項個人數(shù)據(jù)處理活動的合法性基礎(chǔ)。d.DeepSeek服務(wù)范圍內(nèi)個人數(shù)據(jù)處理活動信息的缺失，對用戶權(quán)利的行使也產(chǎn)生了明顯影響。e.數(shù)據(jù)控制者在提供DeepSeek服務(wù)過程中收集的數(shù)據(jù)存儲在中國，這違反了保障措施相關(guān)規(guī)定。f.盡管數(shù)據(jù)控制者因提供的服務(wù)（依據(jù)GDPR第3條第2款）有義務(wù)遵守GDPR，但未在歐盟書面指定代表。/愛爾蘭愛爾蘭數(shù)據(jù)保護委員請求信息中162025年1月29日，愛爾蘭數(shù)據(jù)保護委員會表示已向DeepSeek索取愛爾蘭用戶相關(guān)數(shù)據(jù)處理信息。2025.1.29Testaankoop比利時數(shù)據(jù)保護局1.投訴要點：a.在缺少跨境傳輸保障機制的情況下，向中國非法傳輸個人數(shù)據(jù)，2025.1.3115https://www.garanteprivacy.it/home/docweb/-/docweb-d16/technology/irish-data-regulator-requests-information-deepseek-data-p投訴/禁用/處罰對象投訴主體監(jiān)管機構(gòu)及其行動基本情況（GBA）啟動調(diào)查17中國當局訪問數(shù)據(jù)的情況未公開。b.隱私政策中關(guān)于數(shù)據(jù)存儲和處理的信息不明，政策不合規(guī)。c.沒有具體說明用戶數(shù)據(jù)用于分析還是自動決策。d.不保證保護未成年人。/法國國家信息與自由委員會（CNIL）分析工具并請求信息中18CNIL標識正式宣布，將對該企業(yè)進行深入問詢，深入分析該產(chǎn)品。2025.2.3/盧森堡國家數(shù)據(jù)保護委員會（CNPD）表示高度警惕，探索DeepSeek的可能性191.CNPD的擔憂：a.沒有充分保證的情況下收集和處理數(shù)據(jù)，用戶提供的數(shù)據(jù)可在沒有明確數(shù)據(jù)保護框架下被記錄、傳輸、存儲或分析。b.數(shù)據(jù)主體難以通過GDPR行使權(quán)利。c.歐盟沒有DeepSeek的代表實體，缺乏對遵守RGPD的明確保證，缺乏人工治理的透明度，第三方可能參與數(shù)據(jù)管理。d.未在歐盟境內(nèi)成立數(shù)據(jù)控制者，沒有在歐盟任命法定代表。2.CNPD建議：a.避免安裝DeepSeek模型及其配置文件。b.使用在線頁面，不提供個人或機密數(shù)據(jù)。c.提高專業(yè)領(lǐng)域員工和互聯(lián)網(wǎng)用戶對使用人工智能風險的認識。2025.2.317https://www.test-achats.be/famille-prive/protection-vie-privee/news/deepseek，https://www.brusselviolations-by-deepse18https://www.euractiv.fr/section/donnees/news/deepseek-inquiete-les-autorites-europeennes-de-p19https://cnpd.public.lu/en/actualites/national/投訴/禁用/處罰對象投訴主體監(jiān)管機構(gòu)及其行動基本情況d.支持使用歐洲監(jiān)管框架（RGPD、AI法案）下的AI工具，尊重數(shù)據(jù)保護原則，并可保證安全和隱私。/荷蘭荷蘭數(shù)據(jù)保護局展開調(diào)查中201.禁止公務(wù)員使用DeepSeek。2.敦促公民謹慎使用DeepSeek。2025.2.1DECOPROteste葡萄牙葡萄牙數(shù)據(jù)保護局211.事實背景：DECOPROteste向國家數(shù)據(jù)保護委員會（CNPD）提出了投訴，認為DeepSeek違反數(shù)據(jù)保護法規(guī)2.投訴原因：a.個人數(shù)據(jù)的傳輸和處理：隱私政策表明數(shù)據(jù)存儲在中國，但未說明保障措施，中國法律要求公司向國家當局提供個人數(shù)據(jù)訪問權(quán)限，也未保證透明度和相稱性，數(shù)據(jù)存儲期限、用戶行權(quán)方式、數(shù)據(jù)類別等均未明確。b.隱私政策未說明是否將用戶數(shù)據(jù)用于AI模型訓練、提供自動決策等，沒有提供必要保證。c.未提供用戶年齡驗證措施，或未經(jīng)父母同意從未成年人收集的數(shù)據(jù)處理方案。3.請求：暫時限制DeepSeek處理個人數(shù)據(jù)，強調(diào)數(shù)據(jù)處理的非法性。2025.2.4HomoDigitalis希臘希臘個人數(shù)據(jù)保護局221.事實背景：HomoDigitalis向希臘個人數(shù)據(jù)保護局（HDPA）提交了一份請求（參考編號865/30-01-2025要求根據(jù)《通用數(shù)據(jù)保護條例》20https://www.euractiv.fr/section/donnees/news/deepseek-inquiete-les-autorites-europeennes-de-proteprotection-authority-warns-chinese-ch21teste.pt/tecnologia/computadores/noticias/deepseek-q22https://homodigitalis.投訴/禁用/處罰對象投訴主體監(jiān)管機構(gòu)及其行動基本情況（GDPR）第58條，對希臘境內(nèi)的數(shù)據(jù)主體使用Deepseek平臺行使調(diào)查權(quán)。2.投訴要點：a.未在歐盟境內(nèi)制定代表。b.將個人數(shù)據(jù)存儲于中國，卻未履行數(shù)據(jù)跨境傳輸機制。c.未明確數(shù)據(jù)處理的法律依據(jù)。d.未提供充分且詳細的數(shù)據(jù)處理和權(quán)利信息，包括數(shù)據(jù)畫像信息。e.未說明是否在父母或監(jiān)護人同意的情況下才處理未成年人個人數(shù)據(jù)。3.投訴請求：a.要求DeepSeek提供數(shù)據(jù)處理的所有信息。b.對DeepSeek的數(shù)據(jù)處理活動加以限制。/德國德國個人數(shù)據(jù)保護局，各州協(xié)調(diào)行動中23萊茵藍-普法爾茨州確認開展調(diào)查，但未正式展開。/23https://www.euractiv.fr/section/donnees/news/deepseek-inquiete-les-autorites-europeennes-de-pro投訴/禁用/處罰對象監(jiān)管機構(gòu)及其行基本情況TikTok美國聯(lián)邦政府機構(gòu)禁用24政府公務(wù)手機和系統(tǒng)必須移除TikTok。2023.2美國FTC起訴251.2024年8月2日，美國聯(lián)邦貿(mào)易委員會(FTC)宣布對TikTok及其母公司字節(jié)跳動以及附屬公司（統(tǒng)稱為TikTok）提起訴訟，指控其違反了1998年《兒童在線隱私保護法》（COPPA）并侵犯了2019年與Musical.ly達成的命令2.FTC規(guī)定TikTok違反了COPPA和COPPA規(guī)則，具體如下：a.故意為兒童創(chuàng)建賬戶并收集兒童的數(shù)據(jù)，而未事先通知其父母并獲得可驗證的父母同意；b.不履行父母刪除其子女賬戶和信息的要求；以及c.未刪除明知是兒童的用戶的賬戶和信息；d.為父母要求刪除子女數(shù)據(jù)制定了不合理的流程，需要多個步驟才能提交刪除請求。2024.8.2美國拜登簽署法案封禁TikTok，TikTok起訴法案1.事件情況：a.2024年4月，拜登以“保護國家安全”為由，簽署《保護美國人免受外國對手控制的應(yīng)用程序法案》，要求字節(jié)跳動在2025年1月19日前將/24/25/system/files/ftc_gov/pdf/byted投訴/禁用/處罰對象監(jiān)管機構(gòu)及其行基本情況違憲，最高法院裁決認定該法案不違憲26TikTok出售給非中國企業(yè)，否則將在美國被禁用TikTok。b.2024年5月，TikTok和字節(jié)跳動向美國聯(lián)邦法院提起訴訟，要求裁定旨在封禁TikTok的法案違憲，并阻止該法律的執(zhí)行。c.2025年1月17日，美國聯(lián)邦最高法院裁定封禁TikTok法案不違憲，這意味著聯(lián)邦最高法院允許該法案按原計劃于19日生效。d.2025年1月18日，美國候任總統(tǒng)特朗普表示，他“很可能”會在20日上任當天給予TikTok90天寬限期，以暫時避免其在美國被禁。e.2025年1月19日，TikTok停止在美服務(wù)，母公司字節(jié)跳動旗下的多個應(yīng)用軟件停止在美服務(wù)。后因特朗普發(fā)布聲明表示阻止TikTok關(guān)停的公司將不承擔法律責任，TikTok在關(guān)停約12小時后重新上線。DeepSeek/部分機構(gòu)已禁用271.宇航局：向員工表示DeepSeek的服務(wù)器運營商在美國境外運營，存在國家安全和隱私問題，并要求DeepSeek及其產(chǎn)品和服務(wù)不可與美國宇航局的數(shù)據(jù)和信息一起使用，或用于政府發(fā)放的設(shè)備和網(wǎng)絡(luò)。2.五角大樓：據(jù)報道，五角大樓的一些工作屏幕上顯示DeepSeek“網(wǎng)站被封鎖”標志。3.德克薩斯州Abbott在一份簡短的聲明中表示：“德克薩斯州不會允許中國通過數(shù)據(jù)收集人工智能和社交媒體應(yīng)用程序滲透到我們州的關(guān)鍵基礎(chǔ)設(shè)施中?！?025.126/s/E427/2025/01/31/nasa-becomes-latest-federal-agency-to-block-/news/articles/2025-01-30/pentag/2025/01/28/us-navy-restricts-use-of-deepseek-ai-imperative-to-投訴/禁用/處罰對象監(jiān)管機構(gòu)及其行基本情況“德克薩斯州將繼續(xù)保護和保衛(wèi)我們的州免受敵對的外國行為者的侵害?！?.1月下旬，美國海軍禁止軍人“以任何身份”使用DeepSeek產(chǎn)品，因為“與[技術(shù)]的起源和使用相關(guān)的潛在安全和道德問題”。成員“必須”不要將DeepSeek的人工智能“用于任何與工作相關(guān)的任務(wù)或個人使用”，并“避免下載、安裝或使用[DeepSeekAI]”。米哈游《原神》美國FTC罰款281.事實背景：FTC對米哈游的子公司提起訴訟，認為米哈游旗下游戲《原神》，違反了《兒童在線隱私保護法》（COPPA要求米哈游賠償2000萬美元，指控其盡管知道13歲以下的兒童正在使用其服務(wù)，但它繼續(xù)從兒童那里收集個人信息，并在未經(jīng)父母同意或遵守其他COPPA要求的情況下使用這些信息。2.和解結(jié)果：基于《聯(lián)邦貿(mào)易委員會法》和COPPA，F(xiàn)TC與米哈游的子公司同意和解。米哈游的子公司需要繳納罰款，并改進抽卡機制和保護未成年人隱私，加入年齡限制并采取措施便于家長監(jiān)督。2025.1.17美國阿肯德州阿肯德州總檢察長起訴291.2024年6月25日，阿肯色州總檢察長宣布起訴Temu的母公司PDDHoldingsInc.和WhaleCoInc.。2.起訴認為Temu：a.未告知用戶，超出必要范圍不合理收集用戶個人信息；b.在隱私政策進行虛假描述；2024.7.128/news-events/news/press-releases/2025/01/genshin-impact-game-developer-will-be-banned-selling-lootboxes-teens-under29/wp-content/uploads/2024-06-25-Temu-12CV-24投訴/禁用/處罰對象監(jiān)管機構(gòu)及其行基本情況c.母公司的大部分業(yè)務(wù)運營和子公司仍在中國大陸境內(nèi)，總檢察長認為個人數(shù)據(jù)有可能會被中國官方未經(jīng)授權(quán)訪問；d.侵犯阿肯色州居民的隱私權(quán)和對移動設(shè)備上個人數(shù)據(jù)隱私的合理期望；e.缺少年齡驗證措施，未經(jīng)父母或監(jiān)護人同意收集包括13歲以下未成年人的個人信息，未采取措施。美國21個州美國21個州檢察長聯(lián)合發(fā)出調(diào)查1.事件背景：2024年8月15日，蒙大拿州檢察長AustinKnudsen牽頭，美國21個州的檢察長辦公室聯(lián)合行動，向Temu及其母公司PDDHoldingsInc.發(fā)出調(diào)查函。2.涉及數(shù)據(jù)處理的調(diào)查內(nèi)容包括：a.Temu和母公司拼多多是否收集美國消費者數(shù)據(jù)，如是請說明數(shù)據(jù)b.美國消費者數(shù)據(jù)是如何保存、存儲，提供相應(yīng)的網(wǎng)絡(luò)安全、數(shù)據(jù)保留、存儲政策文件，說明為防止第三方訪問而采取的安全措施。c.中共或政府機關(guān)是否要求提供Temu或母公司收集的美國公民數(shù)據(jù)，d.消費者請求刪除數(shù)據(jù)或停用賬戶后，Temu和母公司還會保留哪些數(shù)據(jù)？2024.8.1530/sites/default/files/2024-08/Temu-Request-Letter-final-with投訴/禁用/處罰對象監(jiān)管機構(gòu)及其行基本情況e.Temu或拼多多控股公司是否出售美國消費者數(shù)據(jù)，如是，請說明購買者、采取的保護措施、零售銷售的利潤占比和出售給第三方的利潤占f.母公司高管中的中共黨員是否有權(quán)訪問Temu持有的美國消費者數(shù)3.函件發(fā)出之日起30日內(nèi)，Temu需提供說明。TP-Link美國議員敦促調(diào)查312024年，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）稱TP-Link路由器有漏洞，可能被黑客利用控制路由器，威脅用戶網(wǎng)絡(luò)安全。美國眾議院中國問題特別委員會的兩位議員稱TP-Link產(chǎn)品廣泛應(yīng)用于美國重要網(wǎng)絡(luò)基礎(chǔ)設(shè)施，若存在漏洞，將進而威脅國家安全，要求對TP-Link及其關(guān)聯(lián)公司進行調(diào)查，美國商務(wù)部、國防部和司法部已對TP-Link展開單獨調(diào)查，商務(wù)部還向TP-Link發(fā)出了傳票。2024.5工業(yè)網(wǎng)絡(luò)安全公司Claroty生產(chǎn)的中國產(chǎn)患者監(jiān)護儀美國CISA和FDA發(fā)布警告321.事實背景：2025年1月30日，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）和食品藥品監(jiān)督管理局（FDA）發(fā)布警告，稱中國生產(chǎn)的ContecCMS8000患者監(jiān)護儀存在“隱藏后門”，并指出該后門與中國的一個硬編碼IP地址相關(guān)，可能導致患者數(shù)據(jù)和固件更新的出站通信被濫用。2.Claroty公司澄清設(shè)備設(shè)計存在的不安全缺陷，否認“隱藏后門”的存在：2025.1.3031/world/us/us-lawmakers-urge-probe-wifi-router-maker-tp-link-over-fears-chines32/sites/default/files/2025-01/fact-sheet-contec-cms8000-contains-a-backdoor-508c.pdf；/tepatient-monitors-infected-with-a-chinese-backdoor-the-reality-is-more投訴/禁用/處罰對象監(jiān)管機構(gòu)及其行基本情況容易受到中間人（MiTM）攻擊，但該升級本d.患者數(shù)據(jù)的潛在泄露：設(shè)備用于傳輸患者數(shù)據(jù)的通信地址是可路由3.Claroty公司為使用該設(shè)備的組織提出建議：a.控制網(wǎng)絡(luò)流量，防止設(shè)備從外部升級固件或泄露患者數(shù)據(jù)。b.修改默認設(shè)置，避免使用硬編碼IP地址（19）配置系統(tǒng)，或通過靜態(tài)路由和網(wǎng)絡(luò)分段確保僅路由到CMS服務(wù)器。c.替換設(shè)備：使用更安全的設(shè)備替換。投訴/禁用/處罰對象監(jiān)管機構(gòu)及其行動基本情況DeepSeek澳大利亞政府設(shè)備和系統(tǒng)禁用33澳大利亞內(nèi)政部部長向所有政府實體發(fā)布了強制性指令，要求“防止使用或安裝DeepSeek產(chǎn)品、應(yīng)用程序和網(wǎng)絡(luò)服務(wù)，并從所有澳大利亞政府系統(tǒng)和設(shè)備中刪除所有現(xiàn)有的DeepSeek產(chǎn)品、應(yīng)用程序和網(wǎng)絡(luò)服務(wù)”。但該禁令并不適用于私人公民的設(shè)備。2025.2.533/tech/technology/australia-bans-deepseek-ai-program-on-government-devices/articl投訴/禁用/處罰對象監(jiān)管機構(gòu)及其行動基本情況TikTok加拿大政府移動設(shè)備已禁用34加拿大政府禁止政府發(fā)放的設(shè)備下載抖音，已安裝的應(yīng)用程序均需刪除，但不組織社會公眾使用。2023.2.7加拿大加拿大隱私專員辦公室（OPC）魁北克信息獲取委員會（CAI）不列顛哥倫比亞省信息和隱私專員辦公室（BCOIPC）阿爾伯塔省信息和隱私專員辦公室（AlbertaOIPC）351.事實背景：2023年2月23日，加拿大隱私專員辦公室（OPC）連同魁北克信息獲取委員會（CAI）、不列顛哥倫比亞省信息和隱私專員辦公室（BCOIPC）以及阿爾伯塔省信息和隱私專員辦公室（AlbertaOIPC）宣布對TikTokInc.展開聯(lián)合調(diào)查。2.調(diào)查內(nèi)容：a.用戶信息收集的同意有效性：審查TikTok在收集、使用和披露個人信息時，是否獲得了用戶有效且有意義的同意。b.透明度義務(wù)履行情況：確定TikTok在收集用戶個人信息時，是否履行了透明度義務(wù)，尤其是對年輕用戶的隱私保護措施是否到位。2023.2.24加拿大魁北克省律師起訴36起訴律師認為，Temu的應(yīng)用程序訪問用戶個人數(shù)據(jù)但未進行告知，同時處理數(shù)據(jù)的類型行為超出了提供服務(wù)功能所必需。202434https://www.canada.ca/en/treasury-board-secretariat/news/2023/02/statement-by-minister-fortier-announcing-a-ban-on-the-use-of-tiktok-on-35/technology/canadian-privacy-regulators-launch-joint-investigation-int36/ar投訴/禁用/處罰對象監(jiān)管機構(gòu)及其行動基本情況速賣通韓國個人信息保護委員會（PIPC）罰款并要求整1.事實背景：在用戶購買商品時，速賣通將用戶個人信息提供給國外的賣家，便于其配送商品，PIPC認為該行為應(yīng)取得數(shù)據(jù)主體同意并采取保障措施等。2.處罰原因：速賣通未告知數(shù)據(jù)跨境傳輸場景的具體信息，也未說明采取的保障措施，用戶行使權(quán)利的機制不便利。3.處罰結(jié)果：處以19億7,800萬韓元的罰款，并要求整改。2024.7.25TikTok韓國通信委員會和個人信息保護委員會調(diào)查中381.韓國通信委員會的官員表示，委員會將調(diào)查抖音的條款和條件及其應(yīng)用程序，確認是否在獲得用戶知情同意方面存在問題。2.PIPC也表示在調(diào)查TikTok是否存在違反其他法規(guī)。2024.10DeepSeek韓國個人信息保護委員會（PIPC）調(diào)查中391.事實要點：PIPC已向DeepSeek發(fā)送質(zhì)詢函，請求信息包括個人信息處理主體、收集類型、收集目的、處理方式、是否共享等，該過程需要通過多個渠道進行多次質(zhì)詢和回復。2.提示：PIPC建議公眾在發(fā)布調(diào)查結(jié)果前謹慎使用DeepSeek，并提供關(guān)于生成式人工智能的使用指南，提示應(yīng)當確認收集類型、切勿提供個人數(shù)據(jù)、定期刪除cookie數(shù)據(jù)等、使用二次認證的登錄手段等。2025.2.737https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C02038/news/2024-10-07/business/industry/Korean-authorities-accuse-TikTok-of-vio39https://pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010第?部分出海?數(shù)與??智能場景?險a.告知不合規(guī)i.隱私政策的語言版本不符合要求。ii.隱私政策未明確說明個人數(shù)據(jù)處理的合法性基礎(chǔ)。iii.