中国企业出海：网数合规案例分析报告

中国企业出海：⽹数合规案例分析报告汇业律师事务所1.本报告梳理了近年在海外被处罚、禁⽤、投诉的中国出海产品，涵盖TikTok、Temu、小⽶、微信、速卖通、DeepSeek等，海外国家或地区集中为英国、欧盟、美国、澳⼤利亚、加拿⼤、韩国等地。2.出海数据合规⻛险的关注点集中于以下⽅⾯：1)告知和同意义务的履⾏不合规；2)数据处理和共享超出业务所必需的必要范围；3)未在欧盟境内实际设⽴代表或者设⽴数据控制者；4)超出必要范围或未经⽤⼾同意处理cookie数据和其他营销数据；5)数据跨境传输⾄中国存在被中国政府当局⽆限制访问的⻛险，境外⽤⼾的数据难以在中国获得与GDPR同等⽔平的保护；6)境外⽤⼾的个⼈数据权利响应机制缺位；7)未经⽗⺟或监护⼈同意处理未成年⼈数据，未履⾏相应的告知义务，未设置年龄验证机制阻⽌未成年⼈不当使⽤产品，未向⽗⺟或监护⼈提供便捷的删除机制；8)未采取恰当的数据安全和⽹络安全措施，未及时监督和检查内部的数据管理流程；9)未对使⽤⼈⼯智能处理个⼈数据的情况进⾏说明以履⾏透明度义务。第⼀部分中国出海产品在海外被投诉/禁⽤/ 2 4 第⼆部分出海⽹数与⼈⼯智能场景⻛险 3.COOKIE和其他数据跟踪问题 4.数据控制者的真实性或欧盟境内代表的缺位 12投诉/禁用/处罚对象监管机构及其行动基本情况TikTok英国英国信息专员办公室（ICO）罚款11.事件背景：2018年5月至2020年7月期间，英国信息专员办公室（ICO）发现TikTok违反UKGDPR，大量13岁以下儿童使用其平台。2.违规情况a.儿童注册问题：尽管TikTok服务条款禁止13岁以下儿童创建账号，但ICO估计在2020年英国仍有多达140万13岁以下儿童使用了该平台，平台未能有效阻止这部分儿童注册。b.数据处理问题：TikTok在未经父母或监护人同意的情况下处理儿童数据，并且未能充分检查识别未成年用户持有的账户并删除。c.信息提供问题：未能以易于理解的方式向用户提供有关数据收集、使用和共享的适当信息，也未能确保英国用户的个人数据以合法、公平和透明的方式得到处理。3.处罚结果：2023年4月4日，ICO对TikTok信息技术英国有限公司和TikTok公司处以1270万英镑罚款。2023.4.4英国Ofcom罚款21.事件背景：2023年，Ofcom为撰写一份关于儿童在线安全的报告，要求TikTok提供其家长控制功能“家庭配对”的使用数据，以了解其平台为防止儿童接触到有害内容而采取的安全措施。2024.7.241.uk/about-the-ico/media-centre/news-and-blogs/2023/04/ico-fines-tiktok-127-million-for-misu2.uk/online-safety/protecting-children/tiktok-fined-1.875m-for-providing-inaccurate-dat3投诉/禁用/处罚对象监管机构及其行动基本情况2.违规情况：TikTok首次提交的数据不准确，Ofcom针对TikTok是否未履行回应法定信息要求的职责展开调查，发现TikTok存在数据管理流程失误，一方面内部检查不到位，导致提交的数据不准确；另一方面，TikTok从发现数据问题到提请Ofcom注意之间的时间间隔长达三个多星期。最终TikTok提交准确数据的时间距离原定截止日期超过七个月。3.处罚结果：TikTok的行为违反了《2003年通信法》第s368Z10条和第s368Y条规定的职责，即未能全面配合法定信息请求。Ofcom决定对TikTok处以187.5万英镑的罚款，该款项将上缴英国财政部。由于TikTok主动报告错误并积极采取措施改进内部流程，接受调查结果并同意和解，罚款金额较原计划削减了25%。4投诉/禁用/处罚对象投诉主体监管机构及其行动基本情况TikTok/法国法国CNIL罚款31.事实背景：CNIL在2020年5月至2022年6月期间对抖音网站（但不是其移动应用程序）进行调查，发现抖音信息技术英国有限公司和抖音技术有限公司未能遵守《法国数据保护法》第82条规定。2.处罚原因：在实践中，用户需几次单击才能拒绝所有cookie。抖音提供的拒绝同意机制阻止了用户拒绝cookie，反而鼓励他们接受所有cookie。CNIL认为用户非自愿同意，抖音违反了《法国数据保护法》第82条，同时用户也没有充分了解使用cookie的目的。3.处罚结果：罚款500万欧元。2022.12/意大利意大利竞争管理局（AGCM）罚款41.处罚原因：AGCM发现抖音传播的内容可能威胁到未成年人和其他弱势群体的身心安全，且没有采取充分措施避免，也未遵从其内部发布的安全指南，相应的指南也未考虑到未成年人的认知弱势。抖音通过基于用户算法分析的“推荐系统”传播上述有害的内容，增加用户黏性以提高广告收入。2.处罚原因：AGCM对抖音公司（TikTok）的罚款为1000万欧元（11002024.3.14/爱尔兰爱尔兰数据1.事实背景：DPC于2020年7月31日至2020年12月31日期间调查2023.93/article/cnil-fines-tiktok-5-million-euros-over-cookie-infringemen4https://www.agcm.it/media/comunicati-sta5投诉/禁用/处罚对象投诉主体监管机构及其行动基本情况保护委员会（DPC）罚款5TikTok遵守GDPR的情况，包括默认公开设置、“家庭配对”功能相关设置情况和年龄验证机制。2.处罚原因：a.儿童账户默认为公开，任何人均可查看儿童用户发布内容；b.“家庭配对”功能允许非儿童用户（无法被验证为父母或监护人）将其账户与儿童账户配对，非儿童用户可开启16岁以上儿童用户的直接功能消息；c.未能向儿童用户提供足够的透明度信息，包括公共账户内容可被非注册用户访问等，呈现信息内容模糊等；d.存在“暗黑模式”诱导用户在注册过程中和发布视频时选择不利于数据保护选项。3.处罚结果：处以3.45亿欧元（3.7亿美元）的罚款，并在三个月内整/欧盟欧盟委员会禁止在官方设备使用TikTok6委员会工作人员必须在2023年3月15日之前从工作设备和任何使用委员会应用程序和服务的个人设备中删除中国字节跳动拥有的短视频应用程序，并表示：“该措施旨在保护委员会免受网络安全威胁和可能被利用来对委员会公司环境进行网络攻击的行动。其他社交媒体平台的安全发展也将不断受到审查。”2023.2.235https://www.edpb.europa.eu/system/files/2023-09/final_decision_tiktok_in-21-9-1_-_redacted_86https://ec.europa.eu/commission/presscorner/6投诉/禁用/处罚对象投诉主体监管机构及其行动基本情况/荷兰荷兰数据保护局（AP）罚款71.处罚原因：抖音对荷兰用户（主要是儿童）提供的隐私声明仅有英文版本，而不提供荷兰语版本，未能充分解释个人数据处理情况。2.处罚结果：对侵犯幼儿隐私的抖音处以75万欧元的罚款。2021.7.22NOYB希腊希腊数据保护局（HDPA）81.事实背景：a.权利响应不到位：按照公司提供的行权渠道提出了验证其数据是否被传输到中国的要求，公司仅提供有限的处理个人数据清单，投诉人进一步提出访问请求，公司仍未对数据跨境传输情况回应。b.隐私政策表明数据可能传输至中国并被中国政府访问：i.未明确说明国际数据传输的具体地点，但在“我们的全球运营与数据传输：集团公司内的数据存储及有限远程访问”等多个页面内容中表明数据可能传输至中国，并可能允许中国执法官员获取用户数据。ii.小米集团的透明度报告表明其收到中国不同政府机构数千条有关用户数据的请求，且这些请求几乎都会被批准。c.数据控制者不真实存在：隐私政策表明的数据控制者只是信箱地址，并非可实际决定数据处理的目的和方式的公司主体。2.投诉原因：2025.1.167https://www.edpb.europa.eu/news/national-news/2021/dutch-dpa-tiktok-fined-violating8https://noyb.eu/sites/default/files/2025-01/TikTok_complaint7投诉/禁用/处罚对象投诉主体监管机构及其行动基本情况违反GDPR第五章，投诉人无法了解是否有采取什么补充措施克服立法问题或数据保护水平不对等的问题。a.违反GDPR第五章数据跨境传输要求：i.缺乏充分性认定。ii.缺乏基本等同的数据保护水平，即没有遵从CFR第7、8、47编做到相应要求，包括提供可执行的数据保护权利、提供有效的法律救济、保证执法部门和国家安全部门对个人数据的访问受到限制。b.违反CFR第7、8编：i.SCC仅约束商业数据传输，并不约束数据控制者和中国当局之间的数据传输关系。ii.中国法律要求中国企业履行数据本地化义务，而数据向中国境外的跨境传输需取得CAC许可，但CAC对数据传输授权决定享有自由裁量权。iii.根据《数据安全法》第35条和《国家安全法》第11条，中国当局对公司处理的个人数据可能存在无限制的访问权，小米透明度报告也证实这一点。c.违反CFR第47编：i.缺少专门、独立、有能力的数据保护机构。ii.中国司法对数据处理活动的监督有限。8投诉/禁用/处罚对象投诉主体监管机构及其行动基本情况iii.执法机构或国家安全机关请求访问个人数据时，数据主体无法了解此类请求如何被批准。iv.中国数据保护法律的范围和适用不明确，数据主体权利行使情况不明确。3.投诉请求：a.请求HDPA展开全面调查。b.暂停向中国的数据传输。c.责令被投诉方的数据处理活动遵从GDPR第五章。d.处以罚款。小米NOYB希腊希腊数据保护局（HDPA）91.事实要点：a.权利响应不到位：按照公司提供的行权渠道提出了验证其数据是否被传输到中国的要求，公司仅提供有限的处理个人数据清单，投诉人进一步提出访问请求，公司仍未对数据跨境传输情况回应。b.隐私政策表明数据可能传输至中国并被中国政府访问：i.隐私政策表明投诉人的任何个人数据都可能被传输到多个第三国，包括中国，并可能被中国政府部门获取。ii.小米集团的透明度报告表明其收到中国不同政府机构数千条2025.1.169https://noyb.eu/sites/default/files/2025-01/Mi9投诉/禁用/处罚对象投诉主体监管机构及其行动基本情况有关用户数据的请求，且这些请求几乎都会被批准。2.投诉原因：违反GDPR第五章，投诉人无法了解是否有采取什么补充措施克服立法问题或数据保护水平不对等的问题a.违反GDPR第五章数据跨境传输要求：i.缺乏充分性认定。ii.缺乏基本等同的数据保护水平，即没有遵从CFR第7、8、47编做到相应要求，包括提供可执行的数据保护权利、提供有效的法律救济、保证执法部门和国家安全部门对个人数据的访问受到限制。b.违反CFR第7、8编：i.SCC仅约束商业数据传输，并不约束数据控制者和中国当局之间的数据传输关系。ii.中国法律要求中国企业履行数据本地化义务，而数据向中国境外的跨境传输需取得CAC许可，但CAC对数据传输授权决定享有自由裁量权。iii.根据《数据安全法》第35条和《国家安全法》第11条，中国当局对公司处理的个人数据可能存在无限制的访问权，小米透明度报告也证实这一点。c.违反CFR第47编：i.缺少专门、独立、有能力的数据保护机构。投诉/禁用/处罚对象投诉主体监管机构及其行动基本情况ii.中国司法对数据处理活动的监督有限。iii.执法机构或国家安全机关请求访问个人数据时，数据主体无法了解此类请求如何被批准。iv.中国数据保护法律的范围和适用不明确，数据主体权利行使情况不明确。3.投诉请求：a.请求HDPA展开全面调查。b.暂停向中国的数据传输。c.责令被投诉方的数据处理活动遵从GDPR第五章。d.处以罚款。SHEINNOYB意大利意大利个人数据保护局（Garante）101.事实要点：a.权利响应不到位：按照公司提供的行权渠道提出了验证其数据是否被传输到中国的要求，公司仅提供有限的处理个人数据清单，投诉人进一步提出访问请求，公司仍未对数据跨境传输情况回应。b.隐私政策表明数据可能传输至中国并被中国政府访问：i.隐私政策表明数据可能被传输到企业集团的其他附属公司，而部分SHEIN集团子公司在中国设立，可见数据将传输到中2025.1.1610https://noyb.eu/sites/default/files/2025-01/SHEIN_complai投诉/禁用/处罚对象投诉主体监管机构及其行动基本情况国，并允许中国主管机关或法院合理请求访问。ii.小米集团的透明度报告表明其收到中国不同政府机构数千条有关用户数据的请求，且这些请求几乎都会被批准。c.数据控制者不真实存在：隐私政策表明的数据控制者只是信箱地址，并非可实际决定数据处理的目的和方式的公司主体。2.投诉原因：违反GDPR第五章，投诉人无法了解是否有采取什么补充措施克服立法问题或数据保护水平不对等的问题a.违反GDPR第五章数据跨境传输要求：i.缺乏充分性认定。ii.缺乏基本等同的数据保护水平，即没有遵从CFR第7、8、47编做到相应要求，包括提供可执行的数据保护权利、提供有效的法律救济、保证执法部门和国家安全部门对个人数据的访问受到限制。b.违反CFR第7、8编：i.SCC仅约束商业数据传输，并不约束数据控制者和中国当局之间的数据传输关系。ii.中国法律要求中国企业履行数据本地化义务，而数据向中国境外的跨境传输需取得CAC许可，但CAC对数据传输授权决定享有自由裁量权。iii.根据《数据安全法》第35条和《国家安全法》第11条，中国当局对公司处理的个人数据可能存在无限制的访问权，小投诉/禁用/处罚对象投诉主体监管机构及其行动基本情况米透明度报告也证实这一点。c.违反CFR第47编：i.缺少专门、独立、有能力的数据保护机构。ii.中国司法对数据处理活动的监督有限。iii.执法机构或国家安全机关请求访问个人数据时，数据主体无法了解此类请求如何被批准。iv.中国数据保护法律的范围和适用不明确，数据主体权利行使情况不明确。3.投诉请求：a.请求展开全面调查。b.暂停向中国的数据传输。c.责令被投诉方的数据处理活动遵从GDPR第五章。d.处以罚款。速卖通NOYB比利时数据保护局（GBA）111.事实要点：a.权利响应不到位：按照公司提供的行权渠道提出了验证其数据是否被传输到中国的要求，公司提供的是损坏的文件，投诉人进一步请求后，也只获得了下载副本的可能性说明，而无实际副本，2025.1.1611https://noyb.eu/sites/default/files/2025-01/Aliexpress_complaint投诉/禁用/处罚对象投诉主体监管机构及其行动基本情况且公司并未对数据跨境传输情况回应。b.隐私政策表明数据可能传输至中国并被中国政府访问：i.未明确表示数据跨境传输的具体目的地，其中可能涉及的服务提供商或其他关联公司在中国设立，数据可能传输至中国，并可能允许中国主管机关基于合法请求访问。ii.小米集团的透明度报告表明其收到中国不同政府机构数千条有关用户数据的请求，且这些请求几乎都会被批准。c.数据控制者不真实存在：隐私政策表明的数据控制者只是信箱地址，并非可实际决定数据处理的目的和方式的公司主体。2.投诉原因：违反GDPR第五章，投诉人无法了解是否有采取什么补充措施克服立法问题或数据保护水平不对等的问题a.违反GDPR第五章数据跨境传输要求：i.缺乏充分性认定。ii.缺乏基本等同的数据保护水平，即没有遵从CFR第7、8、47编做到相应要求，包括提供可执行的数据保护权利、提供有效的法律救济、保证执法部门和国家安全部门对个人数据的访问受到限制。b.违反CFR第7、8编：i.SCC仅约束商业数据传输，并不约束数据控制者和中国当局之间的数据传输关系。投诉/禁用/处罚对象投诉主体监管机构及其行动基本情况ii.中国法律要求中国企业履行数据本地化义务，而数据向中国境外的跨境传输需取得CAC许可，但CAC对数据传输授权决定享有自由裁量权。iii.根据《数据安全法》第35条和《国家安全法》第11条，中国当局对公司处理的个人数据可能存在无限制的访问权，小米透明度报告也证实这一点。c.违反CFR第47编：i.缺少专门、独立、有能力的数据保护机构。ii.中国司法对数据处理活动的监督有限。iii.执法机构或国家安全机关请求访问个人数据时，数据主体无法了解此类请求如何被批准。iv.中国数据保护法律的范围和适用不明确，数据主体权利行使情况不明确。3.投诉请求：a.请求展开全面调查。b.暂停向中国的数据传输。c.责令被投诉方的数据处理活动遵从GDPR第五章。d.处以罚款。微信NOYB荷兰荷兰数据保护局（AP）1.事实要点：2025.1.16投诉/禁用/处罚对象投诉主体监管机构及其行动基本情况a.权利响应不到位：按照公司提供的行权渠道提出了验证其数据是否被传输到中国的要求，但公司并未对数据跨境传输情况回应。b.隐私政策表明数据可能传输至中国并被中国政府访问：i.未明确表示数据跨境传输的具体目的地，但可能被传输至腾讯某个办公室或数据中心，包括位于中国的总部、服务提供商等，并可能允许中国主管机关基于合法请求访问。ii.小米集团的透明度报告表明其收到中国不同政府机构数千条有关用户数据的请求，且这些请求几乎都会被批准。c.数据控制者不真实存在：隐私政策表明的数据控制者只是信箱地址，并非可实际决定数据处理的目的和方式的公司主体。2.投诉原因：违反GDPR第五章，投诉人无法了解是否有采取什么补充措施克服立法问题或数据保护水平不对等的问题a.违反GDPR第五章数据跨境传输要求：i.缺乏充分性认定。ii.缺乏基本等同的数据保护水平，即没有遵从CFR第7、8、47编做到相应要求，包括提供可执行的数据保护权利、提供有效的法律救济、保证执法部门和国家安全部门对个人数据的访问受到限制。b.违反CFR第7、8编：12https://noyb.eu/sites/default/files/2025-01/WeChat_complaint投诉/禁用/处罚对象投诉主体监管机构及其行动基本情况i.SCC仅约束商业数据传输，并不约束数据控制者和中国当局之间的数据传输关系。ii.中国法律要求中国企业履行数据本地化义务，而数据向中国境外的跨境传输需取得CAC许可，但CAC对数据传输授权决定享有自由裁量权。iii.根据《数据安全法》第35条和《国家安全法》第11条，中国当局对公司处理的个人数据可能存在无限制的访问权，小米透明度报告也证实这一点。c.违反《美国联邦法规》第47编：i.缺少专门、独立、有能力的数据保护机构。ii.中国司法对数据处理活动的监督有限。iii.执法机构或国家安全机关请求访问个人数据时，数据主体无法了解此类请求如何被批准。iv.中国数据保护法律的范围和适用不明确，数据主体权利行使情况不明确。3.投诉请求：a.请求展开全面调查。b.暂停向中国的数据传输。c.责令被投诉方的数据处理活动遵从GDPR第五章。d.处以罚款。投诉/禁用/处罚对象投诉主体监管机构及其行动基本情况NOYB奥地利奥地利数据保护机构（DSB）131.事实要点：a.权利响应不到位：按照公司提供的行权渠道提出了验证其数据是否被传输到中国的要求，公司仅提供了有限的个人数据副本，但公司并未对数据跨境传输情况回应。b.隐私政策表明数据可能传输至中国并被中国政府访问：i.未明确表示数据跨境传输的具体目的地，但可能被传输到关联公司，Temu与中国有明确的关联利益，并可能允许中国主管机关基于合法请求访问。ii.小米集团的透明度报告表明其收到中国不同政府机构数千条有关用户数据的请求，且这些请求几乎都会被批准。c.数据控制者不真实存在：隐私政策表明的数据控制者只是信箱地址，并非可实际决定数据处理的目的和方式的公司主体。2.投诉原因：违反GDPR第五章，投诉人无法了解是否有采取什么补充措施克服立法问题或数据保护水平不对等的问题a.违反GDPR第五章数据跨境传输要求：i.缺乏充分性认定。ii.缺乏基本等同的数据保护水平，即没有遵从CFR第7、8、47编做到相应要求，包括提供可执行的数据保护权利、提供有效的法律救济、保证执法部门和国家安全部门对个人数据的2025.1.1613https://noyb.eu/sites/default/files/2025-01/TEMU_complaint投诉/禁用/处罚对象投诉主体监管机构及其行动基本情况访问受到限制。b.违反CFR第7、8编：i.SCC仅约束商业数据传输，并不约束数据控制者和中国当局之间的数据传输关系。ii.中国法律要求中国企业履行数据本地化义务，而数据向中国境外的跨境传输需取得CAC许可，但CAC对数据传输授权决定享有自由裁量权。iii.根据《数据安全法》第35条和《国家安全法》第11条，中国当局对公司处理的个人数据可能存在无限制的访问权，小米透明度报告也证实这一点。c.违反CFR第47编：i.缺少专门、独立、有能力的数据保护机构。ii.中国司法对数据处理活动的监督有限。iii.执法机构或国家安全机关请求访问个人数据时，数据主体无法了解此类请求如何被批准。iv.中国数据保护法律的范围和适用不明确，数据主体权利行使情况不明确。3.投诉请求：a.请求展开全面调查。b.暂停向中国的数据传输。投诉/禁用/处罚对象投诉主体监管机构及其行动基本情况c.责令被投诉方的数据处理活动遵从GDPR第五章。d.处以罚款。欧洲消费者组织BEUC欧盟欧盟委员会及17个欧盟国家主管部1.事实背景：2024年5月16日，电商巨头拼多多旗下跨境电商平台Temu收到17个欧洲消费者利益团体的联合投诉，要求欧盟根据《数字服务法》(DSA)将Temu紧急指定为“超大在线平台（VLOP）”。Temu被投诉的主要问题包括该平台上网店销售的产品与供应商的描述不符，涉嫌收集消费者隐私数据等，平台对此没有严格管理。2.其中涉及数据隐私的投诉要点主要包括：a.隐私政策存在缺陷，没有指明DPO，数据主体难以行权。b.广泛共享用户数据，包括与母公司、关联公司共享，增加数据安全风险。c.Cookie使用存在问题，将非必要的cookie归类为严格必要的cookie，进行不必要的数据处理，强制用户接受数据处理，剥夺用户自由选择的权利。d.跟踪方式不合规，大量采用URL跟踪等其他跟踪形式但未告知用户并取得用户同意，且部分跟踪超出了为用户提供服务所必需的范围。2024.5.16DeepSeek/意大利意大利数据保护局已禁1.事实背景：a.2025年1月28日，意大利监管部门向DeepSeek请求获取数据处2025.1.3014https://www.beuc.eu/sites/default/files/publications/BEUC-X-2024-046_Temu_Why_the_fast-growing_online_marketplace_fails_to_co投诉/禁用/处罚对象投诉主体监管机构及其行动基本情况用15理情况相关信息，包括数据类型、来源、处理目的、处理依据、存储地点是否在中国、哪些信息被用于AI训练等，并要求DeepSeek在20天内提供信息。b.2025年1月30日，DeepSeek表示其不在意大利运营，欧洲立法不适用，而意大利监管部门收到DeepSeek提供的信息内容后，紧急限制DeepSeek的使用。2.禁用原因：a.DeepSeek未说明其服务范围内个人数据处理活动的主要方面。b.DeepSeek的隐私政策只有英文版本，未全面履行告知义务。c.隐私政策未详细明确地说明DeepSeek服务范围内每项个人数据处理活动的合法性基础。d.DeepSeek服务范围内个人数据处理活动信息的缺失，对用户权利的行使也产生了明显影响。e.数据控制者在提供DeepSeek服务过程中收集的数据存储在中国，这违反了保障措施相关规定。f.尽管数据控制者因提供的服务（依据GDPR第3条第2款）有义务遵守GDPR，但未在欧盟书面指定代表。/爱尔兰爱尔兰数据保护委员请求信息中162025年1月29日，爱尔兰数据保护委员会表示已向DeepSeek索取爱尔兰用户相关数据处理信息。2025.1.29Testaankoop比利时数据保护局1.投诉要点：a.在缺少跨境传输保障机制的情况下，向中国非法传输个人数据，2025.1.3115https://www.garanteprivacy.it/home/docweb/-/docweb-d16/technology/irish-data-regulator-requests-information-deepseek-data-p投诉/禁用/处罚对象投诉主体监管机构及其行动基本情况（GBA）启动调查17中国当局访问数据的情况未公开。b.隐私政策中关于数据存储和处理的信息不明，政策不合规。c.没有具体说明用户数据用于分析还是自动决策。d.不保证保护未成年人。/法国国家信息与自由委员会（CNIL）分析工具并请求信息中18CNIL标识正式宣布，将对该企业进行深入问询，深入分析该产品。2025.2.3/卢森堡国家数据保护委员会（CNPD）表示高度警惕，探索DeepSeek的可能性191.CNPD的担忧：a.没有充分保证的情况下收集和处理数据，用户提供的数据可在没有明确数据保护框架下被记录、传输、存储或分析。b.数据主体难以通过GDPR行使权利。c.欧盟没有DeepSeek的代表实体，缺乏对遵守RGPD的明确保证，缺乏人工治理的透明度，第三方可能参与数据管理。d.未在欧盟境内成立数据控制者，没有在欧盟任命法定代表。2.CNPD建议：a.避免安装DeepSeek模型及其配置文件。b.使用在线页面，不提供个人或机密数据。c.提高专业领域员工和互联网用户对使用人工智能风险的认识。2025.2.317https://www.test-achats.be/famille-prive/protection-vie-privee/news/deepseek，https://www.brusselviolations-by-deepse18https://www.euractiv.fr/section/donnees/news/deepseek-inquiete-les-autorites-europeennes-de-p19https://cnpd.public.lu/en/actualites/national/投诉/禁用/处罚对象投诉主体监管机构及其行动基本情况d.支持使用欧洲监管框架（RGPD、AI法案）下的AI工具，尊重数据保护原则，并可保证安全和隐私。/荷兰荷兰数据保护局展开调查中201.禁止公务员使用DeepSeek。2.敦促公民谨慎使用DeepSeek。2025.2.1DECOPROteste葡萄牙葡萄牙数据保护局211.事实背景：DECOPROteste向国家数据保护委员会（CNPD）提出了投诉，认为DeepSeek违反数据保护法规2.投诉原因：a.个人数据的传输和处理：隐私政策表明数据存储在中国，但未说明保障措施，中国法律要求公司向国家当局提供个人数据访问权限，也未保证透明度和相称性，数据存储期限、用户行权方式、数据类别等均未明确。b.隐私政策未说明是否将用户数据用于AI模型训练、提供自动决策等，没有提供必要保证。c.未提供用户年龄验证措施，或未经父母同意从未成年人收集的数据处理方案。3.请求：暂时限制DeepSeek处理个人数据，强调数据处理的非法性。2025.2.4HomoDigitalis希腊希腊个人数据保护局221.事实背景：HomoDigitalis向希腊个人数据保护局（HDPA）提交了一份请求（参考编号865/30-01-2025要求根据《通用数据保护条例》20https://www.euractiv.fr/section/donnees/news/deepseek-inquiete-les-autorites-europeennes-de-proteprotection-authority-warns-chinese-ch21teste.pt/tecnologia/computadores/noticias/deepseek-q22https://homodigitalis.投诉/禁用/处罚对象投诉主体监管机构及其行动基本情况（GDPR）第58条，对希腊境内的数据主体使用Deepseek平台行使调查权。2.投诉要点：a.未在欧盟境内制定代表。b.将个人数据存储于中国，却未履行数据跨境传输机制。c.未明确数据处理的法律依据。d.未提供充分且详细的数据处理和权利信息，包括数据画像信息。e.未说明是否在父母或监护人同意的情况下才处理未成年人个人数据。3.投诉请求：a.要求DeepSeek提供数据处理的所有信息。b.对DeepSeek的数据处理活动加以限制。/德国德国个人数据保护局，各州协调行动中23莱茵蓝-普法尔茨州确认开展调查，但未正式展开。/23https://www.euractiv.fr/section/donnees/news/deepseek-inquiete-les-autorites-europeennes-de-pro投诉/禁用/处罚对象监管机构及其行基本情况TikTok美国联邦政府机构禁用24政府公务手机和系统必须移除TikTok。2023.2美国FTC起诉251.2024年8月2日，美国联邦贸易委员会(FTC)宣布对TikTok及其母公司字节跳动以及附属公司（统称为TikTok）提起诉讼，指控其违反了1998年《儿童在线隐私保护法》（COPPA）并侵犯了2019年与Musical.ly达成的命令2.FTC规定TikTok违反了COPPA和COPPA规则，具体如下：a.故意为儿童创建账户并收集儿童的数据，而未事先通知其父母并获得可验证的父母同意；b.不履行父母删除其子女账户和信息的要求；以及c.未删除明知是儿童的用户的账户和信息；d.为父母要求删除子女数据制定了不合理的流程，需要多个步骤才能提交删除请求。2024.8.2美国拜登签署法案封禁TikTok，TikTok起诉法案1.事件情况：a.2024年4月，拜登以“保护国家安全”为由，签署《保护美国人免受外国对手控制的应用程序法案》，要求字节跳动在2025年1月19日前将/24/25/system/files/ftc_gov/pdf/byted投诉/禁用/处罚对象监管机构及其行基本情况违宪，最高法院裁决认定该法案不违宪26TikTok出售给非中国企业，否则将在美国被禁用TikTok。b.2024年5月，TikTok和字节跳动向美国联邦法院提起诉讼，要求裁定旨在封禁TikTok的法案违宪，并阻止该法律的执行。c.2025年1月17日，美国联邦最高法院裁定封禁TikTok法案不违宪，这意味着联邦最高法院允许该法案按原计划于19日生效。d.2025年1月18日，美国候任总统特朗普表示，他“很可能”会在20日上任当天给予TikTok90天宽限期，以暂时避免其在美国被禁。e.2025年1月19日，TikTok停止在美服务，母公司字节跳动旗下的多个应用软件停止在美服务。后因特朗普发布声明表示阻止TikTok关停的公司将不承担法律责任，TikTok在关停约12小时后重新上线。DeepSeek/部分机构已禁用271.宇航局：向员工表示DeepSeek的服务器运营商在美国境外运营，存在国家安全和隐私问题，并要求DeepSeek及其产品和服务不可与美国宇航局的数据和信息一起使用，或用于政府发放的设备和网络。2.五角大楼：据报道，五角大楼的一些工作屏幕上显示DeepSeek“网站被封锁”标志。3.德克萨斯州Abbott在一份简短的声明中表示：“德克萨斯州不会允许中国通过数据收集人工智能和社交媒体应用程序渗透到我们州的关键基础设施中。”2025.126/s/E427/2025/01/31/nasa-becomes-latest-federal-agency-to-block-/news/articles/2025-01-30/pentag/2025/01/28/us-navy-restricts-use-of-deepseek-ai-imperative-to-投诉/禁用/处罚对象监管机构及其行基本情况“德克萨斯州将继续保护和保卫我们的州免受敌对的外国行为者的侵害。”4.1月下旬，美国海军禁止军人“以任何身份”使用DeepSeek产品，因为“与[技术]的起源和使用相关的潜在安全和道德问题”。成员“必须”不要将DeepSeek的人工智能“用于任何与工作相关的任务或个人使用”，并“避免下载、安装或使用[DeepSeekAI]”。米哈游《原神》美国FTC罚款281.事实背景：FTC对米哈游的子公司提起诉讼，认为米哈游旗下游戏《原神》，违反了《儿童在线隐私保护法》（COPPA要求米哈游赔偿2000万美元，指控其尽管知道13岁以下的儿童正在使用其服务，但它继续从儿童那里收集个人信息，并在未经父母同意或遵守其他COPPA要求的情况下使用这些信息。2.和解结果：基于《联邦贸易委员会法》和COPPA，FTC与米哈游的子公司同意和解。米哈游的子公司需要缴纳罚款，并改进抽卡机制和保护未成年人隐私，加入年龄限制并采取措施便于家长监督。2025.1.17美国阿肯德州阿肯德州总检察长起诉291.2024年6月25日，阿肯色州总检察长宣布起诉Temu的母公司PDDHoldingsInc.和WhaleCoInc.。2.起诉认为Temu：a.未告知用户，超出必要范围不合理收集用户个人信息；b.在隐私政策进行虚假描述；2024.7.128/news-events/news/press-releases/2025/01/genshin-impact-game-developer-will-be-banned-selling-lootboxes-teens-under29/wp-content/uploads/2024-06-25-Temu-12CV-24投诉/禁用/处罚对象监管机构及其行基本情况c.母公司的大部分业务运营和子公司仍在中国大陆境内，总检察长认为个人数据有可能会被中国官方未经授权访问；d.侵犯阿肯色州居民的隐私权和对移动设备上个人数据隐私的合理期望；e.缺少年龄验证措施，未经父母或监护人同意收集包括13岁以下未成年人的个人信息，未采取措施。美国21个州美国21个州检察长联合发出调查1.事件背景：2024年8月15日，蒙大拿州检察长AustinKnudsen牵头，美国21个州的检察长办公室联合行动，向Temu及其母公司PDDHoldingsInc.发出调查函。2.涉及数据处理的调查内容包括：a.Temu和母公司拼多多是否收集美国消费者数据，如是请说明数据b.美国消费者数据是如何保存、存储，提供相应的网络安全、数据保留、存储政策文件，说明为防止第三方访问而采取的安全措施。c.中共或政府机关是否要求提供Temu或母公司收集的美国公民数据，d.消费者请求删除数据或停用账户后，Temu和母公司还会保留哪些数据？2024.8.1530/sites/default/files/2024-08/Temu-Request-Letter-final-with投诉/禁用/处罚对象监管机构及其行基本情况e.Temu或拼多多控股公司是否出售美国消费者数据，如是，请说明购买者、采取的保护措施、零售销售的利润占比和出售给第三方的利润占f.母公司高管中的中共党员是否有权访问Temu持有的美国消费者数3.函件发出之日起30日内，Temu需提供说明。TP-Link美国议员敦促调查312024年，美国网络安全和基础设施安全局（CISA）称TP-Link路由器有漏洞，可能被黑客利用控制路由器，威胁用户网络安全。美国众议院中国问题特别委员会的两位议员称TP-Link产品广泛应用于美国重要网络基础设施，若存在漏洞，将进而威胁国家安全，要求对TP-Link及其关联公司进行调查，美国商务部、国防部和司法部已对TP-Link展开单独调查，商务部还向TP-Link发出了传票。2024.5工业网络安全公司Claroty生产的中国产患者监护仪美国CISA和FDA发布警告321.事实背景：2025年1月30日，美国网络安全和基础设施安全局（CISA）和食品药品监督管理局（FDA）发布警告，称中国生产的ContecCMS8000患者监护仪存在“隐藏后门”，并指出该后门与中国的一个硬编码IP地址相关，可能导致患者数据和固件更新的出站通信被滥用。2.Claroty公司澄清设备设计存在的不安全缺陷，否认“隐藏后门”的存在：2025.1.3031/world/us/us-lawmakers-urge-probe-wifi-router-maker-tp-link-over-fears-chines32/sites/default/files/2025-01/fact-sheet-contec-cms8000-contains-a-backdoor-508c.pdf；/tepatient-monitors-infected-with-a-chinese-backdoor-the-reality-is-more投诉/禁用/处罚对象监管机构及其行基本情况容易受到中间人（MiTM）攻击，但该升级本d.患者数据的潜在泄露：设备用于传输患者数据的通信地址是可路由3.Claroty公司为使用该设备的组织提出建议：a.控制网络流量，防止设备从外部升级固件或泄露患者数据。b.修改默认设置，避免使用硬编码IP地址（19）配置系统，或通过静态路由和网络分段确保仅路由到CMS服务器。c.替换设备：使用更安全的设备替换。投诉/禁用/处罚对象监管机构及其行动基本情况DeepSeek澳大利亚政府设备和系统禁用33澳大利亚内政部部长向所有政府实体发布了强制性指令，要求“防止使用或安装DeepSeek产品、应用程序和网络服务，并从所有澳大利亚政府系统和设备中删除所有现有的DeepSeek产品、应用程序和网络服务”。但该禁令并不适用于私人公民的设备。2025.2.533/tech/technology/australia-bans-deepseek-ai-program-on-government-devices/articl投诉/禁用/处罚对象监管机构及其行动基本情况TikTok加拿大政府移动设备已禁用34加拿大政府禁止政府发放的设备下载抖音，已安装的应用程序均需删除，但不组织社会公众使用。2023.2.7加拿大加拿大隐私专员办公室（OPC）魁北克信息获取委员会（CAI）不列颠哥伦比亚省信息和隐私专员办公室（BCOIPC）阿尔伯塔省信息和隐私专员办公室（AlbertaOIPC）351.事实背景：2023年2月23日，加拿大隐私专员办公室（OPC）连同魁北克信息获取委员会（CAI）、不列颠哥伦比亚省信息和隐私专员办公室（BCOIPC）以及阿尔伯塔省信息和隐私专员办公室（AlbertaOIPC）宣布对TikTokInc.展开联合调查。2.调查内容：a.用户信息收集的同意有效性：审查TikTok在收集、使用和披露个人信息时，是否获得了用户有效且有意义的同意。b.透明度义务履行情况：确定TikTok在收集用户个人信息时，是否履行了透明度义务，尤其是对年轻用户的隐私保护措施是否到位。2023.2.24加拿大魁北克省律师起诉36起诉律师认为，Temu的应用程序访问用户个人数据但未进行告知，同时处理数据的类型行为超出了提供服务功能所必需。202434https://www.canada.ca/en/treasury-board-secretariat/news/2023/02/statement-by-minister-fortier-announcing-a-ban-on-the-use-of-tiktok-on-35/technology/canadian-privacy-regulators-launch-joint-investigation-int36/ar投诉/禁用/处罚对象监管机构及其行动基本情况速卖通韩国个人信息保护委员会（PIPC）罚款并要求整1.事实背景：在用户购买商品时，速卖通将用户个人信息提供给国外的卖家，便于其配送商品，PIPC认为该行为应取得数据主体同意并采取保障措施等。2.处罚原因：速卖通未告知数据跨境传输场景的具体信息，也未说明采取的保障措施，用户行使权利的机制不便利。3.处罚结果：处以19亿7,800万韩元的罚款，并要求整改。2024.7.25TikTok韩国通信委员会和个人信息保护委员会调查中381.韩国通信委员会的官员表示，委员会将调查抖音的条款和条件及其应用程序，确认是否在获得用户知情同意方面存在问题。2.PIPC也表示在调查TikTok是否存在违反其他法规。2024.10DeepSeek韩国个人信息保护委员会（PIPC）调查中391.事实要点：PIPC已向DeepSeek发送质询函，请求信息包括个人信息处理主体、收集类型、收集目的、处理方式、是否共享等，该过程需要通过多个渠道进行多次质询和回复。2.提示：PIPC建议公众在发布调查结果前谨慎使用DeepSeek，并提供关于生成式人工智能的使用指南，提示应当确认收集类型、切勿提供个人数据、定期删除cookie数据等、使用二次认证的登录手段等。2025.2.737https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C02038/news/2024-10-07/business/industry/Korean-authorities-accuse-TikTok-of-vio39https://pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010第⼆部分出海⽹数与⼈⼯智能场景⻛险a.告知不合规i.隐私政策的语言版本不符合要求。ii.隐私政策未明确说明个人数据处理的合法性基础。iii.