境外合规要闻 | 欧盟：EDPB 发布关于向第三国当局传输数据的最终指南等 - 新鲜讯息

点击上方蓝字关注我们

每周境外合规要闻

（20250603-20250608）

境外数据合规

一、立法与政策前瞻

欧盟：BEUC发布关于消费者利益与数字服务的立场文件
资讯来源：https://www.beuc.eu/position-paper/putting-consumer-interests-heart-eus-global-digital-leadership
文件原文详见：https://www.beuc.eu/sites/default/files/publications/BEUC-X-2025-048_input_International_Digital_Strategy_for_Europe.pdf
欧盟：EDPB 采纳关于ASML和Signify控制者BCR的意见
11/2025意见原文详见：https://www.edpb.europa.eu/system/files/2025-06/edpb_opinion_202511_bcr-c_signify_en.pdf
12/2025意见原文详见：https://www.edpb.europa.eu/system/files/2025-06/edpb_opinion_202512_bcr-c_asml_en.pdf
欧盟：EDPB 发布关于向第三国当局传输数据的最终指南
资讯来源：https://www.edpb.europa.eu/news/news/2025/edpb-publishes-final-version-guidelines-data-transfers-third-country-authorities-and_en
指南原文详见：https://www.edpb.europa.eu/system/files/2025-06/edpb_guidelines_202402_article48_v2_en.pdf
法国：CNIL 发布关于识别控制者、处理者和联合控制者的指南
指南原文详见：https://www.cnil.fr/fr/rgpd-comment-bien-identifier-son-role

二、监管动态追踪

德国：BfDI 因违反 GDPR 对沃达丰处以两项总计 4500 万欧元的罚款
资讯来源：https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2025/06_Geldbuße-Vodafone.html
意大利：Garante 因工作场所数据保护不力向伦巴第大区罚款 5 万欧元
资讯来源：https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10135126
处罚决定原文详见：https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10134221
瑞典：上诉法院因未能处理数据主体权利而对Spotify处以5800万瑞典克朗罚款
资讯来源：https://www.domstol.se/nyheter/2025/06/spotify-ab-ska-betala-en-sanktionsavgift/
巴西：ANPD 就生物特征数据处理展开公众咨询
资讯来源：https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-abre-tomada-de-subsidios-sobre-tratamento-de-dados-biometricos
意见反馈平台链接：https://www.gov.br/participamaisbrasil/ts-dados-biometricos

人工智能治理合规

一、立法与政策前瞻

欧盟：EDPB发布关于隐私与人工智能立法实际合规情况的报告
资讯来源：https://www.edpb.europa.eu/news/news/2025/edpb-publishes-final-version-guidelines-data-transfers-third-country-authorities-and_en?utm_source=chatgpt.com
英国：ICO 发布人工智能和生物识别战略
资讯来源：https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2025/06/information-commissioner-people-must-trust-their-data-is-protected-in-the-age-of-ai/
战略原文详见：https://ico.org.uk/about-the-ico/our-information/our-strategies-and-plans/artificial-intelligence-and-biometrics-strategy/
德国：BSI发布金融领域人工智能系统标准
资讯来源：https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Kriterienkatalog_KI-Systeme_Finanzsektor_250603.html
目录原文详见：https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/KI/AI-Finance_Test-Criteria.pdf?__blob=publicationFile&v=3
美国：加州《儿童人工智能伦理法案》在众议院通过
法案原文详见：https://leginfo.legislature.ca.gov/faces/billCompareClient.xhtml?bill_id=202520260AB1064&showamends=false
美国：加州《人工智能透明度法案》在参议院通过
法案原文详见：https://leginfo.legislature.ca.gov/faces/billCompareClient.xhtml?bill_id=202520260SB420&showamends=false
日本：《关于促进人工智能相关技术的研究、开发及利用的法律》正式生效
法案原文详见：https://laws.e-gov.go.jp/law/507AC0000000053

欧盟：EDPB 发布关于向第三国当局传输数据的最终指南

2025年6月5日，欧洲数据保护委员会（European Data Protection Board）发布了《关于向第三国当局传输数据的最终指南》（以下简称“该指南”）。该指南聚焦《通用数据保护条例》（General Data Protection Regulation，以下简称“GDPR”）第48条的理解与适用，明确个人数据传输至第三国的规范，阐述在何种条件下可以合法响应来自第三国当局的个人数据传输请求的最佳评估方法，为可能收到第三国当局要求披露或转移个人数据的欧盟控制者和处理者提供实践建议。

该指南明确了解释GDPR第48条的相关规定，以及组织在何种条件下可以合法响应来自第三国当局提出的个人数据传输请求的评估方式。

资讯来源：https://www.edpb.europa.eu/news/news/2025/edpb-publishes-final-version-guidelines-data-transfers-third-country-authorities-and_en

指南原文详见：https://www.edpb.europa.eu/system/files/2025-06/edpb_guidelines_202402_article48_v2_en.pdf

德国：BfDI 因违反 GDPR 对沃达丰处以两项总计 4500 万欧元的罚款

2025年6月3日，德国联邦数据保护与信息自由专员（Federal Commissioner for Data Protection and Freedom of Information，以下简称“BfDI”）宣布，因违反《通用数据保护条例》（General Data Protection Regulation，以下简称“GDPR”）对沃达丰有限公司（Vodafone GmbH）处以两笔罚款，总额为4,500万欧元。其中，1500万欧元罚款源于该公司未能对合作代理机构开展充分的数据保护合规审查与监督，违反了《通用数据保护条例》（GDPR）第28条第1款相关规定。而另一项3000万欧元罚款，则是由于 “MeinVodafone” 在线门户与客服电话联合使用时，认证流程存在安全漏洞。这一缺陷致使未经授权的第三方得以获取 eSIM 配置文件等重要信息。

资讯来源：https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2025/06_Geldbuße-Vodafone.html

意大利：Garante 因工作场所数据保护不力向伦巴第大区罚款 5 万欧元

2025年5月30日，意大利数据保护机构（Garante）决定对伦巴第大区处以5万欧元罚款。原因是该地区政府在“灵活办公”的背景下通过远程监控手段收集和存储员工的电子邮件使用情况与网页浏览行为所产生的元数据，相关处理行为不仅缺乏合法性与透明度，亦未遵循数据最小化原则，并在未与工会代表达成集体协议的情况下开展监控活动，违反了关于工作场所远程监控的特定规定。此外，伦巴第大区未对该类高风险处理行为进行数据保护影响评估（DPIA），也未确保其委托的数据处理者采取足够的技术与组织保障措施。Garante认定该行为违反了《通用数据保护条例》（General Data Protection Regulation，以下简称“GDPR”）及《个人数据保护法》（以下简称“《法典》”）中的多项规定，强调即便在工作场所，员工的个人数据和通信隐私也必须得到充分保障。

资讯来源：https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10135126

处罚决定原文详见：https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10134221

瑞典：上诉法院因未能处理数据主体权利而对Spotify处以5800万瑞典克朗罚款

2025年6月3日，斯德哥尔摩上诉法院确认对Spotify AB处以5800万瑞典克朗（约540万欧元）的罚款，原因是其能以清晰、易获取的方式提供《通用数据保护条例》（General Data Protection Regulation，以下简称“GDPR”）所要求的相关信息，侵犯了数据主体的知情权。法院指出Spotify在向用户提供数据访问权利、存储期限及其确立依据、以及向第三国或国际组织传输数据所采取的适当保护措施等方面存在“透明度不足”的问题。此案源自2019年用户投诉并由瑞典隐私保护机构（IMY）调查，反映出即便违规行为的严重程度被评定为“较轻”，但鉴于Spotify庞大的用户规模及业务体量，仍须承担如此重大罚款。

资讯来源：https://www.domstol.se/nyheter/2025/06/spotify-ab-ska-betala-en-sanktionsavgift/

德国：BSI发布金融领域人工智能系统标准

2025年5月3日，德国联邦信息安全办公室（Bundesamt für Sicherheit in der Informationstechnik，以下简称“BSI”）发布了面向金融领域人工智能系统的测试目录，这份目录为金融领域的人工智能评估提供了全面且结构化的框架，涵盖技术稳健性、网络安全、公平性、透明度、治理与合规等关键维度，并直接对标《欧盟人工智能法案》。目录旨在助力实际审计与自我评估，可灵活适配不同场景，基于风险评估方法论构建，确保评估科学实用。

资讯来源：https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Kriterienkatalog_KI-Systeme_Finanzsektor_250603.html

目录原文详见：https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/KI/AI-Finance_Test-Criteria.pdf?__blob=publicationFile&v=3

日本：《关于促进人工智能相关技术的研究、开发及利用的法律》正式生效

2025年6月4日，日本《关于促进人工智能相关技术的研究、开发及利用的法律》（以下简称“该法案”）正式生效。此前，该法案已于2025年5月28日在日本参议院获得通过。该法案规定了日本境内关于人工智能（AI）研究与开发（R&D）的相关内容，主要要求国家及地方政府通过制定并实施政策与指导方针，推动人工智能相关技术的研究、开发及利用。

法案原文详见：https://laws.e-gov.go.jp/law/507AC0000000053

专业领域洞察订阅

为助力企业精准把握境内外数据合规、人工智能治理、智能网联汽车与自动驾驶以及数据要素等领域的合规要求与前沿动态，环球孟洁律师团队定期为订阅用户递送专题Newsletter，内容涵盖法律法规深度解读、典型案例剖析、执法动态追踪及行业趋势汇总等。公众号正文仅展示部分精选内容，如需获取完整版，请扫描二维码添加助理，免费领取试读版并咨询订阅详情！

没有被设置“星标”的微信公众号

收到的推送极其有限，时间也会大大延迟

如果您想要收到我们的第一手推送

请为我们设个“星标”吧！

设星标，不迷路！

点击下方卡片关注公众号

点击右上角···

设为星标

往期文章推荐

精读《网络数据安全管理条例》

环球企业全球化指南系列