数据合规合规案例

　　一、中国

　　王某与某咨询公司、某国际酒店公司个人信息保护纠纷案。广州互联网法院公布了一起审结的涉及个人信息跨境传输的民事纠纷案件。王某通过某咨询公司运营的微信公众号购买了某国际酒店公司住宿服务，并在某国际酒店公司的移动应用APP上预定了境外酒店。预定过程中，王某点击勾选了某国际酒店公司的《客户个人数据保护章程》，并提交了姓名、国籍、电话号码、电子邮箱地址、银行卡号等个人信息。事后，王某发现依据《客户个人数据保护章程》规定，其提交的个人信息将被传送共享至全球多个地区和接收主体。王某认为两公司跨境处理中国公民个人信息行为违反相关规定，遂向广州互联网法院提起诉讼。

　　广州互联网法院生效判决认为，被告公司为消费者预定域外酒店服务收集案涉个人信息，此种情况下的个人信息出境，属于履行合同必需，不须单独同意。经审理查明，被告公司在其《客户个人数据保护章程》中，未遵循公开透明原则，真实、准确、完整告知其处理规则，未能依法正确履行告知义务。另查明，被告公司基于商业营销目的，还向位于美国和爱尔兰的某第三方公司传输处理相关个人信息，该处理行为及其处理目的超出履行合同必需，也未向王某充分告知并取得其单独同意，属于违法处理行为，侵害了王某的个人信息权益，应当承担民事侵权责任。

　　二、欧洲

　　1. TikTok数据合规处罚

　　2021年7月，荷兰数据保护局以侵犯儿童隐私为由，决定对中国TikTok处以75万欧元的罚款。

　　2023年9月15日，爱尔兰数据保护委员会称TikTok违反GDPR多条规则，再次对其罚款3.45亿欧元。

　　2024年3月14日，意大利竞争管理局认为，该社交平台的内容审核不到位，尤其是涉及未成年人和弱势群体的内容，分别处罚TikTok爱尔兰公司、英国公司、法国公司一千万欧元。

　　2025年5月，爱尔兰数据保护委员会作出决定，对Tiktok处以5.3亿欧元的罚款，并要求TikTok在6个月内整改合规。针对TikTok关于将欧洲经济区用户个人数据传输至中国进行的调查结果显示，TikTok违反了欧盟GDPR中有关数据传输和透明度的规定，TikTok未能证明对数据传输所受中国法律保护水平等同于欧盟标准，并且在用户信息披露方面存在不足。

　　2. DeepSeek封禁案

　　2025年1月，意大利数据保护监管机构Garante（意大利隐私保护局）对中国生成式人工智能公司DeepSeek展开调查，并于当月发布禁令，禁止其在意大利继续处理用户个人数据。这一行动源于Garante对DeepSeek合规性严重不足的担忧。

　　根据Garante的调查结果，DeepSeek在多个方面违反了欧盟《通用数据保护条例》（GDPR）。首先，DeepSeek的隐私政策仅提供英文版本，缺乏意大利语翻译，且内容模糊，未清楚说明收集何种个人信息、出于何种目的处理数据、适用何种法律依据，也未说明数据存储位置。其次，DeepSeek作为一家非欧盟公司，未按照GDPR第27条的要求在欧盟境内指定法律代表，这是向欧盟用户提供服务的前提条件之一。此外，Garante还指出DeepSeek存在未经用户授权收集数据的行为，包括自动采集IP地址、设备标识符、浏览偏好等个人信息，未履行告知与同意义务，同时可能将数据传输并存储于中国，未提供合法的跨境传输机制，如标准合同条款（SCC）或其他充分保障措施。

　　鉴于DeepSeek未能在监管限期内提供充分解释与改进方案，Garante依照GDPR第58条发布紧急命令，要求DeepSeek立即停止在意大利境内的所有数据处理活动，并强制将其移动应用从意大利区Apple和Google应用商店下架。虽然网页版仍暂时可访问，但处理意大利用户数据的行为已被法律禁止。此案标志着欧盟对非欧盟生成式AI工具采取更严格的数据主权保护立场，意味着未来所有面向欧盟市场的AI产品必须在透明度、合法性和数据传输机制上符合GDPR要求，否则将面临封禁、罚款甚至全面市场退出的风险。

　　三、美国

　　1. 米哈游数据合规处罚

　　2025年1月17日，美国联邦贸易委员会（Federal Trade Commission，简称FTC）宣布，对《原神》（Genshin Impact）的开发与运营实体Cognosphere LLC处以2000万美元民事罚款。该案件的主要指控包括：未经家长同意收集13岁以下儿童的个人信息，违反《儿童在线隐私保护法》（Children’s Online Privacy Protection Act，简称COPPA）；以及在游戏内“盲盒”抽卡机制中提供误导性概率信息，构成对消费者的欺骗，违反《联邦贸易委员会法》（FTC Act）第5条的相关规定。

　　FTC调查发现，Cognosphere在其运营的《原神》游戏及相关服务中，收集了大量13岁以下儿童的个人数据，包括姓名、电子邮件、位置信息和设备标识符等内容，但未获得家长的“可验证同意”（verifiable parental consent），这一行为直接违反了COPPA的核心要求。此外，该公司未在其隐私政策中充分披露数据收集与使用方式，未向家长提供知情权和删除权，也没有采取足够的安全措施来保护所收集的儿童数据。

　　除了儿童隐私问题，FTC还指出，Cognosphere在《原神》的“祈愿”系统（即抽卡、盲盒机制）中存在严重的欺诈性商业行为。游戏中提供的稀有角色和物品被设定了具体的掉落概率，但该公司对这些概率的披露不清晰甚至存在故意误导。例如，在某些活动中临时更改概率分布却未明确告知玩家，导致玩家在不知情的情况下花费大量金钱。这种不透明的机制特别影响了未成年用户的消费决策，构成对消费者的不正当诱导。

　　2. Meta数据合规处罚

　　2019年，Meta因剑桥分析公司未经用户同意获取数百万Facebook用户数据的事件，被美国联邦贸易委员会（FTC）处以50亿美元罚款。

　　2023年5月，因违反GDPR，爱尔兰数据保护委员会向Meta爱尔兰公司开出了12亿欧元的罚单。关于GDPR第46(1)条，爱尔兰隐私监管机构指责该公司在提供服务时，未能在将个人数据从欧盟或欧洲经济区（EEA）转移到美国的过程中提供足够的数据隐私保护。

　　2024年6月，意大利反垄断机构（AGCM）对Meta处以350万欧元罚款，因调查发现Meta在Facebook和Instagram注册过程中，未能明确告知用户其个人数据将用于商业目的，违反了意大利相关规定。

　　2024年11月，韩国个人信息保护委员会（PIPC）对Meta处以216亿韩元（约合1500万美元）罚款，PIPC指出，Meta在未获得用户同意的情况下，非法收集和处理用户的个人数据，违反了韩国《个人信息保护法》。 

　　3. SHEIN数据合规处罚

　　Shein 是一家总部位于中国的全球快时尚电商平台，其母公司为Zoetop Business Company（后更名为 Shein Distribution Corporation）。2018年，Zoetop遭遇了一次严重的数据泄露事件，黑客从其系统中窃取了约3900万名消费者的个人信息，包括姓名、电子邮件地址、加密密码和部分信用卡信息。

　　尽管事发时Zoetop向外披露称仅有642万账户受影响，且否认信用卡信息泄露，但之后的司法调查显示，事件的真实影响范围远超其公开所称。

　　经纽约州总检察长办公室（OAG）调查，发现 Zoetop 存在以下多项严重违法行为：（1）误导性披露与隐瞒：公司对数据泄露事件的实际规模进行了误导性披露，隐瞒了总计近 3900 万账户受影响的事实。并未告知大量受影响的用户，存在重大信息通知缺失。（2）未采取必要的安全措施：在数据泄露后，Zoetop 并未要求所有用户更改密码；对受影响用户账户未做任何自动封锁或数据风险预警。（3）违反数据保护义务：公司缺乏合理的数据加密、访问控制和安全事件响应机制；未及时报告给监管机构，违反了多个州关于数据泄露通知的法规。

　　最终，2022年10月，纽约州总检察长Letitia James宣布与Zoetop达成和解，Zoetop 被处以190万美元民事罚款；此外，Zoetop被要求实施全面的信息安全计划，包括加强数据保护措施，并在2027年之前每年提交第三方评估报告。