境外动态  

　　一、美国某大型互联网公司就其视频平台侵犯儿童隐私集体诉讼同意支付3000万美元和解

　　【预警资讯】

　　2025年8月19日，美国某大型互联网公司及其子公司就其视频平台上侵犯儿童隐私的集体诉讼，同意支付3000万美元达成和解。本案最初于2019年10月25日在美国加利福尼亚北区联邦地区法院提起。原告为一群未成年人，由他们的监护人代表，指控大型互联网公司及其子公司违反了《儿童在线隐私保护法案》（COPPA），在儿童观看面向儿童内容时，收集了持续性识别码及其他个人数据。（资讯来源：路透社）

　　【要点提示】

　　建议企业关注以下要点：一是COPPA于2000年4月21日生效，并于2025年4月22日进行了修订，适用于美国管辖范围内的个人或实体在线收集有关13岁以下儿童的个人信息。法案明确了运营商在保护儿童隐私和安全方面的责任，限制运营商对13岁以下儿童进行营销；二是COPPA对企业儿童隐保护提出严格要求。运营商不能仅凭自身的年龄限制条款作为免责依据，若明知或可合理预见存在儿童用户，仍需严格履行父母告知与获取同意义务。一旦被认定违反该义务，将会承担严重的民事责任。

　　二、韩国个人信息保护委员会因某电信企业SIM卡信息泄露对其处约1348亿韩元罚款

　　【预警资讯】

　　2025年8月28日，韩国个人信息保护委员会（PIPC）因某电信企业SIM卡信息泄露对其处约1348亿韩元罚款，并因疏于及时防止损害扩大对其追加960万韩元罚款。经查，该电信企业于今年遭遇网络攻击，导致近2300万用户的数据泄露，暴露出其存在的三大问题：一是未履行采取安全措施的义务；二是未指定个人信息保护负责人并履行职责；三是在向用户告知数据泄露事件时存在延迟。韩国个人信息保护委员会要求其在三个月内提交整改方案，并取得ISMS-P认证。（资讯来源：韩国个人信息保护委员会）

　　【要点提示】

　　建议企业关注以下要点：一是调查结果显示，涉罚企业在网络安全管理方面存在多重缺陷，包括疏于访问控制措施、疏于访问权限管理、未实施安全更新、USIM卡认证密钥未加密、疏于指定个人信息保护负责人及履行相关职责、延迟通知个人信息泄露等；二是延迟告知用户数据泄露事件导致追加罚款，凸显企业在发生数据泄露时及时、透明通知用户及监管机构的重要性；三是韩国个人信息委员会为防止类似事件再次发生，将进一步加强对大型个人信息处理者的管理与监督，并制定个人信息安全管理体系强化方案。

　　三、国际标准化组织发布《ISO/IEC 27018:2025 信息安全、网络安全和隐私保护—公共云作为PII处理者对个人身份信息（PII）保护的指南》

　　【预警资讯】

　　2025年8月26日，国际标准化组织（ISO）和国际电工委员会（IEC）联合发布了《ISO/IEC 27018:2025信息安全、网络安全和隐私保护—公共云作为PII处理者对个人身份信息（PII）保护的指南》（以下简称《指南》）。ISO指出，《指南》以ISO/IEC 27002（信息安全管理核心标准）为基础，为公共云服务中个人身份信息（PII）的保护提供指导，尤其适用于云服务提供商作为个人身份信息处理者的场景。（资讯来源：国际标准化组织）

　　【要点提示】

　　建议企业关注以下要点：一是《指南》基于ISO/IEC 27002，提供针对云环境的安全控制措施和管理原则，涵盖数据处理、访问控制、风险管理及透明度要求；二是企业需关注云服务中个人身份信息（PII）处理不透明风险，若未明确界定云服务商作为PII处理者的角色与责任，或未在合同中约定数据处理范围、方式与安全义务，可能导致数据滥用、越权访问或违规跨境传输，违反隐私保护法规；三是企业需关注跨境数据传输合规冲突风险，在使用公共云存储或处理PII时，若未识别数据物理存储位置及适用的司法管辖要求，可能因数据自动复制至境外服务器而违反本国数据本地化或出境监管规定，引发监管处罚。