境外动态

　　一、美国食品药品监督管理局放宽细胞和基因疗法监管要求

　　【预警资讯】

　　2026年1月11日，美国食品药品监督管理局（FDA）宣布将对细胞和基因疗法（CGT）的化学、生产和控制（CMC）要求采取更为灵活的监管态度，旨在加速该领域药物的开发与审批进程。此项新政的核心在于，FDA下属的生物制品评价与研究中心（CBER）将主动沟通并推广此前已在特定CGT产品审批中尝试的监管灵活性措施，以消除研发过程中的障碍和认知误区。FDA明确强调，尽管放宽了部分生产制造环节的要求，但此举绝不会以牺牲产品的安全性、纯度或效力为代价，将持续保持对疗法获益与风险评估的严格要求。（资讯来源：美国食品药品监督管理局官方网站）

　　【要点提示】

　　建议相关企业关注如下要点：一是密切跟踪美国FDA关于细胞和基因疗法监管灵活性的具体指导文件和实施细则，深入理解新政策对产品研发、生产和审批流程的实际影响。二是评估自身在细胞和基因疗法领域的研发管线和生产能力，适时调整合规策略和内部流程。三是持续强化产品质量管理体系，确保在享受监管灵活性的同时，严格遵守FDA关于产品安全性、纯度及效力的核心要求，避免因合规疏漏引发风险。

　　二、法国国家信息与自由委员会对某电信运营商作出处罚决定

　　【预警资讯】

　　2026年1月13日，法国国家信息与自由委员会（CNIL）对某移动通信公司和某电信服务提供商分别处以2700万欧元和1500万欧元的罚款，总计4200万欧元。此前，在2024年10月，攻击者成功入侵了两家公司的信息系统，获取了2400万份用户合同的个人数据，其中包括同时是两家公司客户的用户的国际银行账号（IBAN）。CNIL的调查发现，两家公司在确保用户数据安全方面存在多项违规行为。具体而言，两家公司未能充分履行《通用数据保护条例》（GDPR）第32条规定的数据安全保障义务，其VPN连接认证程序不够健壮，且信息系统异常行为检测措施无效。此外，两家公司在数据泄露发生后，未能按照GDPR第34条的规定，向受影响的个人提供全面、必要的信息。针对某移动通信公司，CNIL还发现其违反了GDPR第5-1-e条规定的数据保留期限限制义务，未经正当理由长期保留了数百万前用户的个人数据。CNIL已责令两家公司在规定期限内完成安全措施的强化和数据清理工作。（资讯来源：法国国家信息与自由委员会官方网站）

　　【要点提示】

　　建议在境外开展业务的电信及相关服务企业关注如下要点：一是持续强化数据安全防护体系，特别是针对远程访问（如VPN）的认证机制和信息系统异常行为的监控与检测能力，以有效抵御日益复杂的网络攻击。二是严格遵守数据泄露通知义务，确保在发生数据泄露事件时，及时、准确、全面地向受影响的个人告知事件详情、潜在风险及可采取的保护措施，以履行透明化原则并降低用户损失。三是建立健全数据生命周期管理机制，定期对所持有的个人数据进行审查和分类，确保仅在实现特定目的所必需的期限内存储数据，并对超出保留期限的数据进行及时、彻底删除，避免因不当长期存储而引发合规风险。

　　三、法国国家信息与自由委员会发布欧洲GDPR工具部署情况地图

　　【预警资讯】

　　2026年1月14日，为了帮助各类组织根据其业务领域或所在国家，更便捷地识别和利用现有合规工具，法国国家信息与自由委员会（CNIL）近期发布了两份地图，详细展示了自《通用数据保护条例》（GDPR）生效以来，欧洲范围内经国家数据保护机构或欧洲数据保护委员会（CEPD）批准的认证机制和行为准则的部署情况，这些工具被视为促进专业人士合规进程的操作性工具，旨在通过统一特定行业的实践，为数据保护提供适当保障。其中，认证机制（依据GDPR第42条）能够证明某一产品、服务或数据处理活动符合经批准的特定数据保护标准，是一种自愿性的合规证明方式，有助于在数据控制者、数据处理者与用户之间建立信任。而行为准则（依据GDPR第40条）则将GDPR的各项义务转化为适用于特定行业活动的具体规则，由行业联合会或专业协会制定，一旦获得国家机构批准或CEPD意见，便对其成员产生约束力，并由经授权的控制机构负责监督执行。（资讯来源：法国国家信息与自由委员会官方网站）

　　【要点提示】

　　建议在欧洲开展业务或处理欧洲用户数据的企业关注如下要点：一是密切关注欧盟及各成员国数据保护机构（如法国CNIL）发布的最新合规工具和指南，特别是GDPR框架下的认证机制和行为准则，及时了解其适用范围和具体要求。二是利用CNIL此次发布的地图工具，识别与其行业和业务相关的已批准认证和行为准则，评估采纳这些工具的可行性，以提升数据保护合规水平并增强市场信任。三是企业可积极研究并参与行业特定的行为准则制定或采纳已批准的认证，不仅有助于标准化内部数据处理流程，还能在监管机构和消费者面前证明其对GDPR的承诺，有效降低潜在的合规风险。

　　四、西班牙数据保护局发布关于在人工智能系统中使用第三方图像风险的提示

　　【预警资讯】

　　为加强预防和宣传工作，为公众提供清晰的判断标准，以理解人工智能系统中使用图像所伴随的风险范围，西班牙数据保护局（AEPD）近期发布了一份信息说明，深入分析了在人工智能系统中使用第三方图像所带来的可见与不可见风险。该说明强调，即使在看似微不足道或娱乐性的场景中，此类行为也可能引发严重后果。在可见风险方面，AEPD特别关注了高风险情形，包括对图像主体进行性化处理、生成合成亲密内容、不实信息归因导致的声誉损害、图像脱离语境使用，以及涉及未成年人或处于特殊脆弱境地人群的内容使用。此外，AEPD还详细阐述了那些不那么显而易见的风险，即仅仅将图像或视频上传至人工智能系统，即使结果未公开发布，也可能产生风险。AEPD进一步指出，此类行为可能侵犯公民的荣誉权、隐私权和肖像权等基本权利，并可能触犯其他法律法规，包括刑法。（资讯来源：西班牙数据保护局官方网站）

　　【要点提示】

　　建议企业关注如下要点：一是全面审视和更新涉及人工智能系统处理第三方图像的内部政策与合规框架，确保其符合数据保护法规要求，特别是关于个人数据处理的合法性基础。二是建立健全的同意机制和透明度原则，确保在收集和使用第三方图像时，已获得明确、知情且可撤销的同意，并充分告知数据主体其图像可能被AI系统处理的方式和风险。三是对于涉及第三方图像的人工智能系统，应常态化开展数据保护影响评估（DPIA），识别并有效缓解潜在的数据隐私风险，尤其关注对未成年人、弱势群体及敏感数据的处理。四是密切关注国际数据保护机构发布的最新指引和执法动态，警惕因不当使用AI图像技术而引发的法律责任，包括行政处罚乃至刑事责任风险，确保技术创新与合规经营并行不悖。

　　【声明】

　　1.本期信息内容由深圳市司法局编辑发布，由深圳市企业合规协会、深圳市市场监督管理局、深圳市医疗保障局提供信息支持，转载请注明以上信息；

　　2.本期信息仅做分享与交流之用，不构成深圳市司法局的任何法律意见或决策建议，同时并不保证将会在载明日期后继续对有关内容进行更新；

　　3.不建议读者仅依赖于本文中的全部或部分内容而进行任何决策，因此造成的后果将由行为人自行负责，如您需要法律意见或者其他专家意见，建议您向具有相关资格的专业人士寻求专业帮助。