05-06 合规与AI监管日报-夜雨聆风

05-06 合规与AI监管日报

全球数字合规与AI监管日报2026-05-06 | 一手信源 / 深度解读

📌 国内动态网信办 / 工信部 / 公安部 / 市场监管总局

三部门通报33款App个人信息收集使用问题，天气汇、雅思斩单词等在列中央网信办 / 工信部 / 公安部 | 2026-04-274月27日，微信号”网信中国”发布关于33款App个人信息收集使用问题的通报。根据中央网信办、工业和信息化部、公安部联合发布的《关于开展2026年个人信息保护系列专项行动的公告》，中央网信办组织对App（含小程序）收集使用个人信息行为进行检测，33款App因个人信息收集使用问题被通报。

四大违规类型一、无个人信息收集使用规则（15款App） 全能查询宝、商伴同恒等15款App无个人信息收集使用规则，或在首次运行时未通过弹窗等明显方式提示用户阅读个人信息收集使用规则，违反了《个人信息保护法》关于告知同意的基本要求。

二、SDK未逐一列明且未获用户同意（2款App） 雅思斩单词、票豆等2款App未逐一列出收集使用个人信息的SDK，且未取得用户同意。SDK是App中常用的第三方工具包，部分App通过集成SDK在用户不知情的情况下收集信息，是近年来监管重点关注的灰色地带。

三、违反必要原则收集无关信息（4款App） 贝利自动点击器、万达普惠等4款App违反必要原则，收集与其提供的服务无关的个人信息。”必要原则”是《个人信息保护法》第六条确立的核心原则，要求收集个人信息应限于实现处理目的的最小范围。

四、未提供有效账号注销途径（12款App） 初念、零零汽等12款App未提供有效账号注销途径，或为用户注销账号设置不合理条件。账号注销权是《个人信息保护法》第47条明确赋予用户的权利。

合规要点与影响 通报要求相关App运营者于通报发布之日起15个工作日内完成整改。此次通报反映了2026年个人信息保护专项行动的持续深化，执法重点从”有没有隐私政策”转向SDK透明度、数据最小化和用户退出权等更深层次的合规要求。

▲ 原始页面截图

工信部新修订《通信短信息服务管理规定》5月1日正式实施工信部 | 2026-05-062026年5月1日，工信部新修订的《通信短信息服务管理规定》正式施行，从源头授权、全链条监管、用户维权三方面构筑防线，强化个人信息安全保护。

核心机制：切断骚扰源头 新规确立了”明示同意”原则——商家发送任何商业短信前，必须获得用户主动勾选、单独授权的明确同意，默认捆绑、隐藏条款等”变相同意”方式均属违规。服务类短信（如验证码、银行通知）严禁夹带广告，商业营销必须使用独立端口并标注真实企业名称。新规还设置了发送时段限制（禁止22:00至次日8:00发送营销短信）和频次上限（同一商家对同一用户每日限发3条）。

全链条监管：堵截违规漏洞 退订机制方面，所有商业短信须提供免费简易的退订方式（如回复”TD”），退订指令须在24小时内生效且永久有效。新规还建立了实名溯源与全链条追责机制，运营商须记录发送时间、内容及接收方信息，留存至少6个月。技术层面，三大运营商利用AI识别高风险内容，对未报备的营销端口自动拦截。违者面临1万至3万元罚款，严重者可吊销资质或移交公安。

行业影响与合规建议 这一新规标志着我国在通信领域个人信息保护从”粗放式管理”迈向”精细化治理”。对于依赖短信营销的电商、金融、教育等行业，需要全面重构其短信推送合规体系。企业应立即开展短信营销合规审计，确保已获得有效用户授权，并在系统中部署退订自动化处理流程。

▲ 原始页面截图

欧盟AI法案改革谈判破裂，三方未达成一致，高风险系统合规倒计时IAPP / Reuters | 2026-04-294月28日至29日凌晨，欧洲议会、欧盟理事会和欧盟委员会就”数字综合法案”（Digital Omnibus on AI）进行了长达12小时的三方谈判，最终未能达成协议。

核心争议 最大分歧在于AI法案附件一（Annex I）的处理方式。欧洲议会主张将附件一A节中的部分行业规则移至B节，将嵌入式AI系统从AI法案直接管辖中豁免，转由行业法规管理。欧盟理事会对此持反对立场，担心削弱AI法案横向框架。

关键时间线 此前三方已就延期达成初步共识：附件三高风险系统延至2027年12月2日，附件一嵌入式AI延至2028年8月2日。然而谈判破裂意味着延期尚未生效，附件三高风险系统仍需按原定2026年8月2日完成合规。

各方反应 荷兰议员Kim van Sparrentak批评”大科技公司可能在开香槟”。Digital Europe支持简化方案。前谈判代表Laura Caroli警告可能”破坏标准化生态系统”。下一轮谈判预计5月中旬进行，爱尔兰将于6月30日接任欧盟轮值主席国。

合规建议 企业应同时做好两手准备：继续按2026年8月2日原始期限推进合规，同时关注下月谈判进展。涉及嵌入式AI的企业应评估是否需同时满足AI法案和行业法规的双重合规要求。

▲ 原始页面截图https://iapp.org/news/a/eu-ai-act-reform-talks-stall-as-key-compliance-deadline-looms

AI治理中心深度解读：欧盟AI综合法案何去何从IAPP AI Governance Center | 2026-04-29IAPP AI治理中心发布专文，分析4月28日三方谈判破裂的深层影响。

架构之争 争论不仅关乎时间线，更关乎AI法案的监管架构。议会方案将大量嵌入式AI系统移出AI法案管辖，由行业法规管理。报告员McNamara议员警告这可能”放松管制而非简化”，40多个公民社会组织表达了类似担忧。

标准化体系风险 CEN-CENELEC AI标准开发主席Hallensleben表示，希望不会对AI法案进行结构性改变，”因为这将使过去几年来的工作基础失效”。

合规行动建议 AI治理专业人员应重新审视合规时间规划，不要假设延期会自动生效。建议企业按原始期限2026年8月2日推进合规准备，同时为产品中嵌入AI的场景准备AI法案和行业法规两套合规方案。

▲ 原始页面截图https://iapp.org/news/a/ai-act-omnibus-what-just-happened-and-what-comes-next

IAPP欧洲月度回顾：2026年4月欧洲AI监管全景IAPP Europe | 2026-04-30IAPP欧洲编辑部发布4月AI监管月度回顾，涵盖多项重要动态。

英国AI网络安全 英国科学创新与技术部发布公开信警告AI驱动网络威胁。NCSC发布网络安全能力提升指南。ESMA警告快速演进的AI所带来的网络风险。

荷兰聊天机器人指南 荷兰数据保护和竞争监管机构正联合制定聊天机器人客户服务的负责任使用指南，草案夏季公开征求意见，秋季发布最终版。

比利时和瑞典 比利时数据保护局4月13日发布AI对隐私影响的首份指南。瑞典IMY宣布预算增加以履行AI法案职责。

欧盟层面 4月9日为EU AI大陆行动计划发布一周年。委员会将于5月27日提出《云与AI发展法》提案。AI Gigafactories项目持续推进中。

▲ 原始页面截图https://iapp.org/news/a/notes-from-the-iapp-europe-what-happened-on-the-ai-front-in-europe-this-april

参议院司法委员会一致通过GUARD法案，保护未成年人免受AI聊天机器人伤害IAPP | 2026-05-01美国参议院司法委员会4月30日一致通过跨党派法案GUARD Act，现已提交参议院全体审议。

核心内容 法案由参议员Hawley牵头，要求：隐私保护型年龄验证、禁止18岁以下用户与AI伴侣互动、交互前后必须告知用户正在与AI互动。允许提供适合年龄的学习和休闲AI体验。执法权归属联邦和各州总检察长，每次违规最高25万美元罚款。

立法格局 与KOSA和COPPA 2.0并行推进。同名众议院版本同日推出。两党合作表明AI与儿童安全是美国国会少有的共识领域。

行业影响 如签署生效将于180天后实施，对Character.ai、Replika等AI伴侣服务企业影响显著。出海企业也需关注此立法趋势。

▲ 原始页面截图https://iapp.org/news/a/us-senate-judiciary-tees-up-ai-chatbot-companion-safety-debate

加州SB 53与纽约RAISE法案：州级前沿模型治理的先行经验IAPP | 2026-04-29加州和纽约成为美国首批对AI基础模型开发者施加透明度和问责要求的州。

加州SB 53 《前沿人工智能透明度法案》2025年9月29日签署，建立基础模型透明度标准和报告要求，包含举报人保护条款。

纽约RAISE法案 《负责任AI安全与教育法案》2025年12月19日签署，经修正后与加州框架趋于一致。差异包括RAISE法案事件报告截止日期更短。

行业影响 标志着美国AI治理从联邦讨论走向州级实践。AI基础模型开发者需建立灾难性风险评估、透明度报告和事件响应机制。先导立法很可能被其他州效仿，形成事实上的全国性标准。

▲ 原始页面截图https://iapp.org/news/a/the-new-frontier-lessons-from-california-s-sb-53-and-new-york-s-raise-act

加州隐私局推进数据经纪人执法加强，探讨欧盟充分性认定IAPP / CalPrivacy | 2026-05-04加州隐私保护局（CalPrivacy）5月1日董事会会议聚焦三大议题。

数据经纪人执法 计划在Delete Act 8月1日截止日前加大执法力度。目前仅575家注册，实际数据经纪人以千计。超28.5万加州居民已提交DROP删除请求。8月1日后注册经纪人需每45天执行数据删除扫描。

反对联邦SECURE Data Act CalPrivacy明确反对国会推进的SECURE Data Act，认为该法案弱于CCPA，将消除加州人现有的隐私权利和保护。

欧盟充分性认定 董事会讨论了CCPA与GDPR之间的充分性认定可能性。如获认定，个人数据可在两地自由流动。虽然处于早期讨论阶段，但这一动向值得持续关注。

▲ 原始页面截图https://iapp.org/news/a/calprivacy-explores-data-broker-enforcement-uptick-eu-adequacy-prospects

加拿大隐私专员发布年龄验证指南，预告OpenAI调查结果IAPP / OPC Canada | 2026-05-04加拿大隐私专员Dufresne在IAPP加拿大研讨会上发布年龄验证技术新指南，并预告OpenAI ChatGPT调查结果。

年龄验证指南 分面向平台运营商和技术开发商两部分，规定数据最小化标准、禁止验证后二次使用数据、数据删除实践。目标是确保年龄验证支持儿童安全而不过度影响隐私。

OpenAI调查结果 预告将于5月6日发布OpenAI ChatGPT联合调查最终决定，由OPC与多个省级数据保护机构联合开展。预期将为加拿大AI产品监管期望提供清晰度。

X平台深度伪造调查 加速调查社交平台X允许用户创建非自愿露骨深度伪造图像的行为。

国际合作 以全球隐私大会（GPA）主席身份强调国际合作，61个参与国发表联合声明呼吁企业设计AI时将隐私纳入考量。

▲ 原始页面截图https://iapp.org/news/a/privacy-commissioner-of-canada-delivers-keynote-address-at-iapp-canada-symposium-2026

日本内阁批准APPI修正案：数据利用与生物识别保护并举IAPP | 2026-04-30日本内阁4月7日批准《个人信息保护法》（APPI）修正案并提交国会，预计当前会期内通过。

促进数据利用 新增”统计信息创建”同意豁免，涵盖特定AI开发。满足严格条件下，企业可收集公开敏感个人信息并共享用于统计目的，无需数据主体同意。学术研究例外明确涵盖医院和诊所。

生物识别新规 引入”特定生物识别个人信息”概念（面部识别数据），要求通知数据主体并赋予无条件暂停使用权。

行动建议 在日运营企业应评估哪些数据处理活动可受益于新豁免，涉及面部识别的需评估通知义务合规差距，关注后续实施细则时间表。

▲ 原始页面截图https://iapp.org/news/a/navigating-japan-s-proposed-appi-amendments-key-timelines-open-issues-and-action-points

本期共收录 10 条资讯（国内 2 / 欧盟 3 / 美国 3 / 其他 2）全球数字合规与AI监管日报 · 每日更新