夜雨聆风
新规目录
亚太地区
中国
1.《中华人民共和国网络安全法》,施行日期:2026年1月1日
(原文链接:https://www.cac.gov.cn/2025-12/29/c_1768735112911946.htm)
核心影响与合规建议:标志着网安法治迈入“智能时代”。新增AI安全监管条款,强化关键信息基础设施保护。企业需确保AI研发中的算法备案与安全评估同步。
2.《个人信息出境认证办法》,施行日期:2026年1月1日
(原文链接:https://www.cac.gov.cn/2025-10/17/c_1762449728720008.htm)
核心影响与合规建议:细化了非关键信息基础设施运营者通过认证方式出境数据的路径。对于数据量未达安全评估标准但有频繁出境需求的企业,认证是最高效的合规路径。
3.《能源行业数据安全管理办法(试行)》,施行日期:2026年7月1日
(原文链接:https://www.gov.cn/zhengce/zhengceku/202512/content_7051044.htm)
核心影响与合规建议:构建了能源行业数据安全的三级分类分级保护体系及“国家—省级—企业”三级监管架构,填补监管空白,强化数据安全与合规要求。
4.《邮政业关键信息基础设施安全保护管理办法(试行)》,施行日期:2026年2月1日
(原文链接:https://www.spb.gov.cn/gjyzj/c200025/202512/f448c0b55d9044028408ba563d9a5e7b.shtml)
核心影响与合规建议:明确邮政业关键信息基础设施安全保护的责任与要求,强化全流程安全管理。
5. 即将实施的国家标准
《数据安全技术 数据交易服务安全要求》GB/T 37932-2025,2026年7月1日实施;
《网络安全技术 网络安全试验平台 体系架构》GB/T 46820-2025,2026年7月1日实施;
《数据安全技术 数据接口安全风险监测方法》GB/T 46796-2025,2026年7月1日实施;
《网络安全技术 标识密码认证系统密码及其相关安全技术要求》GB/T 46798-2025,2026年7月1日实施;
《数据安全技术 电子产品信息清除技术要求》GB 46864-2025,2027年1月1日实施;
《网络安全技术 公钥密码应用技术体系框架》GB/T 46795-2025,2026年7月1日实施;
《网络安全技术 网络安全产品互联互通 第2部分:资产信息格式》GB/T 44886.2-2025,2026年7月1日实施;
《网络安全技术 网络安全产品互联互通 第3部分:告警信息格式》GB/T 44886.3-2025,2026年7月1日实施。
越南
《个人数据保护法》,生效日期:2026年1月1日
(原文链接:https://thuvienphapluat.vn/van-ban/bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx)
核心影响与合规建议:越南首部全面个人数据保护法律。在越南有电商、社交或金融业务的企业,需在2026年前完成本地数据处理协议的签署。
韩国
《人工智能基本法实施细则》草案(Enforcement Decree of the AI Basic Act )2026年1月22日生效
(原文链接:https://www.msit.go.kr/eng/bbs/view.do?sCode=eng&mId=4&mPid=2&pageIndex=&bbsSeqNo=42&nttSeqNo=1191&searchOpt=ALL&searchTxt=)
核心影响与合规建议:构建起韩国人工智能领域从研发到应用的全流程监管框架与安全准则,重塑产业合规生态。
印度
《数字个人数据保护法》(DPDP 法案)第二阶段将于2026年11月开始实施
(原文链接:https://www.indiacode.nic.in/handle/123456789/22037?locale=en)
核心影响与合规建议:实施“同意管理人”注册流程。印度业务需对接新的同意管理接口,确保用户撤回同意的路径畅通。
欧盟地区
《网络弹性法案》(CRA)制造商的报告义务将于2026年9月11日生效
(原文链接:https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R2847)
核心影响与合规建议:构建欧盟统一的网络安全产品与服务监管框架,强化全生命周期安全要求。
《人工智能法案》(EU AI Act)关键节点2026年8月2日
(原文链接:https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R1689)
核心影响与合规建议:全球首部全面监管AI的法律。2026年8月2日,剩余条款开始适用,第6条(高风险人工智能系统的分类规则)第1款除外,大部分合规义务将全面生效。
美国
1. 加州《消费者隐私保护法》(CCPA)新规2026年1月1日生效
(原文链接:https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&lawCode=CIV&part=4.&title=1.81.5)
核心影响与合规建议:更新的CCPA涵盖网络安全审计、风险评估、自动决策技术 (ADMT)等新规。涵盖自动决策技术(ADMT)审计,并强制要求大型平台披露AI生成内容。
2.加州《人工智能透明法案》(Assembly Bill 853 California AI Transparency Act)2026年8月生效
(原文链接:https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=202520260AB853)
核心影响与合规建议:该法案规定了对大型在线平台的要求、采集设备制造商的义务和GenAI 系统托管平台的义务。该法案分阶段实施,自2027年1月1日起,平台必须检测并披露由人工智能生成或修改的内容的来源数据、托管平台必须确保 AI 系统进行必要的披露;自2028年1月1日起,制造商必须提供对采集内容中潜在披露的选项。
3. 自2026年1月1日起,《俄勒冈州消费者隐私法案》(OCPA)整改通知期限届满,允许执行更严格的执法措施。
(原文链接:https://www.dlapiper.com/en/insights/publications/2023/07/oregon-enacts-latest-comprehensive-consumer-data-privacy-law)
核心影响与合规建议:监管机构开启“直接处罚”模式,不再提供违规整改的宽限期。
4.《德克萨斯州负责任人工智能治理法案》(House Bill 149 for the Texas Responsible Artificial Intelligence Governance Act)将于2026年1月生效
(原文链接:https://capitol.texas.gov/tlodocs/89R/billtext/pdf/HB00149F.pdf#navpanes=0)
核心影响与合规建议:严禁社交评分系统,规范生物识别。需注意《应用商店问责法》目前因禁令停滞。
5.《印第安纳消费者数据保护法》(ICDPA)将于2026年1月生效
(原文链接:https://iga.in.gov/ic/2024/Title_24/Article_15.pdf)
核心影响与合规建议:全面隐私法,赋予消费者访问、更正、删除权。
6. 《肯塔基消费者数据保护法》(KCDPA) 将于2026年1月生效
(原文链接:https://apps.legislature.ky.gov/record/24rs/hb15.html)
核心影响与合规建议:类似于弗吉尼亚州模式,针对大规模处理个人数据的企业。
7. 《罗德岛数据透明与隐私保护法》(RIDTPPA) 将于2026年1月施行
(原文链接:https://webserver.rilin.state.ri.us/PublicLaws/law24/law24469.pdf)
核心影响与合规建议:凡在罗德岛达标的企业必须向消费者提供访问、更正、删除、可携带及退出定向广告/数据销售等权利,并在处理敏感数据前获得明确同意,否则将面临罚款或整改。
沙特阿拉伯
《个人数据保护法》(PDPL) 执行条例,2026年11月1日生效
(原文链接:https://dgp.sdaia.gov.sa/wps/wcm/connect/f579bc32-fda8-47bd-bc6f-66b8cb77985c/ENG-Guide+to+the+saudi+PDP+law+for+controllersprocessors.pdf?MOD=AJPERES)
核心影响与合规建议:合规宽限期将于2026年11月1日截止,出海中东企业需关注。
巴西
《人工智能法案》(Bill 2338/2023),2026年内生效
(原文链接:https://www25.senado.leg.br/web/atividade/materias/-/materia/177848)
核心影响与合规建议:参议院已通过,预计2026年全面落地,建立风险等级监管。
数据跨境流动的“平衡术”——如何在多重监管下求生存?
如果欧盟GDPR要求我必须证明目的地国(中国)有同等保护水平,而中国《数据安全法》又要求某些数据必须本地化且严禁未经许可向境外司法调取,我该听谁的?
这不再是理论探讨,而是已经发生的真实博弈。
01
TikTok 5.3亿欧元罚单(2025年7月)
•案情:爱尔兰数据保护委员会(DPC)判定TikTok在2020 - 2023年期间,在没有建立起有效跨境传输机制的情形下,把欧洲用户的数据传输到了中国,这一行为违反了《通用数据保护条例》(GDPR)的第46条。
•启示: 仅仅签署《标准合同条款》(SCCs) 已不足以应对监管。监管机构现在会穿透合同,审查数据接收方所在国的实际执法环境。
02
迪奥(Dior)上海行政处罚案(2025年9月)
•案情: 迪奥上海因未经安全评估、未签署标准合同、未获得认证,擅自将用户信息传输至法国总部,被上海公安机关处以行政处罚。
•启示: 这是中国首例公开的针对非法跨境传输个人信息的行政处罚。它释放了一个明确信号:中国监管机构已开启“实战化”执法,跨国公司不再有“合规豁免权”。
在数据跨境的博弈中,“模糊地带”正在消失。企业不能再抱着“两头瞒”的侥幸心理,而必须建立一套“以中国法为底线,以境外法为高标”的全球一体化合规架构。这虽然在短期内增加了成本,但却可能是避免天价罚单的唯一途径。在您跨境运营和出海的征程中,万商天勤各地办公室的数据法律团队有能力在以下方面协助您:
