OpenAI 主动向欧委会提供网络安全AI模型访问权

2026年5月12日（星期二）

01. OpenAI向欧盟委员会提供网络安全AI模型访问权；委员会就Anthropic Claude Mythos持续施压

欧盟正在担心前沿 AI 模型带来的网络安全风险，尤其是这类模型可能被用于发现和利用系统漏洞；在 Anthropic 不愿开放 Claude Mythos 访问权限的背景下，OpenAI 主动向欧盟委员会提供新模型访问，试图争取监管信任。

据IAPP于2026年5月12日报道，在欧盟监管机构能否获得前沿AI系统访问权存在不确定性的背景下，OpenAI已主动向欧盟委员会提出提供其最新网络安全AI模型访问权限。该模型具备识别网络漏洞及利用防御缺口的能力。OpenAI欧洲业务负责人、前英国财政大臣乔治·奥斯本（George Osborne）已致函委员会，表示已启动与各成员国的接洽程序，旨在协助保护欧洲机构、公用事业及重要基础设施。

与此同时，欧盟委员会持续向Anthropic施压，要求其提供Claude Mythos模型的访问权限。此前，Anthropic以"通知时间过短"为由，拒绝了与欧洲议会议员及欧盟网络安全局（ENISA）代表会面讨论Mythos网络风险的邀请。AI Office主任Lucilla Sioli在5月6日欧洲议会内部市场与消费者保护委员会（IMCO）听证会上确认，自2026年8月2日AI Act执法条款生效后，Anthropic将受AI Office管辖。Sioli表示，AI Office已与Anthropic进行部分磋商，但尚未获得Mythos访问权限。她指出，该模型在网络安全方面展现出"显著能力"，并对未来其他模型能力提升可能带来的防御压力表示担忧。

前ENISA管理委员会成员Hans de Vries则淡化了目前缺乏Mythos访问权可能带来的"末日"风险，指出企业已在利用现有AI模型修补自身漏洞。欧盟委员会DG CONNECT官员Despina Spanou强调，在继续争取Mythos访问权的同时，欧盟将通过实施现有网络法规来加强防御态势。她指出，目前仅有少数成员国尚未将NIS2指令转化为国内法（27国中已有21国通过），NIS2及将于2027年12月生效的《网络弹性法案》（Cyber Resiliency Act）将进一步强化欧盟网络安全防御体系。

原文链接：https://iapp.org/news/a/openai-grants-european-commission-access-to-new-model-as-eu-considers-frontier-ai-cybersecurity-risks

02. EDPB发布第13/2026号意见：芬兰数据保护监察专员办公室认证机构认可要求草案决定

欧洲数据保护委员会（EDPB）于2026年5月12日正式发布第13/2026号意见，依据GDPR第64条对芬兰数据保护监察专员办公室（FI SA）关于批准认证机构认可要求的草案决定进行审查。

1. 文件背景

根据 GDPR 第43条，数据保护认证机构在开展 GDPR 认证业务前，需要获得认可。芬兰的制度安排是：

芬兰国家认可机构 FINAS 负责对认证机构进行认可；
芬兰数据保护监察员办公室 FI SA 负责制定附加认可要求；
这些要求需要提交 EDPB，通过 GDPR 一致性机制进行审查。

EDPB 审查的目的不是制定一套全欧完全相同的认可规则，而是避免成员国之间出现重大不一致，尤其是影响认证机构独立性、专业性和认证可信度的不一致。

2. EDPB 的总体评价

EDPB 没有否定芬兰草案的整体方向，但认为部分条款可能导致认证机构认可要求在成员国之间适用不一致，因此要求芬兰作出若干修改。

EDPB 的审查重点包括：

认证机构的独立性；
利益冲突管理；
认证机构的专业能力；
认证程序是否透明、可复核；
证书签发、复审、暂停和撤销机制；
投诉和申诉处理机制；
认证对象是否被清楚界定。

3. 主要修改建议

1）术语使用需要更准确

EDPB 指出，芬兰草案中 “target of evaluation”（评估对象 / 认证对象）一词使用不够一致。EDPB 认为，芬兰草案在这里混淆了“被认证的处理活动”和“认证机构自身的合规行为”。如果条款意在要求认证机构报告其自身在认证业务中的 GDPR 合规问题，就不应写成与认证对象有关，而应明确指向认证机构在认证活动范围内处理个人数据的行为。

2）不能只提芬兰监管机构

草案中有些条款只提到芬兰数据保护监察员办公室。EDPB 认为这过窄，因为 GDPR 认证活动可能涉及其他成员国监管机构。

因此，EDPB 建议将相关表述改为 “任何有管辖权的监管机构”，以确保其他成员国监管机构的任务和权限不受影响。

3）应明确哪些关系可能影响认证机构独立性

草案要求认证机构确认其与认证申请人之间不存在“相关联系”。EDPB 认为，“相关联系”应当进一步明确。

例如：

认证机构与申请人之间存在可能影响公正性的经济关系；
双方属于同一集团或同一法律实体；
申请人能够控制认证机构；
双方存在控制者与处理者关系。

EDPB 建议 FI SA 对此作出说明，以便认证机构和认可机构能够统一理解和适用。

4）人员资质表述需要区分 EEA 内外

草案中关于认证机构技术人员、法律人员学历要求的表述使用了 “foreign university” 或 “state-recognised university”等措辞。

EDPB 建议改为更准确地区分：

EEA 其他成员国的大学；
EEA 以外、被国家认可的大学。

这主要是为了避免学历认可标准在欧盟/EEA 内外适用不清。

5）认证申请材料应包括控制者—处理者协议

EDPB 建议，如果认证申请涉及处理者，申请人应提交与认证评估对象相关的控制者—处理者协议。

这意味着认证机构在评估某项数据处理活动是否符合 GDPR 时，不仅要看处理活动本身，也要看外包、处理者安排和 Art. 28 GDPR 下的合同关系。

6）认证文件必须清楚界定认证对象

EDPB 认为，草案中关于认证文件如何描述认证对象的条款存在重复和表述不清。

因此，EDPB 建议删除重复条款，并明确要求认证文件中应清楚识别、命名和描述认证对象，包括类似名称或版本。

7）证书撤销或暂停不得超出认证范围

芬兰草案中有一项规定，如果被认证实体发生严重 GDPR 违法或重大数据泄露，认证机构应认定其不再符合认证条件。

EDPB 认为，这一规定可能过宽。认证机构应当只评估这些违法行为或数据泄露是否影响认证对象本身。如果事件与认证范围无关，认证机构不应当然认定证书条件不再满足。

因此，EDPB 建议删除该条款。

原文链接：https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-132026-draft-decision-office-data_en