夜雨聆风
本周合规观察
本周全球数据合规与AI治理动态呈现出几个清晰方向:
一、AI治理继续与国家安全、网络安全、关键基础设施和数字主权绑定,美国、欧盟、加拿大均释放出类似政策信号;
二、韩国在个人信息可携带、数据泄露响应、CPO组织治理方面动作密集,说明亚太重点市场的数据合规要求正在快速细化;
三、中国网络安全标准化继续推进,无人机、低空经济、信息安全服务能力等场景开始进入更具体的标准治理阶段;
四、智利等拉美国家也在推进网络安全基础规则建设,跨境企业需要把拉美从“低优先级市场”逐步纳入合规监测范围。
一、国内动态
2026年6月1日,全国网安标委TC260发布《关于下达3项网络安全推荐性国家标准计划的通知》,其中《网络安全技术 信息安全服务能力评估准则》等3项国家标准由TC260归口管理。
合规启示:网络安全服务能力评估标准将影响安全服务商、测评机构以及企业采购安全服务时的准入和评价依据。企业后续选择渗透测试、安全评估、数据安全服务、等保相关服务时,应关注供应商能力资质、交付证据、人员能力和服务过程留痕。
2026年6月3日,全国网安标委TC260就强制性国家标准《网络安全技术 民用无人驾驶航空器数据链路网络安全要求》公开征求意见,意见反馈截止时间为2026年7月31日。
合规启示:无人机、低空经济、智能硬件、通信模组、飞控系统、数据链路服务商应关注数据链路认证、加密、防篡改、抗干扰、远程控制安全和供应链安全要求。低空经济产品后续合规不只看适航、无线电和产品安全,也会越来越重视网络安全与数据传输链路安全。
2026年6月5日,全国网安标委TC260发布通知,征集《网络安全技术 信息安全服务能力评估准则》国家标准参编单位。
合规启示:该标准虽仍处于制定阶段,但说明网络安全服务能力评价将进一步标准化。安全服务机构可关注标准参与和能力建设机会;企业作为采购方,也可提前把服务能力、人员资质、交付质量、过程留痕、漏洞验证和持续服务能力写入供应商准入及合同条款。
二、国外动态
(一)欧洲地区
2026年6月3日,欧盟委员会发布加强欧洲技术主权的一揽子政策方向,内容包括推动Chips Act 2.0、Cloud and AI Development Act、欧盟开源战略、能源数字化与AI路线图等,目标是增强欧盟在芯片、云、AI、开源和数字基础设施方面的自主能力。
合规启示:欧盟数据与AI监管正在从“单一法规合规”转向“技术主权、数据可控、供应链韧性、可信云和可信AI”的组合要求。云服务商、AI基础设施企业、数据中心、开源软件服务商、面向欧盟公共部门或关键行业客户的供应商,应提前准备数据驻留说明、云架构文件、供应链清单、安全认证、开源合规和第三方依赖风险评估材料。
2026年6月4日,英国信息专员办公室ICO发布消息称,其依据《犯罪收益法》(POCA)取得超过118,000英镑的没收令,针对两名前RAC员工非法复制并出售近30,000行个人信息的案件。ICO强调,将使用完整执法工具追回违法所得。
合规启示:员工非法导出、复制、出售客户数据,不只是内部纪律问题,也可能触发刑事责任和违法所得追缴。企业应强化客户数据访问权限、批量导出监测、异常下载告警、离职权限回收、客户数据水印、员工保密培训和内部调查取证机制。对保险、汽车服务、金融、客服外包、会员运营等高频接触客户数据的岗位,应设置更细的权限分级和审计规则。
2026年6月2日,土耳其个人数据保护机构(KVKK)发布关于员工考勤场景中处理生物识别数据的原则性决定。该决定针对企业以数字化考勤、安全管理等名义使用指纹、人脸识别、虹膜或视网膜扫描等生物识别技术进行员工考勤的做法,强调生物识别数据属于高度敏感数据,在劳动关系中,由于雇主与员工之间存在结构性力量不平衡,即使取得员工明示同意,也不必然意味着相关同意具有充分自由性。KVKK进一步指出,在存在密码卡、PIN码、RFID/NFC身份卡、纸质签名或人工监督等替代方式的情况下,使用生物识别数据进行考勤通常难以满足必要性、比例性和数据最小化原则。
合规启示:这条动态对劳动用工、工厂管理、园区门禁、写字楼考勤、仓储物流、制造业和零售门店管理场景都有直接参考价值。企业不能简单认为“员工签了同意书”就可以采集指纹或人脸用于考勤。涉及员工生物识别数据的系统,应先做必要性和替代方案评估:是否确有强安全需求,是否存在较低侵入性的替代方式,是否可以只使用门禁卡、工号、密码、NFC卡或人工复核。对于已经上线人脸考勤、指纹考勤的企业,应重新评估合法性基础、员工拒绝机制、数据存储期限、模板加密、供应商访问权限和删除机制。
(二)北美地区
2026年6月2日,美国白宫发布关于推进先进人工智能创新与安全的行政令。该行政令强调通过AI提升网络防御能力、保护关键基础设施、促进前沿AI模型能力测试、推动AI安全信息共享以及加强联邦网络安全能力建设。
合规启示:美国AI政策正在把前沿AI、网络安全和关键基础设施保护更紧密地绑定在一起。前沿模型开发者、AI安全公司、云服务商、关键基础设施技术供应商,应提前准备网络安全能力测试、模型风险评估、红队测试、漏洞披露、日志留存、供应链安全证明和面向政府或关键行业客户的安全文件。
2026年6月4日,加拿大隐私专员办公室(OPC)向议会提交2025—2026年度报告,主题为“AI时代的隐私保护”。该年度报告重点回顾了加拿大隐私监管机构在人工智能、儿童隐私、在线平台、沉浸式数字工具、连接服务以及新兴技术环境下的监管和倡导工作。OPC同时发布新闻稿指出,AI、联网服务、在线平台和沉浸式数字工具正在带来新的个人信息收集、使用、共享和保护风险。
合规启示:进入加拿大市场的AI企业、在线平台、儿童产品、智能硬件、数字内容服务、广告技术和数据分析企业,应重点关注儿童隐私、AI透明度、个人信息最小化、自动化处理、用户控制、组织问责和跨境数据处理。对于面向消费者的AI推荐、AI客服、AI定价、AI内容生成和个性化广告服务,企业应准备更清晰的隐私说明、风险评估记录和用户权利响应机制。
2026年6月4日,加拿大总理办公室发布“AI for All”国家AI战略,提出未来五年通过立法、投资和项目推进负责任AI采用、公众信任、数字主权和AI基础设施建设。官方说明提到,将关注个人信息保护、深度伪造、监控定价、AI透明度、在线安全和AI安全研究等方向。
合规启示:加拿大AI治理正在从产业支持走向“创新、信任、安全、主权”并行。AI企业进入加拿大市场,应关注训练数据合法性、AI透明度、深度伪造治理、在线安全、消费者保护、数据主权、云基础设施和模型安全评估要求。涉及面向消费者的AI推荐、定价、客服、内容生成和自动化决策工具,尤其需要建立透明披露和风险控制机制。
(三)亚太地区
2026年6月2日,新加坡个人数据保护委员会(PDPC)就《生成式AI中使用个人数据的拟议咨询指引》公开征求意见。该咨询文件旨在进一步说明新加坡《个人数据保护法》(PDPA)如何适用于生成式AI场景下的个人数据使用,尤其涉及组织在开发、部署和使用生成式AI系统过程中如何处理个人数据。
合规启示:新加坡监管已经开始把生成式AI中的个人数据使用问题从原则层面推向可操作指引层面。面向新加坡市场的AI产品、SaaS服务、企业内部AI工具、客服机器人、内容生成工具、智能搜索和Agent类产品,应重点评估训练数据、输入数据、输出内容、用户提示词、日志记录、模型优化、第三方模型调用中的个人数据处理边界。
2026年6月1日,韩国个人信息保护委员会PIPC发布消息称,韩国“全领域MyData”能源领域应用自6月1日起启动。继医疗、电信等领域后,个人可将燃气、电力使用量、费用等信息传输给指定服务提供者,用于节能、资费优化、碳中和、替代信用评估等服务。
合规启示:韩国个人信息可携带和数据传输权正在从金融、医疗、电信扩展到能源等民生场景。能源科技、智能家居、碳管理、信用评估、数据中介服务商应关注用户授权、传输接口、安全认证、第三方接收者管理、数据二次使用限制和授权撤回机制。
2026年6月1日,韩国PIPC就《个人信息保护法》实施细则修订公开立法预告,内容包括提高违法制裁实效性、对重大或重复违法行为适用更高罚款标准,同时将安全投资、整改努力等作为减免考量因素。
合规启示:韩国隐私执法将更强调“重大违法重罚、有效整改可作为减轻因素”。在韩国经营的互联网、游戏、电商、会员平台、云服务和AI企业,应保留安全投资、技术整改、事件响应、主动报告、内部培训和董事会/管理层参与合规治理的证据,避免在处罚阶段无法证明自身已采取充分措施。
2026年6月2日,韩国PIPC就强化数据泄露预防和响应的《个人信息保护法施行令》修订公开立法预告。修订内容包括CPO向董事会报告或议决、扩大ISMS-P认证义务、非法访问或非法交易个人信息时72小时内通知/报告等。
合规启示:韩国个人信息保护正在从“文本合规”进入“组织治理合规”。企业不能只停留在隐私政策、同意弹窗和DPA层面,还需要检查CPO汇报线、董事会参与机制、ISMS-P认证适用性、数据泄露响应SOP、非法流通监测和72小时通报机制。跨国企业韩国子公司尤其应把本地隐私治理纳入集团合规和安全治理架构。
2026年6月4日,韩国PIPC披露已收到TVING关于用户个人信息泄露的报告并启动调查。官方说明显示,TVING于6月2日确认存储用户个人信息的数据库发生未授权访问,涉及账号、姓名、出生日期、性别、CI/DI、手机号码、邮箱、退款账户、密码等部分信息;PIPC将调查泄露原因、规模、安全措施和通报义务履行情况。
合规启示:企业应重点建立数据库访问控制、账户密码等敏感信息加密、异常访问监测、日志留存、泄露发现机制和监管通报机制。即使部分字段已加密,也不能替代整体安全管理和事件响应义务。
(四)拉美地区
2026年6月1日前后,智利国家网络安全机构ANCI就基础网络安全标准新规启动公众咨询。官方信息显示,该咨询涉及新的基础网络安全标准,公众和相关主体可参与反馈。
合规启示:智利网络安全监管正在从制度框架走向可执行的基础安全标准。面向智利市场或服务当地关键行业客户的云服务、SaaS、金融科技、电信、能源、交通和公共服务供应商,应关注网络安全负责人、风险管理、事件报告、供应链安全、持续监测和基础安全控制要求。即使企业自身不是关键运营者,也可能因客户合规要求被纳入更严格的供应商安全审查。
欢迎加入我们的出海合规实务社群
在这里,我们将持续分享全球数字监管动态,涵盖数据合规与AI治理、广告营销合规、知识产权等企业关心的热点话题,定期为社群成员精选合规指南,并不定期组织专题答疑、线上线下交流,帮助企业合规落地。希望这里不仅是获取信息的窗口,也能成为法务、合规与出海业务伙伴相互连接、交流经验、发现合作机会的实务社群。欢迎扫码添加作者,申请入群。
声明:
以上所刊登的文章仅代表作者本人观点,仅对相关法律政策与案例进行分析,不构成任何具体操作建议或法律合规意见。如有相关业务需求,欢迎随时联系本律师团队(邮箱:liunian@weihenglaw.com; 电话:18826100095)。
