大数跨境

全球数据合规与AI治理一周要闻——多国新规7月集中生效

全球数据合规与AI治理一周要闻——多国新规7月集中生效 出海网数法视界
2026-07-06
22
导读:欧盟AI法案时间表确认、美国多州隐私新规生效、亚马逊FCRA高额罚款

本周观察要点

本周呈现新规集中落地、立法程序收官、执法场景下沉三大核心特征:
一、7月1日前后成为全球多地监管规则集中生效节点,多领域合规义务进入实质执行阶段。国内方面,《国务院关于对外投资的规定》将ODI备案与数据/技术跨境转移联动监管,《网络安全标识管理办法》同步施行。国际方面,美国康涅狄格州、犹他州、弗吉尼亚州、南达科他州、马里兰州等多州隐私及消费者保护新规集中落地;荷兰《电信法》修订终止“软选择加入”例外,电话营销全面转向事先明确同意(Opt-in);澳大利亚西澳州《隐私与负责任信息共享法》生效,引入自动化决策专门保护。
二、欧盟AI Act修正案完成立法程序,AI治理时间表进一步明确。6月29日欧盟理事会正式批准《人工智能数字综合法案》,各层级义务合规时间表最终敲定(独立高风险AI延至2027年12月,嵌入式延至2028年8月),企业可按节点倒排合规工作。
三、执法精准度持续提升,案由趋于细分。美国FTC对亚马逊处以225万美元罚款,案由并非COPPA,而是违反《公平信用报告法》第609(e)条(未向身份盗窃受害者提供交易记录),提示企业关注FCRA项下数据访问义务。

一、国内动态

1.《国务院关于对外投资的规定》7月1日正式施行,对外投资与数据技术跨境转移实现联动监管

2026年7月1日,《国务院关于对外投资的规定》正式生效,作为我国对外投资领域的核心行政法规,全面覆盖境内企业、组织及居民个人的境外投资行为。其中第十三条明确划定数据与技术跨境转移监管红线:投资者开展对外投资,不得出口、使用国家禁止出口的货物、技术、服务及相关数据;未经许可,不得出口、使用国家限制出口的货物、技术、服务及相关数据;严禁通过跨境派遣技术人员、境外培训、远程技术指导等间接方式,向境外转移禁止或限制类数据、技术与算法成果。

合规启示

我国对外投资监管体系(发改委ODI备案、商务部境外投资管理制度及数据出境安全评估机制)正呈现进一步联动趋势。在企业“境外投资 + 数据出境 + 技术出口 + AI模型输出”交叉场景中,监管逐步形成多维度协同审查机制,对高技术行业出海提出更高合规要求:
第一,全面梳理海外投资项目中的数据与技术跨境流向,区分普通业务数据与重要数据、限制出口技术、核心算法与训练数据集,建立跨境数据技术清单;
第二,同步开展对外投资、技术出口管制、数据出境三类合规的交叉评估,避免单一合规路径遗漏监管要求;
第三,在境外投资协议、技术服务协议、研发合作协议中增设数据与技术的最终用途限制、再转移禁止、合规审计配合及违约追责条款,落实全生命周期管控。

2.《网络安全标识管理办法》7月1日起正式实施

2026年7月1日,由国家网信办、工信部、公安部联合印发的《网络安全标识管理办法》正式施行。该办法旨在提升产品网络安全能力、加强消费者权益保护、维护网络安全和公共利益。办法明确其适用于具有互联网联网功能的产品,具体产品实施目录管理;产品生产者按照自愿原则参与,网络安全标识对应基础级、增强级、领先级三个等级。

合规启示

该办法对IoT设备,消费类联网设备如智能家居、网联摄像头等产品具有直接参考价值。相关企业应关注产品是否被纳入后续实施目录,如纳入目录,可根据具体规则评估是否申请网络安全标识,并同步完善弱口令治理、漏洞管理、软件更新、渗透测试、数据安全和安全说明等产品全生命周期安全机制。

(3)工信部通报32款侵害用户权益的App及SDK

2026年7月2日,工业和信息化部信息通信管理局发布《关于侵害用户权益行为的APP(SDK)通报》(2026年第4批,总第57批),共发现32款App、SDK存在违规收集个人信息、超范围索取权限、强制用户授权、弹窗骚扰用户等问题,要求相关企业限期完成整改,逾期未整改将依法依规予以处置。

合规启示

App运营方与SDK服务商需警惕常态化执法风险,重点夯实基础合规能力:第一,建立常态化个人信息合规自检机制,定期开展权限申请、信息收集、第三方SDK共享场景的合规审计;第二,完善用户权益保障机制,优化权限申请场景与告知文案,提供清晰的权限关闭、个性化推荐关闭渠道。

二、国外动态

(一)欧洲

(1)欧盟层面:欧盟理事会通过《人工智能数字综合法案》,AI Act合规时间表确定

2026年6月29日,欧盟理事会正式批准《人工智能数字综合法案》(Digital Omnibus on AI),对《人工智能法案》(AI Act)作出修订。该法规是欧盟“第七次综合立法简化方案”的重要组成部分,旨在回应产业界对合规成本过高的批评,在维持AI安全底线的前提下,简化规则、减轻企业合规负担。修正案确认AI生成内容透明度及高风险AI系统分阶段实施时间表:
l2026年12月2日:AI生成内容标识与深度伪造规则实施
l2027年12月2日:独立高风险AI系统适用
l2028年8月2日:嵌入式高风险AI系统适用

合规启示

面向欧盟市场的AI企业,应按产品类型重新校准合规时间表。AI图像/视频生成、换脸、AI陪伴、社交平台、内容生成工具,应优先完成非自愿性私密内容、儿童性虐待材料、AI生成内容标识、水印、元数据、提示词拦截、投诉处置和日志留存机制。高风险AI系统提供者和部署者,则应根据是否属于独立高风险AI系统、是否嵌入受欧盟产品安全法规约束的产品,分别倒排技术文档、风险管理、数据治理、人类监督、准确性、网络安全和合格评定工作。

(2)荷兰:《电信法》修订7月1日生效,电话营销全面转向Opt-in制

2026年7月1日,荷兰《电信法》修订正式生效,核心变化是荷兰监管机构推动电话营销规则进一步强化,逐步收紧‘soft opt-in’例外适用范围。此前企业可依据“现有客户关系”在未经事先明确同意的情况下向老客户进行电话营销,自7月1日起这一例外被正式废除,企业无论对新客户还是老客户,均须在拨打电话营销前获得消费者的事先明确同意(explicit prior consent)。荷兰消费者与市场管理局(ACM)将以此为新规基准积极执行。

合规启示

面向荷兰市场提供产品或服务的企业,若通过电话开展营销活动,需确保已获得消费者的事先明确同意,不能再依赖“现有客户关系”作为合法依据。建议:第一,审查现有营销数据库,区分已获明确同意与仅有“客户关系”豁免的用户;第二,自7月1日起确保所有外呼营销均具备有效授权并能提供同意记录;第三,如使用第三方呼叫服务商,应在合作协议中明确其须遵守新Opt-in要求。

(二)美国

1.美国多州数据与消费者保护新规7月1日前后集中生效

2026年7月1日,美国多个州的数据隐私、基因数据和消费者保护规则进入实施阶段。较值得关注的包括:
犹他州HB 418相关修正于7月1日生效,新增消费者更正不准确个人数据的权利,并对社交媒体平台提出数据可携带和互操作相关要求。
弗吉尼亚州《消费者数据保护法VCDPA修正案于7月1日生效,禁止控制者出售或要约出售消费者的精准地理位置数据。公开资料显示,该修正案由弗吉尼亚州州长于2026年4月13日签署,并于7月1日起生效。
弗吉尼亚州自动续费和连续服务规则也于7月1日更新,要求自动续费或连续服务提供者提供清晰、及时、易于使用的取消机制;弗吉尼亚州法典第59.1-207.46条已明确自动续费或连续服务要约中的取消机制要求。
康涅狄格州数据隐私法(CTDPA)适用门槛降低。康涅狄格州总检察长官网当前说明显示,CTDPA适用于处理至少35,000名消费者个人数据的主体、处理消费者敏感数据的主体,或出售消费者个人数据的主体。
马里兰州Chapter 874于7月1日生效,扩大敏感数据概念,将基于个人数据推断、用于指示敏感属性的数据纳入敏感数据范围,并对向特定政府单位出售个人数据、公开记录再披露等作出限制。
南达科他州SB49《基因数据隐私法》于7月1日生效,主题为保护基因数据完整性、隐私和安全,并设置民事罚款机制。

合规启示

美国州法规则继续碎片化。面向美国多州运营的企业应建立州级隐私与消费者保护规则台账,重点评估敏感数据、精准地理位置、基因数据、订阅自动续费、社交媒体数据可携带、儿童和青少年数据等场景跨境电商、App、SaaS、订阅服务、广告技术、位置数据服务、可穿戴设备、健康科技、基因检测和社交平台,建议综合各州规定以较高合规要求更新隐私政策、用户权利响应流程、同意记录、取消订阅路径、数据出售/共享限制和第三方服务商合同,以确保满足整体要求。

2.美国联邦贸易委员会对亚马逊处以225万美元FCRA罚款

2026年6月30日,美国联邦贸易委员会(FTC)宣布与亚马逊达成和解,亚马逊同意支付225万美元民事罚款,以解决FTC指控其违反《公平信用报告法》(FCRA)第609(e)条的问题——长期未依法向身份盗用受害者提供涉嫌欺诈的交易记录,部分案件要求受害者先说出身份盗窃者姓名才提供资料,且未能在法定30天内响应。

合规启示

这不是COPPA案件,也不是一般隐私案件,而是消费者在身份盗用场景下的数据访问和交易记录获取权问题。面向美国市场的电商、支付、金融科技、信用服务、平台交易和订阅服务企业,应建立身份盗窃受害者请求响应机制,确保能够在法定期限内核验身份、定位交易记录、向受害者或其授权执法机关提供依法应提供的信息。企业不能以“安全”或“隐私”为由拒绝提供法律明确要求披露给受害者的记录。

(三)亚太地区

澳大利亚西澳大利亚州《隐私与负责任信息共享法》7月1日生效

2026年7月1日,西澳大利亚州《隐私与负责任信息共享法》正式生效。该法在州级层面率先引入自动化决策专门保护规则,要求公共机构及相关主体实施高隐私影响活动前必须开展隐私影响评估(PIA);2027年1月1日起须报告严重数据泄露事件。需注意,该法主要适用于公共部门机构及与之合作的私人主体。

合规启示

对于在西澳州运营、向当地提供产品服务,或与当地公共部门合作的出海企业,尤其是涉及AI自动化决策系统的主体,需重点评估法律适用范围,提前建立PIA机制,并为2027年的数据泄露报告义务做好制度准备。


欢迎加入我们的出海合规实务社群
在这里,我们将持续分享全球数字监管动态,涵盖数据合规与AI治理、广告营销合规、知识产权等企业关心的热点话题,定期为社群成员精选合规指南,并不定期组织专题答疑、线上线下交流,帮助企业合规落地。希望这里不仅是获取信息的窗口,也能成为法务、合规与出海业务伙伴相互连接、交流经验、发现合作机会的实务社群。欢迎扫码添加作者,申请入群。
作者简介

声明:
以上所刊登的文章仅代表作者本人观点,仅对相关法律政策与案例进行分析,不构成任何具体操作建议或法律合规意见。如有相关业务需求,欢迎随时联系本律师团队(邮箱:liunian@weihenglaw.com; 电话:18826100095)。

【声明】内容源于网络
0
0
出海网数法视界
1234
内容 63
粉丝 0
出海网数法视界 1234
总阅读3.6k
粉丝0
内容63