5
0欢迎收听《AI 星辰电台》。在通勤的 10 分钟里,我们带你快速浏览全球 AI 治理与数据合规的最新图景。本期节目聚焦数据治理和 AI 监管从抽象原则走向具体实施:韩国扩大数据可携权至全行业,沙特制定基于风险的 AI 伦理框架,法国汇总判例形成统一执法标准。
🕒 节目导航
📌 第一条 韩国召开全领域 MyData 专门机构运营协议会
核心进展: 4 月 8 日,韩国个人信息保护委员会召开协议会,讨论本人传送要求权(数据可携权)从医疗、通信领域扩大到全行业的实施细节。
专门机构制度: 根据《个人信息保护法》第 35 条之 3,专门机构负责支持信息主体行使传送要求权、构建传送系统、管理和分析个人信息;需经事前检验(专业性、安全性、技术水平)并接受定期检查和监督。
三大议题:
• 本人信息下载权扩大:《个人信息保护法施行令》修订完成,8 月起公共机构开放下载,明年 2 月民间领域开放;个人可直接整合管理分散在各机构的信息
• 个人信息存储所(PDS)管理:个人下载的信息通过 PDS 安全管理,根据本人决定用于服务、研究、分析;需建立防止滥用的保护体系
• 2026 年 MyData 服务支持项目推进方向及专门机构事后管理计划
政策定位: 专门机构是“通过严格检验确保安全性的核心基础设施”,支撑 MyData 生态系统信任。
企业启示: 数据可携权从纸面权利变为可操作功能,企业需提供标准化下载接口;PDS 模式让个人在自己控制的空间管理数据;专门机构体现“信任中介”思路,通过严格认证的第三方帮助用户管理数据。
📌 第二条 沙特 SDAIA 就负责任 AI 政策草案启动公众咨询
核心进展: 4 月 3 日,沙特数据与人工智能管理局(SDAIA)就《负责任人工智能政策》草案启动公众咨询,咨询至 5 月 3 日。
政策目标:
• 在 AI 采用、创新和负责任使用之间实现平衡,减轻潜在风险和危害
• 通过预防性开发方法和持续评估,增强应对关键和高风险的准备能力
• 明确 AI 系统生命周期中开发者、运营者、用户的角色和责任,加强问责制和信任
适用范围: 在沙特境内开发、运营、部署或使用 AI 应用的政府实体、私营部门、非营利实体和个人;涵盖自动化决策、数据分析、内容生成等。
七大伦理原则:
• 诚信与公平
• 隐私与安全
• 以人为本的 AI 使用
• 社会和环境效益
• 安全性和可靠性
• 透明度和可解释性
• 问责制和责任
基于风险的框架:
• 关键风险:禁止部署
• 高风险:需安全评估、定期安全报告、人工监督、最低伦理合规水平
• 有限风险:基线伦理标签要求
• 低风险或最小风险:无正式限制,鼓励伦理标签
国家注册表: SDAIA 负责维护和定期更新高风险或关键风险 AI 系统的国家注册表。
企业启示: 沙特 AI 政策与欧盟 AI 法案相似,采用基于风险的分类,全球 AI 监管可能形成共识;七大伦理原则将转化为具体合规要求;高风险 AI 系统需定期提交安全报告,合规是持续义务;国家注册表意味着高风险系统将被公开记录,透明度要求高。
📌 第三条 法国 CNIL 发布 2026 年版《信息与自由表》
核心进展: 3 月 2 日,法国 CNIL 发布 2026 年版《信息与自由表》,汇总数据保护领域的主要判例和决策实践。
内容来源:
• CNIL 在纠正措施和投诉处理中的决定
• 法国和欧洲司法机构判决(欧洲法院、欧洲人权法院、法国国务委员会、最高法院)
• 欧洲数据保护委员会(EDPB)的意见
组织结构: 按主题分类(原则、法律基础、个人权利、安全、数据传输、制裁等),提供适用法律原则的连贯整体视图。
双重目标:
• 内部一致性:确保 CNIL 内部对法律原则的统一理解,应对 GDPR 和《信息与自由法》引发的法律问题不断演变
• 外部透明度:让专业人士和学者更容易获取 CNIL 决策实践中的法律立场,公布法律推理和公式
持续更新: 定期更新,可通过指定邮箱提交错误报告或参考资料建议。
企业启示: 《信息与自由表》是实用合规工具,汇总实际案例中的法律适用,企业可了解 CNIL 执法标准和推理逻辑;体现监管机构透明度努力,降低企业合规不确定性;定期更新意味着需持续关注最新法律适用趋势;这种做法值得其他监管机构借鉴,系统化参考文档可提高合规效率。
💡 主编深度洞察:从原则到实施的全球图景
数据可携权的“韩国速度”:从医疗通信到全行业
韩国的 MyData 扩展展现了数据可携权从试点到全面推广的路径。从 2024 年引入专门机构制度,到 2026 年将本人信息下载权从医疗、通信扩大到全行业,韩国用不到两年时间完成了制度设计、试点验证和全面推广。这种“韩国速度”背后是清晰的制度设计:专门机构作为“信任中介”,既解决了企业直接向用户提供数据可能带来的安全风险,又避免了政府直接管理数据的集中化风险。PDS(个人信息存储所)的概念尤其值得关注——它不是简单的“数据下载”,而是“数据管理权”的转移:用户不仅可以下载数据,还可以在自己控制的空间中存储、整合、授权使用。对跨国企业来说,韩国模式提供了一个参考:在 GDPR 数据可携权、美国各州隐私法的“访问权”之外,还有一种通过“专门机构+PDS”实现数据流通的路径。
沙特 AI 政策的“中东样本”:伦理原则如何落地
沙特的《负责任 AI 政策》草案是中东地区首个系统性的 AI 治理框架,其最大特点是将七大伦理原则与基于风险的分类框架结合。这解决了 AI 伦理的一个核心难题:如何让抽象的伦理原则转化为可操作的合规要求?沙特的答案是“风险分级+差异化义务”:低风险系统鼓励伦理标签但不强制,高风险系统必须进行安全评估、提交定期报告、接受人工监督。这种做法与欧盟 AI 法案高度相似,但沙特的创新在于“国家注册表”——所有高风险和关键风险 AI 系统都将被公开记录,这比欧盟的“高风险 AI 系统数据库”更进一步,透明度要求更高。对企业来说,这意味着:如果你的 AI 系统被分类为高风险,不仅要接受监管审查,还要接受公众监督。沙特政策草案目前只有阿拉伯语版本,这也提醒跨国企业:全球 AI 治理不仅是英语世界的事,中东、拉美、非洲的 AI 政策也在快速成型,语言和文化差异可能带来合规挑战。
法国判例汇编的“透明度红利”:降低合规不确定性成本
CNIL 的《信息与自由表》是一个被低估的合规工具。它不是简单的“判例集”,而是“执法逻辑的系统化呈现”。CNIL 将自己的纠正措施、法院判决、EDPB 意见按主题分类整理,并公开法律推理和公式,这实际上是在告诉企业:“我们是这样思考和判断的,你们可以据此预判自己的行为是否合规。”这种透明度带来的“红利”是:降低了企业的合规不确定性成本。过去,企业可能需要雇佣昂贵的法律顾问去研究 CNIL 的历史决策,猜测监管机构的执法逻辑;现在,CNIL 主动公开这些信息,企业可以更高效地进行合规自查。更重要的是,《信息与自由表》的定期更新机制意味着:这是一份“活文档”,它会随着 GDPR 应用的深入、新案例的出现而不断演进。对合规团队来说,这要求建立“持续学习”机制:不能只在项目启动时查一次文档,而要定期关注更新,了解最新的执法趋势和法律适用标准。
从原则到实施的三种路径
今天三条新闻展现了数据治理和 AI 监管从原则到实施的三种路径:韩国的“制度创新路径”(通过专门机构和 PDS 实现数据可携权),沙特的“框架先行路径”(通过伦理原则+风险分级建立 AI 治理体系),法国的“判例积累路径”(通过汇总判例形成统一执法标准)。三种路径各有侧重,但共同指向一个趋势:监管不再满足于制定抽象原则,而是在努力提供具体的实施路径、操作指南和执法标准。对企业来说,这意味着:合规工作的重心正在从“理解法律条文”转向“理解监管机构的执法逻辑和实施路径”。那些能够提前研究监管机构的指南、判例、咨询文件的企业,将在合规竞赛中占据先机。
📚 延伸阅读
- 【韩国个人信息保护委员会】:개인정보위, 전분야 마이데이터 개인정보관리 전문기관 운영협의회 개최(www.pipc.go.kr)
- 【DataGuidance】: Saudi Arabia: SDAIA opens public consultation on Responsible AI Policy(www.dataguidance.com)
- 【CNIL 官网】: Tables Informatique et Libertés : la CNIL publie la mise à jour 2026(www.cnil.fr)
📥 资源领取
欢迎关注我们的公众号“那一片数据星辰”
#AI治理 #韩国MyData #数据可携权 #SDAIA #负责任AI #AI伦理 #CNIL #数据合规 #AI星辰电台
