AI星辰电台Vol.92 五国发布代理式AI安全、爱尔兰启动SHEIN数据跨境调查与FTC发布位置数据禁令

欢迎收听《AI 星辰电台》。在通勤的 10 分钟里，我们带你快速浏览全球 AI 治理与数据合规的最新图景。本期节目聚焦代理式 AI 的网络安全挑战、跨境数据传输的监管升级，以及位置数据经纪行业的执法风暴。

🕒 节目导航

第一条 CISA 与 ASD ACSC 发布代理式 AI 安全指南

• 核心进展：2026年5月1日，美国网络安全与基础设施安全局（CISA）联合澳大利亚信号局网络安全中心（ASD ACSC）及国际合作伙伴，发布《代理式人工智能服务的谨慎采用》指南。

• 代理式 AI 的定义：能够自主决策、执行任务、调用其他工具的 AI 系统，如自动订票助手、邮件处理系统或企业流程自动化工具。

• 四大网络安全风险：

  • 攻击面扩大：AI 需接入更多系统和数据

  • 权限蔓延：AI 可能获得超出必要范围的访问权限

  • 行为不对齐：AI 决策可能偏离人类预期

  • 事件记录模糊：AI 操作轨迹难以追溯和审计

• 适用对象：关键基础设施和国防部门，以及所有部署代理式 AI 的组织

• 企业启示：

  • 对照指南检查现有 AI 系统的安全架构

  • 确保实施最小权限原则

  • 完善行为日志记录和异常检测机制

  • 合规团队与技术团队需联合评估 AI 系统的安全性

第二条 爱尔兰 DPC 对 SHEIN 启动数据跨境传输调查

• 核心进展：2026年4月30日，爱尔兰数据保护委员会（DPC）宣布对 SHEIN 爱尔兰公司（Infinite Styles Services Co. Ltd.）启动正式调查，聚焦其向中国传输欧盟/欧洲经济区用户个人数据的合规性。

• 调查焦点：审查 SHEIN 是否遵守 GDPR 第五章关于数据跨境传输的义务，包括是否确保数据在中国获得与欧盟境内基本相同的保护水平。

• 监管信号：DPC 副专员 Graham Doyle 强调，数据传输到中国已成为欧洲监管机构的重点关注领域，此次调查是 DPC 的重要战略优先事项。

• 法律背景：

  • 中国未获得欧盟委员会的充分性认定（Adequacy Decision）

  • 企业需使用标准合同条款（SCCs）等替代机制

  • 必须进行传输影响评估（TIA），证明目标国法律和实践能提供充分保护

• 企业启示：

  • 涉及中欧数据流动的企业应密切关注此案进展

  • 立即检查数据传输协议、传输影响评估的完备性

  • 确保数据在中国的存储和处理有足够安全措施

  • 不要等监管机构找上门再补救，预防性合规成本更低

第三条 FTC 禁止 Kochava 销售敏感位置数据

• 核心进展：美国联邦贸易委员会（FTC）宣布将禁止数据经纪商 Kochava 及其子公司 Collective Data Solutions(CDS）销售敏感位置数据，以和解2022年8月的起诉。

• 案件背景：FTC 指控 Kochava 销售来自数亿台移动设备的位置数据，可追踪个人对医疗机构、宗教场所等敏感地点的访问，且消费者并不知情也未同意。

• 和解令核心要求：

  • 禁止销售、转让、共享敏感位置数据，除非获得消费者明确同意且仅用于消费者直接请求的服务

  • 建立敏感位置数据保护计划，制定敏感地点清单

  • 实施供应商评估计划，确认所有位置数据均经消费者同意

  • 向 FTC 提交违规事件报告

  • 允许消费者查询数据销售去向并提供便捷的撤回同意方式

  • 制定数据留存时间表，按时删除数据

• 执法力度：和解令已获 FTC 委员会2-0投票通过，提交爱达荷州联邦地区法院，法官签署后具有法律效力。

• 企业启示：

  • 位置数据，尤其是关联敏感地点的精确位置数据，已成为 FTC 执法重点

  • 重新审视位置数据的收集、使用和共享实践

  • 确保获得用户明确同意，数据使用范围与用户合理预期一致

  • 建立用户查询和删除请求的响应机制

💡 主编深度洞察：技术风险、跨境博弈与数据经纪终局

代理式 AI：从“工具”到“代理人”的安全鸿沟

CISA 指南的发布标志着监管机构对 AI 技术风险的认知进入了新阶段。传统 AI 系统是被动的工具，而代理式 AI 具备主动性和自主性，这带来了质的变化。当 AI 能够自主调用 API、访问数据库、执行交易时，它不再是简单的“算法”，而是具有行动能力的“代理人”。这种转变带来的安全挑战是多维度的：技术层面的权限管理、行为层面的可解释性、以及组织层面的责任归属。对于企业来说，部署代理式 AI 不仅是技术决策，更是风险管理决策。合规团队需要从“事后审计”转向“事前设计”，在系统架构阶段就嵌入安全和合规要求。

SHEIN 案：中欧数据流动的试金石

SHEIN 案可能成为 GDPR 实施以来，关于中国数据传输的标志性案例。这不仅是一个合规问题，更是一个地缘政治问题。欧盟对中国数据传输的审查日益严格，背后是对数据主权和国家安全的深层关切。对于跨境电商、云服务、SaaS 平台等涉及中欧数据流动的企业，SHEIN 案的结果将直接影响其业务模式的可持续性。企业需要思考的不仅是“如何合规”，更是“如何在合规的前提下保持业务灵活性”。数据本地化、数据最小化、加密传输、定期审计——这些都是可能的解决方案，但每一种都有成本和权衡。合规从业者需要具备的，是在法律、技术和商业之间找到平衡点的能力。

位置数据经纪：从灰色地带到全面禁令

Kochava 案标志着位置数据经纪行业的终局时刻。过去十年，这个行业在法律的灰色地带野蛮生长，通过收集和销售数百万人的行动轨迹牟利。但随着隐私意识的觉醒和监管的收紧，这种商业模式已经难以为继。FTC 的和解令不仅是对 Kochava 的处罚，更是对整个行业的警告：未经明确同意的位置数据交易，将面临严厉的法律后果。对于移动应用开发者、广告技术公司、以及任何涉及位置数据的企业，这是一个重新审视数据实践的时刻。用户信任是脆弱的，一旦失去就很难挽回。与其在法律的边缘试探，不如主动建立透明、可控、尊重用户的数据实践，这才是长期可持续的商业策略。

📚 延伸阅读

• CISA:CISA, U. S. and International Partners Release Guide for Secure Adoption of Agentic AI

• ASD ACSC:Careful Adoption of Agentic AI Services (PDF)

• 爱尔兰 DPC:DPC opens inquiry into Infinite Styles Services Co. Ltd. (SHEIN Ireland)

• FTC:FTC to Ban Kochava and Subsidiary from Selling Sensitive Location Data

📥 资源领取

欢迎关注我们的公众号“那一片数据星辰”

#AI治理 #代理式AI #CISA #SHEIN #GDPR #数据跨境 #FTC #位置数据 #数据经纪 #数据合规 #AI星辰电台