8
0欢迎收听《AI 星辰电台》。在通勤的10分钟里,我们带你快速浏览全球 AI 治理与数据合规的最新图景。本期节目聚焦从智能家居到可穿戴设备的隐私治理:德州对智能电视同意机制的强制要求、美国建立 AI 安全评估国家能力、法国对智能眼镜普遍监控风险的警示、以及欧盟完善 GDPR 认证体系的技术细节。
🕒 节目导航
第一条 德州与 LG 电子达成智能电视隐私和解
核心进展: 德州总检察长 Ken Paxton 与 LG 电子美国公司达成和解协议,要求 LG 在收集智能电视观看数据前必须获得消费者的“明确表示同意”(Affirmative Express Consent)。和解协议有效期5年
观看数据定义: 通过智能电视的自动内容识别(ACR)技术收集的家庭层面观看行为信息,包括观看内容、时间和时长
关键时间节点: 30天内更新2025年款智能电视入门同意界面,加入清晰显眼的 ACR 使用说明;180天内停止未经同意收集和处理观看数据;2027年及后续型号必须在入门过程中以弹窗形式自动显示观看信息协议通知
同意要求细节: 必须是自由给予的、具体的、知情的、明确的意愿表示;必须通过肯定性行动表达;必须在清晰显眼的披露后获得;必须提供简单易找的撤回同意方式
地缘政治条款: LG 明确承诺从美国消费者收集的观看数据不会以任何形式传输到中国
德州认可: 德州承认 LG 主动实施了超出行业规范的强有力数据隐私实践,双方同意合作而非长期诉讼最符合消费者利益和电视制造业透明数据隐私实践的推进
企业启示:
默认收集用户行为数据的时代已结束,必须在收集前获得明确、具体、知情的同意
同意界面必须清晰显眼,不能藏在冗长的用户协议中,要让普通消费者一眼看懂
如果涉及跨境数据传输,尤其是传输到地缘政治敏感国家,需在隐私政策中明确说明或承诺不传输
主动实施超出行业规范的隐私实践可在监管调查中获得认可,有助于达成更有利的和解条件
智能电视、智能音箱等物联网设备制造商应全面审查数据收集同意机制,确保符合“明确表示同意”标准
第二条 NIST 成立 AI 标准与创新中心(CAISI)
核心进展: 美国国家标准与技术研究院(NIST)于2025年6月宣布成立 AI 标准与创新中心(CAISI),作为美国政府内部行业与政府对接 AI 测试和协作研究的主要联络点
核心职能: 与 NIST 组织合作开发 AI 系统安全测量指南和最佳实践,协助行业制定自愿标准;与私营部门 AI 开发者和评估者建立自愿协议,主导对可能构成国家安全风险的 AI 能力进行非机密评估(重点关注网络安全、生物安全、化学武器等可证明风险);评估美国和对手 AI 系统能力、外国 AI 系统采用情况及国际 AI 竞争状态;评估使用对手 AI 系统可能带来的安全漏洞和恶意外国影响(包括后门和隐蔽恶意行为);与国防部、能源部、国土安全部、科技政策办公室和情报界等联邦机构协调开发评估方法并进行评估;在国际上代表美国利益,防止外国政府对美国技术施加繁重和不必要的监管,并与 NIST 员工合作确保美国在国际 AI 标准中的主导地位
最新动态: 2026年4月,CAISI 评估了开源权重 AI 模型 DeepSeek V4 Pro;与非营利组织 OpenMined 签署了协作研发协议(CRADA);与总务管理局(GSA)签署谅解备忘录,支持联邦采购阶段的 AI 评估(USAi 项目);发布 NIST AI 800-4,组织从业者研讨会和系统文献综述的关键发现,识别后市场监控的当前实践和挑战
研究博客主题: AI 安全红队竞赛、AI 模型如何在代理评估中作弊、构建黄金标准 AI 系统需要黄金标准 AI 测量科学、AI 评估的设计和使用
企业启示:
美国政府正在建立系统性 AI 安全评估机制,进入政府采购或关键基础设施领域的 AI 系统可能需要通过 CAISI 评估
“自愿标准”和“自愿协议”是美国监管 AI 的主要方式,但不参与可能在市场竞争中处于劣势
国际 AI 标准制定正成为大国博弈新战场,企业需关注 NIST 和 CAISI 在国际标准组织(如 ISO、IEC)中的动向
AI 开发者应主动参与 CAISI 的自愿协议和评估项目,建立与政府的信任关系
对于涉及国家安全敏感领域(网络安全、生物安全、化学武器)的 AI 应用,需提前进行风险评估并准备接受政府审查
第三条 法国 CNIL 对智能眼镜发出隐私警示
核心进展: 法国国家信息与自由委员会(CNIL)发布智能眼镜隐私警示,基于2026年1月22-29日对2128名18岁以上法国人的在线调查。67%受访者认为智能眼镜对隐私构成风险,主要担忧包括图像权利和同意、可能的滥用(尤其结合 AI 技术如深度伪造)、以及数据去向
智能眼镜定义: 外观类似普通眼镜(近视或太阳镜),但在镜框中嵌入传感器(麦克风和摄像头),通过专用应用连接到用户手机。可使用手机功能(打电话、听音乐、拍照录像),部分功能可通过语音命令触发。通常连接到 AI 系统,允许用户向聊天机器人提问(一般问题或环境相关问题如“描述我看到的东西”或“翻译对面人说的话”)
关键隐私风险: 几乎不可见地捕获第三方图像和声音——智能眼镜与普通眼镜难以区分,周围人很难知道是否被录制;录制指示灯等技术措施效果有限且某些使用场景下缺失;从固定、有标识、受监管的监控转变为移动、几乎不可见、无处不在的监控——任何人都可能在任何公共或私人空间佩戴带摄像头的眼镜;设备成本相对较低可能导致社会空间被传感器饱和;长期可能导致人们不断怀疑自己一举一动被记录,产生持续被观察感觉,逐渐形成自我审查,直接威胁个人自由(言论自由、集会自由、示威自由);在高度私密场所(医疗诊所、更衣室、卫生间)使用引发新的伦理和法律问题
法律框架: 法国民法典第9条保障所有场所(私人和公共)的隐私权,违反可受制裁;刑法典第226-1条规定,未经同意在私人场所固定、记录或传输他人图像,可处1年监禁和45000欧元罚款;智能眼镜用户必须尊重可能被捕获图像或声音的人的隐私权,并在必要时获得其同意
CNIL 行动计划: 启动智能眼镜 GDPR 合规工作;在欧盟数据保护委员会(EDPB)层面开展国际合作,因设备在国际层面发展;与其他主管公共机构就超出数据保护范围的问题进行交流;在未来活动中讨论智能眼镜主题以充实思考和提高认识
6条用户最佳实践: 使用智能眼镜时告知附近的人;一旦不再需要就关闭捕获功能;在被要求关闭手机的所有场合也关闭智能眼镜;避免在人们不期望被录制的地方使用;如果想使用有他人出现的照片或视频(如发布到社交媒体),必须获得他们的同意并尊重图像权利;发布前三思,即使看似无害的发布也可能对相关人员产生持久影响
企业启示:
智能眼镜制造商需在产品设计阶段考虑如何让周围人能识别出这是智能眼镜,如录制时有明显指示灯
开发更有效的隐私保护机制,如自动检测私密场所并禁用录制功能
在用户入门和使用过程中强化隐私教育,明确告知用户的法律责任
可穿戴设备开发者应关注 CNIL 和 EDPB 的后续指南,提前准备合规措施
用户需意识到佩戴智能眼镜不仅是个人选择,会影响周围所有人的隐私,有责任负责任地使用
第四条 欧盟数据保护委员会对芬兰 GDPR 认证机构认证要求发表意见
核心进展: 2026年5月12日,欧盟数据保护委员会(EDPB)通过第13/2026号意见,针对芬兰数据保护监察员(Ombudsman)关于 GDPR 第43(3)条下认证机构认证要求的草案决定
背景机制: 根据 GDPR 一致性机制,监管机构在批准认证机构认证要求前必须征求 EDPB 意见;芬兰监察员于2026年4月1日提交草案;芬兰的认证工作由芬兰国家认证服务机构(FINAS)执行,应用 EN-ISO/IEC 12标准以及监管机构设定的 GDPR 特定附加要求
EDPB 评估重点: 认证机构的独立性和公正性;利益冲突和防止不当影响的保障措施;认证机构人员的专业知识和资格;颁发、审查、暂停或撤销认证的程序;投诉和上诉的透明处理
主要建议: 将仅限于监察员的表述改为“任何主管监管机构”,以反映 GDPR 下的跨境监管;明确术语(如统一使用“评估对象”)并删除重复或不清晰的条款;完善人员资格要求,包括更清楚地区分欧洲经济区内外的大学;确保义务由认证机构而非认证机构承担;删除可能导致认证机构评估超出认证处理活动范围的 GDPR 违规或数据泄露的条款
后续步骤: 芬兰监管机构必须在收到意见后两周内告知 EDPB 是否会修改或维持其草案认证要求,并提供最终决定以纳入 EDPB 公开登记册
企业启示:
GDPR 认证体系正在逐步完善,各成员国的认证要求需经 EDPB 审查以确保欧洲经济区的一致性
认证机构的独立性、公正性、专业知识和程序都会受到严格审查
企业想通过认证证明合规,需选择已获得正式认证的认证机构,而非自称能做 GDPR 认证的咨询公司
关注 EDPB 公开登记册中各成员国认证机构认证要求的最终版本,了解不同国家的具体要求
GDPR 认证可作为合规证明,在监管调查或客户尽职调查中提供有力支持,但需确保认证范围覆盖实际处理活动
💡 主编深度洞察:从设备到标准的全链条隐私治理
物联网隐私的“同意困境”
德州与 LG 的和解协议揭示了物联网设备隐私治理的核心困境:如何在用户体验和隐私保护之间找到平衡。智能电视的自动内容识别(ACR)技术本质上是一种持续的、被动的数据收集——用户不需要主动操作,设备就在后台记录观看行为。这种“默认开启”的数据收集模式与 GDPR 和美国各州隐私法要求的“明确表示同意”原则存在根本冲突。和解协议的180天实施期限看似宽松,实则反映了技术改造的复杂性:LG 需要重新设计入门流程、更新固件、测试用户体验、培训客服团队。更深层的启示是,物联网设备制造商必须从“隐私合规是法务部门的事”转变为“隐私保护是产品设计的核心要素”。地缘政治条款的加入则标志着数据主权已从抽象的政策概念变成具体的合规要求——即使是消费电子产品,也无法回避大国博弈的影响。
AI 治理的“标准战争”
NIST 成立 CAISI 的战略意图远超技术评估本身。从职能设计看,CAISI 既是技术机构(开发测量方法、进行安全评估),也是外交机构(代表美国利益、主导国际标准)。这种“双重身份”揭示了 AI 治理的本质:谁掌握了标准制定权,谁就掌握了市场准入的钥匙。CAISI 与 OpenMined 的合作、与 GSA 的谅解备忘录、对 DeepSeek V4的评估——这些看似独立的行动背后是一套完整的 AI 治理生态:通过自愿协议吸纳头部企业、通过政府采购设置市场门槛、通过国际标准输出美国规则。对于中国 AI 企业,CAISI 的成立意味着进入美国市场的难度将显著增加;对于欧洲企业,则面临在美国标准和欧盟 AI 法案之间寻找平衡的挑战。更值得关注的是,CAISI 明确将“评估对手 AI 系统”作为核心职能,这意味着 AI 安全评估已从纯技术问题上升为国家安全议题。
可穿戴设备的“监控悖论”
法国 CNIL 对智能眼镜的警示揭示了可穿戴设备带来的“监控悖论”:技术越便携,隐私风险越高。智能眼镜与智能手机的根本区别在于“可见性”——手机需要掏出来、举起来,周围人能清楚看到你在拍照;眼镜则是“永远在线、永远隐藏”。CNIL 提出的“从固定监控到移动监控”的转变,实质上是监控权力的民主化——不再是政府或企业垄断监控能力,而是每个人都可能成为监控者。这种转变的社会影响可能是深远的:当人们不确定自己是否正在被录制时,公共空间的自由表达会受到抑制,私人空间的亲密互动会变得谨慎。CNIL 的6条最佳实践建议看似简单,实则触及了技术伦理的核心:技术创新不应以牺牲社会信任为代价。对于智能眼镜制造商,挑战在于如何设计出既能提供便利又能保护他人隐私的产品——这可能需要从硬件层面(如强制指示灯)、软件层面(如自动检测私密场所)、社会层面(如用户教育和社会规范)三管齐下。
GDPR 认证体系的“质量保证”
EDPB 对芬兰认证要求的意见看似技术性细节,实则关乎 GDPR 认证体系的可信度。GDPR 第42条引入认证机制的初衷是降低合规成本、提高透明度,但如果认证机构本身缺乏独立性、专业性和一致性,认证就会沦为“花钱买证书”的形式主义。EDPB 的建议——从术语统一到人员资格、从跨境监管到义务分配——每一条都在强化认证体系的严肃性。特别值得注意的是“删除可能导致认证机构评估超出认证范围的 GDPR 违规”这一建议,它明确了认证的边界:认证机构只能评估特定处理活动的合规性,不能越俎代庖成为“准监管机构”。对于企业,这意味着 GDPR 认证不是“一劳永逸”的合规证明,而是“特定范围、特定时点”的合规快照。随着 EDPB 逐步完善各成员国的认证要求,GDPR 认证有望成为跨境数据流动的“通行证”——但前提是企业选择真正合格的认证机构,并持续维护认证有效性。
📚 延伸阅读
德州总检察长办公室: 德州与 LG 电子和解协议全文(PDF)
美国国家标准与技术研究院: Center for AI Standards and Innovation (CAISI)
法国国家信息与自由委员会: 智能眼镜:CNIL 呼吁保持警惕
法国 CNIL LINC 实验室: 智能眼镜调查完整结果
DataGuidance: EU: EDPB issues opinion on Finnish Ombudsman's draft accreditation requirements for GDPR certification bodies
欧盟数据保护委员会: Opinion 13/2026全文
📥 资源领取
欢迎关注我们的公众号“那一片数据星辰”
#AI治理 #智能电视隐私 #LG隐私侵权 #NIST #AI标准 #智能眼镜隐私 #可穿戴设备隐私 #GDPR 认证 #数据合规 #AI星辰电台
