7
0欢迎收听《AI 星辰电台》。在通勤的 10 分钟里,我们带你快速浏览全球 AI 治理与数据合规的最新图景。本期节目聚焦从透明度义务到执法实践的全链条治理——从澳大利亚自动化决策透明度新规,到欧盟《数字市场法》首年执法成果,再到香港 AI 合规检查报告,展现 AI 治理从制度设计到落地实践的完整图景。
🕒 节目导航
第一条 澳大利亚隐私法修正案:自动化决策透明度新规将于2026年12月生效
核心进展:澳大利亚隐私法修正案将在2026年12月正式生效,届时所有使用自动化决策系统(ADM)的机构都必须在隐私政策中披露三项关键信息:系统使用了哪些类型的个人信息、系统做出了哪些类型的决策、哪些与决策实质相关的事项是由计算机程序完成的
覆盖范围:“计算机程序”概念作广义理解,从简单的计算器到机器学习模型,从预设规则到生成式 AI 工具,包括聊天机器人、文本生成工具、图像视频合成工具等各类生成式 AI 应用,只要涉及自动化决策,都需要披露
协同效应:这项透明度义务与反歧视法、行政法以及信息自由法(FOI Act)形成协同效应,帮助消费者了解何时以及如何行使信息访问或审查选项
现状审查:澳大利亚信息专员办公室(OAIC)在2025年10月对23家有法定授权使用自动化决策的政府机构进行了桌面审查,发现仅17%的机构在信息公开计划(IPS)中披露了 ADM 的使用情况,9%的机构通过外部来源被识别为“可能使用 ADM”但未在 IPS 中披露,74%的机构完全无法被识别是否使用了相关系统
四项建议:OAIC 提出所有授权使用 ADM 的机构应在 IPS 中发布:授权使用 ADM 的法律依据及是否实际使用、使用的 ADM 类型(不仅限于 AI,包括简单计算器到机器学习)、使用 ADM 做出的决策清单及易懂示例、使用 ADM 的原则和政策
企业启示:
提前梳理清楚系统的决策逻辑、数据来源和影响范围
在隐私政策中明确告知用户,这不仅是合规要求,也是建立用户信任的基础
无论是推荐算法、风控模型还是客服机器人,只要涉及自动化决策都需要披露
第二条 欧盟委员会发布《数字市场法》2025年度执法报告
核心进展:欧盟委员会发布《数字市场法》(DMA)2025年度执法报告,总结这部法律生效第一年的执法成果,通过监管对话和正式执法程序推动多家守门人平台在数据使用、移动生态开放和互操作性等领域做出重大改变
数据使用与用户同意:微软和谷歌已推出征求用户同意的界面,允许用户选择是否同意平台跨服务合并个人数据,相当比例的用户选择了拒绝授权;委员会认定 Meta 的“同意或付费”广告模式违反 DMA,因为这种模式没有给用户提供使用更少个人数据但功能等同的服务选项,也没有让用户真正自由地表达同意,Meta 因此被罚款2亿欧元
Meta 的整改:2025年12月 Meta 宣布将从2026年起为欧盟用户提供个性化程度较低的广告选项,用户可以选择分享所有数据并看到完全个性化的广告,或选择分享更少个人数据以获得个性化程度有限的广告体验
数据可携带性:监管对话推动守门人改进数据可携带性合规方案,谷歌提供了前瞻性数据访问功能(用户可以单次请求按日/周/月接收未来数据)和历史数据期间设置功能;Meta 在2025年8月将 DYI(下载你的信息)和 TYI(转移你的信息)工具整合为单一的 EYI(导出你的信息)工具,提升数据转移的用户体验
移动生态开放:委员会与苹果的监管对话取得积极成果,苹果改进了浏览器选择屏幕的用户体验,让用户更容易更改默认设置(通话、消息、密码管理器、翻译服务等),并允许卸载 Safari 和 App Store 等预装应用;委员会在2025年4月关闭了针对苹果的调查程序,没有作出不合规决定,但会继续监督苹果的措施是否得到有效执行
互操作性突破:委员会在2025年3月通过了两项具体化决定,要求苹果向第三方开发者和设备制造商提供对 iOS 连接功能的有效访问,包括智能手表、耳机等可穿戴设备常用的功能;这是 DMA 首次使用具体化程序,为守门人提供明确的合规指引,而非施加罚款
跨设备数据可携带性:委员会、谷歌和苹果的监管对话促成了设备可携带性解决方案的开发,允许用户轻松地将数据从安卓设备转移到 iPhone 或反向转移,开发者和设备制造商也将从中受益
企业启示:
如果在欧盟市场运营平台服务,尤其是涉及数据合并、默认设置或生态封闭的业务模式,需认真评估是否符合 DMA 要求
监管机构更倾向于通过对话推动合规,但如果不积极配合,罚款和正式执法程序随时可能启动
主动参与监管对话、及时响应监管关切,可以避免正式执法程序和高额罚款
第三条 香港个人资料私隐专员公署发布2026年度 AI 合规检查报告
核心进展:香港个人资料私隐专员公署(PCPD)发布2026年度 AI 合规检查报告,对60家机构的 AI 使用情况进行点检,结果显示95%的受访机构在日常运营中使用了 AI,比2025年提高了15个百分点,其中79%的机构使用 AI 已超过一年,说明 AI 正在逐步成为运营的必要组成部分
AI 应用现状:57家使用 AI 的机构中,29家(约51%)使用三个或以上 AI 系统,主要应用于行政支持、客户服务、研发、市场营销和合规/风险管理等领域;42%的机构(24家)通过 AI 系统收集或使用了个人资料,涉及银行金融、教育、政府部门、医疗服务、物业管理、公用事业、零售、社会服务、电信和运输等行业
个人资料收集与使用:24家收集或使用个人资料的机构中,11家(约46%)既收集又使用个人资料,13家(约54%)仅使用个人资料;相关 AI 系统包括聊天机器人、光学字符识别、文本/图像/视频/演示文稿生成工具以及数据分析工具等
透明度与告知:所有收集或使用个人资料的机构都在收集资料时或之前向资料当事人提供了个人资料收集声明,说明资料的使用目的和可能转移的对象类别;其中7家机构(约29%)在声明中明确提及了使用 AI 工具处理个人资料
数据保留与安全:7家机构(约29%)保留通过 AI 系统收集的个人资料,这些机构明确了个人资料的保留期限,并在原始收集目的达成后删除资料,其余17家机构(约71%)不保留相关个人资料;所有机构都实施了适当的安全措施保护个人资料,包括访问控制(24家)、数据加密(17家)、渗透测试(11家)、资料匿名化(9家)、AI 相关安全警报(5家)和红队演练(5家)
数据最小化与私隐增强技术:15家机构(约63%)在使用 AI 系统时采用了匿名化或假名化数据以实现数据最小化;8家机构(约33%)还采用了合成数据和联邦学习等私隐增强技术以加强数据安全
私隐政策与指引参考:所有收集或使用个人资料的机构都制定了私隐政策声明,阐述机构在收集、使用和处理个人资料方面的政策和做法;其中7家机构(约29%)在私隐政策声明中涵盖了 AI 的应用;15家机构(约63%)在收集、使用和处理个人资料时参考了 PCPD 发布的 AI 相关指引或建议,另有7家机构(约29%)计划参考这些指引
AI 系统实施与管理:23家机构(约96%)在实施 AI 系统前进行了测试以确保可靠性、稳健性和公平性;19家机构(约79%)在实施 AI 系统前进行了私隐影响评估;所有机构都在采购、使用和管理 AI 系统时进行了风险评估,考虑的因素包括法律要求(包括 PDPO)、资料安全、资料的数量/敏感度/质量、AI 系统对个人/机构/社区的潜在影响、相关影响的可能性/严重性/持续时间以及缓解措施等
人类监督模式:19家机构(约79%)采用了“人机协同”(human-in-the-loop)模式进行人类监督,确保人类行为者保留对决策过程的控制权,以防止或减轻 AI 系统可能产生的错误或不当决策;其余5家机构(约21%)采用了“人类指挥”(human-in-command)模式,由人类审查 AI 系统的输出并在必要时进行干预;所有参考了 PCPD 发布的《人工智能:个人资料保护示范框架》的机构都采用了“人机协同”模式,比2025年提高了约17个百分点
企业启示:
AI 合规不是一次性的工作,而是需要贯穿系统全生命周期的持续管理
采购前进行风险评估,实施前进行私隐影响评估,运行中落实人类监督和安全措施
“人机协同”模式已成为 AI 治理的最佳实践,值得所有使用 AI 系统处理个人资料的机构借鉴
参考监管机构发布的指引和框架,可以有效提升合规水平和风险管理能力
📚 延伸阅读
澳大利亚 OAIC: Automated decision-making and public reporting under the Freedom of Information Act
澳大利亚 OAIC: ADM Issues Paper
欧盟委员会: DMA Compliance Reports
香港 PCPD: Compliance Checks on the Use of AI by Organisations
香港 PCPD: Artificial Intelligence: Model Personal Data Protection Framework
📥 资源领取
欢迎关注我们的公众号“那一片数据星辰”
#AI治理 #数据隐私 #自动化决策 #数字市场法 #人机协同 #澳大利亚OAIC #欧盟DMA #香港PCPD #透明度义务 #Privacy_by_Design
