5
0欢迎收听《AI 星辰电台》。在通勤的 10 分钟里,我们带你快速浏览全球 AI 治理与数据合规的最新图景。本期节目聚焦从立法创新到执法实践的全链条治理——从西班牙 AI 治理组织法草案,到 Amadeus 数据画像巨额罚款,再到弗吉尼亚州禁售精准地理位置数据,展现数据保护从制度设计到严格执法的完整图景。
🕒 节目导航
第一条 西班牙政府批准《人工智能良好使用与治理组织法》草案
核心进展:西班牙政府于2026年5月批准了《人工智能良好使用与治理组织法》草案并提交国会审议,这部法律将欧盟 AI 法案(自2024年8月起生效)转化为西班牙国内法,为 AI 的人类监督和可信使用提供法律保障
治理框架:法律建立了完整的 AI 治理框架,指定通报机构和市场监督机构负责监督法规执行;对于已有行业法规监管的产品(机械、玩具、车辆、医疗产品等)维持原有监管机构,对于就业、生物识别、教育等未受产品法规监管的 AI 系统,主要由 AI 监督局(AESIA)、西班牙数据保护局(AEPD)和司法总委员会(CGPJ)负责监管
禁止系统扩展:在欧盟 AI 法案原有8类禁止系统基础上,西班牙主导推动增加了两类新的禁止系统;2026年5月7日,在西班牙和法国推动下,欧盟同意在全境禁止生成性深度伪造内容(deepfakes)的 AI 系统,这是针对 X 平台助手 Grok 生成女性和未成年人裸照事件的直接回应
其他禁止系统:包括使用潜意识技术(不可感知的图像或声音)在未经同意的情况下操纵决策并造成重大损害;利用年龄、残疾或社会经济状况等脆弱性实质性改变行为并造成或可能造成重大损害;基于生物特征对人进行种族、政治倾向、宗教或性取向分类;基于社会行为或个人特征对个人或群体进行评分以拒绝提供补贴或贷款等
处罚机制:法律遵循比例性和有效性原则,将违规行为分为非常严重、严重和轻微三类;最严重的违规行为可处以最高3500万欧元或年营业额7%的罚款,最轻微的违规行为可处以最高50万欧元或年营业额0.5%的罚款;法律为监管机构提供灵活性,可根据违规的严重程度、故意性或累犯情况调整处罚,并引入优先纠正而非惩罚的机制(快速支付减免罚款、采取纠正措施)以及对中小企业和初创企业的特别考虑
公共部门应用:法律要求建立行政程序中使用的 AI 系统清单(不仅限于高风险系统),加强透明度;设立 AI 代表职位,负责协调法规应用并在项目和公共采购中提供建议;推动公职人员在 AI 领域的培训和意识提升
沙盒机制:法律明确了 AI 沙盒(受控测试环境)的治理机制;西班牙数字化转型与公共职能部已提前建立了受控测试环境,法律将其纳入欧盟 AI 法案要求的国家级沙盒,由 AESIA 运营;允许市场监督机构或通报机构创建与其监管领域相关的额外沙盒,所有沙盒必须有相关政策制定机构和基本权利机构参与
企业启示:
在欧盟市场运营 AI 系统的企业需密切关注各成员国的国内法转化进程
西班牙的立法为其他成员国提供了参考模板,特别是在禁止系统、处罚机制和公共部门应用方面
企业需提前评估 AI 系统是否属于禁止类别,建立完善的合规体系
生成式 AI 开发者需特别关注深度伪造内容的禁令,建立有效的内容审核机制
第二条 西班牙数据保护局对 Amadeus IT Group 处以巨额罚款
核心进展:西班牙数据保护局(AEPD)对全球分销系统(GDS)巨头 Amadeus IT Group 处以巨额罚款,原因是其在未经用户同意和未充分告知的情况下,通过其酒店推荐平台对超过120亿条旅客数据进行了非法画像分析;这是欧洲数据保护执法史上针对旅游行业的最大规模处罚之一
案件背景:2023年9月26日,AEPD 收到匿名举报,指控 Amadeus 及其合作航空公司在其酒店推荐平台上对全球旅客数据进行了未经授权的画像分析;举报称涉及超过120亿条数据,包括数百万西班牙旅客的信息,且在任何情况下都未征得客户同意,也未由 GDS 在其作为数据控制者时告知客户
Amadeus 的双重身份:作为全球分销系统,Amadeus 在不同场景下扮演数据控制者和数据处理者的双重角色;当旅客通过旅行社预订机票时,Amadeus 是数据处理者,为旅行社提供技术服务;当旅客直接通过航空公司预订时,Amadeus 成为数据控制者,直接处理旅客的个人数据;这种双重身份使得责任界定变得复杂
违规行为一:未经同意的数据画像:Amadeus 通过其酒店推荐平台,整合了旅客在不同航空公司和旅行社的历史旅行记录,建立了详细的旅客画像,用于向酒店推荐潜在客户;这一过程涉及超过120亿条数据,但 Amadeus 既没有征得旅客同意,也没有充分告知旅客数据的使用方式
违规行为二:违反 GDPR 第14条信息义务:根据 GDPR 第14条,当个人数据不是直接从数据主体处获取时,数据控制者必须在合理期限内向数据主体提供一系列信息,包括数据来源、处理目的、接收方类别、保留期限、数据主体权利等;但 Amadeus 在整合旅客数据用于酒店推荐时,并未履行这一告知义务
合法利益依据不成立:Amadeus 声称其处理数据的法律依据是“合法利益”,但 AEPD 认为这一依据不成立;Amadeus 未能证明其商业利益优先于旅客的隐私权,也未进行充分的数据保护影响评估(DPIA);此外,Amadeus 保留旅客数据的期限也不符合 GDPR 的最小化原则
跨境执法协作:由于 Amadeus 的业务涉及多个欧盟成员国,AEPD 通过内部市场信息系统(IMI)与荷兰、瑞典、爱沙尼亚、奥地利、挪威、立陶宛、法国、意大利、匈牙利、比利时、丹麦、爱尔兰、波兰、斯洛伐克、芬兰以及德国多个州的数据保护机构进行了协调;作为 Amadeus 主要营业地所在国,西班牙担任主导监管机构
企业启示:
数据画像必须建立在明确的法律依据之上,不能仅凭“合法利益”随意整合跨平台数据
当数据不是直接从用户处获取时,必须履行 GDPR 第14条的告知义务,这是很多企业容易忽视的合规要点
全球分销系统等中介平台需清晰界定自己在不同场景下的角色,建立相应的合规流程
数据保护影响评估不是形式主义,必须真实评估处理活动对个人权利的影响并采取缓解措施
旅游行业企业需重新审视自己的数据整合和画像实践,确保符合 GDPR 要求
第三条 美国弗吉尼亚州禁止销售精准地理位置数据
核心进展:弗吉尼亚州于2026年4月13日通过了《消费者数据保护法》(CDPA)修正案,新增了对精准地理位置数据的销售禁令;这是美国首个州级层面明确禁止销售精准地理位置数据的立法,标志着美国隐私保护立法从“选择退出”向“直接禁止”的重要转变
修正案核心内容:在数据控制者责任条款(§ 59.1-578)中新增第6款,明确规定数据控制者不得销售或提供销售涉及消费者的精准地理位置数据;这里的“精准地理位置”是指能够识别个人具体位置的数据,通常精度在几米到几十米范围内,远比城市或邮政编码级别的粗略位置更敏感
立法背景:精准地理位置数据的滥用问题日益严重;移动应用、智能设备和车联网系统持续收集用户的实时位置信息,这些数据被打包出售给数据经纪商,进而流向广告商、保险公司甚至执法机构;精准地理位置数据可以揭示个人的日常行踪、工作地点、就医记录、宗教信仰、政治倾向等高度敏感信息
对未成年人的特别保护:修正案特别强化了对未成年人(known child)的保护;数据控制者在收集已知未成年人的精准地理位置数据时,必须满足两个条件:一是该数据的收集对于提供在线服务、产品或功能是合理必要的,且仅在必要时间内收集;二是在整个收集期间向未成年人提供明显的信号,表明正在收集其精准地理位置数据
未成年人数据处理限制:数据控制者不得将从已知未成年人处收集的个人数据用于定向广告、销售或画像分析(用于产生法律或类似重大影响的决策),除非获得未成年人父母或法定监护人的同意(符合联邦《儿童在线隐私保护法》COPPA 要求);数据处理必须是提供在线服务、产品或功能所合理必要的,且不得用于超出收集时披露目的的其他处理
与其他州立法的对比:弗吉尼亚州的这一禁令比加州、科罗拉多州等其他州的隐私法更为严格;大多数州的隐私法允许消费者选择退出地理位置数据的销售,但弗吉尼亚州直接禁止销售行为,无论用户是否选择退出;这标志着美国州级隐私立法从“选择退出”模式向“直接禁止”模式的转变
企业启示:
任何在弗吉尼亚州运营的企业,如果收集和处理精准地理位置数据,都必须立即停止销售行为
企业需重新审视商业模式,如果依赖地理位置数据变现,必须寻找替代方案(如转向聚合数据或匿名化数据)
涉及未成年人的应用和服务需建立更严格的数据收集和使用机制,包括父母同意流程和实时收集信号
企业需关注其他州是否会跟进类似立法,提前做好全美范围的合规准备
数据经纪商行业将面临重大冲击,需要重新评估业务模式的可持续性
📚 延伸阅读
西班牙数字化转型与公共职能部: El Gobierno aprueba el proyecto de ley que garantizará una supervisión humana y un uso confiable de la IA
西班牙数据保护局(AEPD): Resolución de terminación del procedimiento por pago voluntario - Amadeus IT Group
弗吉尼亚州立法: Virginia Acts of Assembly 2026 - Chapter 820 (Senate Bill 338)
欧盟 AI 法案: Regulation (EU) 2024/1689 on Artificial Intelligence
📥 资源领取
欢迎关注我们的公众号“那一片数据星辰”
#AI 治理 #数据隐私 #西班牙AI法案 #地理位置数据 #GDPR #弗吉尼亚CDPA #深度伪造 #未成年人保护 #Privacy_by_Design
