1
0欢迎收听《AI星辰电台》。本期节目关注四个治理信号:美国德州把未成年人保护推到应用下载入口,斯洛文尼亚信息专员把美国市场网站的数据传输问题拆成一张跨境合规清单,G7 数字与技术部长宣言把 AI 治理扩展到安全、采用、能源和儿童保护,新加坡 PDPC 则为生成式 AI 个人数据使用提出生命周期式指南草案。
这一期的共同主线是:数字治理正在从“事后合规说明”走向“入口控制、链条拆解和生命周期问责”。
节目导航
1. 德州应用商店年龄验证法获得第五巡回程序性支持
核心进展
德州总检察长办公室在 2026 年 6 月 1 日发布新闻稿称,第五巡回上诉法院暂停了联邦地区法院对德州 Senate Bill 2420 的禁令。SB 2420 于 2025 年春季通过,并在 2025 年 5 月 27 日由州长 Abbott 签署;2025 年 12 月被联邦地区法院阻止实施,德州总检察长随后上诉。
规则要点
主要应用商店需要使用商业上合理的方法识别个人年龄。
未成年人账户必须关联父母或监护人账户。
未成年人下载应用前,父母或监护人需要收到应用年龄评级通知,并作出批准。
德州总检察长办公室强调,SB 2420 只适用于未成年人的应用下载和购买。
为什么重要
这类规则把未成年人在线保护从内容平台、社交平台、游戏和成人内容服务,进一步推到应用分发入口。应用商店不再只是交易和分发渠道,而可能成为年龄识别、家长控制、评级通知和下载授权的基础设施。
企业合规观察
年龄验证不能只看“能不能识别年龄”,还要看是否符合数据最小化。
家长同意流程需要避免暗黑模式,尤其是默认同意、误导性按钮和过度授权。
平台、开发者、设备系统之间需要明确谁负责通知、记录、撤回、更新和争议处理。
如果年龄验证引入身份证明、生物识别或第三方验证服务,还会触发新的隐私与安全风险。
2. 斯洛文尼亚 IP:“美国市场网站”仍可能触发 GDPR 第五章传输审查
核心进展
斯洛文尼亚信息专员在 2026 年 6 月 3 日发布“向美国传输数据”意见,编号 07121-1/2026/528。提问方是一家在斯洛文尼亚成立的公司,计划建立多个专门面向美国市场的网站,并询问美国 hosting、Google 服务、newsletter、cookie consent、DPF、SCC、Article 49 例外,以及 SLO d.o.o. -> US LLC -> U.S. hosting 结构下的数据传输问题。
IP 回答的第一层:是否构成第三国传输
IP 采用 EDPB Guidelines 5/2021 的三项累计标准:
出口方控制者或处理者在该项处理中受 GDPR 约束。
出口方通过披露或其他方式,使另一个控制者、共同控制者或处理者能够获得个人数据。
进口方位于第三国,或属于国际组织;无论该进口方本身是否也因特定处理受 GDPR 约束。
如果三个条件同时满足,就属于 GDPR 第五章意义上的传输。也就是说,网站面向美国市场,并不当然排除 GDPR 第五章的适用。关键仍然是斯洛文尼亚公司是否作为出口方受 GDPR 约束,以及是否把个人数据交给美国实体。
IP 回答的第二层:DPF、SCC 与 Article 28 不能混为一谈
IP 重申,向第三国传输不得降低 GDPR 提供的保护水平。传输路径主要有三类:
充分性决定。对美国而言,欧盟委员会的充分性决定只覆盖参加 EU-U.S. Data Privacy Framework 的美国公司。
适当保障措施。实践中最常见的是欧盟委员会标准合同条款 SCC。
Article 49 特殊情形例外。只有在不能基于充分性决定或适当保障措施传输,并且满足严格条件时,才可能使用。
IP 特别强调,与处理者,包括第三国处理者,需要签 GDPR Article 28 处理协议。但从欧盟控制者向第三国处理者传输时,出口方需要同时具备:第五章下的传输依据,以及 Article 28 下的处理协议。数据中心认证和处理协议不能单独替代 SCC 或其他传输机制。
IP 回答的第三层:集团结构与角色认定
同一集团内部的实体也可能是不同的控制者、共同控制者或处理者。SLO d.o.o.、US LLC 和美国 hosting 之间,不能因为同属一个集团就跳过角色判断。US LLC 是共同控制者、独立控制者还是处理者,会影响合同、通知、责任分配和跨境传输路径。
IP 回答的第四层:cookie 与隐私通知
根据 ZEKom-2 第 225 条,在用户终端设备上设置 cookie 或类似追踪技术,原则上需要用户在清楚、充分了解后同意。无需事前同意的例外主要是必要 cookie 和通信传输 cookie,而且要严格解释。
同时,GDPR Article 13 的告知义务仍然适用。隐私通知应说明是否计划向第三国传输个人数据,是否存在欧盟委员会充分性决定;如果没有,使用了哪些适当或合适保障措施,以及个人如何获取这些保障措施副本。
企业合规观察
“只面向美国用户”不等于没有欧盟跨境传输问题。
DPF 需要逐个供应商核验,不能用 Google 的 DPF 状态覆盖非 DPF hosting 服务商。
Article 28 处理协议解决的是控制者与处理者关系,不是第三国传输依据。
Cookie banner 和隐私政策不能只写“可能传输到美国”,还要说明具体传输依据和保障措施。
出海网站合规清单至少应包括:供应商 DPF 状态、SCC 模块、补充措施、cookie 分类、Article 13 告知、集团角色图、处理者/子处理者清单。
3. G7 发布 2026 数字与技术部长宣言
核心进展
G7 数字与技术部长 2026 年 5 月 29 日在巴黎举行会议,宣言于 2026 年 6 月 1 日由 GOV.UK 发布。宣言围绕四个优先事项展开:安全 AI、促进 AI 采用和经济增长、数字部门韧性与资源效率、未成年人在线安全。
安全 AI
G7 继续承接 Hiroshima AI Process,并认可修订后的 Hiroshima AI Process Reporting Framework。宣言强调需要提升 AI 风险评估、报告和缓解评估方法之间的可比性,也提到合成内容检测的重要性。法国主席国推动的 Meta-detector 被作为一个方向:通过聚合多个合成内容检测器,帮助交叉评估 AI 生成内容。
AI 采用与中小企业
宣言承认,AI 采用在不同经济体之间和内部都不均衡,中小微企业面临的障碍因地区、行业、规模和数字成熟度而不同。G7 与 OECD 合作开发 SME AI Readiness Tool,帮助企业评估数字与 AI 准备度,并计划通过 G7 AI Training Hub 提供。
能源、资源与数字基础设施韧性
G7 明确把 AI 采用增长与电网压力、能源供应、自然资源和数字基础设施韧性联系起来。宣言强调,需要加强关于 AI 模型和硬件能源、资源需求的测量、监测、报告和最佳实践分享。
未成年人在线安全
G7 支持一套共同原则,用于定义安全可靠的未成年人数字空间。宣言列举的风险包括过度屏幕时间、注意力和互动最大化设计、骚扰、诱导、儿童性剥削和虐待、非自愿亲密影像,以及生成式 AI 带来的深度伪造、AI 生成儿童性虐待材料、操纵性模拟互动等。
企业合规观察
AI 治理议题正在从模型安全扩展到能源、采购、内容来源、未成年人保护和数字素养。
中小企业 AI 采用会成为政策支持重点,但也会带来更可操作的成熟度评估工具。
合成内容检测和来源标识会继续进入平台治理、广告、新闻、教育和未成年人保护场景。
AI 基础设施团队需要更早参与合规讨论,因为能源、资源效率和韧性已经成为政策议题。
4. 新加坡 PDPC 发布生成式 AI 个人数据指南草案
核心进展
新加坡个人资料保护委员会 PDPC 在 2026 年 6 月 2 日发布《生成式 AI 中个人数据使用拟议咨询指南》。这份文件是咨询性质,不具有法律约束力,但它系统梳理了生成式 AI 在开发、部署和部署后阶段如何适用 PDPA。
公开可得数据与 digital barriers
PDPC 承认,生成式 AI 模型开发可能依赖大规模网络数据。如果数据属于 PDPA 下的 publicly available data,组织可能考虑依赖公开可得例外。但 PDPC 没有把“网上能看到”直接等同于“可以任意抓取”。
指南草案特别讨论 digital barriers,包括:
付费墙、订阅和注册要求。
密码、API key、一次性验证码。
Bot blockers、CAPTCHA 等反爬或访问控制机制。
PDPC 建议结合多个因素判断:数字障碍目的是什么,效果上数据是否仍面向公众,访问步骤是否复杂,是否可以从其他无限制来源获得相同个人数据。对于抓取其他组织设置了数字障碍的数据,PDPC 认为最佳实践是先通知对方。
用户数据与 AI-specific notification
如果个人向组织提供的数据,或个人使用产品服务过程中产生的数据,要用于生成式 AI 模型开发,除非有视为同意或相关例外,原则上需要同意。PDPC 明确表示,笼统写“用于新产品开发”不足以支持大规模 AI 模型训练或微调。
组织应提供 AI-specific notification,说明:
哪些类型的个人数据会用于模型训练或微调。
这些数据如何被使用。
模型具有什么功能。
个人如何理解、拒绝或撤回相关同意,视具体机制而定。
模型提供者、系统提供者、系统部署者
PDPC 把生成式 AI 生态中的责任拆成三类角色:
模型提供者:需要关注训练、部署、推理过程中的个人数据保护,记录访问控制、数据驻留和留存政策。
系统提供者:如果开发定制化或商业现成系统,需要向下游分享系统级安全措施、数据泄漏测试指标、输入输出过滤、加密等信息。
系统部署者:即采购和使用生成式 AI 系统的企业,仍对所选系统是否满足 PDPA 义务承担主要责任。
部署者特别要做什么
部署者需要明确系统处理个人数据的目的和必要范围,管理 end-user prompts、输入、输出、agent/tool activity data、内部企业数据等新型数据源,并教育内部或外部用户哪些数据可以输入系统、系统如何处理这些数据。
企业合规观察
生成式 AI 合规不能只审训练数据,还要审部署、推理、留存、访问控制和下游说明。
“公开可得”要结合访问障碍、来源预期和合同/服务条款风险一起判断。
使用 SaaS 或 API 并不转移部署者责任,采购方仍需要拿到足够信息做整体评估。
供应商安全白皮书、数据驻留说明、保留政策、泄漏测试指标,会越来越像生成式 AI 采购中的标准材料。
主编深度洞察:从“单点合规”到“责任图”
今天四组材料可以放在一张责任图里看。
第一,治理正在前置到入口。
德州把未成年人保护前置到应用商店下载入口;新加坡 PDPC 把训练数据、用户通知和数字障碍判断前置到数据进入模型之前;斯洛文尼亚 IP 则提醒企业,在美国市场网站上线之前,就要先核验 hosting、分析、广告和 newsletter 工具的传输路径。
第二,治理正在拆成链条。
跨境传输不是一个“是否出境”的标签,而是出口方、进口方、控制者、处理者、DPF、SCC、Article 28、cookie、Article 13 告知共同组成的链条。生成式 AI 也不是一个“训练数据合规吗”的问题,而是模型提供者、系统提供者、部署者、终端用户之间的信息和责任链。
第三,治理正在生命周期化。
G7 关注 AI 从研发、采用、能源消耗、合成内容到未成年人影响的完整政策面;PDPC 则把生成式 AI 分成开发、部署、部署后阶段。企业如果仍然只在上线前写一份隐私政策,很难覆盖这些新要求。
本期给企业的三张清单
未成年人保护清单
是否存在年龄识别、年龄分层或家长同意场景。
年龄验证是否符合数据最小化。
家长同意是否有清楚通知、可撤回机制和记录留存。
应用评级、下载授权、内容推荐和广告投放是否打通。
美国传输清单
欧盟实体是否作为出口方受 GDPR 约束。
美国供应商是否在 DPF 名单上。
非 DPF 供应商是否配置 SCC 和必要补充措施。
Article 28 处理协议是否覆盖处理者和子处理者。
Cookie banner、隐私通知和 Article 13 第三国传输告知是否一致。
集团内 SLO d.o.o.、US LLC、hosting、Google、newsletter 工具的角色是否画清楚。
生成式 AI 个人数据清单
训练数据是否包含个人数据。
公开数据是否存在 digital barriers。
用户数据是否有 AI-specific notification。
模型提供者是否说明数据驻留、留存、访问控制和泄漏风险。
系统提供者是否提供安全措施和测试指标。
部署者是否限定输入数据类型、使用目的和内部用户规则。
延伸阅读
Texas Attorney General:
Informacijski pooblaščenec: Prenos podatkov v ZDA
GOV.UK: G7 Digital and Technology Ministerial Declaration: 29 May 2026
资源领取
欢迎关注我们的公众号"那一片数据星辰"
#AI治理 #数据合规 #未成年人保护 #跨境传输 #G7 #生成式AI #新加坡PDPC #AI星辰电台
