目 录

　　国内立法监管动态：

　　一、我国首部《人工智能气象应用服务办法》发布

　　二、国家标准《GB/T45654-2025 网络安全技术生成式人工智能服务安全基本要求》等发布

　　三、天津市政府办公厅印发《天津市促进人工智能创新发展行动方案(2025—2027年)》

　　四、浙江省人民政府印发《关于支持人工智能创新发展若干措施》

　　五、山东省政府办公厅印发《关于支持人工智能全产业链创新发展的若干政策措施》

　　六、北京市经济和信息化局关于印发《北京市智能工厂认定管理办法》

　　七、中央网信办开展“清朗·整治AI技术滥用”专项行动

　　境外立法监管动态：

　　一、欧盟委员会发布关于人工智能素养的常见问题解答

　　二、芬兰发布《人工智能系统开发和使用中的数据保护指南》

　　三、美国发布《打击技术深度伪造网络剥削工具法案》

　　四、美国多方联合发布《人工智能数据安全：保护用于训练和运行人工智能系统的数据的最佳实践指南》

　　五、美国商务部撤销拜登时代人工智能扩散规则，加强与芯片相关的管制

　　六、爱尔兰：DPC就MetaAI发表声明

　　七、意大利：Luka因生成式人工智能服务数据处理缺乏法律依据被罚500万欧元

　　国内立法监管动态

　　一、我国首部《人工智能气象应用服务办法》发布

　　2025年04月23日，中国气象局、国家互联网信息办公室发布部门联合规章《人工智能气象应用服务办法》(以下简称《办法》)，旨在鼓励、促进和规范人工智能气象应用服务健康有序发展，自今年6月1日起施行。

　　《办法》是国内首部促进和规范人工智能细分领域应用的部门规章。《办法》作为世界气象组织会员中首部关于人工智能气象应用服务的法律规范，为人工智能气象应用服务治理提供中国方案。

　　《办法》坚持促进型立法定位，鼓励性和操作性条款相结合，科学应对人工智能气象应用服务的潜在风险，规范引导人工智能气象应用服务发展方向。

　　《办法》提出，发展人工智能气象应用服务应当坚持总体国家安全观，统筹发展和安全，将促进创新和依法治理相结合，对人工智能气象应用服务实行包容审慎和分类分级监管。

　　《办法》围绕数据开放、算法模型研发和应用场景赋能等提出了具体政策支持和促进措施，加强人工智能与气象监测预警、预报预测、数值预报等领域深度融合应用，构建人工智能气象应用服务场景。同时对气象主管机构参与国际气象领域人工智能应用服务的发展和治理做出了规定。

　　《办法》明确人工智能气象应用服务提供者的权利和义务，规定了算法备案和安全评估、人工智能生成合成内容标识、算法安全审核、网络安全、数据安全、信息发布审核、投诉举报等制度。

　　中国气象局将持续在气象应用服务领域推动“人工智能+”行动，与企业、高校和科研机构等多元主体建立协同发展和治理机制，联动社会各界力量共同促进人工智能在气象领域的应用和发展，为加快推进气象科技能力现代化和社会服务现代化注入新动能，推动气象高质量发展。

　　来源：光明网

　　办法全文链接：中国气象局

　　https://www.cma.gov.cn/zfxxgk/zc/gz/202504/t20250429_7036854.html

　　二、国家标准《GB/T45654-2025 网络安全技术生成式人工智能服务安全基本要求》等发布

　　2025年04月25日，国家市场监督管理总局和国家标准化管理委员会联合发布了国家标准《GB/T45654-2025 网络安全技术生成式人工智能服务安全基本要求》，该标准将于2025年11月1日起正式实施。该标准重点面向具有舆论属性或者社会动员能力的生成式人工智能服务，支撑备案管理、检测评估等方面工作开展。

　　在训练数据安全方面，标准明确规定，服务提供者在采集数据前，应对数据来源进行安全评估，若数据中含有违法不良信息超过5%，则不得采集或使用该数据进行训练。此外，服务提供者应建立训练数据知识产权管理策略，明确负责人，对数据中的知识产权侵权风险进行识别，发现问题的，不得使用相关数据进行训练。

　　在模型安全方面，标准提出，在模型训练过程中，服务提供者应将生成内容的安全性作为评价生成结果的重要指标，确保生成内容的合法性和合规性。为提高生成内容的准确性和可靠性，服务提供者应采取技术措施，对明显偏激或诱导生成违法不良信息的问题，应拒绝回答。

　　在安全措施方面，服务提供者应评估模型训练和推理所采用的计算系统的供应链安全，确保系统的稳定性和安全性。为保障服务的稳定性和持续性，服务提供者应制定服务稳定性保障措施，包括隔离训练环境与推理环境、建立备份机制和恢复策略。

　　同日，国家市场监督管理总局和国家标准化管理委员会还联合发布了《网络安全技术生成式人工智能数据标注安全规范》《网络安全技术生成式人工智能预训练和优化训练数据安全规范》。数据标注以及预训练和优化训练数据是生成式人工智能的基础，直接决定了训练数据以及生成内容的质量和安全水平。两部指南为开展训练数据标注活动、对数据标注进行检查、验收，开展预训练和优化训练数据等提供了指引。

　　来源及标准链接：国家标准全文公开系统

　　《GB/T 45654-2025 网络安全技术生成式人工智能服务安全基本要求》

　　https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=F67D3F376E0A0A0FF5317FB36B32A30A

　　《GB/T 45652-2025 网络安全技术生成式人工智能预训练和优化训练数据安全规范》

　　https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=82710B59110419C285BDC48AB4D7D1F3

　　《GB/T 45674-2025 网络安全技术生成式人工智能数据标注安全规范》

　　https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=407584DD0FA2BA19E62E85D3469290B0

　　三、天津市政府办公厅印发《天津市促进人工智能创新发展行动方案(2025—2027年)》

　　2025年05月16日，天津市政府办公厅印发《天津市促进人工智能创新发展行动方案(2025—2027年)》(以下简称《方案》)，旨在深入贯彻落实党中央、国务院关于加快人工智能发展的决策部署，推动天津市人工智能产业高质量发展，培育壮大新质生产力。

　　《方案》提出2027年目标攻克100项核心技术、培育30个标杆场景、营收破千亿。措施包括：夯实算力算法数据底层技术;推进“AI+”八大领域应用;培育企业、建设平台、布局“AI+信创”等新赛道;强化资金、人才保障与安全风险防范。

　　《方案》规定天津市要积极构建开放共享数据资源。建设一批高质量数据集，鼓励数据采集、处理、应用、质量管理等标准规范制定，聚焦行业应用，推出一批用于开放训练、标准测试的高质量数据集和语料库，推动构建AI合成数据集。推动数据开放共享，升级数据资源统一共享交换平台，提供政务数据归集、清洗、存储、管理等基础共性服务，依法有序推进数据资源流通使用。积极发展数据标注产业，聚焦数据标注需求，结合本市制造业场景优势，引育一批优质数据标注企业，推动智能化标注工具研发应用，建设数据标注聚集区。

　　来源及方案链接：天津市人民政府官网

　　https://www.tj.gov.cn/zwgk/szfwj/tjsrmzfbgt/202505/t20250517_6933197.html

　　四、浙江省人民政府印发《关于支持人工智能创新发展若干措施》

　　2025年05月16日，浙江省人民政府印发《关于支持人工智能创新发展若干措施》(以下简称《措施》)，旨在通过创新驱动、企业主导、政府引导和生态共建的方式，统筹布局算力、数据、模型基础设施，推动人工智能核心技术和产业应用的全国乃至全球领先地位。到2027年，浙江省计划初步形成可持续发展、领跑发展格局，并使通用人工智能核心技术和产业应用在全国领先。

　　《措施》聚焦六大方向：打造高能级万亿产业生态、加强高层次人才招引培育、加强高性能算力适配供给、加强高质量数据开放供给、加强高水平模型研发应用、加强高价值应用场景培育。

　　在高质量数据开放供给方面，《措施》规定，浙江省要加大公共数据授权运营，支持企业开展数据效能提升行动，赋能产业转型升级。支持互联网平台企业、行业龙头企业分别建设企业和行业可信数据空间。鼓励人工智能企业登记运用数据知识产权。鼓励有条件的地方结合产业大脑、工业互联网平台等，建设行业级可信数据空间、高质量数据集。鼓励有条件的地方打造一批产学研用联动的创新载体，建设一批成效明显、特色鲜明的数据标注基地，开发高质量数据集。

　　来源及措施链接：浙江省人民政府官网

　　https://www.zj.gov.cn/art/2025/5/16/art_1229017138_2555159.html

　　五、山东省政府办公厅印发《关于支持人工智能全产业链创新发展的若干政策措施》

　　2025年05月07日，为深入实施山东省人工智能发展行动计划，抓住新一轮发展机遇，促进全省人工智能全产业链创新发展，山东省政府办公厅印发《关于支持人工智能全产业链创新发展的若干政策措施》(以下简称《措施》)，旨在通过提升科技创新支撑、强化核心要素供给、深化赋能应用以及优化产业发展生态等多方面来推动人工智能产业的发展。

　　《措施》提出要统筹省级资金支持公共数据汇聚治理、历史数据电子化、高质量数据集建设、数据流通交易，激发数据要素市场活力;支持企业开展数据管理能力评估模型贯标，对通过贯标的中小企业按规定分档给予一定资金奖励，促进企业建立健全数据管理体系;推进数据资产全过程管理试点，聚焦确权登记、核算入账、开发利用、交易流通和收益管理关键环节，推动用于产业发展的数据集有偿使用。

　　来源及措施链接：山东省人民政府官网

　　http://www.shandong.gov.cn/jpaas-jpolicy-web-server/front/info/detail?iid=ec1bbc201c484080b80dbc92e58b0ada

　　六、北京市经济和信息化局关于印发《北京市智能工厂认定管理办法》

　　2025年05月07日，为加快形成新质生产力，全面推进北京市制造业高端化、智能化、绿色化升级，打造北京市智能工厂梯度培育体系，北京市经济和信息化局发布了《北京市智能工厂认定管理办法》(以下简称《管理办法》)。

　　《管理办法》适用于北京市基础级、先进级智能工厂认定及管理工作，对基础级、先进级智能工厂的申请条件、认定程序、管理服务、建设关键要素和绩效指标参考等内容进行了规范和说明。

　　1. 申报条件：申报主体需为北京市内注册的独立法人规模以上工业企业，工厂已建成并投产，企业及产品竞争力强。要求近三年经营财务良好，无不良信用记录及重大安全、环保事故与违法违规行为;主导产品符合产业政策，技术先进、工艺领先;关键装备与软件安全可控，数据风险可控;建立智能工厂统筹机制，拥有专业人才;智能制造能力成熟度达二级及以上，且分别满足基础级、先进级建设要素要求。

　　2. 谁来认定：基础级智能工厂由企业自建自评，各区经济和信息化主管部门备案管理;先进级智能工厂由北京市经济和信息化局组织评审认定。

　　3. 如何评审：基础级工厂企业自评后向区主管部门备案;先进级工厂由市经济和信息化局组织专家综合评审。

　　4. 管理服务：先进级智能工厂可获推荐申报卓越级工厂;基础级智能工厂经区主管部门复核通过后即视为数字化转型达标;基础级和先进级智能工厂需配合经验推广工作，市经济和信息化局负责指导监督。

　　来源：北京市人民政府

　　办法链接：北京市经济和信息化局

　　https://www.beijing.gov.cn/zhengce/gfxwj/202211/W020221110469348664501.wps

　　七、中央网信办开展“清朗·整治AI技术滥用”专项行动

　　2025年04月30日，中央网信办印发通知，在全国范围内部署开展为期3个月的“清朗·整治AI技术滥用”专项行动。本次专项行动分两个阶段开展。第一阶段强化AI技术源头治理，清理整治违规AI应用程序，加强AI生成合成技术和内容标识管理，推动网站平台提升检测鉴伪能力。第二阶段聚焦利用AI技术制作发布谣言、不实信息、色情低俗内容，假冒他人、从事网络水军活动等突出问题，集中清理相关违法不良信息，处置处罚违规账号、MCN机构和网站平台。

　　第一阶段重点整治6类突出问题，包括违规AI产品，传授、售卖违规AI产品教程和商品，训练语料管理不严，安全管理措施薄弱，未落实内容标识要求，重点领域安全风险。记者了解到，当前人工智能相关产品和服务存在一些乱象，比如，利用生成式人工智能技术向公众提供内容服务，但未履行大模型备案或登记程序;提供“一键脱衣”等违背法律、伦理的功能;在未经授权同意情况下，克隆、编辑他人声音、人脸等生物特征信息，侵犯他人隐私，等等。一些已备案提供医疗、金融、未成年人等重点领域问答服务的AI产品，未针对性设置行业领域安全审核和控制措施，出现“AI开处方”“诱导投资”“AI幻觉”等问题，误导学生、患者，扰乱金融市场秩序。“清朗·整治AI技术滥用”专项行动第一阶段，将围绕上述问题开展重点整治。

　　第二阶段重点整治7类突出问题，包括利用AI制作发布谣言、利用AI制作发布不实信息、利用AI制作发布色情低俗内容、利用AI假冒他人实施侵权违法行为、利用AI从事网络水军活动、AI产品服务和应用程序违规、侵害未成年人权益。当前，利用AI无中生有、凭空捏造涉时事政治、公共政策、社会民生、国际关系、突发事件等各类谣言信息，或擅自妄测、恶意解读重大方针政策等问题时有发生，AI应用程序诱导未成年人沉迷、损害未成年人身心健康的情况不时出现，专项行动第二阶段将重点打击、治理这些乱象。

　　来源：新华网

　　境外立法监管动态

　　一、欧盟委员会发布关于人工智能素养的常见问题解答

　　2025年05月07日，欧盟委员会发布了关于《人工智能法案》(EUAIAct)中人工智能素养(AIliteracy)的常见问题解答(FAQs)。

　　1.关于AI素养的合规要求

　　根据已于2025年2月2日生效的《人工智能法案》第4条，AI系统的提供者和部署者需确保其员工及其他代表其操作或使用AI系统的人员具备足够的人工智能素养。

　　常见问题解答指出，这不仅包括企业内部员工，还涵盖合同工、服务提供商和客户。所要求的AI素养水平应与相关人员的技术知识、经验、教育背景、培训情况以及AI系统的使用场景相适应。尽管法律未明确要求对员工的AI知识进行正式测评，但组织必须主动采取措施，确保其相关人员具备足够的AI素养。

　　FAQs还探讨了在金融或医疗领域使用AI时是否应提供特定培训，并提及使用如ChatGPT等具体工具的相关教育问题。

　　2.AI素养的执行机制

　　尽管《人工智能法案》未强制规定对AI素养水平进行正式评估，但FAQs指出，组织应实施必要措施，以确保相关人员达到足够的AI素养水平。该要求有助于实现《人工智能法案》第13条中关于透明度和第14条中关于人类监督义务的有效实施。

　　3.欧盟AI办公室对AI素养的推广做法

　　FAQs还阐明了欧盟AI办公室在推动AI素养方面的作用，并说明委员会将就《人工智能法案》第8至25条(包括AI素养义务)发布更具体的合规指引。值得注意的是，FAQs详细介绍了欧盟委员会自身为提升内部员工AI素养已采取的措施，包括：

　　(1)建立内部AI专用门户网站，作为全体员工获取AI相关内容的一站式平台，涵盖AI指南、培训资源、活动和新闻;

　　(2)为不同岗位员工(如通用人员、管理人员和开发者)量身打造AI学习包，内含经筛选的培训课程，按“必修”、“强烈推荐”和“推荐”等等级分类;

　　(3)在门户网站上专设板块，为每种AI工具提供相关学习资源，供全体员工查阅。

　　来源：Dataguidence

　　问题解答链接：欧盟委员会

　　https://digital-strategy.ec.europa.eu/en/faqs/ai-literacy-questions-answers#ecl-inpage-ai-office-approach-to-ai-literacy

　　二、芬兰发布《人工智能系统开发和使用中的数据保护指南》

　　2025年05月20日，芬兰数据保护监察专员办公室(Ombudsman)发布《人工智能系统的开发和使用中的数据保护指南》(以下简称《指南》)。

　　《指南》明确了组织如何确保在AI系统中对个人数据的处理合法合规。

　　在《指南》中，芬兰数据保护监察专员指出，组织应：

　　1. 在处理个人数据之前，从数据主体的角度评估AI系统的数据保护风险;

　　2. 根据风险水平，决定所需的安全保障措施;

　　3. 在开发、训练或使用AI系统时，为个人数据处理选择合适的法律依据;

　　4. 遵守《通用数据保护条例》(GDPR)中规定的数据保护原则;

　　5. 明确定义哪些个人数据是必要的，以及这些数据在AI系统中的用途;

　　6. 在AI系统的设计和开发阶段，应确保数据主体能够行使其权利。

　　7. 此外，指南还解释了AI系统的定义、何为自动化决策、何时需要开展数据保护影响评估(DPIA)，以及何种情况下个人数据处理构成高风险。

　　来源：Dataguidence

　　指南链接：芬兰数据保护监察专员办公室

　　https://tietosuoja.fi/tekoalyjarjestelmat-ja-tietosuoja

　　三、美国发布《打击技术深度伪造网络剥削工具法案》

　　2025年5月19日，美国总统唐纳德·特朗普已将两党支持的《打击技术深度伪造网络剥削工具法案》(以下简称《删除法案》)签署为法律，旨在打击未经同意的私密影像(NCII)传播，包括深度伪造(deepfake)和复仇色情(revenge porn)。

　　《删除法案》将发布未经同意的私密影像的行为定为刑事犯罪行为。影像包括AI生成的图像，也称为深度伪造复仇色情。《删除法案》要求社交媒体平台和类似网站在收到受害者通知后48小时内删除复仇色情内容。

　　《删除法案》的关键条款包括：

　　1. 明确规定在网络平台(如社交媒体)上“明知而发布或传播”未经同意的私密影像为联邦犯罪，并指出仅同意拍摄不等于同意传播。影像范围包括由计算机生成、逼真、可识别特定真实人的色情图片和视频。

　　2. 平台必须在受害者验证身份并提出请求后48小时内删除影像，并合理努力防止其再次出现或被转发。

　　3. 法案规定只有“明知发布”的内容才构成违法，并要求生成内容在“理性人”标准下难以区分其真实性，确保不滥用执法干预言论自由。

　　4. 在“合理与善意”的前提下，允许医疗人员或执法机关基于特定职责进行数字合成操作而不构成违法。

　　来源：MSN中国-USA TODAY

　　法案链接：美国议会官网

　　https://dean.house.gov/_cache/files/2/0/20fa8057-48fd-40f7-8a81-974b8c26bfe5/D184B2D94A30A188AD9C66642CB5BDA51DBAFF2C7ABBFE50F1E954BEDB52EC05.take-it-down-act.pdf

　　四、美国多方联合发布《人工智能数据安全：保护用于训练和运行人工智能系统的数据的最佳实践指南》

　　2025年05月22日，美国国家安全局(NSA)联合网络安全和基础设施安全局(CISA)、联邦调查局(FBI)以及澳大利亚、新西兰等国的网络安全机构，共同发布一份名为《人工智能数据安全：保护用于训练和运行人工智能系统的数据的最佳实践指南》(以下简称《指南》)。《指南》就人工智能(AI)与机器学习(ML)系统数据安全防护提供关键指导，着重强调数据安全对确保AI输出结果准确性与完整性的重要意义，并系统阐述AI开发部署各阶段可能因数据完整性问题引发的潜在风险。

　　《指南》简要概述AI系统生命周期，并针对基于AI系统的开发、测试及运行环节提出数据安全通用最佳实践，包括采用数据加密、数字签名、数据溯源追踪、安全存储及信任基础设施等技术方案。

　　《指南》还深入剖析AI系统数据安全的三类关键风险并介绍了降低风险的相应措施：

　　1. 数据供应链风险，数据来源不可信或在传输过程中被篡改，可能引入错误或恶意数据。《指南》建议应采取数据加密、数字签名和来源追踪机制，以保障数据的完整性和可溯性。

　　2. 数据投毒风险，即恶意数据被注入训练集，可能操纵模型行为或引入偏见。《指南》建议应建立数据验证机制，结合异常检测技术，及时识别并剔除异常或恶意样本。

　　3. 数据漂移风险，即数据分布变化导致模型性能下降。《指南》建议定期监测数据和模型表现，及时更新训练数据和重新训练模型以维持准确性。

　　来源与指南链接：美国国家安全局官网

　　https://media.defense.gov/2025/May/22/2003720601/-1/-1/0/CSI_AI_DATA_SECURITY.PDF

　　五、美国商务部撤销拜登时代人工智能扩散规则，加强与芯片相关的管制

　　2025年05月13日，美国商务部工业与安全局(BIS)宣布撤销拜登政府时期制定的《人工智能扩散规则》(AI Diffusion Rule)，并计划加强与半导体相关的出口管制措施。

　　在撤销该规则的同时，BIS发布了新的指导方针，强调加强对AI芯片出口的控制，包括：

　　1. 发布行业警示指南《关于将“一般禁令第10条(GP10)”适用于中华人民共和国(PRC)高级计算集成电路的指导意见》，针对华为昇腾系列芯片(如Ascend910B/C/D等符合ECCN3A090参数的芯片)发布禁令，其设计、生产及出口均需BIS许可，全球使用此类芯片可能违反美出口管制，但仅用于技术分析或评估的情况除外。

　　2. 向公众发布技术预警《BIS政策声明：关于可能适用于用于训练人工智能模型的高级计算集成电路及其他商品的出口管制》，明确“用于训练AI模型”的芯片及技术为高度管制对象，向D:5国家组(含中国)出口需BIS许可，“美国人”或“美国实体”提供相关支持服务亦受限制，违规可能面临法律责任，外国实体若为中国等培训涉大规模杀伤性武器或军事情报的AI模型可能被纳入实体清单。

　　3. 向美国企业下发供应链安全防护指南《防止高级计算集成电路转移用途的行业指导》，发布“红旗”警示清单，列举异常交易特征，要求美企对新客户开展深入尽职调查，涵盖成立时间、股权结构、最终用户身份及用途等，以防范技术通过第三方转移至中国等地。

　　来源：美国商务部工业与安全局

　　文件链接：

　　《关于将“一般禁令第10条(GP10)”适用于中华人民共和国(PRC)高级计算集成电路的指导意见》

　　https://www.bis.gov/media/documents/general-prohibition-10-guidance-may-13-2025.pdf

　　《BIS政策声明：关于可能适用于用于训练人工智能模型的高级计算集成电路及其他商品的出口管制》

　　https://www.bis.gov/media/documents/ai-policy-statement-training-ai-models-may-13-2025

　　《防止高级计算集成电路转移用途的行业指导》

　　https://www.bis.gov/media/documents/ai-counter-diversion-industry-guidance-may-13-2025.pdf

　　六、爱尔兰：DPC就MetaAI发表声明

　　2025年05月21日，爱尔兰数据保护委员会(DPC)发布声明，宣布Meta公司已暂停在欧盟/欧洲经济区(EU/EEA)使用Facebook和Instagram用户公开内容训练其大型语言模型(LLM)的计划。

　　DPC指出，Meta原计划于2024年起在欧盟范围内使用用户公开内容进行AI模型训练，涉及的数据处理引发了合规性疑虑。Meta已在DPC介入后暂停该项目，并重新提交更新方案。DPC对其修订后的计划提出若干改进建议，包括：向用户发布更清晰的透明度通知、简化异议表单、延长用户通知期、确保异议表单在欧洲所有司法管辖区有效、提供一年多的异议表格访问权限、更新保护数据主体的措施及GDPR下的风险评估和其他所需文件。

　　Meta需在2025年10月前向DPC提交效果评估报告。DPC强调将持续监督其用户异议机制落实情况，并提醒用户主动审查隐私偏好。

　　来源：爱尔兰DPC官网

　　七、意大利：Luka因生成式人工智能服务数据处理缺乏法律依据被罚500万欧元

　　2025年05月19日，意大利数据保护局(Garante)公布其第232号决定(该决定作出于2025年4月10日)，对Luka Inc.处以500万欧元罚款，原因是违反了《通用数据保护条例》(GDPR)。

　　Garante重点关注了Luka Inc.在数据处理方面的多个方面，包括：

　　1. 隐私政策与透明义务;

　　2. 缺乏合法的数据处理依据;

　　3. 针对未成年人的个人数据处理所依赖的法律基础;

　　4. 在访问服务和与聊天机器人互动时缺乏年龄验证机制。

　　Garante认定Luka Inc.违反了GDPR第5条第1款(a)、(c)项，第6条，第12条，第13条，第24条和第25条第1款的规定。具体而言，Garante发现Luka Inc.：

　　1. 未能证明其处理用户个人数据具有合法依据;

　　2. 在隐私政策中未充分披露数据处理活动，特别是关于所收集数据的性质、处理目的、数据是否传输至欧盟以外国家，以及与聊天机器人互动可能带来的风险;

　　3. 未采取措施保护涉及儿童的个人数据，尤其是缺乏年龄验证机制，导致服务可被未成年人访问，尽管该公司声称其服务并不面向未成年用户。

　　基于上述情况，Garante对Luka Inc.处以500万欧元罚款。此外，Garante命令Luka Inc.在30日内使其数据处理活动符合GDPR规定，特别是：确保其隐私政策符合透明性原则;纠正其年龄验证机制方面的不足。

　　来源：Dataguidence

　　处罚决定链接：欧盟数据保护局

　　https://www.edpb.europa.eu/news/national-news/2025/ai-italian-supervisory-authority-fines-company-behind-chatbot-replika_en

　　收集整理：德和衡网络安全与数据合规团队

　　德和衡网络安全与数据合规团队是一个长期专注于数据合规专项法律服务的团队。团队成员由北京、深圳、上海三地的律师组成。团队自2014年成立以来，核心成员均来自国内领先的网络安全企业360，积累了丰富的行业经验。团队还与奇安信、中电科、全知科技、银行卡检测中心(BCTC)等技术领先团队建立了密切且稳固的长期合作关系。团队致力于协助企业客户提升数据管理水平，预防及应对数据安全问题，提高数据质量，并充分发挥企业数据资产的最大价值。目前，团队已为房产、能源、智能制造、电子、车联网、大数据、金融、物流、电商等多个行业的领军企业提供全套数据合规法律服务。