目 录
一、国内立法动态监管
1、《网络安全法》增加促进AI安全与发展条款
2、中国网信办、国家发展改革委联合印发《政务领域人工智能大模型部署应用指引》
3、中国电子商会发布《生成式人工智能知识产权指南》团体标准
4、北京查处首例滥用AI技术发布虚假广告案
二、境外立法监管动态
1、越南公布《人工智能法》草案
2、加州更新《AI透明法》
3、美国加州颁布首部《AI伴侣法》
4、欧盟委员会推出AIAct常见问题解答板块
5、纽约州统一法院系统发布《人工智能使用临时政策》
6、欧盟EDPS发布关于生成式人工智能的修订版指南
7、澳大利亚国家人工智能中心发布《人工智能采用指南》
8、德国数据保护会议发布关于检索增强生成人工智能系统的指导文件
一、国内立法动态监管
1、《网络安全法》增加促进AI安全与发展条款
10月28日,十四届全国人大常委会第十八次会议审议通过关于修改《中华人民共和国网络安全法》的决定。新修改的网络安全法自2026年1月1日起施行。
全国人大常委会法工委经济法室负责人介绍说,此次网络安全法修改,在深入总结网络领域相关立法实施经验的基础上,重点完善了危害网络运行安全、网络产品和服务安全、网络信息安全行为的法律责任,加大处罚力度,扩大法律的域外适用情形,并与数据安全法、个人信息保护法等网络领域相关法律做好衔接,增强法律规范的针对性、有效性、协同性。
同时,此次网络安全法修改,按照党的二十届三中全会关于完善推动人工智能治理体系的要求,积极回应人工智能治理和发展需要,增加一条规定:国家支持人工智能基础理论研究和算法等关键技术研发,推进训练数据资源、算力等基础设施建设,完善人工智能伦理规范,加强风险监测评估和安全监管,促进人工智能应用和健康发展;支持创新网络安全管理方式,运用人工智能等新技术,提升网络安全保护水平。
来源:法治日报
2、中国网信办、国家发展改革委联合印发《政务领域人工智能大模型部署应用指引》
2025年10月10日,中央网信办、国家发展改革委近日联合印发《政务领域人工智能大模型部署应用指引》(以下简称《指引》),为各级政务部门提供人工智能大模型部署应用的工作导向和基本参照。
《指引》指出要持续夯实数据基础,要求政务部门应加强政务数据治理,持续提升数据质量。分类分级管理政务大模型涉及数据,加强训练数据、微调数据、知识库等管理,建立台账并详细记录数据来源、类型和规模等信息,确保数据来源可靠可追溯、内容准确有效。依托政务数据共享协调机制,统筹数据治理成果,推进高质量政务数据集的共建共享和生成数据的归集治理。探索基于大模型的政务知识治理路径,打造可信知识库,确保数据源的权威性、准确性和时效性。
《指引》在保障措施方面,要求开展监测评估,即建立政务大模型安全测评机制,上线前对模型算法、生成内容、应用功能、配置环境、挂接数据、漏洞风险等进行充分测试验证,对发现的问题隐患进行整改加固。加强政务领域人工智能大模型系统运行状态、响应时间、准确性、安全性和潜在风险的实时监测分析,及时发现问题,并采取有效措施解决。
《指引》在保密方面,要求政务部门在模型训练、部署应用等过程中应加强数据安全保密和个人信息保护,坚持底线思维,严格落实“涉密不上网、上网不涉密”等保密纪律要求,采取加装保密“护栏”等措施,防止国家秘密、工作秘密和敏感信息等输入非涉密人工智能大模型,防范敏感数据汇聚、关联引发的泄密风险。制定完善人工智能大模型在政务领域应用相关保密管理制度,规范人工智能大模型选型、部署、训练、使用、废止等全流程保密管理。涉密信息系统应用人工智能大模型按照国家保密行政管理部门要求稳妥推进。
来源及全文链接:中华人民共和国中央人民政府
https://www.gov.cn/lianbo/bumen/202510/content_7043861.htm
3、中国电子商会发布《生成式人工智能知识产权指南》团体标准
2025年10月10日,中国电子商会编制的《生成式人工智能知识产权指南》(T/CECC 42—2025)团体标准发布并实施。
随着生成式人工智能技术加速应用于科技研发、互联网服务、文化娱乐、医疗健康等领域,知识产权领域问题也日益凸显。AI生成内容的权属认定、算法专利的判定边界、企业(尤其是中小微企业)合规成本高等问题,制约了企业创新效率,也给产业健康发展带来潜在风险。
该标准围绕生成式人工智能技术开发、应用与合规管理中的关键问题,明确了知识产权合规管理和保护的基本要求,构建了涵盖著作权、专利、标识和商业秘密四大核心领域的获取、应用与风险管理框架,着力解决责任权属模糊、算法专利判定复杂等突出问题。
该标准为生成式人工智能不同场景下的主体提供了明确指引:生成式人工智能大模型开发者可依指南明确数据合规、专利保护、商业秘密管理要点,降低侵权风险;生成式人工智能服务提供者可依指南开展大模型审查、投诉渠道搭建等工作,平衡服务效率与知识产权保护;生成式人工智能服务使用者可依指南在使用前进行规范的信息确认、在使用中合理有效留痕,厘清合规边界。该标准还专门设有知识产权争议处理专章,为各主体提供侵权风险防范、应急措施以及多元维权途径,助力各方主体高效应对知识产权纠纷。
来源:中国消费网
全文链接:全国团体标准信息平台
https://www.ttbz.org.cn/upload/file/20250618/6388583151126087889684765.pdf
4、北京查处首例滥用AI技术发布虚假广告案
2025年10月16日,北京市市场监督管理局发布首例滥用AI技术发布虚假广告案。事件源于6月北京市海淀区市场监管局执法人员发现,一家公司通过AI技术剪辑央视知名主持人视频,加入自行设计的口播内容,在自有网络视频账号上以短视频等形式发布普通食品“深海多烯鱼油”广告,宣称“可以解决头晕头痛、手麻脚麻、四肢乏力”等医疗功效。这一行为违反了《中华人民共和国广告法》相关规定,目前已接受行政处罚。
来源:国家市场监督管理总局
二、境外立法监管动态
1、越南公布《人工智能法》草案
截止至2025年10月22日,越南《人工智能法》草案(以下简称”草案”)已经停止征求意见。
在科学、技术和环境委员会举行的AI草案研讨会上,专家强调越南亟需建立AI使用的道德与责任规范,并补充隐私保护原则,同时在法律中明确具体执行标准,以实现管理与创新的平衡。草案提出八项基本原则,包括以人为本、人类责任与控制、安全、公平与透明、遵守法律与道德、国家自主与国际一体化、绿色可持续及基于风险的管理,并建议参考教科文组织AI伦理指导,将核心价值观与具体道德原则分层设计。
针对越南大型语言模型和AI系统广泛使用本地数据,专家提出草案应细化分析性AI(数据预测与解释)与生成性AI(创意内容)的管理,并补充尊重人权、隐私、社会责任和公平透明等伦理要求。同时,信息学和无线电电子协会建议建立独立AI伦理委员会,明确专家参与比例与跨部门协调机制,完善国家AI道德框架。
草案亮点包括:风险分级管理兼具弹性,高风险AI采取“双轨制”,大部分后检,极少数前检;产业发展措施完善,如国家AI基金、AI产业集群、AI代金券和监管沙盒,助力创新与产业崛起;明确AI训练数据版权豁免条款,为合法获取的作品训练AI提供法律保障,同时尊重权利人选择退出意愿;构建责任分层和连带兜底机制,上游模型提供者、中游系统整合商及下游部署方各负其责,并设立举证责任倒置,保障受害者权益。
来源:Đại biểu Nhân dân
全文链接:越南社会主义共和国国会科技部
https://mic.mediacdn.vn/document/2025/10/2/250925duthao-luatai-v10-1759393446665893284209.pdf
2、加州更新《AI透明法》
2025年10月13日,加州州长Gavin Newsom签署了《人工智能透明法》(Artificial Intelligence Transparency Act, AB 853)(以下简称《法案》)。
《法案》要求,凡是在加州境内公开可访问、且每月访客或用户数量超过1,000,000的生成式人工智能系统的开发者、编程者或其他生产者,必须向用户免费提供一个人工智能内容检测工具。该工具应能够让用户判断图像、视频或音频内容(或其组合内容)是否由该生成式人工智能系统创建或修改,并输出在内容中检测到的任何系统来源数据(system provenance data)。
《法案》规定,自2027年1月1日起,大型在线平台(large online platform)除需履行与平台上内容来源(provenance)相关的其他义务外,还应检测其分发的内容中,是否嵌入或附加了符合公认标准制定机构所采纳的广泛使用规范的来源数据(provenance data)。此外,自2028年1月1日起,《法案》要求捕捉设备制造商(capture device manufacturer)就其在2028年1月1日或之后首次在该州销售的捕捉设备,履行包括以下内容在内的义务:须为用户提供选项,在设备捕获的内容中加入隐式标识(latent disclosure),该标识需传达特定信息,包括捕捉设备制造商的名称等。《法案》中“捕捉设备”(capture device)定义为能够记录照片、音频或视频内容的设备,包括但不限于视频及静态摄影机、内置摄像头或麦克风的手机、以及录音设备。
现行法律要求,受监管的提供者(covered provider)必须在其生成式人工智能系统(GenAI system)所生成的图像、视频、音频内容或其组合中加入隐式标识(latent disclosure),该标识需传达特定信息,且应为永久存在或极难去除,在技术可行的范围内予以实现。
《法案》规定,自2027年1月1日起,生成式人工智能系统托管平台(GenAI system hosting platform)(即任何允许加州居民下载生成式人工智能系统源代码或模型权重的网站或应用程序,无论是否收费)不得明知地提供未按照上述规定加入披露信息的生成式人工智能系统。
此外,《法案》声明,其各项条款具有可分割性(severability),即若其中某一条款被判定无效,不影响其他条款的有效性。
来源及全文链接:美国加州参议院
https://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=202520260AB853
3、美国加州颁布首部《AI伴侣法》
2025年10月13日,加州州长加文·纽森(Gavin Newsom)签署了参议院法案 243(Senate Bill 243, SB 243)即《AI伴侣法》(以下简称为“法律”),使加州成为美国首个对未成年人使用的AI伴侣聊天机器人强制实施特定安全保障措施的州。该法律是对日益增长的公共健康关注以及几起与青少年自残和自杀相关的高调事件的直接回应,而这些事件均涉及与对话型人工智能的互动。该法案自2026年1月1日起生效,为 AI 伴侣行业建立了新的监管基准。
法律对三个关键领域设定了积极义务:信息披露(Disclosure)、安全防护措施(Safety Protocols)以及问责机制(Accountability)。
在信息披露方面,对于普通用户,如果“合理的人”可能会误以为自己正在与真人互动,运营方必须提供清晰醒目的通知,说明该伴侣聊天机器人是人工生成的,并非真人;对于运营方已知的未成年人用户,必须披露用户正在与人工智能互动,并在持续互动过程中每至少三小时提供一次清晰醒目的通知,提醒用户休息,并告知聊天机器人为人工智能生成。运营方必须在应用程序、浏览器或其他访问形式中披露,伴侣聊天机器人可能不适合部分未成年人使用。
在安全防护措施方面,运营方必须制定危机预防方案,防止聊天机器人向用户生成涉及自杀意念、自杀或自残的内容;方案中必须包括,当用户表达自杀意念、自杀或自残行为时,向高风险用户提供通知并引导其联系危机服务提供者(包括自杀热线或危机短信热线);运营方必须在其网站上公布危机预防方案的详细信息;运营方必须采取合理措施,防止聊天机器人生成未成年人性行为相关的视觉内容,或直接表述未成年人应参与性行为;运营方必须使用基于证据的方法来评估用户的自杀意念。
在问责机制方面,运营方必须向加州公共卫生部自杀预防办公室(California Department of Public Health’s Office of Suicide Prevention)提交年度报告,内容包括:上一日历年度中,运营方向危机服务提供者发出的转介通知次数、已实施的用于检测、移除和应对用户自杀意念的方案、已实施的用于禁止聊天机器人就自杀意念或行为向用户作出回应的方案。法律赋予任何因违反规定而遭受实际损害的人提起私人诉讼的权利。
来源及全文链接:美国加州参议院
https://legiscan.com/CA/text/SB243/id/3092822
4、欧盟委员会推出AI Act常见问题解答板块
2025年10月14日,欧盟委员会在其官网更新发布了《人工智能法案》(AI Act)常见问题解答板块,该常见问题列表是根据人工智能公约网络研讨会期间收到的咨询以及利益相关者提交的意见整理而成,将根据需要定期更新。回答的问题分为“一般问题”“人工智能素养”“禁止的人工智能做法”“高风险人工智能系统”“通用人工智能模型”和“创新措施”6个部分。
在问答中提及关于通用人工智能模型提供商的义务有:《人工智能法案》(AI Act)第2条第8款规定,一般而言,AI Act不适用于AI系统或AI模型在投放市场或投入使用之前的任何研究、测试或开发活动。同时,对于通用型 AI 模型提供者(无论是否具有系统性风险),某些义务明确或隐含地适用于模型的开发阶段,即在模型投放市场之前。举例来说,包括以下义务:提供者须通知委员会其通用型AI模型已达到或将达到第51(2)条与规定的训练计算阈值(AI Act第51条和52条);记录训练和测试相关信息(AI Act第53条);评估并缓解系统性风险(AI Act第55条)。特别是,AI Act第55(1)(b)条明确规定:“具有系统性风险的通用型AI模型提供者应评估并缓解可能源自通用AI模型开发阶段的系统性风险,包括其在欧盟层面的来源”。
来源:欧盟委员会
5、纽约州统一法院系统发布《人工智能使用临时政策》
2025年10月10日,纽约州统一法院系统(UCS)发布《人工智能(AI)使用临时政策》(以下简称“临时政策”),临时政策旨在促进在纽约州统一法院系统(UCS)中对AI技术的负责任和道德使用,明确法官、司法行政人员及非司法岗位员工在工作中使用生成式AI的边界与要求。
临时政策列出了确保公平性、问责性与安全性的重要防护措施,尤其针对法院工作人员使用生成式AI的情形。第五部分详细明确了有关AI使用的强制性要求与限制,例如,“在完成初始培训课程前,不得在任何UCS设备上或用于任何与UCS相关的工作中使用生成式AI产品。”
来源:纽约州人工智能和法院咨询委员会
6、欧盟EDPS发布关于生成式人工智能的修订版指南
2025年10月28日,欧洲数据保护监督机构(EDPS)发布了其关于生成式人工智能(AI)及欧盟机构、机构办事处和机构(EUIs)在处理个人数据方面的修订和更新指南,以反映快速发展的技术环境以及生成式AI系统带来的不断演变的挑战。
在参考EUIs反馈的基础上,修订后的指南为生成式AI工具的负责任开发与部署提供了更清晰、更实用的指导,并引入了若干关键更新,包括:对生成式AI的定义进行了精炼,以提高清晰度和一致性;
新增面向行动的合规清单,帮助EUIs评估并确保其处理活动的合法性;澄清了各方角色和职责,帮助EUIs确定其在处理数据时是作为控制者、联合控制者还是处理者;就合法依据、目的限制及在生成式AI环境下处理数据主体权利提供了详细建议。
修订后的指南强调了EDPS在监测技术发展方面采取的前瞻性做法,并为欧盟机构提供建议,指导其如何在创新与隐私及数据保护之间取得平衡。EDPS将持续跟踪生成式AI的发展,并在必要时更新指南,以应对新出现的挑战。
来源:EDPS
全文链接:EDPS
https://www.edps.europa.eu/data-protection/our-work/publications/guidelines/2025-10-28-guidance-generative-ai-strengthening-data-protection-rapidly-changing-digital-era_en
7、澳大利亚国家人工智能中心发布《人工智能采用指南》
2025年10月17日,澳大利亚国家人工智能中心(NAIC)发布了《人工智能采用指南》(简称“指南”),该框架旨在帮助AI开发者和部署者,在人工智能系统的整个生命周期中全面贯彻负责任的AI实践。
该指南概述了六项实践,旨在帮助企业以建立信任并创造价值的方式来规划、管理和使用人工智能。无论企业正处于人工智能应用的起步阶段,还是已在管理更复杂的系统,该指南都能为其提供相应支持。
指南包括两个部分:《基础篇》(Foundations):帮助人工智能应用经验较少的企业建立治理机制,使人工智能与业务目标保持一致,并有效管理风险。《实施实践篇》(Implementation Practices):为企业提供更为详尽的建议,以强化人工智能治理与监督。
为协助企业将“负责任的人工智能”落到实处,该指南还提供了实用的工具和模板,例如人工智能政策模板(AI Policy Template)和人工智能登记模板(AI Register Template)。
来源:澳大利亚国家人工智能中心(NAIC)
文章链接:
https://business.gov.au/news/new-guidance-helps-australian-businesses-adopt-ai-safely-and-responsibly?utm_source=chatgpt.com
基础篇(Foundations):
https://www.industry.gov.au/sites/default/files/2025-10/guidance-for-ai-adoption-foundations.pdf
实施实践篇(Implementation Practices):
https://www.industry.gov.au/sites/default/files/2025-10/guidance-for-ai-adoption-implementation-practices.pdf
8、德国数据保护会议发布关于检索增强生成人工智能系统的指导文件
2025年10月17日,德国数据保护会议(DSK)发布针对检索增强生成(RAG)人工智能系统的指导文件。该指导文件面向已经使用或计划使用RAG系统的企业和公共机构,重点解决与RAG相关的特定问题,尤其是涉及嵌入(embeddings)技术和向量数据库的系统。
根据德国数据保护会议的定义,RAG是一种人工智能技术,它通过让大型语言模型能够有针对性地访问企业或政府机构自由的知识来源,从而生成具有特定语境的回答。
该文件重点关注RAG系统的使用如何影响人工智能系统的数据保护评估。具体包括:准确性,即RAG系统通过为LLM输入提供特定语境,提高回答的准确性,但输出中仍可能出现错误;透明性,即RAG可以提升生成回答所用文档的可追溯性,但仅限于提供给RAG知识库的文件;完整性与机密性,即RAG子系统可以通过已建立的措施满足数据库的数据保护要求;目的限制,即通过客户端隔离或数据功能隔离等技术手段实现目的限制;数据最小化,通过决定哪些文件被存储进向量数据库,可以确保RAG子系统实现数据最小化原则;
合法性,即如果LLM的训练是过程是非法的,即使被整合进RAG系统,训练行为仍然是非法的;数据主体权利的形式上,需要注意数据主体有权行使其权利,特别是针对输入提示、输出内容、引用文档以及向量数据库。
来源:Dataguidence
全文链接:德国数据保护会议
https://www.datenschutzkonferenz-online.de/media/oh/DSK_OH_RAG.pdf
收集整理:德和衡网络安全与数据合规团队
德和衡网络安全与数据合规团队是一个长期专注于数据合规专项法律服务的团队。团队成员由北京、深圳、上海三地的律师组成。团队自2014年成立以来,核心成员均来自国内领先的网络安全企业360,积累了丰富的行业经验。团队致力于协助企业客户提升数据管理水平,预防及应对数据安全问题,提高数据质量,并充分发挥企业数据资产的最大价值。目前,团队已为房产、能源、智能制造、电子、车联网、大数据、金融、物流、电商等多个行业的领军企业提供全套数据合规法律服务。