10-12月要点速览:【网络安全】《网络安全法》表决通过,自2026年1月1日起施行。
【数据跨境】《个人信息出境认证办法》发布,自2026年1月1日起施行。
【平台】《互联网平台价格行为规则》发布,自2026年4月10日起施行,有效期为5年。
【越南】12月10日,越南国会通过《人工智能法》及《网络安全法》,分别预计于2026年3月1日、2026年7月1日生效。
【人工智能】《斗破苍穹》美杜莎案宣判,明确大模型平台与用户侵权责任边界。
【英国】英政府以“国家安全”为由调查中国宇通客车。
【荷兰】荷兰政府以所谓“对荷兰和欧洲的安全构成风险”为由,对中资半导体公司实施紧急措施。
【美国】全面禁止进口外国新款无人机,大疆、道通等中企受影响。
一.国内监管动态
(一)【网络安全】《中华人民共和国网络安全法》
10月28日,十四届全国人大常委会第十八次会议表决通过关于修改网络安全法的决定,自2026年1月1日起施行。此次网络安全法的修改,适应网络安全新形势新要求,重点强化网络安全法律责任,加强与相关法律的衔接协调。回应人工智能治理和促进发展的需要,修改后的网络安全法明确,国家支持人工智能基础理论研究和算法等关键技术研发,推进训练数据资源、算力等基础设施建设,完善人工智能伦理规范,加强风险监测评估和安全监管,促进人工智能应用和健康发展。
(二)【人工智能】《人工智能拟人化互动服务管理暂行办法(征求意见稿)》
12月27日消息,国家网信办就《人工智能拟人化互动服务管理暂行办法(征求意见稿)》向社会公开征求意见,意见反馈截止时间为2026年1月25日。该暂行办法适用于利用人工智能技术,向中华人民共和国境内公众提供模拟人类人格特征、思维模式和沟通风格,通过文字、图片、音频、视频等方式与人类进行情感互动的产品或者服务(以下称拟人化互动服务)。
(三)【人工智能】关于发布生成式人工智能服务已备案信息的公告
11月11日消息,国家互联网信息办公室关于发布生成式人工智能服务已备案信息的公告。截至2025年11月1日,新增73款生成式人工智能服务在国家网信办完成备案,对于通过API接口或其他方式直接调用已备案模型能力的生成式人工智能应用或功能,由地方网信办开展登记,本阶段新增35款完成登记。截至11月1日,累计有611款生成式人工智能服务完成备案,306款生成式人工智能应用或功能完成登记。
(四)【个人信息】《个人信息出境认证办法》
10月17日消息,国家互联网信息办公室、国家市场监督管理总局联合发布《个人信息出境认证办法》,自2026年1月1日起施行。办法旨在保护个人信息权益,规范个人信息出境认证活动,促进个人信息高效安全跨境流动。
(五)【未成年】《关于报送未成年人个人信息保护合规审计情况的公告》
12月29日,国家互联网信息办公室发布关于报送未成年人个人信息保护合规审计情况的公告,要求处理未成年人个人信息的个人信息处理者,应当于每年1月底前报送上一年度未成年人个人信息保护合规审计情况。
(六)【平台】《互联网平台价格行为规则》
12月20日消息,国家发展改革委、市场监管总局、国家网信办联合印发《互联网平台价格行为规则》,以健全互联网平台常态化价格监管机制,规范相关价格行为,保护消费者和经营者合法权益,推动平台经济创新和健康发展。规则自2026年4月10日起施行,有效期为5年。
(七)【能源】《能源行业数据安全管理办法(试行)》
12月12日消息,国家能源局印发《能源行业数据安全管理办法(试行)》,以规范能源行业数据处理活动,加强数据安全管理,防范数据安全风险,促进数据开发利用。该办法自2026年7月1日起施行,有效期5年。
(八)【卫星】《卫星导航定位基准站管理办法》
11月19日消息,自然资源部发布《卫星导航定位基准站管理办法》,自2026年1月1日起施行。《办法》共二十三条,从统筹全链条全环节管理的角度,对基准站的管理原则、监管职责、布局规划、建设条件、备案要求、运行维护、分类服务、数据管理、监督检查和法律责任等作出明确规定,确保基准站建设、运行维护和相关数据管理纳入法治化轨道。
(九)【硬件】《数据安全技术电子产品信息清除技术要求》
12月13日消息,中央网信办提出并归口的《数据安全技术 电子产品信息清除技术要求》强制性国家标准由国家市场监督管理总局、国家标准化管理委员会批准发布,并将于2027年1月1日起正式实施。该标准规定了电子产品信息清除的基本要求、功能要求,以及二手电子产品信息清除过程要求。
二.国际监管动态
(一)【越南】《人工智能法》及《网络安全法》
12月10日,越南国会通过《人工智能法》及《网络安全法》。《人工智能法》共8章35条,具体包括:基于风险的分级管理机制、明确各方责任与透明度要求、国家基础设施与技术主权、促进发展与激励政策、禁止行为与道德底线、特殊领域的应用与监管、法律责任与赔偿、实施与过渡。该法预计于2026年3月1日起正式生效。《网络安全法》在合并2018年《网络安全法》和2015年《网络信息安全法》的基础上制定,明确规定公安部牵头负责网络安全的国家管理,国防部管理军事信息系统,政府机要局管理系统、密码系统,旨在克服重叠现象并增强在网络威胁日益严峻背景下的协调能力。该法预计于2026年7月1日正式生效。
(二)【美国】《网络安全框架人工智能配置文件》(草案)
12月19日消息,美国家标准与技术研究院(NIST)发布《网络安全框架人工智能配置文件》(草案),旨在帮助组织将NIST网络安全框架,特别是CSF2.0应用到人工智能技术的安全且负责任的使用中,目标是在加快AI普及的同时,降低AI快速发展带来的网络安全风险。
(三)【日本】新版《网络安全战略》
12月23日,日本政府正式通过新版《网络安全战略》,确立未来五年(2025–2030)网络安全政策框架。在全球网络攻防态势日益紧张、技术快速演进的背景下,日本将网络安全定位为国家安全与社会稳定的核心要素,体现出从传统防御性安全向“主动网络防御与国家中心防护”的政策转向。
(四)【澳大利亚】
1.《人工智能应用指南》
10月21日,澳大利亚国家人工智能中心发布《人工智能应用指南》。该指南是对2024年《自愿性人工智能安全标准》的首次修订,将原有10项防护准则精简为6项核心实践,并将适用对象从人工智能部署方扩展至开发者。该指南列出了负责任人工智能治理和采用的6项基本实践,并提供了两个主要版本,以适应不同组织需求,基础篇适用于刚开始探索或准备采用人工智能的组织,实践篇适用于已部署或计划大规模采用人工智能的机构。
2.《明确人工智能生成内容:企业指南》
12月17日消息,澳大利亚国家人工智能中心(NAIC)发布《明确人工智能生成内容:企业指南》的指导文件,针对创建、修改或部署人工智能生成文本、图像、音频和视频的组织提供自愿性最佳实践方法。该指南概述了企业可以用来展示何时以及如何使用人工智能来创建或修改内容的三种透明度机制:标签标注(指使用可见文本告知用户内容是由人工智能生成或人工智能辅助生成的);水印技术(将可见或不可见的信息嵌入数字内容中,以追踪其来源或验证其真实性);元数据记录(包括记录有关内容的描述性信息以及有关其创建或修改的详细信息)。
(五)【意大利】《关于人工智能的规定和政府授权》
10月21日消息,意大利《关于人工智能的规定和政府授权》法案正式生效。该法案共分6章28条,涵盖人工智能领域的基本原则、适用范围、国家战略、权利保护、责任划分及国际合作等核心内容。该法案在强调与欧盟立法保持一致的基础上,确立了一套以核心原则、治理规则和立法授权为主体的国家监管体系。
(六)【欧盟】《人工智能系统风险管理指南》
11月14日消息,欧盟数据保护监管机构发布《人工智能系统风险管理指南》,旨在协助欧盟机构、部门和办事处在开发、采购和部署涉及个人数据处理的人工智能系统时识别并减轻风险。指南强调责任制原则,提出针对公平性、安全性等风险的识别与技术应对措施,结合ISO 31000:2018风险管理框架和人工智能系统全生命周期方法,指南突出“可解释性与可说明性”作为合规前提,并针对偏见、数据质量不足、算法不透明等高风险环节提出防范建议。
三.国内司法/执法案例
(一)《斗破苍穹》美杜莎案宣判,明确大模型与用户侵权责任边界
11月3日下午,上海市金山区人民法院(以下简称金山区人民法院)一审宣判了上海首例人工智能大模型著作权侵权案。
原告公司系知名IP《斗破苍穹》系列动漫中美杜莎角色形象的著作权人。
被告公司运营目前国内某头部AI图像生成平台,平台内汇聚了众多类型和主题的AI生图LoRA模型,依托大模型和诸多LoRA模型为用户提供AI在线生图等服务。
被告李某系平台用户,其截取《斗破苍穹》系列动漫中美杜莎形象图片二十余张,做成美杜莎图包。李某使用平台的“训练LoRA”功能,将美杜莎图包作为训练素材投入,生成两款美杜莎LoRA模型。经过平台机审,被告李某将案涉美杜莎LoRA模型发布在自身账号中。其他普通用户使用案涉美杜莎LoRA模型时,通过输入不同提示词,能够生成与美杜莎形象相同或实质性相似的各种图片。
最终,金山区人民法院作出一审判决:一、被告李某停止侵犯原告公司所享有的《斗破苍穹》系列动漫中美杜莎角色形象的复制权、信息网络传播权;二、被告李某于判决生效之日起十日内赔偿原告公司经济损失3万元及维权合理开支2万元;三、驳回原告公司的其他诉讼请求。
(二)网信部门依法集中查处一批存在人工智能生成合成内容标识违法违规问题的移动互联网应用程序
11月28日,针对部分网站平台未有效落实人工智能生成合成内容标识规定要求相关问题,网信部门集中查处一批违法违规移动互联网应用程序。主要情形包括:一是人工智能生成合成服务提供者未对生成合成的内容添加显式标识;提供生成合成内容导出功能时,未在文件中添加显式标识;在生成合成内容的文件元数据中,未添加包含属性信息、服务提供者名称或者编码、内容编号等制作要素信息的隐式标识;隐式标识添加位置不规范等。二是网络信息内容传播服务提供者未落实隐式标识核验、在发布内容周边添加显著提示标识相关要求;未在生成合成内容传播活动涉及的文件元数据中添加属性信息、传播平台名称或编码、内容编码等传播要素信息;未向用户提供声明生成合成内容的功能等。
(三)工信部通报39款违规收集使用个人信息的APP及SDK
11月10日,工业和信息化部组织第三方检测机构对APP、SDK违法违规收集使用个人信息等问题开展治理,抽查发现39款APP及SDK存在侵害用户权益行为,涉及违规收集个人信息;APP强制、频繁、过度索取权限;强制用户使用定向推送功能;隐私政策默认同意;未明示收集个人信息清单;超范围收集个人信息;强制自动续费等。上述APP及SDK应按有关规定进行整改,整改落实不到位的,工信部将依法依规组织开展相关处置工作。
四.国际司法/执法案例
(一)【英国】英政府以“国家安全”为由调查中国宇通客车
11月10日消息,英政府已确认正与英国家网络安全中心密切合作,调查中国宇通客车是否拥有对其车辆控制系统的远程访问权限。此举源于挪威的一份安全测试报告,该报告声称“中国制造商宇通的车辆存在允许远程访问和控制的严重漏洞”。截至目前,宇通已向英国市场供应约700辆电动巴士,覆盖诺丁汉、南威尔士和格拉斯哥等地区。中国宇通公司回应称,所谓“远程控制巴士”在技术上不可能实现,宇通车辆虽配备数据接口用于诊断和空中软件更新,但其车载信息单元与关键安全系统在物理层面完全隔离,杜绝了外部干预的可能。所有在欧盟运营的宇通车辆数据存储在法兰克福的亚马逊云服务器中,仅用于车辆维护与性能优化,并受到严格保护。软件更新必须获得运营商授权,且不涉及车辆控制核心。
(二)【荷兰】荷兰政府以所谓“对荷兰和欧洲的安全构成风险”为由,对中资半导体公司实施紧急措施
10月13日消息,荷兰政府以所谓“对荷兰和欧洲的安全构成风险”为由,对中资半导体公司安世半导体实施一系列罕见紧急措施:冻结其一年内全球30个实体的所有资产、知识产权、运营和人事变动,并强制更换其中方CEO。荷兰经济事务部称“安世半导体严重的治理缺陷,使荷兰和欧洲关键技术知识和能力的连续性和保障受到威胁,特别是在紧急情况下汽车和消费电子产品中使用芯片的可用性”。
(三)【美国】全面禁止进口外国新款无人机,大疆、道通等中企受影响
12月22日消息,美联邦通信委员会(FCC)宣布,将所有外国制造的无人机及其关键零部件列入其“受关注清单”。该清单认定相关企业(包括大疆、道通等中国无人机制作商)对美国国家安全构成“不可接受的风险”,今后将不再批准任何新型外国无人机或核心组件在美国的销售与进口许可。FCC强调,这一措施不影响此前已获批准的设备型号,消费者仍可继续合法使用已购入的无人机。FCC声称其决定基于白宫牵头、多个联邦机构参与的跨部门安全评估结果。
(四)【美国】特朗普宣称对所有中国输美商品加征100%关税,并对“所有关键软件”实施出口管制
10月10日,美总统特朗普在其社交平台发文:“从2025年11月1日开始(或根据中方后续采取的任何行动或变化可能提前),美国将在现有已征关税基础上,对中国加征100%关税,将对所有关键软件实施出口管制”。此次关键软件出口管制涵盖电子设计自动化、计算机辅助设计、生产管理软件等核心技术领域,涉及半导体、航空航天等行业。后加征100%关税政策并未实际实施。
(五)【澳大利亚】澳大利亚监管机构向比亚迪、极氪等5家中国车企发出合规警告
10月11日消息,澳大利亚汽车服务与维修监管机构(AASRA)向比亚迪、极氪、小鹏、Smart和零跑5家中国车企发出合规警告,指控上述车企涉嫌违反澳大利亚《机动车服务与维修信息制度(MVIS)》,存在诊断软件更新延迟、关键技术参数未完整披露、订阅服务定价高于行业基准三类违规行为。AASRA强调,此类违规行为通过构建技术信息壁垒,违背了MVIS打破售后垄断的立法初衷。此次争端的核心是维修数据开放权,澳大利亚法规要求车企向独立维修商提供与授权经销商同等的维修技术信息。若指控成立,每家车企可能面临最高1000万澳元的罚款。
