H.R. 7757已获美国众议院通过并转交参议院委员会,但尚未成为法律。本文梳理其对平台默认设置、年龄核验、联网游戏、AI聊天机器人及COPPA 2.0的主要要求。
从 TIDA 移除义务、FTC 披露指南到韩国水印要求——平台内容治理的三条新红线正在从行业自律变成有期限、有后果的监管义务。
Colorado 强制 AI 决策披露、Connecticut AI Profiling 08-01 生效、加州 120 天供应商认证——三州正把 AI 合规从趋势推进到作业单。
欧盟委员会2026年4月15日宣布 EU Age Verification App 完成技术开发进入推广,基于零知识证明让用户不披露出生日期即可证明年满18岁。但开源当天安全顾问 Paul Moore 称两分钟内破解,本地存储未加密、生物识别可被逻辑绕过。
EO 14117 实施细则生效一周年,DOJ 国家安全司尚未公开重大执法,但两条路径已在收紧:FinCEN 2026年4月1日发布举报人激励拟议规则,把违反数据安全计划列入 TCR 举报表、最高分成30%制裁金;私人原告与州检察长在集体诉讼中援引 EO 14117。
英国 DUAA 2025 于2025年6月19日颁布,第80条以新的第22A–22D条替换 UK-GDPR 第22条,放宽一般数据的自动化决策、收紧敏感数据处理。ICO 于2026年3月31日更新 ADM 指南草案,明确“实质性人类参与”标准、合法路径与安全保障措施。
2026年3月30日,FTC 就 Match Group 及子公司 Humor Rainbow(OkCupid)向德州北区联邦法院提起诉讼,指控其隐私政策虚假陈述——将约300万用户照片及人口统计、地理位置信息提供给创始人投资、无业务往来的 Clarifai,违反15 U.S.C. § 45(a)。
欧盟《网络韧性法案》(Regulation (EU) 2024/2847)为含数字元素的产品设定强制网络安全要求:2024年12月10日生效、2027年12月11日全面适用,其中第14条报告义务自2026年9月11日起先行落地,最高罚款1500万欧元或全球营业额2.5%。
2026年3月13日,欧盟委员会通过《数字综合法案》(Digital Omnibus on AI)谈判授权,修订 AI Act (Regulation (EU) 2024/1689):高风险 AI 合规期限延至2027年12月2日/2028年8月2日,新增偏见纠正的敏感数据处理例外,并禁止生成亲密图像与儿童性虐待材料。
开源自主智能体 OpenClaw 可挂载于飞书、微信等 IM 并获高权限,自动抓网页、读本地文件、调外部大模型。本文结合 GDPR 与《个人信息保护法》分析其四类风险:大规模爬取的透明度义务、向外部 LLM 传数据的合法性、自动化决策(Art 22)、以及未做 DPIA。
2026年2月起,Lenovo、Temu(PDD)、Google 相继在美国卷入涉华数据传输诉讼。私人原告与州检察机关借助州隐私法、消费者保护法与 ECPA,将 EO 14117 的国家安全议题转化为可主张高额赔偿的民事与州级责任,形成对跨境数据合规的多维围剿。
2026年2月11日,加州总检察长依 CCPA 对迪士尼流媒体开出创纪录的275万美元罚单,指其数据出售/共享退出机制存在三项技术缺陷:退出仅限当前设备与服务、网页退出未阻断第三方追踪像素、GPC 信号仅在单一设备生效。洛杉矶高等法院录入永久禁令。
2025年9月至2026年1月,FTC 对面向儿童与陪伴型 AI 产品密集执法。深圳玩具商 Apitor 因集成的极光 JPush SDK 未经家长同意收集儿童位置被罚50万美元;FTC 同时依第6(b)条对七大 AI 公司启动陪伴型聊天调查。运营者须对第三方代码承担严格责任。
韩国《人工智能发展和建立信任基础框架法》(第20676号法律)2025年1月21日通过、2026年1月22日生效,定义高影响 AI 并设透明度标识、安全、影响评估、境外企业指定国内代理人等义务,违反最高罚3000万韩元。累计算力超10^26 FLOP 的模型须提交安全报告。
加州首部陪伴型聊天机器人法律 S.B.243 于2025年10月13日签署生效,对拟人化 AI 强制透明度披露、自杀干预协议与未成年人保护。第22605条引入私人诉权,每次违规法定赔偿1000美元,2027年7月1日起须向自杀预防办公室年度报告。
2025年12月19日,奥地利最高法院(OGH)终审裁定 Meta 个性化广告数据处理违法,否定「履行合同所必需」抗辩,认定其无差别抓取第三方敏感数据、未完整履行 GDPR 第15条访问权,判赔500欧元。本文拆解三项违规,并给出跨国企业的三点合规指引。
COPPA 2.0 由参议院 S.836 与众议院 H.R.6291 两条路径并行推进,把保护对象从13岁以下儿童扩展到13–16岁青少年,引入青少年 Opt-in 同意、扩张运营商定义、限制面向未成年人的个性化广告。本文对比两版关键条款差异,帮出海企业提前评估合规成本与整改路径。
德州 App Store 责任法(S.B.2420)预计2026年1月1日生效,要求应用商店验证年龄、把未成年账户与家长关联、逐次同意下载与内购。CCIA 已起诉请求禁令。本文面向 App 开发者,梳理立法历程、四级年龄分级、平台与开发者义务,以及 Apple 的应对方式。
2025年11月,英国 ICO 发布《儿童守则战略:中期影响评估》,向 Imgur、Reddit 发出罚款意向通知,并把审查扩展到移动游戏。本文面向社交与 UGC 出海产品,拆解默认隐私、年龄验证、算法推荐三个维度的整改路径、平台实例与可落地的合规要点。
2025年11月21日,加州总检察长与手游公司 Jam City 达成140万美元 CCPA 和解,指其21款 App 缺乏可用的退出入口,并把13–16岁青少年默认置于出售/共享状态。本文面向游戏与教育出海厂商,拆解形式合规≠产品合规的两大缺陷与 COPPA/CCPA 分层要求。
2025年11月11日 EDPS 发布《AI 系统风险管理指南》,把可解释性列为数据保护的绝对先决条件(sine qua non),并给出采购审查、机器遗忘、输出过滤等技术缓解措施。本文面向 DPO 与算法团队,梳理三条可落地的合规动作,以及指南依据 ISO 31000 划出的九阶段生命周期框架。
2025年9月2日,Porcuna v. Xandr 与 Baker v. Index Exchange 两起集体诉讼把 EO 14117 与 ECPA 结合:若拦截行为违反 EO 14117 大宗数据规则,即构成 ECPA 第2511(2)(d)条的犯罪或侵权目的,使 AdTech 无法再援引一方例外抗辩。
2025年10月20日,美国 CARU 发布《生成式人工智能与儿童:品牌与政策制定者风险矩阵》,识别误导广告、虚拟代言、隐私、安全、心理健康、操控商业化、有害内容、透明度缺失八类风险并给出合规建议。CARU 是 COPPA 框架下首个安全港计划。
2025年11月1日 APEC 第32次领导人会议在韩国庆州发布《APEC 人工智能倡议(2026-2030)》,确立促进韧性经济增长、增强成员参与、推动 AI 发展与应用三大目标。中国接任下届轮值主席国。本文梳理三大战略方向与实施机制。