域外数据立法动态（24.12.15—25.3.1）

 NO.1 

特朗普政府撤销拜登时期人工智能安全行政令

美国总统特朗普在其就职首日签署行政令，正式废除了拜登政府于2023年颁布的《安全、可靠、可信赖的人工智能开发与使用》第14110号行政令。然而，拜登离任前推出的AI芯片出口限制及数据中心建设加速政策仍维持效力。此次政策调整是特朗普政府试图加速人工智能技术的商业化进程，并将新型人工智能工具的开发列为优先事项。值得注意的是，在特朗普的就职典礼上，众多科技巨头集体出席，他们的政策影响力以及对典礼的部分资金支持，引发了公众对政商利益关联的质疑。

与此同时，欧盟的《人工智能法案》侧重于技术透明度与伦理规范，而美国则转向侧重技术突破与产业扩张。这种监管理念的分歧可能会加剧跨大西洋在人工智能领域的政策协调难度，并对全球人工智能治理格局的构建产生深远影响。

 NO.1 

EDPB通过了关于年龄验证的声明，成立了一个人工智能执法工作组，并向世界反兴奋剂机构提出建议

2月12日消息，欧盟数据保护委员会（EDPB）在2025年2月全体会议上通过多 项重要决议。

一是发布《年龄验证声明》，确立十项核心法律原则，强调在保护未成年人权益的同时遵循《通用数据保护条例》（GDPR）的数据处理原则，如数据最小化、透明度等，目前正与欧盟委员会在《数字服务法》（DSA）框架下协同立法。

二是将ChatGPT工作组职能扩展至人工智能执法领域，设立快速响应小组协调成员国数据保护机构（DPAs）应对紧急事务，确保在GDPR框架下平衡AI发展与数据保护。

三是对2027年《世界反兴奋剂条例》提出法律意见，强调在反兴奋剂领域处理个人数据时需遵循GDPR的关键原则，确保国家反兴奋剂组织（NADOs）达到相应数据保护标准，并保障运动员的知情权和数据权利。

 NO.2 

ICO宣布其在2025年的在线跟踪策略

2月12日消息，英国信息专员办公室（ICO）发布在线追踪新战略，聚焦重构"公平透明、用户可控"的数字广告生态。针对当前用户数据控制权薄弱的四大症结——非必要追踪技术强制使用、数据处理信息不透明、未经同意的数据滥用以及同意决策不可撤回，ICO拟于2025年推进五项关键行动：

 NO.3  

EDPB发布CSC半年度报告

2月13日，欧洲数据保护委员会（EDPB）发布《协调监督委员会（CSC）2022-2024年活动报告》，总结了监管进展并规划了未来方向。核心成果包括：将升级版申根信息系统（SIS）和签证系统（VIS）纳入监管，制定互操作性规则；发布《IMI系统透明度义务建议》，明确数据控制者的信息披露范围；协调多国处理欧警局涉及15岁以下未成年人数据的审计反馈，重点监督第三国数据质量；联合成员国数据保护机构和刑事执法部门开展审计与调查，推动公众数据保护意识提升。

未来，EDPB将扩大监管范围，纳入更多欧盟IT系统和机构，优化监督架构；为成员国数据保护机构（DPA）提供跨境执法法律解释支持，通过联合审计促进最佳实践共享；建立跨系统数据流动监测框架，确保欧盟机构间信息共享符合GDPR，防范滥用风险。 

 NO.4 

欧洲数据保护委员会通过假名化指南并推动改善与竞争监管机构的合作

在2025年1月的全体会议上，欧洲数据保护委员会（EDPB）通过了关于假名化的指南，并发表了一份关于竞争法与数据保护法相互关系的声明。在指南中，EDPB澄清了假名化及其数据的定义、适用性以及优势，并提供了两项重要法律说明：一是假名化数据如果能够通过额外信息关联到某个个体，则仍属于个人数据；二是假名化在符合GDPR其他要求的情况下，可以降低风险，使“合法利益”作为法律依据更具可行性。

此外，EDPB在声明中探讨了数据保护法与竞争法的相互作用，建议将市场和竞争因素纳入数据保护实践，并在竞争评估中考虑数据保护规则，以改善监管机构之间的合作。

 NO.5 

欧盟委员会批准将《反虚假信息行为守则》纳入《数字服务法》框架

2025年2月13日，欧盟委员会和欧洲数字服务委员会批准将《反虚假信息行为守则》（以下简称《守则》）纳入《数字服务法》（DSA）框架。这一整合将使《守则》成为衡量平台是否符合DSA要求的基准。

考虑到应对虚假信息传播的复杂性和挑战，《守则》涵盖了不同但相互关联的领域：

其他地区

+ + + + + 

 NO.1 

越南：全面的越南互联网法开始生效

2024年12月15日消息，越南政府第147号法令于该日生效，该法令涉及包括互联网服务、域名、跨境信息提供、社交网络、在线游戏、应用商店和电信应用程序服务的管理。

新法令引入了严格的措施来控制非法内容，并规定了各种利益相关者的详细责任，包括电信运营商、互联网提供商、数据中心和网络托管服务。

该法令对于社交网络的强监管态度引起了国际层面关注，它要求所有在越南运营的科技公司都必须使用越南电话号码或身份证号码验证用户账户，存储用户的全名和出生日期，并将此信息提供给政府。

它还阻止社交媒体用户参与发布有关涉嫌政府不当行为的信息，并要求公司在 24 小时内删除被视为非法的帖子。该法令要求公司允许当局访问其内部搜索引擎，以便识别违规内容。

此外，该法令将境内社交网络服务提供商根据其固定访问者的数量分为“高访问者”或“低访问者”。高访问者类别包括每月总访问量达到或超过 10,000 次（基于连续六个月的月平均值）或每月固定用户超过 1,000 名的社交网络。高访客的境内社交网络服务提供商需要获得相关主管部门的许可才能运营，而低访客的提供商必须获得主管部门的通知确认才能提供社交网络服务。

除了对社交媒体公司的影响外，新法律还包括限制未成年人的游戏时长，旨在防止成瘾。游戏发行商应强制要求每个游戏会话的时间限制为一小时，并且所有游戏每天的时间限制不得超过180分钟。

 NO.2 

智利：网络安全框架法生效

2025年1月1日消息，智利《网络安全框架法》于该日生效。这项新法律是政府应对网络安全挑战和网络犯罪兴起的议程的一部分。

《网络安全框架法》概述了旨在加强智利数字防御的几个目标，包括促进公共数字安全文化、保护个人数据以及建立确保协调应对网络威胁的制度框架。设立了国家网络安全局（ANCI）以负责监管、监督提供基本服务的公共或私营实体的网络安全。

该法律将能源、医疗保健、运输、银行、卫生、电信和信息技术指定为受法律适用的基本服务。基本服务提供商必须实施综合措施来预防、报告和解决网络安全事件。他们还需要遵守 ANCI 制定的协议和标准，以确保在面对不断变化的威胁时重要运营活动的连续性。这些措施包括实施信息安全管理系统、定期进行网络安全演习和获得网络安全认证等措施。

  公司还必须在检测到重大事件后数小时内向国家网络安全事件响应小组报告重大事件，包括可能中断服务或泄露个人数据的网络攻击。

新法律设立了网络安全多部门委员会作为咨询机构，负责就现有和潜在的网络安全威胁向 ANCI 提出行动建议，并提出应对措施。该法律还创建了国家连接网络 （RCSE），该网络将为政府提供互联网连接服务。

 NO.3 

印度：发布2025年数字个人数据保护规则草案

2025年1月3日，印度电子和信息技术部发布了《2025年数字个人数据保护规则草案》，旨在细化《2023年数字个人数据保护法》的实施细则并澄清部分条款。草案规定数据受托人需提供独立于用户协议的详细通知，以清单形式列明数据类型及用途；建立数据泄露双重报告机制，要求受托人在发现泄露后立即向印度数据保护委员会提交初步报告，并在72小时内补充详细信息。草案还要求受托人建立灵活机制，以便数据主体行使访问、更正、删除等权利，并允许数据主体提名代表在其死亡或丧失能力时代行权利。

此外，草案授权政府设定国际数据传输条件，要求特定重大数据受托人将数据存储于印度境内，并引入“同意管理者”中介机构，帮助数据主体集中管理同意并支持数据跨平台迁移。草案还对数据安全保障、儿童与残障人士数据保护、重大数据受托人的附加义务、特定平台的数据保留与删除、行为监控限制以及数据处理豁免条件等进行了详细规定，以确保数据的合法性、安全性和隐私保护。

NO.4 

韩国：颁布《人工智能框架法案》