每周监管 | 十五五规划纲要;最高法工作报告;人工智能与低空经济立法加速;欧洲生物技术法案声明

近日，司法部部长在十四届全国人大四次会议第三场“部长通道”上表示，今年将进一步加强重点领域、新兴领域、涉外领域的法律法规制度供给，加快研究推进人工智能和低空经济等领域的立法，使法治更好与改革、发展、稳定相协同。

2026年3月12日，欧洲数据保护委员会（EDPB）与欧洲数据保护监管局（EDPS）就欧盟委员会提出的《欧洲生物技术法案》提案发表联合意见，针对临床试验中处理的健康和遗传数据的保护要求提出若干建议。主要包括：

1）明确数据控制者的角色：提案应明确临床试验的申办者与执行者是单独控制者还是共同控制者，以确保责任划分清晰。

2）限制数据保留期限：应明确强制最低保留期限（25年）仅适用于临床试验主档案，而非临床试验过程中处理的所有个人数据。

3）用于其他临床试验或科学研究的后续处理：鉴于提案旨在为同一数据控制者后续处理试验数据提供欧盟层面的法律依据，生物技术相关法规应明确定义此类处理的目的及具体保障措施。

4）与人工智能法规保持一致：在鼓励生物技术领域使用人工智能的同时，生物技术相关法规应确保申办者的相关义务对现有人工智能法规的要求形成补充，以保证监管环境的一致性。

5）采取适当的技术和组织措施：临床试验法规应明确规定，在无需处理直接识别数据时必须采用假名化处理。

6）监管沙盒：必要时，欧盟委员会应当在针对临床试验特定场景的监管沙盒实施法规中，为个人数据处理和依据依据《通用数据保护条例》（GDPR）第9条第2款对敏感数据处理的豁免，提供法律依据。对于其他监管沙盒，个人数据处理始终应基于GDPR规定的法律依据。

NEWSEXPRESS

资讯速递

数据合规

2026年3月13日，工信部发布《关于侵害用户权益行为的APP（SDK）通报》（2026年第2批，总第55批），通报了24款APP存在侵害用户权益行为，主要涉及违规收集个人信息、欺骗误导用户提供个人信息、APP强制频繁过度索取权限以及信息窗口无法关闭等典型侵害用户权益行为。

近日，上海市通管局通报2026年第一批侵害用户权益行为APP（SDK），本次通报聚焦在出行领域，共发现14款APP（SDK）存在侵害用户权益行为，违规行为主要包括：未妥善处理用户投诉、未明示个人信息处理规则、超范围收集个人信息、违规收集个人信息等。

近日，西安市网信办通报了一批涉网络安全、数据安全典型案例，具体而言：

1）某公司未履行数据安全保护义务，相关系统上线调试中未采取必要措施保障数据安全，导致未授权访问漏洞被境外恶意地址攻击，数据存在泄露隐患。监管部门依法进行执法约谈，责令限期改正，依据《数据安全法》作出处罚。

2）某公司未履行网络安全保护义务，其名下网站到期后未及时办理域名注销手续，导致域名被盗用，网站被恶意篡改为涉赌违法网站，扰乱网络信息传播秩序。监管部门依法进行执法约谈，依据《网络安全法》作出处罚。

3）某未履行网络安全保护义务，网站服务器存在弱口令漏洞，导致网站遭受非法攻击，并被植入涉赌违法及博彩类不良信息，扰乱网络信息传播秩序。监管部门依法进行执法约谈，责令限期改正，依据《网络安全法》作出处罚。

2026年3月9日，中国人民银行贵州省分行公示了对2家银行机构的行政处罚决定，违法行为类型包括违反数据安全管理规定以及网络安全管理规定。

近日，最高人民法院开展了《最高人民法院工作报告》解读系列全媒体直播访谈活动第二场，在数据权益保护方面，最高人民法院指出：

1）人工智能数据训练使用他人作品是否构成合理使用的问题，以及人工智能服务提供者的责任如何界定的问题，人民法院通过个案审理不断积累和总结经验，深化人工智能治理，促推人工智能在法治轨道上安全、健康、有序发展。

2）人民法院积极完善数据权益知识产权案件裁判规则，正在研究起草数据权益司法保护意见，统一裁判尺度，助推数据资源有序流通。

3）除了完善数据领域专业化立法、完善数据领域监管制度，人民法院也需要进一步探索纠纷解决方案。强化诉讼与非诉讼衔接机制，依托最高人民法院与国家知识产权局、国家版权局等部门建立的“总对总”在线诉调对接机制，积极发挥各类调解组织化解纠纷的作用。

人工智能

近期，国家信息安全漏洞库（CNNVD）、国家互联网应急中心（CNCERT）、中央网信办数据与技术保障中心（DTSC）、中国信息通信研究院等多部门相继发布风险提示，指出开源AI智能体OpenClaw存在多重高危安全风险。为应对风险，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）同期组织相关单位，针对其典型应用场景提出了“六要六不要”安全使用建议。

在中央部委提示后，地方监管部门同步跟进。广东网信办、广东省政务服务和数据管理局等转发相关警示，并特别强调，机关单位在使用此类智能体时必须严格遵守“涉密不上网、上网不涉密”的核心原则，同时需完善身份认证、访问控制、数据加密和安全审计等安全机制。

欧盟委员会于2026年3月13日公布了《人工智能生成内容透明度实践准则》的第二版草案。该准则是自愿性的，旨在协助AI系统提供者和部署者履行将于2026年8月2日生效的《人工智能法案》第50条所规定的标记与标签义务。

新版草案在整合了来自产业界、学术界、民间社会及成员国等数百方反馈后，进行了显著简化和优化，以提供更大灵活性、降低合规负担并提升法律清晰度与实用性。准则主要分为两部分：

1）针对生成式AI系统提供者：规定了涉及安全元数据和水印的两层标记方法、可选的指纹识别与日志记录，以及检测与验证协议。

2）针对AI系统部署者：主要规范对深度伪造及涉及公共利益的文本出版物进行标签的要求，提出了图标、标签或免责声明的设计与放置规范，并计划未来制定统一的欧盟交互式图标。

新加坡卫生部与卫生科学局于2026年3月联合发布了更新版的《医疗领域人工智能指南》（AIHGle 2.0）。该指南旨在为人工智能在临床及临床运营场景中的开发、部署与使用提供一套全面的建议与良好实践，核心目标是保障患者安全并增强对医疗AI的信任。核心内容包括：

1）明确三方责任：指南清晰划分了开发者、部署者（医疗机构）和使用者（医疗专业人员）在AI全生命周期中的不同职责。特别强调，在临床及临床运营场景中，必须保持人工监督，AI仅作为辅助工具，不替代专业判断。

2）确立七项伦理原则：指南基于医疗伦理，提出了安全性、公平性、透明度、可解释性、稳健性、安全与数据保护、以及AI与人类价值观对齐等七大原则，并将其转化为对各责任方的具体操作要求。

3）引入风险分级框架：根据AI应用场景（临床/临床运营）和人工监督水平，评估风险等级。指南明确指出，部署者不应部署在无人做最终决定的情况下独立做出临床决策的AI系统。

4）特别关注新兴技术：指南针对生成式AI和直接面向消费者的AI应用提出了额外风险管理要求，指出需应对“幻觉”、偏见等放大风险，并确保消费者获得清晰指引。

巴西联邦医学委员会（Conselho Federal de Medicina, CFM）近日通过一项决议，首次为人工智能在医疗实践中的应用制定了明确的伦理与操作框架。该决议旨在规范医生使用AI辅助诊断、治疗规划及临床决策的行为。核心规定包括：

1）主体责任不变：强调AI仅作为辅助工具，最终的临床诊断与治疗决策责任仍完全由执业医生承担。

2）透明度与知情同意：要求医生在使用AI工具前，应向患者充分告知其参与程度、局限性及潜在风险，并获取患者的知情同意。

3）数据安全与隐私：使用AI系统处理患者数据必须严格遵守巴西《通用数据保护法》（LGPD），确保数据安全与患者隐私。

4）工具验证与资质：医生有义务确保所使用的AI工具经过适当的临床验证，并符合国家卫生监督局（ANVISA）等相关监管机构的要求。

平台经济

近日，市场监管总局印发《关于强化广告中提示性用语监管工作的通知》（以下简称"《通知》"），部署对相关广告乱象开展为期半年的清理整治工作。《通知》确定了整治“误导性大小字”广告、依法查处未显著标明提示性用语的广告、依法查处违法使用绝对化用语的广告、加强引证广告监管、强化广告主自证广告内容监管、强化对主要广告发布媒介监管等六方面重点任务，要求各级市场监管部门切实加大对“大字吸睛、小字免责”“随意宣称第一、首创、最佳”“萝卜坑式引证”以及弱化标示对消费者不利信息等营销乱象的清理整治力度，坚决依法查处严重欺骗误导消费者、扰乱市场竞争秩序的广告违法行为，积极推动优质广告资源与高品质产品对接，缓解广告主“营销焦虑”，引导广告活动各方经营者主动摈弃“文字游戏”式广告。

2026年3月9日，中国消费者协会针对近年火爆的盲盒消费现象发布消费提示，倡导消费者应警惕概率陷阱，理性消费。消费提示指出，2025年盲盒消费投诉主要集中在信息不透明、诱导过度消费及售后服务延迟推诿等问题，既有成年消费者为获取隐藏款式出现持续地不理性消费、累计消费金额较高的情况，也有未成年人未经监护人知晓或者同意、多次下单购买以盲盒形式销售的潮玩、卡片、美妆等商品的情况。消费提示明确，中国消费者协会将敦促相关经营者严守法律底线，杜绝“炒作”、虚假宣传等违法行为。消费提示倡议，消费者在进行盲盒消费时，应注意以下三点事项：（1）正视购买需求，切勿冲动消费；（2）提高安全意识，关注特殊品类；（3）保存消费凭证，依法理性维权。

2026年3月11日，上海市市场监管局发布《上海市市场监管部门商业秘密保护白皮书（2025年）》（以下简称“《白皮书》”）。《白皮书》指出，上海市市场监管局将商业秘密保护创新试点、侵权案件查办等工作纳入上海市优化营商环境重点任务一体推进，率先颁布《浦东新区加强商业秘密保护若干规定》，并出台《海外商业秘密保护指南》《海外商业秘密典型案例评述》以及关于生物医药、集成电路、人工智能三大先导产业及网络游戏、老字号等重点领域商业秘密保护指南与标准。

域外资讯

2026年3月10日，法国国家信息与自由委员会（CNIL）发布了关于《数据治理法案》（DGA）下的经欧盟认可的数据利他组织（OAD）的常见问题解答。数据利他组织是DGA所搭建的数据开放共享架构下的实施机构，其可收集个人数据或非个人数据持有者自愿提供的数据，并向其他主体进一步提供前述数据。CNIL是法国境内的OAD监管机构，在本次发布的常见问题解答中，CNIL明确了OAD的注册流程、注册条件、建议组织形式，并解答了OAD如何满足独立性标准、是否可以聘请数据处理者、是否可以获得盈利、是否可以基于提供数据收取费用、是否可以给予数据来源方相应补偿等问题。

2026年3月11日，美国联邦贸易委员会（FTC）发布了一项旨在规范默认订阅营销内容的拟议规则制定预先通知（ANPRM）草案并公开征求意见，旨在强化对于通过负面选项（即默认勾选）获取消费者同意订阅营销信息的监管力度。FTC指出，默认勾选的订阅模式可以降低交易成本和保障服务连续性，以提供更具消费者和市场竞争力的功能。但从FTC的执法实践上看，默认勾选订阅模式仍然存在取消流程困难、非法保留策略以及其他一系列阻碍消费者轻松切换或终止订阅服务等问题，因此需要通过立法予以规范。

本次FTC旨在通过公开征询获得有关默认勾选机制的市场现状、可能存在的违法实践的信息，以及针对不公平或欺骗性默认勾选机制的监管方案建议，后续FTC将在《联邦公报》上公布ANPRM的具体内容。

近日，美国加州隐私保护局因某汽车厂商违反《加州消费者隐私法》（CCPA）下的选择退出机制要求，对该公司处以35.6万美元罚款。加州隐私保护局强调，CCPA赋予消费者通过选择退出来阻止企业销售及共享其个人信息的权利，该权利的行使应当易于实现。而该公司要求消费者必需完成电子邮件验证，才能选择退出该公司销售和共享其通过联网车辆所收集的个人信息，为消费者行使选择退出权利施加了不必要的阻力。

2026年3月12日，韩国个人信息保护委员会（PIPC）宣布针对某金融机构因未尽到个人信息安全保障义务导致个人信用信息大规模泄露，对该公司罚款超过96亿韩元。2025年9月22日，韩国金融监督院向PIPC通报了该金融机构的个人信息泄露报告，PIPC随即启动调查。经调查，该金融机构存在以下违法行为，导致约297万名用户的个人信用信息以及其中45万名用户的居民身份证号发生泄露：

1）在处理在线支付相关系统日志时，以明文记录了包含居民身份证号在内的多项个人信息，超出法律允许范围。

2）未对日志文件充分采取加密措施。

针对上述违法情形，韩国PIPC除处以罚款外，还要求该金融机构全面核查并完善整体个人信息处理现状，完善包括强化首席隐私官（CPO）职责与独立性在内的整体个人信息保护体系。