1. 首页
  2. 互联网
  3. 研读

把握 2025 全球数据法律八大动向 为企业出海合规铺路

数据法律变革的步伐正在加快,企业需密切关注这些趋势,制定相应的合规策略,以应对快速变化的数据法律环境。通过了解这些趋势,企业可以更好地准备应对未来的挑战,并抓住新的机遇。

2025 全球数据法律八大趋势通览 为企业出海合规铺路
出处:数治网综合

2025年数据法律趋势报告揭示了数据法律变革的步伐正在加快,企业需密切关注这些趋势,制定相应的合规策略,以应对快速变化的数据法律环境。通过了解这些趋势,企业可以更好地准备应对未来的挑战,并抓住新的机遇。八个关键趋势包括人工智能治理、国际数据传输、网络安全威胁、全球新法规、更严格的执行力度、美国各州消费者隐私法的扩大、亚洲隐私法的成熟以及欧盟新的数据访问法规。其中,人工智能治理、国际数据传输、网络安全威胁和全球新法规是企业需要重点关注的领域。

01 AI治理成为中心

随着人工智能日益成为业务核心,治理和问责制的关注也在加强,特定AI监管制度、引入新的AI相关法规、全球标准的出现、非政府组织的关注以及AI诉讼和法规执行的增加。随着监管压力的增加和股东及客户期望的变化,企业需要展示其拥有适当的治理结构和决策流程。同时,随着人工智能系统的快速发展,公司面临越来越多的诉讼和监管调查风险。因此,面对监管压力、股东和客户期望以及诉讼风险,解决AI治理问题比以往任何时候都更加重要。成功治理的关键基石在于确保合规性和响应监管审查,同时充分利用AI并规避相关风险。

  1. 增加的AI治理框架压力:全球范围内,AI特定监管制度正在形成,例如欧盟和中国已经实施了专门针对人工智能的法规,巴西、加拿大、韩国、泰国和越南也在国家层面进行规划。英国、美国等国家通过政策指导现有监管制度应用于AI,非监管机构如美国司法部也对企业合规计划提出期望。全球AI治理标准如ISO/IEC JTC 1/SC 42等国际标准,客户、分销商和其他合同交易对手可能会开始期望符合这些标准。
  2. 股东和NGO的关注增加:美国公司已经面临股东对人工智能使用透明度的审查,股东向美国证券交易委员会提交请愿书,要求获得有关公司人工智能战略的进一步细节。NGO组织也关注AI对人权的潜在威胁。
  3. 诉讼和监管执法的风险增加:尽管新的AI特定法规尚未生效,但AI相关诉讼和调查已经在现有制度下进行。随着人工智能系统的快速发展和新监管制度的出现,与人工智能使用或开发相关的诉讼或监管调查的风险越来越大。
  4. 关键的AI治理支柱:建议企业设立单一AI领导者和跨职能AI指导委员会,并考虑其向董事会的报告关系。治理结构中的人员需要具备适当的资格,最好来自多个学科,包括法律和合规、AI产品开发、AI部署等方面。

02 国际数据传输受到关注

跨境数据流的格局不断变化,企业需关注相关法规和标准。欧盟和美国之间的数据隐私框架(DPF)可能面临法律挑战,影响数据传输。美国总统签署的行政命令限制了敏感数据的批量传输,这对跨国公司的运营产生了重大影响。中国、越南等国家也在调整其数据传输规则,增加了跨国公司的合规负担。

在国际数据传输方面,美国和欧盟的新规定对企业影响最大。欧盟的《通用数据保护条例》(GDPR)则对从欧盟到非欧盟国家的数据传输提出了严格要求,除非接收国提供了充分的保护水平。

  • 欧盟/英国数据传输到美国的威胁:欧盟-美国数据隐私框架(DPF)该框架自2023年生效以来,已有超过2800家企业加入,但该框架可能受到隐私活动人士的挑战,影响欧洲和英国向美国的个人数据传输。英国在脱欧后独立实施了DPF,瑞士也加入了无需额外转移保障措施的名单。
  • 美国的新规定:美国的《行政命令14117》限制了将敏感数据批量传输到某些国家,尤其是针对中国和俄罗斯等国家,增加了数据传输的复杂性。欧盟将引入健康数据空间(EHDS)法规,要求某些数据只能在欧盟或提供足够保护的国家存储和处理。
  • 亚洲的变化:中国从2024年3月放宽了对个人数据传输的部分要求,允许每年转移少于一百万人的个人数据免于安全评估。例如,越南采用了类似于中国的审批过程,政府可以在60天内基于安全评估档案批准数据出口。泰国和菲律宾也在推广东南亚国家联盟(ASEAN)模型合同条款,这些条款与欧盟的GDPR有相似之处。此外,澳大利亚和马来西亚也在调整其数据传输规则,以更好地适应全球数据保护标准。

03 新兴的网络安全威胁

网络安全威胁不断演变,数据法律在应对方面发挥关键作用。勒索软件攻击的频率和规模不断上升,攻击者使用人工智能实现攻击的自动化和目标化。人工智能既可用于增强网络安全,也可能被用于发起更复杂的攻击。欧盟和英国的新法规规定了各种义务,包括登记义务、具体治理措施和报告义务。

  1. 勒索软件的攻击:2024年上半年,勒索软件攻击的频率和规模继续上升,第二季度的平均勒索需求超过150万美元。供应商的安全漏洞或更新失败导致客户损失显著,强调将网络安全整合到整体风险管理中的重要性。
  2. AI在网络安全中的作用:AI也被用于自动化和个性化网络钓鱼攻击,提高攻击效率,缩短威胁者在系统中的停留时间,使得检测和响应更加困难。AI可以帮助识别和隔离可疑电子邮件,检测系统漏洞和恶意活动,从而提高网络安全。
  3. 新的监管要求:欧盟数字战略包括《网络韧性法》、《网络和信息安全指令》(NIS2)和《数字运营韧性法》(DORA)等。英国新网络安全法案计划加强英国的网络安全防御,确保关键基础设施和数字服务的安全。

04 新的全球法规正在改变我们的数字运营

更严格的法规将影响全球企业的运营。全球范围内,人工智能治理的具体法律法规包括但不限于欧盟的《通用数据保护条例》(GDPR)、中国的《个人信息保护法》和《数据安全法》、美国的《加州消费者隐私法》(CCPA)等。这些法规对数据隐私、安全、透明度和责任等方面都有详细的规定,旨在确保人工智能系统的合法、公正和透明使用。

欧盟数字服务法案和英国在线安全法反映了全面监管在线危害的首次尝试。欧盟数字服务法案旨在全面监管在线服务,特别是涉及儿童安全和非法内容的平台。在美国,越来越多的州通过法律,要求年龄验证才能访问在线色情内容。各国法规也越来越强调用户透明度和内容审核规则的披露。

  • 互联网监管的新前沿:欧盟数字服务法旨在全面监管在线伤害,特别是儿童安全和非法内容。英国在线安全法强调透明度和问责制,适用于社交媒体、电子消息、搜索引擎和应用分发平台。
  • 年龄限制和适当设计:美国越来越多的州通过法律要求进行年龄验证,以访问在线情色内容,并要求未成年人获取父母同意才能访问社交媒体。全球范围内对内容审核规则和结果的透明度要求增加。

05 更严格的执行正在重塑数据和隐私合规

预计会有更强有力的执法行动。对AI的监管力度加大,监管机构正急于管理和缓解高风险技术,依赖隐私法和其他法律设置护栏。如欧盟数据保护委员会(EDPB)和美国联邦贸易委员会(FTC)等监管机构加强了对数据隐私和安全的执法力度。通过集体诉讼等方式,消费者对数据隐私侵权的追究也在增加,特别是在欧盟。欧盟监管机构越来越重视指定代理人在跨境案件中一致执行GDPR。

  1. 增加的监管重点:欧盟数据保护机构如意大利数据保护局(DPA)对OpenAI进行调查,因违反欧盟GDPR。美国联邦贸易委员会(FTC)对OpenAI和Rite Aid等公司进行调查和执法行动。
  2. 新兴的监管方法:欧盟数据保护委员会(EDPB)通过更新一站式机制(OSS)和改进跨境案件合作来加强执行。美国司法部(DOJ)通过民事网络欺诈倡议对未能实施适当安全控制的联邦承包商采取行动。

06 美国各州消费者隐私法的扩大

企业需迅速适应各州蔓延的隐私法规。尽管各州法律在某些方面有共同之处,但在适用范围、敏感数据处理等方面存在显著差异。预计2025年各州将加大执法力度,重点关注敏感数据的处理和消费者投诉。超过40%的美国州已经实施了消费者隐私法,且这一势头还在继续增长。各州法律普遍要求企业进行数据保护评估和培训。

纽约州通过了《数据隐私法案》,要求企业在收集和处理个人数据时提供透明的隐私政策,并允许消费者行使数据访问、更正和删除的权利。科罗拉多州通过了《消费者数据保护法》,要求企业在收集和使用敏感数据前获得消费者的同意,并允许消费者选择退出数据共享。德克萨斯州通过了《数据隐私和安全法案》,建立了数据隐私和安全办公室,负责执行该州的隐私法律,并设立了数据泄露举报热线。

  • 当前状态:加利福尼亚作为第一个通过全面消费者隐私法的州,消费者隐私法(CCPA):对数据收集、使用和共享提出了广泛的要求,于2018年通过。截至2024年8月,已有20个州通过了消费者隐私法,另有两个州通过了消费者健康数据法。
  • 法律的一致性和差异:各州对适用企业和收入门槛有不同的要求,对敏感数据的定义和处理要求有所不同。
  • 执法优先事项:州总检察长和监管机构将对企业进行调查和执法行动,根据消费者投诉采取行动,并强调这些投诉的重要性。

07 亚洲隐私法正在成熟

数据隐私格局快速演变,企业必须保持敏捷以保持合规性。亚洲各国的隐私法在同意作为主要法律基础方面有一致性,但在具体实施上存在差异。同意仍然是处理个人数据的主要法律依据,GDPR标准在亚洲广泛采用。跨国公司需要关注所有重要的本地要求,以避免因不合规而受到重罚。各地区的报告阈值和标准存在显著差异,增加了跨国公司的合规负担。

  1. 共同主题:中国、印度和越南等国家依赖同意作为处理个人数据的主要法律基础。许多亚洲国家广泛采用了GDPR风格的数据主体权利,如访问、更正、删除和反对自动化处理等权利。
  2. 显著差异:不同国家在处理敏感数据时的法律基础存在显著差异,各国有不同的跨境数据传输规则和报告要求。
  3. 对企业的实际影响:企业需要进行差距分析和更新现有数据保护通知和政策,确保员工了解新法律和内部政策的要求。

08 新的欧盟数据访问法规正在塑造未来

欧盟即将出台的数据访问法规将产生深远影响,数据法案、EHDS和FIDA为企业带来了新的增长和创新可能性。数据法案旨在为访问和共享通过智能产品和数字服务生成的数据创建一个横向框架,促进物联网设备生成的数据的访问和共享。欧洲健康数据空间(EHDS)该框架要求医疗数据持有者向指定的健康数据访问机构提供数据,并公开其使用结果。金融数据访问(FIDA)该框架旨在赋予客户对其金融数据的控制权,并促进基于数据共享的新商业模式。EHDS和FIDA分别为健康数据和金融服务生态系统中的各种利益攸关方引入复杂的义务。

  • 数据法案、FIDA和EHDS的共同点:促进统一数据市场,通过使所有产生的数据对所有市场参与者可访问,无论其大小或影响力。数据访问的权利包括数据访问、请求和数据共享等方面的要求。
  • 数据法案的义务:制造商必须确保产品和数字服务允许用户轻松安全地访问数据。当直接访问不可行时,数据持有者必须在收到请求后立即向用户提供数据。
  • EHDS的义务:健康数据持有者必须在收到请求后三个月内提供相关电子健康数据。健康数据用户只能出于次要用途访问和处理电子健康数据,并需公开其使用结果。
  • FIDA的义务:数据持有者必须与客户和第三方共享金融数据,并维护“权限仪表板”。数据用户只能与持牌实体共享数据,并受法律保护以避免滥用数据。
  • 准备新的数据访问合规要求:数据法案要求建立强大的数据治理流程,评估现有产品设计和合同框架。EHDS要求数据持有者需有效分离商业敏感数据,确保透明度和隐私义务。FIDA要求IT和法务部门需确保IT资产可用,并选择或谈判关键条款。

热点关注问题

1. 在国际数据传输方面,欧盟和美国之间的数据隐私框架(DPF)面临哪些主要挑战?

欧盟和美国之间的数据隐私框架(DPF)面临的主要挑战包括:

  • 隐私活动人士对DPF的有效性提出质疑,担心这些方案没有适当地保护欧洲人的个人数据,可能会在欧盟法院提起诉讼,要求废除DPF。
  • 不同司法管辖区的监管机构对数据传输有不同的要求,并已表明对违规行为处以高额罚款的准备。
  • 欧盟将引入数据本地化要求,作为欧洲健康数据空间(EHDS)法规的一部分,建议某些利益相关方只能在欧盟内部存储和处理健康数据。
  • 不同国家对数据主权的不同理解和应用,可能导致在数据传输过程中的法律冲突。
  • 美国各州可能有不同的数据保护法律,这些法律可能会对跨国数据传输提出额外的要求,增加企业的合规负担。
  • 如何在数据传输过程中确保数据不被篡改或泄露,特别是在使用加密技术时。

2. 人工智能治理框架中,哪些具体措施可以帮助企业确保合规性和响应监管审查?

人工智能治理框架中,确保合规性和响应监管审查的具体措施包括:

  • 建立跨部门的人工智能治理委员会,由法律和合规专业人员、工程师、开发人员、产品专家等组成,确保全面覆盖人工智能的使用和开发。
  • 制定详细的数据治理政策和程序,包括数据分类、数据处理、数据存储和删除等方面的规定,确保所有操作符合相关法律法规。
  • 进行定期的风险评估和审计,评估人工智能系统的安全性、隐私性和合规性,及时发现和修复潜在问题。
  • 建立透明的内部报告和沟通机制,确保管理层和董事会能够及时了解人工智能的使用情况和潜在风险。
  • 与监管机构保持密切沟通,积极参与行业讨论和政策制定,确保企业的做法符合监管要求。

3. 新一波网络威胁中,有哪些新的特点和趋势?

新一波网络威胁中,新的特点和趋势包括:

1)2024年上半年,勒索软件攻击的频率和规模都有所上升,平均赎金需求显著增加,且攻击手段更加复杂;
2)供应链攻击成为重要威胁,通过第三方供应商的网络攻击,如错误更新或安全漏洞,可能导致客户数据泄露重大损失;
3)威胁参与者在公司系统中的停留时间减少,人工智能技术帮助威胁参与者更快地识别有价值的数据并提取,缩短其在公司系统中的停留时间;
4)网络犯罪分子越来越多地使用人工智能技术实现攻击的自动化和目标化,如自动化钓鱼攻击和更高效的密码破解,提高攻击效率和成功率。

4. 相关组织机构

  • 欧盟委员会:负责制定和执行欧盟数据隐私法规,如《通用数据保护条例》(GDPR)。
  • 欧盟数据保护委员会(EDPB):负责协调欧盟成员国的数据保护工作,推动统一的执行文化和有效的合作,确保数据保护和隐私法规的有效实施,确保跨境数据传输的合规性。
  • 美国联邦贸易委员会(FTC):负责监管市场竞争和保护消费者权益,特别是对数据隐私和网络安全进行严格监管,发布多项指导意见和执法行动。
  • 美国证券交易委员会(SEC):负责监管美国的证券市场和上市公司,包括网络安全和隐私问题。
  • 美国司法部(DOJ):负责调查和起诉涉及数据隐私和网络安全的违法行为。
  • 英国信息专员办公室(ICO):负责监管英国的隐私和数据保护事务,发布罚款和指导方针。

通过以下回顾,我们展望2025年,中国企业在出海过程中,不仅要密切关注国际市场的动态变化,及时调整自身的战略布局和业务模式,更要充分利用AI等数字技术,注重数据合规和跨境策略的一致性,来提升全球竞争力和确保合法合规运营。

  1. AI等数字技术带你出海 2024年中国产业翻开新篇章
    中国出海企业应积极将AI等数字技术与自身产业相结合,提高数字化能力,针对出海目的地市场的文化和法规进行本土化运营,将国内的产品/服务和管理模式进行针对性改造。
  2. 中国企业出海应做好数据合规和跨境策略一致
    出海企业需要与当地的监管机构、合作伙伴以及供应商等多方进行深入的沟通和协调,制定一套统一的数据合规策略,确保在全球范围内的数据处理活动都能遵守相关法规。
  3. 举例来看中国企业出海的策略、路径与合规应对
    当前的全球化更加注重建设当地的供应链体系,中国企业出海需要直面各种挑战和合规要求,确保企业在国际市场上的合法合规运营和持续发展,数据合规是核心关注点。
  4. 车企开启出海之旅应紧抓的四大方面安全合规
    为车辆提供包括威胁监控、威胁情报集成分析、安全事件分析(SIEM)、漏洞管理等端到端的安全能力,其核心是为了提高相关企业预防、检测和进行快速响应。
  5. 三大行业“出海企业数字化”解决方案和实践探究
    科技互联网、金融以及零售商业等行业企业积极借助数字化技术,进行出海业务的全方位数字化转型和创新,在最短时间内实现产品升级和品牌升级,提升全球竞争力。
  6. 数治长文 | 出海企业数据合规体系化能力建设五步法
    不仅可以满足各国合规监管的需求,充分覆盖各合规场景下的问题,还能让合规能力成为企业的内功之一,充分利用好数据这个新时代的石油,取得市场竞争优势。
  7. 安心出海欧洲经济区 三步做到“同意”横幅合规
    企业作为网站或应用程序所有者必须获取和存储用户同意,在处理个人数据之前,广告商和出版商必须获得用户明确的同意,而且用户可以随时撤回同意。
  8. 数治长文 | 让你上手做的数据出海和跨境流动合规方法
    对跨境流动合规认证和合规审计流程,评估了合规要求,提供了跨境数据流动的合规管理建议,并深入分析了数据存储位置与控制、跨境数据审计的实际管理方法。

来源:2025年数据法律趋势报告,国际律师事务所 Freshfields,专注于数据隐私和网络安全领域,提供全球范围内的法律咨询和服务。本篇针对报告全文由生成式 AI 做出的核心摘要和解答,仅作为参考,请以原文为准。

打赏微海报分享

标签:个人数据人工智能敏感数据数字服务数据传输数据保护数据空间数据隐私网络安全

一条评论