一、国内资讯

1. 网信办出台消费类网联摄像头网络安全标识管理规定

2026年5月8日，网信中国发布适用于消费类网联摄像头的网络安全标识备案和使用管理规定。该规定要求相关产品生产商和运营商依规进行网络安全标识备案，明确摄像头产品的数据采集范围、传输加密要求及用户隐私保护义务。随着智能家居和公共场所摄像设备的普及，此次规定旨在从产品层面建立网络安全准入机制，防范个人视频数据的滥用与泄露风险。

来源：国家互联网信息办公室

2. 工信部等三部门联合启动实施《人工智能终端智能化分级》（GB/Z 177—2026）系列国家标准

2026年5月8日，工业和信息化部等部门近日联合发布《人工智能终端智能化分级》系列国家标准，推动人工智能终端规范化发展。标准采用“2+N”架构，包括参考框架、总体要求以及面向不同产品的具体标准，明确了人工智能终端的定义、等级划分和测试方法。标准将终端智能化划分为L1响应级、L2工具级、L3辅助级和L4协同级，智能化水平逐步提升。首批标准涵盖手机、电脑、电视、智能眼镜、汽车座舱、音箱和耳机等七类产品，未来还将扩展更多终端品类。

来源：中华人民共和国工业和信息化部

3. 发布侵犯公民个人信息犯罪典型案例 全链打击黑灰产业链

2026年5月8日，最高人民法院发布五件侵犯公民个人信息犯罪及关联犯罪典型案例，聚焦当前个人信息犯罪智能化、隐蔽化的新趋势。五件案例覆盖四类犯罪形态：一是软件服务商及铁路”内鬼”利用职务便利非法获取并贩卖个人信息；二是技术手段非法登录官方平台窃取学籍学历数据；三是搭建”社工库”网站并实施网络”开盒”，公开受害者隐私信息、实施网络暴力；四是侵入计算机系统窃取HPV疫苗预约信息后实施精准电信诈骗，法院依法数罪并罚。最高人民法院强调，将持续统筹发展与安全，依法惩治侵犯公民个人信息犯罪，加大关联犯罪纵深打击力度，推动综合治理，为数字经济健康发展提供法治保障。

来源：中华人民共和国最高人民法院

4. 北京两区数据出境负面清单扩展至全市域 新增自动驾驶等四大领域

2026年5月11日，北京市互联网信息办公室、市商务局、市政务和数据局联合印发《中国（北京）自由贸易试验区、国家服务业扩大开放综合示范区数据出境负面清单管理办法（试行）》及2025版负面清单。此次发布的“两区”负面清单政策按照1+9制度设计（1套管理办法+9个领域负面清单）一次性构建适用于全市域的数据出境负面清单管理体系。新增自动驾驶（智能网联汽车）、生物医药、双机场国际物流枢纽、国际金融服务等4个领域，适用范围从自贸区扩展至全市域，涵盖67个业务场景和612个字段，是全国首批此类政策。

来源：中华人民共和国国务院新闻办公室

5. 工信部启动人工智能科技伦理审查与服务先导计划

2026年5月9日，工业和信息化部正式印发《关于实施人工智能科技伦理审查与服务先导计划的通知》，依托国家人工智能产业创新应用先导区所在省份，率先探索AI科技伦理审查与服务的落地路径。先导计划实施周期为2026年6月1日至11月30日，重点任务包括：建立符合地方实际的人工智能伦理治理工作机制、建设人工智能科技伦理委员会和人工智能科技伦理审查与服务中心、验证人工智能科技伦理审查程序和标准和构建部省市三级联动敏捷治理网络。本计划旨在推动工信部等十部门联合发布的《人工智能科技伦理审查与服务办法（试行）》在重点城市率先落地实施。

来源：中华人民共和国工业和信息化部

6. 全国网安标委发布10项网络安全推荐性国家标准

2026年5月9日，全国网络安全标准化技术委员会正式发布10项网络安全推荐性国家标准，涵盖操作系统安全技术规范、网络安全态势感知、数据安全技术等重点领域。本批标准发布是我国网络安全标准体系建设的重要组成部分，为企业和机构提供更具可操作性的安全防护技术规范，有助于提升关键信息基础设施、工业互联网等领域的整体网络安全水平。

来源：全国网络安全标准化技术委员会

7. 《国务院2026年度立法工作计划》发布 加快推进人工智能综合性立法

2026年5月11日，国务院办公厅正式印发《国务院2026年度立法工作计划》。计划明确要求以高质量立法促进高质量发展、维护高水平安全，将加快推进人工智能健康发展综合性立法列为重要任务，要求将网络安全、数据、算力、算法、产权、供应链安全等作为人工智能共性要素统筹考虑，纳入统一法律框架。同日，全国人大常委也将人工智能健康发展立法项目纳入2026年预备审议项目。此次立法计划标志着AI综合立法从部门规章层面向全国性法律层面全面提速。

来源：中国政府网

8. 中国互联网协会发布《智能体信任评估实施指南》等10项团体标准

2026年5月11日，中国互联网协会发布《智能体信任评估实施指南》《安全应急大模型》《可信智能体空间建设指南 第1部分：总体架构与安全要求》等10项团体标准。标准聚焦智能体安全可信评估、大模型应急响应、高速公路智能安全管控等多个场景，为智能体研发、应用部署与推广过程中的安全要求提供规范依据。在智能体技术快速发展的背景下，本批标准有助于引导行业建立统一的可信度量基准。

来源：中国互联网协会

9. 广东自贸区发布数据出境负面清单（2025版）

2026年5月15日，为贯彻党的二十届四中全会关于“推进数据高效便利安全跨境流动”的部署精神，依据《促进和规范数据跨境流动规定》等有关规定，广东省互联网信息办公室、广东省商务厅、广东省政务服务和数据管理局联合发布《中国（广东）自由贸易试验区数据出境管理清单（负面清单）（2025版）》及配套《管理办法（试行）》。负面清单适用于广东自贸试验区及河套深圳园区内开展的数据出境活动，为区内数据处理者向境外提供负面清单以外的数据提供合规便利通道，助力粤港澳大湾区数字经济高质量发展。

来源：广东省商务厅

10. 全国网安标委发布《人工智能应用伦理安全指引1.0》

2026年5月19日，全国网络安全标准化技术委员会在2026年中国网络文明大会人工智能赋能网络文明建设分论坛上正式发布《人工智能应用伦理安全指引1.0》。《指引》以以人为本、智能向善为核心理念，给出了人工智能应用伦理安全理念与原则，明确人工智能应用开发、服务提供和应用使用等环节的安全指引，填补了从原则规则到具体场景之间的规则细化空白，是我国人工智能安全治理体系的重要组成部分。

来源：中国新闻网

11. 国家数据局部署2026年数字经济重点工作

2026年5月19日，国家数据局印发《2026年数字经济发展工作要点》，部署八方面重点任务，推动数字经济高质量发展。文件提出，深化数据要素市场化改革，加快建立全国统一数据产权登记制度；加强数字基础设施建设，推进全国一体化算力网布局；以数据赋能人工智能发展，实施多项专项行动。同时，推动制造业数字化转型，促进实体经济与数字经济深度融合。文件还强调完善数字治理与数据安全体系，推进相关立法，加强国际合作，并通过创新试验区建设和监测评估体系优化数字经济发展环境。

来源：中国政府网

12. 中央网信办启动”清朗·优化营商网络环境 整治恶意炒作涉企信息”专项行动

2026年5月29日，中央网信办发布通知，在全国范围内启动为期2个月的”清朗·优化营商网络环境 整治恶意炒作涉企信息”专项行动。行动聚焦四类突出问题：一是恶意炒作涉企信息，包括在企业上市融资、财务报表公布、新品发布等重要时间节点炒作负面信息，以及虚假不实测评；二是诋毁抹黑企业，通过”付费投流”人为制造或放大涉企舆论热点；三是牟取非法利益，向企业发送”负面信息求证函”等胁迫企业合作，或索要”删帖费”“撤稿费”；四是侵犯企业家个人权益，炒作企业家隐私、私生活及发布造谣诽谤言论。此次行动要求各地网信部门压实网站平台主体责任，强化AI生成合成信息管理，加大账号、MCN机构管理力度，并取消涉企负面信息广告收益及流量分成，违规账号、平台将被曝光处置。这是中央网信办连续第四年开展”清朗·优化营商网络环境”系列专项行动。

来源：中华人民共和国最高人民法院

二、海外资讯

1. 美国：FTC于5月4日就诉Kochava案达成最终同意令

2026年5月4日，美国联邦贸易委员会（FTC）宣布，与爱达荷州数据经纪商Kochava Inc.及其子公司Collective Data Solutions（CDS）就2022年8月提起的诉讼达成最终同意令，以2:0票通过并提交爱达荷州联邦地区法院。FTC指控Kochava收集、使用并出售来自数亿部移动设备的精准位置数据，揭示了消费者前往医疗机构、宗教场所、家庭暴力庇护所及军事设施等敏感地点的行踪，违反了《FTC法》第5条关于不正当行为的禁止性规定。同意令核心义务包括：永久禁止在未获消费者明示同意且该数据并非用于消费者直接请求的服务的情况下，出售、许可、转让或披露与敏感地点相关的精准位置数据；建立敏感地点分类书面清单并至少每年审查；对上游数据供应商实施合规审计；建立消费者查询数据流向及撤回同意机制；并制定数据定期删除时间表。同意令有效期10年，三家主体均不得就数据采集范围、去标识化程度及地理定向能力作出虚假陈述。

来源：美国联邦贸易委员会（FTC）

13. 加拿大：隐私专员办公室认定OpenAI违规收集与使用个人数据

2026年5月6日，加拿大联邦隐私专员办公室（OPC）联合魁北克、不列颠哥伦比亚省及阿尔伯塔省信息与隐私专员办公室，就OpenAI（ChatGPT）合规性联合调查结果（PIPEDA Findings #2026-002）举行新闻发布会，调查结果同步发布于隐私专员办公室官网。四省联合认定OpenAI在从公开互联网抓取个人数据（含健康信息、政治观点及儿童数据）训练GPT-3.5和GPT-4时违反加拿大联邦PIPEDA及三省级隐私法律，且在ChatGPT发布之初即已知晓模型会捏造真实人物信息，并在2024年4月前采用欺骗性设计强迫用户放弃聊天记录才能退出训练数据使用。联邦隐私专员办公室认定违规但接受OpenAI整改承诺；BC省及阿尔伯塔省则明确认定OpenAI无法就已抓取的数据补充获得同意。这是加拿大首次就生成式AI训练数据实践作出多省联合正式调查裁定，对全球AI企业合规具有重要参考价值。

来源：加拿大隐私专员办公室（OPC）

14. 欧盟：欧盟理事会与欧洲议会就简化AI规则达成临时协议

2026年5月7日，欧盟理事会与欧洲议会就《人工智能法案》（AI Act）简化修订方案达成临时协议，旨在降低企业特别是中小企业的合规负担，提升欧洲人工智能产业竞争力。根据协议，部分高风险AI系统义务将延后实施，同时简化部分文档、透明度及合规程序要求，并扩大部分企业豁免适用范围。协议还新增针对AI生成非法影像内容的限制措施，并进一步明确欧盟AI办公室与成员国监管机构之间的职责分工。欧盟表示，此次改革旨在在保障基本权利与促进AI创新之间实现平衡，但也引发部分隐私与数字权利组织对监管弱化的担忧。

来源：欧盟理事会

15. 沙特阿拉伯：SDAIA推进人工智能伦理与治理框架建设

2026年5月8日，沙特通讯社发布消息称，沙特数据与人工智能局（SDAIA）持续推进人工智能伦理与治理相关工作，以支持人工智能的负责任使用。SDAIA通过监管框架和质量相关举措，推动人工智能伦理原则落地，并配合沙特“2026人工智能年”相关安排，加强社会对人工智能伦理及深度伪造风险的认识。

消息还提到，SDAIA与位于利雅得、隶属于联合国教科文组织的国际人工智能研究与伦理中心（ICAIRE）开展合作，推动人工智能伦理、治理及相关风险议题的国际交流。相关工作涵盖人工智能治理框架、伦理使用、深度伪造风险提示及可信人工智能发展等内容。

来源：沙特通讯社（SPA）

16. 英国：ICO正式更新《数据使用与访问法》数据保护投诉处理指引

2026年5月8日，英国信息专员办公室（ICO）正式更新《数据（使用与访问）法案 2025》（DUAA）项下数据保护投诉处理指引，删除了“不构成数据保护投诉”定义中的一项示例条款，并就2026年6月19日即将强制生效的新规向各机构发布详细合规准备指引。新规要求所有数据控制者无一例外地建立正式内部投诉处理程序，涵盖30日内确认回执、全程记录、告知投诉权利等核心义务，且投诉可通过任何渠道（包括社交媒体）提出。ICO同步区分了“必须”“应当”“可以”三级合规层次，为机构提供可操作路径。这是英国自2025并DUAA获御准以来首批落地的具体合规细则。

来源：英国信息专员办公室（ICO）

17. 韩国：PIPC就Coupang史上最大规模数据泄露案送达事先处分通知书

2026年5月12日，韩国个人信息保护委员会（PIPC）就Coupang大规模数据泄露事件完成调查，并向其送达事先处分通知书，制裁程序进入最终阶段。通知书载明拟定违规事实及处分内容，Coupang须在最短14天内提交书面意见；据报道，Coupang对PIPC拟定的处分方向表示异议。依据现行《个人信息保护法》，数据泄露的最高过征金为相关业务过去三年平均营业额的3%，结合Coupang约49万亿韩元的年营收规模，理论最高罚款约达1.5万亿韩元。最终处罚决定预计最早于2026年6月作出。

来源：首尔经济日报

18. 澳大利亚：OAIC正式更新《澳大利亚隐私原则指引》第3章

2026年5月13日，澳大利亚信息专员办公室（OAIC）正式更新《澳大利亚隐私原则指引》第3章（APP Guidelines Chapter 3），该章专门规范个人信息收集环节的合规要求，涵盖收集目的告知、合理必要性判断及特殊信息收集限制等核心内容。本次更新是OAIC配合《2024年隐私及其他立法修正案》（于2024年12月生效）落地的配套实操工具，将立法新义务转化为可操作的实践指引，帮助各类机构在收集阶段即落实“隐私设计”原则，是澳大利亚本轮隐私法改革中首批落地的官方实操指引更新。

来源：澳大利亚信息专员办公室（ICO）

19. 美国：州长签署SB 189，以自动化决策技术透明度框架取代原高风险AI法

2026年5月14日，科罗拉多州州长贾里德·波利斯签署SB 26-189（《自动化决策技术法》），废除并重新制定2024年通过的《科罗拉多州人工智能法》（CAIA），将于2027年1月1日生效。州议会于5月9日通过该法案，标志着科罗拉多从此前处方性、风险分级管控模式全面转向以信息披露为核心的轻监管框架。新法将监管对象从”高风险AI系统”重新界定为”自动化决策技术”（ADMT），适用于就业、贷款、住房、保险、医疗、教育及政府服务等”重大决策”场景。开发者须向部署者提供涵盖用途、训练数据类别、已知局限性及人工审查指引的技术文档；部署者须在使用ADMT前向消费者提供清晰显著的事先告知，并在产生不利决策结果后赋予消费者申请人工复核权。双方须各自留存合规记录至少3年。科罗拉多州检察长拥有专属执法权，2030年1月前须给予60天整改机会；违反本法构成《消费者保护法》下的欺骗性商业行为。

来源：科罗拉多州议会

20. 泰国：ETDA推进数字文档钱包（Digital Document Wallet）生态建设

2026年5月15日，泰国电子交易发展局（ETDA）举办“以可验证凭证（Verifiable Credentials，VC）构建数字信任及用户体验设计”知识分享与意见征集活动，介绍数字凭证、数字文档钱包（Digital Document Wallet）及相关基础设施建设进展。ETDA表示，该项目旨在推动数字认证文件、数字声明文件及数字文档钱包生态系统发展，并探索可验证凭证技术在数字身份认证和电子文件管理中的应用。

根据ETDA介绍，数字文档钱包可用于安全存储和管理加密密钥、数字凭证、身份属性及个人信息，并支持数字凭证的接收、出示和验证，以便用户在政府服务、教育、医疗及其他数字化场景中使用相关电子文件。ETDA同时发布了泰国数字凭证互操作框架（Thai VC Architecture and Reference Framework），为数字凭证和数字文档钱包的开发、数据交换及系统互联互通提供技术参考。活动还介绍了数字成绩单（Digital Transcript）等应用场景，并就用户旅程设计、数字文件验证机制及未来推广路径征求各方意见。

来源：泰国电子交易发展局（ETDA）

21. 墨西哥：墨西哥发布CURP生物识别信息应用协调协议

2026年5月18日，墨西哥《联邦官方公报》公布墨西哥州政府与联邦内政部签署的《协调协议》（Convenio de Coordinación），旨在推动唯一人口登记代码（CURP）与生物识别信息登记机制的实施。根据协议内容，墨西哥州将配合国家人口登记系统建设，支持CURP数据库更新和身份信息核验工作。协议明确，相关主管部门将在法律授权范围内开展个人身份信息管理工作，包括姓名、出生信息、国籍等基础信息，以及照片、指纹等生物识别信息的采集、验证和更新。协议同时规定，相关机构应按照适用法律要求，对登记信息进行管理、维护和共享，并支持国家人口登记和身份认证体系运行。

来源：墨西哥《联邦官方公报》（Diario Oficial de la Federación）

22. 香港：私隐专员公署发布AI应用合规检查结果

2026年5月19日，香港个人资料私隐专员公署（PCPD）公布针对60家机构开展的人工智能（AI）合规检查结果，重点评估各行业在使用AI系统过程中对个人资料的收集、使用及保护情况。检查覆盖银行金融、教育、医疗、电讯、物流及政府部门等多个领域。PCPD指出，AI在香港企业中的应用持续扩大，同时强调机构需加强数据治理、风险评估、员工培训及访问控制等措施，以确保符合《个人资料（私隐）条例》要求。与此同时，PCPD持续与香港金融管理局（HKMA）加强合作，推进金融行业数据安全与反诈骗监管。

来源：香港个人资料私隐专员公署（PCPD）

23. 新加坡：IMDA发布生成式AI模型治理框架

2026年5月20日，新加坡资讯通信媒体发展局（IMDA）正式发布《智能体人工智能治理框架》v1.5版（51页），纳入来自60余家组织的行业反馈，新增AWS、DBS、谷歌、Workday、OCBC等10余个真实案例研究，并大幅扩展对多智能体系统的覆盖，深入探讨智能体蔓延、误协调、冲突、共谋及涌现行为等系统性风险。v1.5版还提供了结构化、基于规则及提示层技术控制的详细指引，并就如何在智能体能力提升的过程中维持有实质意义的人工监督提出具体建议。这是全球首个专门针对能够自主规划、推理和行动的AI智能体的治理框架的第一次重大版本更新。

来源：新加坡资讯通信媒体发展局（IMDA）

24. 越南：《个人数据保护法》配套法规落地 数据保护框架进入成熟期

2026年5月22日，在2026年越南网络安全峰会（Vietnam Security Summit 2026）期间，越南公安部网络安全与高科技犯罪防范部门官员表示，个人数据已成为数字经济的重要战略资源，同时也是网络犯罪重点目标。越南在推进《个人数据保护法》（PDPL）实施过程中，持续强化个人数据保护与网络安全治理。越南政府强调加强数据安全、数字身份管理及企业数据合规能力建设，并呼吁企业完善数据全生命周期安全保护措施。随着《个人数据保护法》于2026年1月正式生效，越南数据保护制度正逐步进入更具执行力的实施阶段。

来源：Vietnam plus

25. 菲律宾：国家隐私委员会加强网络安全与数据泄露风险监管

2026年5月22日，菲律宾国家隐私委员会（NPC）发布《NOTICE TO THE PUBLIC》公告，就近期疑似网络安全事件引发的数据泄露风险向公众发出警示。NPC强调，未经授权获取、传播、下载或分享包含个人数据的文件、数据库及链接，可能违反《数据隐私法》（Data Privacy Act of 2012）及相关法律，并可能承担民事、行政或刑事责任。NPC同时呼吁个人与机构加强数据安全意识，避免进一步扩散未经授权获取的数据内容。该公告反映出菲律宾监管机构持续强化网络安全事件与个人数据保护执法力度。

来源：菲律宾国家隐私委员会（NPC）

26. 马来西亚：马国家网络安全局表示MyDigitalID用作社交媒体年龄验证可降低数据泄露风险

2026年5月30日，马来西亚国家网络安全局（NACSA）首席执行官Megat Zuhairy博士表示，采用国家级数字身份系统MyDigitalID作为年龄验证方法，以防止16岁以下未成年人开设社交媒体账户，有助于保护用户数据免受网络威胁，并防止科技公司收集敏感信息。从数据合规角度，MyDigitalID不要求用户提交或存储实体身份证件副本，也不存储指纹或面部图像等生物识别数据。系统仅将用户与国民登记局（NRD）持有的官方记录进行比对核实，确保敏感数据保留在政府系统内。社交媒体平台仅收到必要的确认信息（如是否符合年龄要求），而无法获取具体的个人信息。NACSA强调，政府将严格执行数据保留政策，仅在必要期限内依法保留个人数据，并采取安全措施防止滥用、未经授权的访问或不必要存储。该方法通过单一、安全的验证层显著降低数据泄露风险，同时避免在多平台重复收集敏感数据。

来源：马来西亚国家新闻社（BERNAMA）

来源 | 魏安迪

审核 | 李兰兰、品宣部

编辑 | 卓小豸