规划未来的监管里程碑 AI 的机遇网络安全欧盟英国

快速阅读: 《JD Supra》消息，2025年后，欧盟与英国技术监管持续演变，涉及在线安全、AI、数据治理和网络安全。企业需应对合规挑战，把握创新机遇。

2025年及以后，欧盟和英国的技术与数字监管环境正在经历显著的演变。这些法律发展既带来了重大机遇，也带来了复杂的合规挑战，要求企业对技术监管格局保持全面的视角。本文重点介绍了未来12个月的关键里程碑，主要集中在四个领域：在线安全、人工智能、数据治理以及网络安全和韧性。

**在线安全法案：建立新的在线安全责任**

英国《在线安全法案》（OSA）建立了一个广泛的监管框架，旨在通过逐步实施对受监管服务提供商的安全义务来保护儿童和成年人的在线安全。该法案包括防止传播非法或有害于儿童的在线内容和活动的义务。

2025年4月，通信办公室（Ofcom）发布了《儿童风险评估指南》和《儿童保护行为准则》。行为准则的发布为可能被儿童访问的服务提供商设定了夏季截止日期，这些提供商必须在2025年7月25日之前完成儿童风险评估，并采取措施保护儿童免受在线危害。

儿童安全义务是继2025年3月和4月所有服务提供商完成非法内容风险评估和儿童访问评估并遵守与非法内容相关的安全义务之后的延续。更多信息，请参见包括防止传播非法或有害于儿童的在线内容和活动的义务。

英国在线安全法案——2025年夏季截止日期、英国在线安全法案——2025年春季截止日期和英国在线安全法案2023年。儿童在线安全在英国仍然是监管的重点，预计一旦2025年7月25日生效，Ofcom将继续积极执行儿童安全义务。

在进行OSA风险评估和实施缓解措施（特别是内容审核）时，提供商应考虑他们可能根据欧盟《数字服务法案》、欧盟《数字版权指令》、欧盟《人工智能法案》和欧盟/英国《通用数据保护条例》（GDPR）所面临的类似风险评估和审核要求。尽管这些要求在范围和方法上有所不同，但识别可以在提供商的服务和技术中一致评估和缓解的核心风险，可能会促进稳健且简化的合规策略和高效的运营实施。

**人工智能法案：应对新的监管挑战**

人工智能是今年及以后监管活动最活跃的领域之一。欧盟《人工智能法案》禁止使用人工智能的规定已于2025年2月生效。人工智能素养义务也已生效，虽然素养要求可能不是执法的主要焦点，但监管机构可能会在由高风险人工智能活动引发的更广泛的《人工智能法案》调查中考虑素养合规性。

根据《人工智能法案》，通用人工智能（GPAI）的义务将于2025年8月生效，欧洲委员会的GPAI指南和GPAI行为准则（最终版本于7月10日发布）预计将在7月底得到认可——尽管围绕行为准则某些机制的持续谈判可能会影响实施和执法的时间表。该准则将影响GPAI模型提供商和下游部署者在人工智能法案中的实际影响，重点关注欧盟版权保障措施、训练数据的透明度以及系统性风险评估和缓解。

2026年8月，《人工智能法案》对高风险人工智能系统的相关要求将生效。高风险使用案例可能出现在信用检查、个人保险、生物识别识别和招聘等情境中，这对人工智能提供商/开发者和部署者都具有实际的合规影响。尽管义务将在2026年生效，但由于要求广泛、潜在的操作和战略影响，以及《人工智能法案》与其他数据和技术法规（如欧盟GDPR、欧盟《数字服务法案》和欧盟《数据法案》）之间的复杂互动，时间紧迫。

欧盟数据保护机构已经在从欧盟GDPR的角度强制执行人工智能数据使用，重点关注大型生成式AI提供商。企业有机会利用现有的透明度努力、数据保障措施、网络安全、供应商管理流程以及更广泛的创新和信息治理作为其策略的一部分，以有效应对人工智能法律风险并支持创新。

更多信息请参见《欧盟人工智能法案：高风险人工智能系统部署者的义务》和《欧盟人工智能法案发布：人工智能监管新时代开始》。

在英国，监管机构继续在人工智能方面发布指导文件，特别是数据保护监管机构（信息专员办公室）预计将在今年晚些时候发布一项关于人工智能和自动化决策的法定行为准则，作为其人工智能和生物识别战略的一部分。

**数据法案：塑造数据治理的未来**

欧盟《数据法案》主要义务将于2025年9月12日生效。《数据法案》对连接产品提出了数据访问、数据共享、透明度、数据可移植性和数据共享协议的要求，对云和边缘计算提供商提出了服务切换、功能等效性（即服务功能相似）、互操作性标准与协议以及防止未经授权的政府和国际数据访问的要求。

针对连接产品及其相关数字服务的新制度可能会显著扩大消费者和工业/企业数据市场，并为企业创造新的数据驱动机会。同时，《数据法案》与GDPR、欧盟《网络弹性法案》和欧盟《数字市场法案》之间的复杂互动，需要谨慎处理，以确保现有合规机制得到利用，新的合规方法保持一致。

对于云服务而言，在实施《数据法案》的互操作性标准与协议时，解决网络安全、弹性要求和数据治理标准将是至关重要的，这突显了技术和数据监管之间另一个关键交叉点。这些要求也可能随着时间的推移影响整个云供应链。

**DORA：加强网络安全韧性**

欧盟《数字运营韧性法案》（DORA）于2025年1月17日生效，作为更广泛的欧盟网络安全和韧性监管框架的一部分。DORA对欧盟监管的金融服务实体和指定的“关键”技术提供商施加了一系列弹性要求。这些关键提供商预计将在2025年10月或11月被指定，并需在欧洲监管机构的监督下实施定制的DORA合规计划。

DORA的影响不仅限于金融服务实体和指定的关键提供商，还间接影响几乎所有向金融服务提供技术和服务的提供商，包括那些设立在欧盟以外的公司。增强的弹性要求将被整合到技术和数据供应链中，以确保DORA合规。

今年，相关企业的一个关键关注点将是DORA与NIS 2的交叉。了解更多关于DORA的信息，请查看Latham播客和博客文章。

**NIS 2：扩大网络安全标准**

NIS 2显著扩大了《网络和信息系统指令》（NIS）网络安全制度的范围，提高了强制性的网络安全标准、事件通知和响应要求，同时增加了罚款。NIS 2在欧盟各国层面实施，符合范围内的实体国家注册要求将于2025年第一季度生效，促使企业评估其是否可能受到监管。

NIS 2 —— 以及预计在2025年或2026年更新以更紧密地与NIS 2对齐的英国NIS法规 —— 在系统、网络和数据安全、供应链安全和事件响应等核心领域与DORA相交。尽管这两个制度并不完全一致，但两者都要求基于风险和适度的网络安全和弹性措施。

通过在一个基于风险的网络安全风险管理计划中同时处理NIS 2 / 英国NIS法规和DORA的要求，组织可以简化两个框架的合规性，并简化数据和技术供应链中的安全协作。

**展望未来**

在未来一年内，面对大量监管变化的情况下，企业应保持对技术监管格局的全面了解，以确保其合规策略保持一致，并高效地最大化创新和数据及技术机会。

在这个格局中，一些核心的共同要求正在浮现：

– **透明度**：在技术、在线服务和数据流中对终端用户、在整个供应链中和监管机构的严格透明要求。
– **主动且适应性的治理**：对技术和数据风险的积极、结构化、有资源保障的治理；主动管理的风险评估；灵活的内部政策，定期审查并融入业务运营；全面的数据和技术梳理。
– **审查和测试**：明确的问责期望；详尽的文档和记录管理要求；越来越需要展示治理和合规。

随着监管框架的不断发展和执法趋势的出现，新的机遇和挑战将不断涌现，需要审慎处理这一复杂的法律环境。

(以上内容均由Ai生成)