21世纪经济报道记者肖潇 报道

每周，“合规周报”会盘点最近一周国外人工智能、科技竞争、个人信息保护方面值得关注的动态。

这周，我们重点关注三个板块：数据和网络安全、AI治理和监管动态、行业风向。

数据与网络安全

学术平台数据泄露，暴露匿名评委身份

11月27日，知名论文评审平台 OpenReview 被曝存在前端 API 未授权访问漏洞，导致“双盲评审”信息泄露。通过向特定API接口输入 paper ID，用户可查看作者、审稿人、领域主席的实名信息及其机构、邮箱，以及审稿人的初评分和评论。

事件公开后，社交媒体上很快出现了相关数据被批量爬取和“吃瓜分析”的现象，有人统计出哪些审稿人给分显著偏低，并开始在网络上讨论这些名单。

随后，OpenReview 迅速发布了一份声明：平台在一个跨会议的 profile 查询接口中存在安全缺陷，确实允许未授权访问本应匿名的用户身份信息。官方表示，他们在收到第一份漏洞报告后一小时内部署了补丁，并强调任何利用泄露信息进行“开盒”、骚扰或报复的行为都将受到平台行为准则的最严厉惩处。

OpenReview 是 ICLR 等 AI 领域顶级会议所采用的评审系统，因此事件也引起会议组织方警觉。ICLR 2026 第一时间宣布，凡是使用、扩散或分享泄露数据的人，将被直接拒稿，并可能被长期禁止参加会议；会议方面还表示将继续采取其他措施，保护评审体系的公正性与安全性。

供应商被黑，部分ChatGPT用户数据泄露

11月28日，OpenAI 通知了部分 ChatGPT API 用户，其第三方分析服务商 Mixpanel 遭遇安全事件，导致少量可识别信息被暴露。Mixpanel 为 OpenAI 提供前端交互分析。该公司称，事件源于其在11月8日发现的一起短信钓鱼攻击。

OpenAI 强调，此次事件并未触及其自身系统，没有聊天内容、API 请求数据、密钥、支付信息或证件资料泄露。可能受影响的数据包括：API 账户登记姓名、关联邮箱、依据浏览器推断的粗略地理位置信息（城市/州/国家）、访问设备的操作系统与浏览器类型，以及引荐来源页面。

OpenAI 已展开调查，并已将 Mixpanel 从生产环境中移除，同时向受影响的机构与用户发出通知。

一步一广告推送，“地理围栏”追杀式营销可休矣

最近因股权出售备受关注的星巴克中国，面临一起隐私投诉。11月19日，北京消费者于泽辉的手机连续弹出星巴克 App 的推送：“您正路过”附近门店的活动。“根据我的实时位置推送，而且不止一次，我走到哪就推到哪家店。”

11月24日，星巴克关怀中心的工作人员跟于泽辉电话解释，公司使用的是苹果“地理围栏”技术，其是苹果自2012年开始提供的一项位置服务。可以简单理解为一种雷达系统，用户进入或离开指定区域，就会触发手机的广播通知行为。

按照国内规定，不管是模糊定位还是精准定位，都需在《隐私政策》中清晰告知目的，并取得用户的单独同意。同时，这类基于个人信息的定制化营销，还需要提供一键关闭的开关。星巴克中国对此向21记者确认，基于定位推送门店活动的功能现在已经下线。

治理和监管动态

清华大学发布AI指导文件，严禁AIGC直接用于学业成果

11月27日，清华大学官网发布了一份《清华大学人工智能教育应用指导原则》，该校首次系统提出校园内 AI 使用的总体规范和分层指引。

《指导原则》建议，教师可根据教学目标自主确定 AI 工具的使用方式，并在课程开始时向学生明确相关要求。教师需对使用 AI 生成的教学内容负责，同时引导学生正确理解与使用相关技术。

在学生端，《指导原则》鼓励在遵守课程规定的前提下探索 AI 辅助学习，但明确禁止将 AI 生成的文本、代码等内容直接或简单改写后，作为学业成果提交。

针对研究生群体，文件强调严禁通过 AI 进行代写、剽窃或伪造。导师需提供规范指导并实施全流程监督，以确保学术训练质量以及论文和实践成果的原创性。

网信办点名两类AIGC标识违规行为

11月25日，“网信中国”发文称，针对部分网站平台未有效落实人工智能生成合成内容标识规定要求相关问题，近期网信部门集中查处一批违法违规移动互联网应用程序，依法依规予以约谈、责令限期改正、下架下线等处置处罚。

通告未点出具体平台和具体行为，只提醒了两大类行为：一类是AI服务提供者的主动标识义务没落实；另一类是社交媒体等平台方没有落实识别义务、用户主动声明功能，还有平台检测并标识疑似AI生成功能。

华纳与 AI 音乐生成平台 Suno 达成版权和解

11月26日，华纳音乐集团宣布与 AI 音乐生成平台 Suno 达成新协议，授予Suno使用华纳旗下艺人音乐及肖像的授权，双方此前的版权诉讼也随之撤销

华纳表示，新协议将确保艺人和词曲作者可自主决定其姓名、照片、肖像、声音及作品在 AI 生成内容中的使用方式，这一授权模式与华纳与另一家AI平台Udio 的合作保持一致，均以艺人“主动同意”为前提。

Suno 也将对产品作出相应调整，全新、已获授权的模型计划于 2026 年上线。现有模型将全部停止使用，而平台的下载权限将收紧——免费用户仅可播放和分享作品，不再支持下载；付费用户则获得每月限定的下载额度，并可额外付费扩容。

全球首个16岁社交平台禁令年底上线，陪伴型AI也被监管盯上

去年11月，澳大利亚通过法案，要求多个社交媒体平台停止对16岁以下未成年人提供服务。这项法令将于12月10日正式启用，违者最高可被处以4950万澳币（约合2.3亿元人民币）的罚款。目前，列入禁令名单的主要平台包括Facebook、Instagram、Snapchat、Threads、X、YouTube。

值得注意的是，AI聊天机器人成为本轮针对青少年监管的重点。 

11月17日，Anthropic、苹果、谷歌、OpenAI、Meta、微软和学界专家齐聚斯坦福大学，举行了一场为期八小时的闭门研讨会，就聊天型AI机器人对青少年的影响展开讨论。多个AI巨头承认，仍然有空间可以采取更多措施以加强保护弱势群体。随即，深受美国青少年欢迎的Character.AI宣布，自11月24日起将停止对美国未成年人提供服务。

行业风向

大公司进军：华为卖AI玩具，豆包做AI输入法

11月24日，豆包输入法上线，支持语音与键盘输入，基于豆包语音模型，兼容多种方言和中英混输，并具备语义理解和自动纠错功能。

三天后，该产品登陆 App Store，提供“完整体验”与“基础打字”两种模式：完整体验在使用过程中会联网，并可能申请读取通讯录、录音音频权限，基础打字不会收集任何数据即可使用文字、符号等基本打字服务，但将缺失语音输入、翻译等功能。豆包输入法强调，无论哪种模式，都会保护用户个人信息和隐私。

而在本周的25日，华为发布了首款情感陪伴类电子宠物“智能憨憨”，售价399元，随后上架华为商城。目前该产品已显示缺货。“憨憨”搭载小艺大模型，支持自然对话和多模态交互，可在鸿蒙OS 5 及以上系统使用。据介绍，“智能憨憨”由华为与珞博智能联合开发，是华为首款 AI 情绪陪伴产品。

TikTok允许用户自行调节首页AIGC内容含量

TikTok 近期上线一项新选项，允许用户自主调整首页“为你推荐”信息流中 AI 生成内容的比例。

官方在博文中表示，该设置延续了“管理话题”功能的思路，用户可调节在舞蹈、运动、美食等多个类别的内容出现频率。AIGC 调节项的目的同样是帮助用户优化内容分布，而非屏蔽或替换整个信息流。通过此功能，用户可选择减少 AI 生成内容的曝光度，或在偏好此类内容时适度提升其出现频率。

保险公司不愿为AI“犯错”责任买单

英国媒体报道，多家大型保险公司正计划将人工智能相关风险从企业保险中排除，原因是企业可能因使用快速演进的 AI 技术面临巨额索赔。

AIG、Great American Insurance、WR Berkley 等保险公司已向美国监管机构申请，拟在保单中加入明确的 AI 责任除外条款，涵盖聊天机器人、智能体等应用。WR Berkley 的提案甚至规定，只要索赔涉及“任何实际或声称使用”AI，包括内嵌 AI 产品或服务，均不承保。

保险公司拒绝的主要原因是，AI 模型的结果过于“黑箱”，风险难以评估。比如，伦敦劳合社市场专业保险公司Mosaic 公司指出，AI 输出过于不可预测且缺乏可解释性。即便 Mosaic 这类专注于为AI 应用提供保障的专业保险公司，亦难以承保。

另一家保险公司Aon则表示，保险业尚可承受单一企业因部署AI智能体而造成的 4 亿至 5 亿美元损失（比如错误定价或误诊）。“但如果一家 AI 提供商出现失误，继而引发成千上万起关联索赔。这种系统性、高度相关且高度聚合的风险，是行业所无法承担的。”