21世纪经济报道记者肖潇 北京报道

本周国内倍受关注的两件合规事件，无疑是民宿偷拍产业链被曝光，以及警方证实三只羊“录音”为AI伪造——前者关系到近年屡禁不止的针孔摄像头，后者则是新兴的AI深度合成技术。

除此之外，在数据合规方面，值得关注的还有全能扫描王、名片全能王背后的合合信息获科创板上市。在此之前，AI商业大数据科技上市企业板已经空窗三年。

海外方面，这些事件也需要留意：领英用用户数据训练AI受阻，连夜更新隐私政策；谷歌搜索将整合推出AI标识标签；美国称担忧数据安全，拟禁用中国智能网联汽车软硬件；美国联邦贸易委员会开始打击“虚假宣传 AI 能力”公司。

个人隐私

1、民宿偷拍摄像头遭大规模曝光

近日，有博主发布视频曝光，在石家庄几家民宿内发现多个偷拍摄像头，并遭到民宿业主等人的围殴。9月24日晚间，石家庄市公安局新华分局官微发布警情通报称，已对涉嫌非法使用窃听、窃照专用器材罪的三名犯罪嫌疑人采取刑事强制措施。随后，又有多位网友反映自己在住酒店期间，发现摄像头。

一位前民宿经营者称，在 2017 年还经营民宿的时候，就有不少民宿同行在装修毛坯房屋时，主动在房间里安装摄像头，每个房间至少有 3-5 个摄像头，并会同步云端，进行直播。“低价高质”的房型是民宿老板们吸引客流的常用手段。

数据合规

1、合合信息迈过数据合规上市门槛

近日旗下有全能扫描王、名片全能王、启信宝等产品的合合信息获科创板上市，也为空窗近3年的AI商业大数据科技上市企业板块注入了新的活力。

在上交所接连开出的3份审核问询函中，就对合合信息的数据合规性与数据合规使用进行了细致的问询，特别是在第一份问询中，上交所对针对合合信息的数据合规经营就提出了6个问题。问询内容涉及数据来源、数据权属及数据销售是否合理合法，自动化访问获取的企业数据是否合法，数据管理是否存在不完善情形，是否有数据合规纠纷的解决机制，数据安全制度规范是否符合有效等。

南财点评：本次问询回答对于AI科技公司数据全周期的安全合规进行了回答，曾有多位受访专家对21世纪经济报道记者表示，合合信息在该次回复中较为详细地回答了数据全周期内的合规问题，尤其是在数据采集方面。在AI科技公司上市掘金的过程中，数据安全合规与企业经营合规无疑已成为其获批上市的门槛。 

人工智能

1、三只羊“录音门”实为AI伪造，背后技术公司扑朔迷离

近日一段疑似集团创始人卢文庆醉酒后的音频流出。9月26日，安徽合肥市公安局高新分局确认，相关网传音频为AI伪造，在犯罪嫌疑人（男，25岁）的电脑、手机和制作AI音频的网站中发现了伪造相关音视频的证据，并经部、省专业机构检验鉴定。目前犯罪嫌疑人被依法采取刑事强制措施。

27日凌晨，深圳言域科技有限公司发文称，三只羊事件使用的是“Reecho睿声”大模型，由卢文庆30秒的直播片段克隆生成，现在在加强安全管控措施。21记者在该产品官网的“声音市场”中看到了杨幂、刘亦菲等人的克隆声线。在互联网信息服务算法系统上，没有找到深圳言域科技有限公司的备案信息。

南财点评：目前，国内几乎没有面向普通用户的、能随心所欲克隆其他人声音的产品。像豆包、剪映等产品，克隆声音前用户必须实时录制自己的声音，相当于限定了条件，只能克隆自己的声音，而睿声允许用户上传任何已经录制好的音频文件训练AI，无疑埋下了隐患。

律师分析称，声音克隆可能涉及民事侵权，声音也属于一种人格权益，具有人身专属性。未经授权的情况下使用他人声音可以构成民事侵权。提供技术服务的公司若没有履行备案义务，对内容审核、安全评估等义务也没有做到位的情况下，是有可能被监管机关追究相关法律责任的。

海外

1、LinkedIn利用用户数据训练AI受阻

近期，又一起科技平台利用用户数据训练AI的行为被英国监管机构（ICO）叫停。用户发现Linkedln在并未更新用户隐私政策之前，就在较长的一段时间内私自使用用户输入数据训练AI模型。迫于监管机构与用户的双重压力，在报道发出当日，LinkedIn就迅速更新了隐私条款。

更新的隐私条款明确了三件事：一、平台将使用用户数据训练生成式AI模型；二、目前不会训练来自欧盟、欧洲经济区、英国或瑞士的成员的内容生成 AI 模型；三、允许用户在账户设置中关闭用于生成式AI改进的数据功能。然而，需要注意的是，即使用户选择了关闭个人数据用于AI 模型训练，LinkedIn仍可能会使用之前收集的数据。

南财点评：当AI阔步发展引发了行业数据追赶竞赛后，如何将存储在平台的海量用户数据利用起来是科技公司苦苦求索的难题，首先掣肘的就是用户隐私政策及法律规定。用户对于个人数据用于生成式AI仍较为抵触。X公司也在未明确告知用户的情况下，自动收集了用户的帖子、互动、输入和结果，承诺“永久停止处理来自欧盟和欧洲经济区用户的个人数据用于人工智能模型训练”。

2、美国拟禁用中国智能网联汽车软硬件

当地时间9月23日，美国商务部公布了一份管制方案，出于国家安全考虑，提议禁止进口和销售搭载使用中国技术的软件或硬件等的智能网联汽车。按照美国商务部的说法，禁令会覆盖到所有能集成到车辆连接系统（VCS）或自动驾驶系统（ADS）中的软硬件。传统汽车的“被动”部件，比如塑料盖、螺丝钉等不在管制范围内。不在公共道路上使用的车辆，如农业和采矿车等，也不在辐射范围内。 

该禁令经过了7个月的审议，目前正在公众意见征询期，30天后会起草最终规则。如果最终通过，对相关软件的进口禁令将从2027年生效，对硬件产品的禁令生效时间为2030年。

南财点评：不同“联网程度”的车辆能收集大量数据，道路基础设施、车辆运行状态、车主的使用行为等数据都需要被采集。而收集数据之后，从传输到应用的每一个环节，确实存在数据安全隐患。 

国内在智能网联车的数据安全方面，已经密集制定了一系列法规或标准，包括《智能网联汽车道路测试与示范应用管理规范（试行）》《智能网联汽车数字身份及认证通用规范》等等。2021年国内《汽车数据安全管理若干规定（试行）》确定了“车内处理”原则，即汽车数据默认不应该传输至车外，律师认为这一原则应该能够消释美方担心数据外传的核心关切。

3、谷歌搜索将整合AI标识标签

近期谷歌透露，计划把C2PA标准整合到谷歌搜索和广告中，之后用户在搜索某张图片时，会在“关于此图片”的栏目中看到图片是否通过 AI 工具创建或编辑。这可以说是AIGC“成分标签”一次最大规模的尝试。

C2PA是一种开源互联网协议，依靠加密的技术手段编码信息，类似于给内容创建一份“出生证明”，说明内容是何时、何地、由谁、如何创建的。21记者梳理发现，在2024年里，从生产内容的大模型公司到传播内容的社交平台，除了Twitter，科技巨头基本接入了C2PA标准

南财点评：AI内容标识还面对不少争议和挑战，问题一方面来自技术本身——对于显形标识，稍加截图和裁剪便可以隐去。隐形标识虽然使用哈希函数加密，有一定篡改难度，但也并非完全可靠。更大的问题来自AI内容标识跨平台、跨地域的推广。从C2PA的发展背景中不难发现，需要足够多的内容生产者和平台使用协议，建立一条完整的使用链，这类协议才能发挥效果。

4、美国开始打击“虚假宣传 AI 能力”公司，首批起诉五家企业

美国联邦贸易委员会（FTC）在 9 月 25 日宣布将向虚假宣传 AI 技术或销售劣质 AI 技术的公司展开法律行动，首批被 FTC 起诉的五家公司包括 DoNotPay、Ascend Ecom、Ecommerce Empire Builders、Rytr 和 FBA Machine。

其中，DoNotPay 提供机器人律师服务，号称能够替代人类律师，季订阅费为 36 美元。FTC 认为 DoNotPay 无法证明其机器人律师等同于人类律师，并且该公司提供服务中的一些功能显然为虚假，例如其声称用户可以一键检测自家网站是否违反数百项联邦法规。