2026年1月22日,韩国《AI Basic Act》正式生效,使其成为除欧盟外全球首个拥有全面横向AI法规的国家。三周前,中国《网络安全法》修正案已将涉及AI的罚款上限提高至5000万元人民币或上一年度营业额的5%。仅在2026年2月,中国监管机构就对13,421个账号进行了处罚,并移除了超过543,000条未按强制性国家标准 GB 45438-2025 标注AI生成内容的素材。

在其他任何地方,AI和数据监管都没有以如此快的速度或在如此多的方向上同时推进。中国通过现有的网络和数据法律进行运动式扫荡执法,而不是依赖针对AI的特定罚款。日本选择了一项完全没有直接处罚的促进性法规。韩国率先立法,但将其自身的执法推迟了一年。印度公布了期待已久的数据保护规则,但将实质性义务推迟至2027年5月。新加坡、澳大利亚和香港仍在处理自愿性框架、咨询文件和停滞的修正案。

对于覆盖该地区的合规团队而言,实际问题从来不是“这个国家是否有AI法律”。关键在于目前哪些文书实际上是可执行的,针对哪些行为,以及这些情况在什么日期会发生变化。

目前哪些亚太国家正在积极执行针对AI的特定规则?

中国是唯一一个专门围绕AI内容和模型运行罚款与关停执法机制的国家,而韩国虽然有生效的AI特定法律,但目前处于暂停状态。中国自2023年8月15日起施行的《生成式人工智能服务管理暂行办法》要求,每个面向公众的生成式AI服务在上线前必须向国家互联网信息办公室完成安全评估和算法备案。截至2026年3月17日,已有796项服务在国家层面完成备案,另有481项在地方层面完成备案。未进行备案的提供商将被责令下线。“清朗”行动模式(最近一次是2026年4月启动的为期四个月的专项行动,针对未注册的大模型和未标注的合成内容)适用《网络安全法》、《个人信息保护法》和《数据安全法》,而不是《生成式人工智能服务管理暂行办法》本身,因为该办法自身的罚款上限仅为10万元人民币。

韩国自2026年1月22日起生效的《AI Basic Act》规定,对于未通知用户AI交互、未指定国内代表或不遵守纠正命令的行为,最高可处以3000万韩元的行政罚款。科学技术信息通信部正在对事实调查和罚款实行正式的一年宽限期,在此期间仅针对涉及严重社会危害或侵犯人权的案件进行处理,预计正常执法将在2027年1月22日左右恢复。

日本的《AI Promotion Act》实际上要求企业做什么?

几乎没有什么是可以直接强制执行的,而这正是其目的所在。该《Act on Promotion of Research and Development, and Utilization of AI-related Technology》于2025年5月28日颁布,并于2025年9月1日全面生效,设立了由首相担任主席的AI战略本部,并要求制定于2025年12月23日通过的《AI Basic Plan》。该法案不包含罚款,也没有直接的禁令,政府唯一的工具是要求合作、提供指导以及公开披露不合规行为。

在日本,AI部署的约束性义务仍然来自现有的行业法律,主要是《Act on the Protection of Personal Information》(APPI),以及经济产业省和总务省发布的非约束性《AI Governance Guidelines for Business》(1.1版,2025年3月)。内阁府于2026年1月完成了关于生成式AI原则和准则的公众咨询,预计将作为关于知识产权和数据透明度的进一步非约束性指导意见发布。2026年在日本运营AI的公司将根据APPI合规性和自愿准则的一致性进行评估,而不是依据AI法案本身。

从现在到2027年,印度在个人数据合规方面会有哪些变化?

根据《DPDP Act 2023》于2025年11月13日公布的《Digital Personal Data Protection Rules, 2025》将分三个阶段生效,而不是一次性全部生效。涵盖数据保护委员会设立和规则制定架构的第1、2条以及第17至21条,已于2025年11月13日立即生效。第4条(同意管理器注册框架)及相应的第6(9)条将于2026年11月13日生效。大多数合规团队实际等待的核心义务,即通知和同意要求、违规通知、儿童数据保护、重要数据受托人职责,以及第3至17条和第28至34条下的处罚和上诉架构,要到2027年5月13日才会生效。

这十八个月的缓冲期是经过深思熟虑的,但对于那些将《DPDP Act》视为“尚未成真”的团队来说,这也是一个陷阱。该委员会已经开始运作,规则制定也正在进行中。为了在2027年5月之后经受住审查而构建的系统需要在2026年期间进行设计,而不是在截止日期前的最后一个季度才匆忙组装。

新加坡如何在没有约束性AI法规的情况下治理AI?

完全通过资讯通信媒体发展局发布的自愿性框架,最近这些框架已扩展至涵盖自主AI代理。2026年1月22日发布的《Model AI Governance Framework for Agentic AI》是全球首个专门针对代理系统的治理框架,围绕四个维度构建:通过用例选择和最小权限访问在前期限制风险、分配明确的人类责任、在代理生命周期中嵌入技术控制,以及启用最终用户责任。这些内容均不具有法律约束力,但IMDA表示,与该框架保持一致有助于管理法律风险,因为无论该框架是否为自愿性质,部署代理AI的组织仍需根据现有法律对其行为负责。

新加坡将此框架叠加在2024年《Model AI Governance Framework for Generative AI》以及与个人数据保护委员会共同构建的AI Verify测试工具包之上。2026年2月,总理黄循财宣布成立新的国家AI理事会,并推出了一系列针对制造业、互联互通、金融和医疗保健的国家AI任务,这表明新加坡近期的监管策略仍然是软法加上特定行业的任务,而不是一部横向的AI法案。

目前在澳大利亚和香港实际上有哪些是可以强制执行的?

在澳大利亚,一个具体的截止日期已经提上日程:从2026年12月10日起,《Privacy and Other Legislation Amendment Act 2024》要求APP实体在其隐私政策中披露任何计算机程序所使用的个人信息种类,前提是该程序做出或实质且直接支持做出可能显著影响个人权利或利益的决定。该义务同样涵盖支持AI的系统和基于规则的工具,即使在名义上仍有人员参与的情况下也适用,并且涵盖在该日期或之后做出的决定,无论底层系统是何时部署的。澳大利亚信息专员办公室于2026年5月18日就实施指南展开公众咨询,于2026年6月15日结束,预计将于2026年9月发布最终指南,这使得实体不得不在没有最终指南的情况下开始合规工作。

香港没有同等的截止日期。对《Personal Data (Privacy) Ordinance》的拟议修正案,包括强制性违规通知、与营业额挂钩的行政罚款以及对数据处理者的直接监管,曾于2025年在立法会进行辩论,但截至2026年中期,这些仍是提案而非已颁布的法律,据报道因担心增加企业负担而停滞不前。在缺乏这些法律的情况下,个人资料私隐专员公署通过非约束性的2024年《Model Personal Data Protection Framework》和2025年3月发布的员工使用生成式AI清单来治理AI,而无关的《Protection of Critical Infrastructures (Computer Systems) Ordinance》已于2026年1月1日全面生效,为指定关键基础设施的运营商增加了网络安全职责。

司法管辖区具有约束力的AI特定文书2026年中期执法状态即将到来的关键日期
中国《生成式人工智能服务管理暂行办法》(2023) + GB 45438-2025 标注活跃,基于运动式执法,通过《网络安全法》/《个人信息保护法》/《数据安全法》持续进行的季度“清朗”扫荡
韩国《AI Basic Act》已生效,罚款处于宽限期内宽限期将于2027年1月22日左右结束
日本《AI Promotion Act》已生效,无直接处罚《AI Basic Plan》第二阶段正在制定中
印度《DPDP Act》 + 《DPDP Rules 2025》委员会正在运作,核心职责尚未生效核心义务将于2027年5月13日生效
新加坡无(自愿性的MGF框架)无约束力,与现有行业法律挂钩整个2026年推进国家AI理事会工作
澳大利亚《Privacy Act 1988》(ADM修正案)尚未生效ADM透明度义务将于2026年12月10日生效
香港《PDPO》(未修订)修正案自2025年起停滞无确认的时间表

并行阅读中文、韩文、日文和英文的七条监管轨道,并在每次部委发布新通告或立法机构报告法案出委员会时重新检查每一条,这绝不是任何单个合规官能够在一个完整的亚太业务版图中手动维持的任务。Obsidian的按司法管辖区监控在发布时跟踪每个官方来源(从国家互联网信息办公室的备案登记到印度的公报通知),并标记涉及公司观察名单上已有框架的具体措施。

对于需要在工作流而不是仪表板中获得相同来源答案的团队,MCP允许已经处理其他合规任务的AI助手确认科学技术信息通信部的宽限期是否已经实际结束,或者澳大利亚信息专员办公室是否已经发布了其自动决策指南,而无需人工首先重新验证主要来源。Obsidian的AI在这一交流中作为监管助手发挥作用,而不是替代签署答案的合规官,它只是在截止日期之前而不是之后将有来源的事实准备就绪。

亚太地区的AI和数据治理团队接下来应该做什么

根据可强制执行的日期而不是头条新闻来安排工作顺序。在面临中国业务敞口的团队现在需要保持其生成式AI备案和 GB 45438 标注的最新状态,因为执法扫荡每季度进行一次。在韩国的团队需要在2027年1月左右宽限期解除之前准备好《AI Basic Act》合规基线。在印度的团队需要在2026年期间设计其同意和违规架构,以便在2027年5月核心DPDP义务生效后经受住委员会的审查。在澳大利亚的团队需要在2026年12月10日之前而不是之后准备好其隐私政策语言和决策清单。

Obsidian的计划专为逐个官方来源跟踪这种异步的、多司法管辖区的AI和数据治理日历而构建,因此下一份国家互联网信息办公室通知、科学技术信息通信部指南或澳大利亚信息专员办公室决定将在登上头条之前送达合规团队。