《公安部第三研究所:2025生成式人工智能数据跨境流动风险与治理白皮书(44页).pdf》由会员分享,可在线阅读,更多相关《公安部第三研究所:2025生成式人工智能数据跨境流动风险与治理白皮书(44页).pdf(44页珍藏版)》请在三个皮匠报告上搜索。
1、1前言生成式人工智能(Generative Artificial Intelligence,以下简称“GAI”)的训练、研发与应用离不开大规模、多样化且实时更新的数据支持。随着云计算、物联网等数字技术的持续发展,数据密集型跨境活动已成为 GAI 产业发展的核心驱动力。近年来,以 ChatGPT 等大型语言模型为代表的 GAI 技术迅速崛起,进一步揭示了跨境数据流动在全球人工智能产业格局中的深刻影响与重要性。GAI 数据跨境流动具有重要经济价值和社会意义。全球范围内,各国已逐渐认识到数据跨境流动在人工智能发展中的重要性,并达成共识。2023 年 9 月,中国与欧盟在“中欧高层数字对话”中就数据跨
2、境流动与人工智能议题展开了专门讨论,体现了国际社会对这一议题的高度关注。美国高级研究员 Nate Picarsic亦指出,数据跨境流动不仅关乎全球经济的运作,更深刻影响着国家在人工智能标准制定和数据治理中的话语权。然而,当前 GAI 数据跨境流动的监管体系尚不完善,相关法律与政策框架存在诸多空白与不足。虽然我国在数据跨境流动方面已初步建立了基本的法律规范体系,但针对 GAI 数据跨境流动的专项研究与制度建设尚处于起步阶段。2024年施行的生成式人工智能服务安全基本要求(以下简称“基本要求”)虽对 GAI 服务提供者的安全标准提出了明确要求,但未对 GAI 数据跨境流动问题提供具体指引。此外,2
3、024 年国家层面发布的促进和规范数据跨境流动规定在调整数据出境合规框架的同时,未能为 GAI 研发及应用场景提供更为细化的规范,导致 GAI 服务提供者在合规实践中面临一定操作性困境。与此同时,GAI 数据跨境活动与现行法律体系之间仍存在较大差距,合规治理面临严峻挑2战,这可能进一步制约?GAI 产业的可持续发展。GAI 相关主体在进行跨境数据处理时,往往难以完全遵循数据出境的相关要求,这不仅可能侵害数据主体的权益,还可能对?GAI 模型的精度与性能产生负面影响。综上所述,本白皮书旨在深入研究?GAI 数据跨境流动问题,结合?GAI 产业的全球发展格局,分析?GAI 数据跨境流动的现状与挑战
4、,探讨数据流动的需求、应用场景及安全风险。基于现有监管体系的分析,本白皮书将借鉴国际立法与监管经验,评估我国跨境数据流动的现有监管框架,并提出具体的政策优化建议,为?GAI 数据跨境流动的监管与治理提供理论依据与实践指导,以期为相关监管部门提供可操作性建议,促进?GAI 产业的健康可持续发展。囿于能力所限,难免有所疏漏,诚挚欢迎各位专家、学者通过以下邮箱与我们联系交流:、。参编人员:姚迁、刘晋名、沈劼3目 录目 录前言.11 GAI 产业发展与数据跨境流动风险分析.11.1 GAI 产业发展现状与竞争态势.11.1.1 GAI 产业的全球格局.11.1.2 GAI 产业的竞争态势.31.1.3
5、 GAI 产业的细分领域.41.2 GAI 数据跨境流动的必要性分析.51.2.1 企业行业数据跨境需求.71.2.2 新兴市场与产业发展需求.81.2.3 执法监管跨国数据流动需求.81.2.4 我国新型全球化战略导向需求.91.2.5 国际合作与地区间政策协调需求.101.3 GAI 数据跨境流动场景.101.3.1 跨境调用算力导致数据出境.111.3.2 跨境调用 GAI 服务或产品导致数据出境.131.3.3 通过境外开源代码或模型构建 GAI 导致的数据出境.131.3.4 跨境外包服务导致的数据出境.151.4 GAI 数据跨境流动安全风险.161.4.1 个人信息安全与隐私风险
6、.171.4.2 GAI 产业安全风险.171.4.3 国家安全与数字主权风险.202 我国 GAI 数据跨境流动监管与政策指引.222.1 我国数据跨境流动监管现状.222.1.1 法律规范:中国特色的数据跨境流动管理体系初步形成.222.1.2 行业管控:重点行业数据跨境的加强监管制度.232.1.3 合规性管理:本地化存储与基础设施建设.242.1.4 技术现状:技术支撑监管部门的安全评估和风险管理.242.2 我国数据跨境流动政策制定要素考量.252.2.1 数据安全和隐私保护要素.252.2.2 国家利益和数据主权要素.262.2.3 技术和产业优势要素.272.3 我国数据跨境流动
7、政策的现有不足.282.3.1 数据跨境流动管理的战略目标有待完善.282.3.2 数据合规与技术创新的难以平衡.292.3.3 数据保护重点尚未形成共识且数据治理能力不均衡.293 GAI 数据跨境流动的治理机制.313.1 规范完善:优化 GAI 产业导向型的数据跨境流动监管制度体系.313.2 技术防控:构建全链路数据跨境风险防控范式.343.3 国际合作:基于互惠原则减少 GAI 数据跨境壁垒.364 结语.38参考文献.3911GAI 产业发展与数据跨境流动风险分析1GAI 产业发展与数据跨境流动风险分析1.1 GAI 产业发展现状与竞争态势数据的流通和应用密切依赖于具体的使用场景,
8、因此,在探讨 GAI 产业的数据跨境流动时,必须深入分析数据使用的具体场域。以 GAI 产业为研究视角,本白皮书将从全球产业分布格局、主要国家的竞争态势、产业细分领域以及发展趋势等多个维度,对 GAI 产业的发展现状进行全面剖析。通过这一分析,旨在深入揭示 GAI 产业在全球范围内的布局和竞争态势,进而为理解 GAI 数据跨境流动的实际场景提供理论依据。首先,全球 GAI 产业的发展呈现出多样化的趋势,各国在技术创新、政策支持和产业生态建设方面表现出不同的特点。其次,GAI 产业的竞争态势在不同国家和地区间存在显著差异,特别是中美两国在技术、投资和市场占有率上的主导地位,深刻影响了全球产业链的
9、布局与发展。此外,GAI 产业的细分领域,如生成模型、自然语言处理、图像生成等,随着技术的不断进步,正在经历快速发展,并且不同细分领域的应用场景和技术要求也各不相同,这对跨境数据流动带来了不同的挑战与机遇。通过对这些维度的分析,能够更加全面地把握 GAI 产业的整体发展脉络,为理解数据跨境流动的需求、场景和风险提供重要的背景支持。1.1.1GAI 产业的全球格局根据国际权威统计平台的最新数据,全球 GAI 产业规模近年来保持高速增长,特别是在中美两国的带动下。目前,行业预测显示,全球 GAI 市场正在迅速增长,GAI 市场的市场规模预计将在 2024 年达到 360.6 亿美元。预计市场规模的
10、年增长率(2024-2030 年复合年增长率)为 46.47%,到 2030 年市场规2模将达到 3561 亿美元。1(详见图 1)这种高速增长在很大程度上得益于中美两国的引领,美国和中国在开发和部署 GAI 技术方面主导着市场投资、技术创新和人工智能基础设施。尽管欧洲、日本和韩国等经济体在 GAI 技术的研发和应用上不断增加投入,但与中美在产业规模和技术水平上仍存在显著差距。欧洲在数据治理和隐私保护方面处于领先地位,出台了严格的数据保护政策(如欧盟颁布的通用数据保护条例(General Data Protection Regulation,以下简称“GDPR”),其在智能交通和可持续能源等领
11、域也取得了一定进展。然而,从整体产业规模来看,GAI 的全球布局主要集中在少数发达经济体,这也意味着全球 GAI 产业的资源和创新能力分布不均,需要通过国际合作和技术转让等方式,促进全球范围内的产业均衡发展。图 1:全球 GAI 市场规模估算图31.1.2GAI 产业的竞争态势中美两国在 GAI 领域处于领先地位,各有其优势和差异。中国在 GAI 应用场景的开发和覆盖方面具有显著优势;而美国在 GAI 的底层技术和基础设施等方面深耕已久,目前仍处于领先地位,通过两者的优势互补更好地促进 GAI 的应用。针对中国而言,在 GAI 应用创新层面,得益于强劲的政策支持、广泛的应用场景以及庞大的市场规
12、模,中国的 GAI 应用场景的使用率已显著增加。根据AITOP100 发布的数据,中国在 2023 年在 AI 应用场景的开发和覆盖方面具有显著优势,应用领域广泛,涵盖了生产和生活的多个方面,这与中国在电子商务(如阿里巴巴的生成式 AI)、金融科技(如蚂蚁集团的 AI 系统)和数字内容生成(如百度的文心一言、腾讯 AI Lab)等领域的快速发展密切相关。2同样在 IBM 发布的2023 年全球 AI 采用指数中,中国企业在部署 AI 方面较为积极,尤其是在提高自动化、优化业务流程等方面采取了更多行动,使 AI 的实际应用率大幅提升。3另外,中国在政策支持上持续加码,如新一代人工智能发展规划鼓励
13、 AI 技术在实际场景中的推广,这极大促进了 GAI 在商业领域的渗透。而美国在 GAI 的底层技术和基础设施方面具有明显优势,得益于其先进的计算资源(如微软 Azure、谷歌 TPU)、顶尖的研发团队(如 OpenAI、谷歌DeepMind),以及开放的创新环境,美国的 GAI 技术始终保持全球前沿。此外,美国的 GAI 公司依托成熟的数据治理和隐私保护框架,在智能家居、联网汽车等细分领域保持稳定增长。根据行业统计,与全球相比,最大的市场规模将在美国(2024 年为 116.6 亿美元)。(详见图 2)4从技术投入到应用实践,中美两国展现出不同的优势与互补性,中国在应用场景中领先,而美国在基
14、础研发方面占优。这种差异为未来的跨境合作提供了可能性,但也因为数据隐私和安全要求,增加了竞争的不确定性。二者的互补性也预示了未来在全球数据跨境流动中的深度合作与竞争。图 2:全球 GAI 市场规模比较图1.1.3GAI 产业的细分领域根据国家的经济基础、政策导向和技术积累,不同国家在 GAI 产业的细分领域发展存在较大差异。中美两国在 GAI 的不同细分行业中各具优势。中国在电子商务(eCommerce)、金融科技(FinTech)和数字媒体(Digital Media)领域表现尤为突出。庞大的用户市场和丰富的数据积累为中国 GAI 在这些应用领域的领先地位提供了支撑。例如,阿里巴巴、字节跳动
15、和腾讯等公司在数字营销5和电商领域运用 GAI 的自然语言处理和用户行为预测技术,有效提高了个性化推荐的精准度。同时,中国的金融科技公司充分利用 GAI 推动智能客服、风险管理和信用评分的发展,使得 GAI 在该领域的使用率和精确度大幅提升。反观国外,美国在智能家居(Smart Home)、联网汽车(Connected Car)和电子服务(E-Services)等领域占据领先地位。亚马逊 Alexa 和谷歌 Nest 等智能家居产品广泛应用了 GAI,涵盖语音识别和家居环境控制等功能。美国在智能网联汽车领域的领导地位也十分显著,以特斯拉和 Waymo 为代表的公司在自动驾驶方面应用了 GAI
16、的深度学习和图像识别技术。得益于较为完善的数据治理和隐私保护制度,美国在电子服务领域的数据应用和技术创新同样具备领先优势,同时在数据治理和隐私保护方面走在全球前列,GAI 在智能交通和可持续能源领域的应用成效显著。欧盟的 GAI 技术在解决社会治理和环保问题方面具备独特优势,尤其是在减少碳排放和提高交通安全性方面的应用。例如,欧洲多个智能城市项目在交通管理中使用 GAI 优化公共交通路线,减少拥堵,并且在可再生能源预测和分配领域也获得积极成效。总体来看,美国在基础设施上持续发展,保证了 GAI 在不同领域的均衡扩展;而中国则在市场需求驱动下,在特定行业快速崛起。此外,日本和韩国等国家虽在特定领
17、域(如制造业和机器人技术)保持一定竞争力,但整体规模仍与中美存在较大差距。1.2 GAI 数据跨境流动的必要性分析随着人工智能技术的飞速发展和全球经济一体化进程的不断加深,生成式人工智能(GAI)技术在全球范围内的应用以及相关数据流动变得愈加频繁。随着技术创新的不断推进,数据跨境流动的必要性愈发凸显,这不仅是技术发展的内6在需求,也是全球经济数字化转型的重要组成部分。基于本白皮书前期的实证调研与研究成果,我们认为,GAI 数据的跨境流动具有多方面的必要性。具体而言,GAI 数据跨境流动的必要性可以从多个维度进行分析与阐述。首先,从企业行业角度来看,随着跨国企业在全球范围内开展业务,数据流动成为
18、支撑其业务创新、优化和全球战略布局的关键因素;其次,从相关市场与产业的角度来看,GAI技术的全球竞争格局推动了数据在不同国家和地区之间的流动,尤其是在新兴市场与发达市场之间,数据流动对产业发展至关重要。再者,从执法监管的角度出发,随着 GAI 应用日益广泛,跨境数据流动对国际间监管协作与合规要求的挑战日益增多,如何平衡数据流动与数据保护的需求已成为全球各国亟需解决的问题。此外,国家战略层面上,各国在制定人工智能和数字经济发展战略时,越来越依赖于数据作为战略资源的跨境流动,以提升国家在全球科技创新和经济竞争中的地位。最后,国际合作方面,随着全球数字经济的日益融合,国际间的数据合作与政策协调成为促
19、进 GAI 技术创新与应用推广的重要手段,推动数据流动的国际协调与监管机制建设显得尤为重要。7图 3:GAI 数据跨境流动需求全图景结合该需求全图景,数据跨境流动需求维度具体展开如下:1.2.1企业行业数据跨境需求以数据作为主要业务驱动或者采用互联网等作为主要业务模式的行业、抑或是跨国业务往来中,数据跨境需求量极大。以电子商务和金融科技领域为例,其业务模式主要依托于各种数字化技术的组合应用,而 GAI 作为高效提能的主要技术之一,其应用需求飙升。企业需要对大量用户数据进行分析,以实现业务驱动、决策支撑等功能,主要包含个性化推荐和欺诈检测等使用场景。这些行业跨境数据需求旺盛,但却容易受制于法规为
20、代表的监管制度影响。例如,字节跳动的 TikTok 业务涉及大量的用户生成内容,受到美国、欧盟等地区隐私保护法规的高度关注,要求其本地存储数据并遵循特定的数据保护协议。这些法规不仅增加了数据传输的复杂性,还影响了 GAI 模型训练和更新的效率。81.2.2新兴市场与产业发展需求一方面,对于东南亚、非洲等新兴市场而言,GAI 数据跨境流动的法律体系尚不健全,监管政策灵活性较高,反而为企业提供了更大的市场发展空间。中国和美国的 GAI 企业(如腾讯和亚马逊)在这些市场的布局较为活跃,但同时也推动了这些国家逐渐加强数据保护立法。对于 GAI 企业而言,新兴市场既是拓展应用的理想场所,也逐渐成为新的法
21、律合规风险地带。另一方面,值得一提的是,国际规则制定权往往是大国的权利,一国的经济实力在很大程度上决定其在国际规则制定中的话语权。然而,随着当前世界经济呈多极化发展,新兴经济体以及众多发展中国家都在利用先进科技来发展本国经济,随着新兴经济体和发展中国家经济水平和科学技术的提高,其在国际规则制定中的话语权也在逐渐提高。4目前在跨境数据流动尚未达成国际统一规则的背景下,新兴经济体在保障数据安全的前提下,往往采取宽松的国内政策,此时对于 GAI 企业而言抓住机遇,借助人工智能等新兴技术大力发展数字经济既是新的契机,同时也存在新的法律合规风险点。1.2.3执法监管跨国数据流动需求国家主权作为我国整体安
22、全管控的最高要求,其延伸出网络安全、数据主权、隐私安全保障的本质内涵需求。安全管控是执法监管机构在安全领域内的第一职责要义,而执法监管手段和路径,尤其是跨国证据的调取需要依托电子数据的获取。以美国为例,其通过 2018 年 3 月 23 日所签署生效的澄清域外合法使用数据法案赋予美国政府在特定情况下调取境外数据的权力。5通过制定美国所属的数据处理者的本地化存储义务来实现执法机构调取跨国数据,从而实质性地达到长臂管辖的延伸。由此所见,美国系采取国内法的方式确立了域外数据执法权。9而我国关于数据调取的境外执法活动秉持“公对公”理念,依托于国际条约、司法协定以及平等互惠原则来实现,极易受到政治、经济
23、以及外交政策等外部因素干扰,域外执法体制灵活性不足,跨国数据调取活动存在一定障碍。与此同时,如何在不同的法域体系下更有效地对跨国数据流动进行执法监管,同样值得关注。在跨国数据流动方面,欧盟和美国等地区展现出不同的治理路径。欧盟采取分类分级分主体理念,重点关注训练数据透明度,而美国则对公开可得个人信息持积极利用态度,探索公共数据收集豁免。我国在保持人工智能产业发展和安全监管之间的平衡方面,需要推进产业促进政策法制化,坚持包容审慎和分类分级监管立法导向,合理构建起我国 GAI 训练数据的数据治理体系。这些措施对于确保跨国数据流动的合规性和安全性至关重要,同时也促进了 GAI技术的健康发展和应用。1
24、.2.4我国新型全球化战略导向需求数字经济的全球化发展使数据跨境传输不可避免,为在人工智能时代背景下适应世界数字经济新形势,支持数据跨境自由流动以推动中国数字经济的发展,提高中国在世界数字贸易中的竞争力,我国进一步扩大开放与“一带一路”倡议,推动合作共赢的新型全球化战略。我国所采用的“共赢”经贸战略导向,推动数据跨境需求的快速且持续性增长。扩展开放政策意味着更多数据将跨境流动,包括外资企业的数据输出、中资企业的跨境数据流动等。随着“一带一路”倡议向贸易、互联网等数据密集型行业扩展,签订的双边和多边经贸协议以及与“一带一路”国家的密切合作,推动了数据的持续跨境流动。101.2.5国际合作与地区间
25、政策协调需求尽管全球数据保护法律差异巨大,GAI 应用的技术特性决定了跨国合作的必要性。例如,GAI 在医学成像、智能交通等领域的应用往往需要多个国家之间的数据共享。美国与欧盟、日本等国签署的数据传输协议为这些领域的跨境数据流动提供了一定的支持。然而,中国由于数据主权的要求,在此类合作上面临更多挑战,因此很多中国 GAI 企业采用双层架构的方式,即在海外市场使用本地化的数据存储和计算,以实现合规。随着各国对 GAI 应用的需求增长,跨境数据流动的政策协调可能在未来成为新的趋势。1.3 GAI 数据跨境流动场景在 GAI 领域,数据的跨境流动已逐渐成为企业运营和数据管理中极为重要的一环。由于 G
26、AI 模型训练和应用的计算资源需求庞大,国内企业往往依赖境外的先进计算资源和模型,这种依赖使得数据跨境流动成为常态。在法律上,跨境数据流动是指数据从一个司法管辖区转移到另一个,或在转移后意图再转移的行为。6GAI 的基础研究发轫于美国,近年来,美国在 GAI 大模型研发上始终占据主导地位,而我国的 GAI 大模型厂商则更多扮演着追随者的角色。囿于基础模型研发和训练所需投入的高昂成本以及技术壁垒,国内厂商在 GAI 大模型构建方面通常采取调用境外开源模型或境外算力资源等策略,结合自有行业数据或采购外部行业数据来进行模型训练和优化。这种依赖外部技术资源的发展模式,决定了我国 GAI 数据跨境流动蕴
27、藏着巨大风险。7此外,个人信息法规定,关键信息基础设施运营者和处理大量个人信息的主体,若未通过国家网信部门的安全评估而向境外提供个人信息,将受到处罚。8随着全球化的数据依赖和技术协作日趋紧密,GAI 企业在跨境数据传输过程中面临着严峻的挑战,包括数据安全、隐私保护、以及各国法律的多重管辖。具体来说,GAI 跨境数据流动的场景11涉及算力调用、外包服务、国际市场需求,以及开源平台的利用等方面,且每种场景都伴随着不同的合规性和安全性要求。GAI 开发者或部署者如何识别数据跨境流动的不同场景,并采取针对性措施规避风险,已成为 GAI 产业发展进程中亟待解决的重大课题,也是 GAI 治理体系构建中不可
28、回避的重要议题。以下将从几个主要场景分析跨境数据流动的具体情况及其潜在风险。图 4:GAI 数据跨境流动场景图1.3.1跨境调用算力导致数据出境算力调用成为 GAI 跨境数据流动的核心动因之一。GAI 跨境调用算力是指GAI 开发者或部署者基于特定目的,利用境外计算资源支持 GAI 应用,例如模型训练、内容生成或其他复杂计算任务。9随着 GAI 模型的复杂度和计算需求的提升,国内算力资源难以完全满足大规模模型的训练需求,因此部分国内企业选12择跨境调用境外的算力资源。具体来说,当本地计算资源无法满足运营需求或出于成本、性能等方面的考量时,GAI 开发者或部署者会选择境外更具优势的算力资源来满足
29、运营需求,从而引发数据的跨境流动。在上述例子中,数据和任务发起方位于中国,而计算资源位于美国,构成了典型的数据跨境流动。这种数据跨境流动贯穿多个环节:一是数据传输和通信,GAI 开发者或部署者需要将用于训练或生成内容的原始数据或模型参数等信息从本地传输到境外服务器。10二是数据预处理和特征工程。数据到达境外服务器后,需要进行数据清洗、格式转换、特征提取等预处理操作。11三是模型训练和调优,这是 GAI 最核心的环节,需要利用境外强大的算力资源对模型进行训练和优化,过程中模型会不断读取并调整数据参数。四是结果存储和调用,训练好的模型或生成的内容可能会存储在境外服务器上以便后续调用或提供服务。综上
30、可知,数据是 GAI 的“原料”,而算力则是加工这些“原料”的“工厂”,要在境外的“工厂”进行高效生产,就必须把“原料”运输过去。跨境调用境外算力资源的背后是复杂的产业发展现状和地缘政治因素的交织。一方面,国内 GAI 产业链的基础设施,尤其是芯片技术和云计算平台,与国际先进水平仍有差距。另一方面,美国近年来出台了一系列政策措施限制高性能 AI 芯片对华出口,例如 2022 年 10 月,美国商务部工业和安全局(BIS)出台针对中国的先进芯片及芯片制造设备出口管制新规,严格限制了 Nvidia A100、H100 等高性能 AI 芯片对华出口。12此外,美国还联合日本、荷兰等盟友,进一步加强对
31、华芯片出口管制。这些政策措施无疑加剧了国内 GAI 开发者或部署者面临的算力困境,促使我国企业更多地考虑跨境调用境外算力的可行性。然而,跨境调用境外算力并非解决 GAI 算力困境的“万全之策”,其本身蕴含数据泄露13和滥用等风险。部分国家制定了一系列域外效力条款,试图将其国内法延伸适用于境外,赋予其政府机构未经其他国家授权的情况即可直接获取存储于境外服务器上的数据的权力,这将对我国数据安全构成严重威胁。1.3.2跨境调用 GAI 服务或产品导致数据出境跨境调用 GAI 服务或产品是另一种常见的数据出境方式。跨境调用 GAI 服务或产品是指 GAI 部署者通过网络调用位于其他国家或地区的 GAI
32、 内容审核、数据标注或模型资源等服务或产品,进行 GAI 大模型的部署和搭建。调用模型资源包括调用应用程序编程接口(API)、访问云服务平台、获取模型开源代码等。13GAI 部署者无论是将内容审核、数据标注等服务交付给其他国家或地区的GAI 服务支持者,抑或是在调用 API 接口或使用云服务平台进行 GAI 模型训练或推理时,都涉及数据跨境流动问题。具体而言,进行内容审核、数据标注以及调用 API 接口,数据需传输至位于境外的 GAI 服务支持者进行处理,并在处理完成后回传至调用方;14在使用云服务平台的情况下,数据则需上传并存储至境外的云服务器上,并在其提供的 GAI 大模型上进行训练或推理
33、。在这两种情形下,数据处理行为发生在境外服务器上,构成数据跨境流动。特别是在使用云服务平台的情况下,中国公司的数据可能会被存储在境外服务器上,即使数据处理完成后被删除,也依然存在数据跨境的风险,需遵守中国及数据接收地的相关法律法规,并采取必要措施保障数据安全。1.3.3通过境外开源代码或模型构建 GAI 导致的数据出境在通过境外开源代码或模型构建 GAI 的过程中,许多企业因使用开源资源而面临潜在的数据跨境流动合规性风险。全球范围内的开源平台(如 GitHub、14Hugging Face 等)提供了丰富的 GAI 模型和代码,帮助企业便捷地获取技术资源,加速本地化开发和部署。然而,开源代码和
34、模型托管在境外服务器上,存在数据跨境传输的隐患,尤其是当模型需要数据回传或日志上传时,这种隐患更加明显。以大语言模型(如 GPT 系列模型)的使用为例,这类模型通常在训练和优化过程中需要持续获取用户输入的数据,以进行进一步的参数调整。某些开源项目会设计自动回传功能,使得用户的输入数据被定期上传到境外的服务器,以提升模型性能。例如,一些开源平台上的 GAI 工具会记录用户交互数据,以改进生成内容的质量。这种数据传输如果不加以管控,可能导致用户隐私数据或商业敏感信息被传送到国外服务器,增加了数据泄露和滥用的风险。此外,国内企业在使用开源平台提供的 GAI 模型和代码时,可能因忽视数据收集功能而导致
35、合规问题。例如,GitHub 等平台上开源的自动化文本生成模型可能包含内置的“数据日志回传”机制,企业如果未进行充分的代码审查和调试,可能在不知情的情况下触发数据出境。这一问题在数据隐私和安全法规较为严格的国家或地区(如欧洲)尤为严峻,尤其是在涉及 GDPR 的背景下,数据跨境流动需要得到严格的授权和保护。假如企业未对开源代码中的数据回传机制进行充分审查,可能会导致用户数据未经同意便被传至欧洲境外,面临 GDPR的高额罚款风险,最高可达全球营业额的 4%或 2000 万欧元,具体取较高者。15为了规避这一风险,企业应在利用开源代码和模型时严格执行合规性审查流程。首先,企业可以对开源代码进行代码
36、分析,以识别潜在的数据收集和回传功能。例如,利用代码审计工具(如 SonarQube、Snyk 等)检测代码中的 API 调用和数据传输行为。其次,企业在部署 GAI 模型前应对代码的每一部分进行充分测试,并在数据回传机制上引入数据加密和匿名化处理。例如,可以通过本地15化的数据存储替代境外存储方式,或在不影响模型性能的前提下,设置数据上传时的严格加密措施,确保数据在传输过程中不会被截获。此外,企业可以参考特定的开源项目合规标准,如开放链(OpenChain)规范,来识别和评估项目中的风险,以确保跨境数据流动的安全性。1.3.4跨境外包服务导致的数据出境跨境外包服务也是数据跨境流动的重要场景之
37、一,尤其是在 GAI 应用开发中,数据清洗、模型训练、数据标注等环节时常外包给境外的第三方服务商。这种模式固然能降低企业的开发成本,但也增加了数据流动的合规性挑战。以近年来的一些数据泄露事件为例,印度、菲律宾等国家曾多次发生因外包服务商缺乏完善的数据安全措施,导致大量敏感信息泄露的情况。例如,2022 年在印度发生的一起案件中,某外包服务商在处理客户数据时未采取适当的保护措施,导致数百万用户的个人信息被泄露。16这一事件不仅引发了印度政府的监管关注,也促使多国安全部门联手追踪泄露源头,最终揭示了跨境外包中数据保护的漏洞。以数据清洗和标注服务为例,通常涉及大量用户数据或商业敏感信息的传输。某些外
38、包商可能将数据存储在不具备严格安全标准的境外服务器上,数据未经充分保护,可能因法律法规不完善而被不当获取或利用。如果企业未能与外包方签订清晰的数据保护协议(DPA),一旦数据在外包过程中泄露,企业将面临法律风险和声誉损失。因此,国内 GAI 企业在选择跨境外包服务时,应优先选择具有较高数据保护能力的供应商,并确保外包协议中包含数据保护条款。企业还可采取数据加密与脱敏技术,确保数据在传输与处理过程中的安全性。数据加密是一种将敏感信息转化为密文的技术手段,可防止数据在未经授权的情况下被读取。数据脱敏则通过掩盖或替换关键数据,使得即便数据被截获也16难以利用。通过这样的方式,企业可以有效减少外包服务
39、过程中数据泄露的风险。此外,企业还可以参考 ISO/IEC 27001 等国际数据安全标准,建立健全的数据保护体系,以提升跨境数据处理的合规性和安全性。1.4 GAI 数据跨境流动安全风险在全球经济数字化转型浪潮的推动下,数据跨境流动已成为数字经济发展的重要动能,为各国经贸联系和文化交流提供了新的路径。然而,与传统数据跨境流动相比,GAI 技术应用的数据规模与速度、以及全球数据监管的碎片化等多重因素相结合,使 GAI 数据跨境流动呈现出复杂性和隐蔽性等特征。此外,GAI数据跨境流动不受国家边界与市场边界限制的特性加剧了治理困境。17数据的最终起源和目的地往往是一个技术问题,数据可以同时存在于多
40、个地方,并在几秒钟内跨司法管辖区转移,通常没有明确的转移路径记录,18使得数据流的跟踪和监控变得更为复杂且困难。这一局面带来了显著的法律风险,包括数据主权、国家安全、GAI 产业危机以及数据隐私等方面的问题。如何在利用 GAI 技术推动数字经济发展的同时,有效监管和保护跨境数据流动中的敏感信息,已成为各国立法和监管机构面临的重大挑战,尤其是在新兴市场,GAI 企业需要密切关注当地法规的变化,确保其业务遵守当地的数据保护法律,同时也要把握数字化进程中的发展机遇,以实现可持续的增长。中国是全球数字贸易与跨境流动的重要参与国,2021 年,中国的数据跨境流动量约占全球的 23%,预计到 2025 年
41、将占 27.8%,皆位居全球之首。19随着GAI 服务技术支持者的技术能力不断提高,GAI 服务提供者的应用场景不断泛化,数据跨境流动愈发频繁,数据跨境传导路径变得更为复杂,数据安全风险也呈指数性上升。171.4.1个人信息安全与隐私风险在 GAI 数据跨境场景下,个人信息在不同国家和地区间流动,个人隐私泄露风险显著增加。目前,国内多数 GAI 服务提供者都需要以接入 GAI 服务技术支持者的 API 接口或利用 GAI 服务技术支持者的深度学习等模型的方式提供GAI 服务,而相关 GAI 服务技术支持者的服务器多在海外,服务器交换数据过程中就存在数据跨境流动的安全风险。个人信息保护法数据安全
42、法等法规皆难以调整 GAI 数据出境的全部情形,不对颗粒度进行细化可能造成对数据跨境流动的保护滞后。另外,相关 GAI 服务提供者在获取用户授权参与个人数据的跨境传输时,对哪些数据以及数据加工的程度等内容尚不明确,可能存在用户数据泄露风险。由于数据跨境传输的用户端口呈现点状分布,一旦用户信息进入 GAI 平台系统,平台的信息受众体量将会规模式增长,任何用户均可以对信息进行再加工和再传播,导致潜在的侵权行为不断滋生,并且面临跨国流动的局面。同时,GAI 服务提供者在数据跨境流动过程中,可能利用监管套利,选择对个人信息保护力度较弱的国家或地区存储和处理数据,从而规避更严格的监管要求。数据跨境流动本
43、身的复杂性和隐蔽性也增加了监管的复杂性和难度,20导致个人隐私保护面临着“三不管”的窘境。1.4.2GAI 产业安全风险GAI 产业安全风险可分为 GAI 开发者或部署者自身的产业风险与受 GAI 发展影响的相关企业的产业风险。GAI 开发者或部署者的产业风险可从“硬实力”和“软实力”两个维度进行解析。“硬实力”体现为 GAI 服务提供者自身抵御风险的技术能力。在数据跨境传输过程中,由于传输链路延展,暴露的风险面也随之增加。涉及到终端设备、通信链路、数据库、应用系统以及开放 API 等环节,都18存在潜在的网络攻击面,可能面临数据泄露、篡改或破坏的风险。21例如,在数据传输阶段,网络攻击者可能
44、尝试通过中间人攻击、数据包嗅探等手段拦截、窃取或篡改数据传输过程中的信息,从而获取敏感信息或破坏数据的完整性。在数据存储阶段,企业在境外数据中心存储数据,可能面临数据泄露或未经授权的访问等风险,黑客可能通过各种手段获取存储在服务器上的数据。22在数据处理阶段,若在境外服务器上进行数据处理时,可能受到恶意软件、DDoS 攻击等网络攻击,导致数据处理过程中断或数据被篡改。此外,在服务部署方面,GAI 开发者或部署者需要防范因地缘政治博弈导致的产业变化。例如,2024 年 6 月 25 日,Open AI 发信告知中国用户,将从 7 月 9 号开始阻止中国地区的 API 流量23。面对地缘政治博弈下
45、的数据合规风险,GAI 开发者或部署者在制定数据处理和传输策略时,不仅要考虑不同国家和地区的法律法规要求,更要密切关注地缘政治变化可能带来的潜在风险,积极探索有效的合规路径,以规避潜在的法律冲突和政治风险。“软实力”则涵盖 GAI 开发者或部署者对数据资源的掌控能力以及合规运营能力。一方面,海量数据资源是 GAI 大模型训练和迭代升级的核心要素,企业对数据资源的掌控程度直接决定其在 GAI 产业发展中的主动权和话语权,在数据跨境流动中需要加大对数据资源的控制权与处理权的关注。另一方面,合规运营是企业业务连续性的基石。GAI 开发者或部署者在跨境传输数据时,需要遵守各国的数据保护法规和隐私政策,
46、如 GDPR、加州消费者隐私法案(CaliforniaConsumer Privacy Act,以下简称“CCPA”)等。任何违反相关监管要求的行为都将面临监管机构的调查,企业可能遭受通报批评、巨额罚款、停业整顿等行政处罚,影响企业品牌形象和市场声誉。随着 GAI 技术的快速发展,各国不断出台19和修订 GAI 数据跨境传输的相关法规政策,以应对人工智能和大数据技术带来的新挑战,如欧盟法院无效化隐私盾牌后推出新的欧美数据隐私框架,迫使 GAI 开发者或部署者在提供跨境服务时能欧频繁、快速调整其数据处理和传输策略,符合各国的合规要求。此外,GAI 模型的训练和部署往往需要跨越多个司法辖区进行海量
47、数据的收集、处理和存储,这使得 GAI 数据跨境流动面临着数据管辖权冲突的合规困境。对于 GAI 开发者或部署者而言,如果其数据中心分布在全球多个国家,就不可避免地会受到数据管辖权冲突的影响,进而影响其全球战略布局和业务开展。面对不同国家执法部门的数据访问要求,如果缺乏国家之间相互承认和协助机制,GAI 开发者或部署者可能陷入“遵守一国法律就会违反另一国法律”的两难境地,增加了合规风险和成本,甚至可能面临法律制裁。此外,数据本地化要求将导致 GAI 产业面临“数据碎片化”的风险。为了满足不同国家的数据主权要求,GAI 开发者或部署者可能被迫将数据存储在数据产生地,导致数据分散在全球各地,形成“
48、数据孤岛”。这不仅增加了数据管理和运营的成本,更重要的是,数据碎片化将限制 GAI 模型对全球数据的学习和训练,影响 GAI 大模型的泛化能力、适用性和准确性,最终阻碍 GAI 技术的创新和发展,不利于 GAI 技术红利的充分释放。GAI 显著增加了数据跨境流动中信息泄露的风险,除了可能导致用户隐私泄露外,还可能引发企业商业秘密的非法公开。与传统的数据传输不同,GAI 能够大规模加工和迅速传播信息,并且技术上支持信息在全球范围内的传输,这使得GAI 客观上可能成为信息侵权甚至犯罪行为的工具。对企业而言,一旦商业秘密被非法公开,可能导致竞争优势的丧失,因此商业秘密通常不会在数据跨境流动20中涉及
49、。然而,GAI 平台通过频繁的人机互动和强大的数据抓取能力,使商业秘密信息的留痕和非法传输变得可能,从而给企业的发展带来实际利益损失。1.4.3国家安全与数字主权风险GAI 平台极大降低了信息跨境传输的成本,其训练和爬取的数据样本来自全球各地。然而,这些数据样本大多基于西方主流价值观念,使得 GAI 参与跨境流动的数据合理性难以保证,具备政治偏见的虚假信息跨境传播将具备更为明显的破坏力,甚至可能引发舆情危机。24如果这些数据是非公开且涉及国家或公共利益的,则可能引发国家安全风险。数据跨境流动在极大提升跨国协作效率的同时,也带来了数据主权、国家安全以及数据监管等诸多问题。25GAI 数据跨境传输
50、已上升为关乎国家安全和战略利益的核心议题。GAI 对海量数据的依赖性,使得数据跨境流动中潜藏着国家安全和数字主权风险,这两者交织叠加,形成双重挑战。GAI 大模型的训练和应用依赖于海量数据。中国作为数据创造和消费的大国,在企业生产、政务服务、社会民生等领域掌握了海量的公共数据、企业数据以及个人数据,其中可能包含国家机密、敏感信息以及公民个人隐私等重要数据,具有极高的战略价值。若这些数据在跨境流动过程中遭遇泄露、篡改或丢失,将对国家信息安全和国家利益造成难以估量的损害。以 ChatGPT 为例,其用户的个人信息以及后续对应用提出的问题都会被传输到美国的 OpenAI 公司,可能被用于商业化乃至政
51、治化利用。26若我国用户所提的问题涉及国家安全、公共健康和安全等方面的重要数据,一旦这些数据在跨境流动过程中发生泄露,将对国家信息安全构成直接威胁,成为国家安全体系中的“断点”。另一方面,GAI 数据的跨境传输可能导致大量本国数据流向其他国家或地区的数据中心,形成数据资21源的单向流动,削弱本国的数字主权,削弱国家对数字空间的控制能力,出现国家数据控制权的“稀释”现象。27222我国 GAI 数据跨境流动监管与政策指引2我国 GAI 数据跨境流动监管与政策指引2.1 我国数据跨境流动监管现状2.1.1法律规范:中国特色的数据跨境流动管理体系初步形成近年来,我国数据跨境流动管理的政策体系正加速构
52、建与完善。2017 年 中华人民共和国网络安全法首次规定了数据出境的安全评估制度,开启了跨境数据安全与数据监管的序章。2021 年,中华人民共和国数据安全法中华人民共和国个人信息保护法形成了数据分类分级管理框架,为数据跨境流动管理提供了法律依据。2022 年,数据出境安全评估办法(以下简称“评估办法”)明确了数据出境安全评估的三类适用场景以及安全评估流程、步骤、所需文件等,这也意味着,三部法顶层架构结合该评估办法,促使数据跨境流动的安全评估制度的具体指引落地,也为相关监管提供明确依据。而对于多方利益并存的个人信息,相关出境需求快速增长,个人信息权益保护面临较大挑战。2023 年,个人信息出境标
53、准合同办法(以下简称“标准合同办法”)详细规定了若个人信息出境采用“标准合同”途径下的具体要求,包括适用范围、订立条件和备案要求,其“附件”还列出了标准合同的基本条款,将法律规范转化为合同规则。标准合同办法与评估办法互为补充、互相衔接,进一步完善了个人信息出境管理制度。结合数据出境安全管理工作实际,2024 年促进和规范数据跨境流动规定落地,立足发展与安全的理念,该规定适当放宽数据跨境流动条件,适度收窄数据出境安全评估范围。23图 5:我国数据跨境流动的法律规范体系图总言之,目前我国已形成数据分类分级管理的顶层设计框架,就数据跨境流动具体实施路径采取数据出境安全评估、个人信息出境标准合同和个人
54、信息保护认证三个方式,中国特色的数据跨境流动管理体系基本形成。28值得关注的是,目前我国对于 GAI 数据跨境场景的特殊性并未做出专门性的制度回应。2.1.2行业管控:重点行业数据跨境的加强监管制度2.1.2行业管控:重点行业数据跨境的加强监管制度行业数据出境管理的初步实践主要集中在关键信息基础设施领域,如金融和信息通信服务领域。各行业已出台相应的规定,明确数据存储是否需要限定在境内、数据的保存期限以及是否允许数据出境等内容。例如,中国人民银行在关于银行业金融机构做好个人金融信息保护工作的通知中明确要求,银行收集的个人金融信息必须在境内存储、处理和分析,除法律法规明确规定外,不得向境外提供个人
55、金融信息。类似地,交通运输部与工信部等七部门联合发布的网络预约出租汽车经营服务管理暂行办法 要求网约车平台将所采集的个人信息和生24成的数据存储在中国,并且保留至少两年。此外,法律法规如人口健康信息管理办法(试行)和保险公司开业验收指引也明确了数据本地化的相关要求。2.1.3合规性管理:本地化存储与基础设施建设2.1.3合规性管理:本地化存储与基础设施建设随着全球范围内的数据保护立法不断强化,企业在跨境数据传输方面不得不建立合规的基础设施。例如,GDPR 要求非欧盟国家的企业在处理欧洲用户数据时,必须遵循严格的数据保护标准。这导致微软、亚马逊等科技巨头在欧盟建立本地化的数据中心,以避免跨境传输
56、带来的合规风险。同样,中国的数据安全法和个人信息保护法对 GAI 数据的跨境传输也提出了限制,这促使中国企业在海外部署本地化的服务器和存储,以应对多国法规的复杂性。通过这种方式,产业在基础设施层面响应了各国的法律法规要求。2.1.4 技术现状:技术支撑监管部门的安全评估和风险管理随着我国数据跨境传输政策框架的逐步完善,相关技术手段的应用也不断发展。国内企业和监管部门积极采用数据加密、隐私计算、区块链等先进技术,以确保跨境数据传输的安全性和合规性。特别是在 GAI 和个人信息处理领域,企业和机构利用加密技术保障数据在传输过程中的完整性与隐私,防止数据被篡改或泄露。隐私计算技术已逐步应用于跨境数据
57、流动中,通过对数据进行加密处理,实现在不暴露原始数据的前提下进行数据分析和处理,从而进一步增强了数据的安全性。此外,区块链技术在数据跨境传输过程中,提供了数据来源的可追溯性和不可篡改性,有效增强了监管部门对数据跨境活动的可视化监控和审计能力。国内技术企业也在持续推动基于数据沙箱和多方计算的跨境数据合规解决方案。这些技术支持各国监管部门对跨境数据流动进行全面的安全评估与风险管25理,不仅提升了数据传输过程中的合规性,也为我国在国际数据治理中提供了更多的话语权和竞争力。2.2 我国数据跨境流动政策制定要素考量数据跨境流动政策是数据跨境流动管控中的主要制度和依据,作为一项长效机制,该政策制定与优化的
58、决策过程中需要考量诸多复杂因素。本白皮书结合我国在跨境数据流动中面临的机遇、威胁、优势和劣势,试以提出制衡、影响政策制定以及优化的主要决策因素,结合决策因素探讨我国数据跨境流动的环境和实际能力,为后续数据跨境流动政策制度优化提供基础,以及为后续治理路径探讨做指引。图 6:数据跨境流动政策制定要素维度图2.2.1数据安全和隐私保护要素数据安全和隐私保护是跨境数据相关监管和治理决策中的首要因素。数据安全威胁泛化导致数据跨境流动风险复杂化。在数据跨境流动的过程中,数据安全面临着更为复杂的威胁。一方面,各国的数据保护标准不统一,导致数据从高保26护水平国家流入低保护水平国家时,流出国用户的权益在数据跨
59、境转移后难以得到保障,执法与救济存在明显障碍。另一方面,各国关键信息基础设施和重要机构所承载的大量敏感数据具有巨大的国家安全战略价值。例如,控制石油、天然气管道、交通、电力、银行和金融等领域的网络系统产生的大数据,对于国家安全至关重要。这些敏感数据在跨境传输过程中面临不可控的风险,因此,各国需在国家层面加强数据安全和监管能力,确保跨境数据流动的安全性。各国在制定数据跨境流动制度时,首要考虑的是数据和个人信息的安全问题。例如,GDPR对数据保护有着严格的规定,而美国的数据处理也受到电子通信隐私法等法律的约束。2.2.2国家利益和数据主权要素维护国家利益、保障数据主权是跨境数据相关监管和治理决策中
60、的核心因素。国家利益由安全、政治、经济、文化四个相关关联的利益所共同构成,指导着我国的对外政策和行为。其一,数据跨境流动政策应在安全底线上满足对外贸易往来的需求,“一带一路”倡议框架是中国经济政策导向和趋向,基于此,主导构建新型的全球数字经济规则和数据治理体系,推动新的多边合作机制的发展是我国的主要需求。其二,制度与监管体系的完善有助于提升我国数据保护的国际政治形象。我国的数据保护制度曾因不健全而受到国际社会的批评,尤其在欧盟和亚太经合组织(APEC)的研究报告中指出,中国在个人数据保护方面的水平尚无法满足国际标准,影响了跨境数据流动的国际合作。然而,随着我国的数据保护法律体系正逐步完善。同时
61、,监管部门如国家网信办和公安部也在积极落实隐私政策评审、违法数据处理行为的约谈及专项整治等措施。这些进展有助于改善我国的数据保护形象,为开展数据跨境流动的国际合作奠定了基础。27围绕数据主权的战略博弈呈现泛化趋势。随着数据全球化的不断推进,数据主权(Data Sovereignty)成为各国日益关注的议题。相比于领土、人口等传统的国家主权管辖对象,数据主权具有更大的复杂性。其一,数据的天然流动性要求各国在行使数据主权时,必然需要与其他国家进行权利交换和权力妥协。如果过于强调对本国数据资源的绝对控制,将会导致数据流动停滞,甚至可能导致网络空间的分裂,从而最终危及本国的数据主权。其二,数据主权的博
62、弈已不再局限于个人权利和产业竞争,逐渐扩展到国家安全和公共安全领域。各类政治集团、行业巨头、权利组织等纷纷介入,从不同角度对跨境数据流动施加非技术性要求,使得跨境数据流动问题愈加复杂。其三,国际法规则的不完善及各国法律差异的存在,导致数据主权管辖边界容易出现重叠与冲突。最后,各国在数据主权保障方面的能力存在显著不对称。美国在网络空间基础资源和技术产业的主导地位,形成了对其他国家数据主权保障能力的现实压制。即便斯诺登事件后各国高度重视数据安全技术和产业发展,全球数据主权保障能力不均衡的现状依然存在。2.2.3技术和产业优势要素技术和产业优势是跨境数据相关监管和治理决策中的现实因素。新一轮技术革命
63、改变数据流动逻辑,为我国提升全球产业价值链中的地位提供机遇。随着智能时代的到来,5G、物联网、大数据、云计算和人工智能等领域的技术进步正在改变数据流动的底层逻辑,同时也将推动全球产业格局的革命。我国产业在这些技术领域积累了深厚的创新能力,具有通过技术创新提升全球产业价值链地位的潜力。因此,我国在构建跨境数据流动规则时,应充分考虑新技术变革带来的产业升级机会,并在全球竞争中占据有利地位。28我国数据经济产业增速显著,具有明显优势。中国拥有全球最大的互联网用户群体和移动互联网用户数,在网络化、智能化、平台化的采购、生产、营销等各个环节,越来越多的中国企业开始进行深入布局,已经成为名副其实的“世界数
64、据中心”。在数据应用方面,阿里巴巴的 DT 战略、腾讯的“大数据连接的未来”和百度的“中国大脑”战略,均围绕数据驱动进行了布局。同时,随着互联网产业O2O(线上到线下)趋势的发展,中国互联网企业的业务逐步延伸至金融、保险、旅游、健康、教育、交通等多个行业,极大地丰富了其数据来源并推动了数据分析技术的发展。这些举措不仅巩固了中国互联网企业在大数据领域的领先地位,还扩大了大数据分析在各行业的应用空间。另一方面,需要考虑以美国为首的西方发达国家贸易保护主义障碍,随着中国等新兴大国科技水平的快速提升,西方发达国家对于其在全球价值链中的地位愈发感到焦虑,尤其是在高端技术领域的超额利润受到威胁。这种焦虑使
65、得美国加强了新兴技术出口管制和外国投资审查,实施“推定否定”的出口政策,原则上不允许技术出口,并将多家中国企业列入出口管制实体清单,从而阻碍了中国通过正常经贸活动获取有价值的技术数据。同时,欧盟对数据保护的高标准要求,也增加了中国企业获取欧盟公民数据的门槛,进一步加剧了跨境数据流动的阻碍。2.3 我国数据跨境流动政策的现有不足2.3.1数据跨境流动管理的战略目标有待完善当前,我国现有的跨境数据流动管理政策主要侧重于国家安全和执法便利等因素,未来亟需从推动我国企业全球化发展的战略目标出发,提供更加多样化的机制选择,以支持数字贸易活动的正常开展。首先,个人数据和重要数据涉及的法律不同,面临的安全风
66、险也存在差异,跨境数据监管手段应做出区分,而非仅29依赖本地化存储这一单一路径。其次,尽管监管机构提出了数据本地化的要求,但未完全禁止数据出境,当前缺乏明确的程序性规定来确定数据出境的必要条件。第三,重要数据的定义尚不清晰,数据跨境流动的评估方法仍不成熟,导致企业在操作过程中存在困难,效率和效果也难以适应快速变化的实际需求。2.3.2数据合规与技术创新的难以平衡数据跨境流动风险系数增加、相关监管的多重要求促使跨境数据流动成本提高,阻碍系数加大。如何在数据跨境流动中促进安全与发展的平衡,是各国政策制定需要持续考虑的难点问题。结合域外实践来看,美国在数据治理和隐私保护体系上相对完善,使得 GAI
67、技术在智能家居和联网汽车等敏感领域的发展相对平稳。然而,美国在跨境数据流通中仍然面临平衡难度,当面向欧盟境内流通时,GDPR 的要求,许多美国企业在其跨境数据传输过程中需要满足 GDPR 的相关要求,采取额外的安全措施,如数据加密和匿名化,限制了其技术活力和后续应用的创新性。2.3.3数据保护重点尚未形成共识且数据治理能力不均衡我国的数据保护监管仍处于初步阶段,除了针对数据黑灰产的打击外,如何明确数据保护的重点,避免影响企业正常经营活动中的数据使用,仍需要形成社会共识。目前,许多企事业单位在数据治理方面存在明显不足,违规收集用户数据、缺乏必要的数据安全防护措施、滥用甚至非法买卖用户数据、发生大
68、规模数据泄露等事件时有发生。这些问题严重侵犯了用户隐私和数据权利。一些组织缺乏基本的数据保护意识,也未配备专业的数据管理人才;而另一些组织虽已初步认识到数据安全的重要性,但缺乏良好的数据治理能力,难以将其转化为竞争优势;更有企业意识到数据资源的价值,却为追求商业利益而滥用技术,侵犯用户30隐私。由于数据保护重点尚未形成共识,且社会各界的数据治理能力不均衡,这直接影响了我国整体数据保护能力的提升。313GAI 数据跨境流动的治理机制3GAI 数据跨境流动的治理机制GAI 展现出的巨大潜力已毋庸置疑。如何在促进 GAI 产业发展与保障数据安全、国家安全之间寻求最佳平衡点,已成为一个亟待解决的关键议
69、题。在 GAI时代,数据跨境流动涉及个人隐私、企业利益以及国家安全等多方面的考量,形成了一种复杂的利益博弈格局。为了应对这一挑战,中国积极参与全球治理规则的制定,并先后于 2020 年和 2023 年发布了全球数据安全倡议和全球人工智能治理倡议。这些倡议旨在促进全球数字经济与人工智能产业的健康发展,并呼吁加强国际合作,反对任何形式的技术霸权和技术壁垒的人为制造。然而,将这些倡议转化为具体的治理实践仍需从制度、规则、执法、技术等多个维度进行建设,提出切实可行的措施。通过这些努力,我们可以期望在全球范围内实现更加公平、开放且安全的数据流通环境,从而支持 GAI 产业的可持续发展。3.1 规范完善:
70、优化 GAI 产业导向型的数据跨境流动监管制度体系2024 年 3 月,国家互联网信息办发布了规定,进一步细化了企业数据出境的合规标准和操作规范。然而,GAI 的颠覆性特征对数据跨境流动管理提出了新的挑战。规定作为现阶段的重要制度基石,仍需结合 GAI 的特征进行优化和完善。为充分把握住数字时代的经济脉络,参与数字经济格局新秩序的竞争与合作,我国仍应继续在当前 GAI 法律规制体系29下,沿着规定的脉络,完善 GAI 数据跨境流动管理制度。首先,应秉持“数据跨境自由流动为原则,限制流动为例外”30的理念,完善数据出境安全评估制度。GAI 数据跨境流动呈现出规模化、高频次、复杂化等新特征,对安全
71、评估的精准性和差异化提出了更高要求。在充分考量 GAI 技术应用带来的新风险的基础上,构建全面、系统的评估体系,对数据跨境流动的目的、范围、安全风险等进行综合研判,制定精准化、差异化的安全防护措施,提升32GAI 数据跨境流动安全治理的科学性和有效性。在此过程中,亟需解决当前关键信息基础设施、重要数据范围界定过宽的问题,厘清重要数据的范围,以明确我国 GAI 数据跨境流动的“负面清单”。此外,数据作为无形资产其跨境流动也应像有形资产一样,设立“数据海关”进行管理,征收“跨境税费”,打击数据走私。通过“数据海关”,不仅可以有效管理数据跨境流动,还能保护重要数据,确保数据安全有序地流动。其次,应以
72、提升效率为导向,优化个人信息跨境传输机制。个人信息跨境传输是 GAI 数据跨境流动的重要组成部分。规定在个人信息跨境传输方面做出了原则性规定,但仍需进一步细化。一方面,应简化个别信息出境标准合同和保护认证的流程,使个人信息跨境传输的过程更加高效,同时要明确监管制度安全评估、标准合同和认证的适用范围和功能定位,确保这些措施在逻辑上相互协调和补充。31另一方面,应积极探索多元化的数据出境途径,例如设置标准合同模板、数据处理者的保护能力认证、允许例外事项在特定条件下豁免某些数据出境要求等,以平衡个人信息保护与 GAI 数据跨境流动的关系。再次,应积极应对 GAI 数据跨境技术监管的复杂性和执法资源的
73、稀缺性挑战,建立政企协同、多方参与的数据跨境治理机制。据世界贸易组织(WTO)统计,2020 年至 2022 年,全球跨境数据流动规模增长 120.6%,面对这一增长,监管绝不能“一刀切”,应面向产业链特性,建立政府主导、多方参与的数据分级分类监管机制32,以缓解执法压力。传统的以政府为主导、自上而下的监管模式在 GAI 领域面临着诸多挑战。一方面,GAI 数据跨境流动呈现出规模化、高频次、复杂化的特征,传统的“一刀切”监管模式难以适应其动态变化,精准化监管能力不足。另一方面,执法资源的有限性与 GAI 数据跨境监管的专业性要求之33间存在巨大鸿沟,导致监管效能低下。事实上,这种执法资源紧张的
74、困境在全球范围内普遍存在。以欧盟为例,在 GDPR 的一致性机制下,爱尔兰数据保护委员会(DPC)因辖区内大量科技巨头设立欧洲总部而成为事实上的主导机构,33但其人力和物力资源的匮乏导致大量案件积压。34在此背景下,构建以“精准化”和“协同化”为核心的 GAI 数据跨境治理机制尤为重要。这种机制应面向 GAI 产业链特性,明晰 GAI 产业链各主体的数据安全责任,形成全流程、全链条的数据安全保障体系。同时,私营部门应在数据跨境治理中发挥重要作用,推动形成政府监管与行业自律良性互动的格局。一方面,主导 GAI 革命的科技公司拥有丰富的技术经验和数据资源,可以为数据跨境治理提供宝贵的意见和建议,参
75、与制定行业自律规范,引导行业健康发展。另一方面,执法部门与 GAI 开发者或部署者之间的数据共享与合作,有助于提升跨境数据安全风险识别和预警能力,及时发现和制止违法数据跨境行为。最后,秉持开放合作的态度,推进 GAI 数据跨境流动规则的国际协调。各国在 GAI 伦理和数据安全等方面的立法差异,以及地缘政治等因素,都增加了国际规则协调的难度。但 GAI 数据跨境流动带来的共同挑战,也促使各国加强合作,寻求共识,共同制定更加普惠、平衡、共赢的全球数据治理规则。我国网络安全法数据安全法个人信息保护法明确了积极“参与数据安全相关国际规则和标准的制定”的开放理念,但鉴于中国在已签署的区域贸易协定中为跨境
76、数据流动中的国家基本安全利益设置了例外条款,这与国际高标准贸易协定中推行跨境数据自由流动的条款存在一定的差距。对此,我国应积极参与数据跨境流动国际规则的制定,在维护国家数据主权和安全的前提下,积极寻求与国际规则的衔接点,推动形成更加普惠、平衡、共赢的全球数据治理规则。同时,应34做好国内制度与国际规则的衔接工作,通过合理、全面的法律解释,消除潜在冲突,逐步实现法律规制的趋同。例如,在关键核心问题上,可以通过文义解释、目的解释等方式,阐释中国相关制度的立法目的、原则和精神,消除与国际规则可能存在的分歧,寻求最大限度的规则协调。3.2 技术防控:构建全链路数据跨境风险防控范式GAI 数据跨境安全治
77、理面临的挑战,不仅是技术迭代带来的挑战升级,更是技术发展与既有监管模式之间结构性矛盾的集中体现。例如,数据跨境流动的高度动态性与传统边境管控的静态性之间的冲突,GAI 技术的复杂性与传统执法手段的局限性之间的冲突等。为应对这些挑战,必须重视技术赋能,夯实数据基础设施建设,在网络基础设施、算力基础设施、政务数据一体化平台、公共数据授权运营平台、数据交易平台等方面进行超前布局。35将技术创新融入数据跨境治理的全过程,构建覆盖数据生命周期各个阶段(数据生成、存储、传输、处理、销毁)的全链路安全防御体系,实现对数据跨境流动的全程追踪、监管和风险防控。3635图 7:全链路数据跨境风险防控范式在数据安全
78、传输与存储方面,首先,针对 GAI 生成内容的数据体量和传输频率高的特点,应强制要求采用 HTTPS、TLS 等安全传输协议,并结合同态加密、代理重加密等隐私保护技术,37保障数据在传输过程中的机密性和完整性,降低被窃取或篡改的风险。其次,应推广应用高级加密标准(AES)等数据加密技术,对 GAI 生成内容进行加密保护,并结合数据分片、秘密共享等技术,分散数据存储风险。即使数据泄露,也能有效防止未授权访问,保障数据存储安全。最后,针对 GAI 应用对数据存储高可用性的需求,应利用分布式存储和冗余备份机制提高数据可靠性,并建立多区域容灾恢复系统,降低数据丢失风险,保障数据安全和业务连续性,提升数
79、据存储的韧性。在数据访问控制与审计层面,一方面,针对 GAI 应用中数据使用者和访问场景多元化的特点,实施更加严格的多因素身份验证机制,确保只有经过授权的用户才能访问和处理敏感数据与重要数据。结合人工智能技术,建立精细化、动态的访问控制策略,例如基于用户行为分析的异常访问检测,根据用户角色、权限、访问时间、地点、内容等多维度因素动态调整访问权限,防止未授权访问和数据泄露,构建更加智能化的访问控制体系。38另一方面,针对 GAI 生成内容的海量性和复杂性,建立更加全面、细致的审计和日志记录系统,记录数据访问、修改、传输等关键操作,并利用人工智能技术对海量日志数据进行分析,及时发现异常行为,提升数
80、据安全事件的可追溯性,为违法行为的调查取证提供技术支撑,为数据安全事件的追责提供依据。39通过技术手段实现对数据跨境流动生命周期的全程追踪和监管,能够有效提升数据跨境流动安全风险防范能力。40然而,构建安全有序的 GAI 数据跨境流36动秩序,仅凭技术手段难以达成。积极参与 GAI 数据跨境相关技术标准的制定,成为规避技术鸿沟向国际规范和标准制定领域蔓延、避免话语权失衡的关键路径。此外,随着国家话语权的提升以及 GAI 相关技术水平的增强,我国 GAI 产业应加大研发投入,开发自主可控的 GAI 大模型,以防范地缘政治导致的业务中断和技术调整。3.3 国际合作:基于互惠原则减少 GAI 数据跨
81、境壁垒在全球经济动荡的当下,建立全球范围内的数据跨境安全共识,以建立公正、开放、包容的全球人工智能生态,显得更加重要。互惠原则作为国际关系和国际法的基本原则,在协调跨境数据流动规则、促进数据安全有序流动方面,能够发挥重要的作用。互惠原则在跨境数据流动领域的实践,体现为相互尊重和执行彼此的数据保护法,确保数据跨境流动的国家或地区之间具备相似或等同的个人信息保护水平,以保障个人信息在跨境转移时得到与原籍国相当的保护。例如,韩国个人信息保护法便引入了互惠原则,规范个人信息跨境流动。41当韩国的企业或组织希望将个人信息传输到外国时,必须确保接收个人信息的国家或地区具有充分的个人信息保护水平。韩国个人信
82、息保护法要求在进行跨境数据传输前,企业或组织需要获得必要的批准,并告知信息主体。互惠原则的另一实践路径,是通过签订双边或多边协议,以确保跨境数据传输的安全性。例如,经济合作与发展组织(OECD)关于保护隐私和个人数据跨境流动的指导方针通过协调隐私立法、强化国际合作、推广基本保护原则、实施适当保护措施以及保障数据主体权利等方式,确保成员国在跨境数据流动过程中能够相互支持,保护个人数据不因跨境流动而失去保护。372024 年 6 月 26 日,中德双方共同签署了关于中德数据跨境流动合作的谅解备忘录,建立“中德数据政策法规交流”对话机制,加强在数据跨境流动议题上的交流,为两国企业营造公平、公正、非歧
83、视的营商环境。这一举措进一步体现了互惠原则在国际数据合作中的重要性。与韩国等国家与地区实施的“同等保护”标准不同,我国数据安全法个人信息保护法等相关法律对重要数据、个人信息等跨境流动采取“一事一议”的出境安全评估措施,尚未将互惠原则纳入国际数据跨境流动治理体系。为应对GAI 时代数据跨境流动带来的挑战,推动构建更加公平、合理、透明的国际规则体系,我国应考虑将互惠原则融入到相关的数据跨境法规中,推动形成公平竞争、合作共赢的国际化数据跨境合作新模式。在确保数据安全的同时,开展数据交互、业务互通、监管互认、服务共享等方面国际交流合作,鼓励国内外 GAI 相关企业及组织依法依规开展数据跨境流动业务合作
84、。互惠协作所提供的确定性鼓励了对数据保护技术的投资,投资者更可能为具有明确国际数据使用法律框架的项目提供资金。我国可基于互惠原则,利用北京“两区”、上海自贸区、海南自贸港、粤港澳大湾区等区域的制度创新优势,开展跨境数据流动试点,42形成数据跨境规则的特区或“创新和数据监管沙盒”,在容错机制环境下探索建立数据跨境流动的正面清单或负面清单,既能便利中国企业的数据“走出去”,也能让外国企业的数据“走进来”,为全球数据跨境流动规则的制定提供“中国方案”。例如,北京“两区”正在策划建设数字贸易港,希望实现与欧盟之间数据跨境流动的特殊安排,为全球数字经济发展注入新动能。384结语4结语在数字时代的浪潮中,
85、GAI 数据跨境安全治理是一场攻坚战、持久战。面对GAI 技术带来的机遇与挑战,监管部门应当立足职能职责,强化风险意识,创新监管思路,完善监管手段,在法治轨道上推动 GAI 产业健康有序发展,在 GAI 数据跨境安全治理中发挥关键作用,这既是维护国家安全和公民权益的必然要求,也是推动 GAI 产业健康发展的必由之路。监管部门需要以对 GAI 技术发展规律的洞察力、对数据安全形势的判断力、对法律法规的运用力,不断提升监管效能,为 GAI 数据跨境活动织就一张严密的安全防护网。通过构建严谨的审查体系、创新监管手段、强化重点领域监管,监管部门要确保每一条跨境数据链路都在监管之下,每一个潜在风险点都得
86、到有效管控。同时,监管部门还应充分发挥兜底监管职能,积极构建多方参与的协同治理格局。通过制定行业标准、搭建政企交流平台等方式,引导 GAI 企业提升合规意识,推动行业自律,营造良性健康的发展生态。加强与其他监管部门的协同联动,形成监管合力,确保 GAI 数据跨境安全治理的系统性和有效性。GAI 数据跨境安全治理是一项复杂的系统工程,这不仅关乎国家安全和公民权益的保障,更关乎我国在数字经济时代的国际地位和话语权。本白皮书深入研究了 GAI 数据跨境的需求、场景、风险、法律法规及国际监管经验等重要内容,旨在构建 GAI 数据跨境治理的理论框架和实践路径,在促进 GAI 技术的可持续发展的同时维护国
87、家数据主权。希望本白皮书能为推动 GAI 数据跨境安全治理贡献绵薄之力,为建设数字中国、科技强国奠定坚实基础!39参考文献1 参见 Statista 网站,https:/ 年 11 月 29 日访问。2 2023 中国 AI 应用场景 AITOP100 榜单,载 AI TOP100 2023 年 10 月 9 日,https:/ 发布2023 年全球 AI 采用指数:生成式 AI 最快产生影响的企业用例IT 自动化、数字劳动力、客服,载 IBM 2024 年 1 与 16 日,https:/ 翁国民、宋丽:数据跨境传输的法律规制,载浙江大学学报(人文社会科学版)2020 年第 2 期。5 廖斌
88、、刘敏娴:数据主权冲突下的跨境电子数据取证研究,载法学杂志2021 年第 8 期。6 姚旭:欧盟跨境数据流动治理:平衡自由流动与规制保护,上海人民出版社 2019 年版。7 张夏恒、马妍:生成式人工智能技术赋能新质生产力涌现:价值意蕴、运行机理与实践路径,载电子政务2024 年第 4 期。8 个人信息保护法第 40 条、第 60 条。9 蔡荣伟、斯响俊、杨杰:AIGC 数据跨境的法律监管和合规路径,载“中伦律师事务所”2023 年 10 月 26 日,https:/ 程冠杰、邓水光、温盈盈、严学强、赵明宇:基于区块链的物联网认证机制综述,载软件学报2023 年第 3 期。11 朱秀梅、林晓玥、
89、王天东、苗淑娟:数据价值化:研究评述与展望,载外国经济与管理2023 年第 12 期。12 U.S.Department of Commerce,Bureau of Industry and Security(BIS),New Export Controls on Advanced Computing and Semiconductor Manufacturing Items to the Peoples Republic of China(PRC),Oct 7 2022,https:/www.bis.doc.gov/index.php/policy-guidance/advanced-com
90、puting-and-semiconductor-manufacturing-items-controls-to-prc.13 人工智能 2.0:全景透视 GAI 的法律挑战与合规路径,载“中伦律师事务所”2023 年 12 月 17 日,https:/ 宋士杰、赵宇翔、朱庆华:从 ELIZA 到 ChatGPT:人智交互体验中的 AI 生成内容(GAI)可信度评价,载情报资料工作2023 年第 4 期。15 See EU GDPR Article 83.16Top 10 Data Breaches in India:Exposing the Nations Struggle With Cyb
91、ercrime in 2022-2023,载 thecyberexpress2023 年 9 月 20 日,https:/ 陈颖、薛澜:全球跨境数据流动治理的演进与趋势,载国际经济合作2024 年第 2 期。18 Yuntao Wang et al,A Survey on ChatGPT:AIGenerated Contents,Challenges,and Solutions,4 IEEE Open Journal of the Computer Society 280,2023.19 王晓红:中国数据跨境流动量 2025 年或将位居全球之首,载中新经纬 2022年 8 月 29 日,htt
92、p:/ 钭晓东:论生成式人工智能的数据安全风险及回应型治理,载东方法学2023 年第 5 期。21 鲁传颖、章时雨:东盟数字地缘政治的战略构想与实施路径,载南洋问题研究2024 年第 1 期。4022 郭小东:生成式人工智能的风险及其包容性法律治理,载北京理工大学学报(社会科学版)2023 年第 6 期。23 Identifying API Keys with Traffic from Unsupported Regions,https:/community.o- 孙那、鲍一鸣:生成式人工智能的科技安全风险与防范,载陕西师范大学学报(哲学社会科学版)2024 年第 1 期。25 洪永淼、张明、
93、刘颖:推动跨境数据安全有序流动 引领数字经济全球化发展,载中国科学院院刊2022 年第 10 期。26 王大志、张挺:风险、困境与对策:生成式人工智能带来的个人信息安全挑战与法律规制,载昆明理工大学学报社会科学版2023 年第 5 期。27 冯晓青:数字经济时代数据产权结构及其制度构建,载比较法研究2023年第 6 期。28 数据跨境流动的中国方案我国推动数据跨境安全有序自由流动述评,载中国网信2024 年第 5 期。29 生成式人工智能法律体系包括网络安全法数据安全法个人信息保护法以及互联网信息服务算法推荐管理规定互联网信息服务深度合成管理规定生成式人工智能服务管理暂行办法等。30 张倩雯:
94、数据跨境流动之国际投资协定例外条款的规制,载法学2021 年第 5 期。31 蔡宇姬:数据出境的界定及监管制度,载中国政法大学学报2023 年第 3期。32 宋华盛、周建军:跨境数据流动监管难题及应对之策,载国家治理2024年第 7 期。33 See EU GDPR Recital 124.34 Center for Strategic and International Studies:3 Years Later:Ana analysis of GDPR Enforcement,CSIS,(13 Sept,2021),https:/www.csis.org/blogs/strategic-t
95、echnologies-blog/3-years-later-analysis-gdpr-enforcement.35 张茜茜、涂群:国家数据要素化总体框架环节六:数据流通交易与跨境流动(之五),载“交大评论”2024 年 6 月 23 日,https:/ 陈兵:因应我国规制数据垄断面临的挑战,载数字法治2024 年第 2 期。37 伍高飞等:云数据安全去重技术研究综述,载密码学报2023 年第 6 期。38 杨建军:数字治理的法治进路,载比较法研究2023 年第 5 期。39 宋华盛、周建军:跨境数据流动监管难题及应对之策,载国家治理2024年第 7 期。40 杨蕾:论跨境数据泄露通知制度的规范逻辑与实践逻辑交互,载北京理工大学学报(社会科学版)2023 年第 5 期。41 卡内基国际和平基金会:韩国数据治理方式:世界在线率最高国家如何打造第三条道路,郑乐峰译,载信息安全与通信保密2021 年第 12 期。42 李宏兵、柴范、翟瑞瑞:跨境数据流动的全球态势、规则比较与中国策略,载国际经济合作2023 年第 6 期。