随着人工智能技术的飞速发展和全球经济一体化进程的不断加深,生成式人工智能(GAI)技术在全球范围内的应用以及相关数据流动变得愈加频繁。数据跨境流动的必要性愈发凸显,这不仅是技术发展的内在需求,也是全球经济数字化转型的重要组成部分。
《生成式人工智能数据跨境流动风险与治理白皮书》基于现有监管体系的分析,借鉴国际立法与监管经验,评估我国跨境数据流动的现有监管框架,并提出具体的政策优化建议,以期为 GAI 数据跨境流动的监管与治理提供理论依据与实践指导,促进 GAI 产业的健康可持续发展。
一、GAI 数据跨境流动的必要性分析
首先,从企业行业角度来看,随着跨国企业在全球范围内开展业务,数据流动成为支撑其业务创新、优化和全球战略布局的关键因素;其次,从相关市场与产业的角度来看,GAI技术的全球竞争格局推动了数据在不同国家和地区之间的流动,尤其是在新兴市场与发达市场之间,数据流动对产业发展至关重要。
再者,从执法监管的角度出发,随着 GAI 应用日益广泛,跨境数据流动对国际间监管协作与合规要求的挑战日益增多,如何平衡数据流动与数据保护的需求已成为全球各国亟需解决的问题。
此外,国家战略层面上,各国在制定人工智能和数字经济发展战略时,越来越依赖于数据作为战略资源的跨境流动,以提升国家在全球科技创新和经济竞争中的地位。最后,国际合作方面,随着全球数字经济的日益融合,国际间的数据合作与政策协调成为促进 GAI 技术创新与应用推广的重要手段,推动数据流动的国际协调与监管机制建设显得尤为重要。
图 1:GAI 数据跨境流动需求全图景
- 企业行业数据跨境需求:企业对大量用户数据进行分析,以实现业务驱动、决策支撑等功能,主要包含个性化推荐和欺诈检测等使用场景。
- 新兴市场与产业发展需求:新兴市场对GAI数据跨境流动的法律体系尚不健全,监管政策灵活性较高,为企业提供了更大的市场发展空间。
- 执法监管跨国数据流动需求:国家主权作为我国整体安全管控的最高要求,其延伸出网络安全、数据主权、隐私安全保障的本质内涵需求。
- 我国新型全球化战略导向需求:数字经济的全球化发展使数据跨境传输不可避免,为在人工智能时代背景下适应世界数字经济新形势,支持数据跨境自由流动以推动中国数字经济的发展。
- 国际合作与地区间政策协调需求:GAI应用的技术特性决定了跨国合作的必要性,例如,GAI在医学成像、智能交通等领域的应用往往需要多个国家之间的数据共享。
二、GAI 数据跨境流动场景
在 GAI 领域,数据的跨境流动已逐渐成为企业运营和数据管理中极为重要的一环。由于 GAI 模型训练和应用的计算资源需求庞大,国内企业往往依赖境外的先进计算资源和模型,这种依赖使得数据跨境流动成为常态。在法律上,跨境数据流动是指数据从一个司法管辖区转移到另一个,或在转移后意图再转移的行为。
GAI 的基础研究发轫于美国,近年来,美国在 GAI 大模型研发上始终占据主导地位,而我国的 GAI 大模型厂商则更多扮演着追随者的角色。囿于基础模型研发和训练所需投入的高昂成本以及技术壁垒,国内厂商在 GAI 大模型构建方面通常采取调用境外开源模型或境外算力资源等策略,结合自有行业数据或采购外部行业数据来进行模型训练和优化。这种依赖外部技术资源的发展模式,决定了我国 GAI 数据跨境流动蕴藏着巨大风险。
此外,《个人信息法》规定,关键信息基础设施运营者和处理大量个人信息的主体,若未通过国家网信部门的安全评估而向境外提供个人信息,将受到处罚。随着全球化的数据依赖和技术协作日趋紧密,GAI 企业在跨境数据传输过程中面临着严峻的挑战,包括数据安全、隐私保护、以及各国法律的多重管辖。
具体来说,GAI 跨境数据流动的场景涉及算力调用、外包服务、国际市场需求,以及开源平台的利用等方面,且每种场景都伴随着不同的合规性和安全性要求。GAI 开发者或部署者如何识别数据跨境流动的不同场景,并采取针对性措施规避风险,已成为 GAI 产业发展进程中亟待解决的重大课题,也是 GAI 治理体系构建中不可回避的重要议题。以下将从几个主要场景分析跨境数据流动的具体情况及其潜在风险。
图 2:GAI 数据跨境流动场景图
- 跨境调用算力导致数据出境:GAI开发者或部署者基于特定目的,利用境外计算资源支持GAI应用,例如模型训练、内容生成或其他复杂计算任务。
- 跨境调用GAI服务或产品导致数据出境:GAI部署者通过网络调用位于其他国家或地区的GAI内容审核、数据标注或模型资源等服务或产品,进行GAI大模型的部署和搭建。
- 通过境外开源代码或模型构建GAI导致的数据出境:企业在使用开源平台提供的GAI模型和代码时,可能因忽视数据收集功能而导致合规问题。
- 跨境外包服务导致的数据出境:GAI应用开发中,数据清洗、模型训练、数据标注等环节时常外包给境外的第三方服务商。
三、我国数据跨境流动管理体系初步形成
近年来,我国数据跨境流动管理的政策体系正加速构建与完善。2017 年《中华人民共和国网络安全法》首次规定了数据出境的安全评估制度,开启了跨境数据安全与数据监管的序章。2021 年,《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》形成了数据分类分级管理框架,为数据跨境流动管理提供了法律依据。
2022 年,《数据出境安全评估办法》(以下简称“《评估办法》”)明确了数据出境安全评估的三类适用场景以及安全评估流程、步骤、所需文件等,这也意味着,三部法顶层架构结合该《评估办法》,促使数据跨境流动的安全评估制度的具体指引落地,也为相关监管提供明确依据。
而对于多方利益并存的个人信息,相关出境需求快速增长,个人信息权益保护面临较大挑战。2023 年,《个人信息出境标准合同办法》(以下简称“《标准合同办法》”)详细规定了若个人信息出境采用“标准合同”途径下的具体要求,包括适用范围、订立条件和备案要求,其“附件”还列出了标准合同的基本条款,将法律规范转化为合同规则。
《标准合同办法》与《评估办法》互为补充、互相衔接,进一步完善了个人信息出境管理制度。结合数据出境安全管理工作实际,2024 年《促进和规范数据跨境流动规定》落地,立足发展与安全的理念,该《规定》适当放宽数据跨境流动条件,适度收窄数据出境安全评估范围。
图 3:我国数据跨境流动的法律规范体系图
总言之,目前我国已形成数据分类分级管理的顶层设计框架,就数据跨境流动具体实施路径采取数据出境安全评估、个人信息出境标准合同和个人信息保护认证三个方式,我国特色的数据跨境流动管理体系基本形成。值得关注的是,目前我国对于 GAI 数据跨境场景的特殊性并未做出专门性的制度回应。
当前,我国现有的跨境数据流动管理政策主要侧重于国家安全和执法便利等因素,未来亟需从推动我国企业全球化发展的战略目标出发,提供更加多样化的机制选择。数据跨境流动风险系数增加、相关监管的多重要求促使跨境数据流动成本提高,阻碍系数加大。我国的数据保护监管仍处于初步阶段,许多企事业单位在数据治理方面存在明显不足。
为此,我国数据跨境流动政策制定要素考量:
- 数据安全和隐私保护是跨境数据相关监管和治理决策中的首要因素。
- 维护国家利益、保障数据主权是跨境数据相关监管和治理决策中的核心因素。
- 技术和产业优势是跨境数据相关监管和治理决策中的现实因素。
四、构建全链路数据跨境风险防控范式
GAI 数据跨境安全治理面临的挑战,不仅是技术迭代带来的挑战升级,更是技术发展与既有监管模式之间结构性矛盾的集中体现。例如,数据跨境流动的高度动态性与传统边境管控的静态性之间的冲突,GAI 技术的复杂性与传统执法手段的局限性之间的冲突等。
为应对这些挑战,必须重视技术赋能,夯实数据基础设施建设,在网络基础设施、算力基础设施、政务数据一体化平台、公共数据授权运营平台、数据交易平台等方面进行超前布局。将技术创新融入数据跨境治理的全过程,构建覆盖数据生命周期各个阶段(数据生成、存储、传输、处理、销毁)的全链路安全防御体系,实现对数据跨境流动的全程追踪、监管和风险防控。
图 4:全链路数据跨境风险防控范式
在数据安全传输与存储方面,首先,针对 GAI 生成内容的数据体量和传输频率高的特点,应强制要求采用 HTTPS、TLS 等安全传输协议,并结合同态加密、代理重加密等隐私保护技术,保障数据在传输过程中的机密性和完整性,降低被窃取或篡改的风险。
其次,应推广应用高级加密标准(AES)等数据加密技术,对 GAI 生成内容进行加密保护,并结合数据分片、秘密共享等技术,分散数据存储风险。即使数据泄露,也能有效防止未授权访问,保障数据存储安全。最后,针对 GAI 应用对数据存储高可用性的需求,应利用分布式存储和冗余备份机制提高数据可靠性,并建立多区域容灾恢复系统,降低数据丢失风险,保障数据安全和业务连续性,提升数据存储的韧性。
在数据访问控制与审计层面,一方面,针对 GAI 应用中数据使用者和访问场景多元化的特点,实施更加严格的多因素身份验证机制,确保只有经过授权的用户才能访问和处理敏感数据与重要数据。结合人工智能技术,建立精细化、动态的访问控制策略,例如基于用户行为分析的异常访问检测,根据用户角色、权限、访问时间、地点、内容等多维度因素动态调整访问权限,防止未授权访问和数据泄露,构建更加智能化的访问控制体系。
另一方面,针对 GAI 生成内容的海量性和复杂性,建立更加全面、细致的审计和日志记录系统,记录数据访问、修改、传输等关键操作,并利用人工智能技术对海量日志数据进行分析,及时发现异常行为,提升数据安全事件的可追溯性,为违法行为的调查取证提供技术支撑,为数据安全事件的追责提供依据。
通过技术手段实现对数据跨境流动生命周期的全程追踪和监管,能够有效提升数据跨境流动安全风险防范能力。然而,构建安全有序的 GAI 数据跨境流动秩序,仅凭技术手段难以达成。积极参与 GAI 数据跨境相关技术标准的制定,成为规避技术鸿沟向国际规范和标准制定领域蔓延、避免话语权失衡的关键路径。此外,随着国家话语权的提升以及 GAI 相关技术水平的增强,我国 GAI 产业应加大研发投入,开发自主可控的 GAI 大模型,以防范地缘政治导致的业务中断和技术调整。
五、热点关注问题
问1:GAI数据跨境流动在新兴市场面临哪些具体的法律合规风险?
在新兴市场,GAI数据跨境流动面临的法律合规风险主要包括以下几个方面:
- 数据保护法规不健全:许多新兴市场的数据保护法规尚不完善,缺乏明确的数据跨境流动规则,导致企业在数据传输过程中面临不确定性和风险。
- 数据本地化要求:一些新兴市场要求数据本地化存储,这增加了企业的合规成本和管理复杂性。
- 隐私保护标准不一:不同新兴市场可能有不同的隐私保护标准,企业在跨境传输数据时需要确保符合所有相关标准,否则可能面临法律处罚。
- 监管政策变化:新兴市场的监管政策变化较快,企业需要密切关注政策变化,及时调整合规策略。
问2:GAI数据跨境流动在技术层面面临哪些挑战?
GAI数据跨境流动在技术层面面临的主要挑战包括:
- 数据安全:跨境数据传输过程中,数据安全风险显著增加,包括数据泄露、篡改和未经授权访问等。
- 隐私保护:如何在数据传输过程中保护用户隐私是一个重要挑战,尤其是在涉及敏感信息时。
- 技术复杂性:GAI技术的复杂性和数据流动的动态性要求企业在技术上具备更高的安全防护能力。
- 跨境合规性:不同国家和地区的数据保护法规和技术标准差异较大,企业在跨境传输数据时需要确保符合所有相关的技术要求。
问3:我国在GAI数据跨境流动监管方面有哪些具体的政策优化建议?
针对我国在GAI数据跨境流动监管方面的不足,可以提出以下政策优化建议:
- 完善数据出境安全评估制度:建立更加精准和差异化的安全评估体系,明确重要数据的范围,减少不必要的合规成本。
- 简化个人信息跨境传输流程:通过简化标准合同和保护认证的流程,提高个人信息跨境传输的效率。
- 加强国际合作与政策协调:积极参与国际数据治理规则的制定,推动形成更加公平、合理、透明的国际规则体系。
- 提升数据治理能力:加强对企事业单位的数据治理培训,提升整体数据保护能力和合规意识。
结语
GAI 数据跨境安全治理是一项复杂的系统工程,关乎国家安全和公民权益的保障,也关乎我国在数字经济时代的国际地位和话语权。白皮书通过深入研究GAI数据跨境的需求、场景、风险、法律法规及国际监管经验,旨在构建GAI数据跨境治理的理论框架和实践路径,推动 GAI 技术的可持续发展,维护国家数据主权。希望白皮书能为推动GAI数据跨境安全治理贡献绵薄之力,为建设数字中国、科技强国奠定坚实基础。
来源:《生成式人工智能数据跨境流动风险与治理白皮书》,公安部第三研究所数据安全技术研发中心,本篇针对全文结合生成式 AI 做出的核心摘要和解答,仅作为参考,请以原文为准。获取完整文档请在数治网微信公众号对话框内发送“250227”。
