生成式人工智能数据跨境流动风险与治理白皮书

1联网等数字技术的持续发展，数据密集型跨境活动已成为G一步揭示了跨境数据流动在全球人工智能产业中国与欧盟在“中欧高层数字对话”中就数据跨境流动与人工智能议题展开了专虽对GAI服务提供者的安全标准提出了明确要求，但未对GAI数据跨境流动问题提供具体指引。此外，2024年国家层定》在调整数据出境合规框架的同时，未能为GAI研发及应用场景提供更为细GAI数据跨境活动与现行法律体系之间仍存在较大差距，合规治理面临严峻挑2战，这可能进一步制约GAI产业的可持续发展。GAI相关主体在进行跨管经验，评估我国跨境数据流动的现有监管框架，并提出为GAI数据跨境流动的监管与治理提供理论依据3 11GAI产业发展与数据跨境流动风险分析 11.1GAI产业发展现状与竞争态势 1.1.1GAI产业的全球格局 1.1.2GAI产业的竞争态势 31.1.3GAI产业的细分领域 41.2GAI数据跨境流动的必要性分析 51.2.1企业行业数据跨境需求 71.2.2新兴市场与产业发展需求 81.2.3执法监管跨国数据流动需求 81.2.4我国新型全球化战略导向需求 91.2.5国际合作与地区间政策协调需求 101.3GAI数据跨境流动场景 1.3.1跨境调用算力导致数据出境 111.3.2跨境调用GAI服务或产品导致数据出境 131.3.3通过境外开源代码或模型构建GAI导致的数据出境 1.3.4跨境外包服务导致的数据出境 151.4GAI数据跨境流动安全风险 1.4.1个人信息安全与隐私风险 1.4.2GAI产业安全风险 1.4.3国家安全与数字主权风险 202我国GAI数据跨境流动监管与政策指引 222.1我国数据跨境流动监管现状 222.1.1法律规范：中国特色的数据跨境流动管理体系初步形成 222.1.2行业管控：重点行业数据跨境的加强监管制度 232.1.3合规性管理：本地化存储与基础设施建设 242.1.4技术现状：技术支撑监管部门的安全评估和风险管理 242.2我国数据跨境流动政策制定要素考量 252.2.1数据安全和隐私保护要素 252.2.2国家利益和数据主权要素 262.2.3技术和产业优势要素 272.3我国数据跨境流动政策的现有不足 282.3.1数据跨境流动管理的战略目标有待完善 282.3.2数据合规与技术创新的难以平衡 292.3.3数据保护重点尚未形成共识且数据治理能力不均衡 293GAI数据跨境流动的治理机制 313.1规范完善：优化GAI产业导向型的数据跨境流动监管制度体系 313.2技术防控：构建全链路数据跨境风险防控范式 343.3国际合作：基于互惠原则减少GAI数据跨境壁垒 364结语 38参考文献 3911.1GAI产业发展现状与竞争态势数据的流通和应用密切依赖于具体的使用场景，因此，在探讨GAI产业的深入揭示GAI产业在全球范围内的布局和竞争态势，进而为理解GAI数据跨境首先，全球GAI产业的发展呈现出多样化的趋通过对这些维度的分析，能够更加全面地把握GAI产业的整体发展脉络，根据国际权威统计平台的最新数据，全球GAI产业规模近年来保持高速增2两国的引领，美国和中国在开发和部署GAI技术方面主导着市场投资、技术创颁布的《通用数据保护条例》（GeneralDataProtectionRegulation，以下简称全球GAI产业的资源和创新能力分布不均，需要通过国际合作和技术转让等方3百度的文心一言、腾讯AILab）等领域的快速发计算资源（如微软Azure、谷歌TP美国的GAI公司依托成熟的数据治理和隐私保护框架，在智能家居、联网汽车4域表现尤为突出。庞大的用户市场和丰富的数据积累为中国GAI在这些应用领5管理和信用评分的发展，使得GAI在该领域的使用率和精确度大幅提升。反观表的公司在自动驾驶方面应用了GAI的通和可持续能源领域的应用成效显著。欧盟的GAI技术在解决社会治理和环保1.2GAI数据跨境流动的必要性分析6优化和全球战略布局的关键因素；其次，从相关市场与产业的角度来看，GAI合作与政策协调成为促进GAI技术创新与应用推广的重要手段，推动数据流动7业务模式主要依托于各种数字化技术的组合应用，而GAI作为高效提能的主要8和美国的GAI企业（如腾讯和亚马逊）在这些市场的9与此同时，如何在不同的法域体系下更有效地对跨国数据流动进行执法监互联网等数据密集型行业扩展，签订的双边和多边经贸协议以及与“一带一路”挑战，因此很多中国GAI企业采用双层架构的方式，即在海外市场使用本地化在GAI领域，数据的跨境流动已逐渐成为企业运营和数据管理中极为重要的一环。由于GAI模型训练和应用的计算资源需求庞大，国内企业往往依赖境据主导地位，而我国的GAI大模型厂商则更多扮演着追随者的角色。囿于基础模型研发和训练所需投入的高昂成本以及技术壁垒，国内厂商在GAI大模型构GAI开发者或部署者需要将用于训练或生成内容的原始数据或模型参数等信息跨境调用境外算力资源的背后是复杂的产业发展现状和地缘政治因素的交务或产品是指GAI部署者通过网络调用位于其GAI部署者无论是将内容审核、数据标注等服务交付给其他国家或地区的进行充分审查，可能会导致用户数据未经同意便被传至欧洲境外，面临GDPR用和数据传输行为。其次，企业在部署GAI模型前应对代码的每一部分进行充企业还可采取数据加密与脱敏技术，确保数据在传输与处理过程中的安全1.4GAI数据跨境流动安全风险GAI服务技术支持者的技术能力不断提高，GAI服务提供者的应用场景不断泛露风险显著增加。目前，国内多数GAI服务提供者都需要以接入GAI服务技术支持者的API接口或利用GAI服务技术支持者的深度学习等模型的方式提供规皆难以调整GAI数据出境的全部情形，不对颗粒度进展影响的相关企业的产业风险。GAI开发者或部署者的产业风险可从“硬实力”“软实力”则涵盖GAI开发者或部署者对数据资源的掌控能力以及合规运营对数据资源的掌控程度直接决定其在GAI产业发展中的主动权和话语各国的数据保护法规和隐私政策，如GDPR、加州消费者隐私法案(California罚，影响企业品牌形象和市场声誉。随着GAI技术的快速发展，各国和修订GAI数据跨境传输的相关法规政策，以应对人工智迫使GAI开发者或部署者在提供跨境服务时能欧频繁、快速调整其数据处理和个司法辖区进行海量数据的收集、处理和存储，这使得GAI数据跨境流动面临影响GAI大模型的泛化能力、适用性和准确性，最终阻碍GAI技术的创新和发球各地。然而，这些数据样本大多基于西方主流价值观念，使得境传输已上升为关乎国家安全和战略利益的核心议题。GAI对海量数据的依赖GAI大模型的训练和应用依赖于海量数据。中国作为数据创造和消费的大个人信息以及后续对应用提出的问题都会被传输到美国的OpenAI公司，可能被据安全与数据监管的序章。2021年，《中华人民共和国数据安全法》《中华人国内技术企业也在持续推动基于数据沙箱和多方计算的跨境数据合规解决维护国家利益、保障数据主权是跨境数据相关监管和治理决策中的核心因也增加了中国企业获取欧盟公民数据的门槛，进一步加剧了跨境数据流动的阻但未完全禁止数据出境，当前缺乏明确的程序性规定来确定数据出境的必要条体系上相对完善，使得GAI技术在智能家居和联网汽车等敏感领域的发展相对GAI展现出的巨大潜力已毋庸置疑。如何在促进GAI产业发展与保障数据更加公平、开放且安全的数据流通环境，从而3.1规范完善：优化GAI产业导向型的数据跨境流动监管制度体系完善GAI数据跨境流动管理制度。特征，对安全评估的精准性和差异化提出了更高要求。在充分考量GAI技术应输是GAI数据跨境流动的重要组成部分。《规定》在个人信息跨境传输方面做再次，应积极应对GAI数据跨境技术监管的复杂性和执法资源的稀缺性挑其人力和物力资源的匮乏导致大量案件积压。[34]在此背景下，构建以“精准化”业链特性，明晰GAI产业链各主体的数据安全责任，形成全流程、全链条的数成为规避技术鸿沟向国际规范和标准制定领域蔓延、避免话语权失衡的关键路3.3国际合作：基于互惠原则减少GAI数据跨境壁垒护法，确保数据跨境流动的国家或地区之间具备相似或等同的个人信息保护水人信息保护法》等相关法律对重要数据、个人信息等跨境流动采取“一事一议”方面国际交流合作，鼓励国内外GAI相关希望实现与欧盟之间数据跨境流动的特殊安排，为全球数字经济发展注入新动也是推动GAI产业健康发展的必由之路。监管部门需要以对GAI技术发展规律的参考文献[1]参见Statista网站，/outlook/tmo/artificial-intelligence/generative-ai/worldwide，2024年11月29日访问。[2]《2023中国AI应用场景AITOP100榜单》，载AITOP1002023年10月9日，https:///infomation/details?id=8181。[3]《IBM发布《2023年全球AI采用指数》：生成式AI最快产生影响的企业用例——IT自动化、数字劳动力、客服》，载IBM2024年1与16日，https://china.newsroom.ibm.com/2024-01-16-IBM-2023-AI-AI-IT。[4]翁国民、宋丽：《数据跨境传输的法律规制》，载《浙江大学学报（人文社会科学[5]廖斌、刘敏娴：《数据主权冲突下的跨境电子数据取证研究》，载《法学杂志》2021年第8期。[6]姚旭：《欧盟跨境数据流动治理：平衡自由流动与规制保护》，上海人民出版社2019年版。[7]张夏恒、马妍：《生成式人工智能技术赋能新质生产力涌现：价值意蕴、运行机理与实践路径》，载《电子政务》2024年第4期。[8]《个人信息保护法》第40条、第60条。[9]蔡荣伟、斯响俊、杨杰：《AIGC数据跨境的法律监管和合规路径》，载“中伦律师事务所”2023年10月26日，/research/articles/15820.html。[10]程冠杰、邓水光、温盈盈、严学强、赵明宇：《基于区块链的物联网认证机制综述》，载《软件学报》2023年第3期。[11]朱秀梅、林晓玥、王天东、苗淑娟：《数据价值化：研究评述与展望》，载《外国经济与管理》2023年第12期。[12]U.S.DepartmentofCommerce,BureauofIndustryandSecurity(BIS),NewExportControlsonAdvancedComputingandSemiconductorManufacturingItemstothePeople'sRepublicofChina(PRC),Oct72022,/index.php/policy-guidance/advanced-computing-and-semiconductor-manufacturing-items-controls-to-prc.[13]《人工智能2.0：全景透视GAI的法律挑战与合规路径》，载“中伦律师事务所”2023年12月17日，/research/report/52549.html。[14]宋士杰、赵宇翔、朱庆华：《从ELIZA到ChatGPT：人智交互体验中的AI生成内容（GAI）可信度评价》，载《情报资料工作》2023年第4期。[15]SeeEUGDPRArticle83.[16]《Top10DataBreachesinIndia:ExposingtheNation’sStruggleWithCybercrimein2022-2023》，载thecyberexpress2023年9月20日，/top-10-data-breaches-in-india-cybercrime。[17]陈颖、薛澜：《全球跨境数据流动治理的演进与趋势》，载《国际经济合作》202[18]YuntaoWangetal,ASurveyonChatGPT:AI–GeneratedContents,Challenges,andSolutions,4IEEEOpenJournaloftheComputerSociety280,2023.[19]王晓红：《中国数据跨境流动量2025年或将位居全球之首》，载中新经纬2022年8月29日，/jingwei/html/08-29/501101.shtml。[20]钭晓东：《论生成式人工智能的数据安全风险及回应型治理》，载《东方法学》2023年第5期。[21]鲁传颖、章时雨：《东盟数字地缘政治的战略构想与实施路径》，载《南洋问题研究》2024年第1期。[22]郭小东：《生成式人工智能的风险及其包容性法律治理》，载《北京理工大学学报（社会科学版）》2023年第6期。[23]IdentifyingAPIKeyswithTrafficfromUnsupportedRegions,https://community.o-/t/identifying-api-keys-with-traffic-from-unsupported-regions/837837.[24]孙那、鲍一鸣：《生成式人工智能的科技安全风险与防范》，载《陕西师范大学学报(哲学社会科学版)》2024年第1期。[25]洪永淼、张明、刘颖：《推动跨境数据安全有序流动引领数字经济全球化发展》，载《中国科学院院刊》2022年第10期。[26]王大志、张挺：《风险、困境与对策：生成式人工智能带来的个人信息安全挑战与法律规制》，载《昆明理工大学学报社会科学版》2023年第5期。[27]冯晓青：《数字经济时代数据产权结构及其制度构建》，载《比较法研究》2023[28]《数据跨境流动的中国方案——我国推动数据跨境安全有序自由流动述评》，载《中国网信》2024年第5期。[29]生成式人工智能法律体系包括《网络安全法》《数据安全法》《个人信息保护法》以及《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》等。[30]张倩雯：《数据跨境流动之国际投资协定例外条款的规制》，载《法学》2021年[31]