适用场景
从事人工智能技术开发与应用,特别是涉及人脸识别、生物特征识别、大规模数据训练的中国出海企业,在技术研发、产品设计及市场进入阶段就需要高度关注。
核心要点
1. 域外法律适用风险已成常态
全球主要司法辖区(如欧盟、英国、加拿大、澳大利亚)普遍扩张了其数据保护法的域外适用范围。即使中国企业未在当地设立实体,只要其AI产品处理了当地居民的个人数据或对其产生影响,就可能受到当地法律管辖。不合规行为会引发跨国连锁执法,导致成本剧增。
2. 公开个人信息不等于合法可用
从互联网公开渠道(如社交媒体)爬取人脸等敏感个人信息用于AI训练,是当前全球监管的核心打击对象。监管共识是:数据公开不等于数据主体同意其被用于面部识别等高风险的二次处理。企业必须为训练数据获取独立的合法性基础,并评估处理目的是否超出数据主体的合理预期。
3. 技术中立不免除企业主体责任
各国监管机构普遍认为,AI企业对数据、算法和模型拥有控制力,因此必须承担全面的数据保护责任。不能以‘技术中立’或‘爬虫技术本身合法’为由,豁免其在个人信息收集、使用、存储和删除等方面的合规义务。企业需对模型可能被滥用的风险负责。
4. 服务政府机构并非‘免死金牌’
为海外执法或政府机构提供技术服务,并不能使企业自动豁免其作为私营主体应遵守的数据保护义务。企业的商业活动仍需独立满足合法性、透明度和权利保障等要求,不能依赖客户的公共属性来规避自身责任。
实务建议
- 在AI产品研发初期,即开展覆盖目标市场的数据合规影响评估,特别是对训练数据来源的合法性进行论证。
- 建立敏感数据识别与过滤机制,对训练数据集进行清洗、脱敏(如对人脸进行模糊化处理),并严格限制访问权限。
- 即使处理公开数据,也需履行透明度义务,公布数据处理说明,并为数据主体提供行使其访问、更正、删除权利的便捷渠道。
- 在商业合同中明确模型的使用边界和限制,设置技术管控措施(如API调用监控),防止客户将产品用于未经授权的高风险场景。
- 建立完整的训练数据溯源记录,以证明数据来源和处理过程的合法性,防范因训练集非法导致整个模型及下游应用被认定为‘毒树之果’的风险。
风险提示
- 误区:认为数据来自公开网络就可以自由使用。 注意:公开性不等于合法性,用于AI训练通常需要单独获取同意或具备其他强合法基础。
- 误区:认为只要技术手段合法,处理行为就合法。 注意:监管关注的是处理目的和最终影响,技术手段的合法性只是最低要求。
- 误区:退出不合规市场就能一劳永逸。 注意:退出成本极高,可能面临巨额罚款、数据删除令及长期诉讼,且品牌声誉受损后难以再进入该市场。
- 误区:仅遵守最严格地区(如欧盟)法律即可。 注意:各国法律存在差异,需针对每个目标市场进行具体分析,避免套用单一合规方案。