适用场景
本指南适用于中国境内的AIGC技术开发者和服务提供者,特别是当其业务涉及跨境调用境外算力、算法模型进行数据训练或存储,以及向境外提供用户数据时,需重点关注数据跨境传输的合规要求。
核心要点
1. AIGC数据出境典型场景
AIGC模型训练和应用高度依赖数据和算力。中国企业在开发AIGC时,常因境内算力不足或境外模型更先进,选择跨境调用境外算力或直接使用境外算法模型,这必然导致训练数据传输至境外,引发数据跨境合规问题。
2. 个人信息出境合规框架
依据《个保法》等规定,个人信息出境前需履行告知义务、取得单独同意并进行个人信息保护影响评估。后续需根据数据量和企业性质,选择向网信部门申报安全评估、与境外接收方签订标准合同并备案,或通过个人信息保护认证三种路径之一。
3. 重要数据出境合规要求
凡涉及重要数据出境,数据处理者必须向国家网信部门申报数据出境安全评估。目前重要数据目录仍在逐步明确中,企业需密切关注行业特定规定,并主动识别自身数据是否属于重要数据范畴。
4. 数据来源与合规责任
AIGC训练数据来源多样,包括企业直采、互联网爬取和购买交易数据。不同来源的数据,其合规风险和企业需履行的合规义务不同,例如直采数据需充分告知并同意,互联网数据需重点清洗,交易数据需明确合同责任。
5. 数据出境新规趋势与影响
国家网信办发布的《数据跨境流动规定(征求意见稿)》预示着未来数据出境合规程序可能简化,例如特定场景豁免、按年度传输量分级管理、自贸区负面清单机制等。但即便简化,基本的告知同意和影响评估义务仍需履行。
实务建议
- 建立完善的数据分类分级制度,在数据采集、清洗和标注阶段即识别并区分个人信息和重要数据。
- 对于直接收集的个人信息,确保在收集时已充分告知数据出境目的、方式、接收方等,并取得个人明确的单独同意。
- 与境外算力/模型服务商及数据提供商签订合同时,明确数据跨境传输条款,并约定各方数据合规责任,确保数据来源合法合规。
- 根据企业自身情况和数据量,提前规划并启动数据出境安全评估、标准合同备案或个人信息保护认证等合规流程。
- 持续关注中国及目的国数据跨境监管政策的最新动态,特别是《数据跨境流动规定》的最终版本,及时调整合规策略。
风险提示
- 忽视对训练数据中个人信息和重要数据的识别,可能导致未经授权的数据出境,面临高额罚款和法律责任。
- 在《数据跨境流动规定(征求意见稿)》正式实施前,仍需严格遵守现有法规要求,切勿提前放松合规标准。
- 依赖互联网爬取数据作为训练集时,可能因数据来源复杂、权利不明晰而引发合规风险,需进行彻底清洗和匿名化处理。
- 未履行充分告知和取得单独同意义务,将直接违反《个保法》规定,导致数据出境行为违法。
- 在涉及国家安全、公共利益的敏感行业,即使数据量不大,其数据出境也可能面临更严格的审查和评估。