适用场景
所有在中国境内开展数据处理活动,或其境外活动可能影响中国国家安全、公共利益及公民合法权益的出海企业,特别是涉及人工智能技术、属于关键信息基础设施运营者或处于工业领域的企业,在规划和执行跨境数据传输时,均需重点关注本指南。
核心要点
1. 网络安全法修订:强化AI治理与协同监管
2026年1月1日起生效的网络安全法修订案,新增了人工智能治理专章,强调训练数据安全、算法评估和生成内容标识。这标志着中国对AI监管的前瞻性布局,并明确了与《数据安全法》、《个人信息保护法》等法律的协同,构建更全面的数据安全监管体系。
2. 重要数据识别、备案与跨境传输新规
企业需依据国家和行业标准识别并备案重要数据,其跨境传输必须通过国家网信部门的安全评估。值得注意的是,若企业未被告知或数据未公开指定为重要数据,目前暂不因未识别或未评估而受罚,为企业提供了过渡期。
3. 工业领域重要数据全链条合规框架
工业领域已建立起重要数据识别、保护和风险评估的全链条标准体系,涵盖20个工业子行业及数据全生命周期。企业需遵循多维度识别标准,并建立数据资产梳理、识别、内部审批和动态备案的闭环管理流程,以确保工业数据的安全合规。
4. 企业责任加重与处罚力度升级
修订后的网络安全法大幅提高了对企业和个人的罚款上限,最高可达1000万元人民币,并扩大了个人责任范围。同时,法律的域外适用门槛降低,境外危害中国网络安全的行为也可能被追责,甚至面临资产冻结等惩罚措施。
实务建议
- 定期进行全面的数据合规风险评估,特别是针对AI应用、供应链安全和跨境数据传输场景。
- 建立健全企业内部数据资产清单和分类分级管理体系,主动识别并按要求备案重要数据。
- 对于涉及AI技术的产品和服务,应关注训练数据安全、算法安全评估和生成内容标识要求,确保技术应用的合规性。
- 关键信息基础设施运营者(CIIO)应加强网络产品和服务的采购审查,并确保及时整改安全风险。
- 制定并执行完善的跨境数据传输策略,提前规划重要数据的安全评估流程,并密切关注网信部门的最新指南。
- 建立企业全员数据安全责任制,确保各层级人员了解并履行数据保护义务,并利用法律规定的减轻或免除处罚机制。
风险提示
- 忽视网络安全法修订带来的合规成本增加和处罚风险,特别是最高1000万元的罚款和扩大化的个人责任。
- 未能及时识别、备案重要数据,或未按规定进行跨境安全评估,可能面临行政处罚。
- AI技术应用中,若训练数据、算法或生成内容不合规,将面临监管审查和处罚。
- 关键信息基础设施运营者(CIIO)若供应链安全管理不到位,将承担更重的法律责任。
- 低估中国数据法律的域外适用效力,境外活动若危害中国网络安全,仍可能被追责。