适用场景
计划或正在将生成式人工智能(如大语言模型)集成到产品、服务或内部运营中的中国出海企业,特别是在数据收集、处理及跨境传输阶段。
核心要点
1. 数据收集的合法性与透明度
企业在收集用于AI训练的数据时,必须确保来源合法,遵循公开透明和最小必要原则。使用自动化工具(如爬虫)收集数据需评估对目标服务的影响并遵守行业规则;从第三方获取数据需审查其开源协议与隐私政策。收集个人信息前,必须履行告知义务并取得有效同意。
2. 算法训练与模型管理的规范性
AI模型的开发训练需制定清晰的标注规则并对标注人员进行培训。企业需遵守针对深度合成与算法推荐的专项规定,建立算法安全评估、备案及科技伦理审查机制。在算法设计中必须采取措施防止产生歧视性内容,并对用户举报的不合规内容及时优化模型。
3. 网络与数据安全的核心防护
企业需落实网络安全等级保护制度,对核心系统定级备案并实施安全防护。必须对处理的数据进行分类分级管理,并采取加密、去标识化等技术措施。建立覆盖数据全生命周期的安全策略与应急响应机制,防止数据泄露、篡改等安全事件。
4. 接入应用方的责任与风险管控
将AI模型集成到自身产品或服务中的企业,需对训练数据的来源合法性负责。应建立用户实名制、内容过滤机制和投诉处理渠道,保障服务安全稳健。必须清晰告知用户AI服务的局限性,并采取措施防止用户沉迷或滥用生成内容。
5. 数据跨境传输的合规路径
若合作方或服务器在境外,数据出境活动必须遵守中国法律法规。企业需根据自身情况(如处理个人信息数量、是否涉及重要数据等)选择申报安全评估、签订标准合同或通过保护认证等合规路径。与境内服务商合作时,也应在协议中明确禁止其擅自将数据出境。
实务建议
- 在收集或使用训练数据前,进行全面的合法性审查,特别是验证个人信息处理的授权同意基础及第三方数据源的许可范围。
- 建立AI模型开发与应用的内部管理制度,明确算法备案、安全评估、伦理审查的流程与责任人。
- 与服务商签订详尽的数据处理协议,明确数据使用目的、范围、安全措施、出境限制及双方责任,尤其要约束其将数据用于后续训练的行为。
- 对输入AI模型的数据(尤其是商业秘密和用户信息)进行严格的脱敏处理,并定期审计服务商的数据使用情况,以防信息泄露。
- 若业务涉及数据出境,立即开展数据出境风险自评估,并根据评估结果启动相应的合规程序(如申报安全评估)。
- 面向用户提供AI功能时,在产品界面清晰披露模型的基本信息(如数据来源、算法类型等)并设置防沉迷提示与便捷的投诉举报入口。
风险提示
- 切勿忽视数据收集的最小必要原则,避免以AI训练为名过度收集与当前服务无直接关联的个人信息。
- 避免使用未明确授权或来源存疑的数据进行模型训练,防止因数据侵权导致“毒树之果”及连带法律责任。
- 警惕将内部敏感数据(如战略规划、客户资料)输入AI模型,即使与可信服务商合作,也需通过协议和技术手段严防数据泄露风险。
- 若使用境外AI服务,务必先行完成数据出境合规评估与手续,不可直接通过VPN等非法定渠道传输数据。
- 不得利用算法、数据或平台优势实施不正当竞争或垄断行为,需保持对反垄断法规的动态关注。