《生成式人工智能数据跨境流通风险与治理白皮书》

《生成式人工智能数据跨境流通风险与治理白皮书》由公安部第三研究所数据安全技术研发中心编写，主要探讨生成式人工智能（GAI）数据跨境流动的现状、风险及治理策略，为相关监管和产业发展提供指导。

GAI 产业发展与数据跨境流动风险分析

产业发展现状与竞争态势：全球 GAI 产业规模高速增长，中美主导市场。中国在应用场景开发领先，美国在底层技术和基础设施占优。不同国家在 GAI 细分领域各有优势，如中国在电商、金融科技突出，美国在智能家居、联网汽车领先。

数据跨境流动必要性：企业行业方面，电商和金融科技等行业跨境数据需求大。新兴市场为 GAI 企业提供发展空间，但也带来法律合规风险。执法监管需要跨国数据流动以实现有效监管。我国新型全球化战略和 “一带一路” 倡议推动数据跨境需求增长。GAI 应用的技术特性决定国际合作与政策协调对数据跨境流动的必要性。

数据跨境流动场景：跨境调用算力，因国内算力不足部分企业调用境外算力，涉及数据传输、预处理、训练和结果存储等环节，存在数据泄露风险。跨境调用 GAI 服务或产品，如调用境外内容审核、模型资源等服务，数据会传输至境外处理，存在数据跨境风险。通过境外开源代码或模型构建 GAI，开源代码和模型可能存在数据回传风险，企业可能因忽视数据收集功能导致合规问题。跨境外包服务，GAI 应用开发中的数据清洗等环节外包给境外，可能因外包商数据安全措施不完善导致数据泄露。

数据跨境流动安全风险：个人信息安全与隐私风险方面，GAI 数据跨境流动中个人信息泄露风险增加，法规难以全面覆盖，用户授权不明确，监管困难。GAI 产业安全风险包括开发者自身技术能力和合规运营能力面临的风险，以及对相关企业商业秘密的威胁，还可能面临数据管辖权冲突和 “数据碎片化” 问题。国家安全与数字主权风险在于 GAI 数据可能传播虚假信息，威胁国家安全，大量数据跨境传输可能削弱本国数字主权。

我国 GAI 数据跨境流动监管与政策指引

监管现状：我国已初步形成数据跨境流动管理体系，包括法律规范、行业管控、合规性管理和技术支撑。但针对 GAI 数据跨境场景的特殊性缺乏专门制度。

政策制定要素考量：制定数据跨境流动政策需考虑数据安全和隐私保护、国家利益和数据主权、技术和产业优势等要素。各国数据保护标准不一，敏感数据跨境传输存在风险。维护国家利益和保障数据主权至关重要，同时要应对数据主权博弈带来的复杂问题。我国应利用技术创新提升产业地位，同时应对贸易保护主义障碍。

政策现有不足：我国数据跨境流动政策在战略目标、数据合规与技术创新平衡、数据保护重点和治理能力方面存在不足。缺乏多样化机制支持企业全球化发展，数据合规增加企业成本，数据保护重点不明确且治理能力不均衡。

GAI 数据跨境流动的治理机制

规范完善监管制度体系：秉持 “数据跨境自由流动为原则，限制流动为例外” 理念，完善数据出境安全评估制度，优化个人信息跨境传输机制，建立政企协同、多方参与的数据跨境治理机制，推进 GAI 数据跨境流动规则的国际协调。

技术防控风险：构建全链路数据跨境风险防控范式，在数据安全传输与存储、访问控制与审计等方面采取技术措施，实现对数据跨境流动的全程追踪和监管，参与技术标准制定，开发自主可控的 GAI 大模型。

基于互惠原则开展国际合作：我国应将互惠原则融入数据跨境法规，开展国际交流合作，利用区域制度创新优势开展跨境数据流动试点，为全球数据跨境流动规则制定提供 “中国方案”。