1、跨境數據合規白皮書2024.Q1目錄目錄聚焦全球及中國數據合規發展態勢1.1 全球數據合規條例興起，部分國家和地區加強制度管理1.2 中國數據合規發展背景及趨勢1.3 跨國企業數據流動價值Part數據合規風險及挑戰2.1 AI風險及數據合規問題2.2 數據跨境主要痛點及難點2.3 企業在具體業務中的數據安全和合規性問題Part數據安全合規的應對策略3.1 現行法律法規對于數據安全的相關要求3.2 數據本地化存儲與出境3.3 徑碩科技數據安全解決方案Part前沿技術與數據合規的碰撞4.1 揭開生成式AI的神秘面紗4.2 AIGC國際層面的立法監管情況Part聚焦全球及中國數據合規發展態勢Part

2、1.1 全球數據合規條例興起，部分國家和地區加強制度管理1.2 中國數據合規發展背景及趨勢1.3 跨國企業數據流動價值1.1 全球數據合規條例興起，部分國家和地區加強制度管理近年來，隨著互聯網的迅速發展以及國內外對于數據要素的認知不斷深化，各國更加關注對數據的合規利用以期提升國家綜合競爭力。自歐盟推出一般數據保護條例（下文簡稱“GDPR”或“一般數據保護條例”）以來，已有100多個國家針對數據合規頒布或提出了數據保護或隱私保護法。除法律法規層面的完善之外，主要國家和地區的監管執行力度也在不斷增強，2021年GDPR全年罰款金額同比上漲，總計達到11億歐元，亞馬遜也因違反GDPR被罰7.46億歐

3、元。為保證數據安全和執法透明度，全球數據合規條例增長和范圍擴大已成為必然。Part 1歐盟1981-歐盟個人數據自動化處理中的個人保護公約1995.10-95指令2016.4-一般數據保護條例2019.5-非個人數據自由流動條例2019.4-網絡安全法案2020.2-歐洲數據戰略2022.2-數據法案（草案）2022.5-數據治理法案2022.9-數字市場法案2022.10-數字服務法案加拿大1983-隱私法1983.7-信息訪問法案2000-個人信息保護和電子文檔法案2012.3-加拿大網絡安全對關鍵基礎設施威脅的評估2018.6-新版國家網絡安全戰略法國1978-信息技術與自由法2008.

4、6-國家安全與防務白皮書2011.2-信息系統防御與安全：法國戰路2015.10-法國國家數字安全戰略2018.2-網絡防御戰略評論2018.11-個人數據保護法2018.12-數據保護法德國1976-（個人數據保護法2018-新聯邦數據保護法2021.1-聯邦數據戰略2021.5-IT安全法2.0版意大利1947.12-憲法1996-數據保護法2003-電子商務法2005-消費者法典2012-個人數據保護法典（修訂版)2013-國家網絡空間安全戰略框架英國1984-數據保護法2003-隱私與電子通信條例(PECR)2018.5-網絡和信息系統安全法規2021.1-通用數據保護條例2022.1

5、-國家網絡安全戰略2022-20302022.5-數據改革法案（草案）2024 跨境數據合規白皮書Part 1.聚焦全球及中國數據合規發展態勢04由于各國家和地區間推動數據合規的驅動因素、國情的差異，立法側重點及發展趨勢也有所差異，以下是不同國家和地區在數據監管方面的不同措施：以歐盟和亞太經濟合作組織為代表的地區性立法：以保護個人數據為出發點，推動地區間數據流通，同時在監管和執法程序上更加標準化和透明化；以美國為代表的國家：在合規立法中更看重數據自由流動帶來的經濟效益，在奉行整體寬松政策的同時；為特殊行業提供不同的法律依據，例如金融、醫療、電子通信、基礎設施等行業；以俄羅斯為代表的國家：在合規

6、立法方面受政治因素影響較大，更關注以安全為核心的國內治理，對數據跨境流動施行嚴格管控，形成“內外雙嚴”的數據安全發展態勢。中國關于數據安全立法也有自身特點：地方數據立法實踐開展較早,各地在以國家政策法律為導向的同時積極探索制度創新。整體來看，立法內容呈現從綜合性到重點領域，再到綜合性與重點領域并行的趨勢，立法程度與數字經濟發展水平呈正相關。各國家和地區立法具有鮮明特點，發展趨勢存在差異Part 12024 跨境數據合規白皮書Part 1.聚焦全球及中國數據合規發展態勢051.2 中國數據合規發展背景及趨勢數字時代的全球競爭下，我國將數據定義為成繼土地、資本、技術、人力之后的第五大生產要素，在新

7、一輪數字經濟浪潮中，正成為經濟增長的新引擎和國際競爭的新抓手。2020年3月30日，中共中央和國務院明確將數據作為生產要素寫入政策文件；2022年3月25日，中共中央和國務院明確第十三條：需要加快培育數據要素市場，完善知識產權評估與交易機制，推動各地技術交易市場互聯互通，其中包括建立健全數據安全、深入開展數據資源調查、推動數據資源開發利用。數據作為發展側越來越重要的向度，是構建新發展格局的重要支撐。尤其隨著近幾年AI、大模型、算力算法等技術的發展，數據作為其基礎設施的“技術座駕”當其發展到一定規模后，肯定需要從國家層面進行規制和管理，以此提升國家綜合治理能力。以app發展為例：App是媒介化社

8、會中，我們不可缺少的一部分，幾乎今天所有的互聯網行為都基于app生態，因此，app執法監管也越來越嚴格。據可公開信息：2022年網信辦發布通告，對滴滴公司處以80.26億元罰款。據國家網信辦的查實，滴滴公司共存在16項違法行為。其中涉及個人隱私方面，除了基礎的身份證等個人信息外，還包括人臉識別（face recognition）、親情關系（family relationship）、精準位置（經緯度）（precise location）、出行意圖（travel intention）等。同時，相冊截圖（album screenshots）、剪切板截圖（clipboard screenshots）、

9、應用列表（application lists）等信息竟然也成為被過度收集的數據，幾乎將用戶個人信息以及手機使用習慣翻了底朝天。對該個例的執法表明了我國在數據合規層面上監管愈發嚴格和完善。Part 12024 跨境數據合規白皮書Part 1.聚焦全球及中國數據合規發展態勢1.2.1 數據作為生產要素寫入政策性文件06Part 12024 跨境數據合規白皮書Part 1.聚焦全球及中國數據合規發展態勢以下為APP執法檢查工作的主要部門：中國現行跨境法律監管體系由“1+3+N”組成?！?”即國家安全法，作為整個跨境監管體系的基石，進一步強調數據跨境監管中對國家網絡安全和數據安全的保障；“3”即網絡安

10、全法、數據安全法以及個人信息保護法，作為數據安全監管領域的三駕馬車，分別對網絡安全、數據安全以及個人信息保護領域提出原則性監管要求，并對關鍵信息基礎設施、重要數據以及個人信息的跨境傳輸提出法律規制要求；“N”指在國家安全法和網絡安全法、數據安全法以及個人信息保護法基本框架之內，落實四部上位法監管要求針對數據跨境場景出臺的法律和監管規定，包括專門的數據安全立法以及行業監管立法，其中數據安全立法包括數據出境安全評估辦法數據出境安全評估申報指南個人信息出境標準合同辦法及標準合同樣本、網絡安全標準實踐指南個人信息跨境處理活動安全認證規范V2.0、個人信息保護認證實施規則等，進一步細化數據出境相關路徑要

11、求，為企業提供操作指引。1.2.2 中國現行“1+3+N”監管體系（1）中華人民共和國工業和信息化部（2）中華人民共和國國家互聯網信息辦公室（3）中華人民共和國公安部（4）國家市場監督管理總局（5）國家計算機病毒應急處理中心而這些主要部門的執法檢查工作，將圍繞以下被重點關注的違法行為展開：（1）超范圍收集個人信息（2）強制用戶使用定向推送（3）欺騙誤導強迫用戶提供個人信息（4）權限索取行為（5）違規使用個人信息（6）違規收集個人信息（7）欺騙誤導用戶下載App（8）移動應用分發平臺信息展示（9）App頻繁自啟動和關聯啟動（10）開屏彈窗信息騷擾用戶07Part 12024 跨境數據合規白皮書P

12、art 1.聚焦全球及中國數據合規發展態勢針對不同行業領域內的數據跨境，相應行業監管機構從本行業特點出發亦提出相應監管要求，從而構建多維度多層級的數據跨境監管體系。不同行業及領域企業須同時滿足數據安全立法及各行業監管機構的數據跨境要求，由此也形成了由國家網信部門負責統籌協調和監督管理網絡安全工作，國家電信部門、公安機關以及各行業監管機關共同配合的“1+X”監管機制。從2016年-2023年為筑牢數據安全“防火墻”從不同層面都做了立法規制。網絡安全法為構筑網絡安全的基礎，強調網絡安全的保護，為網絡空間的整體安全和有序發展奠定了總基調。數據安全法搭建數據安全的基礎，強調數據安全的保護，尤其注重重要

13、數據和國家核心數據的保護。個人信息保護法則側重于個人信息處理準則和保護邊界的細化，對個人信息的保護，對個人信息保護的全生命周期作出細致且全面的規定。2016202320222021網絡安全法：于2016年11月7日通過，自2017年6月1日起施行2023年7月24日，中國人民銀行發布（中國人民銀行業務領域數據安全管理辦法(征求意見稿）2023年10月9日，工信部發布工業和信息化領域數據安全風險評估實施細則（試行)（征求意見稿）2023年2月24日，國家互聯網信息辦公室發布 個人信息出境標準合同辦法2023年8日3日，國家網信辦發布個人信息保護合規審計管理辦法（征求意見稿）2022年5月19日，

14、國家互聯網信息辦公室審議通過數據出境安全評估辦法2022年9月1日起施行2022年2月15日，國家互聯網信息辦公室審議通過的網絡安全審查辦法正式施行2022年12月13日，工信部正式發布工業和信息化領域數據安全管理辦法(試行)2021年8月16日，國家互聯網信息辦公室發布汽車數據安全管理若干規定（試行）數據安全法：于2021年6月10日通過，自2021年9月1日起施行個人信息保護法：于2021年8月20日通過，自2021年11月1日起施行081.3跨國企業數據流動價值在全球數據流通中，跨國公司作為海內外數據存儲的龐大數據處理者，經常會涉及到跨境數據合規的問題。但也要承認當前跨國數據要素與數據流

15、動也會不斷創造新的價值與機遇，因此，加強數字治理與數字安全的全球合作成為重中之重。雖然跨國數據流動在各個層面都存在巨大價值，但機遇與風險并存。一方面我們要看到數據跨境流動對全球經濟的促進作用，另一方面也要關注到數據是支撐國家安全與發展的重要戰略資源，也面對了很多不確定因素。比如說俄烏戰爭爆發后，有些跨國企業第一時間退出了俄羅斯，或者把當地的機構就地解散，對此無論是國家層面還是企業層面不得不思考一個的問題是：未來在面對地緣政治沖突等不確定因素時，我們應該如何去應對？而localization本土化成為很多企業正在考量的因素。Part 12024 跨境數據合規白皮書Part 1.聚焦全球及中國數據

16、合規發展態勢(1)促進全球經濟流動與增長?；谏a要素國際流動理論，數據的跨國界流動可以幫助跨國企業更直接、更合理地利用全球要素資源，世界經濟論壇稱“跨境數據流動的能力是高效行業的一個關鍵要素，也是關鍵的生產力增強劑，對維持全球復蘇和為經濟體奠定長期競爭力基礎至關重要?！?3)推動全球化發展?？缇硵祿鲃訕O大地推動了企業面向全球的商業拓展。以跨境電商為例，阿里巴巴、亞馬遜等互聯網平臺企業通過互聯網獲取、處理和跨境傳輸數據，為各類跨境貿易商構建了全球用戶社區，實現了電子商務模式的全球擴張，幫助企業融入全球供應鏈。(2)提升國際創新能力。數據跨境流動意味著信息、知識的傳播與共享，自由流動的數據是國

17、家創新的重要催化劑，根據Frost&Sullivan 2025年大趨勢預測，數據支撐著未來，90%的變革性轉變嚴重依賴于數據。目前，幾乎所有行業都依賴于跨境數據的流動和實時分析數據的能力，以此作為其供應鏈、運營和商業模式創新的推動力，激發更多創意，催生新業務、新模式。內容來源：全球數據跨境流動政策與中國戰略研究報告09基于數據調研，我們可以看到不同類型的跨國企業在轉型戰略實施進度上也各有差異。以ToB和ToC的兩個領域為例，消費品企業無論是評估與規劃階段、轉型與實施階段、持續運營階段都很積極進行轉型，藥企相對來說轉型的過程則相對來說較為緩慢。造成這一現象的原因有很多因素，消費品的數據量級和藥企

18、是沒法相比的，消費品數據量級大且異質性強，因此在合規方面會走的相對靠前一點，這是該行業的特性所決定的。因此，面對不同類型的企業，數據合規驅動轉型進程也不可同一而語。Part 12024 跨境數據合規白皮書Part 1.聚焦全球及中國數據合規發展態勢評估與規劃轉型與實施持續運營頭部跨國公司(主要集中于消費品和制藥行業)83%的公司已經啟動了本地化進程12家消費品企業100%制藥企業67%消費品企業50%制藥企業50%消費品企業50%制藥企業17%內容來源：數據合規新態勢下的數字化轉型之路10數據合規風險及挑戰Part2.1 AI風險及數據合規問題2.2 數據跨境主要痛點及難點2.3 企業在具體業

19、務中的數據安全和合規性問題2.1 AI風險及數據合規問題生成式人工智能技術在帶來深刻的生產力變革時，也為監管治理提出新挑戰。因此，AI對于數據的獲取也面臨了以下幾種風險：Part 22024 跨境數據合規白皮書Part 2.數據合規風險及挑戰通常而言，獲取AI數據主要有以下方式：一，自行采集，如通過網站、App、智能家居設備等渠道收集數據；二，從第三方數據供應商采購；三，通過網絡爬蟲等技術手段抓取現有數據。2.1.1 數據來源合規問題12Part 22024 跨境數據合規白皮書Part 2.數據合規風險及挑戰2.1.2 數據使用合規問題2.1.3 數據安全合規問題13Part 22024 跨境

20、數據合規白皮書Part 2.數據合規風險及挑戰2.1.4 科技倫理合規問題針對上述合規問題，目前全球已有近100個國家和地區制定了數據安全相關保護和法律，Gartner預測，到2024年，全球75%的人口將在其個人數據方面受到隱私法規的保護。除了以上四大風險外，以下風險也值得引起企業在開展數據合規轉型時注意：要求企業結合網安法、數安法、個保法等法律法規實施數據分類分級管理；關注業務中涉及生產、處理、流通三大環節中不同場景的合規要點；主動對標國標、行業標準，轉化為企業內規則，結合業務發展平衡嚴格落實。01統籌法律數據安全合規要求 提升管理層數據安全合規意識，獲得重視和支持；定期對內外部的數據安全

21、合規要求進行宣貫，形成文化認同。02定期培訓形成合規文化內容來源：AI人工智能企業上市數據合規問題精解14Part 22024 跨境數據合規白皮書Part 2.數據合規風險及挑戰對于以上提到的數據合規風險，以下幾種合規措施，可以為不同企業提供科學規避風險指導1.數據分類分級/重要數據識別企業可盤點業務、系統涉及處理的數據、識別重要數據/協助填報目錄、數據分類分級標簽；2.整體數據安全體系建設可以從以下三方面建設：首先是，管理組織體系建設；其次是，管理制度體系建設；最后是，全流程網絡和數據安全管理措施建設；3.數據安全風險評估/合規審計/PIA包括數據安全風險評估、個人信息保護合規審計、個人信息

22、保護影響評估；4.算法合規/大模型備案算法安全評估和算法備案、大模型算法備案；5.數據出境合規包括數據出境安全評估、個人信息標準合同備案、個人信息保護認證；6.數據本地化系統和數據的本地化、基礎網絡與設施的本地化、本地IT能力和團隊的建立、國產化產品的選擇和部署。提升安全事件應急響應能力，及時補救，消除減輕后果；妥善處理數據相關投訴；配合監管部門的相關調查。05接受外部監督及時糾錯改進 推進全球數據合規一體化，落地執行與本地化；綜合監管規則、執法動態、業務風險，確定合規處理方式。04海外數據合規應對 制定合規風險識別模板，按業務特點定期梳理風險；關注上下游可能的風險傳導，避免第三方違規產生的連

23、帶責任。03推進數據安全風險識別常態化152.2 數據跨境主要痛點及難點企業開展境外業務時面臨的數據跨境監管形勢日益嚴峻，數據跨境管控過程的痛點、難點，成為數據合規治理的熱點、焦點。Part 22024 跨境數據合規白皮書Part 2.數據合規風險及挑戰2.2.1 數據多樣，跨境數據的法律屬性識別與分類困難2.2.2 場景復雜，數據跨境的路徑、角色及責任識別困難(1)企業業務場景多樣隨著企業成長與發展，業務版圖和業務領域不斷擴展或變化，配套的內部支撐流程也隨之細化，各業務場景交互融合，業務數據隨之交互融合，加大了數據跨境路徑梳理和相關責任方識別的難度。(1)數據體量大大數據背景下，企業生產經營

24、過程中產生的數據呈爆炸式增長，且涉及數據類型豐富多變。從數據主體角度，包括客戶數據、用戶數據、合作方數據、供應商數據、內部員工數據等；從業務經營角度，包括產品數據、日常經營數據、研究/研發數據、內務管理數據等極大增加了企業數據管理的難度和成本。(3)載體拆分難多種類型的非結構化數據，可能同時集合在同一載體或分散在不同載體中，難以拆分、合并和精準識別，如何按照數據來源、內容、用途等進行數據分類梳理，成為企業數據跨境合規管控的實務難題。(2)屬性識別難關于個人信息、重要數據等在監管定義上通常采用“概括式”的表達形式，雖為企業提供了一定靈活度，也為企業對數據的法律屬性類型識別帶來了模糊性和不確定性；

25、不同法域對個人信息、重要數據等概念定義存在差異甚至沖突，對企業跨境數據的屬性識別和應用管控造成困難。16Part 22024 跨境數據合規白皮書Part 2.數據合規風險及挑戰(3)角色法定含義不同不同的數據處理角色承擔相應的責任和義務，準確識別企業在數據跨境場景下承擔的角色、清晰界定雙方責任和義務，對數據跨境合規管控非常重要；不同法域對數據處理角色的定義、相應責任與義務的規定不盡相同，復雜的數據流轉鏈條下，企業難以準確判斷自身角色、明確責任和義務，為企業數據跨境合規管控的力度決策帶來障礙。Tips：歐盟 GDPR 對個人數據的控制者與處理者的責任分別有詳細的規定；而中國個保法沒有區分個人信息

26、處理過程中控制者與處理者角色，統一稱為“個人信息處理者”，并規定個人信息處理者共同處理個人信息將承擔連帶責任。Tips：數據的處理必須具備合法基礎，但各法域的數據處理的合法基礎不盡相同。在我國境內處理歐洲公民的數據，需要同時滿足個保法及GDPR的要求。我國個保法為避免擴大解釋，未將“數據主體利益”及“控制者合法利益”兩個邊界較模糊的合法基礎納入條款范圍。若以“合法利益”為基礎在中國境內進行進行數據處理，則可能因失去法律承認的合法基礎而違規。2.2.3 規則變動，規則要求多層次、多類型、不斷演進(1)全球規則層次多樣全球尚未形成統一的數據跨境治理框架，各國家/地區受國家安全、數據主權、人權保護、

27、地緣政治、貿易模式等因素影響，制定了側重點不同、各個層次的數據跨境規則，數據治理和數據跨境流動政策具有很大差異。(2)不同法域規則沖突企業在開展數據跨境流動活動時，需要同時考慮數據輸出地和輸入地的數據跨境規則，但不同法域數據跨境規則的不同，對企業“雙向合規”帶來困難。(2)數據流轉路徑復雜數字化轉型背景下，企業的業務數據往往通過線上系統進行流轉處理，業務系統間數據存在交叉傳輸的情況；同時，出于成本、效率等多因素考慮，企業的系統服務器通常集中部署、統一管理，導致在全球化業務開展過程中涉及頻繁、復雜的數據跨境流轉。內容來源：數據跨境合規治理實踐白皮書17Part 22024 跨境數據合規白皮書Pa

28、rt 2.數據合規風險及挑戰但在具體行業中，還會有更為細致的區分。比如藥企和消費品行業，COSTCO跨國企業擁有很多全球會員數據，這些會員信息需要全球打通或數據流向全球不受限，對于該類企業本地化或全球會員體系挑戰將會更大；而對于B端企業則在員工信息、供應商信息、客戶聯系人等方面的數據，但相比于C端數據量會少很多，而對于這一方面可能更多的會從“數據管理”層面去調整，“合規”層面的要求則相對較少。在跨國企業合規驅動戰略轉型實施中還會存在以下更為具象化的難題：（1）戰略對齊：在轉型戰略層面缺乏一致的認知；（2）治理模式：決策范圍和職責不夠清晰明確；（3）現狀調研：總部系統和運營現狀的調研和梳理觸點過

29、多；（4）溝通協作：不同部門和任務項之間的協作和溝通機制不明確；（5）本地方案選擇：本地解決方案無法完全符合總部要求或遵循已有流程和管控；（6）本地能力：本地團隊在短期內無法形成足夠的能力支撐本地化運營。182.3 企業在具體業務中的數據安全和合規性問題數字化時代，企業面臨海量的數據流動和存儲，如何保護和合規處理企業數據成為一個重要問題，企業數據合規是指企業在數據處理、存儲和傳輸過程中，遵守相關法律法規和規范要求，保護用戶隱私、保證數據安全，并避免因數據違規而引起的法律風險。在實際業務中，企業通常會遇到以下數據合規問題。(1)數據獲取和限制合規要求可能限制了企業收集和使用數據的方式。企業獲取用

30、戶信息之前，需要告知用戶使用目的及使用范圍，獲取用戶明確授權；(2)精準度與個性化以標簽和行為數據為基準的個性化廣告將受限，公域精準營銷和投放的難度增加（各大平臺如微信，B站，知乎，頭條等均提供了便捷的關閉個性化推薦的入口）；(3)渠道選擇和內容策略在合規框架下，選擇有效的營銷渠道變得更為關鍵。有時傳統的營銷方法可能受到限制，因此企業需要尋找合規的替代方案，這可能包括尋找新的數字渠道或更改內容戰略；(4)客戶信任與透明度企業需要建立客戶信任，并提供對數據處理方式的透明度。在合規的前提下，如何向客戶解釋數據的收集和使用，以及如何保護其隱私，變得尤為重要；(5)合規性審查與驗證在B2B環境中，合規

31、性審查尤為重要。與個人數據不同，B2B數據的使用同樣受到法規的約束。因此，確保所使用的數據來源和處理方式符合法規要求是挑戰之一；(6)隱私保護和數據安全針對B2B營銷使用的數據，保障數據的安全性和隱私保護是至關重要的。確保數據不被泄露或濫用，同時在合規框架內實施必要的安全措施，是一項挑戰；(7)合規監管的變化法規和監管環境不斷變化，企業需要保持對法規變化的敏感度，并及時調整其營銷策略以符合新的合規要求。Part 22024 跨境數據合規白皮書Part 2.數據合規風險及挑戰19數據安全合規的應對策略Part3.1 現行法律法規對于數據安全的相關要求3.2 數據本地化存儲與出境3.3 徑碩科技數

32、據安全解決方案3.1 現行法律法規對于數據安全的相關要求為了支持和規范人工智能技術和產業發展，在一般數據安全法律框架的基礎上，我國也制定了一系列人工智能領域的法律法規和文件。在數字經濟時代，算法是一種重要的生產工具。算法推薦技術被廣泛應用于信息分發和媒體傳播領域，帶來“信息繭房”、“大數據殺熟”、“困在系統里”等社會隱憂，規范算法推薦活動迫在眉睫。我國從2017年至2023年陸續頒布多條法規完善算法監管，從立法、監管和司法層面推動算法治理體系逐漸深入，并逐步形成互聯網信息服務算法安全治理的政策法規體系。Part 32024 跨境數據合規白皮書Part 3.數據安全合規的應對策略3.1.1 我國

33、算法&AI監管體系時間軸1.生成式人工智能服務管理暫行辦法2023年7月10日，國家互聯網信息辦公室（“國家網信辦”）發布AI管理辦法，對“研發、利用生成式人工智能產品”的行為作出規定。3.1.2 具體法律法規對訓練數據的要求互聯網新聞信息服務新技術新應用安全評估管理規定2017.12具有輿論屬性或社會動員能力的互聯網信息服務安全評規定2018.11科學技術進步法2022.1互聯網信息服務深度合成管理規定2023.1科技倫理審查辦法（試行）2023.12關于加強互網信息服務算法綜合治理的指導意見2021.9互聯網信息服務算法推薦管理規定2022.3生成式人工智能服務管理暫行辦法2023.821

34、Part 32024 跨境數據合規白皮書Part 3.數據安全合規的應對策略根據上述第1、5項規定，企業應當遵守網絡安全法等法律法規、使用具有合法來源的數據，相對來說這一規定內容存在較為明確的執行標準。但是，第2項關于“不得侵害他人依法享有的知識產權”對于企業來說存在一定挑戰，企業需要主動判斷：另外，就第4項要求，即數據的“真實、準確、客觀、多樣”在適用上可能存在一定的裁量空間，如新聞領域和藝術領域場景對于“數據真實性”的要求就可能略有不同。值得注意的是，鑒于AI管理辦法將征求意見稿中的“保證”替換成了“增強”，企業可以在確保符合法律法規要求的基礎上，參考人工智能使用領域等要素進行靈活調整。A

35、I管理辦法第4條還指出，在選擇訓練數據的過程中，應當采取措施防止出現民族、信仰、國別、地域、性別、年齡、職業、健康等歧視。（1）使用具有合法來源的數據和基礎模型；（2）涉及知識產權的，不得侵害他人依法享有的知識產權；（3）涉及個人信息的，應當取得個人同意或者符合法律、行政法規規定的其他情形；（4）采取有效措施提高訓練數據質量，增強訓練數據的真實性、準確性、客觀性、多樣性；（5）中華人民共和國網絡安全法、中華人民共和國數據安全法、中華人民共和國個人信息 保護法等法律、行政法規的其他有關規定和有關主管部門的相關監管要求。（1）訓練數據是否涉及知識產權（尤其是著作權或商業秘密）；（2）該等知識產權是

36、否存在且合法有效；（3）是否存在該等知識產權利害關系人；（4）相關行為是否侵犯知識產權；（5）行為相關的抗辯條款是否適用等。AI管理辦法第7條要求，AI服務提供者應當依法對生成式人工智能產品的預訓練數據、優化訓練數據來源的合法性負責，并遵守以下具體規定：22Part 32024 跨境數據合規白皮書Part 3.數據安全合規的應對策略2.人工智能安全標準化白皮書（2023版）2023年5月29日，TC260發布人工智能安全標準化白皮書（2023版）（下文簡稱“白皮書”），白皮書梳理了人工智能技術與應用的發展現狀，分析了人工智能面臨的安全新風險。白皮書指出，網絡安全的基本屬性包括了AI系統及其相關

37、數據的機密性、完整性、可用性以及針對惡意攻擊的防御能力。數據應當具有：23總結:結合以上現行的法律法規以及已頒布的征求意見稿、白皮書等進行分析，訓練數據的合規要求可以總結為以下三個方面：一，訓練數據應當符合網絡和數據等安全合規方面的要求，如經過數據分類、備份和加密等措施，并存儲在境內；二，訓練數據應當遵循知識產權和個人信息等權益保護方面的要求；三，訓練數據本身應當可靠透明，如真實準確、客觀中立，具有可解釋性和公平性。透明性（用戶能夠在必要時候獲取模型有關信息）；可解釋性（在計算過程中使用的數據、算法、參數和邏輯等對輸出結果的影響能夠被人類理解）；公平性（不引入偏見和歧視因素）；隱私性（采取隱私

38、增強方案，如最小化數據處理范圍、個人信息匿名化處理、數據加密和訪問控制等）。Part 32024 跨境數據合規白皮書Part 3.數據安全合規的應對策略3.2 數據本地化儲存與出境隨著數字經濟和數字貿易日益深入的發展，企業勢必會被卷入全球數據跨境合規體系的洪流中，企業必須迎接數據跨境合規的挑戰。一方面，了解內部數據跨境現狀和外部監管規則，了解企業數據跨境合規管控重點；另一方面，以風險為導向，建立完善企業數據跨境合規管控機制，搭建立足自身、內外聯動、成本效益并舉、靈活可持續的數據跨境合規體系。對于企業合規轉型來說，這幾種模式其實都是可選的，但防止因不穩定因素導致企業業務受損，比如俄烏戰爭或地緣政

39、治的影響導致國內業務出現較大波動，因此，為了保證國內業務正常運行，很多企業會選擇“雙系統體系”或“關鍵設施本地化”，來保障即使在“脫鉤”的情況下，國內業務還能保持獨立運營能力，而這種就是除法律層面之外的本土企業戰略化考量。3.2.1 了解三種模式的本地化程度以技術框架為例，我們可在三種本地化模式中去選擇符合自身情況的運營模式。第一種方法：MVP（最小必要產品）；第二種方法：關鍵設施本地化方法；第三種方法：雙系統體系?！癕VP（最小必要產品）”是最基礎的模式，考慮的更多是符合法律監管要求及企業成本控制，如全球化的咨詢行業；“關鍵設施本地化”則更進一步的考量業務上連續性，保證在出現突發情況時，業務

40、可以正常運營不受損；“雙系統體系”則是更高一階的要求，需要企業擁有獨立的技術架構和技術團隊，在本地化運營上擁有完全的自主性和可控性。MVP(最小必要產品)關鍵設施本地化雙系統體系24Part 32024 跨境數據合規白皮書Part 3.數據安全合規的應對策略數據出境安全評估辦法從主體、客體、數量等方面規定了觸發數據出境安全評估（以下簡稱“安全評估”）的條件（以下簡稱“觸發條件”），具體包括：須注意的是，安全評估是法律的強制要求。企業一旦達到觸發條件，則必須開展安全評估，不存在所謂數據出境路徑選擇的問題。3.2.2 數據出境-觸發條件3.2.3 以營銷系統為例：如何逐步建立本地化能力(1)出境數

41、據中含有重要數據；(2)數據處理者為關鍵信息基礎設施運營者（以下簡稱“CIIO”）；(3)數據處理者為處理100萬人以上個人信息的數據處理者；(4)自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者；(5)國家網信部門規定的其他需要申報數據出境安全評估的情形。階段一：戰略決策階段一是對于采取三種本地化模式：MVP（最小必要產品）、關鍵設施本地化方法、雙系統體系的戰略決策。在該階段所要解決的問題是：企業所面臨的風險及驅動力是什么？包括地緣政治、中國監管要求、提高服務性能等，企業基于合規驅動轉型戰略目標與指導原則是什么？轉型評估與實施所需花費的時間與成本預估是多少等問

42、題。階段一：戰略決策（部分）25Part 32024 跨境數據合規白皮書Part 3.數據安全合規的應對策略對于階段一的決策主要取決于中國的管理層對于本土的設施和全球設施博弈的結果，其中不僅包含了基礎的法律底線，更多的是基于本土實際業務、未來發展、持續性運營能力的考量。其中需要遵循的首要原則是：采用能力本地化的混合模式，以最低成本滿足監管硬性要求。階段二：評估與規劃階段二的評估與規劃主要維度涵蓋“數據&應用”、“業務運營影響”和“技術運營影響”。比如實施合規轉型成本需要多少？跨國企業進行本地化部署所影響的團隊范圍有多大？對全球業務流程有多大影響？中國本土團隊是否有技術能力支撐合規轉型所涉及到的

43、部門主要有數字化營銷、法務、安全與合規等職能部門。其中最重要的關于轉型成本考慮主要包含人力成本、一次性開支、非人力成本/第三方。階段三：轉型與實施階段三的轉型與實施即若各職能部門評估后建議實施合規轉型，接下來的實施仍有一定程序要走：從“選商采購-流程詳設-研發-主數據交互涉及-歷史數據遷移-AD集成-系統對接-上線”，但該流程只是大部分的情況，不同的企業可能實施程序也會有差異，但目標是一致的，即保證本地安全能力符合本地和集團標準。階段二：評估與規劃（部分）26Part 32024 跨境數據合規白皮書Part 3.數據安全合規的應對策略階段四：持續運營階段四的持續運營，提醒很多準備開展合規轉型的

44、企業，合規轉型是一項“長期工程”，在部署完之后仍要不斷提升運營管理能力，本土企業與總部仍要保持有效的資源共享與工作協作。比如消費者在與企業產品/服務互動中會產生很多數據，企業則需要提供跨平臺、跨渠道的統一、標準化的授權記錄收集方式、提供上下游系統間數據主體授權同意記錄的同步機制、提供統一的平臺對授權方式、用戶授權現狀渠道管控現狀等進行管理等。個性化展示、購物服務、會員服務等廣告推送、營銷短信等用戶行動二方數據一方數據一方數據階段三：轉型與實施（部分）階段四：持續運營（部分）27Part 32024 跨境數據合規白皮書Part 3.數據安全合規的應對策略3.3 徑碩科技數據安全解決方案隨著以網絡

45、安全法數據安全法個人信息保護法為核心的數據保護法律體系的完善，以及生成式人工智能服務安全基本要求互聯網信息服務深度合成管理規定等細分領域規范性文件的密集出臺，無論是內資還是外資企業在數據業務中都會面臨更加嚴格、細化的數據合規審查的趨勢及更高的業務要求。徑碩科技數據安全解決方案主要分為四個部分：軟件設置安全、實施部署安全、數據傳輸安全、專業服務安全。全稱為：Role-Based Access Control，簡單而言即基于角色、權限、人三個維度，分配不同的權限?？梢酝ㄋ桌斫鉃椋翰僮髡咴谄髽I處于何種角色，決定了后臺將開通哪種類型的權限給到操作者進行管理。比如說當使用者是市場部的CMO角色，那它的權

46、限可能是最大的，所有的功能都可以給他開放，但如果僅僅是管理活動執行層之一，那后臺可能只會相應給他開活動相關的權限。對于RBAC2.0上線流程，可理解為在客戶業務上線中，CSM（客戶成功團隊）怎么樣去幫到我們的客戶，一步一步的去創建整個后臺賬號跟權限相關的關系。包括會做一些定期的復盤，比如說可以做一個季度復盤來看所有的賬號跟權限角色要不要更新等等。除此之外，徑碩科技通過洞悉客戶需求，配置SSO（single sign on）即單點登錄功能。該功能可以跟內部客戶的OA系統關聯起來，現在用戶登錄后臺，需要“賬號密碼+掃碼”雙因素驗證登錄，過程較為繁瑣，因此，通過SSO單點登錄功能，則可以直接登錄賬號

47、，賬號內會有企業所涉及到的應用入口，可以直接跳轉到各個平臺，無需二次驗證。SSO功能對于企業業務開展的好處在于：企業內部擁有統一的賬號，若因內部業務調整或組織架構變動，對應的人員權限發生變動，則無需單個系統調整，對于整個賬號管理、權限分配做到了一體化、實時化管理。3.3.1 軟件設置安全-RBAC權限管理28Part 32024 跨境數據合規白皮書Part 3.數據安全合規的應對策略該功能的開發，是基于真實的客戶需求，考慮到規模較大的客戶團隊，人員變動離職若不及時去關閉權限或者因為系統分散導致操作上出現疏漏，該情況下企業的數據安全風險會存在非常大的威脅因素。徑碩的“隱私合規中心”，如圖所示可以

48、支持最多關聯 5 條隱私條款，比如說針對個人信息保護法、個人信息數據出境，不同企業、不同行業或不同地區都有相應的要求，在法律條款中，徑碩后臺則會支持根據不同的管理目的進行條款分類，以此適應不同場景的合規需求。同時隱私條款在不斷的迭代升級，隨著國家法律法規的變化以及內部業務的一些變動，同步更新隱私條款，對此，徑碩科技有一個“法律條款版本管理”來單獨管理隱私條款，即隱私條款一旦變更之后，用戶就需要重新授權。29Part 32024 跨境數據合規白皮書Part 3.數據安全合規的應對策略為了方便大家更好的理解，下圖為用戶端隱私條款樣式。以線下活動參展為例：作為用戶，首次參加品牌或者企業的線下活動，當

49、需要下載企業的白皮書等內容資料，企業會要求用戶提供個人維度的一些信息。而根據用戶隱私保密協議，用戶信息作為一個敏感內容，必須要用戶授權，這時下載界面會彈出一個表單，引導用戶去填用戶信息，與此同時就會相應的有一個或多個隱私條款來勾選，只有當用戶選擇必須接受隱私條款，用戶才可以提交填寫了個人信息數據的表單。當用戶勾選隱私協議后，后臺也會有相應的記錄，這一步驟是為了審計，目的是為了解決用戶關于隱私獲取的投訴等問題。舉個簡單例子，如果一個終端用戶去企業投訴表示：“你看我都沒有授權，你怎么就給我推這些內容？你怎么還有我的數據呢？”企業就可以在后臺去拉取到他授權的記錄，相應的顯示在什么時候、什么時間、在哪

50、個頁面，用戶去授權的隱私條款。這一舉措無論是對用戶還是企業都可以最大程度保護自身的利益不受損。30Part 32024 跨境數據合規白皮書Part 3.數據安全合規的應對策略實施部署安全關鍵在于數據加密安全。徑碩科技在數據加密服務項中會提供阿里云的TDE的服務（Transpar-ent Data Encryption）這是阿里云的硬盤加密服務，也是徑碩數據安全加密的基礎。該功能不會跟客戶額外收費，但客戶若有更高層面的數據需求，也可以對此功能進行升級，即個人數據的加密服務，該項功能啟用的是較為高階的算法(AS-256非對稱加密)方式來確保用戶的主數據、個人信息數據以及公鑰私鑰公網傳輸。這一功能根

51、本目的在于最大程度保障數據安全。3.3.2 實施部署安全-數據安全加密設置 JING會為用戶創建一對RSA公、私鑰以及AES加 密KEY；并用公鑰對KEY進行RSA格式加密；用戶可以隨時手動刷新RSA公、私鑰;用戶需要自己添加希望加密的資料及資料顯示 的打碼方式;打碼方式設置后可以隨意變更，已經有加密數 據的資料字段將不能移除;數據安全開啟后，不允許關閉。31Part 32024 跨境數據合規白皮書Part 3.數據安全合規的應對策略數據加密呈現設置的方式在JING后臺可以靈活的調整。比方“呈現設置”、“打碼方式”、“打碼規則”字段在前端展示的時候，是否要打碼？是部分打碼還是全部打碼？這些細節

52、都可以在JING后臺去做詳細的設置。在數據合規部分，會分為兩方面，一方面是企業的數據出境，一方面是企業的數據入境。企業在實際業務中涉及到數據出境，就要符合中國的數據出境的條例；如果是數據入境，企業從哪個國家出境的就要符合國家當地的法律法規。因此，當客戶需要數據傳輸合規的配合，比如說客戶有需要走數據出境的評審，徑碩科技也會相應的提供合規材料等方面的配合，幫助企業更好的完成合規傳輸。3.3.3 數據傳輸安全-數據傳輸合規總覽32Part 32024 跨境數據合規白皮書Part 3.數據安全合規的應對策略在客戶服務層面，徑碩科技擁有專業的客戶成功團隊去保障客戶的所有賬號在合規的前提下，權限都是正確的

53、分配。該業務線的對接人表示：“我們業務所對接的一般是企業市場部或是合規部門的對接人，徑碩用戶權限管理簡單而言即，如果所對接的崗位發生變化，比如對接人員離職或者轉崗，那么用戶權限則需要有相應的變更，徑碩科技的客戶成功團隊則會根據客戶需求進行系統權限或角色的更改?！痹摬僮骺捎煽蛻糇约和瓿苫蚪挥蓮酱T團隊去完成，決定權在客戶手中。3.3.4 數據傳輸安全-數據傳輸合規總覽同時，徑碩科技產品功能會存在“用戶權限停用管理流程”，這一部分的流程類似于“內部審計”即確?！斑^程合規”。在運營一段時間后，可以通過定期核對流程去審計企業一段時間中內部所有的數據合規情況。比如變更的情況是不是都有記錄？是不是都做了相應

54、的操作？通過定期復盤來確保企業數據操作的過程是合規的，或者通過核對環節發現一些問題，以此提出后續一些優化的建議。33Part 32024 跨境數據合規白皮書Part 3.數據安全合規的應對策略總體而言，在數據安全領域，權威的認證證書是最好的代言。徑碩科技所提供的產品和服務流程經過ISO27001以及MLPS 2.0認證。眾所周知，醫療行業是數據合規審核和把控最為嚴格的行業之一。圖示右邊所取得證書是徑碩科技服務法國的一家藥企時，合作方為考察我們產品及相關服務，所聘請的第三方機構“Cyber Vadis”對我們所做出的認證說明，滿分是1,000分，徑碩科技取得900分，代表了徑碩科技軟件是成熟且安

55、全的，最終讓客戶選擇徑碩科技。34前沿技術與數據合規的碰撞Part4.1 揭開生成式AI的神秘面紗4.2 AIGC國際層面的立法監管情況4.1 揭開生成式AI的神秘面紗AIGC（Artificial Intelligence Generated Content），是基于生成對抗網絡、大型預訓練模型等人工智能的技術方法，通過已有數據的學習和識別，以適當的泛化能力生成相關內容的技術。其核心思想是利用人工智能算法生成具有一定創意和質量的內容。通過訓練模型和大量數據的學習，AIGC可以根據輸入的條件或指導，生成與之相關的內容。Part 42024 跨境數據合規白皮書Part 4.前沿技術與數據合規的碰

56、撞AIGC的產品多涉及四個領域，文本領域（ChatGPT、Jasper ai等）、圖像領域（Midjourney等）、視頻領域（Synthesia等）、音頻領域（MurfAI等）。我們最為熟知的就是ChatGPT，它是OpenAI開發的人工智能聊天機器人程序，能夠用67種語言與用戶進行對話，處理自然語言交互方面的能力十分出色，但其本質上是自然語言處理機器學習模型，這類AI屬于生成式AI，不僅可以通過對數據的學習來提煉信息、預測趨勢，而且可以生成不同于學習樣本的新內容。ChatGPT對于法律行業等腦力工作者們將產生巨大影響，有很多人的工作都能夠被替代完成，如可以幫助法律人做法律研究和文獻檢索、類

57、案推送、文件審查和翻譯等，但是法律人必須具備的同理心、職業道德、溝通能力等方面是GPT所無法取代的。1957年，萊杰倫，希勒(Lejaren Hiller)和倫納德艾薩克森(Lconard Isaacson）通過將計算機程序中的控制變量改為音符，完成了歷史上第一部由計算機創作的音樂作品一弦樂四重奏依利亞克組曲(IlliacSuite)2007年，紐約大學人工智能研究員羅斯-古德溫（Ross Goodwin）裝配的人工智能系統通過對公路旅行中的所見所聞進行記錄和感知，撰寫出世界上第一部完全由人工智能創作的小說 1 The Road2014年6月，生成式對抗網絡被提出。2021年2月，OpenAI

58、EH7 CLIP(Contrastive Language-Image Pre-Training)多模態預訓練模型1966年，約瑟夫韋岑鮑姆（JosephWeizen-baum）和肯尼斯科爾比（Kenneth Colbv）共同開發了世界上第一個機器人“伊莉莎(Eliza)”19世紀80年代中期，IBM基于隱馬爾可夫鏈模型創造了語音控制打字機“坦戈拉(Tangora)”，能夠處理兩萬個單詞2012年，微軟公開展示了一個全自動同聲傳譯系統，通過深度神經網絡(DNN)可以自動將英文演講者的內容通過語音識別、語言翻譯、語音合成等技術生成中文語音。2022年，擴散模型 DiffusionModel 逐漸

59、替代生成式對抗網絡(Generative AdversarialNetwork,GAN)早期萌芽階段沉淀積累階段快速發展階段364.2 AIGC國際層面的立法監管情況Part 42024 跨境數據合規白皮書Part 4.前沿技術與數據合規的碰撞內容來源：生成式人工智能發展與監管白皮書（一）法律中華人民共和國科學技術進步法我國科技領域的基本法，2021 年第二次修訂，2022 年 1 月 1 日正式施行。4.2.1 美國、加拿大4.2.2 歐洲4.2.3 中國37Part 42024 跨境數據合規白皮書Part 4.前沿技術與數據合規的碰撞中華人民共和國個人信息保護法2021 年 11 月 1

60、日正式施行，其中包括了一些關于人工智能的規定，如禁止將個人信息用于違法活動和侵害個人權益，要求人工智能決策的透明和可解釋性等。中華人民共和國數據安全法2021 年 9 月 1 日正式施行，其中包括了一些關于人工智能的規定，如要求加強對人工智能相關數據的安全保護和管理等。中華人民共和國網絡安全法2017 年 6 月 1 日施行，其中第二十二條規定了網絡運營者應當采取技術措施和其他必要措施，防止和減少網絡安全事件的發生，其中包括使用人工智能等技術手段。（二）部門規章生成式人工智能服務管理暫行辦法2023 年 4 月 11 日，國家網信辦發布了生成式人工智能服務管理辦法（征求意見稿）（以下簡稱辦法（

61、征求意見稿）。在征集并綜合考量各方意見后，網信辦聯合發改委、教育部、科技部、工信部、廣電總局于 2023 年 7 月 10 日正式發布生成式人工智能服務管理暫行辦法（以下簡稱暫行辦法）。作為全球范圍內首部直接針對生成式人工智能進行規制的國家層面法律文件，暫行辦法將于 2023 年 8 月 15 日正式施行，我國人工智能敏捷治理管理模式初見成效?；ヂ摼W信息服務算法推薦管理規定2022 年 3 月 1 日生效的互聯網信息服務算法推薦管理規定（算法推薦規定）要求算法推薦服務提供者應當建立健全算法機制機理審核，應當定期審核、評估、驗證算法機制機理、模型、數據和應用結果等，不得設置誘導用戶沉迷、過度消費

62、等違反法律法規或者違背倫理道德的算法模型。此外，算法推薦規定要求算法推薦服務應當向網信部門完成備案：具有輿論屬性或者社會動員能力的算法推薦服務提供者應當在提供服務之日起十個工作日內通過互聯網信息服務算法備案系統填報服務提供者的名稱、服務形式、應用領域、算法類型、算法自評估報告、擬公示內容等信息，履行備案手續。38Part 42024 跨境數據合規白皮書Part 4.前沿技術與數據合規的碰撞互聯網信息服務深度合成管理規定2023 年 1 月 10 日生效的互聯網信息服務深度合成管理規定（深度合成規定）是 AIGC 領域最為核心的監管規定。深度合成技術是指利用以深度學習、虛擬現實為代表的生成合成類

63、算法制作文本、圖像、音頻、視頻、虛擬場景等信息的技術，包括文本轉語音、音樂生成、人臉生成、人臉替換、圖像增強等技術。因此，AIGC 屬于深度合成規定的監管范圍。深度合成規定明確，深度合成服務提供者應當采取技術或者人工方式對深度合成服務使用者的輸入數據和合成結果進行審核，此外，提供智能對話、合成人聲、人臉生成、沉浸式擬真場景等生成或者顯著改變信息內容功能的服務的，應在生成或者編輯的信息內容的合理位置、區域進行顯著標識，向公眾提示深度合成情況。（三）部門規范性文件新一代人工智能倫理規范2021 年 9 月 25 日，國家新一代人工智能治理專業委員會發布了新一代人工智能倫理規范(以下簡稱倫理規范)，

64、旨在將倫理道德融入人工智能全生命周期，為從事人工智能相關活動的自然人、法人和其他相關機構等提供倫理指引。倫理規范經過專題調研、集中起草、意見征詢等環節，充分考慮當前社會各界有關隱私、偏見、歧視、公平等倫理關切，包括總則、特定活動倫理規范和組織實施等內容。倫理規范提出了增進人類福祉、促進公平公正、保護隱私安全、確?？煽乜尚?、強化責任擔當、提升倫理素養等6項基本倫理要求。同時，提出人工智能管理、研發、供應、使用等特定活動的18項具體倫理要求。網絡安全標準實踐指南-人工智能倫理安全風險防范指引為防范人工智能倫理安全風險，2021 年 1 月 5 日，全國信息安全標準化技術委員會秘書處組織編制了網絡安

65、全標準實踐指南人工智能倫理安全風險防范指引，為組織或個人開展人工智能研究開發、設計制造、部署應用等相關活動提供指引。39五結語正如開頭所言，隨著社會各界對于數據價值的認知不斷加深，數據作為生產要素不斷發揮著帶動生產力的作用，相應的數據隱私、數據安全、數據合規等關鍵事項逐漸被重視并提上日程。本白皮書總結歸納該領域的眾多專家以及各企業在該領域的負責人的部分觀點。當然，具體到實施落地層面，如何保證企業數據合規仍有很多路要走。徑碩科技在該領域通過不斷提高產品研發能力幫助不同類型企業完成合規轉型，在未來，徑碩科技仍堅持國家數據安全發展戰略，同各企業一起協作，不斷提升中國數據安全競爭力。Part 52024 跨境數據合規白皮書Part 5.結語40