1、1前言生成式人工智能（Generative Artificial Intelligence，以下簡稱“GAI”）的訓練、研發與應用離不開大規模、多樣化且實時更新的數據支持。隨著云計算、物聯網等數字技術的持續發展，數據密集型跨境活動已成為 GAI 產業發展的核心驅動力。近年來，以 ChatGPT 等大型語言模型為代表的 GAI 技術迅速崛起，進一步揭示了跨境數據流動在全球人工智能產業格局中的深刻影響與重要性。GAI 數據跨境流動具有重要經濟價值和社會意義。全球范圍內，各國已逐漸認識到數據跨境流動在人工智能發展中的重要性，并達成共識。2023 年 9 月，中國與歐盟在“中歐高層數字對話”中就數據跨

2、境流動與人工智能議題展開了專門討論，體現了國際社會對這一議題的高度關注。美國高級研究員 Nate Picarsic亦指出，數據跨境流動不僅關乎全球經濟的運作，更深刻影響著國家在人工智能標準制定和數據治理中的話語權。然而，當前 GAI 數據跨境流動的監管體系尚不完善，相關法律與政策框架存在諸多空白與不足。雖然我國在數據跨境流動方面已初步建立了基本的法律規范體系，但針對 GAI 數據跨境流動的專項研究與制度建設尚處于起步階段。2024年施行的生成式人工智能服務安全基本要求（以下簡稱“基本要求”）雖對 GAI 服務提供者的安全標準提出了明確要求，但未對 GAI 數據跨境流動問題提供具體指引。此外，2

3、024 年國家層面發布的促進和規范數據跨境流動規定在調整數據出境合規框架的同時，未能為 GAI 研發及應用場景提供更為細化的規范，導致 GAI 服務提供者在合規實踐中面臨一定操作性困境。與此同時，GAI 數據跨境活動與現行法律體系之間仍存在較大差距，合規治理面臨嚴峻挑2戰，這可能進一步制約?GAI 產業的可持續發展。GAI 相關主體在進行跨境數據處理時，往往難以完全遵循數據出境的相關要求，這不僅可能侵害數據主體的權益，還可能對?GAI 模型的精度與性能產生負面影響。綜上所述，本白皮書旨在深入研究?GAI 數據跨境流動問題，結合?GAI 產業的全球發展格局，分析?GAI 數據跨境流動的現狀與挑戰

4、，探討數據流動的需求、應用場景及安全風險?；诂F有監管體系的分析，本白皮書將借鑒國際立法與監管經驗，評估我國跨境數據流動的現有監管框架，并提出具體的政策優化建議，為?GAI 數據跨境流動的監管與治理提供理論依據與實踐指導，以期為相關監管部門提供可操作性建議，促進?GAI 產業的健康可持續發展。囿于能力所限，難免有所疏漏，誠摯歡迎各位專家、學者通過以下郵箱與我們聯系交流：、。參編人員：姚遷、劉晉名、沈劼3目 錄目 錄前言.11 GAI 產業發展與數據跨境流動風險分析.11.1 GAI 產業發展現狀與競爭態勢.11.1.1 GAI 產業的全球格局.11.1.2 GAI 產業的競爭態勢.31.1.3

5、 GAI 產業的細分領域.41.2 GAI 數據跨境流動的必要性分析.51.2.1 企業行業數據跨境需求.71.2.2 新興市場與產業發展需求.81.2.3 執法監管跨國數據流動需求.81.2.4 我國新型全球化戰略導向需求.91.2.5 國際合作與地區間政策協調需求.101.3 GAI 數據跨境流動場景.101.3.1 跨境調用算力導致數據出境.111.3.2 跨境調用 GAI 服務或產品導致數據出境.131.3.3 通過境外開源代碼或模型構建 GAI 導致的數據出境.131.3.4 跨境外包服務導致的數據出境.151.4 GAI 數據跨境流動安全風險.161.4.1 個人信息安全與隱私風險

6、.171.4.2 GAI 產業安全風險.171.4.3 國家安全與數字主權風險.202 我國 GAI 數據跨境流動監管與政策指引.222.1 我國數據跨境流動監管現狀.222.1.1 法律規范：中國特色的數據跨境流動管理體系初步形成.222.1.2 行業管控：重點行業數據跨境的加強監管制度.232.1.3 合規性管理：本地化存儲與基礎設施建設.242.1.4 技術現狀：技術支撐監管部門的安全評估和風險管理.242.2 我國數據跨境流動政策制定要素考量.252.2.1 數據安全和隱私保護要素.252.2.2 國家利益和數據主權要素.262.2.3 技術和產業優勢要素.272.3 我國數據跨境流動

7、政策的現有不足.282.3.1 數據跨境流動管理的戰略目標有待完善.282.3.2 數據合規與技術創新的難以平衡.292.3.3 數據保護重點尚未形成共識且數據治理能力不均衡.293 GAI 數據跨境流動的治理機制.313.1 規范完善：優化 GAI 產業導向型的數據跨境流動監管制度體系.313.2 技術防控：構建全鏈路數據跨境風險防控范式.343.3 國際合作：基于互惠原則減少 GAI 數據跨境壁壘.364 結語.38參考文獻.3911GAI 產業發展與數據跨境流動風險分析1GAI 產業發展與數據跨境流動風險分析1.1 GAI 產業發展現狀與競爭態勢數據的流通和應用密切依賴于具體的使用場景，

8、因此，在探討 GAI 產業的數據跨境流動時，必須深入分析數據使用的具體場域。以 GAI 產業為研究視角，本白皮書將從全球產業分布格局、主要國家的競爭態勢、產業細分領域以及發展趨勢等多個維度，對 GAI 產業的發展現狀進行全面剖析。通過這一分析，旨在深入揭示 GAI 產業在全球范圍內的布局和競爭態勢，進而為理解 GAI 數據跨境流動的實際場景提供理論依據。首先，全球 GAI 產業的發展呈現出多樣化的趨勢，各國在技術創新、政策支持和產業生態建設方面表現出不同的特點。其次，GAI 產業的競爭態勢在不同國家和地區間存在顯著差異，特別是中美兩國在技術、投資和市場占有率上的主導地位，深刻影響了全球產業鏈的

9、布局與發展。此外，GAI 產業的細分領域，如生成模型、自然語言處理、圖像生成等，隨著技術的不斷進步，正在經歷快速發展，并且不同細分領域的應用場景和技術要求也各不相同，這對跨境數據流動帶來了不同的挑戰與機遇。通過對這些維度的分析，能夠更加全面地把握 GAI 產業的整體發展脈絡，為理解數據跨境流動的需求、場景和風險提供重要的背景支持。1.1.1GAI 產業的全球格局根據國際權威統計平臺的最新數據，全球 GAI 產業規模近年來保持高速增長，特別是在中美兩國的帶動下。目前，行業預測顯示，全球 GAI 市場正在迅速增長，GAI 市場的市場規模預計將在 2024 年達到 360.6 億美元。預計市場規模的

10、年增長率（2024-2030 年復合年增長率）為 46.47%，到 2030 年市場規2模將達到 3561 億美元。1（詳見圖 1）這種高速增長在很大程度上得益于中美兩國的引領，美國和中國在開發和部署 GAI 技術方面主導著市場投資、技術創新和人工智能基礎設施。盡管歐洲、日本和韓國等經濟體在 GAI 技術的研發和應用上不斷增加投入，但與中美在產業規模和技術水平上仍存在顯著差距。歐洲在數據治理和隱私保護方面處于領先地位，出臺了嚴格的數據保護政策（如歐盟頒布的通用數據保護條例（General Data Protection Regulation，以下簡稱“GDPR”），其在智能交通和可持續能源等領

11、域也取得了一定進展。然而，從整體產業規模來看，GAI 的全球布局主要集中在少數發達經濟體，這也意味著全球 GAI 產業的資源和創新能力分布不均，需要通過國際合作和技術轉讓等方式，促進全球范圍內的產業均衡發展。圖 1：全球 GAI 市場規模估算圖31.1.2GAI 產業的競爭態勢中美兩國在 GAI 領域處于領先地位，各有其優勢和差異。中國在 GAI 應用場景的開發和覆蓋方面具有顯著優勢；而美國在 GAI 的底層技術和基礎設施等方面深耕已久，目前仍處于領先地位，通過兩者的優勢互補更好地促進 GAI 的應用。針對中國而言，在 GAI 應用創新層面，得益于強勁的政策支持、廣泛的應用場景以及龐大的市場規

12、模，中國的 GAI 應用場景的使用率已顯著增加。根據AITOP100 發布的數據，中國在 2023 年在 AI 應用場景的開發和覆蓋方面具有顯著優勢，應用領域廣泛，涵蓋了生產和生活的多個方面，這與中國在電子商務（如阿里巴巴的生成式 AI）、金融科技（如螞蟻集團的 AI 系統）和數字內容生成（如百度的文心一言、騰訊 AI Lab）等領域的快速發展密切相關。2同樣在 IBM 發布的2023 年全球 AI 采用指數中，中國企業在部署 AI 方面較為積極，尤其是在提高自動化、優化業務流程等方面采取了更多行動，使 AI 的實際應用率大幅提升。3另外，中國在政策支持上持續加碼，如新一代人工智能發展規劃鼓勵

13、 AI 技術在實際場景中的推廣，這極大促進了 GAI 在商業領域的滲透。而美國在 GAI 的底層技術和基礎設施方面具有明顯優勢，得益于其先進的計算資源（如微軟 Azure、谷歌 TPU）、頂尖的研發團隊（如 OpenAI、谷歌DeepMind），以及開放的創新環境，美國的 GAI 技術始終保持全球前沿。此外，美國的 GAI 公司依托成熟的數據治理和隱私保護框架，在智能家居、聯網汽車等細分領域保持穩定增長。根據行業統計，與全球相比，最大的市場規模將在美國（2024 年為 116.6 億美元）。（詳見圖 2）4從技術投入到應用實踐，中美兩國展現出不同的優勢與互補性，中國在應用場景中領先，而美國在基

14、礎研發方面占優。這種差異為未來的跨境合作提供了可能性，但也因為數據隱私和安全要求，增加了競爭的不確定性。二者的互補性也預示了未來在全球數據跨境流動中的深度合作與競爭。圖 2：全球 GAI 市場規模比較圖1.1.3GAI 產業的細分領域根據國家的經濟基礎、政策導向和技術積累，不同國家在 GAI 產業的細分領域發展存在較大差異。中美兩國在 GAI 的不同細分行業中各具優勢。中國在電子商務（eCommerce）、金融科技（FinTech）和數字媒體（Digital Media）領域表現尤為突出。龐大的用戶市場和豐富的數據積累為中國 GAI 在這些應用領域的領先地位提供了支撐。例如，阿里巴巴、字節跳動

15、和騰訊等公司在數字營銷5和電商領域運用 GAI 的自然語言處理和用戶行為預測技術，有效提高了個性化推薦的精準度。同時，中國的金融科技公司充分利用 GAI 推動智能客服、風險管理和信用評分的發展，使得 GAI 在該領域的使用率和精確度大幅提升。反觀國外，美國在智能家居（Smart Home）、聯網汽車（Connected Car）和電子服務（E-Services）等領域占據領先地位。亞馬遜 Alexa 和谷歌 Nest 等智能家居產品廣泛應用了 GAI，涵蓋語音識別和家居環境控制等功能。美國在智能網聯汽車領域的領導地位也十分顯著，以特斯拉和 Waymo 為代表的公司在自動駕駛方面應用了 GAI

16、的深度學習和圖像識別技術。得益于較為完善的數據治理和隱私保護制度，美國在電子服務領域的數據應用和技術創新同樣具備領先優勢，同時在數據治理和隱私保護方面走在全球前列，GAI 在智能交通和可持續能源領域的應用成效顯著。歐盟的 GAI 技術在解決社會治理和環保問題方面具備獨特優勢，尤其是在減少碳排放和提高交通安全性方面的應用。例如，歐洲多個智能城市項目在交通管理中使用 GAI 優化公共交通路線，減少擁堵，并且在可再生能源預測和分配領域也獲得積極成效?？傮w來看，美國在基礎設施上持續發展，保證了 GAI 在不同領域的均衡擴展；而中國則在市場需求驅動下，在特定行業快速崛起。此外，日本和韓國等國家雖在特定領

17、域（如制造業和機器人技術）保持一定競爭力，但整體規模仍與中美存在較大差距。1.2 GAI 數據跨境流動的必要性分析隨著人工智能技術的飛速發展和全球經濟一體化進程的不斷加深，生成式人工智能（GAI）技術在全球范圍內的應用以及相關數據流動變得愈加頻繁。隨著技術創新的不斷推進，數據跨境流動的必要性愈發凸顯，這不僅是技術發展的內6在需求，也是全球經濟數字化轉型的重要組成部分?；诒景灼捌诘膶嵶C調研與研究成果，我們認為，GAI 數據的跨境流動具有多方面的必要性。具體而言，GAI 數據跨境流動的必要性可以從多個維度進行分析與闡述。首先，從企業行業角度來看，隨著跨國企業在全球范圍內開展業務，數據流動成為

18、支撐其業務創新、優化和全球戰略布局的關鍵因素；其次，從相關市場與產業的角度來看，GAI技術的全球競爭格局推動了數據在不同國家和地區之間的流動，尤其是在新興市場與發達市場之間，數據流動對產業發展至關重要。再者，從執法監管的角度出發，隨著 GAI 應用日益廣泛，跨境數據流動對國際間監管協作與合規要求的挑戰日益增多，如何平衡數據流動與數據保護的需求已成為全球各國亟需解決的問題。此外，國家戰略層面上，各國在制定人工智能和數字經濟發展戰略時，越來越依賴于數據作為戰略資源的跨境流動，以提升國家在全球科技創新和經濟競爭中的地位。最后，國際合作方面，隨著全球數字經濟的日益融合，國際間的數據合作與政策協調成為促

19、進 GAI 技術創新與應用推廣的重要手段，推動數據流動的國際協調與監管機制建設顯得尤為重要。7圖 3：GAI 數據跨境流動需求全圖景結合該需求全圖景，數據跨境流動需求維度具體展開如下：1.2.1企業行業數據跨境需求以數據作為主要業務驅動或者采用互聯網等作為主要業務模式的行業、抑或是跨國業務往來中，數據跨境需求量極大。以電子商務和金融科技領域為例，其業務模式主要依托于各種數字化技術的組合應用，而 GAI 作為高效提能的主要技術之一，其應用需求飆升。企業需要對大量用戶數據進行分析，以實現業務驅動、決策支撐等功能，主要包含個性化推薦和欺詐檢測等使用場景。這些行業跨境數據需求旺盛，但卻容易受制于法規為

20、代表的監管制度影響。例如，字節跳動的 TikTok 業務涉及大量的用戶生成內容，受到美國、歐盟等地區隱私保護法規的高度關注，要求其本地存儲數據并遵循特定的數據保護協議。這些法規不僅增加了數據傳輸的復雜性，還影響了 GAI 模型訓練和更新的效率。81.2.2新興市場與產業發展需求一方面，對于東南亞、非洲等新興市場而言，GAI 數據跨境流動的法律體系尚不健全，監管政策靈活性較高，反而為企業提供了更大的市場發展空間。中國和美國的 GAI 企業（如騰訊和亞馬遜）在這些市場的布局較為活躍，但同時也推動了這些國家逐漸加強數據保護立法。對于 GAI 企業而言，新興市場既是拓展應用的理想場所，也逐漸成為新的法

21、律合規風險地帶。另一方面，值得一提的是，國際規則制定權往往是大國的權利，一國的經濟實力在很大程度上決定其在國際規則制定中的話語權。然而，隨著當前世界經濟呈多極化發展，新興經濟體以及眾多發展中國家都在利用先進科技來發展本國經濟，隨著新興經濟體和發展中國家經濟水平和科學技術的提高，其在國際規則制定中的話語權也在逐漸提高。4目前在跨境數據流動尚未達成國際統一規則的背景下，新興經濟體在保障數據安全的前提下，往往采取寬松的國內政策，此時對于 GAI 企業而言抓住機遇，借助人工智能等新興技術大力發展數字經濟既是新的契機，同時也存在新的法律合規風險點。1.2.3執法監管跨國數據流動需求國家主權作為我國整體安

22、全管控的最高要求，其延伸出網絡安全、數據主權、隱私安全保障的本質內涵需求。安全管控是執法監管機構在安全領域內的第一職責要義，而執法監管手段和路徑，尤其是跨國證據的調取需要依托電子數據的獲取。以美國為例，其通過 2018 年 3 月 23 日所簽署生效的澄清域外合法使用數據法案賦予美國政府在特定情況下調取境外數據的權力。5通過制定美國所屬的數據處理者的本地化存儲義務來實現執法機構調取跨國數據，從而實質性地達到長臂管轄的延伸。由此所見，美國系采取國內法的方式確立了域外數據執法權。9而我國關于數據調取的境外執法活動秉持“公對公”理念，依托于國際條約、司法協定以及平等互惠原則來實現，極易受到政治、經濟

23、以及外交政策等外部因素干擾，域外執法體制靈活性不足，跨國數據調取活動存在一定障礙。與此同時，如何在不同的法域體系下更有效地對跨國數據流動進行執法監管，同樣值得關注。在跨國數據流動方面，歐盟和美國等地區展現出不同的治理路徑。歐盟采取分類分級分主體理念，重點關注訓練數據透明度，而美國則對公開可得個人信息持積極利用態度，探索公共數據收集豁免。我國在保持人工智能產業發展和安全監管之間的平衡方面，需要推進產業促進政策法制化，堅持包容審慎和分類分級監管立法導向，合理構建起我國 GAI 訓練數據的數據治理體系。這些措施對于確?？鐕鴶祿鲃拥暮弦幮院桶踩灾陵P重要，同時也促進了 GAI技術的健康發展和應用。1

24、.2.4我國新型全球化戰略導向需求數字經濟的全球化發展使數據跨境傳輸不可避免，為在人工智能時代背景下適應世界數字經濟新形勢，支持數據跨境自由流動以推動中國數字經濟的發展，提高中國在世界數字貿易中的競爭力，我國進一步擴大開放與“一帶一路”倡議，推動合作共贏的新型全球化戰略。我國所采用的“共贏”經貿戰略導向，推動數據跨境需求的快速且持續性增長。擴展開放政策意味著更多數據將跨境流動，包括外資企業的數據輸出、中資企業的跨境數據流動等。隨著“一帶一路”倡議向貿易、互聯網等數據密集型行業擴展，簽訂的雙邊和多邊經貿協議以及與“一帶一路”國家的密切合作，推動了數據的持續跨境流動。101.2.5國際合作與地區間

25、政策協調需求盡管全球數據保護法律差異巨大，GAI 應用的技術特性決定了跨國合作的必要性。例如，GAI 在醫學成像、智能交通等領域的應用往往需要多個國家之間的數據共享。美國與歐盟、日本等國簽署的數據傳輸協議為這些領域的跨境數據流動提供了一定的支持。然而，中國由于數據主權的要求，在此類合作上面臨更多挑戰，因此很多中國 GAI 企業采用雙層架構的方式，即在海外市場使用本地化的數據存儲和計算，以實現合規。隨著各國對 GAI 應用的需求增長，跨境數據流動的政策協調可能在未來成為新的趨勢。1.3 GAI 數據跨境流動場景在 GAI 領域，數據的跨境流動已逐漸成為企業運營和數據管理中極為重要的一環。由于 G

26、AI 模型訓練和應用的計算資源需求龐大，國內企業往往依賴境外的先進計算資源和模型，這種依賴使得數據跨境流動成為常態。在法律上，跨境數據流動是指數據從一個司法管轄區轉移到另一個，或在轉移后意圖再轉移的行為。6GAI 的基礎研究發軔于美國，近年來，美國在 GAI 大模型研發上始終占據主導地位，而我國的 GAI 大模型廠商則更多扮演著追隨者的角色。囿于基礎模型研發和訓練所需投入的高昂成本以及技術壁壘，國內廠商在 GAI 大模型構建方面通常采取調用境外開源模型或境外算力資源等策略，結合自有行業數據或采購外部行業數據來進行模型訓練和優化。這種依賴外部技術資源的發展模式，決定了我國 GAI 數據跨境流動蘊

27、藏著巨大風險。7此外，個人信息法規定，關鍵信息基礎設施運營者和處理大量個人信息的主體，若未通過國家網信部門的安全評估而向境外提供個人信息，將受到處罰。8隨著全球化的數據依賴和技術協作日趨緊密，GAI 企業在跨境數據傳輸過程中面臨著嚴峻的挑戰，包括數據安全、隱私保護、以及各國法律的多重管轄。具體來說，GAI 跨境數據流動的場景11涉及算力調用、外包服務、國際市場需求，以及開源平臺的利用等方面，且每種場景都伴隨著不同的合規性和安全性要求。GAI 開發者或部署者如何識別數據跨境流動的不同場景，并采取針對性措施規避風險，已成為 GAI 產業發展進程中亟待解決的重大課題，也是 GAI 治理體系構建中不可

28、回避的重要議題。以下將從幾個主要場景分析跨境數據流動的具體情況及其潛在風險。圖 4：GAI 數據跨境流動場景圖1.3.1跨境調用算力導致數據出境算力調用成為 GAI 跨境數據流動的核心動因之一。GAI 跨境調用算力是指GAI 開發者或部署者基于特定目的，利用境外計算資源支持 GAI 應用，例如模型訓練、內容生成或其他復雜計算任務。9隨著 GAI 模型的復雜度和計算需求的提升，國內算力資源難以完全滿足大規模模型的訓練需求，因此部分國內企業選12擇跨境調用境外的算力資源。具體來說，當本地計算資源無法滿足運營需求或出于成本、性能等方面的考量時，GAI 開發者或部署者會選擇境外更具優勢的算力資源來滿足

29、運營需求，從而引發數據的跨境流動。在上述例子中，數據和任務發起方位于中國，而計算資源位于美國，構成了典型的數據跨境流動。這種數據跨境流動貫穿多個環節：一是數據傳輸和通信，GAI 開發者或部署者需要將用于訓練或生成內容的原始數據或模型參數等信息從本地傳輸到境外服務器。10二是數據預處理和特征工程。數據到達境外服務器后，需要進行數據清洗、格式轉換、特征提取等預處理操作。11三是模型訓練和調優，這是 GAI 最核心的環節，需要利用境外強大的算力資源對模型進行訓練和優化，過程中模型會不斷讀取并調整數據參數。四是結果存儲和調用，訓練好的模型或生成的內容可能會存儲在境外服務器上以便后續調用或提供服務。綜上

30、可知，數據是 GAI 的“原料”，而算力則是加工這些“原料”的“工廠”，要在境外的“工廠”進行高效生產，就必須把“原料”運輸過去?？缇痴{用境外算力資源的背后是復雜的產業發展現狀和地緣政治因素的交織。一方面，國內 GAI 產業鏈的基礎設施，尤其是芯片技術和云計算平臺，與國際先進水平仍有差距。另一方面，美國近年來出臺了一系列政策措施限制高性能 AI 芯片對華出口，例如 2022 年 10 月，美國商務部工業和安全局(BIS)出臺針對中國的先進芯片及芯片制造設備出口管制新規，嚴格限制了 Nvidia A100、H100 等高性能 AI 芯片對華出口。12此外，美國還聯合日本、荷蘭等盟友，進一步加強對

31、華芯片出口管制。這些政策措施無疑加劇了國內 GAI 開發者或部署者面臨的算力困境，促使我國企業更多地考慮跨境調用境外算力的可行性。然而，跨境調用境外算力并非解決 GAI 算力困境的“萬全之策”，其本身蘊含數據泄露13和濫用等風險。部分國家制定了一系列域外效力條款，試圖將其國內法延伸適用于境外，賦予其政府機構未經其他國家授權的情況即可直接獲取存儲于境外服務器上的數據的權力，這將對我國數據安全構成嚴重威脅。1.3.2跨境調用 GAI 服務或產品導致數據出境跨境調用 GAI 服務或產品是另一種常見的數據出境方式?？缇痴{用 GAI 服務或產品是指 GAI 部署者通過網絡調用位于其他國家或地區的 GAI

32、 內容審核、數據標注或模型資源等服務或產品，進行 GAI 大模型的部署和搭建。調用模型資源包括調用應用程序編程接口（API）、訪問云服務平臺、獲取模型開源代碼等。13GAI 部署者無論是將內容審核、數據標注等服務交付給其他國家或地區的GAI 服務支持者，抑或是在調用 API 接口或使用云服務平臺進行 GAI 模型訓練或推理時，都涉及數據跨境流動問題。具體而言，進行內容審核、數據標注以及調用 API 接口，數據需傳輸至位于境外的 GAI 服務支持者進行處理，并在處理完成后回傳至調用方；14在使用云服務平臺的情況下，數據則需上傳并存儲至境外的云服務器上，并在其提供的 GAI 大模型上進行訓練或推理

33、。在這兩種情形下，數據處理行為發生在境外服務器上，構成數據跨境流動。特別是在使用云服務平臺的情況下，中國公司的數據可能會被存儲在境外服務器上，即使數據處理完成后被刪除，也依然存在數據跨境的風險，需遵守中國及數據接收地的相關法律法規，并采取必要措施保障數據安全。1.3.3通過境外開源代碼或模型構建 GAI 導致的數據出境在通過境外開源代碼或模型構建 GAI 的過程中，許多企業因使用開源資源而面臨潛在的數據跨境流動合規性風險。全球范圍內的開源平臺（如 GitHub、14Hugging Face 等）提供了豐富的 GAI 模型和代碼，幫助企業便捷地獲取技術資源，加速本地化開發和部署。然而，開源代碼和

34、模型托管在境外服務器上，存在數據跨境傳輸的隱患，尤其是當模型需要數據回傳或日志上傳時，這種隱患更加明顯。以大語言模型（如 GPT 系列模型）的使用為例，這類模型通常在訓練和優化過程中需要持續獲取用戶輸入的數據，以進行進一步的參數調整。某些開源項目會設計自動回傳功能，使得用戶的輸入數據被定期上傳到境外的服務器，以提升模型性能。例如，一些開源平臺上的 GAI 工具會記錄用戶交互數據，以改進生成內容的質量。這種數據傳輸如果不加以管控，可能導致用戶隱私數據或商業敏感信息被傳送到國外服務器，增加了數據泄露和濫用的風險。此外，國內企業在使用開源平臺提供的 GAI 模型和代碼時，可能因忽視數據收集功能而導致

35、合規問題。例如，GitHub 等平臺上開源的自動化文本生成模型可能包含內置的“數據日志回傳”機制，企業如果未進行充分的代碼審查和調試，可能在不知情的情況下觸發數據出境。這一問題在數據隱私和安全法規較為嚴格的國家或地區（如歐洲）尤為嚴峻，尤其是在涉及 GDPR 的背景下，數據跨境流動需要得到嚴格的授權和保護。假如企業未對開源代碼中的數據回傳機制進行充分審查，可能會導致用戶數據未經同意便被傳至歐洲境外，面臨 GDPR的高額罰款風險，最高可達全球營業額的 4%或 2000 萬歐元，具體取較高者。15為了規避這一風險，企業應在利用開源代碼和模型時嚴格執行合規性審查流程。首先，企業可以對開源代碼進行代碼

36、分析，以識別潛在的數據收集和回傳功能。例如，利用代碼審計工具（如 SonarQube、Snyk 等）檢測代碼中的 API 調用和數據傳輸行為。其次，企業在部署 GAI 模型前應對代碼的每一部分進行充分測試，并在數據回傳機制上引入數據加密和匿名化處理。例如，可以通過本地15化的數據存儲替代境外存儲方式，或在不影響模型性能的前提下，設置數據上傳時的嚴格加密措施，確保數據在傳輸過程中不會被截獲。此外，企業可以參考特定的開源項目合規標準，如開放鏈（OpenChain）規范，來識別和評估項目中的風險，以確?？缇硵祿鲃拥陌踩?。1.3.4跨境外包服務導致的數據出境跨境外包服務也是數據跨境流動的重要場景之

37、一，尤其是在 GAI 應用開發中，數據清洗、模型訓練、數據標注等環節時常外包給境外的第三方服務商。這種模式固然能降低企業的開發成本，但也增加了數據流動的合規性挑戰。以近年來的一些數據泄露事件為例，印度、菲律賓等國家曾多次發生因外包服務商缺乏完善的數據安全措施，導致大量敏感信息泄露的情況。例如，2022 年在印度發生的一起案件中，某外包服務商在處理客戶數據時未采取適當的保護措施，導致數百萬用戶的個人信息被泄露。16這一事件不僅引發了印度政府的監管關注，也促使多國安全部門聯手追蹤泄露源頭，最終揭示了跨境外包中數據保護的漏洞。以數據清洗和標注服務為例，通常涉及大量用戶數據或商業敏感信息的傳輸。某些外

38、包商可能將數據存儲在不具備嚴格安全標準的境外服務器上，數據未經充分保護，可能因法律法規不完善而被不當獲取或利用。如果企業未能與外包方簽訂清晰的數據保護協議（DPA），一旦數據在外包過程中泄露，企業將面臨法律風險和聲譽損失。因此，國內 GAI 企業在選擇跨境外包服務時，應優先選擇具有較高數據保護能力的供應商，并確保外包協議中包含數據保護條款。企業還可采取數據加密與脫敏技術，確保數據在傳輸與處理過程中的安全性。數據加密是一種將敏感信息轉化為密文的技術手段，可防止數據在未經授權的情況下被讀取。數據脫敏則通過掩蓋或替換關鍵數據，使得即便數據被截獲也16難以利用。通過這樣的方式，企業可以有效減少外包服務

39、過程中數據泄露的風險。此外，企業還可以參考 ISO/IEC 27001 等國際數據安全標準，建立健全的數據保護體系，以提升跨境數據處理的合規性和安全性。1.4 GAI 數據跨境流動安全風險在全球經濟數字化轉型浪潮的推動下，數據跨境流動已成為數字經濟發展的重要動能，為各國經貿聯系和文化交流提供了新的路徑。然而，與傳統數據跨境流動相比，GAI 技術應用的數據規模與速度、以及全球數據監管的碎片化等多重因素相結合，使 GAI 數據跨境流動呈現出復雜性和隱蔽性等特征。此外，GAI數據跨境流動不受國家邊界與市場邊界限制的特性加劇了治理困境。17數據的最終起源和目的地往往是一個技術問題，數據可以同時存在于多

40、個地方，并在幾秒鐘內跨司法管轄區轉移，通常沒有明確的轉移路徑記錄，18使得數據流的跟蹤和監控變得更為復雜且困難。這一局面帶來了顯著的法律風險，包括數據主權、國家安全、GAI 產業危機以及數據隱私等方面的問題。如何在利用 GAI 技術推動數字經濟發展的同時，有效監管和保護跨境數據流動中的敏感信息，已成為各國立法和監管機構面臨的重大挑戰，尤其是在新興市場，GAI 企業需要密切關注當地法規的變化，確保其業務遵守當地的數據保護法律，同時也要把握數字化進程中的發展機遇，以實現可持續的增長。中國是全球數字貿易與跨境流動的重要參與國，2021 年，中國的數據跨境流動量約占全球的 23%，預計到 2025 年

41、將占 27.8%，皆位居全球之首。19隨著GAI 服務技術支持者的技術能力不斷提高，GAI 服務提供者的應用場景不斷泛化，數據跨境流動愈發頻繁，數據跨境傳導路徑變得更為復雜，數據安全風險也呈指數性上升。171.4.1個人信息安全與隱私風險在 GAI 數據跨境場景下，個人信息在不同國家和地區間流動，個人隱私泄露風險顯著增加。目前，國內多數 GAI 服務提供者都需要以接入 GAI 服務技術支持者的 API 接口或利用 GAI 服務技術支持者的深度學習等模型的方式提供GAI 服務，而相關 GAI 服務技術支持者的服務器多在海外，服務器交換數據過程中就存在數據跨境流動的安全風險。個人信息保護法數據安全

42、法等法規皆難以調整 GAI 數據出境的全部情形，不對顆粒度進行細化可能造成對數據跨境流動的保護滯后。另外，相關 GAI 服務提供者在獲取用戶授權參與個人數據的跨境傳輸時，對哪些數據以及數據加工的程度等內容尚不明確，可能存在用戶數據泄露風險。由于數據跨境傳輸的用戶端口呈現點狀分布，一旦用戶信息進入 GAI 平臺系統，平臺的信息受眾體量將會規模式增長，任何用戶均可以對信息進行再加工和再傳播，導致潛在的侵權行為不斷滋生，并且面臨跨國流動的局面。同時，GAI 服務提供者在數據跨境流動過程中，可能利用監管套利，選擇對個人信息保護力度較弱的國家或地區存儲和處理數據，從而規避更嚴格的監管要求。數據跨境流動本

43、身的復雜性和隱蔽性也增加了監管的復雜性和難度，20導致個人隱私保護面臨著“三不管”的窘境。1.4.2GAI 產業安全風險GAI 產業安全風險可分為 GAI 開發者或部署者自身的產業風險與受 GAI 發展影響的相關企業的產業風險。GAI 開發者或部署者的產業風險可從“硬實力”和“軟實力”兩個維度進行解析?！坝矊嵙Α斌w現為 GAI 服務提供者自身抵御風險的技術能力。在數據跨境傳輸過程中，由于傳輸鏈路延展，暴露的風險面也隨之增加。涉及到終端設備、通信鏈路、數據庫、應用系統以及開放 API 等環節，都18存在潛在的網絡攻擊面，可能面臨數據泄露、篡改或破壞的風險。21例如，在數據傳輸階段，網絡攻擊者可能

44、嘗試通過中間人攻擊、數據包嗅探等手段攔截、竊取或篡改數據傳輸過程中的信息，從而獲取敏感信息或破壞數據的完整性。在數據存儲階段，企業在境外數據中心存儲數據，可能面臨數據泄露或未經授權的訪問等風險，黑客可能通過各種手段獲取存儲在服務器上的數據。22在數據處理階段，若在境外服務器上進行數據處理時，可能受到惡意軟件、DDoS 攻擊等網絡攻擊，導致數據處理過程中斷或數據被篡改。此外，在服務部署方面，GAI 開發者或部署者需要防范因地緣政治博弈導致的產業變化。例如，2024 年 6 月 25 日，Open AI 發信告知中國用戶，將從 7 月 9 號開始阻止中國地區的 API 流量23。面對地緣政治博弈下

45、的數據合規風險，GAI 開發者或部署者在制定數據處理和傳輸策略時，不僅要考慮不同國家和地區的法律法規要求，更要密切關注地緣政治變化可能帶來的潛在風險，積極探索有效的合規路徑，以規避潛在的法律沖突和政治風險?！败泴嵙Α眲t涵蓋 GAI 開發者或部署者對數據資源的掌控能力以及合規運營能力。一方面，海量數據資源是 GAI 大模型訓練和迭代升級的核心要素，企業對數據資源的掌控程度直接決定其在 GAI 產業發展中的主動權和話語權，在數據跨境流動中需要加大對數據資源的控制權與處理權的關注。另一方面，合規運營是企業業務連續性的基石。GAI 開發者或部署者在跨境傳輸數據時，需要遵守各國的數據保護法規和隱私政策，

46、如 GDPR、加州消費者隱私法案(CaliforniaConsumer Privacy Act,以下簡稱“CCPA”)等。任何違反相關監管要求的行為都將面臨監管機構的調查，企業可能遭受通報批評、巨額罰款、停業整頓等行政處罰，影響企業品牌形象和市場聲譽。隨著 GAI 技術的快速發展，各國不斷出臺19和修訂 GAI 數據跨境傳輸的相關法規政策，以應對人工智能和大數據技術帶來的新挑戰，如歐盟法院無效化隱私盾牌后推出新的歐美數據隱私框架，迫使 GAI 開發者或部署者在提供跨境服務時能歐頻繁、快速調整其數據處理和傳輸策略，符合各國的合規要求。此外，GAI 模型的訓練和部署往往需要跨越多個司法轄區進行海量

47、數據的收集、處理和存儲，這使得 GAI 數據跨境流動面臨著數據管轄權沖突的合規困境。對于 GAI 開發者或部署者而言，如果其數據中心分布在全球多個國家，就不可避免地會受到數據管轄權沖突的影響，進而影響其全球戰略布局和業務開展。面對不同國家執法部門的數據訪問要求，如果缺乏國家之間相互承認和協助機制，GAI 開發者或部署者可能陷入“遵守一國法律就會違反另一國法律”的兩難境地，增加了合規風險和成本，甚至可能面臨法律制裁。此外，數據本地化要求將導致 GAI 產業面臨“數據碎片化”的風險。為了滿足不同國家的數據主權要求，GAI 開發者或部署者可能被迫將數據存儲在數據產生地，導致數據分散在全球各地，形成“

48、數據孤島”。這不僅增加了數據管理和運營的成本，更重要的是，數據碎片化將限制 GAI 模型對全球數據的學習和訓練，影響 GAI 大模型的泛化能力、適用性和準確性，最終阻礙 GAI 技術的創新和發展，不利于 GAI 技術紅利的充分釋放。GAI 顯著增加了數據跨境流動中信息泄露的風險，除了可能導致用戶隱私泄露外，還可能引發企業商業秘密的非法公開。與傳統的數據傳輸不同，GAI 能夠大規模加工和迅速傳播信息，并且技術上支持信息在全球范圍內的傳輸，這使得GAI 客觀上可能成為信息侵權甚至犯罪行為的工具。對企業而言，一旦商業秘密被非法公開，可能導致競爭優勢的喪失，因此商業秘密通常不會在數據跨境流動20中涉及

49、。然而，GAI 平臺通過頻繁的人機互動和強大的數據抓取能力，使商業秘密信息的留痕和非法傳輸變得可能，從而給企業的發展帶來實際利益損失。1.4.3國家安全與數字主權風險GAI 平臺極大降低了信息跨境傳輸的成本，其訓練和爬取的數據樣本來自全球各地。然而，這些數據樣本大多基于西方主流價值觀念，使得 GAI 參與跨境流動的數據合理性難以保證，具備政治偏見的虛假信息跨境傳播將具備更為明顯的破壞力，甚至可能引發輿情危機。24如果這些數據是非公開且涉及國家或公共利益的，則可能引發國家安全風險。數據跨境流動在極大提升跨國協作效率的同時，也帶來了數據主權、國家安全以及數據監管等諸多問題。25GAI 數據跨境傳輸

50、已上升為關乎國家安全和戰略利益的核心議題。GAI 對海量數據的依賴性，使得數據跨境流動中潛藏著國家安全和數字主權風險，這兩者交織疊加，形成雙重挑戰。GAI 大模型的訓練和應用依賴于海量數據。中國作為數據創造和消費的大國，在企業生產、政務服務、社會民生等領域掌握了海量的公共數據、企業數據以及個人數據，其中可能包含國家機密、敏感信息以及公民個人隱私等重要數據，具有極高的戰略價值。若這些數據在跨境流動過程中遭遇泄露、篡改或丟失，將對國家信息安全和國家利益造成難以估量的損害。以 ChatGPT 為例，其用戶的個人信息以及后續對應用提出的問題都會被傳輸到美國的 OpenAI 公司，可能被用于商業化乃至政

51、治化利用。26若我國用戶所提的問題涉及國家安全、公共健康和安全等方面的重要數據，一旦這些數據在跨境流動過程中發生泄露，將對國家信息安全構成直接威脅，成為國家安全體系中的“斷點”。另一方面，GAI 數據的跨境傳輸可能導致大量本國數據流向其他國家或地區的數據中心，形成數據資21源的單向流動，削弱本國的數字主權，削弱國家對數字空間的控制能力，出現國家數據控制權的“稀釋”現象。27222我國 GAI 數據跨境流動監管與政策指引2我國 GAI 數據跨境流動監管與政策指引2.1 我國數據跨境流動監管現狀2.1.1法律規范：中國特色的數據跨境流動管理體系初步形成近年來，我國數據跨境流動管理的政策體系正加速構

52、建與完善。2017 年 中華人民共和國網絡安全法首次規定了數據出境的安全評估制度，開啟了跨境數據安全與數據監管的序章。2021 年，中華人民共和國數據安全法中華人民共和國個人信息保護法形成了數據分類分級管理框架，為數據跨境流動管理提供了法律依據。2022 年，數據出境安全評估辦法（以下簡稱“評估辦法”）明確了數據出境安全評估的三類適用場景以及安全評估流程、步驟、所需文件等，這也意味著，三部法頂層架構結合該評估辦法，促使數據跨境流動的安全評估制度的具體指引落地，也為相關監管提供明確依據。而對于多方利益并存的個人信息，相關出境需求快速增長，個人信息權益保護面臨較大挑戰。2023 年，個人信息出境標

53、準合同辦法（以下簡稱“標準合同辦法”）詳細規定了若個人信息出境采用“標準合同”途徑下的具體要求，包括適用范圍、訂立條件和備案要求，其“附件”還列出了標準合同的基本條款，將法律規范轉化為合同規則。標準合同辦法與評估辦法互為補充、互相銜接，進一步完善了個人信息出境管理制度。結合數據出境安全管理工作實際，2024 年促進和規范數據跨境流動規定落地，立足發展與安全的理念，該規定適當放寬數據跨境流動條件，適度收窄數據出境安全評估范圍。23圖 5：我國數據跨境流動的法律規范體系圖總言之，目前我國已形成數據分類分級管理的頂層設計框架，就數據跨境流動具體實施路徑采取數據出境安全評估、個人信息出境標準合同和個人

54、信息保護認證三個方式，中國特色的數據跨境流動管理體系基本形成。28值得關注的是，目前我國對于 GAI 數據跨境場景的特殊性并未做出專門性的制度回應。2.1.2行業管控：重點行業數據跨境的加強監管制度2.1.2行業管控：重點行業數據跨境的加強監管制度行業數據出境管理的初步實踐主要集中在關鍵信息基礎設施領域，如金融和信息通信服務領域。各行業已出臺相應的規定，明確數據存儲是否需要限定在境內、數據的保存期限以及是否允許數據出境等內容。例如，中國人民銀行在關于銀行業金融機構做好個人金融信息保護工作的通知中明確要求，銀行收集的個人金融信息必須在境內存儲、處理和分析，除法律法規明確規定外，不得向境外提供個人

55、金融信息。類似地，交通運輸部與工信部等七部門聯合發布的網絡預約出租汽車經營服務管理暫行辦法 要求網約車平臺將所采集的個人信息和生24成的數據存儲在中國，并且保留至少兩年。此外，法律法規如人口健康信息管理辦法（試行）和保險公司開業驗收指引也明確了數據本地化的相關要求。2.1.3合規性管理：本地化存儲與基礎設施建設2.1.3合規性管理：本地化存儲與基礎設施建設隨著全球范圍內的數據保護立法不斷強化，企業在跨境數據傳輸方面不得不建立合規的基礎設施。例如，GDPR 要求非歐盟國家的企業在處理歐洲用戶數據時，必須遵循嚴格的數據保護標準。這導致微軟、亞馬遜等科技巨頭在歐盟建立本地化的數據中心，以避免跨境傳輸

56、帶來的合規風險。同樣，中國的數據安全法和個人信息保護法對 GAI 數據的跨境傳輸也提出了限制，這促使中國企業在海外部署本地化的服務器和存儲，以應對多國法規的復雜性。通過這種方式，產業在基礎設施層面響應了各國的法律法規要求。2.1.4 技術現狀：技術支撐監管部門的安全評估和風險管理隨著我國數據跨境傳輸政策框架的逐步完善，相關技術手段的應用也不斷發展。國內企業和監管部門積極采用數據加密、隱私計算、區塊鏈等先進技術，以確?？缇硵祿鬏數陌踩院秃弦幮?。特別是在 GAI 和個人信息處理領域，企業和機構利用加密技術保障數據在傳輸過程中的完整性與隱私，防止數據被篡改或泄露。隱私計算技術已逐步應用于跨境數據

57、流動中，通過對數據進行加密處理，實現在不暴露原始數據的前提下進行數據分析和處理，從而進一步增強了數據的安全性。此外，區塊鏈技術在數據跨境傳輸過程中，提供了數據來源的可追溯性和不可篡改性，有效增強了監管部門對數據跨境活動的可視化監控和審計能力。國內技術企業也在持續推動基于數據沙箱和多方計算的跨境數據合規解決方案。這些技術支持各國監管部門對跨境數據流動進行全面的安全評估與風險管25理，不僅提升了數據傳輸過程中的合規性，也為我國在國際數據治理中提供了更多的話語權和競爭力。2.2 我國數據跨境流動政策制定要素考量數據跨境流動政策是數據跨境流動管控中的主要制度和依據，作為一項長效機制，該政策制定與優化的

58、決策過程中需要考量諸多復雜因素。本白皮書結合我國在跨境數據流動中面臨的機遇、威脅、優勢和劣勢，試以提出制衡、影響政策制定以及優化的主要決策因素，結合決策因素探討我國數據跨境流動的環境和實際能力，為后續數據跨境流動政策制度優化提供基礎，以及為后續治理路徑探討做指引。圖 6：數據跨境流動政策制定要素維度圖2.2.1數據安全和隱私保護要素數據安全和隱私保護是跨境數據相關監管和治理決策中的首要因素。數據安全威脅泛化導致數據跨境流動風險復雜化。在數據跨境流動的過程中，數據安全面臨著更為復雜的威脅。一方面，各國的數據保護標準不統一，導致數據從高保26護水平國家流入低保護水平國家時，流出國用戶的權益在數據跨

59、境轉移后難以得到保障，執法與救濟存在明顯障礙。另一方面，各國關鍵信息基礎設施和重要機構所承載的大量敏感數據具有巨大的國家安全戰略價值。例如，控制石油、天然氣管道、交通、電力、銀行和金融等領域的網絡系統產生的大數據，對于國家安全至關重要。這些敏感數據在跨境傳輸過程中面臨不可控的風險，因此，各國需在國家層面加強數據安全和監管能力，確?？缇硵祿鲃拥陌踩?。各國在制定數據跨境流動制度時，首要考慮的是數據和個人信息的安全問題。例如，GDPR對數據保護有著嚴格的規定，而美國的數據處理也受到電子通信隱私法等法律的約束。2.2.2國家利益和數據主權要素維護國家利益、保障數據主權是跨境數據相關監管和治理決策中

60、的核心因素。國家利益由安全、政治、經濟、文化四個相關關聯的利益所共同構成，指導著我國的對外政策和行為。其一，數據跨境流動政策應在安全底線上滿足對外貿易往來的需求，“一帶一路”倡議框架是中國經濟政策導向和趨向，基于此，主導構建新型的全球數字經濟規則和數據治理體系，推動新的多邊合作機制的發展是我國的主要需求。其二，制度與監管體系的完善有助于提升我國數據保護的國際政治形象。我國的數據保護制度曾因不健全而受到國際社會的批評，尤其在歐盟和亞太經合組織（APEC）的研究報告中指出，中國在個人數據保護方面的水平尚無法滿足國際標準，影響了跨境數據流動的國際合作。然而，隨著我國的數據保護法律體系正逐步完善。同時

61、，監管部門如國家網信辦和公安部也在積極落實隱私政策評審、違法數據處理行為的約談及專項整治等措施。這些進展有助于改善我國的數據保護形象，為開展數據跨境流動的國際合作奠定了基礎。27圍繞數據主權的戰略博弈呈現泛化趨勢。隨著數據全球化的不斷推進，數據主權（Data Sovereignty）成為各國日益關注的議題。相比于領土、人口等傳統的國家主權管轄對象，數據主權具有更大的復雜性。其一，數據的天然流動性要求各國在行使數據主權時，必然需要與其他國家進行權利交換和權力妥協。如果過于強調對本國數據資源的絕對控制，將會導致數據流動停滯，甚至可能導致網絡空間的分裂，從而最終危及本國的數據主權。其二，數據主權的博

62、弈已不再局限于個人權利和產業競爭，逐漸擴展到國家安全和公共安全領域。各類政治集團、行業巨頭、權利組織等紛紛介入，從不同角度對跨境數據流動施加非技術性要求，使得跨境數據流動問題愈加復雜。其三，國際法規則的不完善及各國法律差異的存在，導致數據主權管轄邊界容易出現重疊與沖突。最后，各國在數據主權保障方面的能力存在顯著不對稱。美國在網絡空間基礎資源和技術產業的主導地位，形成了對其他國家數據主權保障能力的現實壓制。即便斯諾登事件后各國高度重視數據安全技術和產業發展，全球數據主權保障能力不均衡的現狀依然存在。2.2.3技術和產業優勢要素技術和產業優勢是跨境數據相關監管和治理決策中的現實因素。新一輪技術革命

63、改變數據流動邏輯，為我國提升全球產業價值鏈中的地位提供機遇。隨著智能時代的到來，5G、物聯網、大數據、云計算和人工智能等領域的技術進步正在改變數據流動的底層邏輯，同時也將推動全球產業格局的革命。我國產業在這些技術領域積累了深厚的創新能力，具有通過技術創新提升全球產業價值鏈地位的潛力。因此，我國在構建跨境數據流動規則時，應充分考慮新技術變革帶來的產業升級機會，并在全球競爭中占據有利地位。28我國數據經濟產業增速顯著，具有明顯優勢。中國擁有全球最大的互聯網用戶群體和移動互聯網用戶數，在網絡化、智能化、平臺化的采購、生產、營銷等各個環節，越來越多的中國企業開始進行深入布局，已經成為名副其實的“世界數

64、據中心”。在數據應用方面，阿里巴巴的 DT 戰略、騰訊的“大數據連接的未來”和百度的“中國大腦”戰略，均圍繞數據驅動進行了布局。同時，隨著互聯網產業O2O（線上到線下）趨勢的發展，中國互聯網企業的業務逐步延伸至金融、保險、旅游、健康、教育、交通等多個行業，極大地豐富了其數據來源并推動了數據分析技術的發展。這些舉措不僅鞏固了中國互聯網企業在大數據領域的領先地位，還擴大了大數據分析在各行業的應用空間。另一方面，需要考慮以美國為首的西方發達國家貿易保護主義障礙，隨著中國等新興大國科技水平的快速提升，西方發達國家對于其在全球價值鏈中的地位愈發感到焦慮，尤其是在高端技術領域的超額利潤受到威脅。這種焦慮使

65、得美國加強了新興技術出口管制和外國投資審查，實施“推定否定”的出口政策，原則上不允許技術出口，并將多家中國企業列入出口管制實體清單，從而阻礙了中國通過正常經貿活動獲取有價值的技術數據。同時，歐盟對數據保護的高標準要求，也增加了中國企業獲取歐盟公民數據的門檻，進一步加劇了跨境數據流動的阻礙。2.3 我國數據跨境流動政策的現有不足2.3.1數據跨境流動管理的戰略目標有待完善當前，我國現有的跨境數據流動管理政策主要側重于國家安全和執法便利等因素，未來亟需從推動我國企業全球化發展的戰略目標出發，提供更加多樣化的機制選擇，以支持數字貿易活動的正常開展。首先，個人數據和重要數據涉及的法律不同，面臨的安全風

66、險也存在差異，跨境數據監管手段應做出區分，而非僅29依賴本地化存儲這一單一路徑。其次，盡管監管機構提出了數據本地化的要求，但未完全禁止數據出境，當前缺乏明確的程序性規定來確定數據出境的必要條件。第三，重要數據的定義尚不清晰，數據跨境流動的評估方法仍不成熟，導致企業在操作過程中存在困難，效率和效果也難以適應快速變化的實際需求。2.3.2數據合規與技術創新的難以平衡數據跨境流動風險系數增加、相關監管的多重要求促使跨境數據流動成本提高，阻礙系數加大。如何在數據跨境流動中促進安全與發展的平衡，是各國政策制定需要持續考慮的難點問題。結合域外實踐來看，美國在數據治理和隱私保護體系上相對完善，使得 GAI

67、技術在智能家居和聯網汽車等敏感領域的發展相對平穩。然而，美國在跨境數據流通中仍然面臨平衡難度，當面向歐盟境內流通時，GDPR 的要求，許多美國企業在其跨境數據傳輸過程中需要滿足 GDPR 的相關要求，采取額外的安全措施，如數據加密和匿名化，限制了其技術活力和后續應用的創新性。2.3.3數據保護重點尚未形成共識且數據治理能力不均衡我國的數據保護監管仍處于初步階段，除了針對數據黑灰產的打擊外，如何明確數據保護的重點，避免影響企業正常經營活動中的數據使用，仍需要形成社會共識。目前，許多企事業單位在數據治理方面存在明顯不足，違規收集用戶數據、缺乏必要的數據安全防護措施、濫用甚至非法買賣用戶數據、發生大

68、規模數據泄露等事件時有發生。這些問題嚴重侵犯了用戶隱私和數據權利。一些組織缺乏基本的數據保護意識，也未配備專業的數據管理人才；而另一些組織雖已初步認識到數據安全的重要性，但缺乏良好的數據治理能力，難以將其轉化為競爭優勢；更有企業意識到數據資源的價值，卻為追求商業利益而濫用技術，侵犯用戶30隱私。由于數據保護重點尚未形成共識，且社會各界的數據治理能力不均衡，這直接影響了我國整體數據保護能力的提升。313GAI 數據跨境流動的治理機制3GAI 數據跨境流動的治理機制GAI 展現出的巨大潛力已毋庸置疑。如何在促進 GAI 產業發展與保障數據安全、國家安全之間尋求最佳平衡點，已成為一個亟待解決的關鍵議

69、題。在 GAI時代，數據跨境流動涉及個人隱私、企業利益以及國家安全等多方面的考量，形成了一種復雜的利益博弈格局。為了應對這一挑戰，中國積極參與全球治理規則的制定，并先后于 2020 年和 2023 年發布了全球數據安全倡議和全球人工智能治理倡議。這些倡議旨在促進全球數字經濟與人工智能產業的健康發展，并呼吁加強國際合作，反對任何形式的技術霸權和技術壁壘的人為制造。然而，將這些倡議轉化為具體的治理實踐仍需從制度、規則、執法、技術等多個維度進行建設，提出切實可行的措施。通過這些努力，我們可以期望在全球范圍內實現更加公平、開放且安全的數據流通環境，從而支持 GAI 產業的可持續發展。3.1 規范完善：

70、優化 GAI 產業導向型的數據跨境流動監管制度體系2024 年 3 月，國家互聯網信息辦發布了規定，進一步細化了企業數據出境的合規標準和操作規范。然而，GAI 的顛覆性特征對數據跨境流動管理提出了新的挑戰。規定作為現階段的重要制度基石，仍需結合 GAI 的特征進行優化和完善。為充分把握住數字時代的經濟脈絡，參與數字經濟格局新秩序的競爭與合作，我國仍應繼續在當前 GAI 法律規制體系29下，沿著規定的脈絡，完善 GAI 數據跨境流動管理制度。首先，應秉持“數據跨境自由流動為原則，限制流動為例外”30的理念，完善數據出境安全評估制度。GAI 數據跨境流動呈現出規?；?、高頻次、復雜化等新特征，對安全

71、評估的精準性和差異化提出了更高要求。在充分考量 GAI 技術應用帶來的新風險的基礎上，構建全面、系統的評估體系，對數據跨境流動的目的、范圍、安全風險等進行綜合研判，制定精準化、差異化的安全防護措施，提升32GAI 數據跨境流動安全治理的科學性和有效性。在此過程中，亟需解決當前關鍵信息基礎設施、重要數據范圍界定過寬的問題，厘清重要數據的范圍，以明確我國 GAI 數據跨境流動的“負面清單”。此外，數據作為無形資產其跨境流動也應像有形資產一樣，設立“數據海關”進行管理，征收“跨境稅費”，打擊數據走私。通過“數據海關”，不僅可以有效管理數據跨境流動，還能保護重要數據，確保數據安全有序地流動。其次，應以

72、提升效率為導向，優化個人信息跨境傳輸機制。個人信息跨境傳輸是 GAI 數據跨境流動的重要組成部分。規定在個人信息跨境傳輸方面做出了原則性規定，但仍需進一步細化。一方面，應簡化個別信息出境標準合同和保護認證的流程，使個人信息跨境傳輸的過程更加高效，同時要明確監管制度安全評估、標準合同和認證的適用范圍和功能定位，確保這些措施在邏輯上相互協調和補充。31另一方面，應積極探索多元化的數據出境途徑，例如設置標準合同模板、數據處理者的保護能力認證、允許例外事項在特定條件下豁免某些數據出境要求等，以平衡個人信息保護與 GAI 數據跨境流動的關系。再次，應積極應對 GAI 數據跨境技術監管的復雜性和執法資源的

73、稀缺性挑戰，建立政企協同、多方參與的數據跨境治理機制。據世界貿易組織（WTO）統計，2020 年至 2022 年，全球跨境數據流動規模增長 120.6%，面對這一增長，監管絕不能“一刀切”，應面向產業鏈特性，建立政府主導、多方參與的數據分級分類監管機制32，以緩解執法壓力。傳統的以政府為主導、自上而下的監管模式在 GAI 領域面臨著諸多挑戰。一方面，GAI 數據跨境流動呈現出規?；?、高頻次、復雜化的特征，傳統的“一刀切”監管模式難以適應其動態變化，精準化監管能力不足。另一方面，執法資源的有限性與 GAI 數據跨境監管的專業性要求之33間存在巨大鴻溝，導致監管效能低下。事實上，這種執法資源緊張的

74、困境在全球范圍內普遍存在。以歐盟為例，在 GDPR 的一致性機制下，愛爾蘭數據保護委員會(DPC)因轄區內大量科技巨頭設立歐洲總部而成為事實上的主導機構，33但其人力和物力資源的匱乏導致大量案件積壓。34在此背景下，構建以“精準化”和“協同化”為核心的 GAI 數據跨境治理機制尤為重要。這種機制應面向 GAI 產業鏈特性，明晰 GAI 產業鏈各主體的數據安全責任，形成全流程、全鏈條的數據安全保障體系。同時，私營部門應在數據跨境治理中發揮重要作用，推動形成政府監管與行業自律良性互動的格局。一方面，主導 GAI 革命的科技公司擁有豐富的技術經驗和數據資源，可以為數據跨境治理提供寶貴的意見和建議，參

75、與制定行業自律規范，引導行業健康發展。另一方面，執法部門與 GAI 開發者或部署者之間的數據共享與合作，有助于提升跨境數據安全風險識別和預警能力，及時發現和制止違法數據跨境行為。最后，秉持開放合作的態度，推進 GAI 數據跨境流動規則的國際協調。各國在 GAI 倫理和數據安全等方面的立法差異，以及地緣政治等因素，都增加了國際規則協調的難度。但 GAI 數據跨境流動帶來的共同挑戰，也促使各國加強合作，尋求共識，共同制定更加普惠、平衡、共贏的全球數據治理規則。我國網絡安全法數據安全法個人信息保護法明確了積極“參與數據安全相關國際規則和標準的制定”的開放理念，但鑒于中國在已簽署的區域貿易協定中為跨境

76、數據流動中的國家基本安全利益設置了例外條款，這與國際高標準貿易協定中推行跨境數據自由流動的條款存在一定的差距。對此，我國應積極參與數據跨境流動國際規則的制定，在維護國家數據主權和安全的前提下，積極尋求與國際規則的銜接點，推動形成更加普惠、平衡、共贏的全球數據治理規則。同時，應34做好國內制度與國際規則的銜接工作，通過合理、全面的法律解釋，消除潛在沖突，逐步實現法律規制的趨同。例如，在關鍵核心問題上，可以通過文義解釋、目的解釋等方式，闡釋中國相關制度的立法目的、原則和精神，消除與國際規則可能存在的分歧，尋求最大限度的規則協調。3.2 技術防控：構建全鏈路數據跨境風險防控范式GAI 數據跨境安全治

77、理面臨的挑戰，不僅是技術迭代帶來的挑戰升級，更是技術發展與既有監管模式之間結構性矛盾的集中體現。例如，數據跨境流動的高度動態性與傳統邊境管控的靜態性之間的沖突，GAI 技術的復雜性與傳統執法手段的局限性之間的沖突等。為應對這些挑戰，必須重視技術賦能，夯實數據基礎設施建設，在網絡基礎設施、算力基礎設施、政務數據一體化平臺、公共數據授權運營平臺、數據交易平臺等方面進行超前布局。35將技術創新融入數據跨境治理的全過程，構建覆蓋數據生命周期各個階段（數據生成、存儲、傳輸、處理、銷毀）的全鏈路安全防御體系，實現對數據跨境流動的全程追蹤、監管和風險防控。3635圖 7:全鏈路數據跨境風險防控范式在數據安全

78、傳輸與存儲方面，首先，針對 GAI 生成內容的數據體量和傳輸頻率高的特點，應強制要求采用 HTTPS、TLS 等安全傳輸協議，并結合同態加密、代理重加密等隱私保護技術，37保障數據在傳輸過程中的機密性和完整性，降低被竊取或篡改的風險。其次，應推廣應用高級加密標準（AES）等數據加密技術，對 GAI 生成內容進行加密保護，并結合數據分片、秘密共享等技術，分散數據存儲風險。即使數據泄露，也能有效防止未授權訪問，保障數據存儲安全。最后，針對 GAI 應用對數據存儲高可用性的需求，應利用分布式存儲和冗余備份機制提高數據可靠性，并建立多區域容災恢復系統，降低數據丟失風險，保障數據安全和業務連續性，提升數

79、據存儲的韌性。在數據訪問控制與審計層面，一方面，針對 GAI 應用中數據使用者和訪問場景多元化的特點，實施更加嚴格的多因素身份驗證機制，確保只有經過授權的用戶才能訪問和處理敏感數據與重要數據。結合人工智能技術，建立精細化、動態的訪問控制策略，例如基于用戶行為分析的異常訪問檢測，根據用戶角色、權限、訪問時間、地點、內容等多維度因素動態調整訪問權限，防止未授權訪問和數據泄露，構建更加智能化的訪問控制體系。38另一方面，針對 GAI 生成內容的海量性和復雜性，建立更加全面、細致的審計和日志記錄系統，記錄數據訪問、修改、傳輸等關鍵操作，并利用人工智能技術對海量日志數據進行分析，及時發現異常行為，提升數

80、據安全事件的可追溯性，為違法行為的調查取證提供技術支撐，為數據安全事件的追責提供依據。39通過技術手段實現對數據跨境流動生命周期的全程追蹤和監管，能夠有效提升數據跨境流動安全風險防范能力。40然而，構建安全有序的 GAI 數據跨境流36動秩序，僅憑技術手段難以達成。積極參與 GAI 數據跨境相關技術標準的制定，成為規避技術鴻溝向國際規范和標準制定領域蔓延、避免話語權失衡的關鍵路徑。此外，隨著國家話語權的提升以及 GAI 相關技術水平的增強，我國 GAI 產業應加大研發投入，開發自主可控的 GAI 大模型，以防范地緣政治導致的業務中斷和技術調整。3.3 國際合作：基于互惠原則減少 GAI 數據跨

81、境壁壘在全球經濟動蕩的當下，建立全球范圍內的數據跨境安全共識，以建立公正、開放、包容的全球人工智能生態，顯得更加重要?；セ菰瓌t作為國際關系和國際法的基本原則，在協調跨境數據流動規則、促進數據安全有序流動方面，能夠發揮重要的作用?；セ菰瓌t在跨境數據流動領域的實踐，體現為相互尊重和執行彼此的數據保護法，確保數據跨境流動的國家或地區之間具備相似或等同的個人信息保護水平，以保障個人信息在跨境轉移時得到與原籍國相當的保護。例如，韓國個人信息保護法便引入了互惠原則，規范個人信息跨境流動。41當韓國的企業或組織希望將個人信息傳輸到外國時，必須確保接收個人信息的國家或地區具有充分的個人信息保護水平。韓國個人信

82、息保護法要求在進行跨境數據傳輸前，企業或組織需要獲得必要的批準，并告知信息主體?；セ菰瓌t的另一實踐路徑，是通過簽訂雙邊或多邊協議，以確?？缇硵祿鬏數陌踩?。例如，經濟合作與發展組織（OECD）關于保護隱私和個人數據跨境流動的指導方針通過協調隱私立法、強化國際合作、推廣基本保護原則、實施適當保護措施以及保障數據主體權利等方式，確保成員國在跨境數據流動過程中能夠相互支持，保護個人數據不因跨境流動而失去保護。372024 年 6 月 26 日，中德雙方共同簽署了關于中德數據跨境流動合作的諒解備忘錄，建立“中德數據政策法規交流”對話機制，加強在數據跨境流動議題上的交流，為兩國企業營造公平、公正、非歧

83、視的營商環境。這一舉措進一步體現了互惠原則在國際數據合作中的重要性。與韓國等國家與地區實施的“同等保護”標準不同，我國數據安全法個人信息保護法等相關法律對重要數據、個人信息等跨境流動采取“一事一議”的出境安全評估措施，尚未將互惠原則納入國際數據跨境流動治理體系。為應對GAI 時代數據跨境流動帶來的挑戰，推動構建更加公平、合理、透明的國際規則體系，我國應考慮將互惠原則融入到相關的數據跨境法規中，推動形成公平競爭、合作共贏的國際化數據跨境合作新模式。在確保數據安全的同時，開展數據交互、業務互通、監管互認、服務共享等方面國際交流合作，鼓勵國內外 GAI 相關企業及組織依法依規開展數據跨境流動業務合作

84、?；セ輩f作所提供的確定性鼓勵了對數據保護技術的投資，投資者更可能為具有明確國際數據使用法律框架的項目提供資金。我國可基于互惠原則，利用北京“兩區”、上海自貿區、海南自貿港、粵港澳大灣區等區域的制度創新優勢，開展跨境數據流動試點，42形成數據跨境規則的特區或“創新和數據監管沙盒”，在容錯機制環境下探索建立數據跨境流動的正面清單或負面清單，既能便利中國企業的數據“走出去”，也能讓外國企業的數據“走進來”，為全球數據跨境流動規則的制定提供“中國方案”。例如，北京“兩區”正在策劃建設數字貿易港，希望實現與歐盟之間數據跨境流動的特殊安排，為全球數字經濟發展注入新動能。384結語4結語在數字時代的浪潮中，

85、GAI 數據跨境安全治理是一場攻堅戰、持久戰。面對GAI 技術帶來的機遇與挑戰，監管部門應當立足職能職責，強化風險意識，創新監管思路，完善監管手段，在法治軌道上推動 GAI 產業健康有序發展，在 GAI 數據跨境安全治理中發揮關鍵作用，這既是維護國家安全和公民權益的必然要求，也是推動 GAI 產業健康發展的必由之路。監管部門需要以對 GAI 技術發展規律的洞察力、對數據安全形勢的判斷力、對法律法規的運用力，不斷提升監管效能，為 GAI 數據跨境活動織就一張嚴密的安全防護網。通過構建嚴謹的審查體系、創新監管手段、強化重點領域監管，監管部門要確保每一條跨境數據鏈路都在監管之下，每一個潛在風險點都得

86、到有效管控。同時，監管部門還應充分發揮兜底監管職能，積極構建多方參與的協同治理格局。通過制定行業標準、搭建政企交流平臺等方式，引導 GAI 企業提升合規意識，推動行業自律，營造良性健康的發展生態。加強與其他監管部門的協同聯動，形成監管合力，確保 GAI 數據跨境安全治理的系統性和有效性。GAI 數據跨境安全治理是一項復雜的系統工程，這不僅關乎國家安全和公民權益的保障，更關乎我國在數字經濟時代的國際地位和話語權。本白皮書深入研究了 GAI 數據跨境的需求、場景、風險、法律法規及國際監管經驗等重要內容，旨在構建 GAI 數據跨境治理的理論框架和實踐路徑，在促進 GAI 技術的可持續發展的同時維護國

87、家數據主權。希望本白皮書能為推動 GAI 數據跨境安全治理貢獻綿薄之力，為建設數字中國、科技強國奠定堅實基礎！39參考文獻1 參見 Statista 網站，https:/ 年 11 月 29 日訪問。2 2023 中國 AI 應用場景 AITOP100 榜單，載 AI TOP100 2023 年 10 月 9 日，https:/ 發布2023 年全球 AI 采用指數：生成式 AI 最快產生影響的企業用例IT 自動化、數字勞動力、客服，載 IBM 2024 年 1 與 16 日，https:/ 翁國民、宋麗：數據跨境傳輸的法律規制，載浙江大學學報（人文社會科學版）2020 年第 2 期。5 廖斌

88、、劉敏嫻：數據主權沖突下的跨境電子數據取證研究，載法學雜志2021 年第 8 期。6 姚旭：歐盟跨境數據流動治理：平衡自由流動與規制保護，上海人民出版社 2019 年版。7 張夏恒、馬妍：生成式人工智能技術賦能新質生產力涌現：價值意蘊、運行機理與實踐路徑，載電子政務2024 年第 4 期。8 個人信息保護法第 40 條、第 60 條。9 蔡榮偉、斯響俊、楊杰：AIGC 數據跨境的法律監管和合規路徑，載“中倫律師事務所”2023 年 10 月 26 日，https:/ 程冠杰、鄧水光、溫盈盈、嚴學強、趙明宇：基于區塊鏈的物聯網認證機制綜述，載軟件學報2023 年第 3 期。11 朱秀梅、林曉玥、

89、王天東、苗淑娟：數據價值化：研究評述與展望，載外國經濟與管理2023 年第 12 期。12 U.S.Department of Commerce,Bureau of Industry and Security(BIS),New Export Controls on Advanced Computing and Semiconductor Manufacturing Items to the Peoples Republic of China(PRC),Oct 7 2022,https:/www.bis.doc.gov/index.php/policy-guidance/advanced-com

90、puting-and-semiconductor-manufacturing-items-controls-to-prc.13 人工智能 2.0：全景透視 GAI 的法律挑戰與合規路徑，載“中倫律師事務所”2023 年 12 月 17 日，https:/ 宋士杰、趙宇翔、朱慶華：從 ELIZA 到 ChatGPT：人智交互體驗中的 AI 生成內容（GAI）可信度評價，載情報資料工作2023 年第 4 期。15 See EU GDPR Article 83.16Top 10 Data Breaches in India:Exposing the Nations Struggle With Cyb

91、ercrime in 2022-2023，載 thecyberexpress2023 年 9 月 20 日，https:/ 陳穎、薛瀾：全球跨境數據流動治理的演進與趨勢，載國際經濟合作2024 年第 2 期。18 Yuntao Wang et al,A Survey on ChatGPT:AIGenerated Contents,Challenges,and Solutions,4 IEEE Open Journal of the Computer Society 280,2023.19 王曉紅：中國數據跨境流動量 2025 年或將位居全球之首，載中新經緯 2022年 8 月 29 日，htt

92、p:/ 鈄曉東：論生成式人工智能的數據安全風險及回應型治理，載東方法學2023 年第 5 期。21 魯傳穎、章時雨：東盟數字地緣政治的戰略構想與實施路徑，載南洋問題研究2024 年第 1 期。4022 郭小東：生成式人工智能的風險及其包容性法律治理，載北京理工大學學報（社會科學版）2023 年第 6 期。23 Identifying API Keys with Traffic from Unsupported Regions,https:/community.o- 孫那、鮑一鳴：生成式人工智能的科技安全風險與防范，載陜西師范大學學報(哲學社會科學版)2024 年第 1 期。25 洪永淼、張明、

93、劉穎：推動跨境數據安全有序流動 引領數字經濟全球化發展，載中國科學院院刊2022 年第 10 期。26 王大志、張挺：風險、困境與對策：生成式人工智能帶來的個人信息安全挑戰與法律規制，載昆明理工大學學報社會科學版2023 年第 5 期。27 馮曉青：數字經濟時代數據產權結構及其制度構建，載比較法研究2023年第 6 期。28 數據跨境流動的中國方案我國推動數據跨境安全有序自由流動述評，載中國網信2024 年第 5 期。29 生成式人工智能法律體系包括網絡安全法數據安全法個人信息保護法以及互聯網信息服務算法推薦管理規定互聯網信息服務深度合成管理規定生成式人工智能服務管理暫行辦法等。30 張倩雯：

94、數據跨境流動之國際投資協定例外條款的規制，載法學2021 年第 5 期。31 蔡宇姬：數據出境的界定及監管制度，載中國政法大學學報2023 年第 3期。32 宋華盛、周建軍：跨境數據流動監管難題及應對之策，載國家治理2024年第 7 期。33 See EU GDPR Recital 124.34 Center for Strategic and International Studies:3 Years Later：Ana analysis of GDPR Enforcement,CSIS,(13 Sept,2021)，https:/www.csis.org/blogs/strategic-t

95、echnologies-blog/3-years-later-analysis-gdpr-enforcement.35 張茜茜、涂群：國家數據要素化總體框架環節六：數據流通交易與跨境流動（之五），載“交大評論”2024 年 6 月 23 日，https:/ 陳兵：因應我國規制數據壟斷面臨的挑戰，載數字法治2024 年第 2 期。37 伍高飛等：云數據安全去重技術研究綜述，載密碼學報2023 年第 6 期。38 楊建軍：數字治理的法治進路，載比較法研究2023 年第 5 期。39 宋華盛、周建軍：跨境數據流動監管難題及應對之策，載國家治理2024年第 7 期。40 楊蕾：論跨境數據泄露通知制度的規范邏輯與實踐邏輯交互，載北京理工大學學報（社會科學版）2023 年第 5 期。41 卡內基國際和平基金會：韓國數據治理方式：世界在線率最高國家如何打造第三條道路，鄭樂峰譯，載信息安全與通信保密2021 年第 12 期。42 李宏兵、柴范、翟瑞瑞：跨境數據流動的全球態勢、規則比較與中國策略，載國際經濟合作2023 年第 6 期。