大模型训练数据跨境传输：必须取得个人单独同意吗？

蓝典信安 · AI合规服务中心，专注于为企业提供一站式AI合规咨询及治理服务，提供涵盖算法备案、数据安全与伦理审查等全面的合规咨询、评估与审计服务，量身定制内部治理体系与合规流程，致力于将复杂法规转化为清晰指南，助您高效规避AI合规风险，确保您的AI创新业务在合规上行稳致远。合作邮箱：AI@LD-SEC.com

在全球化AI研发背景下，训练数据跨境流动已成为常态。当这些数据包含个人信息时，企业面临的核心合规问题就是：是否需要以及如何获取个人同意？本文将深入解析《个人信息保护法》框架下的合规路径，帮助企业构建合法可行的数据跨境传输方案。

一、 合法性基础的双重审查：处理与传输的分离原则

理解数据跨境传输的同意要求，必须首先区分两个关键概念：个人信息处理的合法性基础与跨境传输的合规要求。

1. 处理活动的合法性基础

根据《个人信息保护法》第十三条，处理个人信息的合法性基础包括：

• 取得个人同意

• 为订立或履行合同所必需

• 为履行法定职责或法定义务所必需

• 为应对突发公共卫生事件或紧急情况下保护生命健康所必需

• 为公共利益实施新闻报道、舆论监督等

• 在合理范围内处理已公开的个人信息

2. 跨境传输的独立要求

根据《个人信息保护法》第三章，个人信息出境需满足以下条件之一：

• 通过国家网信部门组织的安全评估

• 按照国家网信部门的规定经专业机构进行个人信息保护认证

• 按照国家网信部门制定的标准合同与境外接收方订立合同

关键点在于：跨境传输的合规要求独立于处理活动的合法性基础，两者需同时满足。

二、 同意要求的场景化分析

1. 必须取得单独同意的情形

在以下场景中，企业必须取得个人的单独同意：

• 敏感个人信息处理：跨境传输生物识别、医疗健康、金融账户等敏感信息

• 以同意作为合法性基础：当企业选择”同意”作为个人信息处理的合法性基础时

• 跨境传输至未获充分性认定国家：向未获得中国”充分性认定”的国家传输数据

2. 可能豁免同意的例外情形

在严格限定条件下，以下情形可能不需要取得个人同意：

• 履行合同所必需：为履行与个人订立的合同而必需跨境传输

• 法定职责履行：为履行法定职责或法定义务而必需跨境传输

• 紧急情况：为保护自然人的生命健康和财产安全而必需跨境传输

然而，这些例外在AI大模型训练场景中的适用空间极为有限。

三、 大模型训练场景的特殊考量

1. 商业性训练的同意要求

对于商业性AI大模型训练：

• 通常难以适用”履行合同”等例外情形

• 训练活动本身往往超出”必要”范围

• 因此，获取同意成为最可靠的合法性基础

2. 已收集数据的跨境挑战

对于已收集的数据进行跨境传输：

• 如需补充获取跨境传输同意，成本高昂

• 可考虑通过去标识化降低合规要求

• 但需注意重识别风险，避免合规漏洞

3. 持续训练的动态管理

大模型的持续训练特性要求：

• 建立动态同意管理机制

• 设置同意有效期和更新机制

• 提供便捷的同意撤回渠道

四、 合规实践建议

1. 分层同意设计

• 区分处理同意与跨境传输同意

• 对敏感信息实施特别告知

• 提供不同细致程度的同意选项

2. 技术保障措施

• 实施数据加密和访问控制

• 采用差分隐私等隐私增强技术

• 建立数据出境安全监测机制

3. 文件记录留存

• 保存完整的同意获取记录

• 记录数据出境的详细日志

• 准备合规证明文件备查

4. 替代方案评估

在难以获取同意时，可考虑：

• 境内训练，仅输出结果出境

• 使用合成数据或匿名化数据

• 通过联邦学习实现”数据不出境，模型出境”

结语

在AI大模型训练数据跨境传输的合规实践中，”一刀切”的方案并不可行。企业应当根据数据处理的具体场景、数据类型和业务需求，设计差异化的合规路径。核心在于深入理解法律要求的技术本质，将合规要求转化为可执行的技术方案和管理流程，在保障个人信息安全的前提下，促进人工智能技术的创新与发展。