AI大模型训练与用户数据出境，必须跨越哪些法律门槛？

蓝典信安 · AI合规服务中心，专注于为企业提供一站式AI合规咨询及治理服务，提供涵盖算法备案、数据安全与伦理审查等全面的合规咨询、评估与审计服务，量身定制内部治理体系与合规流程，致力于将复杂法规转化为清晰指南，助您高效规避AI合规风险，确保您的AI创新业务在合规上行稳致远。合作邮箱：AI@LD-SEC.com

数据是AI大模型的命脉，而全球化协作与部署又使得数据跨境流动成为常态。然而，对于在中国境内运营的AI大模型服务而言，将训练数据或用户数据传输至境外，是一条布满“高压线”的合规路径。企业必须严格遵循以《网络安全法》、《数据安全法》、《个人信息保护法》为核心的监管框架，满足一系列复杂且强制性的前置条件。

一、 数据出境的根本前提：完成数据分类分级

这是所有后续操作的基石。企业在考虑数据出境前，必须依法建立内部数据分类分级制度，明确界定待出境数据的性质：

• 个人信息：任何与已识别或可识别的自然人相关的各种信息。

• 重要数据：一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、经济运行、社会稳定、公共健康和安全的数据。国家网信部门会同相关部门制定重要数据具体目录。

• 核心数据：关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据。处理要求最为严格，原则上禁止出境。

核心提示：AI大模型训练数据可能同时包含个人信息和重要数据（例如，涉及国家地理、人口、金融等领域的敏感信息），必须审慎识别。

二、 数据出境的三大合规路径

根据数据性质的不同，法律设定了不同的出境通道。

1. 路径一：通过网信部门的安全评估（强制性）

   • 触发条件（满足其一即需申报）：

     • 数据处理者作为关键信息基础设施运营者（CIIO） 向境外提供个人信息。

     • 出境数据中包含 “重要数据”。

     • 处理个人信息达到100万人以上的数据处理者向境外提供个人信息。

     • 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息。

   • 流程：向所在地省级网信部门申报数据出境安全评估，由国家网信部门组织进行评估，评估结果有效期为3年。

2. 路径二：签订标准合同（约定性）

   • 适用条件：同时满足以下条件的数据处理者，可通过与境外接收方签订国家网信部门制定的 《个人信息出境标准合同》 的方式出境：

     • 非CIIO；

     • 处理个人信息不足100万人；

     • 自上年1月1日起累计向境外提供不足10万人个人信息（不包含敏感个人信息）。

   • 核心义务：必须在标准合同生效之日起10个工作日内向所在地省级网信部门完成备案。

3. 路径三：通过保护认证（第三方认证）

   • 经由国家网信部门确定的专业机构，依照国家标准对个人信息处理者的个人信息跨境处理活动进行认证，确保其符合中国法律法规和标准。

三、 数据出境的通用性前置义务

无论选择哪条路径，以下义务都必须履行：

1. “告知-同意”的强化落实

   • 告知：必须向个人告知境外接收方的名称、联系方式、处理目的、方式、个人信息的种类以及个人向境外接收方行使权利的方式等事项。

   • 同意：取得个人的单独同意。特别是对于敏感个人信息，此要求更为严格。同意必须是基于充分知情下的自愿、明确作出。

2. 开展事前数据出境风险影响评估

   • 这是法律规定的强制性步骤，评估报告需至少保存3年。评估内容应包括：

     • 数据出境的目的、范围和规模的必要性；

     • 境外接收方所在国家或地区的网络安全环境、数据保护法律框架；

     • 境外接收方的数据保护能力与承诺；

     • 数据出境后遭篡改、破坏、泄露、丢失、非法利用等的风险；

     • 企业与境外接收方拟订立合同中约定的数据保护义务和措施是否充分。

3. 与境外接收方签订具有法律约束力的协议

   • 协议必须明确约定双方的权利和义务，特别是数据安全保护责任和义务，并要求境外接收方承诺遵守中国法律，并接受中国监管机构的监管。

4. 数据本地化存储的强制性要求

   • CIIO 和处理重要数据的数据处理者，必须将在境内收集和产生的个人信息和重要数据存储在境内。只有在确需出境且通过安全评估后，方能出境。

四、 禁止出境的“红线”数据

以下数据严禁以任何形式出境：

• 国家秘密：依照《保守国家秘密法》认定。

• 未依法进行安全评估的“核心数据”。

• 其他法律、行政法规禁止出境的数据。

结语：将合规作为全球化战略的基石

对于AI大模型企业而言，数据跨境传输的合规管理是一项系统工程，绝非简单的合同签订或备案可以解决。它要求企业具备前瞻性的数据治理能力、精准的法律理解能力和高效的跨部门协作能力。在“走出去”之前，务必完成内部数据的“摸底排查”，选择正确的出境路径，并严格履行全部法定义务。任何侥幸心理都可能带来项目停滞、巨额罚款乃至刑事责任等不可承受之后果。唯有将合规内化为核心竞争力，方能在全球市场的竞争中行稳致远。