可能遇到的情况

公司计划将AI模型训练语料或用户交互数据传输出境,或调用境外大模型API。业务团队看到新闻中提及“推进数据跨境流动”和“建设跨境可信数据空间”,希望确认是否可简化合规流程,直接启动数据传输或接入境外服务。

为什么需要重视

新闻中发布的《行动计划》属于宏观政策指引,提及的“跨境可信数据空间”尚在试点探索阶段,并未替代现行的数据出境法律法规。企业若仅依据新闻标题判断合规性,可能忽略《个人信息保护法》及《促进和规范数据跨境流动规定》中的强制性申报义务(如安全评估、标准合同备案)。必须还原具体交易链:谁(境内主体)向谁(境外接收方)传输了什么数据(是否含个人信息/重要数据),以判断是否触发法定监管门槛。

现在可以做什么

  • 梳理数据出境清单:明确拟出境数据的具体字段,区分是否包含个人信息、敏感个人信息或重要数据,并统计自当年1月1日起的累计传输人数或数据量。
  • 核查主体属性:确认境内数据处理者是否被认定为关键信息基础设施运营者(CIIO),这直接影响是否强制适用安全评估。
  • 审查现有合规手续:检查是否已签署并备案《个人信息出境标准合同》,或是否已通过个人信息保护认证,而非仅依赖政策新闻作为合规依据。
  • 评估技术路径:若计划使用“跨境可信数据空间”,需核实该空间是否位于上海临港、横琴等官方试点区域,并获取试点项目的具体准入要求文件。
  • 完善告知同意机制:即便符合豁免申报情形,仍需核对隐私政策及用户授权记录,确保已履行对个人的告知同意义务。

1. 《人工智能合作发展行动计划》的具体全文及实施细则尚未在材料中提供,其法律效力层级及与现行法规的衔接细节待核验。2. “跨境可信数据空间”的具体技术标准、试点范围及法律免责边界需以官方发布的试点管理办法为准,目前材料仅提及概念。3. 本问答不构成对具体数据出境行为的合规确认,企业需结合具体数据规模、类型及接收方情况,由专业律师进行个案评估。