中國人工智能企業國際化經營，如何應對數據安全與合規挑戰？

人工智能技術主要面臨著模型安全、數據安全和系統安全三個方面的安全挑戰。特別是數據安全風險和隱私保護正逐漸成為人工智能系統在開發和應用過程中面臨的嚴峻問題。具體表現在，人工智能在數據收集階段難以保障用戶的數據權利；對個人臉、基因、體型、語音等生物特征數據進行采集和處理存在較大的法律合規和隱私保護風險；數據污染可能會導致人工智能算法模型失效，惡意數據投毒攻擊會導致人工智能決策錯誤，而數據偏差可能會導致人工智能決策帶有歧視性；跨境數據流動也將對國家安全、數據主權等帶來復雜的挑戰等。

人工智能帶來的倫理問題主要包括：人工智能做出超越人類預期的行為挑戰現有的倫理框架及人類的思維本質；算法不透明無法解釋，表面上客觀的數據和理性的算法，也可以產生非中立性的結果；人工智能技術的應用對社會就業帶來的影響，對社會公平可能帶來損害；智能監控設備的廣泛使用將導致公民的個人隱私存在隱患，等。

針對上述挑戰，人工智能企業在進行國際化經營的過程中，需要遵從基本的安全與倫理規范，加強核心關鍵技術基礎研究，提高人工智能的穩定性、可解釋性、公平性，確保數據安全和個人隱私，從而打造出可以信賴的人工智能產品和服務。

中國人工智能企業在對外貿易中面臨雙重的出口管制，一方面需要遵守中國法律所規定的出口管制，另一方面在涉美貿易或其他環節，還面臨美國或者其它國家法律所規定的出口管制。

我國《對外貿易法》第16條對可以限制或者禁止有關貨物、技術的進口或者出口進行了規定。《中國禁止出口限制出口技術目錄》在2020年8月28日經修改后，新增了23項限制出口的技術條目。其中，人工智能交互界面技術（包括語音識別技術，麥克風陣列技術，語音喚醒技術，交互理解技術等）、基于數據分析的個性化信息推送服務技術等與人工智能相關的技術被列為了限制出口的技術條目。依據《技術進出口管理條例》的相關規定，屬于限制出口的技術，實行許可證管理；未經許可，不得出口；出口屬于限制出口的技術，應當向國務院外經貿主管部門提出申請。

在法責任方面，進口或者出口屬于禁止進出口的技術的，或者未經許可擅自進口或者出口屬于限制進出口的技術的，依照刑法關于走私罪、非法經營罪、泄露國家秘密罪或者其他罪的規定，依法追究刑事責任。對于擅自超出許可的范圍進口或者出口屬于限制進出口的技術的，依照刑法關于非法經營罪或者其他罪的規定，依法追究刑事責任。尚不夠刑事處罰的，區別不同情況，依照海關法的有關規定處罰，或者由國務院外經貿主管部門給予警告，沒收違法所得，處以罰款；國務院外經貿主管部門并可以暫停直至撤銷其對外貿易經營許可。

早在2018年11月19日，美國商務部工業安全局就已提出一份針對關鍵技術和相關產品的出口管制討論方案，方案考慮對包括人工智能及其學習技術在內的14個“具有代表性的技術類別”領域的前沿技術實施出口管制。2020年1月6日，美國商務部工業安全局（BIS）發布了對《出口管理條例》的最新修訂文本，對于在出口管制分類編號（ECCN）0Y521項下的、專門用于自動分析地理空間的軟件的出口和再出口（除加拿大以外的所有目的地均包含在內）提出了要求。在未獲得BIS許可證的情況下，出口管制分類編號0Y521項下的商品將不得出口、再出口或轉移到除加拿大以外的其他任何國家。

美國對人工智能領域的規劃及相關法規為我國人工智能企業帶來的影響深遠。在能源、采礦業、公共安全和私人安保、物聯網和其他基于位置的服務等很多領域，中國企業和市場對綜合地理空間分析解決方案的需求與日俱增。未來，想要通過獲得此類技術許可，會面臨更為嚴格的監管和審查。此外，美國政府如果認定相關企業從事違反美國國家安全或外交政策利益的活動，則可能將其列入“實體清單”。目前有近300家中國企業被列入該清單，清單內的企業將在一定程度上無法正常獲得美國原產產品和技術，也會造成企業被多國管制的連鎖反應，使得中國人工智能企業的供應鏈安全受到嚴重影響。

為此，中國的人工智能企業在開展國際貿易時，需要密切關注中美出口管制相關動態，建立健全完善的內部合規制度，定期進行風險自查與評估。在涉美貿易方面，更應強化出口管制風險識別，對研發、設計、采購、生產、銷售等全流程監控，防范出口管制違規行為。

人工智能幫助企業在商業中占據優勢，進而使得企業能夠獲得并保持市場優勢。在這種情況下，人工智能企業很有可能面臨著反壟斷審查的風險，特別是在數字領域形成的全球反壟斷浪潮，使得人工智能行業在國際化經營中更需要關注反壟斷合規風險。

人工智能企業可能涉及到的反壟斷問題主要包括：（1）人工智能壟斷協議問題，即“價格算法合謀”，已經引起各國反壟斷執法機構和相關組織的廣泛關注。（2）人工智能數據壟斷問題，優勢企業利用自身數據優勢來保障自身地位，排除、限制其他企業競爭可能因此而遭受反壟斷審查，并為其壟斷行為付出相應的代價，等。我國發布的《關于平臺經濟領域的反壟斷指南》以及《反壟斷法（修訂草案）》均已考量到數字經濟領域反壟斷的特殊性，明確規定經營者不得濫用數據和算法、技術、資本優勢以及平臺規則等排除、限制競爭。

為此，人工智能企業應當未雨綢繆，在使用人工智能技術作為商業工具、享受技術紅利的同時，應當避免出于合謀的目的設計或者使用人工智能技術。同時，企業也應當關注各司法區域反壟斷立法、執法和司法的最新發展動向，以便掌握先機，防患于未然。

2020年6月1日起實施的《網絡安全審查辦法》，主要目的是為了確保關鍵信息基礎設施供應鏈安全，維護國家安全。2021年7月10日，國家互聯網信息辦公室發布《網絡安全審查辦法（修訂草案征求意見稿）》，擴大了網絡安全審查的適用范圍和義務主體范圍，對跨境上市企業提出了更嚴格的信息審查要求。審查辦法明確規定，掌握超過 100 萬用戶個人信息的運營者（關鍵信息基礎設施運營者及數據處理者）赴國外上市需要接受網絡安全審查，并增加中國證券監督管理委員會為監管主體，反映出國家對企業國外上市行為所產生的數據安全問題的高度關注。隨后，網信辦開始對“滴滴出行”“運滿滿”“貨車幫”“BOSS直聘”等赴美上市互聯網平臺企業實施網絡安全審查，正式實施網絡安全監管。

當前，赴美上市網絡安全問題主要來自兩方面：一是上市準備及申請階段證券中介機構、會計師、律師進行盡職調查所獲取的大量底層數據的出境風險；二是上市后因遵循境外監管的信息提交或披露要求，可能導致敏感數據泄露，從而威脅到國家安全。為此，建議赴美上市的人工智能企業需要考慮以上因素引發的網絡安全審查和由此導致的業務停滯，謹慎評估數據合規風險并適時調整赴美上市計劃。

從當前世界主要國家和地區的數據政策和立法發展狀況看，數據本地化的趨勢在逐漸強化。我國也從捍衛國家數據主權、保護數據安全的層面進行了數據立法，并不斷完善我國數據跨境流動機制。但另一方面，由于我國具有相當體量的數據跨境傳輸需求，人工智能企業的國際化經營給數據本地化和跨境數據傳輸帶來了合規挑戰。

數據出境是指網絡運營者通過網絡等方式，將其在中國境內運營中收集和產生的個人信息和重要數據，通過直接提供或開展業務、提供服務、產品等方式提供給境外的機構、組織或個人的一次性活動或連續性活動。根據《個人信息保護法》對數據跨境傳輸的規定，數據跨境傳輸可選擇的法定條件包括：（1）通過國家網信部門組織的安全評估；（2）按照國家網信部門的規定經專業機構進行個人信息保護認證；（3）按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；（4）法律、行政法規或者國家網信部門規定的其他條件。此外，《個人信息保護法》對境外數據接收主體提出了“同等保護標準”的要求。個人信息處理者在向境外提供個人信息前，還應當就個人信息處理的目的和方式是否恰當、對個人權益的影響及安全風險、保護措施是否合法有效等問題進行評估，并對處理情況進行記錄。

另外，根據國家網信辦2021年10月發布的《數據出境安全評估辦法（征求意見稿）》，數據處理者向境外提供數據，符合以下情形之一的，應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估：

• 關鍵信息基礎設施的運營者收集和產生的個人信息和重要數據；

• 出境數據中包含重要數據；

• 處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息；

• 累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息；

• 國家網信部門規定的其他需要申報數據出境安全評估的情形。

人工智能企業在國際化經營中的數據跨境流通不可避免。企業應當根據相關規定制定數據出境的規則機制，保證數據跨境流通能夠符合法律規定的前提條件、“告知-同意”的數據合法處理基礎和規則、安全評估和認證等內容。除個人信息與重要數據之外，如果企業掌握的數據有可能屬于管制物項相關數據或企業因特殊情形觸發境外監管機構數據調取的，則還應當適用特殊的數據安全保護規則進行數據本地化，或經國內主管機關批準，否則，向外國司法或者執法機構提供存儲于中華人民共和國境內的數據將會受到嚴格限制。除此之外，企業還應全面了解各國的數據合規差異化要求，遵守東道國或目標市場國家或地區相應的數據法律規范，以及對數據跨境傳輸處理的特殊規則。

在全球疫情起伏不定，世界經濟復蘇緩慢、艱難，外部環境更趨復雜嚴峻的大環境下，中國人工智能企業的國際化經營面臨不穩定、不確定性的因素依然較多，人工智能產品“出海”，既需要提升技術，擴大品牌影響力，增強整體競爭力，更需深入了解關于出口管制、國家安全審查、反壟斷與網絡安全審查、數據出境等方面的法律法規，提高數據安全意識，強化合規體系建設，以規避各種法律風險，贏得更大的市場。