April 2026
人工智能技術應用合規提示(三)— 數據處理合規(中國大陸)
上一篇中,我們分析了在應用算法技術時,相關主體可能面臨的合規義務與法律風險。這一篇中,我們主要探討一下企業在處理數據時可能面臨的法律風險。
根據《數據安全法》第三條,該法所稱數據,是指任何以電子或者其他方式對信息的記錄;所謂數據處理,包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。一般來說,在數據處理過程中,經常發生問題的環節就在數據的收集與傳輸,因此本文也將集中討論一下這兩個方面的問題。
一、數據收集合規風險
就數據收集來說,主要需要考慮如何做到數據來源合規,因此我們這裏主要探討以下四個問題:
(一)什麽是數據收集合規?
根據《數據安全法》第三十二條,以及《個人信息保護法》第五、六、七、十條的相關規定,數據收集需要滿足的條件有:1)應當採取合法、正當的方式;2)應當在法律、行政法規規定的目的和範圍內收集數據;3)應當採取對個人權益影響最小的方式;4)應當明示處理的目的、方式和範圍;5)不得非法買賣、提供或者公開他人個人信息等等。簡而言之,數據收集應當做到合法、正當、必要、誠信、最小範圍,也即是數據收集的合規標準。
(二)什麽是“同意”?
如何證明數據收集符合合規要求呢?就個人信息類數據來說,根據《個人信息保護法》第十三條的規定,至少要滿足七項前提條件之一 [1] 。就商業活動來說,一般可能主要適用第一和第二種情形,即1)取得個人同意;2)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需。
就取得個人同意來說,並不是簡單地獲得一個點擊同意即可,根據《個人信息保護法》第十四、十五、十六條的規定 [2] ,所謂取得同意,至少要滿足以下等條件:
1、充分告知;
2、自願、明確;
3、允許撤回;
4、不得以不同意或撤回為由拒絕提供服務或產品,除非處理個人信息屬於提供服務或產品所必需的;
5、發生變更需重新取得同意;
6、有強制性要求的需獲得單獨同意或書面同意;
除此之外,從司法實踐的角度來看,如在獲取同意過程中未提供過跳過、拒絕等選項,即便形式上獲得了用戶同意也可能會被認為未實際取得用戶的同意。如在羅某訴某科技有限公司隱私權、個人信息保護糾紛案 [3] 中,法院認為,在收集用戶畫像信息並非提供網絡服務所必需的情況下,網站或者軟件登錄註冊界面收集該信息時,未向用戶提供不同意提交相關信息情況下的其他登錄方式的,屬於用戶非自願同意提供個人信息,不生已取得個人同意的效力。
(三)什麽是合同所必需?
而就判斷處理個人信息是否屬“為訂立、履行個人作為一方當事人的合同所必需”來說,根據最高院的解釋 [4] ,可以結合有關法律法規及規章、規範性文件等對必要個人信息範圍的規定,並考量合同的類型、內容等作出認定。如果不處理有關信息將使合同約定的基本功能服務或者用戶自主選擇的附加功能服務無法實現的,可以認定該個人信息處理行為屬訂立、履行合同所必需,反之則不予認定。
就法律規定來說,國家網信辦有發布過《常見類型移動互聯網應用程序必要個人信息範圍規定》,企業如有涉及個人信息收集可以參考該規定。
(四)數據抓取是否合法?
除了直接在商業活動中獲取數據之外,企業有的時候也會採用技術手段從網絡中抓取一些數據,這樣取得的數據是否合法呢?
從一些地方規定 [5] 和司法實踐來看 [6] ,主要看是否是從合法公開的渠道採集、是否有遵守行業自律公約、是否尊重爬取對象網站的爬蟲協議及規則、是否有事前評估對網絡服務的性能、功能可能帶來的影響、是否會干擾網絡服務的正常功能或妨礙計算機信息系統正常運行、是否有侵犯他人的知識產權、是否有造成不正當競爭等各方面的情形,而難以一概而論。
二、數據傳輸合規風險
就數據傳輸來說,主要涉及的問題為跨境傳輸的問題。根據現有法律規定,數據並不是不能跨境傳輸,只是傳輸必需要符合法律的要求,因此這裏我們主要探討以下幾個問題:
(一)什麽是數據出境?
根據《數據出境安全評估申報指南(第三版)》,以下三種情形都構成數據出境行為:
1、數據處理者將在境內運營中收集和產生的數據傳輸至境外;
2、數據處理者收集和產生的數據存儲在境內,境外的機構、組織或者個人可以查詢、調取、下載、導出;
3、符合《個人信息保護法》第三條第二款情形,在境外處理境內自然人個人信息等其他數據處理活動。
(二)什麽樣的數據出境會受到審核?
根據《網絡安全法》第37條,關鍵信息基礎設施運營者(CIIO)在境內收集和產生的個人信息與重要數據必須存儲在境內;確需出境的,應依照國家網信辦辦法進行安全評估。而根據《數據安全法》第三十一條,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。此外,《個人信息保護法》第四十一條規定,中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機構關於提供存儲於境內個人信息的請求。非經中華人民共和國主管機關批准,個人信息處理者不得向外國司法或者執法機構提供存儲於中華人民共和國境內的個人信息。
簡而言之,在涉及到關鍵信息基礎設施運營者(CIIO)所收集和產生的個人信息與重要數據、其他數據處理者在境內收集和產生的重要數據以及個人信息的出境的情形下,一般都需要經過審核。
(三)數據出境需要滿足哪些條件?
根據《網絡數據安全管理條例》第三十五條來看,不同情形下的數據出境要滿足不同的條件,在符合下列條件之一的情形下,網絡數據處理者可以向境外提供個人信息:
1、通過國家網信部門組織的數據出境安全評估;
2、按照國家網信部門的規定經專業機構進行個人信息保護認證;
3、符合國家網信部門制定的關於個人信息出境標準合同的規定;
4、為訂立、履行個人作為一方當事人的合同,確需向境外提供個人信息;
5、按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人信息;
6、為履行法定職責或者法定義務,確需向境外提供個人信息;
7、緊急情況下為保護自然人的生命健康和財產安全,確需向境外提供個人信息;
8、法律、行政法規或者國家網信部門規定的其他條件。
而就哪些情形需要進行安全評估,哪些情形需要進行個人信息保護認證以及哪些情形需要簽署標準合同等則需要根據《數據安全法》、《個人信息保護法》、《網絡數據安全管理條例》、《數據出境安全評估辦法》、《促進和規範數據跨境流動規定》、《個人信息出境認證辦法》、《個人信息出境標準合同辦法》、《個人信息出境標準合同備案指南》等的相關規定進行判斷,由於篇幅所限,本文就不在此展開。
(四)哪些情形下不需要審核?
除了需要審核的情形外,《促進和規範數據跨境流動規定》中也規定了一些可以豁免的情形,如數據處理者向境外提供個人信息,符合下列條件之一的,免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證:
1、為訂立、履行個人作為一方當事人的合同,如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等,確需向境外提供個人信息的;
2、按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人信息的;
3、緊急情況下為保護自然人的生命健康和財產安全,確需向境外提供個人信息的;
4、關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的。當然這裏所稱向境外提供的個人信息,不包括重要數據。
三、合規建議
總的來說,數據處理的合規界限在當下的法律規定情境中已經較為清晰,在數據應當合法使用已經構成共識的當下,人工智能技術在使用數據時一定要注意數據處理時的合規,在訓練數據管理上,首要嚴格審核來源合法性;在用戶數據管理上,需堅守最小必要原則;而在跨境數據傳輸需嚴格遵循我國監管要求,以免因不合規產生民事、刑事或行政的法律責任。
[1] 《個人信息保護法》第十三條:符合下列情形之一的,個人信息處理者方可處理個人信息:(一)取得個人的同意;(二)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需;(三)為履行法定職責或者法定義務所必需;(四)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;(五)為公共利益實施新聞報道、輿論監督等行為,在合理的範圍內處理個人信息;(六)依照本法規定在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息;(七)法律、行政法規規定的其他情形。依照本法其他有關規定,處理個人信息應當取得個人同意,但是有前款第二項至第七項規定情形的,不需取得個人同意。
[2] 第十四條:基於個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自願、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定。個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應當重新取得個人同意。
[3] 《最高人民法院關於發布第47批指導性案例的通知法》〔2025〕150號,指導性案例265號。
[4] 同上。
[5] 參見《深圳市企業數據合規指引》第三十五條以及《上海市企業數據合規指引》第十四條
[6] 參見《最高人民法院關於發布第47批指導性案例的通知》〔2025〕150號,指導性案例262:網絡平臺經營者在其對數據集合形成的經營性利益受到侵害時,可以請求人民法院依法保護。對於未經許可獲取並向公眾提供相關數據,實質性替代網絡平臺產品或者服務,擾亂市場競爭秩序、損害網絡平臺經營者或者其他權利人合法權益的行為,人民法院可以適用《中華人民共和國反不正當競爭法》有關規定,認定構成不正當競爭行為;指導性案例264:數據處理者依法採集企業數據,經符合有關標準的編制方法加工形成數據產品並合理利用,未對企業權益造成損害,相關企業要求數據處理者承擔侵權責任的,人民法院依法不予支持。
根據《數據安全法》第三條,該法所稱數據,是指任何以電子或者其他方式對信息的記錄;所謂數據處理,包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。一般來說,在數據處理過程中,經常發生問題的環節就在數據的收集與傳輸,因此本文也將集中討論一下這兩個方面的問題。
一、數據收集合規風險
就數據收集來說,主要需要考慮如何做到數據來源合規,因此我們這裏主要探討以下四個問題:
(一)什麽是數據收集合規?
根據《數據安全法》第三十二條,以及《個人信息保護法》第五、六、七、十條的相關規定,數據收集需要滿足的條件有:1)應當採取合法、正當的方式;2)應當在法律、行政法規規定的目的和範圍內收集數據;3)應當採取對個人權益影響最小的方式;4)應當明示處理的目的、方式和範圍;5)不得非法買賣、提供或者公開他人個人信息等等。簡而言之,數據收集應當做到合法、正當、必要、誠信、最小範圍,也即是數據收集的合規標準。
(二)什麽是“同意”?
如何證明數據收集符合合規要求呢?就個人信息類數據來說,根據《個人信息保護法》第十三條的規定,至少要滿足七項前提條件之一 [1] 。就商業活動來說,一般可能主要適用第一和第二種情形,即1)取得個人同意;2)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需。
就取得個人同意來說,並不是簡單地獲得一個點擊同意即可,根據《個人信息保護法》第十四、十五、十六條的規定 [2] ,所謂取得同意,至少要滿足以下等條件:
1、充分告知;
2、自願、明確;
3、允許撤回;
4、不得以不同意或撤回為由拒絕提供服務或產品,除非處理個人信息屬於提供服務或產品所必需的;
5、發生變更需重新取得同意;
6、有強制性要求的需獲得單獨同意或書面同意;
除此之外,從司法實踐的角度來看,如在獲取同意過程中未提供過跳過、拒絕等選項,即便形式上獲得了用戶同意也可能會被認為未實際取得用戶的同意。如在羅某訴某科技有限公司隱私權、個人信息保護糾紛案 [3] 中,法院認為,在收集用戶畫像信息並非提供網絡服務所必需的情況下,網站或者軟件登錄註冊界面收集該信息時,未向用戶提供不同意提交相關信息情況下的其他登錄方式的,屬於用戶非自願同意提供個人信息,不生已取得個人同意的效力。
(三)什麽是合同所必需?
而就判斷處理個人信息是否屬“為訂立、履行個人作為一方當事人的合同所必需”來說,根據最高院的解釋 [4] ,可以結合有關法律法規及規章、規範性文件等對必要個人信息範圍的規定,並考量合同的類型、內容等作出認定。如果不處理有關信息將使合同約定的基本功能服務或者用戶自主選擇的附加功能服務無法實現的,可以認定該個人信息處理行為屬訂立、履行合同所必需,反之則不予認定。
就法律規定來說,國家網信辦有發布過《常見類型移動互聯網應用程序必要個人信息範圍規定》,企業如有涉及個人信息收集可以參考該規定。
(四)數據抓取是否合法?
除了直接在商業活動中獲取數據之外,企業有的時候也會採用技術手段從網絡中抓取一些數據,這樣取得的數據是否合法呢?
從一些地方規定 [5] 和司法實踐來看 [6] ,主要看是否是從合法公開的渠道採集、是否有遵守行業自律公約、是否尊重爬取對象網站的爬蟲協議及規則、是否有事前評估對網絡服務的性能、功能可能帶來的影響、是否會干擾網絡服務的正常功能或妨礙計算機信息系統正常運行、是否有侵犯他人的知識產權、是否有造成不正當競爭等各方面的情形,而難以一概而論。
二、數據傳輸合規風險
就數據傳輸來說,主要涉及的問題為跨境傳輸的問題。根據現有法律規定,數據並不是不能跨境傳輸,只是傳輸必需要符合法律的要求,因此這裏我們主要探討以下幾個問題:
(一)什麽是數據出境?
根據《數據出境安全評估申報指南(第三版)》,以下三種情形都構成數據出境行為:
1、數據處理者將在境內運營中收集和產生的數據傳輸至境外;
2、數據處理者收集和產生的數據存儲在境內,境外的機構、組織或者個人可以查詢、調取、下載、導出;
3、符合《個人信息保護法》第三條第二款情形,在境外處理境內自然人個人信息等其他數據處理活動。
(二)什麽樣的數據出境會受到審核?
根據《網絡安全法》第37條,關鍵信息基礎設施運營者(CIIO)在境內收集和產生的個人信息與重要數據必須存儲在境內;確需出境的,應依照國家網信辦辦法進行安全評估。而根據《數據安全法》第三十一條,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。此外,《個人信息保護法》第四十一條規定,中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機構關於提供存儲於境內個人信息的請求。非經中華人民共和國主管機關批准,個人信息處理者不得向外國司法或者執法機構提供存儲於中華人民共和國境內的個人信息。
簡而言之,在涉及到關鍵信息基礎設施運營者(CIIO)所收集和產生的個人信息與重要數據、其他數據處理者在境內收集和產生的重要數據以及個人信息的出境的情形下,一般都需要經過審核。
(三)數據出境需要滿足哪些條件?
根據《網絡數據安全管理條例》第三十五條來看,不同情形下的數據出境要滿足不同的條件,在符合下列條件之一的情形下,網絡數據處理者可以向境外提供個人信息:
1、通過國家網信部門組織的數據出境安全評估;
2、按照國家網信部門的規定經專業機構進行個人信息保護認證;
3、符合國家網信部門制定的關於個人信息出境標準合同的規定;
4、為訂立、履行個人作為一方當事人的合同,確需向境外提供個人信息;
5、按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人信息;
6、為履行法定職責或者法定義務,確需向境外提供個人信息;
7、緊急情況下為保護自然人的生命健康和財產安全,確需向境外提供個人信息;
8、法律、行政法規或者國家網信部門規定的其他條件。
而就哪些情形需要進行安全評估,哪些情形需要進行個人信息保護認證以及哪些情形需要簽署標準合同等則需要根據《數據安全法》、《個人信息保護法》、《網絡數據安全管理條例》、《數據出境安全評估辦法》、《促進和規範數據跨境流動規定》、《個人信息出境認證辦法》、《個人信息出境標準合同辦法》、《個人信息出境標準合同備案指南》等的相關規定進行判斷,由於篇幅所限,本文就不在此展開。
(四)哪些情形下不需要審核?
除了需要審核的情形外,《促進和規範數據跨境流動規定》中也規定了一些可以豁免的情形,如數據處理者向境外提供個人信息,符合下列條件之一的,免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證:
1、為訂立、履行個人作為一方當事人的合同,如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等,確需向境外提供個人信息的;
2、按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人信息的;
3、緊急情況下為保護自然人的生命健康和財產安全,確需向境外提供個人信息的;
4、關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的。當然這裏所稱向境外提供的個人信息,不包括重要數據。
三、合規建議
總的來說,數據處理的合規界限在當下的法律規定情境中已經較為清晰,在數據應當合法使用已經構成共識的當下,人工智能技術在使用數據時一定要注意數據處理時的合規,在訓練數據管理上,首要嚴格審核來源合法性;在用戶數據管理上,需堅守最小必要原則;而在跨境數據傳輸需嚴格遵循我國監管要求,以免因不合規產生民事、刑事或行政的法律責任。
[1] 《個人信息保護法》第十三條:符合下列情形之一的,個人信息處理者方可處理個人信息:(一)取得個人的同意;(二)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需;(三)為履行法定職責或者法定義務所必需;(四)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;(五)為公共利益實施新聞報道、輿論監督等行為,在合理的範圍內處理個人信息;(六)依照本法規定在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息;(七)法律、行政法規規定的其他情形。依照本法其他有關規定,處理個人信息應當取得個人同意,但是有前款第二項至第七項規定情形的,不需取得個人同意。
[2] 第十四條:基於個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自願、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定。個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應當重新取得個人同意。
[3] 《最高人民法院關於發布第47批指導性案例的通知法》〔2025〕150號,指導性案例265號。
[4] 同上。
[5] 參見《深圳市企業數據合規指引》第三十五條以及《上海市企業數據合規指引》第十四條
[6] 參見《最高人民法院關於發布第47批指導性案例的通知》〔2025〕150號,指導性案例262:網絡平臺經營者在其對數據集合形成的經營性利益受到侵害時,可以請求人民法院依法保護。對於未經許可獲取並向公眾提供相關數據,實質性替代網絡平臺產品或者服務,擾亂市場競爭秩序、損害網絡平臺經營者或者其他權利人合法權益的行為,人民法院可以適用《中華人民共和國反不正當競爭法》有關規定,認定構成不正當競爭行為;指導性案例264:數據處理者依法採集企業數據,經符合有關標準的編制方法加工形成數據產品並合理利用,未對企業權益造成損害,相關企業要求數據處理者承擔侵權責任的,人民法院依法不予支持。
相關文章
本網頁上所有上海理慈法律新知資料內容(「內容」)均屬上海理慈律師事務所所有。上海理慈保留所有權利,除非獲得上海理慈事前許可外,均不得以任何形式或以任何方式重製、下載、散布、發行或移轉本網頁上之內容。
所有內容僅供作參考且非為特定議題或具體個案之法律或專業建議。所有內容未必為最新法律及法規之發展,上海理慈及其編輯群不保證內容之正確性,並明示聲明不須對任何人就信賴使用本網頁上全部或部分之內容,而據此所為或經許可而為或略而未為之結果負擔任何及全部之責任。撰稿作者之觀點不代表上海理慈之立場。如有任何建議或疑義,請與上海理慈聯繫。
