前言

在过去的一年中，我国在科技领域，特别是生成式人工智能方面取得了长足的进步。人工智能的发展，不仅仅与技术相关，还建立在丰富、海量的数据和巨大的算力基础之上。在国内的监管体系中，人工智能和数据领域的监管机构有多重的竞合。因此，我们在本文中对2023年度数据合规与人工智能法律的交叉领域进行了全面梳理和深入剖析，重点探讨了企业在迈向未来的过程中，如何确保在跟上科技浪潮和适应商业模式的转变中，应对各项法律监管所面临的根本性挑战。

此外，本文还进一步探讨了生成式人工智能技术发展对现有数据合规框架潜在的重塑作用，以及其对知识产权保护制度的深远影响。同时，针对未来我国数据要素市场发展趋势、数字经济的全面转型及潜在创新机遇进行了前瞻性探讨。

一、数据合规监管回顾

（一）数据合规实践回顾

2023年我国数字经济合规领域立法活动呈现极其活跃态势，在数据跨境监管、数据要素流通利用、未成年人网络保护以及行业数据立法方面均有了明显发展。

焦点一：数据跨境监管机制的完善与更新

在2022年，我国相继出台了《数据出境安全评估办法》等规则，标志着我国构建了完整的“数据出境监管三条路径"：数据出境安全评估、个人信息保护认证以及标准合同备案制度。

回顾2023年上半年，数据出境合规已成为各行业聚焦的核心议题。无论是国内的大型国有企业还是跨国外资企业，皆竞相投入全面的数据资产梳理与合规差距整改行动中，倾注大量资源以完善详尽的数据出境安全评估文档和个人信息保护影响评估报告。在历时数月至一年不等的申报备案过程中，企业对自身数据流转的合法性、正当性和必要性要求有了更深入的理解，并借此提升了显著的数据合规管理水平。我们可以看到，一项新规的实施必然会面临不少“坎坷"。面对轻则备案、重则评估的法定义务，不仅让企业感到了合规重负，也让监管压力山大。

转折点出现在2023年9月28日，网信办发布了《规范和促进数据跨境流动规定（征求意见稿）》（简称“出境新规"），预示着我国现行数据跨境监管体系或将迎来重大变革。

▪ 首先，出境新规引入了若干豁免条款，对于特定常见情境下的数据跨境活动（如向境外提供不满1万人次个人信息、出于订立与履行合同必需或者人力资源管理涉及的集团员工个人信息出境），无需进行繁琐的安全评估申报、标准合同备案或认证流程，这无疑将显著减少了应履行申报/备案义务的企业数量。

▪ 其次，出境新规调整了数据出境合规路径适用条件。此前，《数据出境安全评估办法》明确处理100万以上个人信息的数据处理者向境外提供个人信息或自上年1月1日起向境外提供超过10万人个人信息或者超过1万人敏感个人信息的应当申报数据出境安全评估。而新规对数据出境合规路径适用条件调整为：（1）向境外提供100万以上个人信息的；（2）被相关部门、地区告知或者公开发布为重要数据的数据出境，抬高了数据出境安全评估的适用门槛。另外，预计一年内向境外提供1万人以上、不满100万人个人信息的企业不须再申报数据出境安全评估，其可以选择通过标准合同备案或者认证渠道等负担较轻的方式履行合规义务。

▪ 再次，出境新规表明数据出境监管机制正从事前转向事中事后监管模式。原先企业需根据未来两年预期的数据出境规模提前进行安全评估或标准合同备案，而新规则允许企业在实际数据出境达到申报标准后再行申报安全评估或标准合同备案。

当前，在出境新规尚未正式出台的背景下，我们已经看到粤港澳、北京大兴和上海临港等地区/自贸区，已经开始比照新规探索、实施有关数据出境的新办法。从企业的角度，现阶段属于出境新规的“过渡期"，除了仍需要报出境安全评估和标准合同的申报场景外，其他落入豁免场景的，多数企业仍在等待监管的“靴子落地"。

焦点二：数据要素流通利用的制度化探索

数据流通作为一项关键性议题已备受关注多年。各界人士普遍认同数据作为一种战略性资产，在保护和合理开发方面的重要性。期间，各类政策、纲领与指导意见亦层出不穷，旨在推动数据流通领域的进步。然而，实践中我们看到的却是因种种掣肘而出现制度推进缓慢的情况：一方面，政策先行立法缺位，以及专业人才储备的不足构成了显著短板；另一方面，数据在流转过程中面临的安全性挑战、权属复杂性、隐私期待和有关标准不统一等问题错综交织，使得数据流通利用虽声势显赫，但在实际操作中却难以取得突破性的进展。从而形成了“声响宏大而实效微弱"的局面。当前现状显示，数据利用大多局限在各独立主体内部封闭循环，跨组织间的开放共享及“他用"模式尚未成气候，进而导致数据交易市场的活跃度与发展规模受限。

2023年可被视为数据流通利用的“元年"。首先，在2022年末，中共中央、国务院发布了《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》，从数据产权、流通交易、收益分配和安全治理等维度全面构建了我国数据基础制度的顶层设计框架，并首次创新性地提出了“数据三权分置"方案：

▪ 在数据采集阶段，企业基于合法合规的原则收集数据，从而确立对数据资源的持有权；

▪ 在数据汇集与处理环节中，数据持有者凭借其合法取得的数据（非个人信息）用益权，进一步延伸至加工使用权，将原始数据资源转化为标准化的数据集合，为后续基于标准的基础定价和交易创造条件；

▪ 在此基础上，企业能够开发出多元化数据产品，进而对经其加工、分析等形成的数据或数据衍生产品享有经营权。

为进一步落实数据资产化，2023年8月，《企业数据资源相关会计处理暂行规定》应运而生，标志着我国在实现数据由资源向资产转变的过程中迈出了坚实的一步。

其次，2023年10月25日，国家数据局正式揭牌成立，承担起协调推进数据基础制度建设，统筹数据资源整合共享和开发利用，统筹推进数字中国、数字经济、数字社会规划和建设等核心职能。自此，我国数据资源的开发利用拥有了坚实有力的监管支撑体系。目前，上海、江苏、四川等地已相继成立了省级数据局单位。

仅两个月后，国家数据局联合中央网信办、科技部、工信部等17个部门共同印发了《“数据要素×"三年行动计划（2024—2026年）》，率先拉开了激活数据要素潜能的战略序幕。该计划针对工业制造、现代农业、商贸流通、交通运输、金融服务、科技创新、文化旅游、医疗健康、应急管理、气象服务、城市治理、绿色低碳等多个领域提出了明确的发展方向，并设定了到2026年底打造超过300个具有示范性、高显著度和广泛带动效应的典型应用场景，以及数据产业年均增速保持在20%以上的量化目标。

我们有理由相信，随着2023年一系列数据流通制度建设领域的里程碑式动作，将会有力推动我国数据流通体系的完善与监管能力的提升。随着“数据要素×"三年行动计划的启动，我国将进一步挖掘和释放数据潜能，有效促进数字中国建设与发展。

焦点三：未成年人网络保护的强化

2023年，我国在未成年人网络保护方面取得了一系列重要成果。10月16日，《未成年人网络保护条例》正式公布。该条例从社会、学校和家庭三个维度入手，详尽规定了各方在网络环境建设中的责任义务，旨在强化对未成年人的法律保护，保障其在网络空间内的健康成长。特别是，智能终端产品服务提供者以及网络平台服务提供者被要求在未成年人保护方面承担网络欺凌预警、游戏账号租售监控、不良信息过滤、防沉迷机制建设以及未成年人模式建设等多项义务。

此外，北京互联网法院发布《网络服务提供者未成年人用户账号管理指引》和《网络服务提供者涉侵害未成年人权益投诉处理指引》，细化了网络服务提供者对于未成年人账号注册、管理以及相关投诉申诉的具体操作规范，并通过公布9起未成年人纠纷典型案例，就未成年人充值退款、名誉权及肖像权保护、网络店铺管理等问题确立了明确的司法裁判规则。

暑假期间，网信部门深入开展“清朗·2023年暑期未成年人网络环境整治"专项行动，集中整治诱导未成年人不良行为问题，严格排查下架社交、直播、短视频、漫画、学习、电商等未成年人常用的低俗色情类APP和网站，坚决打击网上诱导未成年人非理性追星。9月，网信办公布依法查处危害未成年人身心健康违法案件，责令暂停“小世界"版块信息更新30日，没收违法所得并处100万元罚款。

综上所述，2023年我国在立法、司法及执法等多个层面对加强未成年人网络保护工作均给予了高度重视和实质性推进。随着2024年1月1日《未成年人网络保护条例》正式生效，以大型互联网企业为代表的相关行业主体正积极筹备，紧锣密鼓地设计与实施相关法律法规的具体落地措施，力求全面响应并落实国家对未成年人网络保护的高标准要求。

焦点四：行业数据立法的深入推进

在2023年及之后，行业主管部门纷纷针对不同行业的数据合规工作采取了更为精细化和全面化的措施。

工信领域作为数字经济的重要支柱之一，在强化数据安全与合规方面迈出了坚实步伐。工业和信息化部陆续出台了《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）》《工业和信息化领域数据安全行政处罚裁量指引（试行）（征求意见稿）》以及《工业和信息化领域数据安全事件应急预案（试行）（征求意见稿）》等一系列文件。这些举措不仅体现了该领域对数据保护和安全性问题的日益重视，也凸显了政府致力于建立健全行业监管体系，为各相关企业提供明确的数据安全管理指导，以适应不断发展的数字化转型需求。

医疗健康行业同样紧随其后，国家卫生健康委员会等部门联合发布了《涉及人的生命科学和医学研究伦理审查办法》《人类遗传资源管理条例实施细则》以及《科技伦理审查办法》等法规政策。这些文件着重强调了在开展涉及人的生命科学研究中必须严格遵循伦理原则和规范化操作，旨在确保医疗健康数据的安全使用和合理利用，切实保障公众权益和社会公共利益。

金融行业则在这一年经历了重大变革，原有的银保监会调整重组为金融监管总局，标志着中国金融监管体系进入了新的发展阶段。新成立的金融监管总局积极应对金融科技创新带来的挑战，陆续颁布了《中国人民银行业务领域数据安全管理办法》（征求意见稿）、《非银行支付机构监督管理条例》以及《人工智能算法金融应用信息披露指南》等相关文件。这一系列动作展现了监管部门对于新技术背景下金融风险管理的高度警觉与前瞻性布局，旨在构建更加稳健、透明且包容性增长的金融科技环境，确保金融业在数字时代下的健康发展与安全运营。

2023年，智能网联汽车行业的监管与产业革新亮点频现。工信部等政府部门发布的《国家车联网产业标准体系建设指南（智能网联汽车）（2023版）》制定了全面的智能网联汽车技术框架，涵盖了智能感知、决策控制、信息通信与资源管理等诸多方面，并对汽车数据安全、人机交互、定位导航、信息融合、驾驶辅助、自动驾驶功能以及网联服务等核心模块的标准化工作加以深化。与此同时，《车联网网络安全和数据安全标准体系建设指南》设定了清晰的时间表，至2023年底初步构建起车联网安全标准体系，至2025年全面建成，重点攻关基础通用、设备设施安全、通信安全、数据分类保护、跨境流动安全审核、个人信息保密以及应用服务安全等多元标准，旨在有力护航车联网产业的稳步安全发展，并切实维护用户的隐私权益。

二、人工智能领域的监管回顾

1、立法及监管政策

人类社会每一次重大技术革新，无不带来法律制度的深刻变革。2023年我国在生成式人工智能领域取得了显著进步，“人工智能合规"迅速跃升为焦点议题。为了有效规制生成式人工智能技术研发与应用，妥善协调AI技术发展与数据安全之间的关系，国家层面制定并发布了一系列核心政策法规，包括《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》以及《生成式人工智能服务管理暂行办法》等，并辅以更具实践指导意义的标准指南，如《网络安全标准实践指南——生成式人工智能服务内容标识方法》和征求公众意见阶段的《生成式人工智能服务安全基本要求》。

从执法层面看，算法备案和大模型备案成为主要的监管抓手。前者对生成合成等五类算法实施无差别备案，算法备案迅速嵌入人工智能产业链上所有企业的常规合规项；大模型备案则对大型语言模型采取了更为精细且深入的评估与管理措施。尽管监管力度、监管主体职责在初期经历了一定程度的探索与调整阶段，但人工智能产业的发展犹如离弦之箭，其迅猛态势迫使各参与方在快速变化的监管环境中展现出强大的适应能力。即使面对监管框架的动荡和不确定性，各方依然能在短时间内迅速明确合规方向。这体现出由产业发展爆发出的迫切需求进而催生出的各方积极应对的一种高效策略与自我调适机制。

至于账号管理、个人信息保护、实名认证等其他人工智能产品的重要合规要点，则是对已有的《网络信息内容生态治理规定》《个人信息保护法》等专项规定的重申与延续。值得一提的是，《科技伦理审查办法（试行）》对人工智能、医疗健康等领域带来了新的监管维度。然而作为支撑该办法运行的核心基础设施——国家科技伦理管理信息登记平台目前仍在建设之中。由于缺乏外部监督压力，加之该办法生效时间仅一个月，其实际影响力对于业界尚未充分显现。

2、域外人工智能立法观察

随着人工智能技术的持续深化，欧美各国也正加快步伐推进全面的人工智能立法议程。其中，欧盟的《人工智能法案》作为全球首部综合性人工智能监管法规，正处于立法程序最后阶段。该法案以风险识别为核心，建立了一套针对人工智能的分级监管框架，为人工智能系统的研发、投放市场、实际应用及使用过程提供统一的法治理规则。

美国作为全球人工智能技术研发的领导者，在2023年10月30日迈出了关键一步，美国总统拜登签署首个针对人工智能监管的行政命令，该命令要求在AI系统正式发布之前，相关企业必须与美国政府分享安全测试结果，以确保人工智能产品的透明度和安全性。紧接着，在同年12月，美国商务部下属的国家标准与技术研究院（NIST）宣布正在制定评估和测试人工智能的标准指南，并致力于创建一个用于验证人工智能系统性能与可靠性的测试环境，以推动行业标准的确立和完善。

虽然目前美国联邦层面尚未出台一部统一的人工智能法典，但各州已开始自行探索并实施适应本地区特点的人工智能法规，如纽约州的《人工智能偏见法》以及伊利诺伊州的《人工智能视频面试法》等，这些地方性立法尝试填补了当前联邦层面法律空白，为人工智能技术的合法合规应用提供了区域性规范依据。

3、人工智能之知识产权保护困境初现

2023年，人工智能技术在全球范围内的广泛应用催生了一系列标志性的知识产权保护争议案件，这些案例不仅发生在中国（如中国首起涉及“AI文生图"的著作权争议案件），而且在国际层面也有显著体现（如《黎明的扎里亚》（Zarya of the Dawn）版权登记撤销案以及泰勒诉美国版权局关于确认AI绘画作品版权权属的诉讼）。这些事件共同揭示了生成式人工智能创造物在法律框架下所面临的复杂挑战：如何界定此类创作是否应享有知识产权保护、其权利归属何方，以及侵权责任应当由谁承担等核心问题。而这些问题目前尚无统一和明确的答案。

进一步探究，源头问题——即如何界定AI训练数据集的合法性使用，成为了亟待解决的关键议题。鉴于大模型算法训练所需的数据量巨大且对质量要求极高，确保每一份用于训练的数据都具有合法授权的成本压力，对于一些人工智能企业来说可能无法承受，以致构成生存威胁。这一难题在纽约时报诉M公司 & Open AI案中尤为凸显，该案引发了业界与法律界的热烈讨论。司法实践如何在推动科技创新与维护法规秩序之间划定清晰边界，已然成为近期乃至未来一段时间内的热议焦点。这无疑催促着全球各国立法者和司法实践者不断审视现行知识产权法律法规，并积极寻求适应人工智能技术发展的新型保护机制。

三、2024数据合规与人工智能监管的展望

从客观现实可以明显看到，人工智能产业发展离不开数据，而数据合规使用又是人工智能产业发展的坚实基础。因此数据合规与人工智能科技革命之间有着千丝万缕的密切关联，两者的监管趋势也存在着某种交织和契合。

在2024年，我们预计国内数据合规领域将会有三个明显的监管动向：

1. 出境新规的出台。出境新规不仅是我国着力发展数字经济、拓展数字经济国际合作这一大背景下的制度性回应，也是我国加入《全面与进步跨太平洋伙伴关系协定》和《数字经济伙伴关系协定》等国际条约的必备基础。因此我们预计出境新规将会依据“先试先行"地区的有关经验，对有关条款进行调整，待时机成熟后正式推出。根据我们的观察，现有出境监管“天平"已经向地方倾斜，即地方网信办将会扮演更加积极和主动的角色，成为未来数据出境主要的监管者。

2. 个人信息合规审计制度的实施。个人信息合规审计制度的落地，将延续事后监管的思路：即年度审计为企业自主必做题，个人信息处理者拥有较大空间在法定时间范围内安排适格审计；而强制审计作为事后监管的抓手，以避免对个人信息的监管流于形式。由于审计本身不免会对企业造成经营成本等压力，故不排除正式规定会适当放松有关要求和标准。

3. 数据利用的监管。新成立的国家数据局联合16部委联合发布的《“数据要素×"三年行动计划（2024—2026年）》无疑为数据利用的发展方向指明了道路。激活数据要素潜能的前提是打破“数据壁垒"。国家将会在2026年之前，在12个重点行业先试先行一批项目，为未来数据利用的立法做足准备。

面对人工智能的快速发展，海量的数据如何合法合规利用以及生成后的数据如何保护，将会是在未来一定期间内反复争议的主要法律问题。当然，基于人类对于“算法黑箱"的担心，如何确保大模型产品可靠又可信，将会是未来行政监管的主题。在中国，对大模型产品进行安全评估和常态化备案，将构成2024年的主旋律。就安全评估本身而言，我们预计重点将集中在内容安全、数据安全以及知识产权风险防控三个方面。同时我们也期待监管能出台有关指引，对大模型产品的透明度、可靠性和安全措施制定更加细化的要求。另外值得有关人工智能企业关注的是，随着《科技伦理审查办法（试行）》的实施，人工智能企业需要注意不同合规义务的有效衔接，包括个人信息合规审计、算法备案以及科技伦理评估和体系建立等。

最后，我们预计与生成式人工智能的有关诉讼将会增加，包括著作权诉讼以及不正当竞争诉讼。我们认为，在立法相对滞后的情况下，市场各方将倾向于利用诉讼去明晰各自的法律责任边界。