算力出海业务的法律合规路径探索与风险解析
算力出海业务的法律合规路径探索与风险解析
随着生成式人工智能产业的快速发展,智算资源在时间与地域上存在结构性错配,“境内部署、跨境交付”或“境外部署、境外销售”等算力出海模式日益常见。算力出海虽可提升资产利用率与商业变现能力,但在数据跨境与个人信息保护、出口管制与制裁合规、通信监管与许可边界,以及服务合同责任分配等方面均存在较高合规敏感度。
本文面向拟开展算力出海业务的境内运营主体(包括AIDC持有人、运营方、算力服务提供商、云服务/平台型企业等),围绕“境内部署、算力/Token跨境销售”与“境外直接部署和销售”两种典型模式,结合现有算力跨境服务的监管环境,从业务架构、数据流向、监管关注点等维度出发,分析出海业务可能涉及的核心法律风险与合规要点,以供实务参考。
一、算力出海实践中的两种路径
当前中国企业的算力出海实践主要呈现为以下两种模式:
模式一:境内部署算力硬件资源,算力/Token跨境销售
即境内智算中心持有GPU等算力硬件资源,利用夜间闲置时段,通过API调用或Token额度销售等方式向境外客户提供推理能力或模型服务,客户通过接口调用获得结果。模式一的情形下,算力资源物理上位于境内,服务对象位于境外,业务常伴随境外客户与境内节点之间的数据往返传输,监管关注点通常集中于是否构成数据/个人信息向境外提供、委托处理/共同处理关系的界定、日志与运维数据是否存在跨境访问、以及平台对境外客户数据的安全保障能力与可证明性。

点击可查看大图
模式二:境外直接部署算力硬件资源,直接在境外销售算力/Token
即境内主体在东南亚、中东、南美等目标市场国家设立子公司或通过关联实体,并通过前述子公司或关联实体部署GPU集群及配套数据中心基础设施,在当地直接向客户提供算力服务。模式二的情形下,算力资源物理上位于境外,服务对象位于境外。此模式下,算力资源与服务对象均在境外,通常有助于降低部分跨境数据传输压力,但会引入更多维度的新增风险,如东道国外资准入/安全审查等。
二、境内部署+算力跨境销售的法律合规注意事项
(一)数据出境与跨境传输合规
从业务模式上看,模式一所涉及的算力服务销售从形式上看属于“服务跨境提供”,但因跨境AI算力服务可能涉及数据跨境传输,在实践中存在以下需要关注的问题:
根据《数据出境安全评估办法》的规定,数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
需要补充说明的是,2024年3月国家网信办发布的《促进和规范数据跨境流动规定》在《数据出境安全评估办法》框架下,对非关键信息基础设施运营者的个人信息出境评估阈值作了分层放宽:仅关键信息基础设施运营者向境外提供个人信息或重要数据的,以及关键信息基础设施运营者以外的数据处理者向境外提供重要数据、或自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或1万人以上敏感个人信息的,方需申报数据出境安全评估。因此,在判断模式一项下的数据出境合规义务时,应以前述最新规定的阈值为准。
在模式一中,境外客户通过API调用时,其输入数据(可能包含个人信息或业务数据)回传至境内GPU节点进行计算,计算过程中间结果或推理输出数据再次返回境外。在输出数据再次返回境外这一环节中,还需特别关注以下链路:
(1)输出结果回传境外:境内节点产出的推理输出、训练结果、报表与模型文件回传境外客户,可能构成向境外提供数据;
(2)境外远程运维/跨境访问:境外工程师、境外子公司或境外供应商远程访问境内系统产生的日志、工单、截图、数据抽样等,可能形成“向境外提供数据”的事实链条;
(3)日志/监控/工单的二次出境:如使用境外SaaS监控、海外工单系统、跨境告警渠道等,可能在不经意间形成二次出境。
境内智算中心、算力服务提供商等作为“数据处理者”需结合数据类型(是否涉及重要数据、个人信息、敏感个人信息等)、处理规模、以及企业是否属于关键主体(如被认定为CIIO或达到一定规模的个人信息处理者)进行个案判断,评估上述链路是否触发特定合规义务。
此外,境内智算中心、算力服务提供商等需要审慎评估算力服务是否涉及向境外提供“重要数据”[1]或个人信息的情形,以及是否触发更高门槛的跨境合规路径(例如数据出境安全评估等)。
需要特别提示的是,若境内智算中心被行业主管部门认定为关键信息基础设施(CII),则其向境外提供数据的合规门槛将显著提高,需额外遵守《关键信息基础设施安全保护条例》项下更严格的数据保护义务。
(二)出口管制合规
《中华人民共和国出口管制法》规定,国家对管制物项的出口实行许可制度。出口管制清单所列管制物项或者临时管制物项,出口经营者应当向国家出口管制管理部门申请许可。根据《禁止出口限制出口技术目录》的规定,在“软件和信息技术服务业”领域明确将“基于数据分析的个性化信息推送服务技术(基于海量数据持续训练优化的用户个性化偏好学习技术、用户个性化偏好实时感知技术、信息内容特征建模技术、用户偏好与信息内容匹配分析技术、用于支撑推荐算法的大规模分布式实时计算技术等)”列入限制出口技术目录。
在算力跨境服务场景下,向境外提供“算力/Token”是否构成“技术出口”或“提供管制物项的服务”,目前尚缺乏明确的执法案例。但是如果算力服务涉及境内自研的AI训练框架、分布式训练优化算法、模型架构等技术要素的输出,不排除可能落入《中国禁止出口限制出口技术目录》的调整范围,需根据具体情形判断是否需要办理技术出口许可。
需要特别提示的是,算力跨境业务的出口管制风险并不只来自中国法,还可能受到美国等国家的域外管辖规则影响(如EAR、FDPR及制裁规则),尤其在硬件、软件、固件与开发工具链存在“美国成分”时。实务中应关注:境外客户/最终用户/最终用途是否涉及受限主体或敏感领域;算力服务所输出的技术要素(如自研训练框架、分布式训练优化算法、模型架构等)是否涉及受管制技术;以及境内主体通过跨境接口向境外客户提供服务、或为境外客户提供远程技术支持,是否可能被认定为技术出口或视同出口,从而触发相应的许可评估需求。
为降低出口管制与制裁风险并提升可证明性,建议企业在签约前对客户背景、实际控制人、最终用途等进行尽职调查,并对中国、联合国、美国OFAC等制裁/限制清单进行筛查并留痕;明确禁止军事、大规模杀伤性武器、导弹等敏感用途,并将尽调材料、筛查结果、审批记录按周期保存,形成合规证据链。
(三)增值电信业务许可
境内运营方持有的互联网数据中心业务(IDC)经营许可证通常以境内为经营范围。向境外客户提供算力服务是否超出许可范围,以及是否需要取得额外的跨境电信业务许可,可能需要综合考虑境内主体服务节点所在地、境内主体是否直接与境外客户签约、费用结算是否为外币、是否在境外结算等相关事项,建议境内运营方与属地通信管理局进行事先确认。
(四)合同安排与责任防范
考虑到上述合规风险,笔者建议在服务协议的关键条款设计中可以考虑约定:服务提供方的地理范围和数据流动限制;明确的用途禁止条款(排除军事、武器、制裁实体等敏感用途);要求客户承诺不将算力用于违法目的,同时建立内容安全监测和应急响应机制;因客户违法违规使用算力导致的责任划分和追偿机制等。
三、境外直接部署的核心法律及合规注意事项
当商业决策从“服务出境”走向“资产出海”,风险维度更趋多元化,建议企业重点关注外资准入与安全审查、出口管制与再出口约束、数据主权与法域冲突。
(一)投资目的国的外商投资审查应当为企业首先考虑的问题,以美国为例,涉及存量IDC资产、项目开发权、电网接入权益,或项目选址落位在敏感区域等,可能落入CFIUS等审查机制;其他国家也可能存在关键基础设施、数据中心或能源相关的审批与审查制度。
(二)除上述提及的外商投资审查,若境外部署的GPU集群包含受EAR管辖的美国技术或芯片,境外部署行为本身即受到出口管制约束。以下情形需要特别关注:(1)“外国直接产品规则”(FDPR)的适用——若使用了特定美国技术生产的设备,即使部署在第三国,向中国实体转让或提供仍可能受到限制;(2)再出口限制——中国母公司技术人员赴境外调试、维护设备,可能被认定为“技术再出口”,需独立评估是否触发许可要求。
(三)境外部署模式下,运营方同时受部署地法律和境内法律的双重数据合规约束,容易出现法域冲突。境外监管要求数据本地化存储或限制跨境访问,而集团总部又需要统一监控与审计;或者东道国执法机构要求调取存储于当地的数据,而该等数据若涉及境内来源或需回传境内,仍可能受到中国法项下数据出境相关规则的约束。企业应尽量通过“数据分区+权限隔离+最小化跨境访问”的技术与制度组合,降低法域冲突被动暴露的概率。
(四)从中国技术出口角度,将在境内训练完成的AI模型权重、算法部署至境外节点,或向境外子公司提供核心技术支持,均属于技术输出行为。需根据《中国禁止出口限制出口技术目录》评估是否需办理技术出口许可。
四、整体建议
(一)分阶段推进
对于首次涉足算力出海的企业,建议优先考虑模式一(境内部署、跨境销售),在合规成本相对可控、管控能力较强的条件下,逐步积累跨境客户管理经验、数据合规能力和外汇结算流程。待上述基础夯实后,再评估是否启动模式二的境外直接部署。
(二)尽早开展双方法律合规审查
无论选择哪种模式,建议在决策早期即启动中国法与目的国法的双视角架构合规审查。其中,美国出口管制的传导风险是当前算力出海最具结构性的法律障碍,需作为合规评估的优先事项。
(三)合同的精细化设计
任何模式下的跨境算力服务,都需要在服务协议层面进行精细化设计,包括但不限于:明确服务范围与数据流动边界、设置最终用途限制、约定责任划分、建立安全事件应急机制,以及选择有利于执行和仲裁的争议解决条款。
(四)关注监管动态
算力跨境服务的法律环境仍处于快速演变阶段,包括中国出口管制清单的更新、各国AI监管立法、数据保护执法动态等,均可能对算力出海业务产生实质性影响,建议持续跟踪并及时调整合规策略。
结 语
算力出海是中国算力产业参与全球分工的新兴趋势,也是法律合规领域的前沿课题。在商业机会与监管风险并存的环境下,提前识别、系统规划、动态调整的合规思路,将为企业在这一赛道的长期稳健运营提供重要支撑。笔者建议相关企业在决策过程中充分结合自身实际情况、目标市场的法律环境及双边关系走向,在专业律师的协助下制定个性化的合规方案。
[注]
[1] 根据《数据出境安全评估办法》的规定,重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。