.png){kind=logo}
April 2026
人工智能技术应用合规提示(三)—数据处理合规
上一篇中,我们分析了在应用算法技术时,相关主体可能面临的合规义务与法律风险。这一篇中,我们主要探讨一下企业在处理数据时可能面临的法律风险。
根据《数据安全法》第三条,该法所称数据,是指任何以电子或者其他方式对信息的记录;所谓数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。一般来说,在数据处理过程中,经常发生问题的环节就在数据的收集与传输,因此本文也将集中讨论一下这两个方面的问题。
一、数据收集合规风险
就数据收集来说,主要需要考虑如何做到数据来源合规,因此我们这里主要探讨以下四个问题:
(一)什么是数据收集合规?
根据《数据安全法》第三十二条,以及《个人信息保护法》第五、六、七、十条的相关规定,数据收集需要满足的条件有:1)应当采取合法、正当的方式;2)应当在法律、行政法规规定的目的和范围内收集数据;3)应当采取对个人权益影响最小的方式;4)应当明示处理的目的、方式和范围;5)不得非法买卖、提供或者公开他人个人信息等等。简而言之,数据收集应当做到合法、正当、必要、诚信、最小范围,也即是数据收集的合规标准。
(二)什么是“同意”?
如何证明数据收集符合合规要求呢?就个人信息类数据来说,根据《个人信息保护法》第十三条的规定,至少要满足七项前提条件之一 [1] 。就商业活动来说,一般可能主要适用第一和第二种情形,即1)取得个人同意;2)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。
就取得个人同意来说,并不是简单地获得一个点击同意即可,根据《个人信息保护法》第十四、十五、十六条的规定 [2] ,所谓取得同意,至少要满足以下等条件:
1、充分告知;
2、自愿、明确;
3、允许撤回;
4、不得以不同意或撤回为由拒绝提供服务或产品,除非处理个人信息属于提供服务或产品所必需的;
5、发生变更需重新取得同意;
6、有强制性要求的需获得单独同意或书面同意;
除此之外,从司法实践的角度来看,如在获取同意过程中未提供过跳过、拒绝等选项,即便形式上获得了用户同意也可能会被认为未实际取得用户的同意。如在罗某诉某科技有限公司隐私权、个人信息保护纠纷案 [3] 中,法院认为,在收集用户画像信息并非提供网络服务所必需的情况下,网站或者软件登录注册界面收集该信息时,未向用户提供不同意提交相关信息情况下的其他登录方式的,属于用户非自愿同意提供个人信息,不生已取得个人同意的效力。
(三)什么是合同所必需?
而就判断处理个人信息是否属于“为订立、履行个人作为一方当事人的合同所必需”来说,根据最高院的解释 [4] ,可以结合有关法律法规及规章、规范性文件等对必要个人信息范围的规定,并考量合同的类型、内容等作出认定。如果不处理有关信息将使合同约定的基本功能服务或者用户自主选择的附加功能服务无法实现的,可以认定该个人信息处理行为属于订立、履行合同所必需,反之则不予认定。
就法律规定来说,国家网信办有发布过《常见类型移动互联网应用程序必要个人信息范围规定》,企业如有涉及个人信息收集可以参考该规定。
(四)数据抓取是否合法?
除了直接在商业活动中获取数据之外,企业有的时候也会采用技术手段从网络中抓取一些数据,这样取得的数据是否合法呢?
从一些地方规定 [5] 和司法实践来看 [6] ,主要看是否是从合法公开的渠道采集、是否有遵守行业自律公约、是否尊重爬取对象网站的爬虫协议及规则、是否有事前评估对网络服务的性能、功能可能带来的影响、是否会干扰网络服务的正常功能或妨碍计算机信息系统正常运行、是否有侵犯他人的知识产权、是否有造成不正当竞争等各方面的情形,而难以一概而论。
二、数据传输合规风险
就数据传输来说,主要涉及的问题为跨境传输的问题。根据现有法律规定,数据并不是不能跨境传输,只是传输必需要符合法律的要求,因此这里我们主要探讨以下几个问题:
(一)什么是数据出境?
根据《数据出境安全评估申报指南(第三版)》,以下三种情形都构成数据出境行为:
1、数据处理者将在境内运营中收集和产生的数据传输至境外;
2、数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
3、符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。
(二)什么样的数据出境会受到审核?
根据《网络安全法》第37条,关键信息基础设施运营者(CIIO)在境内收集和产生的个人信息与重要数据必须存储在境内;确需出境的,应依照国家网信办办法进行安全评估。而根据《数据安全法》第三十一条,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。此外,《个人信息保护法》第四十一条规定,中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。
简而言之,在涉及到关键信息基础设施运营者(CIIO)所收集和产生的个人信息与重要数据、其他数据处理者在境内收集和产生的重要数据以及个人信息的出境的情形下,一般都需要经过审核。
(三)数据出境需要满足哪些条件?
根据《网络数据安全管理条例》第三十五条来看,不同情形下的数据出境要满足不同的条件,在符合下列条件之一的情形下,网络数据处理者可以向境外提供个人信息:
1、通过国家网信部门组织的数据出境安全评估;
2、按照国家网信部门的规定经专业机构进行个人信息保护认证;
3、符合国家网信部门制定的关于个人信息出境标准合同的规定;
4、为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息;
5、按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息;
6、为履行法定职责或者法定义务,确需向境外提供个人信息;
7、紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息;
8、法律、行政法规或者国家网信部门规定的其他条件。
而就哪些情形需要进行安全评估,哪些情形需要进行个人信息保护认证以及哪些情形需要签署标准合同等则需要根据《数据安全法》、《个人信息保护法》、《网络数据安全管理条例》、《数据出境安全评估办法》、《促进和规范数据跨境流动规定》、《个人信息出境认证办法》、《个人信息出境标准合同办法》、《个人信息出境标准合同备案指南》等的相关规定进行判断,由于篇幅所限,本文就不在此展开。
(四)哪些情形下不需要审核?
除了需要审核的情形外,《促进和规范数据跨境流动规定》中也规定了一些可以豁免的情形,如数据处理者向境外提供个人信息,符合下列条件之一的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
1、为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
2、按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
3、紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
4、关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。当然这里所称向境外提供的个人信息,不包括重要数据。
三、合规建议
总的来说,数据处理的合规界限在当下的法律规定情境中已经较为清晰,在数据应当合法使用已经构成共识的当下,人工智能技术在使用数据时一定要注意数据处理时的合规,在训练数据管理上,首要严格审核来源合法性;在用户数据管理上,需坚守最小必要原则;而在跨境数据传输需严格遵循我国监管要求,以免因不合规产生民事、刑事或行政的法律责任。
[1] 《个人信息保护法》第十三条:符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
[2] 第十四条:基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
[3] 《最高人民法院关于发布第47批指导性案例的通知法》〔2025〕150号,指导性案例265号。
[4] 同上。
[5] 参见《深圳市企业数据合规指引》第三十五条以及《上海市企业数据合规指引》第十四条。
[6] 参见《最高人民法院关于发布第47批指导性案例的通知》〔2025〕150号,指导性案例262:网络平台经营者在其对数据集合形成的经营性利益受到侵害时,可以请求人民法院依法保护。对于未经许可获取并向公众提供相关数据,实质性替代网络平台产品或者服务,扰乱市场竞争秩序、损害网络平台经营者或者其他权利人合法权益的行为,人民法院可以适用《中华人民共和国反不正当竞争法》有关规定,认定构成不正当竞争行为;指导性案例264:数据处理者依法采集企业数据,经符合有关标准的编制方法加工形成数据产品并合理利用,未对企业权益造成损害,相关企业要求数据处理者承担侵权责任的,人民法院依法不予支持。
根据《数据安全法》第三条,该法所称数据,是指任何以电子或者其他方式对信息的记录;所谓数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。一般来说,在数据处理过程中,经常发生问题的环节就在数据的收集与传输,因此本文也将集中讨论一下这两个方面的问题。
一、数据收集合规风险
就数据收集来说,主要需要考虑如何做到数据来源合规,因此我们这里主要探讨以下四个问题:
(一)什么是数据收集合规?
根据《数据安全法》第三十二条,以及《个人信息保护法》第五、六、七、十条的相关规定,数据收集需要满足的条件有:1)应当采取合法、正当的方式;2)应当在法律、行政法规规定的目的和范围内收集数据;3)应当采取对个人权益影响最小的方式;4)应当明示处理的目的、方式和范围;5)不得非法买卖、提供或者公开他人个人信息等等。简而言之,数据收集应当做到合法、正当、必要、诚信、最小范围,也即是数据收集的合规标准。
(二)什么是“同意”?
如何证明数据收集符合合规要求呢?就个人信息类数据来说,根据《个人信息保护法》第十三条的规定,至少要满足七项前提条件之一 [1] 。就商业活动来说,一般可能主要适用第一和第二种情形,即1)取得个人同意;2)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。
就取得个人同意来说,并不是简单地获得一个点击同意即可,根据《个人信息保护法》第十四、十五、十六条的规定 [2] ,所谓取得同意,至少要满足以下等条件:
1、充分告知;
2、自愿、明确;
3、允许撤回;
4、不得以不同意或撤回为由拒绝提供服务或产品,除非处理个人信息属于提供服务或产品所必需的;
5、发生变更需重新取得同意;
6、有强制性要求的需获得单独同意或书面同意;
除此之外,从司法实践的角度来看,如在获取同意过程中未提供过跳过、拒绝等选项,即便形式上获得了用户同意也可能会被认为未实际取得用户的同意。如在罗某诉某科技有限公司隐私权、个人信息保护纠纷案 [3] 中,法院认为,在收集用户画像信息并非提供网络服务所必需的情况下,网站或者软件登录注册界面收集该信息时,未向用户提供不同意提交相关信息情况下的其他登录方式的,属于用户非自愿同意提供个人信息,不生已取得个人同意的效力。
(三)什么是合同所必需?
而就判断处理个人信息是否属于“为订立、履行个人作为一方当事人的合同所必需”来说,根据最高院的解释 [4] ,可以结合有关法律法规及规章、规范性文件等对必要个人信息范围的规定,并考量合同的类型、内容等作出认定。如果不处理有关信息将使合同约定的基本功能服务或者用户自主选择的附加功能服务无法实现的,可以认定该个人信息处理行为属于订立、履行合同所必需,反之则不予认定。
就法律规定来说,国家网信办有发布过《常见类型移动互联网应用程序必要个人信息范围规定》,企业如有涉及个人信息收集可以参考该规定。
(四)数据抓取是否合法?
除了直接在商业活动中获取数据之外,企业有的时候也会采用技术手段从网络中抓取一些数据,这样取得的数据是否合法呢?
从一些地方规定 [5] 和司法实践来看 [6] ,主要看是否是从合法公开的渠道采集、是否有遵守行业自律公约、是否尊重爬取对象网站的爬虫协议及规则、是否有事前评估对网络服务的性能、功能可能带来的影响、是否会干扰网络服务的正常功能或妨碍计算机信息系统正常运行、是否有侵犯他人的知识产权、是否有造成不正当竞争等各方面的情形,而难以一概而论。
二、数据传输合规风险
就数据传输来说,主要涉及的问题为跨境传输的问题。根据现有法律规定,数据并不是不能跨境传输,只是传输必需要符合法律的要求,因此这里我们主要探讨以下几个问题:
(一)什么是数据出境?
根据《数据出境安全评估申报指南(第三版)》,以下三种情形都构成数据出境行为:
1、数据处理者将在境内运营中收集和产生的数据传输至境外;
2、数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
3、符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。
(二)什么样的数据出境会受到审核?
根据《网络安全法》第37条,关键信息基础设施运营者(CIIO)在境内收集和产生的个人信息与重要数据必须存储在境内;确需出境的,应依照国家网信办办法进行安全评估。而根据《数据安全法》第三十一条,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。此外,《个人信息保护法》第四十一条规定,中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。
简而言之,在涉及到关键信息基础设施运营者(CIIO)所收集和产生的个人信息与重要数据、其他数据处理者在境内收集和产生的重要数据以及个人信息的出境的情形下,一般都需要经过审核。
(三)数据出境需要满足哪些条件?
根据《网络数据安全管理条例》第三十五条来看,不同情形下的数据出境要满足不同的条件,在符合下列条件之一的情形下,网络数据处理者可以向境外提供个人信息:
1、通过国家网信部门组织的数据出境安全评估;
2、按照国家网信部门的规定经专业机构进行个人信息保护认证;
3、符合国家网信部门制定的关于个人信息出境标准合同的规定;
4、为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息;
5、按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息;
6、为履行法定职责或者法定义务,确需向境外提供个人信息;
7、紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息;
8、法律、行政法规或者国家网信部门规定的其他条件。
而就哪些情形需要进行安全评估,哪些情形需要进行个人信息保护认证以及哪些情形需要签署标准合同等则需要根据《数据安全法》、《个人信息保护法》、《网络数据安全管理条例》、《数据出境安全评估办法》、《促进和规范数据跨境流动规定》、《个人信息出境认证办法》、《个人信息出境标准合同办法》、《个人信息出境标准合同备案指南》等的相关规定进行判断,由于篇幅所限,本文就不在此展开。
(四)哪些情形下不需要审核?
除了需要审核的情形外,《促进和规范数据跨境流动规定》中也规定了一些可以豁免的情形,如数据处理者向境外提供个人信息,符合下列条件之一的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
1、为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
2、按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
3、紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
4、关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。当然这里所称向境外提供的个人信息,不包括重要数据。
三、合规建议
总的来说,数据处理的合规界限在当下的法律规定情境中已经较为清晰,在数据应当合法使用已经构成共识的当下,人工智能技术在使用数据时一定要注意数据处理时的合规,在训练数据管理上,首要严格审核来源合法性;在用户数据管理上,需坚守最小必要原则;而在跨境数据传输需严格遵循我国监管要求,以免因不合规产生民事、刑事或行政的法律责任。
[1] 《个人信息保护法》第十三条:符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
[2] 第十四条:基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
[3] 《最高人民法院关于发布第47批指导性案例的通知法》〔2025〕150号,指导性案例265号。
[4] 同上。
[5] 参见《深圳市企业数据合规指引》第三十五条以及《上海市企业数据合规指引》第十四条。
[6] 参见《最高人民法院关于发布第47批指导性案例的通知》〔2025〕150号,指导性案例262:网络平台经营者在其对数据集合形成的经营性利益受到侵害时,可以请求人民法院依法保护。对于未经许可获取并向公众提供相关数据,实质性替代网络平台产品或者服务,扰乱市场竞争秩序、损害网络平台经营者或者其他权利人合法权益的行为,人民法院可以适用《中华人民共和国反不正当竞争法》有关规定,认定构成不正当竞争行为;指导性案例264:数据处理者依法采集企业数据,经符合有关标准的编制方法加工形成数据产品并合理利用,未对企业权益造成损害,相关企业要求数据处理者承担侵权责任的,人民法院依法不予支持。
本网页上所有上海理慈法律新知资料内容(「内容」)均属上海理慈律师事务所所有。上海理慈保留所有权利,除非获得上海理慈事前许可外,均不得以任何形式或以任何方式重制、下载、散布、发行或移转本网页上之内容。
所有内容仅供作参考且非为特定议题或具体个案之法律或专业建议。所有内容未必为最新法律及法规之发展,上海理慈及其编辑群不保证内容之正确性,并明示声明不须对任何人就信赖使用本网页上全部或部分之内容,而据此所为或经许可而为或略而未为之结果负担任何及全部之责任。撰稿作者之观点不代表上海理慈之立场。如有任何建议或疑义,请与上海理慈联系。