小艾律师：主任，近期有新闻说“美国人工智能巨头OpenAI、Anthropic与谷歌已开始合作，试图打击中国竞争对手从美国尖端人工智能（AI）模型中提取结果，以在全球AI竞赛中获取优势”。

主任：新闻中提及的是蒸馏技术，蒸馏技术是一种利用较早的“教师”AI模型训练较新“学生”模型的技术，使模型能够复制早期系统的功能，所需成本通常比从头开始构建原始模型要低得多。其实某些形式的蒸馏已被广泛接受，并受到AI实验室的鼓励。

小艾，你查一下，我国哪些法律、法规、规章涉及了数据合规问题？

小艾律师：主任，我查到了我国的有关法律、法规和规章，还有国际规则，具体如下：

1. 我国涉及数据合规的法律法规有：《民法典》《网络安全法》（2017）、《著作权法》（2020 修订）、《反不正当竞争法》（2019）、《商业秘密保护法》（2024）、《数据安全法》（2021）、《个人信息保护法》（2021）、《网络数据安全管理条例》（2025.1.1）、《未成年人网络保护条例》（2024）、《商用密码管理条例》（2023修订）、《关键信息基础设施安全保护条例》（2021）。

2. 部门规章，比如涉及个人信息与 App 合规：《个人信息出境标准合同办法》（2023）、《数据出境安全评估办法》（2022）、《App 违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》《儿童个人信息网络保护规定》《个人信息保护合规审计管理办法》。

3. 涉及数据安全与算法 / 新技术：《网络安全审查办法》（2024 修订）、《互联网信息服务算法推荐管理规定》《人脸识别技术应用安全管理办法》《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》《工业和信息化领域数据安全管理办法（试行）》中国政府网。

4. 涉及数据跨境流动：《数据出境安全评估办法》《促进和规范数据跨境流动规定》（2024）、《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》（2024）。

5. 涉及刑事与民事法律保障：《刑法》非法侵入计算机信息系统罪（第 285 条）、破坏计算机信息系统罪（数据删除 / 篡改 / 破坏）（第 286 条）、侵犯公民个人信息罪（非法获取、出售、提供）（第 253 条之一）、侵犯商业秘密罪（第219条）；《民法典》隐私权、个人信息保护民事责任、数据权益保护。

6. 涉及行业专项法规：金融：《个人金融信息保护技术规范》《金融数据安全 数据生命周期安全规范》；医疗健康：《医疗卫生机构网络安全管理办法》《健康医疗大数据标准、安全和服务管理办法》；电信 / 互联网：《电信和互联网用户个人信息保护规定》《互联网用户公众账号信息服务管理规定》；汽车：《汽车数据安全管理若干规定（试行）》；教育：《教育数据安全管理办法》。

7. 涉及跨境合规的主要国际规则有：欧盟 GDPR（通用数据保护条例）、欧盟 AI 法案（AI Act，2025 生效）；美国：《人工智能行动计划》、HIPAA（医疗）、GLBA（金融）、COPPA（儿童），CCPA/CPRA（加州）、；巴西 LGPD、日本 APPI、英国 DPA18、印度 DPDP Act。

主任：你查询到的有关规定和规则很繁杂。为了便于企业理解数据蒸馏的合规红线，总结如下：

1. 数据来源合法：所有训练 / 蒸馏数据必须有完整授权链（禁止爬虫 / 违反 TOS / 对抗性蒸馏），不得有未经授权的训练/蒸馏，否则涉及版权侵权。

2. 个人信息数据：需要重点提示单独同意；进行脱敏处理，做到匿名化；进行个人信息保护影响评估，防止侵犯个人权益、数据泄露；需要建立与之匹配的权利响应机制，按时受理、核查、处理并答复；只收集完成业务必需的最少数据，不多拿、不多存、不多用等。

3. 数据知识产权：训练、蒸馏、微调模型用的一切数据，必须有合法版权授权，不能随便爬、随便用；开源协议有严格约束，注意版权声明，注意使用后必须开源的义务，违反就是违约 + 侵权；不能把GPL/AGPL 模型蒸馏后闭源商用，不能无视开源协议直接 “抄结构、抄权重、抄逻辑”；尊重对方不为公众所知、有价值、采取保密措施的商业秘密；不能靠 “扒竞品输出” 来养自己的竞品模型。

4. 规范数据安全：按数据内容（分类）+ 泄露危害（分级），贴上等级标签，差异化保护；重要数据的任何敏感操作，不能随便点、不能单人决定，必须审批留痕；把所有关键操作全记录下来，出事能复盘、能定位、能追责；系统识别数据安全风险、验证防护是否有效、提出整改。

即先分类分级 → 重要数据严格审批 → 全程日志留痕 → 定期安全评估体检。

5. 数据跨境合规：向国外 / 境外传重要数据或大规模个人信息，必须先过国家网信办安全评估，拿到 “出境通行证”；非大规模、非重要数据的个人信息出境，用国家统一模板签合同，约定安全责任；签完标准合同（或评估通过），必须在规定时间内向网信部门备案留底。

即没有评估、没有合同、没有备案 → 绝对不能向境外传输数据，违者重罚。

6. 合同应明确约定：明确“数据是谁的？模型是谁的？训练产出归谁？蒸馏后的模型归谁？”；将用途写明，不准超范围使用；明确“怎么蒸馏、蒸馏到什么程度、能不能反向还原、能不能复制竞品能力”；明确“合作中接触到的一切敏感信息，都要保密，不能外泄”；明确责任承担，“出事谁担责、赔多少、怎么罚”。

即在 AI-OPC、数据共享、模型蒸馏合作中，合同必须把 “数据归谁、能干什么、不能干什么、泄密了谁赔钱”的约定写明，避免后期互相扯皮，甚至出现违法行为，明确由谁承担责任。

小艾律师：主任，我理解了。关于数据合规的建议，我初步提出以下几点：

1. 技术层面：

让数据脱敏、匿名化，保护隐私，降低法律风险；给数据、模型、输出内容打上 “隐形身份证”，被盗用能溯源；防止别人恶意扒数据、盗模型、搞对抗性蒸馏；严格管住谁能看数据、谁能训模型、谁能导出的权限。

2. 管理层面：

建立数据台账，保障数据来源合规；取得使用授权，保障合法性；定期审计，排查风险；检查自有平台以及合作方、数据源平台的规则；通过培训全体人员，进行合规管理。

3. 法律层面：

DPIA 事前控风险（高风险数据活动先做 “合规体检”，报告留底备查，事先控风险） → 数据出境（大数据/重要数据出境要 “国家审批”，拿到批文才能合法跨境；小数据出境：签国家模板合同 + 备案，不用走国家审批） → AI 服务先备案（AI 服务要 “先备案后上线”，没备案不能对公众开放） → 保险兜底风险（数据出事、被罚款、被索赔，保险公司来买单，降低企业财务风险）。

主任：你总结很全面，提出表扬。

小艾律师：（笑而不语）……前言：当AI技术重塑创业形态，当“单人+AI”成为新风口，青岛市人工智能产业专班办公室印发的两批《青岛市支持人工智能OPC发展政策清单》，正为创业者打开一扇低门槛、高扶持的创业大门。作为深耕企业合规与商事法律服务的律所，我们从法律视角，为大家全面拆解人工智能OPC，帮你理清创业逻辑、抓住政策红利、规避法律风险，助力每一位创业者“一人成军”，合规前行。