五、人工智能
2022至2023年,在人工智能领域以算法、深度合成、生成式人工智能(AI)为规制对象的主要规制范式已初步成型,多部法规陆续出台。特别是在2023年,《生成式人工智能服务管理暂行办法》的实施标志着我国正式开启AIGC的监管元年。进入2024年,我国在继续探索生成式AI规制路径的基础上,亦有多部相关规定落地,既体现了产业发展和标准建设的深化,也进一步为企业合规实践提供了可落地的操作指南。
(一)立法回顾
1、人工智能产业发展和标准建设
国家立法层面,2024年6月发布的《国家人工智能产业综合标准化体系建设指南(2024版)》,旨在构建系统化的人工智能标准体系,推动技术进步与产业升级;9月发布的《人工智能安全治理框架》则聚焦于人工智能的安全风险治理,提出了治理原则与具体措施,标志着我国在AI安全治理领域的系统化与规范化。
地方立法层面,全国范围内包括内蒙古、陕西、河北、江苏、河南、四川、山西、广东、北京等9个省份或主要地级市发布了标题中含有“人工智能”的产业行动计划或措施文件,显示出各地方政府对人工智能产业发展的重视。
2、 企业人工智能合规实操指南
2024年2月,全国网安标委发布国家标准《生成式人工智能服务安全基本要求》,旨在明确生成式人工智能服务在安全方面的基本要求,包括语料安全要求、模型安全要求、安全措施要求、安全评估要求等。该文件对于作为生成式人工智能服务提供者的企业按照《生成式人工智能服务管理暂行办法》履行安全评估义务[1]提供了重要的落地指引。
9月,国家网信办出台《人工智能生成合成内容标识办法(征求意见稿)》与《网络安全技术 人工智能生成合成内容标识方法(征求意见稿)》两文件,就人工智能生成内容的标识要求作出了明确规定,一方面细化了不同场景下的标识要求,另一方面也增强了内容的可追溯性和管理的精确性。
(二)执法回顾
2024年,我国司法执法部门在法律实践中形成多个重要案例值得关注。北京互联网法院、广州互联网法院在多起涉及到人工智能生成内容的侵权纠纷[2]的判决中,体现出如下趋势和特征:
(1)法院通过扩大解释(如声音参照肖像权、肖像权涵盖整体形象),将传统人格权延伸至新技术场景,强调人身专属性权益不可被AI技术随意替代或复制;
(2)明确AI生成内容的权利归属自然人(如著作权归属开发者或使用者),拒绝承认AI作为独立权利主体,体现了“人类中心主义”法律原则;
(3)法院试图在鼓励技术创新与保护个人权益间寻求平衡,既未全盘否定AI生成内容的价值(如允许自然人享有著作权),又严格限制技术滥用(如换脸、声音模仿需授权)。
同时,相关执法和监管的重点仍以算法、模型备案为主。随着人工智能技术的快速普及和政策监管的逐步完善,2024年我国生成式人工智能算法、模型的备案数量较2023年显著增长。根据国家网信办实时更新的《关于发布生成式人工智能服务已备案信息的公告》[3],2024年全年间,全国范围内的人工智能算法、模型备案数量已突破250件,显示出人工智能技术研发和应用落地的强劲势头。根据《生成式人工智能服务管理暂行办法》《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》,算法备案义务是算法、生成式人工智能服务提供者(特定情况下也包括技术支持者)的一项基本义务[4],也是2024年人工智能监管执法的重点内容。根据上述规定,面向公众提供的人工智能算法均应进行算法备案,以下我们将从备案数量、区域分布、技术类型三个维度,对2024年人工智能算法备案情况进行简要分析。
(1)数量:据统计,2024年新增备案的人工智能算法总数为252件。从时间分布来看,2024年下半年备案数量显著增加,11月单月新增备案数量高达160件,占全年总量的63.5%。在2024年2月底《生成式人工智能服务安全基本要求》对生成式AI安全评估提出详细要求的情况下,大量企业和机构集中在年末顺利完成评估并进行了备案,反映出行业整体对AI算法合规性的高度重视。
(2)区域分布:北京市的备案数量最多,占比超过30%。此外,杭州、成都、南京等新兴科技城市的备案数量也有所增长,显示出人工智能技术仍以传统一线城市为主要发展区域,但正在向更多地区,尤其是新兴科技地区扩散的趋势。
(3)技术类型:自然语言处理(NLP)算法备案数量最多,占比约60%。典型的NLP算法包括生成式大模型,例如百度的“文心一言”、阿里巴巴的“通义千问”和腾讯的“混元助手”,广泛应用于对话生成、文本分析和机器翻译;紧随其后的是计算机视觉(主要用于图像生成、视频处理和人脸识别)和多模态模型(结合了文本、图像和语音等多种模态)。以上数据显示出在2024年,以生成式大模型为主的人工智能技术具备强劲发展势头。
(三)趋势展望
总体来看,2024年的人工智能法律实践体现出我国对人工智能的监管予以高度重视。2025年,人工智能监管仍是数据合规的重点领域,开发、使用人工智能的企业应予以高度关注。
立法方面,在2024年5月发布的《国务院 2024 年度立法工作计划》中,多部网络与数据安全相关立法在列。其中,预备提请全国人大常委会审议的法律包括《人工智能法》草案。若《人工智能法》在不久的将来生效,将进一步完善数据合规立法体系,并为人工智能行业的创新与发展提供法律框架;无独有偶,我国2024 年政府工作报告也指出,2024 年要深入推进数字经济创新发展,深化大数据、人工智能等研发应用,开展“人工智能+行动”。值得注意的是,去年3月,欧盟《人工智能法案》(Artificial Intelligence Act)正式在欧洲议会通过并于同年8月生效,该法案是全球首部全面监管人工智能的法规[5]。在该法案公布通过后仅3天,我国学者也发布了《中华人民共和国人工智能法(学者建议稿)》,这是在欧盟制定统一人工智能立法的监管模式下,我国就人工智能框架性立法如何落地的一次有意义的探索。可以预见在2025年,我国人工智能领域的相关立法活动,尤其是在构建统一《人工智能法》监管体系上,将持续活跃。
司法方面,在人工智能专门立法尚未出台的背景下,我国法院在未来将继续以既有法律框架为基础,通过扩张解释填补空白,坚守自然人权益核心,同时为技术发展保留空间。随着技术迭代,法院对既有法律的解释可能会进一步动态调整,以期在人格权、知识产权与技术创新之间构建更精细的平衡机制。
执法方面,2024年人工智能算法备案数量的增长、区域分布的扩散、技术类型的多元化,充分体现了我国人工智能技术,尤其是生成式人工智能技术的快速发展态势。与此同时,随着监管政策的不断完善,企业对算法合规性的重视程度也在不断提高,预计到2025年,开展算法备案将纳入常态化的企业合规工作中。
六、数据要素
随着数字经济的蓬勃发展,数据作为新型生产要素的重要性日益凸显。
(一)立法回顾
继2023年底《“数据要素×”三年行动计划(2024—2026年)》首次系统性规划数据要素市场化路径,为数据资源开发提供行动框架后,2024年我国继续建设数据流通体系建设框架,出台了多个规范性文件。2024年9月21日,中共中央办公厅、国务院办公厅出台《关于加快公共数据资源开发利用的意见》,首次在中央层面系统部署公共数据开发利用,明确公共数据为国家基础性战略资源;11月21日,国家数据局发布《可信数据空间发展行动计划(2024—2028年)》,提出将在2028年前建成100个可信数据空间,构建数据共享生态,支撑数据安全流通,重点提升数据空间的可信管控、资源交互和价值共创能力;此外,全国范围内关于数据要素流通、交易的地方性立法与政策创新也层出不穷。
另一方面,自2023年起,“数据资源入表”成为企业数字化转型和数据要素价值释放的关键环节。在积极引导企业探索数据资源化、产品化、价值化、资产化的可行路径,规范开展数据资源入表方面,数据局、财政部等相关主管部门在2024年积极尝试出台相关规定。1月1日,财政部发布《企业数据资源相关会计处理暂行规定》(财政部),该规定将数据资源纳入企业资产负债表,确定了可入表数据资源的三种类型,明确了数据资产化路径;12月19日,财政部发布《数据资产全过程管理试点方案》,要求在2025年和2026年的试点期限内,在中央和地方财政部门以及重点中央企业的配合下,探索数据资产登记、收益分配等环节,探索资产管理模式;12月20日,国家数据局、中央网信办、工信部、公安部、国资委5部门共同发布《国家数据局等部门关于促进企业数据资源开发利用的意见》,提出应进一步优化企业数据资源开发与利用的政策方向,强调通过数据确权、流通和交易来释放数据要素价值。
(二)2023-2024年数据资源入表实证研究
如前所述,“数据资源入表”成为企业数字化转型和数据要素价值释放的关键环节。为研究我国“数据要素”流通政策对企业的实际影响,本团队整理了自2023年1月至2025年1月间公开披露的353单数据资源入表案例,并进行了统计分析,得到以下结论:
1、数据资源入表企业
从企业类型来看,国资控股或参股企业在数据资源入表方面表现尤为突出。353单入表案例中开展数据资源入表的企业绝大多数为国资控股或者参股企业,占比约86%;其他类型企业仅占14%。
从行业来看,入表企业行业分布广泛,除交通运输类企业占比高达22%外,其他入表企业分散在城市建设、信息技术、数字产业、国有资本投资运营、文化娱乐传媒以及其他公共服务等行业,所占比例也相对平均。
从区域分布来看,入表区域分布广泛,已公开披露数据资源入表企业分布于全国除港澳台地区外的25个省、市、自治区。其中,山东企业数量位居首位,江苏、广东、湖北、浙江以及北京等地企业紧随其后。此外,高达69%的企业入表案例属于该地区或该地区行业“首单”数据入表案例,且各地的典型案例已悉数公开。
2、入表数据资源
从数据属性来看,入表数据类型繁多,公共数据入表持续升温,如交通路网数据、停车数据、供水供热数据等。此类数据规模庞大,要素价值高,市场需求旺盛。大量的公共数据资源入表是由受托承担公共事务运营职能的国资企业或专门受权从事公共数据运营的国资企业或其他组织,通过建立数字化平台等方式,就海量的公共数据资源进行整合归集、集中治理、价值挖掘,最终形成具有产品化价值的数据资源并成功入表。
从入表金额来看,虽然仅有36%的企业披露了入表金额,且分布范围分散,但15%企业已完成1000万以上的数据资源入表,有效改善了企业资产负债情况。
从入表类型来看,以无形资产形式入表的企业占绝大多数。以持有数据资源并稳定提供服务为目的的,应当列入无形资产;以持有但最终目的为出售数据资源的,应当计入存货。企业应结合数据资源价值实现目的,综合法律、会计以及评估机构的专业意见,审慎进行判断。
3、数据资源入表后的资本化实践
从数据产品交易方面来看,数据产品交易市场的规模和前景均不可限量。截至2024年11月底,全国在营数据交易机构共34家。上海数据交易所2023年全年数据交易额达11亿元,2024年突破40亿元;深圳数据交易所截至2023年底,已汇聚305家数据商、338家数据卖方、1063家数据买方,打造了228个交易场景。2023年深圳数据交易所实现全年交易规模超50亿元,截至2024年12月6日,深数所累计交易规模突破150亿元,累计跨境交易规模超过2.5亿元。
从贷款与增信方面来看,全国各地均有相对成熟的案例。截至2024年底,有34家企业在完成数据资源入表后,随即完成了包括基于数据资产的质押贷款、非质押贷款以及增信等融资类活动。在上述34家企业中,有56%的企业在数据资源入表后完成了超过1000万元人民币的融资活动,数据资源价值得到体现。
从数据资产证券化方面来看,包括数据资产支持债券发行在内,仍处于相对空白期。截至2024年底,除浙江发布的已经于2023年完成的全国首单包含数据知识产权的证券化产品[6]外,仍鲜见数据资产证券化的相关案例。尽管部分企业开展的数据知识产权证券化工作带来明确收益,但数据产权相关法律制度仍处于探索发展阶段,除相对明确的数据知识产权外,其他包括三权分置体系下的数据产权的配套法律规则仍不明确,因此全方位的数据资产证券化实践方案仍有待研究。
关于企业数据资源入表的相关分析,具体请参阅《数据要素研究系列文章 抽丝剥茧 披沙拣金——企业视角下数据资源入表的意义及实践方案》。
(三)趋势展望
2024年被称为“数据要素化元年”, 2025年将会是数据要素市场快速发展的一年。在这一年中,我们预计数据要素市场的规模和影响力都将显著增长,并呈现出一些重要的发展趋势。然而,数据要素市场的健康发展离不开完善的监管体系。长期以来,我国在数据确权与数据要素流通方面的立法仍主要以顶层设计为主,缺乏细化的落地规范。2024年,财政部促进企业数据资源入表而发布的一系列法规已释放出积极信号,2025年,我国有望在数据产权、流通交易、安全保护等方面出台更加具体的法律法规和政策措施,为市场参与者提供明确的指导,并为数据要素市场的规范化发展奠定基础。
随着数据要素市场的日益成熟,市场主体将呈现多元化趋势。除了传统的互联网企业和科技公司外,越来越多的传统企业、政府机构、科研院所等将加入到数据要素市场中。随着人工智能、大数据等技术的不断进步,有效提升数据流通的安全性和效率,数据要素的价值将进一步放大,预计2025年将会有更多企业正式投身数据资产化实践,开展数据资源入表、数据交易等相关数据要素流通活动。
七、金融行业
(一)立法回顾
2024年金融行业数据合规相关立法以数据安全治理与数字化转型为核心,构建了多层次监管框架。2024年12月,国家金融监管总局发布的《银行保险机构数据安全管理办法》从数据分级分类、数据处理全生命周期的管理措施和技术手段、个人信息保护、数据安全风险监测等多方面提出具体要求,并明确了违规处罚措施。在立法特色上,《银行保险机构数据安全管理办法》将一般数据细分为敏感数据和其他一般数据,对银行保险机构的管理义务提出了更高的要求,规定了金融监管总局应制定银行业保险机构重要数据目录,并提出核心目录建议,还扩大安全事件报告对象至金融监管总局及派出机构,促进了国家金融监管总局与地方金融监管机构在事件评估、总结与报告管理上的协同优化。具体请参阅《坐看云起时——<银行保险机构数据安全管理办法>解读》。
2024年3月,《消费金融公司管理办法》衔接《中华人民共和国个人信息保护法》,明确个人信息保护制度,完善消保信息披露机制。
针对移动应用风险,《关于加强银行业保险业移动互联网应用程序管理的通知》要求开展移动应用全生命周期管理,还特别强调了信息科技外包风险监管要求。在数字金融领域,《推动数字金融高质量发展行动方案》要求系统推进金融机构数字化转型,夯实数据治理与融合应用能力基础,建设数字金融服务生态,提升数字化经营管理能力。
(二)执法回顾
2024年金融领域执法依旧呈现强监管、高处罚的特征。例如,1月国家金融监管总局对两家代表性国有银行分别处以430万元、170万元罚款,主要涉及重要信息系统风险识别缺位、灾备能力不足、变更未报备等违规行为;同期徽商银行因管理漏洞被安徽监管局罚款395万元。6月交通银行则因安全测试薄弱被罚160万元。金融监管总局下发的《关于银行保险机构侵害个人信息权益乱象专项整治发现主要问题的通报》也揭露了银行保险业个人信息保护五大乱象,包括强制授权、数据存储混乱、第三方管控失效等。
(三)趋势展望
展望2025年,金融行业将继续从被动合规向主动治理转型,其数据合规活动有望在数据安全治理精细化、人工智能监管深化、数据要素价值释放、监管科技效能提升及跨境协作强化等多维度实现持续突破。
首先,数据分级分类制度将依托《银行保险机构数据安全管理办法》全面落地,重要数据目录也可能会加速制定。同时,生成式人工智能在金融场景的渗透也有望推动算法可解释性、合成数据脱敏等专项规则出台。其次,数据资产入表的试点以及公共数据授权运营机制在普惠金融领域的突破,均有望催生新型风控产品。再次,监管科技穿透式监测的应用,移动生态合规、第三方合作机构监测及容灾备份系统认证或成为执法重点。另外,消费金融领域可通过人工智能大模型优化智能客服与风控体系,促进绿色金融与普惠服务深度融合,推动行业可持续发展。
八、结语
2024年,数据保护立法与执法持续深化,为数字经济的创新突破和社会治理的智能化升级奠定了坚实基础。展望2025年,数据合规将迈向更加精细化、规范化的新阶段:个人信息保护审计的全面推进、数据出境机制的进一步完善、数据分级分类标准的细化落地、人工智能立法的加速发展以及数据要素的高效利用,行业数据立法的细化加强,将为企业提供更加清晰的合规指引和更广阔的发展空间。
天达共和数据合规团队将继续紧跟行业动态,为企业提供专业支持,助力企业在数据驱动的未来中行稳致远。
注释
[1] 生成式人工智能服务提供者按照要求履行备案手续时,应及时进行安全评估并提交评估报告。
[2] 例如北京互联网法院审理的全国首例AI生成声音人格侵权案、3D全息投影的知识产权纠纷案,以及广州互联网法院审理的因“AI换脸”视频合成模型引发的侵权纠纷案。
[3] 国家互联网信息办公室:《关于发布生成式人工智能服务已备案信息的公告》,链接:https://www.cac.gov.cn/2024-04/02/c_1713729983803145.htm。2025年2月21日访问。
[4] 《互联网信息服务算法推荐管理规定》第24条:具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息,履行备案手续。
[5] 欧盟《人工智能法案》旨在保护基本权利、民主、法治和环境可持续性免受高风险人工智能的影响,同时促进创新,并将欧洲打造成为该领域的领导者。
[6] 杭州高新金投控股集团有限公司,发行金额1.02亿元,票面利率2.80%,发行期限358天。
原标题:E&C 观点|鉴往知来——数据合规2024年度回顾与2025年度前瞻
来源:天达共和法律观察
作者:天达共和数据合规团队
声明:以上所刊登的文章仅代表作者本人观点,不代表天达共和律师事务所或其律师出具的任何形式之法律意见或建议。