人工智能时代的数据安全法治思考：影响研究与变革路径

文 | 公安部第三研究所 黄道丽

当今，智能化浪潮席卷全球，以大模型深度进化、多模态融合突破、智能体迭代为标志的技术变革，正以前所未有的渗透力重塑社会运行机制。对文本、图像、音视频等数据的深度学习和高效转化应用，催生了以ChatGPT、DeepSeek、Sora为代表的全球生成式人工智能发展浪潮，推动了通用人工智能技术路线的形成与认知深化。2025年8月，我国《国务院关于深入实施“人工智能+”行动的意见》正式出台，旨在加快形成智能经济与智能社会新形态，高位推动人工智能技术及应用发展。

数据是人工智能发展的核心要素之一。人工智能技术及其应用的迅猛发展，在深刻影响数据安全的同时，也给数据安全法治带来了新的冲击与挑战。如何以法律理性破解技术迭代与制度滞后的结构性矛盾，审视各国在该领域的战略布局与法治应对，探索中国数据安全法治变革路径，已成为亟待研究的重大课题。

一、人工智能给数据安全带来的新挑战

数据是人工智能最重要的生产资料，更是驱动其发展的三大引擎（算法、算力和数据）之一。当前，基于数据要素的人工智能赋能千行百业，在推动新质生产力发展的同时，也给数据安全带来诸多新挑战。从宏观层面看，各类智能化数据采集终端激增，数据流动更趋复杂，利用场景日益多元，数据安全风险呈现泛化趋势。从微观层面看，不可靠的训练数据、系统复杂性、系统安全防护漏洞等可能引发生成式人工智能特有的安全风险；超大规模数据采集、数据投毒、模型反转攻击等新型安全问题，也引起社会广泛关注。

人工智能数据安全不仅关乎数据自身安全，更冲击数据持有者与数据来源者的权益，并波及社会公共利益、国家利益乃至国家安全，引起各国高度重视。美国将人工智能数据安全视为维护国家安全的关键抓手，通过出口管制限制人工智能训练数据相关技术与算力资源的跨境传输，同时在关键信息基础设施保护中，专门强化人工智能数据采集终端的安全管控与数据供应链风险排查，从源头阻断人工智能数据安全风险向国家安全领域蔓延；欧盟将人工智能数据安全作为强化“技术主权”与“数字主权”的核心支撑，其《人工智能法案》将“隐私和数据治理”纳入人工智能系统开发与使用的原则，要求高风险人工智能系统应建立数据管理制度，并在投入使用前进行基本权利影响评估。我国则深刻认识到，人工智能“狂飙突进”的发展给全球带来了数据安全隐患和风险挑战。2025世界人工智能大会暨人工智能全球治理高级别会议发表的《人工智能全球治理行动计划》，在“开展人工智能安全治理”中呼吁各国“完善数据安全和个人信息保护规范，加强训练数据采集、模型生成等环节的数据安全管理”。

二、人工智能对数据安全法治的影响

人工智能对数据安全法治的影响呈现“概念边界重构—法律关系调整—权力结构失衡—监管制度适配”的递进因果链。这四大影响层层传导，不仅冲击了既有法治框架的核心要素，也为制度革新指明了方向，最终推动现行数据安全法治进行适应性调整。

（一）数据安全基本概念和边界的动态演变

人工智能发展具有高度的数据驱动性。其技术和应用发展带来的数据洞察力提升，直接影响了数据“识别性”“敏感性”的界定，对现行数据法治领域的“个人信息”“敏感个人信息”“重要数据”“核心数据”等重要概念构成直接冲击。个人信息与非个人信息、敏感数据与非敏感数据、重要数据与核心数据等关键范畴的边界越来越趋于动态化、模糊化。

在海量数据的汇聚、融合与深度分析的驱动下，数据关联性催生了一种动态重构机制，这使得数据的性质与级别不再静止不变：非个人信息可能因关联而恢复可识别性，非敏感个人信息可经交叉验证暴露其敏感属性，一般数据亦可能因在特定分析模型中的关键角色实现价值跃迁，被关联定义为重要或核心数据。以静态边界为基础的现行数据安全法律要求，如现有的分类分级制度因此受到挑战，促使治理制度亟须从传统的固定清单管理转向动态化、情景化的风险评估模式。这一基础性改变构成了法治回应的逻辑起点。

（二）数据安全法律关系主体与客体要素的重塑

人工智能正向更高效、更强智能的方向快速发展，并通过其自主行为模式融入社会运行，这重塑了数据安全法律关系中的主体认定标准、客体保护范围以及权利义务配置。

在主体方面，争议聚焦于智能体等是否应被赋予法律人格。这涉及知识产权归属、数据侵权责任分配等具体议题。当前，学术讨论中的“法律拟制人格”方案，其核心机制是“有限责任转嫁”：即通过法律规定，将智能体拟制为“具有有限法律人格的主体”，对于轻微数据侵权，由智能体通过“程序修复”“数据删除”等技术手段承担“责任”；当发生故意规避监管导致核心数据泄露等重大数据安全事件时，追究开发者、使用者的过错责任。这种设计通过减轻开发者的“无过错责任”负担，释放技术创新空间，但需同步建立“智能体行为追溯机制”，避免责任虚化，这也成为各国探索制定智能责任规则的重要考量。

在客体方面，数据保护范畴已拓展至数据链的衍生层面。首先，需将人工智能模型的参数、权重、训练数据质量等纳入保护范畴，以此构成智能系统的核心知识产权与安全基础。其次，人工智能生成物也成为新的法律客体，引发了所有权、内容安全与溯源等问题。

在责任方面，基于数据链与数据生产要素的视角，人工智能产业生态中数据链条更长、参与主体更多元（如数据标注方、模型训练方、服务提供方），如何界定和划分中间环节的责任主体，构成了现实挑战。

法律关系要素的重塑，不仅要求对传统主体、客体概念进行适应性调整，更深刻地挑战了不同权力维度间的现有平衡态。

（三）结构性权力关系的重塑与平衡

随着智能技术的进步和应用，技术权力逐渐成为法律关系中的一个重要维度。前沿人工智能技术公司通过数据汇聚、算法运算等技术手段，掌握了巨大的信息优势与决策影响力，对国家发展和个人行为产生深远影响。

同时，作为颠覆性战略技术，国家必然在这场关乎未来竞争格局的领域中强化并夯实其主权地位。法律秩序需重新审视和调整主权、公权力、技术权力、人权之间的关系，平衡各方权益，建立起合理的制衡机制。面对结构性权力关系的复杂化，传统的、静态的监管手段已显不足，监管制度亟须进行适应性调适。

（四）既有监管制度的适应性调适

在实践层面，既有数据安全监管制度需要根据人工智能的特性及伴生风险进行全面、系统的适应性调适。这包括将大模型等新型技术及其全生命周期风险纳入考量，对数据分类分级、数据安全审查、个人信息保护影响评估、数据安全应急处置、数据安全检测评估和认证等核心制度进行迭代升级。例如，需解决如何对模型训练数据的“最小化处理”原则进行解释，以及如何对智能生成物进行快速响应和追责等问题。

综上所述，人工智能正在从概念范畴、法律要素、权力结构和监管工具等层面，对数据安全法治构成深层次的系统性挑战。

三、重点国家和地区的政策立法应对

面对人工智能对数据安全构成的系统性挑战，世界主要国家和地区已将其提升至国家战略高度，积极部署政策战略和构建法治体系以寻求应对之道。

（一）美国：竞争主导

美国将发展人工智能作为提升国家竞争力、维护国家安全的重大战略，并认为其在人工智能训练数据方面长期拥有巨大优势。特朗普政府倡导以“轻监管”促创新，将拜登政府于2023年10月签署的第14110号行政令视为“繁琐的监管制度”。2025年7月，美国发布《赢得人工智能竞赛：美国人工智能行动计划》，以“加速创新”“建设人工智能基础设施”和“引领国际外交与安全”三大支柱为核心，支持在人工智能训练中扩大“合理使用”范围，通过行政手段抑制州级严格立法，加速数据中心建设，推动芯片制造回流，强化对人工智能算力的出口管制与安全审查，确保供应链安全，力图巩固美国在人工智能领域的全球主导地位。

（二）欧盟：规则输出

在广阔的数字立法浪潮下，欧盟《通用数据保护条例》（GDPR）与《人工智能法案》《数字市场法》《数字服务法》《数据法》《数据治理法》等共同构成了其数字法治体系。首先，GDPR在欧盟《人工智能法案》正式通过前，已成为重要的“监管利器”，意大利、西班牙、法国等围绕个人数据主体权利保护、数据处理合法性基础等问题，依据GDPR对ChatGPT等人工智能应用开展数据安全调查或执法。其次，生成式人工智能也对最小化、自动化处理、设计及默认数据保护等GDPR原则带来挑战，欧盟数据保护监管机构（EDPS）等已出台解释性或指引性规则，为欧盟机构、部门、办公室和机构在使用生成式人工智能系统处理个人数据时提供实操建议。最后，作为全球首部全面规范人工智能的法规，欧盟《人工智能法案》试图在创新与权利保护间建立平衡。尽管该法案因程序复杂面临执行困境，但其对数据投毒、对抗性攻击、深度合成等新型数据安全风险作出了专门回应，包括构建监管沙盒机制以隔离试验过程中的法律风险，体现了通过弹性制度设计提升监管框架灵活性与适应性的努力。

（三）中国：发展与安全并重、立法与实践协同

在人工智能监管立法方面，2017年国务院印发的《新一代人工智能发展规划》提出“三步走”战略，计划于2025年初步建立人工智能法律法规、伦理规范和政策体系，形成人工智能安全评估和管控能力，2030年形成成熟体系。从国务院2023年和2024年立法工作计划中提及“人工智能法”，到2025年度立法工作计划提出“推进人工智能健康发展立法工作”，表述的转变反映了国家立法思路的演进。党的二十届三中全会《决定》明确提出“完善生成式人工智能发展和管理机制”“建立人工智能安全监管制度”。2025年4月25日，习近平总书记在主持二十届中共中央政治局第二十次集体学习时强调：“要把握人工智能发展趋势和规律，加紧制定完善相关法律法规、政策制度、应用规范、伦理准则，构建技术监测、风险预警、应急响应体系，确保人工智能安全、可靠、可控。”

总体而言，我国已形成以《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》《关键信息基础设施安全保护条例》等法律法规为基础，以《生成式人工智能服务管理暂行办法》《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《人工智能生成合成内容标识办法》等专项规则为补充的治理体系，覆盖基础设施安全、数据安全、内容安全、算法安全、个人信息保护等领域。2023年《科技伦理审查办法（试行）》也规定，涉及数据和算法的科技活动是否符合数据安全要求是科技伦理审查的内容之一。人工智能带来的数据安全风险预防、控制与惩治等问题，一方面，在现行数据安全法治框架内得以内化解决；另一方面，也可能影响现行数据安全制度的落地与发展。如有学者提出，考虑到生成式人工智能对训练数据的需要，可在训练端对《中华人民共和国个人信息保护法》的相关要求作适当宽松解释或设定例外规定。

纵观美国、欧盟和中国在人工智能数据安全领域的政策立法实践，尽管战略共识已成全球趋势，但三者在人工智能数据安全的法治回应上呈现出风格迥异的治理图景。在战略重心与监管风格各异的同时，也均反映出在激励创新与管控风险之间建立动态平衡的核心诉求。美国采取“竞争主导”策略，欧盟采取“规则输出”模式，中国则采取“发展与安全并重、立法与实践协同”路径，在构建“基础法+专项规则”治理体系的同时，强调安全可控、分类施策与多边共治，体现了基于各自技术地位、法律传统、国家利益与安全的战略考量。

四、中国数据安全法治的变革路径思考

基于国际比较视野，人工智能时代下的有效数据安全治理，绝非单一、僵化的规则堆砌，而必须构建一套能够随技术迭代动态演进、兼具原则性与适应性的弹性法治系统。建议以数据要素利用和高质量发展为立足点，聚焦发展与管理主题，从以下四个方面进一步完善中国数据安全法治体系。

（一）夯实底层基础和前瞻研究根基

数据作为人工智能技术迭代的核心生产要素，其法律规制的完善程度将影响人工智能发展的合规边界与安全底线，堪称“第一道制度门槛”。具体而言，应加快对数据分类分级、数据权利确认、生命周期保护、供应链监管等基础法律制度的研究。关键在于从侧重前端赋权，转向合理利用与后端责任界定，构建满足人工智能发展需要的数据开放、共享、流通、交易的模式，让作为催化剂的数据“供得出、流得动、用得好”，从底层推动解决训练语料储备等难题。在夯实底层制度基础的同时，面对人工智能技术迭代的敏捷性和复杂性，我国的法治建设更需保持梯度化和灵活性，形成系统、多维的应对手段。

（二）形成方法有梯度、应对有缓急的多种手段

运用法律手段治理人工智能数据安全，并非单一的立法行为或突发的制度创设，而是涵盖立法、执法、守法及合规等法律适用全过程，通过要素间的互动循环推动制度渐进生成与动态演化。

具体而言，一是坚持长远规划与敏捷应对。深刻认识和准确把握人工智能快速迭代与复杂性的特质，在敏捷应对安全风险、恢复社会秩序的同时，坚持长期规划，根据不同技术路径和发展阶段，同步研究推进依法治理措施。国务院2025年度立法工作计划提出“推进人工智能健康发展立法工作”。在长远规划层面，专门人工智能法的制定需秉持“制度供给的阶段性”逻辑，其时机成熟度与部署规划需结合技术演进阶段、风险积累程度、实践经验厚度与理论储备深度等方面进行综合研判。二是落实与适度调整并重。认真落实已出台的网络与数据安全基础立法及人工智能系列专项规则，在实践中考察规则的可行性，必要时进行适度调整和适用解释。三是多维协同布局。从科技伦理、立法、技术实践、行业自律等多个维度协同推动人工智能数据安全治理。四是主动引领全球治理。以《全球人工智能治理倡议》《全球数据安全倡议》等为基础，坚持以人为本、智能向善、普惠共享、和平利用，推进国际合作交流与多边对话，共同应对数据安全挑战。

多维布局与敏捷应对的最终目标在于将宏观战略落实到具体的规则体系上。鉴于人工智能赋能的广泛性与应用场景的差异化，这种规则体系必须是差异化和场景化的。

（三）完善差异化、场景化的数据安全规则体系

人工智能的“赋能属性”使其在不同领域呈现出差异化的应用特征与风险图谱，通用型数据安全规则难以覆盖各行业的特殊需求，需构建“共性底线+个性细则”的场景化规则框架。

具体而言，人工智能作为赋能技术，可广泛应用于不同领域。因其在各领域引发的问题存在差异，难以通过一般性规则简单套用，需要充分发挥各领域主管部门、市场力量、科研人员等的作用，协同推进细分行业领域的人工智能数据安全法律规则建设。尤其应聚焦先发领域的风险，如自动驾驶、自动医疗和自主武器等重点场景，这些场景的数据安全性与可靠性直接关系到人民的生命财产安全。

要有效实施和运行上述差异化规则体系，关键在于监管主体自身的能力升级，即通过技术手段提升监管的智能化水平和制度弹性。

（四）提升监管的智能性、灵活性和弹性

人工智能技术带来数据安全风险的同时，也为优化监管模式提供了技术支撑。构建“智能适配、弹性包容”的监管体系，是实现“以监管促发展”的核心路径。

具体而言，应积极推动人工智能技术赋能数据安全监管，构建完善“无事不扰、风险可控、监管可控”的监管模式，强化对数据安全风险的全周期管理，实施透明包容、精准高效的智能监管。同时，可运用监管沙盒模式，为通用人工智能创新创造安全空间，在自贸试验区、科创园区等区域试点“人工智能数据安全沙盒”，允许企业在可控环境中测试新型数据应用方案。建立针对特殊主体、来源、场景的数据获取利用行为的审慎豁免机制，明确大模型全周期的合规免责事项清单，激励服务提供者挖掘数据价值的意愿，最终实现以有效监管促进高质量发展的目标。

五、结论与展望

人工智能正以前所未有的深度与广度，重构数据安全的基本概念、法律关系和监管范式。展望未来，中国的数据安全法治建设，应充分展现其制度自信与战略远见，在底层基础、治理工具和监管模式上实现现代化升级：一方面，立足超大规模市场、丰富应用场景和持续完善的数字基础设施，将实践优势转化为规则优势，形成一套既能有效驾驭人工智能数据风险，又能充分释放数据要素价值的“中国之法”。另一方面，积极参与并引领人工智能全球治理体系改革，推动建立更加公正、包容、普惠的国际规则，为全球“智能鸿沟”的弥合贡献中国智慧。

（本文刊登于《中国信息安全》杂志2025年第9期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。