人工智能国际会展数据治理研究

文 | 华东政法大学中国法治战略研究院副教授、国家安全研究院数字安全法治研究中心主任 危红波；上海第二工业大学 姜竣之

随着人工智能技术和会展行业的发展，人工智能国际会展主要包括两类：一是以人工智能技术、产品与应用为核心展示内容的专业性国际展览与论坛，如美国消费电子展、西班牙世界移动通信大会、日本电子高新技术博览会等；二是在会展策划、运营及现场服务中广泛集成部署人工智能设备的综合性国际展会，如德国汉诺威工业博览会、德国柏林国际电子消费品展览会、中国世界人工智能大会等。这两类会展都是高度数字化与全球化信息交汇的场所，均具有参展方国籍多元、人工智能设备部署密集、数据流动频繁等典型特征。当前，人工智能国际会展已成为高流动性、强时效性、高价值数据密集交换的特殊数字物理混合场域，面临前所未有的数据安全挑战。因此，加强人工智能国际会展数据治理，具有重要现实意义。

一、风险图谱：人工智能国际会展数据安全问题

从数据安全级别看，人工智能国际会展大规模参展者的生物特征数据涉及特定群体的敏感个人信息，属于个人信息的高风险类别；参展企业展示的技术方案、核心参数、实验数据等若属于出口管制物项范围或涉及国家安全重点领域，则可能构成重要数据；大型会展汇聚的跨国设备通信流量、商业谈判记录乃至国防相关技术展示数据，潜在价值高且被境外获取风险大，同样可能构成重要数据。此外，会展数据价值高度依赖融合深度：单一数据项价值有限，但经过多模态融合分析，可勾勒出参展者行为轨迹、商业意图乃至涉密技术线索，价值呈指数级提升。因此，对于人工智能国际会展数据安全问题，不能仅以单条数据的敏感性判断风险，而应以数据聚合后的综合影响为基准进行评估。

相较于日常办公或消费环境，人工智能国际会展在有限时间和空间汇聚了大量智能设备、人群和数据流，产生了新型、动态、多变且隐蔽的数据安全风险。它将传统环境分散的风险因素高度集中，并叠加了跨域、跨主体的不确定性，因而具有突出的独特性。

一是数据跨境流动路径更复杂、出境合规难度更高的安全风险。与常规场景相对固定的数据流相比，人工智能国际会展汇聚了来自不同国家和地区的参与者和设备，使数据跨境流动更频繁且路径复杂。会展环境缺乏企业内网级别的访问控制与数据防泄露策略，需要特别关注数据的出境审批和传输加密，稍有不慎就可能引发跨法域的数据泄露或合规危机。尤其是在人工智能国际会展环境，涉及生物特征、设备通信协议、模型参数等高价值数据跨境流动场景更为集中，且往往缺乏清晰的数据流转记录，给监管留下盲区。

二是实时、高密度、多设备无感采集带来的隐私泄露风险。相较于普通会展，人工智能国际会展的实时感知设备密度呈数量级提升，且设备来源国籍多元，不同设备将数据回传至各自境外后台，形成多通道、难溯源的数据采集格局。分布各处的设备以高并发（系统或应用程序在同一时间能够处理大量请求的能力）和无感方式收集音视频、位置信息、生物识别等数据，数据种类繁多且瞬时规模庞大。黑客可通过篡改或入侵现场感知设备，截获敏感信息。会展中不同设备采集的数据可能被集中汇聚分析，使恶意主体还可能通过多模态数据融合挖掘出更敏感的信息。

三是展示阶段设备稳定性不足而引发的数据失控与意外泄露风险。一方面，许多参展人工智能系统尚处于测试或原型阶段，在复杂真实的环境可能出现出乎意料的行为。另一方面，人工智能系统具备一定自主性和学习能力，其在会展高压环境可能因学习不当或环境输入而表现异常。人工智能设备的不确定行为，使会展主办方和参展商难以完全预测和控制数据的采集与输出范围。此外，会展展示的测试阶段产品往往跳过了完整的安全审计流程，存在漏洞未修补、边界条件异常处理缺失等问题；同时，为追求演示效果，部分展商临时开放高权限接口，进一步放大了数据失控风险。

四是大规模、实时、多点身份识别与行为追踪带来的隐私侵害风险。会场入口的人脸识别，展厅部署摄像头实时追踪人员流动，一些展台通过扫描参观者证件或无线射频识别技术（RFID）的徽章获取身份和偏好信息等。这种大规模、实时的身份识别与跟踪带来了严重的隐私泄露与数据安全风险。步态识别、声纹识别等技术可在参展者毫无感知的情况下采集多维生物特征，形成持久性数字画像。通过多点摄像头和穿戴设备数据，主办方可以绘制参会者在场馆内的行动轨迹和社交网络。会展收集的身份信息可能被用于初始目的之外的用途，留下系统性隐私风险。

五是参展主体数据未经授权被用于人工智能模型训练与商业情报挖掘的风险。在人工智能国际会展中，参展的技术演示数据、对话日志、用户反馈本身即为高价值训练语料，且往往由参展商在未征得参观者明确同意的情况下实时收集，使参观者事后难以追溯和主张权利。多人汇聚高密度混杂交互的会展数据产权和用途边界更模糊，参展企业往往默认拥有其展台收集的数据，而观众可能来自不同机构、不受统一管理。除个人隐私外，企业参展者的信息，也可能被竞争对手进行“合法窃取”。

二、他山之石：人工智能国际会展数据安全治理的经验

面对人工智能国际会展场景的新型数据安全风险，各国政府、行业组织和企业都在探索相应的法律监管、技术防护和组织管理措施。

（一）法律监管

美国建立市场主导、政府后援的制度。美国没有专门针对会展的数据安全法令。若涉及个人数据收集，主办方和参展商需遵守州一级隐私法及行业规制；若会展涉及消费者交易，主办方和参展商需受消费者权益保护法的约束。美国政府关注人工智能技术的安全使用。2022年10月4日，白宫科技政策办公室（OSTP）发布了《人工智能权利法案蓝图》（Blueprint for an AI Bill of Rights），强调用户隐私权、数据控制权等。而且，美国大型活动的网络安全保障，也有立法支持。例如，在《国土安全法》（Homeland Security Act）框架下，国土安全部可以将特定大型活动列为“国家特别安全事件”，调动联邦资源保障安全，包括网络安全。以美国消费电子展（CES）为例，美国消费技术协会（CTA）长期与地方政府合作，制定专项的大型活动网络安全预案。在2025年CES展会期间，主办方与联邦调查局（FBI）拉斯维加斯分局保持实时情报共享。

欧盟实行全面立法。欧盟制定《通用数据保护条例》（GDPR）使人工智能国际会展数据保护拥有相对完善的强制性合规机制，对非欧盟参展商亦产生约束效力。欧盟《人工智能法》（AI Act）对不同风险级别的人工智能系统提出合规要求。例如，会展使用的人脸识别安保系统属于“高风险人工智能”，供应商必须确保其经过合规评估并在欧盟注册数据库备案，同时，要通过人为监督机制防止其被误用。这直接影响欧洲境内人工智能会展的技术选型和使用，例如西班牙数据保护局（AEPD）曾对世界移动通信大会（MWC）展会期间未经参展者明确同意收集面部图像的相关企业展开调查。全球移动通信系统协会（GSMA）作为MWC的主办方，已在展会章程中明确要求参展商在展台部署人脸识别系统前须完成数据保护影响评估（DPIA），并在现场显著位置张贴数据处理告示。

日本依靠法律保障和企业自律。日本通过《个人信息保护法》（APPI）保障数据安全。日本政府还出台《以人类为中心的人工智能社会原则》（Social Principles of Human-centric AI）等软法文件，强调人工智能应用要确保安全和隐私。2025年5月28日，日本参议院全体会议又通过了《人工智能相关技术研究开发及应用推进法》（Act on the Promotion of Research, Development, and Application of Artificial Intelligence-related Technologies），防止人工智能被滥用。总体来看，日本法律体系强调个人权利保护，但在执法力度上相对温和，更依赖企业自律和行业指引达成数据安全目标。

韩国构建严格的个人信息保护框架。韩国《个人信息保护法》（PIPA）规定了个人数据处理，并设有独立的个人信息保护委员会（PIPC）负责执法。2024年12月，韩国还通过了亚洲首部人工智能专项法律《人工智能发展与信任基础建立基本法》（Basic Law on the Development and Trust Foundation Building of Artificial Intelligence），强调人工智能开发者和使用者要确保隐私和数据安全，并建立人工智能风险等级分类监管。此外，韩国重视与国际标准接轨，为会展承办提供了清晰的合规指引。

（二）技术防护

美国依靠市场化服务和会展组织者自身的信息技术团队提供保障。许多大型科技公司每年举办开发者大会或人工智能峰会，在技术上投入重金保护网络和数据。例如，搭建独立的高带宽安全网络供会场使用，使用专业的Web应用防火墙（WAF）和分布式拒绝服务攻击（DDoS）防护服务，保障会议官网及应用不受攻击，以及采用端到端加密、零信任架构等前沿方案，保护会场通信和云服务安全。虚拟会展平台提供商也实现了通信加密和权限严格分级，防止未授权访问。此外，美国的安全公司和白帽社区在大型会展期间提供威胁情报支持。美国还注重物理设备安全，例如如果会议证件植入RFID芯片，主办方会提供屏蔽套防止其被非法读取。

欧盟通过多方参与的技术保障实现隐私保护和数据最小化。许多欧洲企业在设计会展应用时秉承“隐私设计”（Privacy by Design）原则。例如，手机应用程序（App）默认不开启精确定位，除非用户授权用于会场导航；会展访问分析只收集匿名化的统计数据，不记录个人身份。对不可避免要处理敏感数据的，如支付信息、健康信息，则采用强加密存储和传输，尽量避免在本地设备留存。欧洲的网络安全公司也为大型会议提供专业支持。在身份认证上，欧盟更倾向于非侵入性手段，例如采用一次性二维码电子票替代人脸识别，减少生物数据处理。同时，一些新技术如差分隐私、联邦学习开始应用于会展数据分析。欧盟还注重开源社区合作，在大型活动前常由安全公司、黑客组织进行预防性渗透测试，把发现的漏洞提交主办方修复。

日本综合运用高标准基础设施和前沿科技。日本会展场馆往往拥有高标准的网络基础设施，由电信运营商提供安全管理服务。日本注重备灾与冗余，一旦主系统受攻击或出现故障，备用的大型科技会展网络线路和数据备份服务器，可实现迅速切换，保障数据不丢失、不中断。日本的电子厂商提供许多安全硬件用于会展，使用可信计算技术的人工智能应用。日本企业善于运用日志审计技术，详细记录所有数据访问和操作，包括会展临时系统。一旦出现可疑事件，详细日志有助于溯源和责任认定。

韩国防护技术高度数字化、自动化、集成化和自主可控。韩国许多大型会展实现了安全运营中心（SOC）的数字孪生，即在后台有一套综合安保平台，将网络安全监测、物理安防监控、应急调度集成于一体。另外，韩国积极探索以人工智能对抗人工智能的安全手段，利用人工智能算法识别潜在网络威胁，甚至用于识别现场可疑行为人物，从而与攻击者使用的手法对抗。这种人工智能安全应用在全球属于领先水平。韩国在密码技术上也有自主方案。会展组织方有时会采用国产加密算法及设备，避免依赖外国技术可能带来的后门隐患。

（三）组织管理

美国采取标准指导、外部监督和自我承诺相结合的方式。美国国家标准与技术研究院（NIST）发布的网络安全框架和隐私框架，被许多会展主办方用来制定自己的数据安全政策。一些高规格会议还会聘请专门的安全顾问团队，提前进行风险评估和渗透测试。会中，美国注重访问控制，对实体场馆和数字系统都实施严格的分区和认证管理。若发生数据泄露事件，会议组织方会及时通知受影响人员并联络执法部门介入。会后，会议主办方一般会删除或匿名化处理临时收集的数据，并就整个安全工作进行复盘，改进未来活动的安全方案。例如，CTA在每届CES结束后会形成内部安全事后总结报告，并基于该总结与安全供应商共同评审次年展会的安全部署方案。

欧盟实行“国家监管+超国家协调”的双层治理结构。欧盟各国普遍设有数据保护专员（DPO）制度。组织大型国际会展的大公司或机构通常都会指定DPO全面负责活动中的数据合规和安全事务。欧盟监管机构（各国的数据保护局）也关注具有较大影响的大型活动，有时会主动与主办方联系提供指导。在现场管理上，欧盟经验强调透明和尊重用户权利，例如，在会场明显位置张贴告示，说明现场使用了哪些摄像头和传感器、数据将如何处理，并提供联络方式供参会者行使权利（查询或删除其数据）。此外，欧盟也会进行跨国协调。例如，西班牙数据保护局（AEPD）与欧洲数据保护委员会（EDPB）保持沟通，对MWC跨成员国的数据处理行为进行协调监管。

日本计划严谨、执行严格、反馈完善。日本大型人工智能会展的主办方通常会成立由多方参与的安全委员会，成员包括主办单位的信息技术负责人、赞助的技术公司代表、政府相关部门联络员等。该委员会从策划阶段就制订安全计划，包括风险清单和对应的预案。日本公司内部还遵循PDCA（Plan、Do、Check、Act）循环的管理理念，将大型活动安全纳入企业年度安全计划进行评估和改进。在现场管理方面，日本的会展工作人员接受细致的培训。在上岗前，培训方会特别强调数据处理规范，严格执行，减少人为疏忽造成的数据事故。此外，日本还通过展后总结机制，确保每届展会的安全经验得以积累和传承。例如，日本电子信息技术产业协会（JEITA）在日本电子高新科技展（CEATEC）展会结束后会要求安全委员会出具正式的安全工作报告。

韩国加强政企合作。韩国按活动的重要性和风险实行分级安保。在安全管理上，主办方在会前通过媒体向公众宣导不要将公司机密资料随意带入会场，不点击陌生Wi-Fi等，增强整体防范意识，而且，事后问责明确，一旦发生数据安全事故，会严肃调查各方责任。这形成了对各参与方的压力，促使其在会展期间尽职尽责。韩国通过官民协作、军民融合的管理模式，加之严格执法和快速立法，使人工智能国际会展数据安全工作高效推进并不断得到完善。

三、中国路径：人工智能国际会展数据安全风险应对

人工智能国际会展带来了数据安全新风险、更复杂的攻防态势和更严峻的后果。我国应结合人工智能国际会展面临的数据治理现实挑战，加强研究和应对。

（一）我国人工智能国际会展数据治理面临的现实挑战

一是数据出境合规灰色地带问题。按照《促进和规范数据跨境流动规定》第三条，国际贸易等活动收集的不含个人信息或重要数据的一般数据可豁免出境安全评估。会展数据因包含大规模参展者个人信息乃至涉及科技敏感内容，难以整体适用豁免条款，而会展期间数据流动的高速度、大规模，又使逐一审查在实践中难以操作，形成合规灰区。

二是境外设备采集中国公民数据问题。在中国境内举办的国际会展中，境外参展商携带的人工智能设备在采集中国公民生物特征、行为数据后，可能绕开出境安全评估要求，通过加密通道实时回传境外服务器，构成事实上的数据违规出境，且现有监管手段对此类“流量外泄”缺乏有效检测能力。

三是科技情报与商业机密泄露问题。我国国内顶尖企业和科研机构参加国际会展时往往会展示具有前沿竞争优势的技术产品，境外竞争者或情报主体可能通过技术演示、问答互动、现场录制等手段系统性收集相关技术情报。此类隐性情报泄露难以在法律层面认定，却可能严重损害国家科技安全。

四是监管主体不明确问题。人工智能国际会展数据涉及国家多个主管部门，但针对这一特殊场景的跨部门协调机制尚不健全，存在监管空白或重叠，影响执法效率。

（二）我国完善人工智能国际会展数据治理体系的路径

针对人工智能国际会展数据安全风险和现实挑战，我国亟须加强顶层设计，从法律、技术、管理、教育等方面综合施策。

一是完善法规体系，制定专项指南和标准。在《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》《人工智能安全治理框架》《会展业安全管理规范》（T/CAWS0002-2022）等基础上，会展行业监管职能机构应结合人工智能国际会展场景的新特点，协同推进出台专项指南或引导会展行业组织参与制定行业标准，明确各参与方的义务和责任。例如，制定人工智能国际会展数据安全指南（或合规指引），涵盖个人信息收集规范、跨境数据传输要求、人工智能应用安全评估标准等，供主办单位参考执行。将大型智能会展纳入需要重点安全评估的活动类别，要求主办方在展前提交数据安全评估报告，由监管部门予以审核指导。

二是加大现场检查与执法力度。在人工智能国际会展期间，相关部门以及相关监管机构可派出专门人员现场巡查数据安全措施落实情况，例如检查注册流程是否获得用户同意、现场监控是否按规定设置提示标识、各展商是否有超范围收集个人信息行为等。一旦发现违规情况，要及时制止纠正。对于严重违反法律法规的情况，依法启动调查并在会后进行处罚问责，形成震慑和示范效应。将已在重大活动保障中积累的大型活动安全检查经验，可以向涉及数据跨境流动、大规模生物特征采集的人工智能国际会展领域延伸。

三是建立国内外协同联动机制。数据安全风险往往伴随网络安全风险，监管机构应加强部门联动，在重要会展期间共享网络威胁情报、统筹应急资源。一旦发生跨区域、跨国的数据安全事件，可通过国际合作渠道迅速响应。国家计算机网络应急技术处理协调中心（CNCERT/CC）与多国计算机应急响应组织（CERT）已建立双边合作渠道，可作为会展专项联动机制的依托。推动建立人工智能会展安全国际合作机制，与国际会展组织、人工智能安全机构开展合作，共同制定人工智能会展安全标准。在《人工智能全球治理行动计划》框架下，倡导建立国际人工智能会展数据安全互认机制，避免合规碎片化。可优先与共建“一带一路”国家以及在亚太区域探索双边或小多边人工智能国际会展数据安全合作模式，积累经验后再逐步扩展。

四是推动行业自律与安全认证。监管机构可以引导会展行业成立数据安全自律联盟或工作组，让主要会展主办方和参展企业参与，共同制定自律公约，交流安全技术运用经验。加快制定“人工智能会展系统数据安全技术要求”行业标准，探索建立“安全会展”认证制度，对数据安全措施到位、近年来无重大事故的主办单位给予认可，提升其公信力，从而激励更多主体重视安全。建立动态适应性安全评估认证机制，对会展应用进行实时安全评估，并颁发安全认证证书。将安全评估纳入会展准入机制，未通过安全评估的会展应用不得参与会展活动。监管机构也可以定期召开研讨会，总结推广优秀案例，提高整个行业的安全治理水平。

五是加强安全教育和权益维护。结合人工智能国际会展的场域特征，对会展从业人员开展具有针对性的安全培训。同时，可结合执行成本低、社会接受度高的现有机制，加强对广大参会者的数据安全教育。例如，在网络安全宣传周专题中加入有关参加会展的安全提示等内容，提醒公众防范Wi-Fi陷阱、保护个人隐私等。监管机构应畅通投诉举报渠道，可与现有的举报受理中心12321等平台协同，并进一步明确举报受理后的处置时限和公示要求，及时调查处理举报情况，公开典型案例结果，切实维护公众合法权益，同时，也促使会展组织方和参展商更加自觉守法，形成良性循环。

（本文刊登于《中国信息安全》杂志2026年第4期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。