随着人工智能渗透进医疗、金融、汽车、娱乐等各个行业，其已经成为经济体系中的一个重要组成部分。在经济全球化的背景下，人工智能也走出国门，成为国际经济贸易体系的重要组成部分。

人工智能出海面临两个主要的法律风险。一个是数据跨国流动带来的国际法律风险，另一个是知识产权法律风险。本文讨论前一种风险。

人工智能出海将面对个人数据保护法的挑战

人工智能在东道国运营过程中，从搜集数据、训练数据到输出内容，都受到东道国个人数据隐私和所有权保护法的管辖。如果违反东道国个人数据保护法，人工智能公司不仅可能受到民事损害赔偿诉讼，而且可能受到东道国监管机构的行政处罚。轻者罚款，重者失去营业资格（短期或长期）。

比如，2024年，意大利数据保护署对OpenAI罚款1500万欧元。数据保护署对OpenAI提出的指控之一，是使用用户的数据训练模型没有法律依据。2025年1月28日，意大利数据保护署也宣布对DeekSeek的数据加工程序展开调查。调查的核心，是个人数据保护。意大利数据保护署要求DeekSeek详细披露其如何搜集个人数据。包括搜集方法、搜集渠道、搜集人群。还要求其澄清数据是直接来源于用户、第三方还是其他机制。意大利数据保护署还要求DeekSeek拿出其加工数据的法律依据。

DeekSeek在海外遭遇的个人数据保护法挑战不止这些。韩国个人数据保护委员会也以不符合个人数据保护法律标准为由，把DeekSeek应用软件从苹果应用商店和Google Play上移除。

人工智能出海还需面对国家安全法带来的风险

人工智能公司在海外营业将引起东道国对数据安全的担忧。后者以国家安全为由对其实施监管。东道国政府的担忧主要集中一点，即人工智能公司是否把在东道国搜集的数据运送到本国进行加工、存储和使用，从而威胁东道国的国家安全。

比如，韩国贸易、产业与能源部出于安全考虑，临时限制在政府部门的通讯工具上安装DeepSeek。再比如，澳大利亚、美国的立法机构也提议限制政府雇员的手机安装DeepSeek软件。

企业如何应对人工智能出海的法律挑战？

不论是出于个人数据保护，还是出于国家安全考虑，东道国的监管法律和执法部门都没有完全拒绝外国人工智能公司进入本国市场，而是给出海运营的人工智能公司提供了改正和救济的法律机制。就作为市场主体的人工智能公司而言，应对法律挑战意味着与所在地监管部门合作，以所在地监管法律为标准，规范自己的行为。在此基础上，聪明的公司还会下一盘大棋，从履行社会责任的角度融入当地社会，进一步站稳市场。

以OpenAI为例。OpenAI不是交了1500万欧元的罚款就完事，而是进一步和当地监管部门合作，不仅完善自己的合规治理，还进一步培育并拓展了市场。在意大利数据保护署对OpenAI展开调查期间，OpenAI一边配合调查，积极整改，一边在爱尔兰建立其在欧盟的总部，展示其遵守欧盟《通用数据保护条例（General Data Protection Regulation,GDPR）》，持续经营的决心。根据欧盟的监管法律，意大利数据保护署把对OpenAI的调查材料转移给爱尔兰监管机构，即爱尔兰数据保护委员会。OpenAI接受爱尔兰数据保护委员会的持续监管。

另一方面，OpenAI出资、出人，在意大利监管部门的领导下，开展了人工智能公共传播活动。活动目的在于提升公众对生成式人工智能功能的了解，包括其数据搜集活动及用户依据《通用数据保护条例》拥有的数据权利。OpenAI还和意大利监管部门合作开发课程，对人工智能的用户和非用户（潜在的用户）开展普及人工智能知识的教育活动。通过教育活动，使公众知晓自己的数据权利，尤其是反对使用个人数据的权利、要求纠正关于个人数据的权利及要求删除数据的权利。

OpenAI被监管部门罚款之后，不仅主动学习当地监管法律，完善自己的合规治理，而且和监管部门合作，履行社会责任，提升当地公民的人工智能知识水平，培育潜在客户。OpenAI化法律危机为市场机会的做法，值得我国人工智能公司学习和借鉴。

实际上，DeepSeek也面临遵守当地法律，提升合规水平的考验。比如，意大利数据保护署要求DeepSeek按照其调查罗列的问题提供相关信息。这其实是被监管的市场主体和监管主体之间依据监管法律相互沟通的过程。DeepSeek需要做的是配合监管机构，依据《通用数据保护条例》和意大利的国内法提交信息，弥补不合规之处。

再比如，尽管韩国个人数据保护委员会以不符合个人数据保护法律标准为由把DeekSeek应用软件从苹果应用商店和Google Play上移除，但是，其并没有完全禁止DeekSeek在韩国营业。当前已经下载DeekSeek的用户还可以继续使用。而且，只要DeekSeek未来比照韩国数据监管规则的标准积极与监管部门沟通，规范公司的营运模式，使之符合韩国数据监管规则的标准，恢复其正常的业务并非不可能。

前述韩国个人数据保护委员会副主席崔正赫（Choi Jang-hyuk）就明确表态：“在服务中止期间，我们将仔细审查DeekSeek模型加工个人数据的程序，确保其符合韩国隐私保护法，解决对数据隐私的关切。”

应对企业人工智能出海的法律挑战，政府不能置身事外

人工智能企业运营不仅涉及数据的搜集和使用，而且涉及数据的跨境流动，事关国家主权和安全。人工智能公司在海外运营可能引起所在地国家政府部门的担忧是，公司运营数据的行为是否受到其母国的控制或影响？如果答案是确定的，问题就会上升到国家安全。

这也是意大利数据保护署审查DeekSeek的另一个重要问题。意大利数据保护署要求DeekSeek澄清两个担忧：其一，其在意大利搜集的数据是不是存储在位于中国的服务器上；其二，其数据转移行为是否符合国际法上的数据转移条件。

既然人工智能出海运营涉及数据的国家安全担忧，国际法层面的协调与合作就不可避免。国际法上的协调与合作离不开政府的参与。比如，欧盟的《通用数据保护条例》，对数据跨越国界运营的国际立法与合作，提出框架性建议。该条例第五章专门规定，欧盟数据转移至第三国或国际组织的基本原则和规则。根据第五章，欧盟鼓励国家之间针对数据跨境磋商，订立双边或多边条约，确定国家间相互保护彼此数据安全的基本水平。确定好数据保护的基本水平，就为欧盟规范在其境内运营的国外人工智能公司监管提供了依据。只要在欧盟运营的人工智能公司证明其数据转移出欧盟符合相关条约规定的保护水平，就可以合法从事跨境数据的搜集和处理活动。

在当前的情况下，我国人工智能监管部门一方面可以积极参与数据跨境国际条约的制定，为我国人工智能公司出海的长远发展奠定法律基础。另一方面，在缺乏相关的双边或多边条约的现实背景下，应积极为出海的人工智能公司提供服务，协助其处理在东道国发生的数据安全纠纷。比如，为解除东道国对我国人工智能公司利用其在国内服务器加工处理数据的担忧，我国监管部门应积极主动与对方监管部门沟通，向其解释中国的相关立法和政策，提供政府信誉。

未来与展望

当下，人工智能不仅是科技发展的新趋势，也引发全球范围内在人工智能技术与信息控制上的新一轮博弈。博弈不仅表现在企业层面的技术和商业博弈，也表现在国家之间在规则层面的博弈。

随着人工智能技术的发展，如何在技术创新、市场竞争、信息安全和国际合作之间找到平衡，将成为全球人工智能治理的关键议题。伴随着这一进程的不断加速，我国出海的人工智能公司需要认真学习人工智能监管的国际法律和规则，通过完善合规治理增强参与国际竞争的能力。同时，政府也要置身事内，积极参与人工智能国际规则的制定和人工智能国际监管的合作，为我国人工智能公司的国际竞争提供好服务。

（作者王佐发为西南科大法学院副教授）