在今年的网络安全周期间,各地公安机关监管部门深入推进“护网—2025”专项工作,聚焦整顿网络和数据安全问题。在这一背景下,一起处罚案例引起了业界和公众的广泛关注。这起首例因人工智能大模型训练数据在处理算料时未开展个人信息保护影响评估(PIA)而被处罚的案例,涉及人脸等生物识别类敏感个人信息的处理问题。该案不仅凸显了AI产业链的潜在合规风险,也向整个行业传递了明确的监管信号:合法合规的数据,是AI大模型研发的基石。
本文将结合本次案例,梳理执法背景、案件要点,提供PIA工作落地实践,并从数据律师专业角度提出可操作的合规建议,帮助企业在创新与合规之间找到平衡。
案例速览
首例PIA处罚案例回顾
在本次执法专项行动中,公安机关发现一家主营人工智能模型训练基础数据(算料)的科技公司,在处理涉及人脸等敏感个人信息时,没有依照《个人信息保护法》开展必要的个人信息保护影响评估(PIA)。这一违法行为被属地公安机关依法处罚,并责令企业整改。此次处罚是近期国家网络与信息安全信息通报中心发布的典型案例,也是国内首例因未进行PIA而受到处罚的案例。
这起案例透露出重要信息:监管执法已进入深水区,企业在数据收集、存储、处理和共享环节都必须合法合规,尤其是AI大模型训练涉及的高风险数据处理活动,如果未依法进行PIA和其他合规管理工作,将面临行政处罚、商业声誉受损、业务暂停甚至停业整顿的风险。
PIA开展依据
数据合规必修课
在AI训练数据处理过程中,PIA(Privacy Impact Assessment,个人信息保护影响评估)不仅是一种合规工具,更是一种企业风险管理和业务优化手段。《个人信息保护法》第五十五条明确规定,在处理敏感信息、进行自动化决策、委托处理、向他人提供或公开个人信息,以及跨境传输等高风险活动时,企业必须事前开展PIA,并形成完整记录。《人脸识别技术应用安全管理办法》则进一步明确,涉及人脸识别数据的处理活动应遵循合法、正当、必要性原则,要求企业在用该类数据训练AI模型前,应当事前进行个人信息保护影响评估,并对处理情况进行记录。
PIA实施阶段
训练数据合规的全流程拆解
针对AI大模型的数据训练特点,PIA应覆盖从数据采集、存储、预处理、训练使用,到模型输出及共享或出境的每一环节。以下表格概括了七个关键阶段及主要工作内容,展示了PIA在企业合规实践中的落地路径。
PIA是企业践行“合规前置、风险可控”的核心手段,也是AI训练数据安全的重要守护者。
风险管理清单
AI大模型训练数据管理要点
在完成对大模型训练数据全生命周期的梳理后,企业需要建立一套系统化的合规风险管理清单,将训练过程中可能涉及的所有风险环节纳入管理。核心内容包括以下环节:
PIA实践要诀
一定要做“真功夫”
结合监管要求与服务经验,对于企业怎样更好地开展PIA工作,我们提示以下实践要点:
建立标准化流程:建立覆盖数据类型、处理目的、风险分析和缓解措施的PIA模板;
明确责任与审批:明确PIA负责人,建立审批和备案机制,确保责任到人;
书面留痕:每一次高风险处理活动都应形成独立PIA报告,避免走形式;
业务前置嵌入:将PIA流程嵌入数据采集、模型训练和跨境交付环节;
供应链合规协同:要求合作方同步开展PIA或提供合规证明,防止合规断层;
跨境衔接:依据PIA评估结果,决定是否触发数据出境安全评估或签署标准合同。
定期培训:对关键人员开展数据保护和隐私合规培训,确保充分理解、掌握PIA流程与操作规范,能够在日常工作中主动发现和防控风险。
通过这些措施,企业不仅能降低违法风险,也能提升数据处理的透明度和可信度,为业务合作和市场拓展提供法律保障。
结语
让PIA成为AI企业的护身符
首例处罚案例及监管释放的信号表明,数据合规不是可选项,而是企业创新发展的必备底线。落实PIA和全流程安全管理,不仅防范监管风险,更为企业赢得市场信任、提升品牌竞争力提供坚实保障。合规不再是约束,而是创新发展的护航力量。
AI训练数据的合规工作,需要企业从制度设计、技术实现、业务流程到供应链管理全面覆盖。只有将PIA落实到实际操作中,才能在创新、发展与监管之间取得平衡,实现高质量的人工智能产业发展。
主笔人
刘晓霞
北京浩天(上海)律师事务所 合伙人
liuxiaoxia@hylandslaw.com
延伸阅读
专栏合集
