陈福:智能经济中的数据合规风险与应对

发布时间: 2026.06.15
 

本文刊载于《企业改革与发展》杂志2026年第6期,并入选封面文章。

智能经济的发展不仅是一场技术革命,更是一场深刻的制度与治理变革。唯有在法治框架下,将数据安全与合规要求嵌入技术应用与业务流程之中,实现发展、安全、合规的协同统一,方能在释放数据要素价值与人工智能潜能的同时守住安全底线,推动智能经济行稳致远。

 

一、智能经济高质量发展的需求与现状
 

在数字经济向纵深发展的阶段,数据要素与人工智能的融合,正推动经济形态由“数字化”向“智能化”跃迁,逐步形成以人机协同、跨界融合为特征的智能经济新范式。根据国务院印发的《关于深入实施“人工智能+”行动的意见》(以下简称《意见》),我国正以人工智能为关键驱动力,加快推动生产力革命性跃迁与生产关系深层次变革,目标在于构建“智能经济和智能社会新形态”。在这一背景下,智能经济高质量发展,已成为国家战略层面的核心议题。

 
(一)政策驱动下的智能经济发展范式重构

从顶层设计看,在“数据要素×”与“人工智能+”双轮驱动下,我国已逐渐勾勒出未来发展路径:以数据、算法与算力为核心基础,以人工智能深度赋能产业与治理为主要抓手,在推动新质生产力形成的同时,构建开放共享、安全可控的发展体系。一方面,国家数据局通过“数据要素×”相关政策,强调数据作为基础性、战略性资源,通过流通与融合释放乘数效应,推动数据从“资源”向“资产”乃至“生产要素”转化。另一方面,《意见》明确提出,以人工智能为抓手,推动其在科技、产业、民生、治理等重点领域深度嵌入,实现全链条赋能。

此外,“十五五”规划纲要将数据、算法、算力明确为数智化发展的三大基础要素,强调通过“数据要素×”与“人工智能+”的深度融合,构建算力、算法、数据三者协同的供给体系,从而夯实智能经济发展的要素基础。这一政策体系表明,智能经济的发展已由单一的技术驱动,转变为制度供给、要素配置与技术创新协同推进的系统性工程。

 
(二)数据要素与人工智能的耦合机制

智能经济的形成依赖于数据要素与人工智能之间的深度耦合关系。具体来说,这种关系体现在以下几个层面:首先,数据是人工智能发展的基础条件。人工智能模型的训练与应用依赖大规模高质量数据输入,数据质量直接决定算法效果与应用边界。因此,政策层面强调建设高质量数据集、完善数据供给机制,究其本质,是为人工智能发展提供高质量的生产资料。其次,人工智能是释放数据要素价值的核心工具。数据本身具有潜在价值,但需要通过算法分析与模型推理来实现价值转化。人工智能通过对海量数据的处理与建模,可以识别出规律,用以支撑决策,使数据由资源转变为生产力,释放动态价值。最后,二者共同推动生产方式变革。根据《意见》,人工智能正重塑着科研范式、产业组织结构以及社会治理模式,并催生出“智能原生企业”“智能体应用”等新形态。这意味着,数据与人工智能结合后,人工智能不再是效率工具,而是发展为新质生产力的核心载体。

 
(三)智能经济高质量发展的现实驱动因素

从实践层面看,智能经济的发展主要受到以下三方面需求驱动:

第一,智能经济发展是产业转型升级的内在需求。传统生产模式在制造业、服务业及农业等领域面临着效率与成本约束,亟须通过数据驱动与智能决策实现全要素优化。《意见》明确提出推进“工业全要素智能化发展”“服务业智能化转型”,体现出人工智能对实体经济的深度改造路径。

第二,智能经济发展是治理能力现代化的制度需求。随着经济活动数据化程度提升,政府治理逐步依赖数据分析与智能系统,以实现风险预警、精准监管与公共服务优化。“十五五”规划纲要亦强调通过政务数据共享与人工智能应用提升治理数智化水平,推动形成人机协同治理模式。

第三,智能经济发展是数据要素市场化配置的深化需求。“数据要素×”政策通过确权规则、交易机制及流通体系建设,推动数据突破封闭状态,走向市场化配置。这一过程不仅会提升资源配置效率,也为人工智能应用提供了持续性的数据供给基础。

 
(四)智能经济发展中的结构性约束与风险

尽管政策推动与技术发展形成合力,但智能经济在快速发展过程中,已呈现出若干结构性约束,这些约束亦是后续数据合规问题的重要来源。一方面,数据流通与安全保护之间的价值冲突日益尖锐。数据要素价值的释放依赖流动,但跨主体、跨场景流通也会加剧数据泄露、数据滥用等风险。因此,如何在促进数据利用与强化数据保护之间实现制度平衡,成为合规领域的重要议题。另一方面,技术演进与监管体系之间存在着结构性错位。具体体现在,现行监管体系主要围绕着数据处理行为与平台责任进行构建。但随着开源智能体等新技术形态的出现,人工智能逐渐从内容生成工具升级为自主执行主体,其行为边界与风险形态已经超出传统监管的范式。此外,数据质量与供给体系仍存在不足,包括数据标准不统一、“数据孤岛”问题突出等,这在一定程度上制约着人工智能应用效果的发挥与智能经济发展质量的提升。

 
(五)从“发展驱动”迈向“合规约束”的转折点

综合来看,我国智能经济已进入由高速发展向高质量发展的关键阶段。在“数据要素×”与“人工智能+”双轮驱动下,经济体系正加速向智能化转型,但与此同时,数据安全、算法治理与智能体行为风险等问题逐步凸显。“十五五”规划纲要明确提出“营造健康有序的发展生态”,强调制度建设与风险防控的重要性;《意见》亦提出要完善安全评估、备案管理及风险预警机制。这表明,智能经济的发展逻辑,正在从单纯的“技术与要素驱动”,转向“发展与合规并重”的新阶段。在这一转折点上,数据安全与合规不再是外部约束,而是智能经济可持续发展的内生条件。

 

二、数智化时代对数据安全与合规提出新挑战
 

在“数据要素×”与“人工智能+”深度融合的制度背景下,数据处理活动的运行逻辑正发生深刻转型。传统数据合规体系以“数据处理行为”为中心,围绕合法性基础、安全保障义务及责任主体构建规范框架,但随着人工智能技术特别是开源智能体的发展,数据处理逐渐从静态、单次、可控的操作,演变为动态、持续且具有自主性的系统行为。这一变化不仅扩大了数据处理的边界,也使风险呈现出更强的隐蔽性与外溢性,从而对既有法律规范体系构成实质性挑战。数智化时代数据合规面临三类核心挑战:一是技术范式由生成工具向执行型智能体转型,导致数据处理行为呈现动态化与自主化特征;二是数据控制结构与风险形态发生变化,传统的以内容为中心的风险逐步向行为风险扩展;三是开源生态与数据要素市场化背景下,现行制度在权责划分与监管机制方面存在适用不足。

 
(一)开源智能体的发展与风险

以开源智能体为代表的新型人工智能系统,正在推动技术范式由“生成式工具”向“执行型代理”转变,使数据处理由“静态处理”转向“动态执行”,由“用户驱动”转向“系统驱动”,并进一步由“内容风险”外溢至“行为风险”。该类系统通常具备持续运行能力、环境感知能力以及工具调用能力,可以在较少人工干预的情况下自主完成复杂任务。在这一过程中,数据不再仅作为输入或输出存在,而是被持续访问、动态整合并参与决策过程。这种运行机制直接改变了数据处理的触发逻辑,使其从以用户输入为起点,转变为以系统内部决策为驱动,从而对《中华人民共和国个人信息保护法》所确立的知情同意原则与最小必要原则等传统个人信息保护原则提出挑战。用户在授权时,往往难以预见智能体在后续运行中可能触发的具体数据处理行为,进而使“同意”在一定程度上流于形式,合法性基础面临被弱化的风险。

 
(二)数据要素发展的法律缺失

开源生态的快速发展加剧了数据安全风险的复杂性。开源智能体通常依赖插件或外部组件运行,形成去中心化的技术供应链结构。在这一结构中,数据可能在多个主体之间流转,而企业对第三方组件的数据处理行为往往缺乏充分的可见性与控制力。尽管现行法律已对第三方管理义务作出规定,但在开源生态中,这一义务在实践中难以完全落实,从而形成制度要求与技术现实之间的明显张力。

从更宏观的角度看,上述问题反映出当前数据要素制度体系在数智化背景下的适用局限。随着数据要素市场化配置不断推进,数据在流通与交易过程中呈现出多主体参与、跨场景流动的特征,但数据权属、收益分配及责任承担等基础性问题仍缺乏统一规则。在智能体参与的数据处理场景中,多源数据的整合进一步放大了权属界定的复杂性。同时,现行法律体系以“数据处理者”为核心构建责任结构,在面对开发者、部署者及第三方组件提供者等多主体参与的复杂生态时,难以实现精细化责任划分。

 
(三)实践中的数据安全与合规问题

智能体高权限运行的特征,使数据控制权结构发生重构。在传统模式下,数据访问路径主要由用户或系统管理员控制,而在智能体参与的架构中,系统内部的算法决策开始参与数据访问判断,形成“人—系统—数据”的多层控制结构。这种变化在提高效率的同时,也显著增加了数据滥用与越权访问的风险。如果企业未能通过权限控制、环境隔离等措施对智能体进行约束,可能被认定为未履行《中华人民共和国数据安全法》及《中华人民共和国网络安全法》所要求的安全保障义务。

人工智能风险的性质正在发生根本变化。传统监管主要聚焦于虚假信息、算法歧视等内容层面的风险,而具备执行能力的智能体,会使风险从信息空间扩展至现实操作层面。例如,智能体可能自动调用系统接口执行文件操作、数据传输甚至交易行为,一旦出现误判或被恶意利用,可能在短时间内造成大规模数据泄露或财产损失。这种由“内容风险”向“行为风险”的转变,使人工智能的法律风险不再局限于信息侵权,而呈现出复合化特征,对责任认定与风险控制提出了更高要求。

可以看到,数智化时代的数据合规挑战,本质上源于技术演进与制度供给之间的阶段性不匹配。一方面,政策层面鼓励数据流通与人工智能应用,推动智能经济快速发展;另一方面,围绕数据安全与智能行为的制度体系尚在完善过程中。这种“发展先行、规范跟进”的格局,使企业在实践中既面临政策红利,也承担较高的不确定性风险。由此,数据合规问题已从单一的法律遵循问题,转变为涉及技术架构、业务模式与治理能力的系统性问题。

 

三、构建企业数据安全与合规经营体系
 

在数智化转型不断深化的背景下,企业面临的已不再是传统意义上的合规义务履行问题,而是如何在复杂的数据流通与智能系统运行环境中,实现风险可控与价值释放的动态平衡。由此,企业数据合规体系亟须从以规则遵守为导向的“被动合规”,转向以系统治理为核心的“主动合规”,并在制度设计与技术实现之间形成有效衔接。合规不再是单纯的成本负担,而逐步成为企业参与智能经济竞争的重要基础设施。

 
(一)构建企业数据安全管理体系

从数据安全管理角度看,企业应当以数据分类分级制度为基础,对数据资产进行系统梳理,并在此基础上构建分层保护机制。不同敏感程度的数据,应对应不同的访问控制与安全措施,从而实现风险的精细化管理。在智能体应用场景下,这一要求尤为重要,因为智能体可能在多个业务环节中持续调用数据,如果缺乏清晰的数据分级与权限边界,将难以防范越权访问与数据滥用风险。因此,企业需要通过最小权限控制、访问白名单及运行环境隔离等技术手段,对智能体的数据访问行为进行约束,并结合日志记录与审计机制,实现数据使用过程的可追溯性。通过将法律上关于安全保障义务的原则性要求转化为具体的技术控制措施,企业可以在源头上降低数据安全风险。

 
(二)构建企业数据合规管理体系

在数据合规管理层面,由单一数据合规,转向涵盖数据、算法与智能体行为的综合治理框架,因此,企业需要构建覆盖数据处理全生命周期的制度体系。具体而言,应在合法性基础、风险评估与持续监督三个层面形成闭环。对于涉及个人信息或重要数据的处理活动,应明确其法律依据,并确保数据处理目的、范围与方式符合最小必要原则。在智能体参与的数据处理场景中,由于处理行为具有动态性与不确定性,企业更有必要通过个人信息保护影响评估等机制,对潜在风险进行事前识别与控制。同时,应建立常态化的合规审计与监测机制,对数据处理活动进行持续跟踪,并在发现异常时及时采取纠正措施。此外,在多主体参与的数据生态中,企业还须强化对第三方的管理,通过合同约定、尽职调查与持续监督等方式,将合规要求延伸至数据处理链条的各个环节,从而降低供应链风险。

 
(三)防范开源智能体的风险

针对开源智能体所带来的新型风险,企业有必要在传统数据合规体系之上,引入更加精细化的治理机制。与一般数据处理工具不同,智能体具备一定程度的自主性与持续运行能力,因此可以将其视为独立的风险单元进行管理。具体而言,应围绕智能体的权限配置、行为边界及数据访问路径,建立专门的管理规则,并通过技术手段对其运行过程进行实时监测与控制。例如,通过强化行为日志记录与异常检测机制,可以在智能体出现异常操作时及时识别并干预,从而防止风险进一步扩大。同时,结合政策中提出的风险预警与应急响应要求,企业应建立动态风险管理体系,对潜在风险进行持续评估与快速处置。

更为关键的是,企业应推动“合规内生化”的实现,即将合规要求嵌入系统设计与业务流程之中,而非仅依赖事后监管。在技术层面,可以通过访问控制、数据加密与自动化审计等手段,使合规规则成为系统运行的内在约束;在制度层面,则应通过内部规范与培训机制,提升组织整体的合规意识与执行能力。通过制度与技术的协同,企业可以逐步形成“可预防、可监测、可追溯”的合规体系,从而在复杂的数智化环境中实现稳定运行。

总体而言,数智化时代的企业数据合规,不再是单一法律问题,而是融合技术、管理与制度的综合治理问题。只有在充分理解技术演进逻辑的基础上,将法律规范转化为可执行的治理机制,企业才能在释放数据要素价值与推动人工智能应用的同时,有效控制合规风险,在创新与规范之间实现动态平衡,实现可持续发展。

 

特别声明:

大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。

 

 

 

本文作者

 
 

 

大成能为您做什么?

联系我们 +