• 人工智能场景下，个人信息在收集、使用等环节会暴露哪些风险，又该如何有效防范？
• 企业开展人工智能场景中的个人信息保护合规审计，有哪些应对策略？
• 从企业发展视角看，个人信息保护合规能在哪些方面为企业创造价值，推动企业持续发展？

引言

在数据作为“新要素”的今天，人工智能应用中的个人信息保护风险如影随形。我国针对人工智能场景下的个人信息合规，已构建起多层次的规范体系。早在2021年，《网络安全标准实践指南—人工智能伦理安全风险防范指引》中就指出，人工智能加剧个人信息暴露风险，企业应重视对个人人身权、隐私权的保护。2023年，《生成式人工智能服务管理暂行办法》中进一步明确提供者对使用者输入信息和使用记录承担保护义务。2025年2月，《生成式人工智能个人信息保护技术要求》系列标准建立了系统的生成式人工智能个人信息保护评估体系。这些法规不仅彰显了我国对人工智能场景下个人信息合规的重视，也为企业指明了合规方向。本文将拆解人工智能场景下的合规审计路径，揭示合规如何转化为企业核心竞争力。

人工智能应用中的个人信息保护挑战

与普通场景相比，人工智能场景中数据收集易超量、存储隐患更大、算法处理不透明，各环节风险因技术特性显著升级。本文将聚焦其中三大核心风险，剖析人工智能场景下个人信息保护难题。

► 个人信息收集：过度收集风险

人工智能模型训练对海量数据的需求，致使企业在数据收集环节容易陷入“越多越好”的误区。部分大模型在提供基础服务时，为追求模型的精准度和泛化能力，要求用户授权访问大量与核心业务无关的个人信息。此外，人工智能输入输出内容也存在不可控性，一旦发生数据泄露，将造成严重的用户隐私侵害，企业也将面临监管部门的高额处罚和声誉危机。

► 个人信息使用：算法黑箱与不透明风险

人工智能算法复杂的决策过程如同“黑箱”，使得企业难以向用户清晰解释数据处理逻辑和决策依据。训练数据的偏差、数据标注错误等问题，都可能导致算法产生歧视性结果或不准确决策。在算法的持续迭代优化过程中，若未同步更新隐私政策和重新获取用户授权，也将触碰合规红线。

► 个人信息提供：合作链条中的第三方责任真空风险

企业使用第三方大模型或与数据服务商合作是人工智能应用的常见模式，但这也成为合规风险的高发地带。在个人信息共享过程中，数据的控制权和使用权发生转移，权责界定往往模糊不清。一旦发生个人信息泄露，即便企业未直接实施侵权行为，也可能因未尽到对第三方的审慎监督义务而承担连带责任。此外，若企业在与境外第三方大模型合作时，未准确把握各司法管辖区数据跨境规定，还将面临跨境合规风险。

企业人工智能场景中个人信息保护合规审计的安永[1]、[2]应对策略

► 构建全生命周期的人工智能管理体系

企业应建立覆盖人工智能从设计研发、部署应用到迭代优化全生命周期的管理体系。在设计研发阶段，明确个人信息需求边界，确保收集符合最小必要原则；部署应用时，严格把控人工智能系统的运行环境，保障系统安全稳定；迭代优化过程中，持续评估人工智能模型对个人信息的影响，及时调整策略，实现个人信息保护与人工智能应用的协同发展。

► 开展全面的风险评估和安全测试

为有效应对算法带来的合规风险，企业应开展全面的风险评估和安全测试。在风险评估方面，针对人工智能系统的不同模块和数据处理流程，识别潜在的个人信息保护风险点，包括数据标注风险、数据泄露风险、算法偏见风险、数据滥用风险等，形成风险评估报告。在安全测试环节，通过使用专业工具进行测试，验证系统是否存在安全漏洞，能否抵御外部攻击；同时，模拟各种数据处理场景，测试算法的准确性、公平性和透明度，验证算法在处理个人信息时是否符合相关法规要求。

► 强化第三方合作的合规管理

在与第三方合作时，企业应实现从合作起始到结束的全链条管控。合作前，对第三方的数据安全能力和合规水平进行全面尽职调查；合作中，通过详细的数据处理协议明确双方权责，要求第三方定期提交合规报告，并对其数据处理活动进行抽查；合作结束后，监督数据的删除或销毁，确保数据安全无遗留风险。

► 部署动态合规监控与第三方审计

部署自动化合规监控工具（如数据流向追踪系统、算法偏差检测平台），实时预警异常行为（如超范围数据访问）。对于超过100万个人信息的处理者，应当每两年至少开展一次个人信息保护合规审计，覆盖数据生命周期全流程，并生成报告，保持企业在个人信息保护方面的高合规水平。

科技转型下的个人信息保护合规价值

► 赢得用户信任，提升品牌竞争力

在人工智能广泛应用的当下，用户对自身信息安全极为敏感。企业遵循严格的个人信息保护合规要求，清晰明示人工智能如何收集、使用和存储个人信息，能让用户直观感受到自身权益得到保障。这种对用户隐私的尊重，能让企业建立起可靠的品牌形象，进而转化为在人工智能领域持续发展的核心竞争力。

► 降低运营风险，释放数据价值

人工智能高度依赖数据驱动，若数据管理不合规，企业面临的风险将急剧增长。通过合规审计，企业能精准识别并及时修复人工智能应用中的漏洞。同时，合规的数据管理体系能为人工智能模型训练提供高质量、可信的数据，助力企业充分挖掘数据价值，让数据成为推动企业人工智能业务发展的强大动力。

► 响应国家战略，获取政策红利

在各国推动数据主权（如中国“数据要素市场化”）背景下，合规企业可优先参与政府项目或试点。例如，《关于构建更加完善的要素市场化配置体制机制的意见》提出了要加快培育数据要素市场，强化高质量数据要素供给，促进数据要素市场的健康发展。《数据安全法》则为数据活动提供了法律框架，旨在保障数据安全，保护个人、组织的合法权益，维护国家主权和发展利益。根据政策和法规，合规的企业，特别是那些在数据安全管理、隐私保护和技术能力方面表现出色的企业，更有可能获得政府的信任，从而参与到政府主导的数据相关项目中。包括但不限于智慧城市、电子政务、公共数据开放平台等领域。反之，违规企业可能被列入“不可靠实体清单”，失去市场准入资格。合规人工智能业务将推动企业赢在起跑线上。

► 突破跨境壁垒，开拓全球市场

在全球化和人工智能技术跨境应用的趋势下，不同国家和地区对人工智能场景下个人信息保护有着严格且各异的法规要求。企业建立符合国际标准的个人信息保护合规体系，能有效打破跨境数据流动障碍，帮助企业在人工智能业务全球化拓展中，顺利适应不同地区监管环境，实现全球业务版图的扩张。

结语

人工智能的发展为企业带来无限可能，但合规始终是技术创新的底线。安永[1]、[2]凭借的深厚积淀，深度洞察人工智能场景下个人信息合规的独特价值，助力企业在人工智能应用中筑牢用户信任基石，以透明、安全的数据处理方式，提升品牌在智能时代的竞争力。未来，安永[1]、[2]愿与企业并肩，深度探索人工智能场景下个人信息合规之道，让合规成为驱动商业价值攀升、社会福祉增进的强劲引擎，实现技术创新与责任担当的同频共振。

注：

[1].安永华明会计师事务所（特殊普通合伙）

[2].安永（中国）企业咨询有限公司

本文是为提供一般信息的用途所撰写，并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。