想成為下一個 Manus，先把這些出海合規問題處理好

Meta 收購 Manus 無疑是本月最重磅的行業新聞。不到一年時間，產品上線、拿到美元投資、團隊主體搬到新加坡、一億美元 ARR，然后就是被 Meta 收購，Manus 發展速度驚人。

這其中，搬到新加坡是比較關鍵的一步。不管是從數據合規、法律合規上來說，還是為了更好融入國際市場。

Manus 的創業路徑，也給國內很多其他 AI 出海公司一個可參考的對標。對國內的 AI 創業公司來說，如果能利用本土的產品化能力，加上供應鏈的優勢，去降維打擊全球市場，是 AI 時代的一個絕佳策略。

這其中，數據、監管、存儲、主體架構等，是產品增長之外，絕對要前置、重點解決的問題。

因此，在最近的一場閉門 Workshop 中，我們邀請了北京星也律師事務所的兩位資深律師，系統性地聊聊 AI 企業出海合規的話題。星也律所的團隊在 AI 領域有著非常豐富的實踐經驗，服務過多家 AI 企業。

這次的分享內容非常干貨，兩位侓師解答了包括跨境數據傳輸、用戶數據訓練、業務模式、生成物侵權等方面的典型合規難題。

在進行一些脫敏處理后，Founder Park 整理了這次分享的精華內容。

??關注 Founder Park，最及時最干貨的創業分享

超 17000 人的「AI 產品市集」社群！不錯過每一款有價值的 AI 應用。

邀請從業者、開發人員和創業者，飛書掃碼加群：

進群后，你有機會得到：

• 最新、最值得關注的 AI 新品資訊；
  

• 不定期贈送熱門新品的邀請碼、會員碼；
  

• 最精準的AI產品曝光渠道

01「三明治架構」風險很大

AI 產品出海已經不是「要不要做」的選擇題，而是「該怎么做」的必答題了。對中國的 AI 創業團隊來說，如果能利用本土的產品化能力，加上供應鏈的優勢，去降維打擊全球市場，絕對是 AI 時代的一個絕佳策略。

在實踐中，團隊首先需要明確自身的出海類型。根據我們的觀察，現在主要有兩種模式。

一種是，資本驅動型出海。這類出海的核心目標是追求高估值和海外上市。硅谷等海外資本市場對 AI 概念的認可度更高，給出的估值也相應更高。但往往要求團隊在早期就必須解決業務和團隊的歸屬地問題，地緣政治是無法回避的因素。

第二種是，業務驅動型出海。這是更普遍的模式，核心目標是在海外市場獲得營收。具體又分為兩類：

• 風險規避型：國內監管門檻高，在內容審核、數據監管或特定業務（如 Web3）上存在嚴格限制，部分業務只能選擇在政策更寬松的海外地區開展。

• 市場適配型：通常是陪伴類、生成類等 AI 產品，海外市場和用戶更成熟，付費意愿更強，更適合業務落地。

對于業務驅動的出海企業，需要特別注意提前布局、主動規劃合規問題。很多企業發展速度非常的快，短短幾個月用戶就能漲到幾萬用戶，甚至還沒完成下一輪融資，用戶規模就已經爆發。如果在這時才考慮數據架構遷移或者團隊海外落地，不僅成本極高，風險也更大。所以，合規布局必須比業務推進早半步。

目前，企業常見的是「三明治架構」。

這種架構的特點是，資金（來源包括融資、用戶付費）和用戶數據產生在海外，但核心的技術研發與運營團隊完全留在中國。這種模式常常導致，海外用戶數據會被傳回國內進行研發、處理等環節。

同時，許多應用會調用 OpenAI、谷歌、Claude 等海外大廠的模型 API，使得數據流轉路徑更為復雜：海外用戶數據先傳回中國處理，隨后再傳輸至美國等服務器進行模型推理，最后將結果返回給用戶。

從數據安全和合規角度來看，「三明治」架構面臨著數據主權和國家安全的雙重挑戰，完全忽視了全球各國對「數據主權」的高度重視。

「數據是新的石油」，幾乎所有國家在數據立法時，第一步都會明確：在本國產生的數據，其主權歸本國所有。在這種背景下，數據的反復跨境傳輸，必然會帶來巨大的合規風險。

02中國、美國和歐盟，

監管邏輯有什么不同？

在企業出海時，通常最關注國內、美國、歐盟這三個區域的合規問題。這三個法域的監管邏輯和側重點各有不同。

美國：市場準入風險

美國監管的特點是，一旦找到一個小的違規切口，就可能「順藤摸瓜」，引發一系列罰款和長期整改要求。核心風險在訴訟，執法機構一旦發現違規，往往會通過訴訟發起處罰，后果可能遠超罰款本身。

以兒童機器人產品 Apitor 為例，因為違反美國《兒童在線隱私保護法》（COPPA）被處罰。違規點集中在多個敏感環節：通過內嵌的 SDK 強制收集兒童的精確地理位置等敏感信息，并將數據回傳至中國服務器，同時隱私政策聲明與實際操作完全不符。

最終，Apitor 面臨的不僅是 50 萬美元的和解金，還有一份長達十年的強制整改令，要求企業銷毀違規數據、引入第三方審計并定期向監管機構提交合規報告。這種長期且成本高昂的整改要求，幾乎宣告了產品在北美市場的「死刑」。

歐盟：以GDPR為核心的嚴格數據保護

歐盟的合規核心是《通用數據保護條例》（GDPR），是全球第一部完整、成體系的數據保護法案，歐盟以極其嚴格的標準執行。

GDPR 的核心原則很明確：數據屬于用戶個人，企業獲取數據必須獲得用戶明確、具體的同意。

GDPR 有五大「狠招」：第一是天價罰款，幾乎所有的大企業在歐盟都被罰了個遍；第二是被遺忘權，對 AI 企業來說非常棘手。對于傳統數據企業，刪除用戶個人數據就行，但如果數據已用于 AI 訓練或功能完善，刪除的邊界在哪里？第三是數據采集的最小必要原則，這也是 GDPR 首次明確規范的；第四是知情同意的明確性要求，企業必須用通俗易懂的語言，向用戶說明數據的使用對象、用途、存儲期限等內容；第五是嚴格的跨境數據傳輸要求。

以一個消費級攝像頭產品為例。該產品曾被德國與法國的數據保護機構調查，原因是：盡管其用戶數據存儲在歐洲本地的數據中心，但國內的工程師可通過 VPN 直接訪問。這種行為被歐盟監管機構認定為等效的數據跨境傳輸。

從這個案例可以看出，歐盟監管不僅關注數據存儲的物理位置，更關注數據的訪問權限管控。對于研發團隊在國內、僅在海外設立銷售點的大多數出海企業，產品維護工作往往由國內團隊完成，甚至存在生產環境與測試環境混用的情況。國內工程師對海外生產環境數據的任何遠程訪問，都可能被視為數據跨境行為，引發監管風險。遠程數據處理行為，是合規監管的重點。

中國：數據出境評估與 AI 服務備案

在國內，《網絡安全法》、《數據安全法》和《個人信息保護法》構成了數據合規的基礎框架。對于出海業務，核心在于數據出境的合規性。

同時，國內對 AI 服務有明確的備案要求。無論是算法本身，還是包含 AI 功能的應用上架，都必須完成算法備案。對于具有輿論屬性或內容生成能力的應用，還需進行生成式 AI 服務的上線備案與安全評估，即「雙備案」，這是在國內開展業務必須完成的合規環節。

03一個基礎的全球數據存儲布局，

至少要覆蓋四個節點

通過分析完以上不同地區的監管要求，我們會發現一個共性點：多數軟件產品涉及的敏感數據都被要求本地存儲。

這其中，有六類數據需要特別關注：金融類、醫療健康類、汽車與交通數據（尤其在中國，涉及人臉、環境的視覺數據監管極為嚴格）、生物識別數據、精確的地理位置與行動軌跡信息，以及包括關鍵基礎設施和政務信息在內的傳統重要數據。只要產品涉及這些領域，數據的本地化存儲幾乎是所有國家的強制要求。

除了這六類數據，對于一般的用戶數據，可以根據目標市場的不同來制定更靈活的全球存儲策略。

在美國市場，美國本土的數據存儲基礎設施完善，有大量供應商可供選擇，所以只要涉及美國市場，哪怕用戶只有幾百人、幾千人，建議都要第一時間將數據存儲在美國本土，即使只有幾千條用戶數據也可能觸發監管處罰。同時，這樣做的一個好處是，一個美國節點通常可以合規地覆蓋包括加拿大、墨西哥在內的整個北美乃至大部分中南美洲市場，巴西和阿根廷等少數例外。

歐洲的情況相對簡單。由于歐盟法規的一致性，大部分企業通常會選擇在法蘭克福等基礎設施完善的城市設立單一數據節點，可以覆蓋整個歐盟市場，這個策略也基本適用于脫歐后的英國。

對于亞洲及中東市場，東南亞的通用解決方案是在新加坡存儲，因為新加坡在全球范圍內屬于數據中立程度較高的國家，但有幾個例外：如果印度是核心市場，需要在當地進行數據存儲；中東大部分國家可由歐洲節點覆蓋，但沙特已立法要求數據本地化；日韓市場，通常要求數據分別在各自境內存儲。

綜合成本、合規因素來看，一個基礎的全球數據存儲布局至少需要覆蓋四個節點：美國、歐盟、新加坡，以及服務國內用戶的中國節點。如果業務重點涉及日韓等市場，就需要單獨再增加存儲節點。

04輸入端：哪些數據能拿來訓練，哪些不能？

接下來，是訓練數據的合規問題。全球范圍內高質量的訓練數據都很稀缺，對初創 AI 企業來說，數據來源通常限于：網絡爬取、自有用戶數據以及開源數據集，不同來源數據的風險也各有不同。

首先是網絡公開數據的爬取。這里一個典型的侵權案例就是紐約時報起訴 OpenAI。《紐約時報》認為 OpenAI 在訓練 GPT 時，爬取了他們的上百萬篇文章，侵犯了著作權。另一個案例是 Clearview AI，因為爬取多家社交媒體的上百億張人臉照片，在歐美多地因侵犯個人信息權和隱私權遭到封禁。

從這兩個案例可以得出一個關鍵結論的結論：公開數據不等于可以隨意使用，數據的具體內容決定了風險屬性。公開爬取行為涉及到了兩個層面的權利：一是平臺通過技術和勞動投入形成的受法律保護的數據資產權益；二是數據內容本身所承載的權利，如著作權或個人信息權。

這并不意味著公開爬取的數據完全不能用。只要不觸碰人臉、聲音等敏感個人信息的紅線，且爬取行為不對目標服務器造成沖擊，或開發出與對方存在實質性競爭關系的產品，引發的直接沖突的風險就相對可控。

核心合規建議是，遵守目標網站的 robots 協議，控制爬取頻率，同時建立清晰的數據來源清單，記錄網址、時間與方式，從而將風險控制在可接受范圍內。

其次是，自有用戶數據的使用。這部分數據對企業來說是相當大的誘惑，因為團隊會天然認為對自己服務器上的數據擁有所有權。以 Meta 為例，Meta 此前計劃利用其平臺用戶數據進行模型訓練，后被歐盟監管機構叫停。監管方給出的核心觀點是：平臺對所收集的用戶數據并不享有當然的合法使用權，如果要是用于訓練，必須獲得用戶的明確同意。

這個邏輯其實很簡單，數據保護遵循「生命周期管理」原則，即數據的收集與使用是兩個獨立環節，需要分別進行合規處理。因此，解決方案的核心是更新隱私政策與用戶協議，明確告知用戶哪些數據將被用于模型訓練等用途。在此基礎上，歐美法規還要求必須為用戶提供清晰的退出選項（Opt-out）。

近期 LinkedIn 宣布使用用戶數據訓練模型，采用的正是這種「明確授權 + 退出機制」的合規路徑，即告知用戶有權選擇退出，如果在規定期限內未操作，視為默認同意。

第三種來源是開源數據集，我們稱為「盲盒」。以 Stable Diffusion 模型使用知名開源數據集 LAION 為例，LAION 數據集包含超過 58 億張圖片，但后續被曝出其中含有大量未經授權的版權作品，甚至涉及未成年人的非法內容，最后被迫下架清洗。這個案例說明，開源不等于無瑕疵。

企業在使用前，必須進行兩項基礎的風險防范：一是仔細審查數據集的授權協議（License），明確數據是不是可用于商用，以及有沒有其他特殊限制；二是如果使用了當前存在爭議的開源數據，建議做隔離處理，確保訓練的功能和生成的內容與其他部分區隔，來降低潛在風險對整個產品的影響。

除了以上三種數據來源外，還必須高度警惕兩類特殊數據：生物識別數據和未成年人數據。無論數據來自哪里，只要涉及到人臉、聲音等生物識別信息，或與未成年人相關，都必須高度警惕。除非產品功能本身必須依賴這類數據，這種情況下需要通過更直接、更精準的方式獲取授權。否則，需要對這類數據進行匿名化或去標識化處理。

同時，這套評估數據來源、權利歸屬和用戶授權的邏輯，同樣適用于評估外購的第三方數據。

05輸出端：AI 生成的內容歸誰？

侵權風險如何避免？

在輸出端，AI 生成內容合規主要圍繞三個核心維度依次展開：生成內容的權利歸屬、生成內容是否侵犯第三方權利，以及生成內容的標識規范。

首先是生成內容的版權歸屬問題。目前全球主流的法律共識基本都是否定的，AI 本身無法成為作者。無論是美國版權局在《黎明的扎利亞》案中的裁定，還是中國與歐洲的司法觀點，都明確指出了著作權是為人類設計的權利。因此，AI 企業不能因為內容由模型生成，就理所當然地成為版權所有者。

但一個突破性的可能是，如果最終促使 AI 生成內容的用戶，付出了足夠多的智力投入，比如使用了非常具體的提示詞、詳細描述了需求，或者對 AI 生成的內容做了大量細致調整，這種「用戶的智力汗水」可能會得到法律認可。在《黎明的扎利亞》案中，美國版權局認為，用戶對最終作品的特殊編排部分可以享有著作權。不過，如何界定和保護這部分用戶貢獻，還需要在實踐中進一步明確和探索。

由此得出的一個結論是，目前，想直接依據著作權法將 AI 生成內容的版權歸于企業，難度極大。可行的替代方案是通過用戶協議進行約定。在條款中明確與使用者（無論是 C 端個人還是 B 端企業）約定 AI 生成內容的權利歸屬與使用方式，用私人協議的約定，來替代目前法律還沒有明確的版權歸屬問題。這是關于生成內容權利歸屬的核心思路。

AI 生成的內容，是否可能侵犯第三方權利，是當前更現實的法律風險。一旦發生侵權，責任由誰承擔？以 AI 公司的大模型產品生成與其經典 IP 形象高度相似圖像的案例來說。這類訴訟通常會圍繞兩條侵權路徑展開：第一，原告主張 AI 公司的訓練數據包含了其受版權保護的作品，構成直接侵權；第二，原告指控 AI 公司在宣傳中以「生成迪士尼形象」為賣點，誘導和助長了用戶的侵權行為，應承擔間接侵權責任。

目前這類案件還沒有有最終判決結果，但這基本代表了 AI 生成內容侵權糾紛的核心爭議方向。判定 AI 生成內容侵權判定的核心標準，是「實質性相似」，即生成結果與原作品相比，能不能讓普通第三方認為兩者足夠相似。

同時，需要明確的是，AI 企業不會因為 AI 生成了侵權內容就必然承擔責任，關鍵在于企業有沒有盡到了相應的管理義務，能否適用「避風港原則」免責。國內外的監管思路在這方面基本一致，平臺需要盡最大努力防范侵權。具體措施包括，設置侵權舉報渠道、避免通過編輯或推薦等方式誘導用戶生成侵權內容等。

對于許多初創企業來說，在難以回溯調整訓練數據和核心功能時，更要做好那些可被清晰感知的合規措施，即所謂的「表面功夫」。例如，建立關鍵詞屏蔽機制、完善侵權內容的下架流程，并在用戶協議中明確免責條款。這些可核查、能被監管和用戶清晰看到的合規措施，往往是企業免于承擔侵權責任的重要保障。

最后一點，關于 AI 生成內容的標識與水印問題。

與版權問題不同，標識要求更多屬于行政監管義務，不直接對應某個原始權利，但因為沒有標識 AI 身份可能引發虛假信息傳播、公眾誤導等輿論風險，是目前各國監管的重重點方向。

全球幾乎在同一時期都開始要求對 AI 生成內容進行明確區分，具體分為兩個層面：一是「顯性標識」，比如在界面標注「由 AI 生成」；二是「隱性水印」，即將標識信息嵌入元數據中供機器識別。這是企業必須遵守的底線性合規要求。

06主體架構優化，

新加坡可能是現階段更優的選擇

Q：公司和創始人在美國，技術團隊在中國，產品面向美國 ToC 用戶，數據合規需要注意什么？

星也：這是一個非常典型的場景，藏著兩個核心風險點：第一，面向美國的 ToC 產品，必然會涉及大量用戶信息，不管是登錄、支付等個人信息，還是用戶的使用行為數據；第二，技術團隊在國內，意味著產品的更新、調試等運維工作都要在國內完成。這就直接導致了數據存儲與操作主體地理位置的不一致，很容易觸發合規風險。

針對這種情況，最基礎的操作有兩點，也是必須要做的：第一，用戶數據必須存儲在美國本地，并做嚴格的環境隔離，也就是將生產環境與測試環境徹底分開，尤其是要為生產數據建立沙箱保護，確保國內團隊可訪問的數據與核心的用戶生產數據完全隔離開。第二，國內團隊如果需要遠程訪問美國的服務器，必須做好完整的日志記錄，詳細記載訪問時間、訪問內容、具體操作等行為。這樣即便未來面臨美國監管機構的調查，企業也能拿出證據證明雖然存在遠程訪問，但并沒有接觸到任何用戶數據。

如果團隊發展到一定階段，建議進一步優化，比如可以從技術團隊中拆分出部分人員，派駐到新加坡或歐洲等地區開展運維工作，這樣安全性會更高。

Q：中國公司+海外用戶=是否必然觸發跨境數據傳輸。需要海外子公司、本地數據中心以及本地數據處理嗎？

星也：設立海外子公司首先要從成本角度考量，因為它意味著需要滿足當地公司法下的一整套合規要求，并且通常需要搭建一個如開曼或 BVI 的頂層控股架構。這里想特別提醒一點，很多團隊試圖通過在香港設立主體來弱化「中國屬性」，但從實踐來看，無論在歐洲還是美國，監管和市場普遍將香港與中國內地緊密綁定，這種架構很難起到預期的效果。如果想通過主體架構進行優化，新加坡可能是現階段成本與效果更優的選擇。

再結合數據中心與數據處理來看，像俄羅斯這類國家有強制本地化的要求，而對于歐美等核心敏感市場，監管機構也會對此進行嚴格審查。對于其他非敏感地區，企業在早期若想以最小成本實現全球覆蓋，建議優先布局中國、美國、歐盟、新加坡這四個核心節點。

Q：用戶量達到多少才需要做數據本地化存儲？

星也：這個問題沒有明確的數量標準。坦白說，核心取決于你對目標市場的重視程度。在美歐這類監管嚴格的市場，只要你開始主動進行市場推廣、投放廣告或有其他明確的市場開拓行為，就應該同步規劃并推進數據的本地化存儲，而不是等到用戶量達到 1000 或者 1 萬才啟動。如果等到積累了大量用戶才開始合規，那么在此之前產生的所有數據都會成為既定的違規事實。但這里要注意不同地區的邏輯差異：中國法規可能會有基于數據量或用戶量的標準，但在美國，合規更多地是基于企業對長期市場的布局和考量，不是一個固定的數字門檻。

07用戶行為數據處理的合規風險在哪里？

Q：對于調用基礎模型生成內容的應用層產品，怎么規避侵權責任？

星也：這里必須明確，應用層和基礎模型層是兩個獨立的法律主體。

很多時候用戶的指令先輸入應用層，再由應用層傳遞給基礎模型。合規的關鍵可以從輸入端進行風險控制。比如，在用戶輸入指令的環節，應用層可以先設置一層資產合規審查機制，通過技術手段過濾掉那些明顯可能涉及侵權的需求。如果前端審查缺位，導致最終生成了侵權內容，那么應用層和基礎模型層都可能面臨侵權責任。但最終起訴誰的選擇權掌握在權利人（比如版權方）手中。由于基礎模型往往不直接暴露給用戶，所以權利人大概率會起訴作為直接面向用戶主體的應用層。在美國或中國的法律體系下，應用層幾乎必然會被認定為承擔責任，只是內部責任如何劃分的問題。

Q：我們的產品有信息聚合功能，整合了來自媒體平臺上的博主內容，是否合規？

星也：信息聚合工作的概念有一些模糊，我結合現有的法律框架嘗試解答下。首先是數據爬取的技術合規問題，這種整合行為很可能涉及爬蟲技術，核心要先判斷是否違反了被爬取平臺的 robots 協議，或是否觸發了其反爬措施，一旦存在這種情況，就很容易與媒體平臺本身產生沖突。

其次是內容的著作權問題，需要區分內容形式：長博文可能構成受著作權保護的文章，而圖片本身必然涉及相關權利，關鍵要看博主有沒有明確允許這些內容在其他平臺呈現或轉載，未經許可的整合轉載可能構成侵權。

另外，整合規模也很關鍵，如果是大范圍整合，把原本分散在不同博主賬號下的內容集中起來，可能會使聚合平臺具備與原平臺相同或類似的功能，形成直接競爭關系，這種行為存在被認定為不正當競爭的風險。

Q：ToC 社交/游戲類產品，怎么規避「用戶行為數據用于訓練」的合規風險？

星也：核心在于把握以下三個關鍵點：首先，用戶協議和隱私政策中必須明確約定數據的使用范圍，清晰地告知用戶哪些具體的數據會被用于模型訓練；其次，社交類數據等可能涉及隱私或敏感個人信息的內容，必須做好匿名化和去標識化處理，對于生物識別信息、兒童數據等高度敏感內容，最穩妥的做法是直接剔除；最后，也是至關重要的一點，要賦予用戶退出數據訓練的權利。需要在產品功能層面落地，提供一個明確、便捷的選項，并且不能把這個選項藏得太深，確保用戶可以輕松完成退出操作。

Q：抓取海外公開數據用于「內部研發」和「產品化商用」，合規要求上有什么不同？

星也：內部研發的風險遠小于產品化商用。從理論上來說，內部研發在某些情況下甚至可能落入科研活動的豁免范疇，但一旦進入產品化商用階段，情況就完全不同了。因為商用行為會產生實際經濟收益，還可能實質性地剝奪原數據平臺的市場空間。

在 AI 領域，產品化商用的表現形式可能不一樣，不是把數據原封不動拿來用，比如我們接觸過的一個案例，抓取海外考試的公開題庫，通過學習生成新題目并做成模擬考試功能，這種行為看似生成了新內容，但最終與原題庫的權利方形成了直接競爭關系，還可能涉及著作權等一系列問題。在界定產品化商用的侵權風險時，生成物和原數據的關聯度會被重點關注，關聯度越高，越容易被認定為存在主觀故意的行為。

我們在審查這類行為時，會重點關注生成物和原數據的關聯度，以及源網站的具體權利協議，是允許自由使用的 CC 協議，還是保留所有權利的用戶協議，會得出完全不同的合規結論。

Q：在 IP 侵權判定中，「相似度」的標準是什么？

星也：其實這是一個很主觀的問題，但核心標準不是簡單的「像不像」，而是生成內容是否落入了原 IP 的保護范圍。以奧特曼為例，侵權行為不一定非要生成一個與迪迦、賽羅等具體形象完全一致的角色。只要生成的內容包含了核心的、受保護的視覺元素，比如「身穿紅銀配色緊身衣、佩戴藍色護目鏡、胸口有燈」的巨人形象，那么即便生成的是一個「胖胖的奧特曼」，也極有可能落入形象侵權的范疇。侵權判斷的本質還是看是否調用了受保護的創作元素，不僅僅是外觀的復刻。

Q：AI 生成的音樂/音效與現有作品相似，有沒有實際的訴訟案例參考？

星也：音樂侵權的邏輯與圖像侵權一致，都屬于著作權侵權的范疇，核心是判斷「實質性相似」，但從實踐情況來看，音樂的判斷標準更主觀。

目前已經出現了幾個比較受關注的相關的案例。例如，美國音樂行業協會起訴大型 AI 機構，主張其生成內容在旋律上構成侵權。所有此類生成內容的侵權爭議，本質上都圍繞兩個層面展開。第一個層面是訓練數據侵權，即在訓練過程中使用受版權保護的作品是否構成侵權，涉及到復雜的「合理使用」或「轉換性使用」的辯論。第二個層面才是生成結果侵權，即輸出的內容與原作品是否構成相似。目前，原告方大多會提出復合型主張，將數據侵權、結果侵權和不正當競爭等訴求打包在一起進行訴訟。

Q：用戶上傳已有 IP 的聲音作為素材生成新內容，平臺怎么規避風險？

星也：這種情況風險極高，可能同時侵犯 IP 的人格權和著作權。規避風險的首要方式是優先爭取商業授權。如果無法獲得授權，就必須在用戶協議中要求用戶承諾其對上傳素材擁有合法權屬，并建立清晰便捷的投訴報警通道，在收到侵權通知后及時處理，適用「避風港規則」減輕責任。

同時，平臺在功能設計上要極為謹慎，盡量避免對這類生成內容進行推薦、分發或打榜，因為這些行為可能被認定為平臺主動參與了共同侵權。另外要注意，警惕利用知名 IP 聲音制造假新聞或損害當事人名譽的風險，即使技術難度大，也要嘗試在生成的聲音中加入標識，作為重要的合規證據。

Q：什么規模的公司會被處罰？如果沒做合規通常在哪個階段會被處罰？

星也：會不會被處罰，和公司規模沒有直接關系，關鍵在有沒有碰了明確的「紅線」。很多小公司甚至個人被處罰，都是因為從事了高風險行為，比如用爬蟲導致對方系統癱瘓，可能構成破壞計算機信息系統罪；或者收集個人信息后進行轉賣，同樣會涉及刑事責任。

合規很像一場持續的考試，日常的合規工作就是學習和復習的過程，沒到「考試」的時候，你不知道自己到底做的有多合規或者多不合規。

有幾個非常明顯的「考試節點」：第一個是產品上架時，無論是微信小程序還是 App Store，都會要求提供合規證明；第二個是融資過程中，投資方會對已上線產品的合規狀況進行嚴格盡職調查；第三個是日常的監管專項行動，各地的網信、信通等部門每年都會開展專項檢查。對于穩定運營期的公司來說，如果有法務或外部律師，一定要關注這些專項行動的動向，而且每年的監管重點也會有一定風向變化。

轉載原創文章請添加微信：founderparker