事件：3月22日，国家互联网信息办公室公布《促进和规范数据跨境流动规定》(以下简称《规定》)，自公布之日起施行。
　　《规定》带来哪些边际变化？《规定》以促发展为总基调，为数据跨境流通提供了更多便利，与《规范和促进数据跨境流动规定（征求意见稿）》相比，具体变化有：1）扩大个人信息数据出境评估豁免场景。新增“跨境寄递”、“跨境支付”和“跨境开户”3个豁免场景，个人信息免予申报的标准从“不满1万人”提高到“不满10万人”；2）明确对CIIO的监管。强调不论个人信息规模，关键信息基础设施运营者均需申报数据出境安全评估；3）数据安全评估有效期限由2年延长至“3+3”年。
　　AIGC背景下，为什么要强调数据安全隐患管控？以ChatGPT为代表的AIGC技术高速发展，为各行各业提供了内容生产颠覆式创新的可能。然而，新技术也带来了新的风险，包括：1）AIGC内容风险；2）数据安全风险；3）伦理与法律挑战。
　　如何平衡AI发展与数据安全？政策端，我国数据安全政策陆续完善，在《网络安全法》、《数据安全法》和《个人信息保护法》三部基本法律下，目前已形成了覆盖数据收集、存储、使用、加工、传输、提供、公开等多个环节的全方位法律监管体系。截止2024年2月22日，已有共计21个省份的省级数据管理部门已顺利完成揭牌，预计2022-2025年，我国数据要素市场规模将以25%的CAGR稳步增长。产业端，企业对于AI自律管理的关注日益增加，越来越多的企业开始呼吁建立统一监管并承诺管理AI风险，前沿模型论坛、中国网络空间安全协会人工智能安全治理专业委员会等监管组织已建立，众多企业也已通过AIGC内容标识等技术手段来积极抵御AI风险，此外，网络安全厂商也积极研发AI安全整体应对方案。“AI+安全”逐渐进入良性循环。
　　投资建议：监管侧，数据安全监管呈现高效监管趋势，在保障个人信息安全和国家安全的基础上，致力于为相关产业活动提供便利，企业数据跨境等合规成本逐渐优化。产业侧，厂商对数据安全重视程度提高，头部企业在合法合规的基础上，积极探索完善数据安全防御机制，主动推进行业自律建设。我们认为，政策监管形势明朗，行业自律建设取得一定成效的情况下，AI相关产业数据安全风险逐渐可控，合规成本逐渐降低，有利于行业长期健康稳定发展。建议关注AI大模型头部企业，以及AI应用进展迅速且具备较成熟场景的影视、教育、营销等行业公司。
　　风险提示：政策落地不及预期；地缘政治不确定性；AI技术发展及应用不及预期；舆情风险等。