核心观点 - 中国商务部正式回应，将依据相关法律法规对Meta收购Manus案开展一致性评估调查，该案因涉及数据跨境流动、技术出口等合规问题而备受关注 [1] 收购案背景与官方基调 - Manus是由中国创业公司Monica研发的全球首款通用AI智能体，于2025年3月发布，同年12月宣布将被Meta收购，公司总部已迁至新加坡 [2] - 商务部发言人表示，中国政府支持企业依法开展跨国经营与合作，同时明确企业在对外投资、技术出口、数据出境等活动中必须符合中国法律并履行法定程序 [3] - 商务部采用“评估调查”而非“正式调查”的表述，体现审慎立场，该调查不以违法事实成立为前提，反映了在支持跨境合作的同时，保留对涉及数据、技术转移的交易进行审查的立场 [8] 数据出境合规风险与审查焦点 - 根据中国法律，向境外提供重要数据，或处理超过100万人个人信息的处理者向境外提供个人信息，必须申报数据出境安全评估 [4] - 专家指出，尽管Manus定位国际产品，但在产品测试、中文服务或模型训练中，很可能处理过中国境内个人信息，公司主体迁移或股权调整不能切断中国法律的适用 [4] - 判断历史数据是否完成合规切割需关注三点：境内用户数据是否留存及存储系统是否改变、数据是否被彻底隔离不再用于模型训练或产品优化、境外主体是否能直接或间接访问或再利用相关数据 [5] - 若历史中文服务数据未完成删除、匿名化，或仍被用于模型持续训练，则可能受到中国数据出境合规监管规则的约束 [5] - 收购导致数据接收方变为Meta，可能构成新的数据出境场景，需要重新履行安全评估，核心难点在于模型训练数据经过多轮处理后，是否仍属法律意义上的“个人信息”存在不确定性 [6] - 控制权与使用目的的变化本身可能构成新的数据出境风险点，需重新判断是否依法重新履行合规程序，并重点关注是否使用“重要数据”或“敏感个人信息” [6][7] - 当前监管审慎，《人工智能拟人化互动服务管理暂行办法（征求意见稿）》规定，除法律另有规定或取得用户单独同意外，不得将用户交互数据与敏感个人信息用于模型训练 [7] 技术出口合规风险 - 核心问题包括Manus的核心技术是否属于《中国禁止出口限制出口技术目录》的规制范围，其创始团队与核心技术能力迁至新加坡并转向Meta的过程，是否已构成或需申报为“技术出口” [8] - 技术源头与实质流动路径日益成为比交易架构更关键的监管关注点 [8] 对AI行业与企业的启示 - 此案凸显AI跨境并购中数据出境、技术出口与投资审查三大合规维度的复杂性与前沿性 [9] - 专家建议，中国AI企业应将出海合规置于战略核心，主动评估并履行可能的技术出口申报程序 [8] - 在数据架构设计上，企业应提前明确数据出境安全评估、标准合同备案或保护认证的具体路径，推行数据本地化存储与有限出境机制，并可探索利用自贸区“负面清单”模式下的合规便捷路径 [8] - 此案对计划拓展国际业务的AI企业具有标志性启示，必须将出海合规准备工作做得更加充分，尤其是初创企业 [9] - 政府部门也需进一步提高审查效率、优化程序，以平衡安全监管与产业国际化发展的需求 [9]

出海前的战略规划与准备 - 出海前需进行法律国别调查，评估目的国的政治稳定性、法治成熟度及立法执法监管期的稳定性，以预设法律风险并做好合规设计[7] - 企业需根据自身战略选择出海模式：绿地投资（从零新建企业，控制力强但周期长）、收购并购（快速融入市场但后续风险大）或单纯产品出海，并考虑股权架构以优化税收和提高运营效率[8] - 启动出海项目前须完成境内审批手续，包括向发改委申报项目可行性及在商务部门备案，确保符合国内法律政策要求[8] - 当地合规运营需关注外商投资准入（如行业禁止/限制清单、持股比例）、税务登记及劳动用工法律，并需考虑州/地方层面的监管差异[9] - 在当地雇佣员工需明确是否需要设立当地实体，以及外派员工与本地员工的雇佣配比要求，核心是投资需为当地就业市场带来实质效益[11] 境内合规的关键步骤 - 境内合规需评估东道国外商投资准入审查标准及AI等敏感行业的特定监管框架，并关注税收优惠政策及其稳定性[12] - 发改委对境外投资实行核准制（涉敏感国家地区或敏感行业如军工、电信）或备案制（其他项目），并设有明确的资金门槛划分审批层级[13] - "37号文登记"是中国自然人持股境外非上市公司的主要合规渠道，需在向特殊目的公司（SPV）出资前办理外汇登记，现行审核权限已下放至银行[13] - 技术出口受《技术进出口管理条例》和《出口管制法》监管，禁止或限制出口的技术目录（2023年12月修订）包含多项AI技术，出口需经省级商务部门审查及商务部备案[14][15] 主要出海目的国的监管特点 - 美国AI监管分联邦与州层面：联邦层面有《人工智能权利法案蓝图》五项核心原则及FTC执法框架；州层面如科罗拉多州2024年AI监管法案（禁社会信用评分）和加州2020年人脸识别技术法案[16] - 欧盟《人工智能法案》将AI系统分四类风险（不可接受、高风险、有限风险、最低风险），禁用四类系统（如社会信用评分），违规罚款最高达全球年营收6%，并强调数据可操作性及GDPR权利[17] - 东南亚监管各异：新加坡实行"沙盒监管"、泰国监控数据跨境传输、马来西亚保障用户知情权、越南注重数据安全与主权控制[18] 知识产权与数据合规的核心挑战 - AI企业知识产权涉及代码、音视频和图片：代码需审查开源协议（如GPL协议避免混同导致项目开源），音视频训练素材需审查授权协议链路[23] - 平台集成生成工具后可能丧失"避风港原则"保护，因算法推荐等主动干预行为被监管视为参与者，面临更严格责任[24] - AI出海数据考量包括数据来源监察（如是否开源、付费）、模型与应用需按目的国监管做切分隔离，以及GDPR合规体系搭建[24][25] - GDPR合规重点包括用户当事人权利（DSR）、告知同意原则、系统设计（默认隐私保护、DPIA评估）、供应商安全管理及跨境传输合法性（如SCCs、BCRs）[27][28][29] 海外实体设立与运营考量 - 设立海外实体有利有弊：优点包括增强当地信任感、满足牌照要求（如金融科技）；缺点包括成本高、管理复杂及税务申报风险[30] - 在美国非美国实体需在州注册，可能面临公司治理困难（如雇佣、开户）；在东南亚可根据业务形态决定是否设立实体，内容分享类应用可不设以节省成本[30] - 面向儿童的智能硬件需特别关注敏感信息界定、功能设计及监护人模式，避免因合规疏漏被罚款[31] 技术开发与部署的合规实践 - AI生成代码商用需注意开源协议版权问题及代码潜在逻辑错误、安全漏洞带来的客户索赔风险[32] - 国内外用户使用同一套代码时，建议数据库和服务器分离，并进行代码拆分变更以符合不同法域要求[33] - 国内开发团队为海外部署时，存在数据跨境传输合规隐患，长期需通过云服务商专线建立隔离的测试与生产环境[36]