2025年以来，为了解决大模型全球部署集约化以及境内算力资源紧俏的问题，一种看似两全其美的方案，在跨国公司中被频繁提及——存算跨境分离部署。即：将大模型本体及推理环境（计算层）部署在境外，而将应用层（例如APP、Agent等）及存储层（例如用户数据、企业知识库等）部署在境内合规数据中心。

很多技术团队认为，“既然用户数据存储境内，且传输过程加密，只要境外不存储用户数据，就不算数据出境吧？”“大模型部署在境外云算力上，不用遵守中国相关法律规定吧？”

汇业律师事务所黄春林律师团队认为，该架构在工程层面似乎解决了算力集约化与数据本地化的矛盾，但在法律层面还是绕不开数据出境和在中国境内提供大模型服务的法律实质。具体分析如下，仅供参考。

一、 架构拆解：什么是存算跨境分离

在典型大模型部署架构中，存、算虽然会隔离，但一般都是在同一个法域环境下，例如都部署在阿里云、火山引擎等境内合规环境。而本文提及的“存算跨境分离”架构，则实现了存、算跨法域分离，即：

• 算力层：大模型本体（例如GPT、Gemini等，当然也可能是DeepSeek、Qwen国际版）及推理能力部署在境外云服务商（例如境外AWS、国际版Azure等），负责大模型或智能体相关的训练、推理等服务，但不存储用户数据。
• 传输层：通过加密通道（TLS/VPN），将境内的Prompt等数据发出去，再将合成生成结果等数据取回来。
• 存储层：在境内合规数据中心（例如阿里云、火山引擎等）部署数据库（PostgreSQL/向量库），存储用户注册信息、行为数据、历史会话记录及网络日志等用户数据。部分项目中，还会将应用层（例如APP、Agent等）部署在境内合规环境。

二、 存算跨境分离架构下的数据境外旅程透视

在该架构下，尽管用户数据在旅程终点回流境内，但因为大模型本体及算力环境部署在境外，因此，用户数据不可避免地会在物理意义上被传输到境外，具体包括如下几个方面：

• 内存驻留：境外裸金属、VPS或容器等推理时，用户的Prompt必须完整地加载进GPU/TPU内存。在这一瞬间，用户数据暴露于境外实体（例如境外HQ、模型服务商、云算力服务商等）的控制之下。
• 系统日志：大多数云算力服务商在处理请求时，会自动记录请求日（AccessLogs）。即便不留存对话内容，请求的IP、频率、甚至部分敏感字段可能被动留存在境外。
• 模型记忆及训练：此外，从监管视角看待，一旦数据传输至境外处理，境内就失去了对该数据被如何截流、是否被记忆、是否被用于模型训练的物理控制权。

三、 Tokenization 和加密传输

是否影响法律定性

1. 大模型的 Tokenization 并非匿名化措施

在大模型语境下，单纯的Tokenization不等于法律上的匿名化，Token化的prompt等数据依然属于个人信息。虽然Token化后看起来是一串数字（如[234,102,55]），但只要结合公开的转换算法，就能直接识别出自然人身份。这种识别成本极低，甚至不需要“额外信息”，因此它依然属于个人信息。因为，token化后：

• 语义可被模型完整理解，即token化并未破坏语义结构，而且大模型正是依赖token才能“理解你是谁、在说什么”。
• 可通过上下文重新组合还原信息，即大模型对原始含义高度可逆。
• 与账户、会话、日志等非token化数据存在直接的关联关系。

此外，大模型的Token化和安全领域的Token化完全不是一个概念，前者是模型分词，法律意义上属于明文数据；后者是安全令牌化，法律上可以达到去标识化效果（但也仍然属于个人信息）。

2. 加密通道不改变用户数据向境外传输的物理属性

法律层面上，加密通道（如TLS1.3、VPN）是安全保护措施，但没有改变用户数据向境外传输的物理属性。加密解决的是“传输安全”问题，而合规解决的是“边界控制”问题。即使通道是密封的，数据旅程只要经过境外（详见第二部分），数据主权就面临落入他国管辖的风险。在中国数据出境申报实践中，数据传输方式（公网传输还是专线传输）本来就是申报的标准事项之一。

四、 中国法律关于数据出境行为的判断标准

《个人信息保护法》《数据安全法》《数据出境安全评估申报指南（第三版）》等采取了“行为主义”原则，即只要具有“将在境内运营中收集和产生的数据传输至境外”的行为，不问“数据是否在境外落地存储”的结果，都视为发生了中国法意义下的数据出境行为。

同时，《数据出境安全评估申报指南（第三版）》等进一步明确，即便具有“数据存储在境内”这一结果，只要境外具有了“可以查询、调取、下载、导出”的行为可能，也属于中国法意义下的数据出境行为。

此外，《个人信息保护法》第4条关于“个人信息处理”的定义，明确涵盖“存储、使用、加工、传输”等行为形态。如第二部分分析，用户数据在境外云算力中心的下列处理行为，属于中国法律项下的个人信息处理行为：

• 接收来自境内用户的数据输入；
• 基于大模型参数对用户输入数据进行计算和分析；
• 生成与用户输入直接相关的输出结果。

五、 境外分离部署大模型仍应遵守国内法约束

在存算分离模式中，境外大模型并非简单的基础技术设施或软件服务，而是以API、接口或推理服务的形式，持续、稳定地向境内输出AI服务结果。在法律评价上，这一模式往往同时具备以下特征：

• 境外模型具有独立的算法逻辑和参数体系；
• 应用层和存储层部署在中国境内，与境内具有监管链接；
• 境内应用层对境外大模型输出结果形成功能性依赖；
• 境外大模型对最终内容或决策结果具有实质影响力；
• 应用层服务功能直接面向境内业务或用户；

因此，在此情形下，境外大模型的角色已明显超出“技术支持” “软件服务”的范畴，而属于向中国境内提供人工智能服务（具体服务形态根据大模型类型而定）。因此，一旦被认定为境外大模型向境内提供人工智能服务，境外部署大模型仍应遵守国内法包括但不限于如下约束：信息安全相关义务；算法、模型相关的合规责任；服务主体合法性与产品备案合规；等等。

六、 结语

相较于其他部署模式，存算跨境分离模式的风险概览如下：

综上，在中国现行法律与监管框架下，这种存算跨境分离的大模型部署模式，并非一条“中性技术路径”，而是一种法律风险高度集中的部署模式。其核心问题在于，无论数据是否境外落盘、是否加密、是否经专线传输，相关行为均可能同时触发数据出境合规义务与服务提供合规风险。

因此，企业在相关架构设计阶段，即应从整体合规视角进行系统评估，而非仅就单一技术要素作切割式判断。大模型的存算跨境分离是技术对国际化的妥协，技术能解决数据的“归属”问题，但解决不了数据和服务的“旅程”问题。只要旅程跨越了法域边界，法律上“数据出境” “AI服务”的合规问题就无法妥协。

声明：本文来自网数与人工智能法律实务，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。