适用场景
计划或正在使用美国云服务(IaaS)进行AI大模型训练的中国出海企业,特别是科技、人工智能、互联网行业公司。
核心要点
1. 新规核心:客户身份识别与强制报告
美国拟议新规要求美国云服务提供商及其外国经销商建立客户身份识别计划,对所有非美国客户进行身份穿透核查。当发现客户使用其服务训练可能用于恶意网络活动的AI大模型时,必须在15天内向美国商务部报告。
2. 监管目标:封堵算力获取替代路径
此前美国已通过芯片出口管制限制中国企业获取算力硬件。新规旨在填补云服务这一“漏洞”,系统性地监管通过租赁云算力训练AI大模型的行为,进一步限制中国AI产业发展。
3. 风险触发点:“潜在能力”模型训练
报告义务的关键在于判断所训练的AI大模型是否“具有用于恶意网络活动的潜在能力”。目前具体技术参数尚未最终确定,但参考行政令,涉及巨大计算量(如超过10^26次运算)的模型很可能被纳入监管范围。
4. 潜在后果:账户关停与使用禁令
基于报告和评估,美国商务部有权对整个司法辖区(如中国)或特定企业施加特殊措施,包括禁止或限制其使用美国云服务,导致业务突然中断。
5. 责任主体:云提供商与其经销商
合规义务主要落在美国云服务提供商及其全球经销商身上,他们必须执行身份识别并履行报告义务。中国企业作为客户,将面临更严格的身份审查和业务使用限制。
实务建议
- 立即评估业务:梳理自身是否使用或计划使用美国IaaS服务训练AI大模型,并评估模型参数是否可能触及“潜在能力”红线。
- 准备身份验证材料:为应对云提供商严格的客户身份识别计划,提前准备好公司及实益拥有人准确、完整的身份与联系信息。
- 探索算力替代方案:积极调研和布局非美国云服务、国内算力平台或混合架构,降低对单一来源的依赖。
- 审阅云服务合同:仔细审查与云服务商的协议,关注其中关于合规审查、数据报告、服务中止的条款,明确自身权利与责任。
- 建立动态监测机制:指定专人持续跟踪美国BIS对该拟议规则的更新(如最终参数标准),并定期评估对业务的影响。
风险提示
- 误区:认为新规仅是“拟议”而无需立即行动。事实是,规则方向已定,企业应提前应对,避免规则生效后业务陷入被动。
- 误区:认为仅训练模型的企业才受影响。事实是,任何涉及使用美国云算力支持AI大模型开发、训练、调用的环节都可能被审查。
- 注意事项:身份识别具有“穿透性”,不仅审查签约客户,还会追溯至最终实益拥有人,架构设计无法完全规避。
- 注意事项:“恶意网络活动”定义宽泛,包括生成虚假信息等,并非仅指传统黑客攻击,模型应用场景需谨慎评估。