适用场景
面向中国境内公众提供生成式人工智能(如对话模型、内容生成工具)服务的出海企业,特别是在产品研发、上线运营及寻求融资阶段的企业。
核心要点
1. 监管框架与资质要求
生成式AI服务需遵守《生成式人工智能服务管理办法(征求意见稿)》等专门规定,并受《网络安全法》《数据安全法》《个人信息保护法》等上位法约束。提供服务前,通常需完成安全评估、算法备案,并关注科技伦理审查要求。
2. 运营中的核心数据与安全合规
企业必须落实网络安全等级保护制度,妥善处理数据跨境传输问题(如通过安全评估或签订标准合同),识别并保护重要数据,并确保用户协议与隐私政策合法合规。
3. 业务合同与供应链风险审查
需重点审查与客户(B端/G端)的业务合同,确认商业模式与资质匹配。特别要关注训练数据采购的合法来源与个人信息处理授权,以及算力供应的稳定性与合同条款。
实务建议
- 在产品面向公众提供服务前,主动向网信部门咨询并完成《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》要求的安全评估。
- 通过官方备案平台(beian.cac.gov.cn)完成算法备案手续,尤其是生成合成类算法。
- 建立数据合规体系:完成网络安全等级保护定级备案与测评;如涉及数据出境,依法选择并落实安全评估、标准合同或认证等合规路径。
- 全面审查用户协议与隐私政策,确保其清晰告知AI服务特性、数据使用方式,并符合《个人信息保护法》要求。
- 在采购训练数据时,严格核查数据来源的合法性,要求数据提供方出具权利证明与合规承诺,并对涉及个人信息的数据获取用户同意等合法性基础。
- 与算力供应商签订长期稳定的合作协议,明确服务等级协议(SLA),以保障业务连续性与扩展需求。
风险提示
- 切勿忽视“具有舆论属性或社会动员能力”这一宽泛标准的适用性,即使未明确量化,面向C端的生成式AI产品仍很可能被要求进行安全评估和算法备案。
- 避免数据采购的合规陷阱:使用未获合法授权或包含未脱敏个人信息的数据进行模型训练,将带来极高的法律与赔偿风险。
- 注意业务资质的交叉要求:除AI专项监管外,还需根据产品具体形态(如是否涉及视听内容、网络出版等)判断是否需要申请增值电信业务、网络文化经营等相关许可证。
- 科技伦理审查要求正在细化,对于具有社会动员能力的算法研发,未来可能需通过单位初审后提交专家复核,应持续关注立法动态。