夜雨聆风长文 · 建议收藏后按目录阅读 约 17000 字 · 预计阅读 30分钟 AI 产品上线前法律合规审查,应当自产品结构本身出发。 本文尝试搭建一套人工智能产品上线前法律合规审查路径:先还原产品运行事实,再识别监管入口、梳理数据处理、审查内容治理和权限边界,最后回到用户协议、隐私政策、AI 使用说明等法律文本。 本文聚焦中国大陆法律框架下人工智能产品上线前的法律合规审查路径,不讨论境外监管框架(如欧盟 AI Act)、已上线产品的整改审查、特定行业(金融、医疗、自动驾驶)的额外准入要求,也不涉及AI伦理层面的学术讨论。 文章结构如下: ▸ 一、审查材料:还原产品运行事实 ▸ 二、产品结构:拆解输入、处理、输出与权限 ▸ 三、适用规则:识别 AI 产品的监管入口 ▸ 四、主体身份:区分服务提供者与技术支持者 ▸ 五、数据处理:审查训练、输入、留存与跨境 ▸ 六、内容治理:审核机制与生成内容标识 ▸ 七、竞争合规:商业模式、功能设计与宣传边界 ▸ 八、Agent 权限:工具调用与人工确认节点 ▸ 九、文本落地:用户协议、隐私政策与 AI 说明 ▸ 十、审查成果:形成可执行的上线结论 |
配套材料 本文配套整理四份可直接带走的干货材料(关注公众号后台私信“AI合规清单”即可获取): (1)合规指引PDF版 《人工智能产品法律合规审查指引》 (2)一页纸速查表 《AI 产品上线前合规审查一页纸速查表》 (3)完整版 Checklist 《AI 产品上线前法律合规审查 Checklist》 (4)上海市委网信办发布的评估手册 《生成式人工智能行业网络数据安全风险评估工作手册》 正文用于说明审查方法,速查表适合项目初筛和跨部门沟通,完整版 Checklist 适合进入正式上线审查后逐项核对。 |
人工智能产品上线前,企业通常会将用户协议、隐私政策、免责声明、平台规则等法律文本提交律师或法务审查。前述文件固然属于上线前合规审查的重要对象,但并不足以完整呈现人工智能产品的实际运行状态。
人工智能产品的法律风险,通常发生于产品运行过程之中,包括数据输入、模型调用、内容生成、权限触发、结果输出、日志留存、第三方服务接入等具体环节。若审查工作仅停留于法律文本层面,即便协议条款较为完整,也可能无法覆盖产品实际运行中已经发生或可能发生的合规风险。
例如,用户输入内容是否会被保存或用于模型优化,生成内容是否支持下载、复制和对外发布,产品是否通过算法推荐影响用户获取信息,模型是否调用第三方 API,Agent 是否可以读取文件、修改文件、发送邮件或者执行代码,生成合成内容是否需要添加显式标识和隐式标识等,均需要结合产品功能和技术实现进行判断。
上述信息往往并不完整呈现在用户协议或隐私政策中,而是分散于产品原型、PRD、接口文档、后台配置、模型调用规则、运营话术、应用商店介绍及企业客户合同等材料中。
因此,人工智能产品法律合规审查的基本路径,应当是:先审产品结构,再审法律文本。 法律文本不是审查起点,而是产品合规判断的承接结果。
实务提示 实务中,一个 AI 产品的用户协议、隐私政策、免责声明都可以写得很完整,但如果后台的数据留存、模型调用、第三方传输、生成内容标识和 Agent 权限等技术细节没有被同步审查,文本本身并不能证明产品已经合规。换言之,协议能够证明企业如何对外表述产品规则,但不能当然证明产品实际运行方式已经符合法律要求。 |
一、上线前审查应先收集哪些材料
本节先确定上线前审查的材料范围,明确除法律文本外还应收集哪些产品事实材料。 |
人工智能产品上线前合规审查,首先需要形成产品事实底稿。没有事实底稿,后续监管入口判断、数据处理评估、内容治理审查和协议文本修改都会缺少判断基础。
(一)基础材料
上线前至少应收集以下材料:
如果产品已经上线,还应补充应用商店页面、官网介绍、用户评价、运营活动页面、广告投放素材、客服话术等材料。因为这些内容也可能构成对产品功能、服务效果、合规能力的对外陈述。
(二)审查对象不宜限于协议文本
用户协议、隐私政策、免责声明等文件,只是人工智能产品合规审查的外部表达。真正需要审查的,是产品背后的运行结构。
例如,隐私政策写明“我们不会将用户数据用于模型训练”,需要进一步核查技术上是否确有隔离机制、供应商合同是否作出同等承诺、后台配置是否关闭训练使用、日志数据是否仍被用于模型优化。
再如,用户协议写明“用户不得利用本服务生成违法违规内容”,也不能替代服务提供者对输入数据、生成结果、投诉举报、违法内容处置等机制的建设。
因此,法律文本审查应当建立在产品事实已经核清的基础上。先看产品怎么运行,再判断协议应该怎么写。
审查提示 如果只是做快速初筛,可以先对照一页纸速查表确认材料是否齐备、监管入口是否明显、是否存在上线前阻断项;如果已经进入正式上线审查,则应使用完整版 Checklist 逐项核对,并将核查依据、未核实事项和整改责任人一并留痕。 |
二、产品结构如何拆解
本节先拆解 AI 产品的基本结构,将复杂产品转化为可以逐项审查的法律对象。 |
人工智能产品不是一个单一法律对象,审查时,应当将其拆解为若干可评价的结构单元。
(一)使用主体
首先要判断谁在使用产品。
如果产品面向公众开放,可能触发生成式人工智能服务、深度合成服务、算法推荐服务等监管要求;如果仅为企业内部使用,重点可能转向数据安全、商业秘密保护、员工使用规范和客户资料保护;如果产品向企业客户提供 API 或 SDK,则需要进一步判断技术提供方、服务运营方和最终用户之间的责任边界。
同一个 AI 能力,因为使用主体不同,法律评价会不同。
(二)输入
输入是人工智能产品风险发生的重要入口。
需要审查用户可能输入什么内容:普通文本、图片、语音、视频、文件、代码、合同、客户资料、个人信息、商业秘密、案件材料,还是企业内部数据。
如果输入内容包含个人信息,应进入《个人信息保护法》评价;如果包含客户资料或商业秘密,应进一步审查保密义务;如果输入内容可能被用于训练或优化模型,则需要判断授权基础是否充分。
(三)处理
处理环节要看模型和系统如何使用输入内容。
具体包括:是否调用第三方模型;是否进行内容审核;是否进行人工标注;是否保存会话;是否用于模型优化;是否进行用户画像或个性化推荐;是否调用外部工具;是否接入企业数据库或办公系统。
这一环节对应的法律问题,通常包括个人信息处理合法性、委托处理、对外提供、数据安全保护、算法透明度、模型供应商责任等。
(四)输出
输出环节要看系统生成什么,以及生成结果会如何使用。
输出可能是文本、图片、音频、视频、代码、报告、合同、法律文书初稿、决策建议、排序结果、评分结果、自动回复或外部操作结果。
不同输出对应不同风险:生成内容可能涉及违法不良信息、虚假信息、侵权内容、误导性专业建议、虚假宣传、深度合成标识、自动化决策影响等。
(五)留存
人工智能产品通常会保留会话记录、生成结果、操作日志、用户反馈、错误日志、调用日志等数据。
审查时应明确:留存什么、留存多久、谁可以访问、是否加密、是否可删除、是否向第三方提供、是否用于安全审计或模型优化。
《个人信息保护法》第十九条规定,除法律、行政法规另有规定外,个人信息保存期限应为实现处理目的所必要的最短时间。该条应转化为 AI 产品中的具体保存期限和删除机制,而不宜只写成原则性表述。
(六)外部调用与权限动作
AI Agent、插件化 AI、办公自动化 AI 产品,需要特别审查外部调用和权限动作。
例如,产品是否可以访问浏览器、调用搜索引擎、读取本地文件、连接企业云盘、执行代码、调用邮件系统、提交表单、修改数据库、发起审批、发送消息。
这些动作如果没有权限分级、人工确认和日志追溯,风险会明显高于普通聊天机器人。
(七)法律评价发生在哪个环节
完成上述拆解后,应进一步判断法律评价发生在哪个环节。
有的风险发生在输入环节,例如用户上传含有敏感个人信息的文件;有的风险发生在处理环节,例如模型供应商将企业客户数据用于训练;有的风险发生在输出环节,例如生成虚假医疗建议或侵权图片;有的风险发生在权限环节,例如 Agent 自动发送错误合同文本;有的风险发生在对外传播环节,例如用户将 AI 生成的虚假种草笔记发布到特定平台。
只有定位风险发生环节,才能确定整改措施到底是改协议、改界面、改后台配置、改模型调用规则,还是改合同和内部流程。
实际审查中,风险定位出错的最常见原因,不是法律判断有误,而是审查人员没有先完成产品结构拆解。先看完产品怎么跑,再谈法规怎么适用,这个顺序不能反。
三、监管入口如何判断
本节先判断 AI 产品可能触发的监管入口,避免用单一规则评价复合型产品。 |
人工智能产品上线前,应当先判断其可能落入哪些监管规则。不同监管入口对应不同义务。
(一)AI 产品类型与监管入口对照
这个表不是为了机械分类,而是帮助审查人员确定第一层监管入口。现实中的 AI 产品往往是组合型产品,一个智能客服产品可能同时涉及生成式 AI、算法推荐、个人信息处理和企业客户数据安全;一个 AI 营销工具可能同时涉及生成内容、虚假宣传和不正当竞争。
同时需要注意,上述分类并非互斥关系。生成式人工智能服务强调“利用生成式人工智能技术向公众提供内容生成服务”;算法推荐服务强调“应用算法推荐技术提供互联网信息服务”;深度合成服务强调“应用生成合成类算法制作文本、图像、音频、视频、虚拟场景等网络信息”。同一产品可能同时落入多个监管入口。例如,一个面向公众开放的 AI 短视频生成工具,既可能属于生成式人工智能服务,也可能属于深度合成服务;如果其首页还根据用户画像推荐模板、素材或内容,则还可能涉及算法推荐服务。上线前审查时,不宜只选择其中一个标签,而应逐项判断各类义务是否同时触发。
审查提示 进一步说,监管入口识别不应停留在“属于哪一类 AI 产品”的标签判断。审查时还应继续追问:产品是否面向境内公众提供服务,是否具有舆论属性或者社会动员能力,是否属于新上线服务或者重大功能变更,是否直接由企业自营,还是作为 API、SDK、插件能力嵌入客户产品。 算法备案、安全评估、生成合成内容标识、个人信息保护影响评估等义务,均应在这些事实基础上分别判断,不宜简单打包为“做 AI 就要备案”或者“B 端产品一定不用备案”。 地方监管层面,上海市委网信办已于2025年9月指导发布《生成式人工智能行业网络数据安全风险评估工作手册》,将训练数据来源合规、知识产权侵权风险、数据投毒、幻觉风险、Prompt 注入等 AI 特有风险纳入评估指标,并要求单一数据源占比不超过 1%。该手册是目前地方层面较为细化的行业评估工具之一,可作为审查实务参考。 |
(二)生成式人工智能服务
《生成式人工智能服务管理暂行办法》第二条规定,利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务,适用该办法。
因此,判断一个产品是否属于生成式人工智能服务,关键不在于产品名称中是否出现“大模型”“智能体”“AI助手”,而在于其是否利用生成式人工智能技术,向境内公众提供生成内容服务。
该办法第七条规定,提供者开展预训练、优化训练等训练数据处理活动,应当使用具有合法来源的数据和基础模型;涉及知识产权的,不得侵害他人依法享有的知识产权;涉及个人信息的,应取得个人同意或者符合法律、行政法规规定的其他情形。
第九条规定,提供者应依法承担网络信息内容生产者责任,履行网络信息安全义务;涉及个人信息的,应依法承担个人信息处理者责任。
第十七条规定,提供具有舆论属性或者社会动员能力的生成式人工智能服务的,应按国家有关规定开展安全评估,并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。
据此,生成式 AI 产品上线前至少应审查四类事项:训练数据来源是否合法,生成内容安全机制是否建立,个人信息处理义务是否履行,是否触发安全评估和算法备案。
(三)算法推荐服务
《互联网信息服务算法推荐管理规定》第二条规定,在中华人民共和国境内应用算法推荐技术提供互联网信息服务,适用该规定;算法推荐技术包括生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术。
该规定第十六条要求,算法推荐服务提供者应以显著方式告知用户其提供算法推荐服务的情况,并以适当方式公示算法推荐服务的基本原理、目的意图和主要运行机制等。
第十七条要求,算法推荐服务提供者应向用户提供不针对其个人特征的选项,或者提供便捷关闭算法推荐服务的选项;用户选择关闭的,应立即停止提供相关服务。该条还要求向用户提供选择或者删除用于算法推荐服务的个人特征标签的功能。
第二十四条规定,具有舆论属性或者社会动员能力的算法推荐服务提供者,应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统履行备案手续。
据此,凡涉及个性化推荐、排序、筛选、匹配、调度、自动分流、自动评分等功能的 AI 产品,均应审查是否存在算法推荐服务属性。审查重点不只是隐私政策是否提到“个性化推荐”,还包括界面是否显著告知、关闭机制是否有效、标签管理是否可用、备案义务是否触发。
(四)深度合成服务
《互联网信息服务深度合成管理规定》第二条规定,应用深度学习、虚拟现实等生成合成类算法制作文本、图像、音频、视频、虚拟场景等网络信息的服务,适用该规定。
该规定第二十三条列举的深度合成技术,包括篇章生成、文本风格转换、问答对话等文本生成或编辑技术,也包括语音生成、图像视频生成、人脸替换、姿态操控、三维重建、数字仿真等技术。
因此,深度合成并不限于公众通常理解的“AI 换脸”。智能写作、智能对话、AI 绘图、语音克隆、数字人、虚拟场景生成等功能,都可能落入该规定。
该规定第十条要求,深度合成服务提供者采取技术或者人工方式对使用者输入数据和合成结果进行审核,并建立违法和不良信息特征库。
第十六条要求,深度合成服务提供者对使用其服务生成或者编辑的信息内容采取技术措施添加不影响用户使用的标识,并依法保存日志信息。
第十七条要求,对可能导致公众混淆或者误认的智能对话、智能写作、语音合成、人脸生成、人脸替换、沉浸式拟真场景等服务,在生成或者编辑的信息内容的合理位置、区域进行显著标识。
据此,深度合成类 AI 产品上线前,应重点审查输入审核、结果审核、特征库、日志保存、显著标识、技术标识、投诉举报和备案等事项。
(五)生成合成内容标识
《人工智能生成合成内容标识办法》第二条规定,符合《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》规定情形的网络信息服务提供者开展人工智能生成合成内容标识活动,适用该办法。
该办法第三条规定,人工智能生成合成内容包括利用人工智能技术生成、合成的文本、图片、音频、视频、虚拟场景等信息;标识包括显式标识和隐式标识。
第四条规定,服务提供者提供的生成合成服务属于《互联网信息服务深度合成管理规定》第十七条第一款情形的,应按照要求添加显式标识;提供生成合成内容下载、复制、导出等功能的,应确保文件中含有满足要求的显式标识。
第五条规定,服务提供者应在生成合成内容的文件元数据中添加隐式标识,隐式标识包含生成合成内容属性信息、服务提供者名称或者编码、内容编号等制作要素信息。
第八条规定,服务提供者应在用户服务协议中明确说明生成合成内容标识的方法、样式等规范内容,并提示用户仔细阅读并理解相关标识管理要求。
据此,AI 产品生成内容标识审查不应限于“页面上有没有一句 AI 生成”。还应审查下载、复制、导出文件是否保留标识,元数据中是否添加隐式标识,用户协议是否说明标识规则,用户是否被禁止恶意删除、篡改、伪造、隐匿标识。
四、主体角色如何区分
本节先区分 AI 产品链条中的不同法律角色,明确企业在具体场景下承担何种义务。 |
同一个 AI 能力,在不同商业模式下,法律角色可能完全不同。
(一)服务提供者
如果企业直接面向境内公众提供生成式 AI、深度合成、算法推荐等服务,通常应作为服务提供者承担相应义务,包括内容安全、用户管理、投诉举报、生成内容标识、算法备案、安全评估、个人信息保护等。
此时,企业不能简单以“模型由第三方提供”为由排除自身责任。只要产品由企业运营,用户由企业获取,功能由企业对外提供,商业收益由企业取得,企业就很可能需要承担服务提供者层面的合规义务。
(二)技术支持者
如果企业提供 API、SDK、模型接口、插件能力、内容审核能力或算法能力,但不直接面向终端用户提供服务,则应进一步判断其技术支持者责任。
此时应重点审查:技术支持者是否处理终端用户输入数据,是否留存调用日志,是否使用客户数据训练模型,是否提供生成内容标识能力,是否协助客户履行投诉处理、内容处置、数据删除、监管问询应对等义务。
(三)个人信息处理者、受托处理者与共同处理者
AI 产品往往涉及多个数据处理主体。企业自营产品时,通常构成个人信息处理者;调用第三方模型时,模型供应商可能构成受托处理者,也可能在特定场景下成为独立个人信息处理者;如果双方共同决定个人信息处理目的和方式,还可能构成共同处理。
《个人信息保护法》第二十一条规定,委托处理个人信息的,个人信息处理者应与受托人约定委托处理的目的、期限、处理方式、个人信息种类、保护措施以及双方权利义务等,并对受托人的个人信息处理活动进行监督。
第二十三条规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应向个人告知接收方名称或者姓名、联系方式、处理目的、处理方式和个人信息种类,并取得个人单独同意。
据此,AI 产品审查不能只看企业自己的隐私政策,还应审查模型服务协议、DPA、API 服务条款、数据处理附录和供应商安全承诺。
(四)内部使用者
如果企业只是内部使用 AI 工具,通常不构成面向公众提供 AI 服务,但仍需关注客户资料、个人信息、商业秘密、未公开经营信息、源代码、合同、诉讼材料等内容是否被上传至外部工具。
对律师、法务、金融、医疗、咨询等专业服务场景而言,内部使用 AI 工具的风险并不低。问题不是 AI 工具本身能不能用,而是哪些材料可以输入、哪些材料禁止输入、哪些结果必须复核、哪些内容不得直接对外发送。
五、数据处理活动如何审查
本节转入数据处理活动审查,重点关注训练数据、用户输入、日志留存、第三方调用和跨境传输。 |
人工智能产品的合规风险,很大一部分发生在数据处理环节。
(一)训练数据和模型优化数据
生成式 AI 产品应首先审查训练数据和模型优化数据。
如前所述,《生成式人工智能服务管理暂行办法》第七条要求训练数据具有合法来源,涉及知识产权的不得侵权,涉及个人信息的应取得个人同意或者符合法定情形。
上线前审查时,应重点核查:
第一,模型是自研、采购、开源模型微调,还是调用第三方 API;
第二,训练数据是否包括公开网页、用户上传内容、客户业务数据、第三方采购数据、平台内容或爬取数据;
第三,是否涉及个人信息、敏感个人信息、未成年人信息、生物识别信息、商业秘密或版权内容;
第四,是否使用用户输入、用户反馈、企业客户数据进行模型训练或服务优化;
第五,隐私政策、用户协议、企业客户合同是否覆盖相应数据用途。
此外,训练数据的多样性也已进入监管关注范围。上海市委网信办指导发布的《生成式人工智能行业网络数据安全风险评估工作手册》明确要求,单一数据源占比不得超过 1%,以此约束训练数据集中于单一来源可能带来的偏见和安全风险。审查时可参照该指标,评估训练数据来源的分散程度。
如果产品对外承诺“不使用用户数据训练模型”,应进一步核查技术配置、供应商合同、后台开关、日志规则和数据隔离机制是否能够支撑该承诺。
实务提示 实务提示:这一项不能只看隐私政策。审查人至少应要求业务或技术团队说明后台是否存在训练/优化开关、调用第三方模型时是否默认允许服务商留存或改进模型、日志数据是否进入质量评估或人工标注流程等技术细节。必要时,应要求提供后台配置截图、供应商条款截图或技术负责人书面确认。 |
(二)用户输入数据和输出数据
《个人信息保护法》第四条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息;个人信息处理包括收集、存储、使用、加工、传输、提供、公开、删除等。
AI 产品中,用户输入的提示词、上传文件、图片、语音、视频、聊天记录、业务文档、联系人信息、位置信息等,均可能构成个人信息或包含个人信息。系统生成的输出结果,如果与特定自然人有关,也可能成为新的个人信息。
《个人信息保护法》第五条、第六条确立了合法、正当、必要、诚信以及目的明确、最小必要原则。第十七条要求个人信息处理者在处理个人信息前,以显著方式、清晰易懂的语言真实、准确、完整告知个人信息处理者名称或者姓名、处理目的、处理方式、处理的个人信息种类、保存期限、个人行使权利的方式和程序等事项。
据此,AI 产品隐私政策不宜只写“我们会收集您使用服务过程中产生的信息”。应结合 AI 功能具体披露:
第一,用户输入文本、图片、音频、视频、文件是否会被收集和保存;
第二,生成结果、会话记录、反馈信息是否会被保存;
第三,相关数据是否用于模型训练、产品优化、安全审核或人工标注;
第四,是否向模型供应商、云服务商、内容审核服务商、数据标注服务商提供;
第五,数据保存期限和删除机制如何设置;
第六,用户如何查阅、复制、更正、删除相关个人信息。
(三)数据安全保护义务
AI 产品不仅涉及个人信息保护,还可能涉及一般数据安全义务。
《数据安全法》第二十七条规定,开展数据处理活动应依照法律、法规规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应技术措施和其他必要措施,保障数据安全;利用互联网等信息网络开展数据处理活动的,应在网络安全等级保护制度基础上履行上述数据安全保护义务。
《数据安全法》第三十条规定,重要数据处理者应按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
《网络安全法》第十一条规定,建设、运营网络或者通过网络提供服务,应依照法律、行政法规规定和国家标准强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
《网络安全法》第二十三条进一步规定,国家实行网络安全等级保护制度,网络运营者应按照网络安全等级保护制度要求履行安全保护义务,包括制定内部安全管理制度和操作规程、采取防范网络攻击和网络侵入的技术措施、监测记录网络运行状态和网络安全事件并按规定留存网络日志不少于六个月、采取数据分类、重要数据备份和加密等措施。
《网络安全法》第二十四条规定,网络产品、服务应符合相关国家标准的强制性要求;网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应立即采取补救措施,按照规定及时告知用户并向有关主管部门报告;具有收集用户信息功能的,还应向用户明示并取得同意,涉及个人信息的,还应遵守个人信息保护相关法律规定。
因此,AI 产品上线前应审查是否建立数据分类分级、访问控制、日志审计、加密存储、备份恢复、漏洞管理、供应商安全管理、应急响应等机制。对于涉及重要数据、关键信息基础设施、行业监管数据、跨境传输等情形的产品,还应单独判断是否触发专项评估或报送义务。
例如,如果 AI 产品为关键信息基础设施运营者采购或使用的网络产品、服务,且可能影响国家安全,还可能触发《网络安全法》第三十七条项下的网络安全审查;如果关键信息基础设施运营者在境内运营中收集和产生个人信息、重要数据,原则上还应根据《网络安全法》第三十九条在境内存储,确需向境外提供的,应按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
《数据安全法》第三十一条亦规定,关键信息基础设施的运营者在境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定;其他数据处理者在境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。《数据安全法》第三十六条还规定,非经中华人民共和国主管机关批准,境内组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
据此,涉及数据出境、境外模型调用、境外云服务、境外集团访问、境外监管或司法执法机构调取数据等场景的 AI 产品,应当在上线前单独核查数据出境路径、重要数据识别、跨境传输机制及对外提供数据的审批或评估要求。
(四)个人信息保护影响评估
《个人信息保护法》第五十五条规定,处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息,以及其他对个人权益有重大影响的个人信息处理活动,应事前进行个人信息保护影响评估,并对处理情况进行记录。
AI 招聘、AI 信贷、AI 风控、AI 保险定价、AI 教育评估、AI 医疗辅助、AI 客服质检、AI 内容推荐等产品,均可能涉及自动化决策或对个人权益有重大影响的处理活动。
例如,企业采购一套 AI 招聘系统,由系统根据简历内容、测评结果和历史录用数据对候选人进行排序。如果排序结果直接影响候选人是否进入面试环节,该功能就不只是“提高筛选效率”的工具问题,还可能涉及自动化决策、个人信息保护影响评估以及算法歧视风险。
上线前审查时,不应只判断是否有隐私政策,还应判断是否需要形成个人信息保护影响评估报告。该报告至少应覆盖处理目的、处理方式、合法性基础、对个人权益的影响、安全风险、保护措施、第三方接收方、保存期限、用户权利保障等内容。
六、内容治理和标识义务如何审查
本节转入内容治理审查,重点关注内容安全机制和生成合成内容标识义务。 |
(一)内容安全机制
生成式 AI、深度合成和算法推荐产品,都可能涉及违法信息、不良信息、虚假信息、侵权内容、歧视性内容、误导性专业建议、侵犯名誉权或隐私权内容、虚假营销内容等问题。
《生成式人工智能服务管理暂行办法》第九条要求提供者承担网络信息内容生产者责任。第十五条要求提供者建立健全投诉、举报机制,设置便捷入口,公布处理流程和反馈时限,及时受理、处理公众投诉举报并反馈处理结果。
《互联网信息服务深度合成管理规定》第十条要求服务提供者对输入数据和合成结果采取技术或者人工方式审核,并建立违法和不良信息特征库。
据此,AI 产品上线前应审查:
第一,是否建立输入端和输出端内容安全策略;
第二,是否对高风险提示词、敏感内容、违法内容进行拦截或降级处理;
第三,是否建立人工复核机制;
第四,是否设置用户投诉、举报、申诉入口;
第五,是否保留生成记录、处置记录和日志;
第六,是否对企业客户开放必要的内容安全配置能力。
此外,AI 特有的新型安全风险也应纳入内容安全审查范围。例如,Prompt 注入攻击可能诱导模型绕过安全策略生成违法或侵权内容,训练数据投毒可能导致模型在特定输入下产生有害输出,模型幻觉可能导致生成虚假事实或编造不存在的信息。这些风险在传统互联网产品中不存在或不突出,但在 AI 产品中已成为独立的安全维度。
上海市委网信办指导发布的《生成式人工智能行业网络数据安全风险评估工作手册》已将上述风险纳入评估指标。上线前审查时,应关注产品是否针对这些 AI 特有风险建立了识别、拦截和处置机制。
(二)生成合成内容标识
生成合成内容标识义务,已经成为 AI 产品上线前审查的重点事项。
按照《人工智能生成合成内容标识办法》第四条、第五条、第八条的规定,服务提供者需要关注显式标识、隐式标识、下载复制导出场景标识,以及用户服务协议中的标识说明。
同时,《人工智能生成合成内容标识办法》配套的强制性国家标准《网络安全技术 人工智能生成合成内容标识方法》(GB 45438-2025)已同步出台并于二〇二五年九月一日起实施。该标准进一步规定了显式标识、隐式标识的技术实现方式,例如文本、图片、音频、视频等不同类型生成合成内容的显式标识要求,以及文件元数据中隐式标识的格式和要素。换言之,标识义务不是原则性提示,而已经进入可操作的技术执行层面。
因此,审查时应逐项确认:
第一,交互界面是否有显式标识;
第二,生成文本、图片、音频、视频、虚拟场景是否按类型添加标识;
第三,下载、复制、导出文件是否保留标识;
第四,文件元数据是否添加隐式标识;
第五,用户服务协议是否说明标识方法和样式;
第六,是否禁止用户恶意删除、篡改、伪造、隐匿标识;
第七,平台分发或传播场景下,是否识别和管理上传内容的生成合成属性。
这部分内容如果仅在免责声明中写“生成内容仅供参考”,通常不足以满足标识义务。
七、不正当竞争和产品宣传如何审查
本节转入竞争法和宣传合规审查,重点关注商业模式、功能设计和对外宣传话术。 |
AI 产品合规审查不应只关注数据和内容,还应关注商业模式和产品宣传。
(一)定向生成特定平台内容
《反不正当竞争法》第二条确立了自愿、平等、公平、诚信原则以及商业道德要求。二〇二五年修订后的《反不正当竞争法》第十三条对网络不正当竞争作出专门规定,强调经营者不得利用数据、算法、技术、平台规则等实施妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行等行为。
具体而言,《反不正当竞争法》第十三条规定,经营者利用网络从事生产经营活动,应当遵守该法各项规定;经营者不得利用数据和算法、技术、平台规则等,通过影响用户选择或者其他方式,实施未经同意插入链接、强制目标跳转,误导、欺骗、强迫用户修改、关闭、卸载其他经营者合法提供的网络产品或者服务,恶意实施不兼容以及其他妨碍、破坏行为。该条还进一步规定,经营者不得以欺诈、胁迫、避开或者破坏技术管理措施等不正当方式,获取、使用其他经营者合法持有的数据,损害其他经营者合法权益,扰乱市场竞争秩序;亦不得滥用平台规则,直接或者指使他人对其他经营者实施虚假交易、虚假评价或者恶意退货等行为。
在 AI 产品场景中,如果产品以“某平台爆款文案”“某平台种草笔记”“某平台带货脚本”为卖点,引导用户批量生成虚假体验内容,并将其发布到特定平台,可能损害该平台真实内容生态、消费者信任和其他经营者竞争利益。
这类风险并不来自“AI 写作”本身,而来自产品的定向性、诱导性和商业化模式。
例如,一个通用写作助手提供“商品推荐文案”模板,和一个产品直接以“生成某平台真实种草笔记”为核心卖点,法律评价并不相同。前者的风险主要取决于具体使用方式,后者则在产品设计层面已经明显指向特定平台内容生态和虚假体验内容生产。
需要说明的是,本节讨论的不正当竞争风险,是基于现行《反不正当竞争法》条文和已公开案例的初步判断框架。定向AI工具进入反法评价的具体标准,目前司法实践仍在发展中,后续裁判规则变化可能影响本文的部分结论。
(二)虚假宣传和能力夸大
《反不正当竞争法》第九条规定,经营者不得对其商品的性能、功能、质量、销售状况、用户评价、曾获荣誉等作虚假或者引人误解的商业宣传,欺骗、误导消费者和其他经营者。
二〇二五年修订后的《反不正当竞争法》第九条还新增或明确了“经营者不得通过组织虚假交易、虚假评价等方式,帮助其他经营者进行虚假或者引人误解的商业宣传”的规则。对 AI 产品而言,这一变化尤其值得关注:如果产品功能、模板、运营话术或收费模式实质上鼓励用户批量生成虚假评价、虚假种草笔记、虚假测评或虚假交易辅助内容,即使 AI 工具本身不直接发布内容,也可能被评价为对虚假商业宣传的帮助行为。
AI 产品宣传中常见的风险包括:
第一,宣称“准确率百分之百”“完全替代律师”“自动出具法律意见”“自动规避全部合规风险”;
第二,夸大模型能力、数据来源、知识覆盖范围或专业可靠性;
第三,使用虚假用户评价、虚假案例、虚假对比测试;
第四,暗示产品已经取得某种监管认可、备案或认证,但无法提供依据。
因此,上线前审查应覆盖官网、落地页、广告语、销售 PPT、应用商店介绍、客户案例、客服话术和演示脚本。AI 产品的法律风险,有时不是写在用户协议里,而是写在市场宣传里。
八、Agent 类产品如何审查权限边界
本节单独讨论 Agent 类产品的权限边界,重点关注外部工具调用、文件操作和人工确认节点。 |
Agent 类产品需要单独审查。
普通聊天机器人主要输出文本、图片或建议;Agent 类产品则可能读取材料、调用工具、执行任务、修改文件、发送信息、连接企业系统或操作外部服务。法律风险由“回答是否准确”进一步扩展到“行为是否越权、后果由谁承担”。
以 Codex、Claude Code 这类开发型 Agent 为例,用户授权后,Agent 可能读取项目文件、修改代码、运行命令、安装依赖,甚至在特定配置下提交代码或打开外部链接。
以企业办公 Agent 为例,产品可能接入邮箱、云盘、日历、IM、CRM、OA 或合同管理系统,帮助用户整理会议纪要、生成邮件、发起审批或更新客户记录。
此类产品的风险重点,已经不只是回答是否准确,而是它在什么权限范围内做了什么、有没有经过人工确认、操作能否事后追溯。
(一)权限链路
上线前应梳理 Agent 权限链路:
第一,读取权限。Agent 可以读取哪些文件、目录、数据库、网页、邮箱、聊天记录或企业系统数据。
第二,写入权限。Agent 是否可以修改文件、生成文件、删除文件、覆盖配置、更新数据库或更改系统状态。
第三,外部调用权限。Agent 是否可以调用浏览器、搜索引擎、第三方 API、支付接口、消息系统、工单系统、代码仓库或自动化脚本。
第四,发送和提交权限。Agent 是否可以向外发送邮件、提交表单、发布内容、创建订单、回复客户、发起审批或触发工作流。
第五,代码执行权限。Agent 是否可以运行命令、安装依赖、访问本地环境、读取环境变量、连接服务器或处理密钥。
在开发型 Agent 场景下,还应特别区分只读模式、需确认后执行模式和自动执行模式。只读模式下,Agent 只能阅读文件并提出建议;需确认后执行模式下,Agent 可以提出修改或命令,但每次关键操作前需要用户确认;自动执行模式下,Agent 可以连续修改文件、运行命令或调用工具。权限模式不同,适用的风险控制要求也应不同。
(二)人工确认节点
对于可能产生外部法律效果或重大业务后果的操作,应设置人工确认节点。
例如,对外发送合同、报价、法律文件、客户邮件前,应由人工确认;删除、覆盖、修改重要业务文件前,应由人工确认;提交监管材料、平台申诉、法院系统材料、合同审批流前,应由人工确认;访问敏感数据、导出数据、共享数据或调用第三方服务前,应由人工确认;执行代码、调用生产环境、修改系统配置前,应由人工确认。
人工确认节点不是产品体验上的冗余,而是责任边界的技术实现。
实务提示 对产品和技术团队而言,确认弹窗、权限分级和操作日志等设计不是单纯的合规负担,而是把“谁决定、谁执行、谁复核、谁承担后果”写进产品流程。尤其是对外发送邮件、提交表单、修改合同、调用生产环境、删除或覆盖文件等动作,确认节点本身就是责任边界的一部分。 |
(三)日志和追溯
Agent 类产品还应建立完整操作日志。日志至少应记录任务发起人、任务内容、读取材料、调用工具、关键中间步骤、人工确认节点、最终输出、外部发送或执行结果等信息。
没有日志,后续很难判断错误来自用户指令、模型推理、工具调用、权限配置、外部系统返回结果,还是人工复核遗漏。对于企业客户而言,Agent 的可追溯性本身就是合规采购的重要条件。
九、法律文本如何承接产品审查结果
本节回到法律文本,将前述产品结构、数据处理、内容治理和权限边界审查结论落实为具体条款。 |
完成产品结构、监管入口、数据处理、内容治理、商业模式和权限链路审查后,才进入法律文本落地阶段。
(一)用户协议
用户协议应承接产品使用规则,重点约定:
第一,AI 服务的性质和功能边界;
第二,用户不得利用 AI 服务生成、传播违法违规内容;
第三,用户不得删除、篡改、伪造、隐匿生成合成内容标识;
第四,用户对其输入内容享有合法权利或已取得必要授权;
第五,用户不得利用产品侵犯他人知识产权、人格权、商业秘密或其他合法权益;
第六,平台有权对违规使用行为采取警示、限制功能、暂停服务、关闭账号等处置措施。
对于 B 端 AI 产品,用户协议还应与主合同、DPA、SLA、数据处理附录、信息安全条款保持一致,避免前端协议和商务合同互相冲突。
(二)隐私政策
隐私政策应承接个人信息处理链路,而不是套用普通互联网产品模板。
对于 AI 产品,应特别说明:
第一,用户输入内容、上传文件、生成结果、会话记录、反馈信息、日志信息是否会被处理;
第二,相关信息用于哪些目的,包括服务提供、安全审核、质量改进、模型优化、投诉处理等;
第三,是否向第三方模型供应商、云服务商、内容审核服务商提供;
第四,是否用于训练或优化模型;
第五,保存期限和删除规则;
第六,用户如何行使查阅、复制、更正、删除、撤回同意等权利。
如果隐私政策只写“我们可能收集您使用服务过程中产生的信息”,通常不足以支撑 AI 产品的数据处理透明度要求。
(三)AI 使用说明和风险提示
除用户协议和隐私政策外,AI 产品还应设置 AI 使用说明或功能提示。该说明可包括:
第一,生成内容可能存在不准确、不完整、不适当或过时风险;
第二,用户不应将生成内容直接作为专业意见、医疗建议、法律意见、投资建议或其他重大决策依据;
第三,涉及专业领域的生成内容应由有资质人员复核;
第四,生成内容应按规则添加和保留标识;
第五,用户不得冒充人工创作、真实体验或真实身份发布 AI 生成内容;
第六,平台提供投诉、举报、申诉和纠错渠道。
这类说明不宜只放在冗长协议中,应结合具体功能节点在界面上进行提示。
十、审查结论如何表达
本节讨论审查结论的表达方式,将法律判断转化为可执行、可留痕、可复核的上线决策材料。 |
人工智能产品上线前合规审查,最后应形成可留痕的审查结论,而不是只留下“协议已修改”的记录。
(一)建议形成审查底稿
审查底稿建议包括:
第一,产品事实说明。记录产品功能、用户路径、模型来源、部署方式、数据流转、内容输出、权限调用和第三方接入情况。
第二,监管入口判断。说明是否涉及生成式人工智能服务、算法推荐服务、深度合成服务、AI Agent、端侧 AI 等类型,以及是否可能触发备案、安全评估、标识等义务。
第三,数据处理审查。列明个人信息、敏感个人信息、训练数据、输入输出内容、日志数据、第三方共享、跨境传输等情况。
第四,内容治理审查。列明违法不良信息处置、人工复核、投诉举报、生成内容标识、日志保存等机制。
第五,法律文本审查。列明用户协议、隐私政策、AI 使用说明、企业客户合同、DPA、API 协议等文件的补正情况。
第六,风险分级和整改清单。区分上线前必须整改事项、建议优化事项、后续持续监控事项。
第七,复核记录。记录法务、产品、技术、安全、运营等部门的确认意见和责任人。
(二)审查结论可以分级表达
为便于企业决策,审查结论可以采用分级表达方式:
这个分级方式来自我们实际项目中的做法,并非监管要求的固定格式。它的目的是让法律审查结论能被产品、技术和运营直接转化为可执行的整改动作,而不是停留在“建议关注”四个字上。
(三)审查结果应区分专业底稿、管理层汇报摘要和整改清单
AI 产品上线前合规审查的交付成果,不宜只有一句“可以上线”或者“建议整改”。更稳妥的做法,是将审查结果拆成三层:
第一层是专业审查底稿,用于留痕和复核,记录事实、依据、风险、判断过程和未核实事项;第二层是管理层汇报摘要,用于决策,回答产品是否可以上线、上线前阻断项是什么、整改周期多久、哪些风险可以上线后持续监控;第三层是产品/技术整改清单,用于执行,明确需要调整的界面提示、后台配置、数据保存期限、标识方案、权限节点、日志规则和供应商条款。
这三层材料面向的对象不同。专业底稿给法务和外部律师,管理层汇报摘要给业务负责人和决策层,整改清单给产品、技术、安全和运营团队。只有区分交付形态,法律审查结论才更容易被转化为实际上线动作。
十一、结语
本节回到全文主线,说明人工智能产品合规审查为什么应当从产品结构出发,并最终落到法律文本。 |
人工智能产品法律合规审查,表面上是审协议,实质上是审产品。
如果不先审清产品结构、模型来源、数据链路、生成内容、权限调用和责任边界,法律文本很容易变成形式合规。反过来,只有先把产品如何运行拆清楚,才知道协议该写什么,隐私政策该披露什么,界面该提示什么,后台该记录什么,哪些动作必须停在人工确认节点前。
因此,人工智能产品上线前合规审查,不宜从用户协议开始,也不应止步于用户协议。
更合理的路径是:从产品结构出发,识别监管入口,梳理数据处理,审查内容治理,校准权限边界,形成审查底稿,最后再回到法律文本。
这也是我理解的 AI 产品合规审查的基本逻辑:法律文本应当作为产品合规判断的最终落点,而非起始点。
后续我会把这套审查思路进一步整理成「数熵」AI 产品法律合规诊断 Skill。以此形成一套用于梳理产品事实、识别监管入口、生成审查清单和形成初步风险提示的AI合规工作流。
正式开源前,我还会单独写一篇文章说明它的结构、使用方式和适用边界。
配套材料 为了方便项目初筛和内部沟通,我把本文同步整理成了四份配套材料(关注「数熵」后台私信“AI合规清单”即可获取): (1)合规指引PDF版: 《人工智能产品法律合规审查指引》 (2)一页纸速查表 《AI 产品上线前合规审查一页纸速查表》 (3)完整版 Checklist 《AI 产品上线前法律合规审查 Checklist》 (4)上海市委网信办发布的评估手册 《生成式人工智能行业网络数据安全风险评估工作手册》 正文负责说明审查方法,清单负责帮助读者在具体项目中逐项核对,两者不互相替代。 |
免责声明
本文仅为人工智能产品合规审查的一般性方法讨论,不构成针对任何特定产品、企业或项目的法律意见。具体项目仍需结合产品形态、业务模式、数据流转、技术架构、用户对象、上线地区及监管要求进行个案判断。
