水殿合规|企业引入AI工具的合规审查清单与采购要点

导语摘要：企业引入AI工具时，不能只看功能、价格和演示效果，更不能把AI采购简单理解为一次软件采购或技术外包。生成式人工智能、算法推荐、深度合成、智能客服、代码助手、文档处理、营销生成、知识库问答、风控评分等工具，已经深度进入企业经营流程，一旦采购前未进行合规审查，可能同步引发数据泄露、个人信息违法处理、商业秘密外流、知识产权侵权、算法备案缺失、生成内容标识不规范、境外数据传输违规、服务中断责任不清以及供应商退出困难等复合风险。

一、AI采购不是技术部门的孤立事项，而是企业治理结构中的新型合规入口

过去企业采购软件，重点通常在功能匹配、部署成本、接口兼容、售后响应和价格谈判。法律部门即便参与，也多是在合同签署前审查付款条款、违约责任、保密义务和争议解决。但AI工具的引入改变了这一传统路径。AI系统不是被动执行固定指令的普通软件，它可能吸收企业数据，推断业务关系，生成文本、图片、代码、方案、报告甚至决策建议；它也可能通过接口接入企业邮箱、客户管理系统、财务系统、知识库、人事系统和内部通讯工具。此时，采购行为不再只是获得工具使用权，而是把企业的数据、流程、知识和判断部分交给外部算法体系处理。技术便利的背后，实际发生的是企业治理边界的外包。

大量企业在引入AI工具时，最容易被演示效果吸引。供应商展示自动写方案、自动生成合同、自动归纳会议纪要、自动回复客户、自动分析报表、自动生成营销图片，业务部门会自然认为这是一种降本增效工具。但从合规视角看，真正需要追问的是：输入给AI的资料中是否包含个人信息、商业秘密、未公开财务数据或客户资料；这些数据是否会被供应商用于模型训练；输出内容是否带有AI生成合成标识；服务提供商是否属于需要算法备案、安全评估的主体；模型部署在境内还是境外；员工是否可以未经授权上传合同、案件资料、客户名单、研发文档和源代码；一旦AI输出错误内容、侵权内容或违法内容，责任由谁承担；合同终止后，供应商是否删除企业数据，模型中已经吸收的数据是否能够有效隔离。这些问题若不在采购前回答，采购后往往很难通过补充协议完全修复。

对于民营企业家和上市公司管理层而言，AI采购更不应被视为“IT部门自己的事情”。AI工具一旦接入核心业务，可能影响公司数据资产安全、客户权益保护、员工管理合规、对外信息发布、产品质量控制和董事高管勤勉义务。上市公司若使用AI生成公告、投资者关系材料、营销宣传内容或客户服务内容，还可能与信息披露真实性、准确性和完整性发生关联；医疗、金融、教育、法律、会计、广告、互联网平台等行业若使用AI工具直接面向公众或客户提供服务，则更可能触及特殊行业监管。企业管理层若只批准预算而不建立审查机制，未来发生数据泄露、违法内容生成或重大服务中断时，很难用“不懂技术”作为治理层免责理由。

二、企业引入AI工具，实质上同时进入算法治理、数据治理与内容治理三套规则

从规范结构看，AI合规并不是一部法律能够覆盖的单一问题，而是由算法推荐治理、生成式人工智能治理、深度合成治理、个人信息保护、数据安全、网络安全、数据出境、知识产权、反不正当竞争和行业监管共同构成的复合规范体系。企业采购AI工具时，不能只问供应商是否“合法经营”，而应拆解其服务类型、应用场景、数据流向和输出内容。不同AI工具对应不同监管重心：智能推荐工具侧重算法推荐规则，图文音视频生成工具侧重生成式AI与深度合成标识，知识库问答工具侧重企业数据输入与模型训练边界，智能风控和人事筛选工具侧重自动化决策透明度与个人权益保护，跨境SaaS工具则必须重点审查数据出境路径和境外接收方义务。

规范解释上需要特别区分“AI服务提供商的合规义务”和“采购企业自身的合规义务”。有些企业误以为只要供应商完成备案或拥有资质，采购方就没有风险；也有些企业反过来误以为所有AI工具都必须完成算法备案，否则一律不能采购。两种理解都过于粗糙。算法备案、安全评估、生成合成内容标识等义务，主要针对符合特定情形的服务提供者或技术支持者；但采购企业作为使用者、数据处理者、个人信息处理者或者内容发布者，仍然负有数据分类分级、个人信息授权、商业秘密保护、输出内容审核、员工使用管理和供应商监督义务。换言之，供应商合规并不当然消灭采购方责任，采购方合规也不能替代供应商依法履行备案、评估和标识义务。

从制度目的看，AI监管并不是要阻止企业使用AI，而是要防止技术能力在缺乏边界的状态下进入社会运行系统。算法备案要求提高算法服务透明度，生成合成内容标识要求公众能够识别AI生成信息，数据出境规则要求数据跨境流动在安全与效率之间取得平衡，个人信息委托处理规则要求处理目的、方式和责任边界能够被合同化确认，网络数据安全规则要求数据处理者对安全承担主体责任。企业采购AI工具的合规审查，正是把这些宏观监管目标转化为采购阶段的具体问题：能不能买，怎么买，买来怎么用，数据怎么交付，输出怎么审核，风险由谁承担，服务终止后如何退出。

三、AI工具采购的核心不是“选产品”，而是建立风险分层的准入机制

企业引入AI工具，应当建立区别于普通软件采购的准入机制。普通办公软件的主要风险是功能可用性和信息安全，AI工具的风险则具有生成性、外溢性和不可完全预见性。所谓生成性，是指AI输出并非完全由企业事先编写，而是在模型推理过程中形成，可能出现幻觉、偏见、侵权或违法内容；所谓外溢性，是指企业输入的数据可能通过训练、日志、供应商运维、第三方插件或跨境存储向外扩散；所谓不可完全预见性，是指即便同一工具在演示阶段表现良好，在真实业务场景中也可能因提示词、数据质量、权限设置和用户行为不同而产生不同风险。因此，AI采购不能只做合同审查，而应建立从需求提出、供应商筛选、合规评估、技术测试、合同谈判、上线审批、员工培训到持续审计的全流程机制。

采购合规审查，本质上是一套“技术采购前置法务化”的方法。企业内部的技术部门通常能够判断模型能力、接口稳定性和系统兼容性，业务部门能够判断场景价值，财务部门能够判断成本收益，但只有把法务、合规、数据安全、信息安全和知识产权人员纳入采购前置环节，企业才能真正看见隐藏在工具背后的法律责任。尤其是当AI工具将被用于客户交互、合同审查、财务分析、人事筛选、营销投放、产品设计、代码开发或经营决策时，其输出可能直接影响第三方权益或公司对外责任，合规审查就不能停留在形式审阅，而应转化为上线门槛。

企业可以把AI工具分为低风险、中风险和高风险三类。低风险工具通常只处理公开信息或非敏感内部资料，输出仅供个人办公参考，不直接对外发布；中风险工具可能处理一般经营数据、客户信息或内部知识库，输出会进入业务流程但仍有人工复核；高风险工具则涉及个人敏感信息、重要数据、商业秘密、核心代码、客户画像、自动化决策、公众内容生成、跨境调用或高频外部交互。不同风险等级应配置不同采购要求。低风险工具可以采用简化审查，中风险工具必须签署数据处理协议和安全条款，高风险工具则应进行专项合规评估、技术安全测试、供应商尽调和管理层审批。风险分层的意义在于避免“一刀切”：既不让合规阻碍所有创新，也不让高风险AI披着普通SaaS外衣进入企业核心系统。

为便于企业落地，水殿将十项采购审查要点概括如下，但表格只是入口，不能替代后续的法律审查和技术验证。

算法备案不能机械化理解，关键在于识别服务类型和监管责任

企业采购AI工具时，首先应审查供应商是否属于需要算法备案、安全评估或公示备案编号的主体。这里的关键不是简单要求每一个AI产品都提供备案编号，而是判断该产品是否在中国境内应用算法推荐技术提供互联网信息服务，是否属于生成合成、个性化推送、排序精选、检索过滤、调度决策等算法服务，是否具有舆论属性或社会动员能力，是否面向公众提供生成式AI或深度合成服务。如果供应商面向社会公众提供文本、图片、音频、视频生成服务，或者作为深度合成服务技术支持者提供相关能力，采购企业就应要求其提供算法备案、安全评估、备案主体与产品范围说明，并核验备案信息与实际采购产品是否一致。

但实践中更容易被忽视的是“备案适配性”。有些供应商确实完成了算法备案，但备案产品与企业实际采购的私有化版本、行业定制版、API接口版并不完全一致；有些供应商完成的是推荐算法备案，却向企业提供生成式内容工具；有些供应商以集团内其他主体名义备案，而合同签约主体、数据处理主体和实际运营主体并不一致。采购审查不能只看一张备案截图，而应追问备案主体、产品名称、算法类型、服务形态、实际运营者、技术支持者和合同主体之间是否匹配。若备案范围无法覆盖实际采购服务，企业应要求供应商作出书面说明，并在合同中约定因备案缺失、备案变更不及时或监管整改导致服务受限时的责任承担。

对于仅在企业内部部署、不面向公众提供互联网信息服务的AI工具，算法备案义务可能并不当然适用，但这并不意味着可以放弃合规审查。内部部署工具仍可能处理个人信息、商业秘密、重要经营数据，仍可能通过API调用境外模型，仍可能生成对外文件或客户回复。企业应建立内部AI工具登记制度，记录工具名称、供应商、部署方式、数据类型、调用接口、使用部门、输出用途和审批结论。备案义务是外部监管要求，内部登记则是企业治理要求；前者不能完全替代后者，后者也不能掩盖前者缺失。

五、数据归属、模型训练与跨境存储，是AI采购合同的风险中枢

AI采购合同中最重要的条款，并非价格和账号数量，而是数据处理协议。企业必须明确输入数据、过程数据、提示词、上传文件、用户反馈、系统日志、输出结果、微调数据、向量数据库和知识库索引分别归属于谁，供应商可以在何种目的、何种期限、何种范围内处理这些数据，是否可以将数据用于产品改进、模型训练、算法优化、故障排查、统计分析或第三方服务调用。若合同只笼统写“供应商应对客户数据保密”，而没有定义数据范围和使用边界，未来一旦发生争议，企业很难证明供应商超范围使用数据。

模型训练条款尤其应当独立审查。许多AI服务会在用户协议中设置“为改进服务而使用用户输入和输出”的默认条款，个人用户也许可以通过设置关闭，但企业采购不能依赖员工自行判断。企业应要求供应商明确：企业输入数据是否默认用于训练或优化模型；如需使用，是否必须经企业单独书面授权；企业数据是否与其他客户数据隔离；是否存在人工审核或人工标注；训练后模型是否能够删除或隔离特定企业数据；供应商是否将数据提供给基础模型厂商、云服务商、插件服务商或境外关联公司。对于涉及客户资料、商业秘密、源代码、未公开合同、财务数据和内部法律文件的场景，原则上应要求供应商默认不将企业数据用于通用模型训练，并通过合同、技术配置和审计记录共同确认。

数据存储位置和跨境调用则是另一项高频风险。许多AI工具表面上由境内主体销售，但底层模型、云服务、日志分析或客服系统可能部署在境外，企业上传的数据可能在不知情的情况下被传输、访问或备份至境外。数据出境合规并不只看服务器物理位置，也要看境外主体是否能够访问、调取、下载或处理境内收集产生的个人信息和重要数据。采购企业应要求供应商披露数据中心位置、备份位置、运维访问权限、境外接收方、跨境调用链路、加密措施和出境合规路径。对于员工个人信息、客户个人信息、敏感个人信息、重要数据或行业监管数据，企业还应结合安全评估、标准合同、个人信息保护认证和豁免规则进行专项判断。若供应商拒绝披露数据流向，只以“符合相关法律法规”笼统承诺，采购方应将其视为重大风险信号。

六、生成合成内容标识，是企业对外使用AI内容时最容易忽视的合规细节

AI输出内容的合规标识，已经从伦理倡议进入明确监管阶段。企业使用AI生成文本、图片、音频、视频、虚拟场景等内容时，应区分内部参考和对外传播两种场景。内部使用AI生成会议纪要、初稿、总结报告，通常风险较低；但若企业将AI生成的营销海报、短视频、虚拟人直播内容、产品介绍、新闻稿、客户告知、培训材料或平台内容对外发布，就可能涉及显式标识、隐式标识、用户声明、平台核验和不得删除篡改标识等要求。尤其在广告宣传、投资者关系、公益宣传、法律服务、医疗健康、金融产品、教育培训等场景中，AI生成内容若未标识或标识不当，可能导致公众误认信息来源，进一步引发虚假宣传、侵权、监管处罚或声誉风险。

采购AI工具时，企业不能只问供应商“能不能生成”，还要问“能不能合规生成”。合同和技术测试中应确认：工具是否支持对文本、图片、音频、视频和虚拟场景添加显式标识；下载、复制、导出文件时标识是否保留；是否在文件元数据中添加隐式标识；用户是否可以关闭显式标识，关闭后是否有日志和责任提示；企业作为内容发布方能否在发布平台继续保留标识；供应商是否提供标识管理说明和合规更新承诺。如果工具的商业卖点是“无水印生成”“去除AI痕迹”“绕过平台检测”，企业应高度警惕，因为这类功能可能与监管要求发生直接冲突。

企业内部还应建立AI生成内容发布审核机制。对于仅供内部参考的草稿，可以不进入严格发布审批；但凡涉及对外传播、客户交付、招投标文件、上市公司公告、广告宣传、新闻稿、培训课程、知识付费产品、法律文书或行业监管材料，均应设置人工复核、事实核验、标识确认和版权检查。AI生成内容不能直接替代企业的真实性审查义务。标识只是合规的起点，不能证明内容真实、合法、无侵权。企业若把AI内容不经审核地对外发布，最终承担责任的仍可能是企业本身，而不是生成工具。

七、SLA和知识产权条款，决定AI工具从“好用”变成“可追责”

服务级别协议在AI采购中不能再被视为技术附件。传统SLA关注系统可用率、响应时间、故障修复和赔偿抵扣，但AI服务还应增加输出准确性边界、模型更新影响、内容安全过滤、数据泄露响应、API调用失败、插件错误、重大漏洞修复、监管整改导致服务变化等内容。供应商通常会在合同中强调AI输出具有不确定性，仅供参考，不承诺完全准确。该免责逻辑有一定合理性，但不能无限扩大。如果AI工具用于企业知识库检索、客户服务、合同初审、财务分析、代码生成或安全监测，供应商至少应保证系统按约定方式运行，采取合理安全措施，及时修复已知缺陷，对其过错导致的数据泄露、服务中断或第三方侵权承担责任。

企业应避免接受过低的赔偿上限。许多SaaS合同将供应商责任限制在已收取服务费总额或最近十二个月服务费范围内，但AI工具一旦导致客户数据泄露、商业秘密外流、监管处罚或重大业务中断，损失远可能超过服务费。对于高风险AI工具，企业应要求区分一般违约责任和特别责任，对数据泄露、保密义务违反、知识产权侵权、恶意或重大过失、违法转委托、未经授权用于训练等情形设置更高赔偿上限或不适用一般责任限制。责任划分的目的不是把所有风险压给供应商，而是让供应商承担其能够控制且应当控制的风险。

知识产权条款同样是AI采购中的核心条款。企业必须分别约定输入材料、输出内容、提示词模板、企业知识库、微调模型、插件开发成果、定制化功能、接口代码、模型参数、训练数据和改进成果的权属。供应商应承诺其模型、软件、训练数据来源和交付成果不侵犯第三方合法权益，并在第三方主张侵权时提供抗辩、替换、修改或赔偿机制。对于AI生成内容能否获得著作权保护、是否存在与他人作品实质性相似、是否可商用等问题，企业不能仅依赖供应商营销承诺，而应在合同中明确使用范围、侵权担保、风险提示和人工参与要求。尤其是营销、设计、代码开发、内容创作、法律文本和产品方案等场景，输出成果的权利清洁度直接影响企业商业化使用安全。

八、安全评估、透明度和可解释性，是企业高风险场景上线前的底线

安全评估不是供应商的一份宣传材料，而应是企业判断AI工具能否进入业务系统的依据。对于面向公众提供、具有舆论属性或者社会动员能力的生成式AI和深度合成服务，供应商应依法完成相应安全评估和备案手续；对于企业内部高风险应用，即便不当然触发外部监管意义上的安全评估，企业也应要求供应商提供训练数据安全、模型安全、内容安全、访问控制、漏洞管理、日志留存、权限隔离、加密传输、灾备恢复和第三方测评材料。若AI工具将处理个人敏感信息、重要经营数据、客户决策信息或核心商业秘密，企业还应组织信息安全、法务和业务部门进行上线前联合评审。

算法透明度和可解释性并不要求供应商公开全部模型参数或商业秘密，而是要求企业能够理解工具的基本工作方式、适用边界、主要风险和可审计记录。采购方至少应要求供应商提供模型能力说明、数据处理说明、输出限制说明、更新机制、人工干预机制、日志记录方式和风险提示。对于自动化决策场景，如授信评分、员工绩效筛选、客户分层、价格推荐、风控预警、招聘初筛等，企业还需要关注结果公平性、反歧视、解释权和人工复核。AI如果只是辅助生成文案，解释要求相对较低；AI如果影响个人权益、客户交易条件或员工评价，透明度和可解释性就成为法律与伦理上的核心要求。

企业管理层应特别防止“黑箱外包”。如果一个工具的输出会被业务部门直接采纳，但企业无法知道其数据从哪里来、依据什么逻辑生成、错误如何纠正、偏见如何发现、日志如何追踪，那么该工具不应进入核心决策链条。AI越强，越需要边界；算法越复杂，越需要审计。采购方不能要求供应商交出全部技术秘密，但可以要求其提供足以支持企业履行合规义务的说明、记录和协助。

九、应急响应和退出方案，决定企业能否在风险发生时保留主动权

很多企业采购AI工具时只考虑上线，不考虑下线；只考虑服务开通，不考虑数据迁移；只考虑供应商承诺，不考虑供应商失联、涨价、被处罚、被收购、停止服务或发生重大安全事故后的替代路径。这在AI场景中尤其危险。AI工具一旦深度接入企业知识库、客户系统、办公流程和业务决策，退出成本会迅速上升。若合同没有约定数据导出格式、迁移协助、删除证明、账号关闭、日志留存、模型隔离和过渡期服务，企业可能在终止合同时既拿不回完整数据，也无法确认供应商是否继续保留数据，更无法迅速切换到其他系统。

应急响应机制应覆盖至少四类情形。第一类是数据安全事件，包括数据泄露、非法访问、账号被盗、越权下载、供应商员工违规接触企业数据。第二类是内容安全事件，包括AI生成违法违规内容、虚假信息、歧视性内容、侵权内容或对外误导性材料。第三类是服务连续性事件，包括系统大规模中断、接口异常、模型升级导致功能失效、监管整改导致服务暂停。第四类是合规状态变化，包括供应商备案被撤销、资质变化、数据中心迁移、境外接收方变更、转委托安排变化。企业应要求供应商在约定时限内通知、处置、协助调查、提供日志、修复漏洞、删除违法内容、通知受影响主体，并配合监管报告或客户沟通。

退出方案则应写入合同主文，而不是留给后续协商。企业应明确合同终止后的数据返还和删除义务，要求供应商提供机器可读格式的数据导出、合理迁移协助、删除或匿名化证明、备份数据清除周期、模型训练数据隔离说明以及保密义务持续有效条款。对于高风险工具，还应保留源数据备份和替代供应商方案，避免形成单一供应商锁定。AI采购不是一次性交易，而是持续依赖关系；没有退出机制的采购，实质上是在把企业未来的选择权交给供应商。

十、建议企业建立“AI采购合规审查表+合同条款库+上线审批”的三层机制

企业若要把AI采购合规真正落地，不能只靠法务在合同最后一轮提出修改意见，而应建立三层机制。

第一层是AI采购合规审查表，由业务部门在提出采购需求时同步填写，说明使用目的、处理数据类型、是否涉及个人信息、是否对外发布内容、是否接入核心系统、是否跨境、是否用于自动化决策、是否需要供应商运维访问。该表格不是行政负担，而是风险识别入口。没有清楚的使用场景，就无法判断适用规则；没有数据类型说明，就无法审查数据处理协议；没有输出用途说明，就无法判断标识和审核要求。

第二层是合同条款库。企业应针对AI工具形成标准条款，包括数据归属、处理目的限制、禁止训练条款、转委托限制、跨境披露、保密义务、知识产权归属、侵权担保、标识合规、日志留存、监管协助、SLA、赔偿上限、应急响应、终止删除和审计权。不同风险等级的AI工具可以适用不同强度条款，但不能每次完全从供应商模板开始谈判。供应商模板通常更重视免责和使用限制，采购企业如果缺乏自己的条款库，就很容易在合同结构上被动接受供应商风险分配方案。

第三层是上线审批和持续审计。AI工具通过采购并不意味着可以无限制使用。企业应建立账号权限管理、员工使用规范、禁止上传清单、输出审核流程、对外发布审批、日志抽查和定期复评。员工不得随意将客户资料、个人信息、商业秘密、源代码、未公开财务数据、诉讼材料或监管文件上传至未经批准的AI工具；业务部门不得将AI输出直接作为最终结论对外发送；技术部门不得擅自接入第三方插件或境外API；供应商发生重大变更时，应重新触发合规评估。AI工具的风险不是采购当天固定不变，而会随着模型升级、业务扩展、数据积累和监管变化不断演化。持续审计，是企业保持控制力的唯一方式。

结语：企业拥抱AI，真正需要的是速度与边界并存的治理能力

AI工具正在改变企业的生产方式。它可以让小团队完成过去大团队才能完成的文档、设计、客服、分析、编程和管理工作，也可以帮助企业降低重复劳动成本，提升知识复用效率，创造新的业务模式。但越是强大的工具，越不能在缺乏规则的状态下被引入核心经营系统。企业一旦把数据、流程和判断交给AI，就必须同时建立合规审查、技术验证、合同约束、员工管理和风险应急机制。否则，AI带来的不是数字化转型，而可能是数据资产失控、商业秘密外泄、知识产权纠纷、监管处罚和组织治理失序。

合规所关注的，不是把企业挡在AI门外，而是帮助企业以更安全的方式进入AI时代。企业不应因为风险而拒绝技术，也不应因为效率而忽视边界。成熟的AI采购，必须把算法备案、数据处理、模型训练、数据跨境、内容标识、SLA责任、知识产权、安全评估、算法透明和退出方案放在同一张审查清单中综合判断。只有这样，企业才能看清一个AI工具到底是低风险办公助手、中风险业务插件，还是高风险核心系统。

AI合规不是法务部门的保守姿态，而是数字化竞争中的治理能力。未来真正有竞争力的企业，不只是最早使用AI的企业，而是能够把AI纳入公司治理、数据治理、内容治理和合同治理之中的企业。速度决定企业能否抓住技术窗口，边界决定企业能否走得长远。水殿的价值，正在于帮助企业把技术热情转化为可持续的合规秩序，让AI成为增长的引擎，而不是埋在系统深处的法律风险。