

引言

2026年5月27日,国务院新闻办公室举行“开局起步‘十五五’”系列主题新闻发布会。司法部副部长武增明确表示,2026年司法部将加快推进人工智能健康发展综合性立法,将其作为促进科技创新、推动科技强国建设的重点立法任务。这是继2026年全国两会期间司法部部长贺荣在“部长通道”上表态“加快研究推进人工智能等领域立法”之后,监管部门再次释放的清晰信号:我国人工智能领域的基础性、综合性立法已从“研究论证”阶段实质性迈入“加快推进”阶段。
对于已经将大模型深度嵌入业务流程的企业而言,这一立法动向绝非遥远的制度叙事。从既有监管实践、立法动态和监管表态来看,AI虚假信息治理、训练数据知识产权、算法备案与安全评估等议题大概率构成未来综合立法的监管重心,而这些领域恰恰是当前企业大模型应用中合规基础最为薄弱、风险敞口最为集中的环节。立法窗口期同时也是企业合规的“前置窗口期”——在法律正式出台前完成合规体系的搭建与存量问题的清理,远比在执法集中行动中被动整改的成本更低、回旋余地更大。
在本文中,道可特网络安全和数据保护法律服务团队拟从立法路径研判出发,梳理三大监管焦点的现行规则与司法执法动向,并在此基础上提出企业大模型应用的前置合规框架,以期为企业管理层与法务团队提供可落地的行动指引。
一、立法路径研判:从“单兵突进”到综合性立法的制度逻辑

理解此次综合性立法的分量,需要将其置于我国人工智能立法的演进脉络中观察。2017年《新一代人工智能发展规划》首次提出“到2025年初步建立人工智能法律法规、伦理规范和政策体系”的目标;2023年、2024年国务院年度立法工作计划连续两年将“人工智能法草案”列为预备提请全国人大常委会审议的项目;2025年度立法工作计划则将表述调整为“推进人工智能健康发展立法工作”,全国人大常委会立法工作计划同步表述为“由有关方面抓紧开展调研和起草工作,视情安排审议”。这一表述调整曾引发学界与产业界关于立法节奏放缓的讨论,但司法部官方研究口径已明确回应:调整并非对立法必要性、紧迫性的认识发生变化,而是基于体系化构建的更深层考虑。2026年司法部先后两次高规格表态“加快推进”,恰恰印证了这一判断——立法不是慢了,而是在以更成熟的姿态酝酿一部分量更重的法律。
与此同时,一个标志性的立法事件值得高度关注:新修订的《中华人民共和国网络安全法》首次将人工智能写入国家法律,明确国家支持人工智能基础理论研究和算法等关键技术研发,推进训练数据资源、算力等基础设施建设,完善人工智能伦理规范,加强风险监测评估和安全监管。这意味着人工智能监管自此具备了法律层级的上位法依据,部门规章时代“小快灵”立法的合法性基础得到夯实,也为综合性立法预留了制度接口。
从立法技术看,未来的综合性立法大概率呈现三个特征。其一,促进与规范并重。从“人工智能健康发展”的立法名称即可看出,立法者刻意避免单纯的“管理法”定位,发展激励条款(算力基础设施、数据资源供给、应用场景开放、容错机制)与风险规制条款将并行设置,企业既是义务主体,也是制度红利的受益主体。其二,分级分类监管。参考欧盟《人工智能法》的风险分级思路与我国《生成式人工智能服务管理暂行办法》(2023年8月15日起施行,现行有效)已确立的“包容审慎和分类分级监管”原则,综合立法极有可能按应用场景的风险等级配置差异化义务——高风险场景(涉及人身安全、重大财产、公共利益、个人重大权益的医疗、金融、司法、招聘、政务等领域)将承担实质性更重的事前评估、透明度与人工监督义务。其三,存量规则的体系化整合。《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》《人工智能生成合成内容标识办法》以及科技伦理审查相关规则,构成了当前“三部门规章(《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《人工智能生成合成内容标识办法》)加一个办法(《生成式人工智能服务管理暂行办法》)再加伦理审查”的监管拼图,综合立法将对其进行提取公因式的整合与升格,部分目前仅具有规章效力的义务将上升为法律义务,违法成本相应大幅提高。
对企业的信号意义在于:监管正在从部门规章的“点状治理”走向法律层级的“体系治理”,合规要求的确定性增强、刚性增强、追责力度增强。今天停留在规章层面、以约谈整改为主要后果的义务,明天可能成为附带高额罚款乃至刑事责任衔接条款的法定义务。前置合规的本质,是用今天相对从容的投入,对冲明天确定性增强的执法风险。
二、三大监管焦点:现行规则与执法司法动向

(一)AI虚假信息治理:标识义务的全链条化与执法常态化
AI虚假信息是综合立法最具社会共识的监管靶点。现行规则的核心是2025年9月1日起施行的《人工智能生成合成内容标识办法》(国家互联网信息办公室等四部门联合发布)及配套强制性国家标准,其确立了覆盖“生成—传播—分发”全链条的双重标识制度:服务提供者须对AI生成合成的文本、图片、音频、视频、虚拟场景添加用户可感知的显式标识与嵌入元数据的隐式标识;内容传播平台负有核验义务,对未标识或疑似AI生成的内容须添加风险提示;应用分发平台在上架审核环节须核验是否含AI生成合成功能及标识是否完整;任何组织和个人不得恶意删除、篡改、伪造、隐匿标识。微信、抖音等头部平台已相继出台平台细则,将标识核验嵌入内容发布流程,监管要求已经完成向平台规则的传导。
企业的风险敞口集中在三个层面:一是作为生成式AI服务提供者未依法添加标识,或标识技术方案不符合强制性国家标准;二是企业在营销、客服、内容运营中使用大模型生成内容对外发布时未尽标识与声明义务,特别是借助第三方模型API生成内容后二次加工传播的场景,标识义务的归属与传递极易出现断点;三是利用AI生成虚假信息引发的传统法律责任——虚假广告的行政责任、商业诋毁的不正当竞争责任、编造传播虚假信息的治安乃至刑事责任,在AI加持下的传播烈度与追责概率均显著放大。需要特别提示的是,网信部门针对AI技术滥用的“清朗”系列专项行动已经常态化,标识合规已从“纸面义务”变为“执法现实”,企业不应再抱有观望心态。
(二)训练数据知识产权:全球司法分化下的中国路径选择
训练数据的知识产权问题,是大模型产业链上不确定性最高、综合立法最需要给出答案的领域。全球司法实践正呈现出耐人寻味的分化:在美国,特拉华州联邦法院在Thomson Reuters Enterprise Centre GmbH v. Ross Intelligence Inc.(汤森路透诉罗斯智能案)中认定,被告使用原告法律数据库的判决摘要训练具有直接竞争关系的法律AI工具,因商业性突出且构成市场替代,不构成合理使用;而在涉及Meta等基础模型企业的系列作家诉讼中,法院则倾向于认定模型训练具有转换性、可受合理使用保护,但同时为“市场稀释”理论保留了维权通道。在欧洲,德国慕尼黑地方法院在德国音乐著作权集体管理组织GEMA诉OpenAI案中认定模型对歌词的“记忆”与输出再现构成复制与公开传播,且不属于文本数据挖掘例外,成为欧洲首例明确认定AI训练侵权的标志性判决;英国高等法院则在Getty Images诉Stability AI案中认定AI模型本身并非侵权复制品。
国内司法同样已经给出初步信号。广州互联网法院“奥特曼”案确认生成式AI服务提供者对输出内容侵权负有注意义务与必要措施义务;杭州互联网法院在相关案件审结后向涉案企业发出司法建议,要求完善“通知—必要措施”规则、加强LoRA模型监管;上海法院则在国内首例AI大模型著作权侵权案中,认定用户利用平台训练功能生成特定角色LoRA模型的行为侵害复制权与信息网络传播权,同时认定提供中性技术且履行必要义务的平台不构成侵权。可以观察到,我国法院在输出端侵权的认定上已渐成体系,但对训练端——即未经授权将海量版权作品用于模型训练是否构成侵权、能否适用合理使用——尚无正面裁判,根源在于《著作权法》第二十四条合理使用条款的封闭式列举无法直接涵摄数据挖掘行为。综合立法或著作权法配套规则是否引入“文本与数据挖掘例外”、采取何种退出机制(opt-out)安排、如何衔接数据要素市场的授权交易机制,将直接决定中国大模型企业的语料合规成本与国际竞争位势。
在立法明朗之前,企业应当按照语料来源的“四分法”管理风险:自有数据需核查权属链条与个人信息处理的合法性基础;公开数据需评估爬取行为的合同与竞争法风险,robots协议与平台用户协议的限制不容忽视;授权数据需穿透审查授权链条的完整性,特别是再许可权限与AI训练用途是否被明确涵盖;开源数据集需逐一核对许可证条款对商业化训练的限制。汤森路透案的核心启示在于:训练数据与目标产品之间的竞争关系和市场替代性,是侵权认定的胜负手——用同业竞争对手的核心数据资产训练替代性产品,是风险等级最高的红线场景。
(三)算法备案与安全评估:从“双备案”到全生命周期合规
备案与评估是中国AI监管最具本土特色的制度工具,也是综合立法最可能升格固化的存量制度。现行规则下,面向公众提供具有舆论属性或社会动员能力的生成式AI服务,须执行“双备案”——依据《互联网信息服务深度合成管理规定》完成算法备案,依据《生成式人工智能服务管理暂行办法》完成生成式AI服务备案,且备案前须参照相关国家标准完成安全评估。截至2026年4月,全国已有868款生成式AI服务完成备案、530款应用完成登记(数据来源:国家网信办),备案已成为大模型产品合法上线的事实准入门槛。2026年3月起施行的《人工智能科技伦理审查办法(试行)》,将开展AI科技活动的企业纳入伦理审查义务主体范围;2026年7月起施行的《人工智能生成式服务安全评估指南》要求,拟人化互动服务在上线、功能重大变化或用户规模达到一定门槛时还须开展专项安全评估并向省级网信部门提交报告。监管的颗粒度正在从“模型”细化到“功能”与“场景”。
实务中企业最常见的认知误区有三:
其一,认为仅调用第三方已备案大模型API即无需任何备案——事实上,若企业基于API二次开发面向公众的产品并实质影响生成内容(如叠加自有知识库、定制系统提示词、微调模型),仍可能落入备案或登记义务范围,需结合产品形态个案判断;
其二,将备案视为一次性动作——模型迭代、语料更新、功能上新均可能触发变更备案或重新评估义务;
其三,忽视备案材料的“自缚效应”——安全评估报告中对语料来源合法性、标识技术方案、投诉处理机制的承诺,将成为日后执法检查与民事诉讼的对照基准,备案材料的严谨性本身就是法律风险管理。
三、前置合规框架:企业大模型应用的五维体系

基于上述监管图景,道可特网络安全和数据保护法律服务团队建议企业在综合立法出台前,参照“治理—数据—模型—场景—合同”五个维度搭建前置合规框架,将合规要求嵌入大模型应用的全生命周期。
第一,治理架构维度:建立权责清晰的AI治理组织。建议在董事会或经营层下设AI治理委员会或指定牵头高管,统筹技术、法务、数据安全、业务部门,明确大模型引入、上线、迭代各环节的审批权限与问责机制;对达到一定规模的企业,可参照科技伦理审查要求设立伦理审查委员会或委托外部审查。治理架构是监管沟通与责任切割的“第一道陈述”,缺乏治理架构的企业在执法程序中很难主张已尽合规努力。
第二,数据合规维度:训练与输入语料的全生命周期管理。建立语料台账制度,按来源四分法逐项记录权属依据、授权范围、个人信息处理合法性基础与脱敏措施;对外采语料供应商开展尽职调查并在采购合同中设置知识产权瑕疵担保与赔偿条款;对员工向公网大模型输入商业秘密、客户个人信息的行为制定明确的使用守则与技术管控,防范“输入即泄密”的反向风险。
第三,模型与算法合规维度:备案、评估与标识的闭环管理。对照产品形态逐一判断算法备案、生成式AI备案、登记、伦理审查、专项安全评估的适用性,绘制义务清单与时间表;按强制性国家标准落实显式与隐式双标识的技术实现;建立模型迭代触发合规复核的内部流程,确保备案信息与产品实态持续一致。
第四,应用场景合规维度:以风险分级配置管控强度。参照分级分类监管的立法趋势,对企业内部的大模型应用场景开展风险分级:面向公众的内容生成、涉及个人重大权益的自动化决策(招聘筛选、信贷审批、保险定价)、医疗与法律等专业建议输出,应划入高风险场景,配置人工复核、结果可解释、用户告知与异议渠道等强化措施;内部办公辅助等低风险场景则可适用轻量化管控,避免合规资源错配。
第五,合同与责任分配维度:在产业链上锁定风险归属。大模型产业链上模型方、部署方、服务提供者、使用者的责任边界,在立法明确之前主要依赖合同安排。企业采购模型服务时,应重点谈判训练数据合法性的陈述保证、输出内容侵权的赔偿与抗辩义务、安全事件的通知与配合条款;对外提供AI产品时,则应通过用户协议明确禁用情形、标识保留义务与免责边界,并同步留存日志证据以满足“技术中立加必要措施”抗辩的举证需要。
四、立法前瞻与行动建议

展望综合立法的可能图景,以下三个观察点值得企业持续跟踪:一是分级分类监管的具体标准与高风险清单的划定方式,这将直接决定企业的义务量级;二是训练数据合理使用或文本数据挖掘例外的取舍,及其与数据要素市场授权交易机制的衔接,这关系到存量模型的“原罪”能否获得制度性出清;三是监管沙盒、容错免责等促进型工具的落地形态,合规能力强的企业有望将其转化为先发优势。此外,立法对域外适用效力、开源模型责任豁免、终端侧模型监管等前沿问题的处理,亦将深刻影响出海企业与开源生态参与者的策略选择。
就行动节奏而言,我们建议企业把握“三步走”:
第一步,在未来三至六个月内完成大模型应用的合规盘点,全面摸排正在使用与计划引入的模型、场景、语料与既有备案状态,识别与现行规则的差距;
第二步,以盘点结果为基础,在立法出台前完成五维合规体系的制度建设与高风险场景的整改,优先处理标识缺失、语料权属不清、应备未备等显性风险;
第三步,建立立法动态跟踪与快速响应机制,在征求意见稿发布阶段积极通过行业协会等渠道参与规则博弈,并预留草案与正式文本之间的调适期。
结语

立法的钟声往往在企业最忙于增长的时候敲响。司法部“加快推进人工智能健康发展综合性立法”的表态,标志着中国AI治理正从规章拼图走向法律体系的关键一跃。对企业而言,真正的分水岭不在法律出台之日,而在今天——是把合规视为创新的对立面,还是把前置合规转化为穿越监管周期的确定性资产。在技术狂奔与规则成形的交汇处,合规基础扎实的企业,才有资格参与下一程的竞速。道可特网络安全和数据保护法律服务团队将持续跟踪立法进程,适时推出综合立法草案条文解读与行业专项合规指引,敬请关注。
声明

本公众号所刊登的文章仅代表作者本人观点,不得视为道可特网络安全和数据保护法律服务团队或其律师出具的正式法律意见或建议。如需转载或引用该等文章的任何内容,请注明出处。未经本所书面同意,不得转载或使用该等文章中包含的任何图片或影像。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。


夜雨聆风