企业大模型服务合规指南:深度解析备案与登记制度
伴随AI技术的爆炸式发展,尤其是大模型(LLM)在各行各业的深度应用和整合,企业利用AI技术提升效率、创新服务的步伐不断加快。无论是像DeepSeek这样的前沿技术提供者,还是积极拥抱AI转型的传统企业,在面向公众提供基于大模型的智能服务时,合规运营已成为可持续发展的生命线。确保服务符合监管要求,避免被“下架”的关键举措之一,就是完成大模型服务的备案或登记。本文将为您详细梳理企业该如何判断自身情况、准备材料并完成备案/登记流程。
一、何种情况需要大模型备案或登记?
企业是否需要进行备案或登记,主要依据服务性质、模型来源、地方监管要求和特定资质需求综合判断:
-
(一)大模型备案:必须备案 (强备案制 - 核心监管对象-应备尽备):
- 涉及内容生成: 提供文本、图像、音频、视频等内容生成能力。
- 具备舆论引导或社会动员能力: 模型输出内容对公众观点、社会议题有显著影响力或能组织动员人群。
- 面向境内公众开放: 服务主要在中国大陆范围内向不特定公众提供服务(如公开网站、APP、API接口)。
- 同时满足以上三个条件,必须进行算法备案(通常也需大模型登记/大模型备案)。
-
大模型备案类型(视具体情况而定):
- 自研大模型商用: 企业自主研发的大模型,并将其用于商业经营活动(无论是核心业务还是辅助功能)。
- 基于开源模型深度微调商用: 企业基于开源大模型进行了显著的二次微调(Fine-tuning),拥有较大规模的、特定的训练数据集,并将调优后的模型用于商业目的。
- 以AI生成服务为主业/核心宣传点: 企业的主营业务核心依赖生成式AI,或在市场宣传推广中将其作为重要卖点。
- 符合地方网信办要求: 如果企业所在地的省级或市级网信办、工信局等部门明确发文通知或推荐特定范围的企业进行备案,应按规定执行。
(二)需要进行大模型登记的情况
-
通过 API 等调用第三方已备案大模型且面向公众提供服务 :主要适用于具有舆论属性或社会动员能力、面向境内公众提供服务,且通过 API 等技术调用第三方已备案大模型的生成能力来赋能的 AI 产品。这类产品本身没有独立的大模型研发和训练过程,只是利用第三方已有的、且已备案的大模型能力来实现自身的功能,需要进行大模型登记及算法备案。
-
(三)可以进行登记或备案 (按需备案/登记 - “愿备尽备”):
- 因特定资质要求: 企业提供的服务本身可能不具备强舆论属性或社会动员能力(例如,企业内部效率工具、特定垂直领域专业助手),但因其业务性质(如招投标项目要求、客户合同条款、行业准入规定等),需要提供备案或登记证明以满足资质要求。此时,可主动联系属地网信办,说明实际情况和需求,申请进行相应的大模型登记(相对简化)或备案(较完整)。
二、哪些情况可以暂缓或无需进行备案或登记?
基于当前监管实践和对材料的理解,以下情况通常不需要进行大模型备案或登记:
- 非生成式AI服务: 仅提供决策类、预测类、推荐类(不生成新内容)、视觉识别(非生成)、语音识别(非合成)等传统AI服务,不涉及内容创作生成。
- 纯企业内部使用: 大模型服务仅在组织或集团内部运行,不通过公开渠道面向任何外部公众提供服务。
- 科研测试未商用: 仅限于非商业目的的研究、开发、测试阶段,未投入实际生产运营面向公众。
- 面向特定行业及人群:模型仅限于面向特定行业及人群,因不具有舆论属性及面向公众提供服务,无需进行模型备案或者登记;
- 地方网信办无明确要求且无资质压力: 服务性质相对简单且影响力有限,所在地监管部门未作要求,企业自身也无获取备案/登记资质的迫切需求(如前述招投标等)。
三、大模型备案与登记所需材料一样吗?
不一样! 两者的核心差异在于监管强度和风险评估深度。如果想要模型合规上线,符合条件的需完成大模型备案/登记手续。
-
大模型备案:
- 要求提交的材料更全面、更深入。
- 除了主体信息、服务描述外,通常要求详细提供:
- 详尽的自评估报告: 内容涵盖模型技术架构、训练数据处理过程(来源、清洗、标注、去标识化等)、内容安全策略(如内容过滤、偏见控制、价值观对齐)、内容生成规范、应急响应预案、用户权益保护机制等。深度评估模型在生成内容安全、数据安全、算法透明度、公平性等方面的风险控制能力。
- 深入的安全评估: 省级网信办将组织进行更严格的内容安全测评。
- 额外账户要求: 需要提供10个“裸奔账号”(未附加任何安全审核措施的测试账号)和10个附加了企业已有安全审核措施的“附加安全审核测试账号”。
- 后续审核流程涉及中央网信办,最终由国信办公示。
-
大模型登记:
-
- 要求提交的材料相对简化不涉及语料及训练。
- 自评估报告。
- 安全承诺或说明: 阐述企业在内容安全、数据安全、用户权益方面已采取的基本措施或遵守的规范。
- 上线备案表: 包括企业主体信息、模型调用、服务于安全防范、安全评估等。
- 不涉及中央网信办审批,由省级网信办核准并管理。
- 省级网信办组织进行相对简化的安全测评。
- 只需提供10个“附加安全审核测试账号”,但需确保测试通道长期有效。
四、大模型备案/登记流程详解
整个流程涉及企业、省级网信办、相关主管部门(如有)和中央网信办多方参与,需要企业投入时间和资源进行准备:
-
启动阶段:
- 企业主动申请: 企业根据自身情况判断并决定启动备案或登记流程。
- 或被通知办理: 企业可能收到省级网信办的通知,要求其办理备案或登记。
-
材料领取与清单明确:
- 省级网信办会联系企业,明确告知需准备的详细材料清单,告知具体要求与模板。
-
自评估报告与材料准备(核心环节,耗时最长):
- 企业组建专项小组(需法务、技术、安全、业务等多部门协同),按照清单要求:
- 撰写详细/简化的自评估报告(这是审查重点)。
- 收集整理所有支持性文件和证明材料(主体资质、技术文档、管理制度、安全策略、用户协议、隐私政策等)。
- 关键: 确保材料内容真实、准确、完整、合法合规且符合数据安全(《数据安全法》、《个人信息保护法》)和生成式AI特定法规的要求。企业法务需重点把关合规性。
- 企业组建专项小组(需法务、技术、安全、业务等多部门协同),按照清单要求:
-
材料提交与初审:
- 企业按要求准备纸质版和电子版材料,线下提交至属地省级网信办。
- 修改打磨期(重要且常见): 省级网信办进行形式审查和初步内容审查。材料非常可能因为格式不规范、内容不清晰或深度不够、缺失文件、合规漏洞等问题被反复驳回要求修改(通常需要4-5次修改)。企业需保持耐心,根据反馈意见认真修改完善。
-
安全测评阶段:
- 材料初审通过后, 省级网信办或其指定的技术机构将对服务接口进行安全测评:
- 大模型备案: 需要企业提供并使用10个裸奔账号 + 10个附加安全审核测试账号进行测试,且测试通道需长期保持有效。
- 大模型登记: 需要企业提供并使用10个附加安全审核测试账号进行测试。且测试通道需长期保持有效。
- 测试重点:内容安全性(意识形态、政治敏感、涉黄、涉暴、涉恐、价值观导向等)、其他基础安全风险。
- 根据测评结果,可能需要进一步调整模型或安全策略,并进行复测。
- 材料初审通过后, 省级网信办或其指定的技术机构将对服务接口进行安全测评:
-
主管部门审核(如有):
- 对于涉及特定行业(如金融、医疗、教育、新闻等)的大模型应用,省级网信办在材料和安全测评通过后,可能会将材料提交给对应的行业主管部门(如证监会/银保监会、卫健委、教育部、国家新闻出版署等)征求意见或进行审核。
-
中央网信办复核(备案流程特有):
- 大模型备案: 省级材料、安全测评结果及主管部门意见(如有)通过后,统一提交国家网信办(中央网信办)进行最终复核。
- 大模型登记: 不涉及此步骤,由省级网信办最终决定。
-
公示与完成:
- 大模型备案:
- 中央网信办复核通过后,模型将率先在其属地(所在省或市)网信办的官方网站上进行公示。
- 最终,由中央网信办在国家网信办官方网站上统一公示《生成式人工智能服务已备案信息公告》。
- 大模型登记: 由省级网信办在其网站或通过其他途径进行公示或告知已完成登记(具体公示方式可能由各省级网信办自行规定)。
- 大模型备案:
完成大模型备案或登记是企业合法合规经营、赢得用户信任、规避监管风险的关键一步。流程虽涉及环节多、材料准备要求高、审查严格,但这不仅是监管要求,更是企业提升自身AI治理能力、保障服务质量与安全、实现长远发展的基石。企业在拥抱AI浪潮创造价值的同时,务必高度重视合规体系建设,尽早了解自身定位(备案/登记/无需),主动沟通属地网信部门,投入必要资源,耐心细致地完成流程,为AI业务的稳健腾飞奠定坚实基础。