技术进出口合规风险识别
算法与模型备案/登记合规风险识别
网络安全风险识别
企业资质合规
作者 |项晨 张烜 张嘉豪
前言:在人工智能企业投融资法律尽职调查要点(上篇)的内容中,我们梳理了人工智能企业的类型化特征、知识产权风险及训练数据合规等尽调要点。但是,人工智能企业的法律风险不仅仅是在技术与数据层面,随着技术商业化与跨境布局的加速,尽调中需要关注的监管领域也从“数据输入端”拓展至“技术输出端”及“业务运营端”。因此,中篇将聚焦于投融资交易中的以下几大尽调要点:技术进出口合规风险识别、算法与模型的备案/登记合规风险识别,以及网络安全与企业资质的合规风险识别。
当前,我国已形成由《出口管制法》《技术进出口管理条例》《中国禁止出口限制出口技术目录》构建的技术出口管制监管框架,监管层面始终秉持“实质重于形式”的审查原则,即便企业通过境外主体迁移、核心团队外迁等方式开展跨境技术转移,只要核心技术在中国境内研发形成,相关行为仍受中国法律管辖。
Manus收购案所传递的监管导向亦明确,人工智能企业未经合规审批擅自开展技术跨境转移,将导致交易受阻,面临行政处罚甚至承担刑事责任风险,直接冲击标的企业持续经营能力与核心投资价值,故应在投融资尽调中开展全维度、穿透式核查。
1.技术出口高风险场景
人工智能企业投融资尽调中,需关注以下高风险技术出口场景:
第一,境内核心算法、模型参数的跨境转移行为;
第二,通过总部迁址、境外运营主体变更、核心技术团队外迁等方式实现的变相技术转移行为;
第三,跨境并购、技术许可、海外合资合作中,向境外主体提供管制技术的行为;
第四,中国籍技术人员向境外组织、个人提供境内研发管制技术的行为。
2.技术出口的合规性核查
(1)核心技术属性的核查
首要核查企业核心技术(包括预训练模型算法、AI智能体技术、交互界面技术、个性化推荐算法、训练框架等)的研发形成地、知识产权归属,匹配《中国禁止出口限制出口技术目录》,明确技术管制类别:针对禁止类技术需核查是否存在任何形式的跨境转移行为;针对限制类技术需核查是否已向商务部申请并取得技术出口许可证,是否存在未经许可擅自出口的情形;针对自由出口技术需核查是否已依法完成进出口合同备案登记。对于技术属性认定存疑的,需核查企业是否已委托专业机构进行评估,避免因属性误判引发合规风险。
(2)技术出口行为的核查
围绕人工智能企业的技术出口场景,核查是否存在规避监管的违规行为。例如,是否存在“境内研发、境外落地”却未履行审批登记程序的情形;是否通过主体迁移、团队外迁开展的技术转移,是否同步履行了对应合规手续;向境外主体提供管制技术的,是否严格遵守许可文件约定的地区、范围等;是否存在向中国出口管制管控名单内主体提供技术的情形。
(3)企业内部合规制度核查
需核查标的企业是否建立健全技术出口合规内部审查制度,是否对核心技术、核心人员开展常态化出口管制合规培训;核查技术出口相关的交易合同、许可审批文件、技术传输记录等资料是否完整留存,留存期限是否符合监管要求;核查企业是否建立动态合规机制,能够匹配《中国禁止出口限制出口技术目录》的动态调整,及时更新技术管控范围与合规流程。
在人工智能企业的投融资交易中,算法与模型备案/登记合规是决定标的企业业务合法性、持续经营能力的基础性尽调事项。该事项关系到标的企业是否存在被责令暂停服务、产品下架整改、行政处罚的法律风险,也是其市场准入、规模化商业拓展的前提之一。
1.备案/登记合规义务的边界
根据法律依据、监管对象与适用场景的差异,可将标的企业的合规义务分为以下几类:
合规事项 | 法律依据 | 适用对象 | 监管目的 | 备案/登记机关 |
算法备案 | 《互联网信息服务算法推荐管理规定》 《互联网信息服务深度合成管理规定》 | 提供算法应用服务,且服务具有舆论属性或社会动员能力。涵盖生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等五类算法。 | 提升算法透明度,规范算法应用,防止算法歧视、信息茧房及操纵舆论等。 | 国家网信办线上系统提交 |
大模型备案 | 《生成式人工智能服务管理暂行办法》 | 企业自研、基于开源模型再训练等实质性二次开发,面向公众提供具有舆论属性或社会动员能力的生成式人工智能服务。 | 对模型本身的安全性、合规性开展安全评估,包括训练数据合法、架构安全、内容生成合规等。 | 省级网信办线下提交初审,国家网信办复审 |
大模型登记 | 《生成式人工智能服务管理暂行办法》及各地监管部门公告 | 对通过API接口或其他方式直接调用已备案大模型能力,且面向境内公众、提供具有舆论属性或者社会动员能力的生成式人工智能服务。 | 调用的大模型是否已按规定完成相关备案、双方之间的调用协议是否合法有效、企业是否具备相应的内容审核能力等。 | 省级网信办审核 |
上述三种合规事项可以简单概括为:算法备案管“算法应用”、大模型备案管“造模型”、大模型登记管“用模型”,三者的审查强度均不相同。
企业可结合自身业务模式,判断其备案义务:
(1)自研/实质性微调模型:应完成大模型备案+算法备案;
(2)仅调用已备案大模型API:应完成大模型登记+算法备案;
(3)仅提供非生成式算法服务:仅需算法备案;
(4)模型/算法仅用于企业内部管理、研发测试,而不面向公众提供任何相关服务:无强制备案/登记义务。
2.核查备案/登记状态与材料真实性
(1)核实备案编号/上线编号
通过国家或省级网信办公开渠道核验备案/登记信息的真实性与有效性,确认相关模型或应用已完成备案,即算法备案需核验国家网信办算法备案系统核发的备案编号;大模型备案需核验国家网信办终审通过的备案号;大模型登记需核验属地省级网信办核发的上线编号,且不存在“提交未审核、审核驳回仍上线运营”等情形;同时明确大模型备案不可替代算法备案,二者为独立义务,不应混同。
(2)审查备案/登记内容与实际情况的一致性
比对备案/登记申报内容(材料)与标的实际运营情况,包括备案/登记的算法/模型类型、应用产品名称、核心功能、服务范围、运行机制,与标的当前线上可查的产品功能、业务场景、服务对象是否一致。同时,需核查是否存在未备案/未登记的新增算法服务、新增模型版本、新增应用场景。
1) 针对算法备案标的,需核查企业的算法安全自评估报告、风险防控方案的完整性与真实性。
2) 针对大模型备案标的,需核查对外提供服务的模型版本、核心架构、训练数据范围,与备案版本是否一致,是否存在重大版本迭代、核心架构修改未重新备案的情形;此外,需核查模型训练数据的来源合法性、知识产权授权文件、个人信息处理相关合规材料,确认不存在数据侵权、违规收集个人信息等可能导致备案被撤销的风险。
3) 针对API调用类标的,不应仅听信企业自称“仅做API调用”或“技术中立”的陈述,仍需通过访谈、架构图等方式穿透核查其在大模型产业链中的真实角色;核查是否存在更换底层模型、变更应用场景未更新登记信息的情形等;核查模型API调用协议的合法性,确认调用行为已获得完整授权,且双方合规责任划分清晰。
3.核查合规义务履行情况与整改记录
核查企业是否建立机制,以应对算法/模型发生重大变更、应用场景重大调整、服务范围重大变更时,能够按监管要求及时更新备案/登记信息或重新履行备案程序;针对监管政策更新后的新增合规要求,确认标的是否已及时调整到位。
全面核查标的是否存在因备案/登记合规问题被监管约谈、责令整改、行政处罚、暂停服务的记录;针对有违规记录的标的,重点核查整改是否全部完成,是否存在复发风险。
1.法定合规义务的履行
尽职调查中需核查企业是否落实网络安全等级保护制度,按对应等级要求完成定级测评、备案,全面履行安全保护义务;核查企业提供的产品/服务是否符合强制性国家标准,是否存在设置恶意程序、擅自终止安全维护服务等违规情形。
2.企业防护体系运行核查
针对人工智能企业大模型训练推理、API接口开放等高频高风险业务场景,需验证企业网络安全技术防护体系的完备性与运行效果,评估企业网络安全架构设计的合理性,核查是否部署适配业务特性的防火墙、恶意代码防护体系等全链路安全防护措施;同时,审查企业是否建立常态化的网络安全监测与漏洞扫描机制,对发现的高风险漏洞实现及时修复,以抵御网络攻击、恶意软件入侵等安全威胁,保障网络稳定运行。
3.应急处置能力与历史风险排查
一方面,需核查企业是否制定网络安全应急响应预案,明确安全事件发生后的处置流程、责任分工以及内外沟通机制,是否定期开展应急演练,评估其在突发事件下的响应与恢复能力,以最大程度降低安全事件对企业经营的不利影响;另一方面,需梳理企业历史上发生的网络安全事件,核查事件处置的合规性、整改效果,确认是否存在遗留的监管处罚、民事索赔等潜在风险。
1.通用资质核查
通用资质是通过互联网向境内用户提供人工智能服务的企业,无论其业务细分领域与应用场景,均须具备的准入与经营资质。
(1)互联网信息服务许可/备案(ICP许可/备案)核查
合规依据:《互联网信息服务管理办法》
尽调核查要点:
1) 企业以营利为目的,通过向用户收费、电子商务、广告等方式获取利益,提供人工智能服务的,属于经营性互联网信息服务,需核查是否取得通信管理部门核发的增值电信业务经营许可证(ICP许可证),许可证是否在有效期内,许可主体与实际经营主体是否一致,无出租、出借、转让许可证等违规情形;
2) 非经营性互联网信息服务,需核查是否完成ICP备案,备案信息与网站、服务主体、接入信息一致,无未备案擅自开展服务的情形;
3) 通过APP、小程序等移动端提供服务的,需核查是否按工信部《关于开展移动互联网应用程序备案工作的通知》的要求,履行备案手续。
(2)公安联网备案核查
合规依据:《计算机信息网络国际联网安全保护管理办法》
尽调核查要点:
1) 核查企业是否在网站/APP网络正式联通之日起30日内,到属地公安机关办理联网备案手续;
2) 无论企业服务平台的服务器部署在中国内地或境外,只要境内用户可访问该服务,均需核查是否完成公安联网备案,备案信息与实际服务信息一致,且无应备案未备案情形。
2.特定行业应用场景专项资质
针对人工智能技术落地于特定监管行业的企业,需结合行业的监管规则,核查对应的专项业务资质,相关行业如:
(1)医疗健康领域人工智能服务
合规依据:《医疗器械监督管理条例》《互联网诊疗管理办法(试行)》等
尽调核查要点:
人工智能应用于辅助诊断、医学影像分析、疾病风险预测等场景,属于第二类、第三类医疗器械的,需核查是否取得医疗器械注册证,生产企业是否取得医疗器械生产许可证;提供互联网医疗、人工智能辅助诊疗服务的,需核查是否取得《医疗机构执业许可证》等对应资质,确认业务开展与资质范围一致。
(2)金融领域人工智能服务
合规依据:《证券法》《证券投资顾问业务暂行规定》等
尽调核查要点:
人工智能应用于智能投顾、金融信贷审批、征信服务等持牌金融业务场景的,需核查是否取得金融监管部门核发的对应业务资质(如证券投资咨询业务资格、征信业务经营许可证等),确认无无资质开展金融业务、超范围经营的情形。
(3)教育领域人工智能服务
合规依据:《民办教育促进法》等
尽调核查要点:
针对提供学科类培训、职业教育、在线培训服务的人工智能企业,需核查是否取得对应的办学许可证、民办非企业单位登记证书等资质,确认业务模式符合教育监管政策要求,无违规开展教育培训服务的情形。
(4)自动驾驶/智能网联汽车领域人工智能服务
合规依据:《关于开展智能网联汽车准入和上路通行试点工作的通知》《上海市智能网联汽车测试与应用管理办法》等
尽调核查要点:
针对将人工智能系统应用于自动驾驶、智能座舱等汽车场景的企业,需核查其是否取得了对应地区的自动驾驶道路测试资质、示范运营资质。此外,对于该领域中的外资企业,还需核查其业务是否涉及高精地图测绘。根据外商投资准入负面清单,外资企业严禁从事大地测量及导航电子地图编制等业务。因此,需确认标的外资企业未通过代持等方式规避外资准入限制、测绘活动是否由具备对应资质的中资主体承担,无擅自采集涉密地理信息的行为,以及是否已建立涉密测绘成果全流程管控机制,保障智驾高精地图原始数据、加密前数据等涉密内容可追溯,无违规复制、传输、向境外提供等情形。
项晨,观韬上海办公室合伙人,复旦大学法学学士、法律硕士,主要执业领域为人工智能、公司治理与合规、收并购、投融资、民商事争议解决等,为多家知名央企、地方国企和民企提供常年法律顾问服务,具有丰富的诉讼与非诉办案经验。项晨律师是上海市律师协会信息化工作、法律科技委员会委员、上海市律师协会公共服务法律研究委员会委员、上海市律师协会专业水平评定认证公司专业律师、观韬公司并购与商事业务委员会委员、观韬上海办公室法律科技委副主任。
Email:xiangc@guantao.com
张烜,观韬上海办公室合伙人。上海市律师协会信息化工作委员会、法律科技委员会副主任,上海市虹口区优秀青年律师,上海市普陀区优秀青年律师,上海市虹口区法学会理事,上海市鼎新法治人才库成员,获2024、2025、2026年Chambers(钱伯斯)公司商事大中华区(上海)推荐律师评级。主要执业领域是境内和跨境投融资和并购、商事争议解决、企业合规。张烜律师为多家知名投资基金、上市公司、大型企业提供公司商事领域的法律及商业支持。
Email:zhangxuan@guantao.com
张嘉豪,观韬上海办公室实习律师,上海对外经贸大学法律硕士,擅长AI政策研究以及法律AI工具的具体应用。
点击“阅读原文”链接到观韬官方网站。
