跳转至

使用边界与合规提示

AI 好用,但不是所有场景都能直接用。合规不只是"不被罚",更是对用户和数据负责的基本操作。

这章解决什么问题

你已经了解到数据泄露、提示注入、越权调用这些技术风险。但这章要谈的是另一个层面:法律和合规风险

技术问题和合规问题之间的区别很简单:

技术问题 合规问题
后果 功能出 bug、数据被泄露 违法、被处罚、失去用户信任
修复方式 打补丁、改代码 可能需要修改业务流程
判断标准 能不能用 能不能用 + 能不能通过监管

很多时候,一个 AI 系统"技术上能跑"和"合规上能用"是两回事。举个例子:

  • 技术侧:你可以调用海外 API 处理用户数据,代码跑得通,响应很快
  • 合规侧:如果数据涉及中国境内用户个人信息,可能需要按照《个人信息保护法》(PIPL)进行数据出境安全评估

这章的目标不是让你成为法律专家,而是帮你建立一套合规思考框架:在开发和使用 AI 产品时,你知道哪些问题需要去问法务或查法规

核心概念

合规(Compliance)的基本含义

合规(Compliance)指的是你的行为是否符合相关法律法规、行业标准和组织内部政策的要求

在 AI 场景下,合规通常涉及以下几个方面:

  • 数据保护法规:你的 AI 系统如何处理和存储用户数据?
  • 内容责任法规:AI 生成的内容出了事,谁负责?
  • 行业特定法规:你的 AI 应用在医疗、金融、教育等行业是否有额外的监管要求?
  • 透明度要求:用户是否需要知道他们正在和 AI 交互?

为什么 AI 会让合规问题变复杂

传统软件的行为是由代码严格定义的。但 LLM 的行为是概率性的——同一个 Prompt,模型每次可能给出不同的回答。这种不确定性给合规带来了几个难题:

  1. 不可预测的输出:模型可能意外生成违反法规的内容(比如给出未经许可的医疗建议)
  2. 数据的不可控性:模型可能在上下文或训练数据中"记住"了敏感信息,并在不合时宜的时候输出
  3. 责任归属模糊:AI 生成的内容出问题了,是开发者的责任,部署者的责任,还是模型提供商的责任?目前全球范围内的司法实践还在演进中

主要监管框架速览

免责声明

以下内容仅供理解当前(截至 2026 年 5 月)全球主要的 AI 和数据处理监管框架,不构成法律建议。具体的合规要求请咨询专业法律人士。

欧盟:《通用数据保护条例》(GDPR)

GDPR(General Data Protection Regulation)于 2018 年生效,是目前全球数据保护领域影响力最大的法规,被很多国家作为立法蓝本。

对 AI 应用的关键要求:

  • 目的限制:收集数据时必须明确说明用途,不能随意将数据用于模型训练
  • 数据最小化:只收集 AI 系统完成任务所需的最少数据
  • 自动化决策权:用户有权拒绝完全基于自动化处理(包括 AI)做出的、对其产生法律效果的决定
  • 数据删除权(被遗忘权):用户可以要求删除其个人数据
  • 数据跨境传输限制:向欧盟以外传输个人数据需要充分的保护措施

2024 年,欧盟还通过了《人工智能法案》(EU AI Act),这是全球第一部综合性 AI 监管法律。该法案根据风险级别(不可接受风险 → 高风险 → 有限风险 → 极低风险)对 AI 系统实施分级监管。

中国:《个人信息保护法》(PIPL)

PIPL(Personal Information Protection Law, 《中华人民共和国个人信息保护法》)于 2021 年 11 月 1 日起施行,是中国个人信息保护领域的基础性法律。

对 AI 应用的关键要求:

  • 告知同意:处理个人信息前必须取得个人同意,AI 系统不能悄悄采集用户对话数据用于训练
  • 数据出境安全评估:向境外提供个人信息(例如使用海外模型 API 时传输用户数据),可能需要通过国家网信办的安全评估
  • 自动化决策的透明度:通过自动化决策方式进行商业营销或信息推送,应同时提供不针对个人特征的选项
  • 删除权:个人可以要求删除其个人信息

美国:部门立法为主

美国目前没有联邦级别的综合数据保护法,但有行业特定法规:

  • CCPA/CPRA(California Consumer Privacy Act,加州消费者隐私法案):加州的数据保护法,赋予消费者查看、删除和拒绝出售其个人信息的权利
  • HIPAA(Health Insurance Portability and Accountability Act):适用于医疗信息处理
  • FTC(Federal Trade Commission):联邦贸易委员会通过消费者保护条款对 AI 不当行为进行执法

其他主要监管框架还包括:日本的《个人信息保护法》(APPI)、巴西的《通用数据保护法》(LGPD)、印度的《数字个人数据保护法》(DPDPA)等。

合规风险场景

场景 1:用户数据被用于模型训练

如果用户和 AI 产品的对话记录被用于训练模型,在法律上可能涉及"未经同意的个人信息处理"。很多产品因此选择"不将 API 数据用于训练"作为一个卖点(如 OpenAI 的 API 服务)。

场景 2:AI 给出不合规的建议

一个 AI 客服在没有持牌的情况下给出投资建议,可能违反金融监管法规。一个 AI "医生"诊断疾病可能违反医疗法规。在这些场景中,仅靠模型本身的"安全对齐"是不够的。

场景 3:AI 生成内容侵犯他人权利

模型可能生成: - 未经授权的肖像或声音(侵犯肖像权、声音权) - 抄袭受版权保护的文本(侵犯著作权) - 诽谤或侮辱性内容(侵犯名誉权)

场景 4:跨境数据传输

你在中国境内运营,但使用了 OpenAI 的 API。用户的对话数据被传输到美国。根据 PIPL,这可能需要进行数据出境安全评估。

一个最小合规检查清单

用于你评估一个 AI 产品的合规风险:

```text □ 用户被告知他正在和 AI 交互吗? (透明度要求,很多地区的法规已有明确规定)

□ 你是否记录并保留了模型输入的日志? (用于合规审计和争议处理)

□ 用户能否要求删除他们的对话数据? (GDPR 和 PIPL 都要求提供删除权)

□ 模型数据是否跨境传输? (如果涉及,请评估数据传输的合规要求)

□ AI 的功能是否涉及受监管行业? (医疗诊断、金融建议、法律意见、保险定价等)

□ 你检查过模型生成的输出中是否包含冒犯性、歧视性或侵权内容吗? (输出审查是合规的基本操作)

□ 产品的用户隐私政策是否明确说明了 AI 如何处理数据? (不要只写"我们使用 AI 改善服务",要具体说明数据流向和用途) ```

常见误区

误区 1:不用收集数据就不涉及合规

不直接收集数据不等于不涉及合规。如果你的用户输入的内容被发送到第三方模型 API,你在法律上仍然是数据控制者,需要为用户数据的处理负责。

误区 2:在中国运营只需遵守中国法律

如果你的用户包含海外用户,或者你的模型调用了海外 API(如 OpenAI),你可能需要同时遵守多个司法管辖区的法律。GDPR 具有域外效力,只要涉及欧盟用户数据就适用。

误区 3:AI 出问题应该找 AI

在现行法律框架下,法律责任指向的是产品的运营者部署者,而不是模型或 API 提供商。你部署的 AI 系统出了问题,第一个被追责的是你。

误区 4:自部署开源模型就不需关心合规

自部署可以解决数据出境问题,但数据保护、内容责任、行业监管等问题仍然存在。自己部署不豁免合规义务。

延伸阅读

练习题

练习 1:合规自查

找一个你常用的 AI 产品(或你正在开发的项目),用上面的"最小合规检查清单"逐条检查。哪些项是绿(满足)?哪些项是红(有风险)?

练习 2:隐私政策分析

打开 ChatGPT 或文心一言的隐私政策/用户协议,尝试找出里面关于"数据处理用途"和"数据存储期限"的条款。看看这些条款是否明确回答了你不放心的问题。

练习 3:场景讨论

假设你要推出一个"AI 简历筛选助手",它接收求职者的简历,自动评分推送给招聘方。在 GDPR 和 PIPL 框架下,这个产品需要满足哪些合规要求?至少列出 5 点。