帮我梳理一个应用如果要接入 AI 功能,比如要在公司的网站上接入 AI 客服(使用 DeepSeek 这样的国产开源模型),需要做哪些前置的审批工作。如果是在 App 里接入 AI ChatBot(也是使用 DeepSeek 这样的中国国产、开源、经过中国的大模型审核的模型 API),需要做哪些前置审批工作?

你希望针对哪些具体国家或地区的法律和监管要求进行研究?目前的问题主要涉及中国国内的 AI 监管审批流程,但如果你也想了解其他国家的要求,请告诉我。

另外,你是希望获取一个高层次的概述,还是需要详细的步骤和所需文件清单?

  1. 中国的
  2. 详细的步骤和所需文件清单

以下内容基于截至 2023 年底前后中国大陆现行及已公布的主要法规、监管规定以及业内普遍操作流程进行整理,适用于在中国境内由企业主体提供面向公众或对外服务的 AI 应用(如官网 AI 客服、App 内嵌 AI ChatBot 等)。由于政策会动态变化,实际操作中还应以最新发布的法规、部门规章及地方性要求为准,并可视具体业务场景向专业律师或当地监管部门进行进一步咨询。

一、主要监管依据概览

  1. 《生成式人工智能服务管理办法》(国信办、国家发改委、教育部等七部门 2023 年 7 月 10 日发布,2023 年 8 月 15 日施行)

    • 该办法对在中国境内向公众提供生成式人工智能产品或服务的活动提出了明确的监管要求,包括内容合规、安全评估、个人信息保护、模型训练数据合规等。
    • 要求提供者在上线前进行算法备案或安全评估,并在算法生成内容中落实相应的合规和安全措施。

  2. 《互联网信息服务算法推荐管理规定》(国家网信办等四部门 2021 年 12 月发布,2022 年 3 月 1 日起施行)

    • 对使用算法向用户提供信息分发、内容推荐的服务提出了备案和公示要求,规定了算法推荐服务提供者的责任与义务。
    • 虽然本规定更多适用于推荐算法,但在部分场景下,聊天机器人也可能被认定为“算法推荐服务”。

  3. 《网络安全法》《数据安全法》《个人信息保护法》等关于数据合规与个人信息保护的法律法规

    • 涉及在 AI 训练、推理和服务过程中对用户个人信息及其他敏感数据的收集、存储、处理、传输、共享和披露等环节的合规要求。
    • 涉及跨境数据传输的,需特别关注跨境数据安全评估或备案。

  4. 行业或地方性细则

    • 如果涉及到金融、医疗、教育等重点行业,还需额外满足相应行业监管机构的要求(如银保监、卫健委、教育部等)。
    • 部分地方政府(如北京、上海、深圳)对 AI 及算法的备案和测试有专门指引或试点政策,需要结合实际所在地进行对照。

二、在公司网站上接入 AI 客服的前置审批与合规要点

以“在企业官网上集成国内开源大模型(例如 DeepSeek),实现 AI 客服功能”为例,可能涉及的主要前置工作及所需材料如下:

  1. 网站主体资质与 ICP 备案

    • 是否拥有企业主体的营业执照(经营范围需涵盖与互联网信息服务相关的业务,若无则需要变更经营范围);
    • 域名备案:在中国境内服务器必须完成 ICP 备案;
    • 如果提供的服务涉及到更深层的电信增值业务,还需申请相应增值电信业务经营许可证(如 B2-XXXXXXX 等),但一般的企业官网客服功能只需完成 ICP 备案即可。

  2. 算法备案或“生成式人工智能服务”备案

    • 如果 AI 客服面向公众开放,且客服功能可生成文本内容(或其他形式),可能需要向所在地网信部门进行算法备案或“生成式人工智能服务”备案
    • 备案一般通过“全国互联网信息服务算法备案系统”或各地网信办指定平台办理,需填写:
      • 算法基本信息(名称、提供者、用途、技术类型等);
      • 数据使用情况、训练数据来源、核心功能介绍;
      • 安全评估报告(是否具备内容安全审核、异常监测、数据防泄漏等能力)。
    • 如果部署的开源模型本身在国内已有备案,但你在自有平台上再次提供服务,原则上仍需要进行相应说明或二次备案,因为服务主体和提供形式发生改变

  3. 内容安全与信息审核机制

    • 根据《生成式人工智能服务管理办法》,服务提供者应建立健全内容审核及用户投诉机制,防止出现违法违规或不良信息。
    • 需要准备:
      • 内容安全策略说明书:包括模型对敏感词、违法违规信息的处理能力,拦截策略,人工审核流程;
      • 用户协议及隐私政策:需明确告知用户个人信息的收集范围、使用方式,并声明生成式内容的性质及使用限制;
      • 应急预案:包括对违法违规内容的检测、处置、封禁机制。

  4. 个人信息保护和数据合规

    • 如果 AI 客服会收集用户姓名、手机号、邮箱或其他个人信息,需符合《个人信息保护法》及配套规定:
      • 向用户明示收集目的、使用范围、保存期限;
      • 按照最小化原则收集信息;
      • 做好数据安全防护措施;
      • 若涉及敏感个人信息,需获得用户的单独同意;
      • 若会将数据跨境传输(如调用境外服务器),需符合跨境数据传输安全评估要求。
    • 需要准备:
      • 隐私政策(Privacy Policy)
      • 数据安全自评估报告(根据业务规模和敏感程度决定是否需要进一步向主管部门报告)。

  5. 在客服界面/对话交互界面明确告知为 AI 服务的必要说明

    • 依据《生成式人工智能服务管理办法》,当提供生成式 AI 服务时,必须对用户进行显著提示,例如“该回复由 AI 生成,仅供参考,不代表官方立场”等。
    • 需要在前端界面或聊天窗口标识出“AI客服”,并且允许用户随时退出或转人工客服。

  6. 可能需要的其他行业或专项审批

    • 如果在客服中涉及金融、医疗、教育等专业领域咨询,需要额外查看相关主管部门对“在线咨询”的资质要求;
    • 若仅为普通客服场景,如产品咨询、售后服务等,一般只需满足上面提及的备案及数据合规即可。

文件清单举例

  • 企业营业执照、组织机构代码证复印件(加盖公章)
  • ICP 备案材料(域名证书、主办单位信息、网站信息等)
  • 算法备案申请表、算法说明文档(包含技术说明、应用场景、安全策略)
  • 内容安全管理制度、用户协议与隐私政策文本
  • 数据安全自评估报告
  • (如涉及)增值电信业务经营许可证或其他许可证明

三、在 App 中接入 AI ChatBot 的前置审批与合规要点

当在 App(面向公众或一定规模的用户)中集成类似 DeepSeek 等国产开源大模型的 ChatBot 时,除了遵循上文所有在网站端需要满足的合规要求外,还需关注以下事项:

  1. App 上架及软件著作权备案

    • 如果要通过各大应用商店(App Store、安卓应用商店)上架,需要符合 App 上架的内容审核与用户隐私保护规范
    • 如果企业本身对 ChatBot 的核心程序有改动或整合,可根据业务需要申请软件著作权
    • 应用商店分发时,需提供隐私合规声明,在 App 启动或安装时弹窗提示收集权限与范围。

  2. 在应用内显著说明“AI 生成内容”及可能的局限性

    • 同样需在对话界面明确标识“由 AI 提供,仅供参考”等。
    • 若业务场景存在误用风险(例如提供医疗类答复),需明显提示“非专业医疗建议,仅供参考”,并引导用户寻求专业人士帮助。

  3. 算法备案 / 生成式人工智能服务备案

    • 与网站端类似,如果 App 中的 ChatBot 面向公众提供生成式对话,则需要向网信部门或相应行业主管部门备案;
    • 需要提交材料与网站端备案类似,包括App 功能说明、数据流向说明、安全管控措施、用户协议与隐私政策等。

  4. 数据安全与个人信息保护

    • 如果 App 会收集通信录、地理位置、设备信息等更敏感的移动端数据,需要遵守《个人信息保护法》以及 App 专项合规要求:
      • 最小化收集:仅在必要时请求权限;
      • 二次授权:对敏感权限(如定位、麦克风)需要在弹窗中单独说明;
      • 用户知情同意:在 App 隐私政策和权限提示中明确说明用途。
    • 如果训练或推理过程会传输用户输入至云端,则需告知用户数据会被存储或用于模型训练吗?是否进行匿名化或去标识化处理?

  5. 内容安全与审查

    • App 内如有针对用户文本或其他生成内容的可视化呈现,需配置相应的实时监测与过滤机制
    • 若产生违规内容,应及时限制或删除,并提供用户投诉通道。

  6. 应用商店及监管部门抽查

    • 无论是安卓各大应用商店还是苹果 App Store,都可能对涉及 AI 的应用进行抽查或下架,若发现存在严重政策违规或用户投诉量大;
    • 需保持持续的自查和版本更新,及时应对监管反馈。

文件清单举例

  • 与网站端相同的企业基础资质(营业执照、组织机构代码证等)
  • App 隐私政策、用户协议、AI 生成内容声明
  • 算法备案相关材料(如算法说明、安全评估报告)
  • 软件著作权申请材料(若需要)
  • App 上架所需的应用介绍、截图、开发者资质证明
  • 数据安全与权限收集自查报告

四、关键注意事项与合规流程总结

  1. 明确“谁是服务提供者”

    • 如果你在自建服务器上部署 DeepSeek 模型,并面向外部用户提供服务,你就是服务提供者,需要完成相应的备案和安全评估;
    • 如果你仅作为用户调用第三方已备案的 API(第三方提供生成式 AI 能力并对外开放接口),则核心的算法备案责任在第三方,但你仍需就自己“二次对外提供服务”或在 App 中嵌入服务的方式进行必要的告知或备案;
    • 如果只是内部使用(仅公司内部员工可访问,不面向公众),在实际操作中监管压力相对较小,但仍需履行数据保护、信息安全管理责任。

  2. 最先办理或确认的合规事项

    1. ICP 备案(或增值电信业务许可)
    2. 算法备案 / 生成式人工智能服务备案(网信办)
    3. 个人信息保护合规(需准备隐私政策、合规声明,进行自查)
    4. 内容安全与审核机制建立
    5. 与行业监管部门沟通(如有特殊行业要求)

  3. 落地流程示意

    1. 准备材料阶段:企业资质 -> 数据合规与安全方案 -> 算法说明 -> 用户协议与隐私政策 -> 内容安全机制;
    2. 备案或许可办理:先进行 ICP 备案或增值电信业务许可证办理,之后根据实际情况到“算法备案系统”或当地网信办进行报备;
    3. 上线测试与试运营:在正式面向公众前,可进行灰度测试或内部测试;
    4. 正式上线及持续合规监控:保持更新用户协议、隐私政策,持续自查算法合规与内容安全,定期提交报告或接受检查;
    5. 应对突发事件:如用户投诉、外部舆情、监管问询,及时响应并保留证据和日志记录。

  4. 后续监管与整改

    • 即使完成备案,也并不意味着“高枕无忧”,AI 相关法律法规在快速发展,各地可能出台更细化规定;
    • 建议建立持续合规机制,定期更新算法模型、强化过滤策略、完善用户投诉处理流程;
    • 注意保存日志和交互记录(在法律允许和用户同意范围内),以便出现内容合规纠纷或监管稽查时有据可查。

五、总结

  • 在中国境内提供 AI 客服或 AI ChatBot 功能,需要先落实好基础互联网信息服务备案(如 ICP 备案),并根据《生成式人工智能服务管理办法》《算法推荐管理规定》等进行算法备案或 AI 服务备案,确保内容安全、个人信息安全、数据合规;
  • 材料准备和流程一般包括:
    1. 企业主体资质、ICP 备案或增值电信业务许可证;
    2. 算法备案材料(模型说明、安全评估、数据来源等);
    3. 内容安全、用户协议、隐私政策、投诉举报机制等合规文件;
    4. 数据安全评估或自查报告;
  • 若在 App 中集成,还需满足 App 上架的审查要求,处理好移动端用户权限与个人信息保护;
  • 建议保持对最新政策和地方试点要求的关注,并在必要时向专业机构或主管部门咨询,从而确保业务顺利合规落地。

温馨提示

  • 本文所述流程和所需文件清单是综合现有法规和普遍实践的“通用参考”,具体到每个企业、每种行业场景可能会有差异;
  • 如果所使用的模型或提供的服务带有较强的行业属性(如金融咨询、医疗诊断),需同时遵从相应行业监管;
  • 如果仅内部使用(如企业内部培训、内部客服),一般无需对外备案,但若产生跨境数据或涉及敏感数据,仍需遵守数据安全和个人信息保护法律;
  • 随着 AI 监管环境的不断演变,务必持续关注新法规、新政策动向并做好动态合规。