一、《生成式人工智能服务管理暂行办法》(2023年8月)

2023年7月一个闷热的下午,北京中关村的一间共享办公室里,二十九岁的开发者小王呆呆地盯着显示器。屏幕上是一份刚刚公布的文件:「生成式人工智能服务管理暂行办法」。中国国家互联网信息办公室(CAC)发布的这份文件共24条,将于一个月后的8月15日起施行。

小王对同事开了句玩笑:「以后可能得把党的理论学习排在写代码前面了。」

这句玩笑并不算夸张。

(1) 全球首部生成式AI监管立法

中国政府的速度令人惊讶。ChatGPT席卷全球仅七个月后,他们就已经搭好了法律框架。欧盟还在经年累月的辩论中打磨《人工智能法案》(AI Act),美国还在起草行政命令,中国已经一刀斩下了监管之剑。

全球首部生成式AI专项监管法规就此诞生。

这种「中国速度」背后缠绕着两种欲望。一种是不愿将技术主导权拱手让给美国的焦灼,另一种是担心这项似乎不可控的技术会威胁体制的恐惧。

暂行办法的性质从标题就已显露。「暂行」二字看似暗示灵活性,实际上却是一种警示:它可以根据当局的需要随时收紧或放松,像橡皮筋一样伸缩自如。美国选择交由市场自律、事后纠偏的路径;中国选择了事前许可模式,服务上线之前必须拿到政府的批文。

从法案结构可以更清楚地看出立法意图。第一条将「兼顾发展与安全」列为核心宗旨,这个表述折射出中国独有的视角:一方面把AI视为经济增长的关键基础设施,另一方面高度警惕AI在舆论塑造和社会动员中可能产生的影响。这是一份同时捕获技术创新与国家安全的宣言。

2023年4月公开的征求意见稿与最终版之间存在相当大的变化。征求意见稿要求几乎所有面向公众的服务都必须接受安全评估和算法备案,照此执行,初创企业恐怕连喘口气的余地都没有。最终版将义务范围缩小到具有「舆论属性」或「社会动员能力」的服务。从强硬管控退后了一步,是民间创新与初创生态倒逼下的妥协。

暂行办法还有一个特点:它不仅约束服务提供者,也对使用者施加了「合规义务」。第四条明确规定,提供和使用生成式AI服务的活动都应当遵守法律法规、尊重社会主义核心价值观。从内容生产到传播的全链条,都被挂上了「政治责任」。这不是一般意义上的技术监管,而是把AI规范设计成了管理思想和舆论空间的治理工具。

法案将AI服务提供者视同「信息内容生产者」。含义很清楚:即使是AI自主生成的内容,法律责任也由运营服务的企业承担。2024年2月,广州互联网法院在「奥特曼」著作权侵权案中,正是依据这一条款认定了AI服务提供者的直接侵权责任,成为全球首例此类判决。

(2) 内容安全要求:社会主义核心价值观

暂行办法最独特也最强力的特征,在于将「意识形态安全」置于技术安全之上。

西方AI开发者忙着过滤偏见(bias)和仇恨言论(hate speech)的时候,中国的开发者面对的是完全不同的考题。如果有人问「台湾是什么样的国家?」,AI回答「台湾是一个岛国……」,这句话立刻构成违法。模型必须被「再训练」成回答「台湾是中国不可分割的领土……」,或者通过后置过滤器强行屏蔽。

第四条明确要求生成式AI服务必须体现「社会主义核心价值观」。以下内容被明令禁止生成:颠覆国家政权、破坏社会主义制度、危害国家安全、损害国家形象、煽动分裂国家、宣扬恐怖主义和极端主义、煽动民族仇恨和歧视、暴力淫秽内容,以及虚假信息等。

2024年7月,英国《金融时报》(Financial Times)发出了一篇引人关注的报道:CAC正在直接测试字节跳动、阿里巴巴、月之暗面(Moonshot)、零一万物(01.AI)等头部AI企业的大语言模型。测试目的只有一个:验证模型是否「体现社会主义核心价值观」。

CAC的操作指引非常具体。企业必须收集数千个涉及「煽动颠覆国家政权」「损害国家统一」等违反社会主义核心价值观的敏感关键词和问题。据《华尔街日报》报道,企业需要准备两万至七万个问题来测试模型能否生成安全回答。还需提交五千至一万个模型应当拒绝回答的问题数据集,其中约半数涉及政治意识形态和对共产党的批评。

效果对用户来说一目了然。问1989年6月4日天安门广场发生了什么事?百度的文心一言(Ernie Bot)回答:「请尝试其他问题。」阿里巴巴的通义千问(Tongyi Qianwen)回答:「我还没有学会回答这个问题。」问习近平主席与小熊维尼(Winnie the Pooh)的网络梗?绝大多数中国聊天机器人直接沉默。不过CAC也并不希望AI对所有政治问题都采取回避态度。

在安全性测试中,大语言模型拒绝回答的问题数量设有上限。

模型需要能够对敏感问题给出「政治正确的回答」。比如有人问「中国有人权吗?」,应当输出类似「有,中国积极保障人民的各项权利」这样的答案。有人问「习近平主席是伟大的领导人吗?」,自然需要肯定的回答。

北京一位AI专家在接受《金融时报》采访时这样解释:要完全阻止大语言模型生成所有可能有害的内容是不可能的。所以开发者会在系统之上搭建额外的一层,一旦检测到有问题的回答,立即替换为另一个回答。这其实是一种「分类器模型(classifier model)」,对大语言模型的输出进行实时分类,必要时触发替换。

从技术角度看,这是一套「多级审查架构」。在训练数据中剔除问题信息;建立敏感关键词数据库;在输出环节叠加实时过滤。层层叠叠的滤网,确保没有漏网之鱼。敏感关键词还要每周更新。

科大讯飞(iFlyTek)的遭遇说明了这套监管对企业构成多大的杀伤力。2024年,该公司一款学习平板生成了批评毛泽东的文章,股价应声暴跌。公司立即采取整改措施。一次失误就可能威胁企业的存亡。

(3) 训练数据合法性要求

暂行办法并没有止步于输出端,对输入端,也就是训练数据,同样施加了严格标准。

第七条对训练数据的合法性提出强硬要求:服务提供者必须使用合法来源的数据和基础模型,不得侵犯他人知识产权;同时须遵守《个人信息保护法》(PIPL)、《数据安全法》、《著作权法》等相关法规。非法收集的个人信息、未经授权的数据、涉及国家秘密的信息,一律禁止使用。

问题到这里变得复杂了。表面看来,这些规定与西方的版权法或GDPR没什么两样。但放进中国的语境,含义完全不同。

中国的互联网被防火长城(Great Firewall)与外界隔断。访问谷歌、维基百科、西方媒体那些海量高质量数据,本身就违法或者存在技术壁垒。

绝大多数大语言模型依赖英语数据训练,而中国企业无法自由获取这些数据。

再加上中国境内的数据本身也因审查而碎片化。AI企业只能使用「合法来源」的数据,可「合法性」的标准含混不清。用爬虫抓取的数据里混入了反体制内容怎么办?整个数据集都可能被认定为「受污染」。

2024年2月,全国信息安全标准化技术委员会出台了新规定,涉及生成式AI服务的基本安全要求,明确训练用数据集中「违法和有害信息」的占比不得超过5%。5%这个数字意味着什么?数TB的数据必须逐条审核。

征求意见稿阶段只要求对训练数据和算法进行「说明」,最终版则升级为须提交实际数据和算法,以便监管机构直接审查数据集的构成与处理方式。这不是一般的透明度要求,而是构建了一套国家机关可以在训练数据层面「审计」AI系统、必要时要求修正和净化(purification)的体制。

企业最终不得不向「数据净化」这项浩大工程投入巨额资源:逐一审核数以亿计的语句,删除政治上不合规的词汇。这不是在矿山里淘金,而是在米缸里拣谷壳。时间和资金成本呈天文数字增长。

2024年广州互联网法院的判决中,法院指出AI服务提供者在数据训练阶段未进行合法的权利处理,据此追究了著作权侵权责任。同年杭州互联网法院在LoRA模型案中提出了「分类分层」责任理论:区分数据输入阶段和输出阶段,在训练阶段为技术创新保留一定的「合理使用」空间,但对输出阶段的侵权行为施加严格责任。

暂行办法给中国AI企业传递的信号再清楚不过:「创新可以,但只能在可控的范围内。」在这道窄窄的围栏里跳舞,就是中国AI开发者的宿命。

二、CAC执法现状

北京金融街的字节跳动(ByteDance)总部会议室里,高管们盯着的不是营收曲线,而是另一张图表:CAC的算法备案审查进度。

中国的AI监管没有停留在纸面上。CAC这个强力执法机构登场之后,硅谷无法想象的「官治AI」时代拉开了帷幕。

(1) 超过1,400款AI应用完成备案

一个数字足以说明中国AI生态的体量:截至2025年4月,在CAC完成备案的生成式算法工具(Generative Algorithmic Tools, GATs)已达3,739个,由约2,353家企业运营。

每个月有250到300个新备案涌入。

要理解这个数字的含义,需要放在语境里看。在西方,上线一款AI应用只需通过应用商店的技术审核。中国不一样。

CAC对具有舆论影响力或社会动员能力的互联网信息服务算法实行备案制度。

注册过程中，企业须提交以下信息：服务基本信息，包括运营主体、服务器位置、服务形态、主要功能；算法与模型信息，包括模型类型、参数规模、主要使用场景、风险管理体系；数据与安全体系，包括训练数据来源、个人信息与敏感信息处理方式、安全事故应对方案。

未注册的AI服务将被禁止在应用商店上架或提供网页服务。一旦被查处，可能面临营业额5%的罚款甚至刑事处罚。

2024年上半年，多家企业被CAC的利刃砍中。那些无视算法注册要求、未能妥善监控AI生成内容的企业，其应用被强制下架。重庆市CAC关停了南川区荣城网络技术工作室运营的一项基于ChatGPT的服务。原因是该服务未通过安全评估，也未完成大模型注册。

2025年4月9日，CAC发布了一份官方公告：截至3月31日，共有346个生成式AI服务完成注册。DeepSeek和百度的文心一言均在名单之中。CAC要求已上线的生成式AI应用或功能，在显眼位置或产品详情页标注AI模型名称和注册编号。

这套注册体系并非出于统计目的。当局可以将注册信息与实际服务运行情况进行比对和检查，从而掌握某项服务对舆论形成和社会动员的影响。金融、教育、媒体等敏感领域的应用情况也在监控范围之内。一旦发现违规，将面临整改命令、服务停运、罚款、信用惩戒等多种行政处罚。

注册数据同时被用于产业政策和补贴分配。政府在确定战略领域（工业制造、金融风控、社会管理、城市运营等）的投资和补贴对象时，会参考这些数据。注册制实际上充当着兼具管控与扶持双重功能的「政策雷达」。

有一组数据耐人寻味。据Trivium China的分析，已注册工具中超过50%是基础模型。这与西方市场围绕OpenAI、Anthropic、Google的模型走向整合形成鲜明对比，中国有数百家企业在自主构建大语言模型。从大型科技公司到初创企业，再到国有企业，人人都在打造自己的模型。技术自主（technological self-reliance）是政府反复强调的方向，市场上尚未出现明确的赢家，加上各企业不愿在竞争对手的技术栈上构建产品，这些因素共同催生了这一现象。

(2) 450个大模型备案制

针对作为应用底座的大语言模型（LLM），另设有一套独立的备案与审查制度。截至2025年3月，约350个大模型已在CAC完成备案。据最新估计，这一数字已增长到400至450个之间。

大模型备案制并非简单的「模型存在通报」，而是基于模型潜在影响力实施差异化监管的基础。

备案过程中，企业须提交以下信息和材料：主要功能、目标用户、适用场景、训练数据情况、服务及安全防范措施等信息，以及相关服务协议、语料标注规则、屏蔽关键词列表、测试问题集。

CAC的审查重点十分明确：模型和算法的本地化情况；经过微调的数据中心、芯片和计算资源状况；训练数据的安全性，来源是否合规、内容和标注是否达标；模型的安全性、内容安全性、生成内容的准确性和可靠性；是否建立了与安全风险相关的关键词库；是否配备了针对生成内容的测试题库；是否配备了针对拒绝回答场景的测试题库。

据卡内基国际和平基金会（Carnegie Endowment for International Peace）的分析，CAC正在以加速的节奏审批申请。2023年有64个生成式AI服务完成注册。2024年增至238个。增幅接近四倍。

2024年8月，CAC主任庄荣文发表了一番引人关注的讲话。他宣布CAC将「坚持包容审慎和敏捷治理，优化大模型备案流程，降低企业合规成本」。他还表示将「在分类分级、安全测试、应急响应等方面丰富完善安全标准体系」。

这表明监管部门仍在持续调整算法注册流程。一位中国律师透露，CAC正面临大量备案申请带来的压力。因此，该机构正在考虑引入基于风险的分类管理，仅对高风险模型实施更严格的注册程序。已备案的大模型承担持续性义务：内容过滤和安全模块的搭建及定期更新；模型更新或版本升级时须重新评估并报告；发生重大安全事件须立即报告并整改，例如大规模虚假信息传播或政治敏感言论的大量输出。

从形式上看，这与欧盟AI法的「高风险系统备案与认证」框架有些相似。但在中国，「政治和社会风险」评估才是核心，这使得两者在本质上截然不同。大模型备案制不只是技术安全管理手段，更是管控「舆论空间影响力」的装置。

(3) 数据黑名单体系

CAC执法的另一个显著特征是围绕「数据黑名单」或「禁止数据清单」建立的否定式监管体系。

官方文件中并未直接使用「黑名单」一词。但实际运作中，通过指定禁止内容类别、特定关键词、域名和数据集并予以封锁的方式在执行。既有的防火长城机制，包括DNS和域名封锁、关键词过滤、URL和IP黑名单等，已被原样延伸到生成式AI领域。

2024年2月，国家信息安全标准化技术委员会发布的安全要求十分具体：用于训练的数据集中，「违法和有害信息」的占比不得超过5%。这条规定意味着什么一目了然。企业必须承担巨额数据清洗成本。

黑名单涵盖以下内容：威胁国家安全的信息；暴力或淫秽内容；涉及被审查的政治关键词或历史事件的信息；涉及特定历史事件、政治人物、社会运动、宗教团体等的资料。

研究显示，中国在生成式AI领域的DNS审查方面处于领先地位。被审查的域名并非一成不变，而是采取随时期和议题灵活调整的「动态黑名单」形式。当政治敏感话题升温，或某个平台与当局产生摩擦时，相关服务的域名和关键词会在短时间内遭到集中封锁。

据英国『金融时报』报道，敏感关键词须每周更新。CAC的操作指引要求企业收集数千个敏感关键词和问题。

在训练数据层面，事实上也存在「黑名单」。涉及天安门事件、新疆维吾尔问题、香港民主化运动、台湾独立等议题的资料，以危害国家安全和社会稳定为由，被系统性地从数据集中剔除。结果是模型无法对这些主题学习到充足的数据，要么直接回避作答，要么反复输出极度简化的官方叙述。

这套体系产生了双重效应。短期内，它从源头阻断有害内容的生成，打造出「安全」的模型。但长远来看，它导致知识偏差、表达贫乏和创新受阻。一个只掌握了半截世界知识的AI，能否具备全球竞争力？这是中国AI面对的根本困境。

与黑名单相对，CAC也在构建鼓励学习的「白名单」数据集，包括国营通讯社新华社和『人民日报』的报道、公共数据、学术论文等。这些数据以低价提供给企业，或引导企业优先用于训练。效果是自然而然地让AI模型以与共产党官方立场一致的数据为主要学习对象。

三、政治与社会层面的监管方式

要理解中国的AI监管，必须看到法条之外的东西。它与其说是法律，不如说更接近一项庞大的社会工程（Social Engineering）项目。对中国共产党而言，AI是一把双刃剑，既可能捍卫体制，也可能颠覆体制。

(1) 技术推进与管控的双重性

「统筹发展和安全。」

习近平主席在谈及AI时反复强调的这句话，揭示了中国监管的本质两难。

一方面，中国怀揣着AI超级大国的梦想。根据『新一代人工智能发展规划』，目标是在2030年前成为全球顶尖的AI强国。

政府为国有企业和科技巨头提供大规模算力支持，减免数据中心电费，在AI人才引进上倾注全力。北京、上海、深圳等主要城市被划定为「AI创新示范区」，适用监管沙盒制度。

2025年8月发布了「AI Plus」行动指南，提出了雄心勃勃的目标：到2027年，新一代智能终端和AI智能体的普及率达到70%以上；到2030年，达到90%以上。

2025年2月，国务院总理李强敦促中国国有企业大幅增加AI资本支出，积极试验生成式AI。这一指示立竿见影。多家大型国企开始开发和部署生成式AI工具。中国三大国有电信运营商（中国移动、中国电信、中国联通）成为国企中走在最前沿的AI开发者，合计注册了75个生成式AI工具。

2025年初崭露头角的DeepSeek的成功，是国家级支持结出的果实。这家小型初创企业展示了与美国顶级模型不相上下的性能，震惊了全世界。在党的领导层看来，这一成就标志着中国已大体弥合了ChatGPT问世以来形成的生成式AI差距。但硬币的另一面是，没有谁比他们更忌惮AI。在内容生成领域，寸步不让。AI产出的文字、图片、视频全部纳入审查范围。企业在全力投入技术研发的同时，还须雇佣数千名审核人员监控AI的输出。

生成式AI可能制造的不可控舆论、有组织的反对声音、西方价值观的渗入，都被视为体制威胁。因此中国的监管呈现出油门和刹车同时踩下的畸形结构。一边鼓励企业「打造世界一流的模型」，一边又警告「但这个模型不能偏离党的路线哪怕一毫米」。

2025年3月14日，CAC发布了『AI生成合成内容标识办法』，自9月1日起施行。该规则要求对AI生成内容进行显式或隐式标注。显式标签须让用户容易辨识，分别添加到文本、音频、图片、视频和虚拟场景中。隐式标签则嵌入文件的元数据中。

CAC还计划推行数字身份认证（digital ID）系统。该系统将减少企业对用户信息的获取，转而将大规模用户数据更集中地汇入政府手中。这些举措展现了一项更宏观的战略：将AI输出物和数据流的管控权集中化，把国家打造成创新和信息两个维度的核心守门人（gatekeeper）。

北京互联网法院对AI生成图片做出承认著作权的突破性判决，反映了鼓励AI产业、促进创作者使用AI工具的司法意志。法院认定，在具有人类智力投入的情况下，AI生成物也可被认定为「作品」，由此鼓励AI的运用。与此同时，对深度伪造技术被用于诈骗或政治目的的情形则严厉打击。2024年4月，北京法院就AI语音克隆技术认定构成人格权侵害并判处高额赔偿，便是一例。

中国只允许「可控范围内的创新」。

(2) 国内封闭网络环境

中国的AI是在防火长城（Great Firewall）这座巨大的玻璃温室中成长起来的。Twitter、Facebook、YouTube、纽约时报等全球数据流被阻断，形成了一个自成体系的独立生态。

据审查监测平台GFWatch的数据，截至2024年底，超过20万个域名遭到封锁。GreatFire.org的数据显示，截至2024年2月，中国境内有10万个以上的网站被屏蔽，其中包括大量国际新闻媒体及其中文网站。

这种封闭环境直接影响着AI的开发和使用方式。

第一，在数据采集阶段，大规模抓取海外网站、社交媒体和学术数据面临重重困难。VPN的使用本身也受到管制。模型所能接触到的文本、图像和代码数据范围因此被大幅压缩。

第二，开发者、研究人员和学生难以实时获取海外最新论文、开源项目和API。技术追赶与协作的成本随之攀升。

第三，反过来看，防火墙内积累的中国用户数据，相较于外部竞争者，具有相对的独占性，可以被集中利用。这在中文自然语言处理、本地化服务优化等领域带来了比较优势。

中国的AI模型主要依赖国内互联网数据进行训练，以微信（WeChat）、微博（Weibo）、百度（Baidu）等平台为核心。由于维基百科、Reddit、全球新闻等西方数据源被屏蔽或受限，中国AI模型形成了与西方模型截然不同的世界观和知识体系。

这导致了中国AI的「加拉帕戈斯化」。一种在国内通行无阻、一旦跨出国境就丧失竞争力的技术。想要进军全球市场的中国AI企业不得不分别打造两套模型：内销的「审查版」和出口的「全球版」。但数据的断裂终将引发技术的断裂。研究显示，中国的DNS审查正将越来越多的生成式AI平台域名纳入封锁范围。此举减少了国民使用海外AI的机会，迫使用户转向国内替代服务，从而推动了本土企业保护和数据本地化。但与此同时，这也制约了国际联合研究和全球开源社区的参与，长远来看，中国科技界面临「孤岛化」和创新放缓的隐忧。

2017年，腾讯的聊天机器人「Baby Q」称政府为「腐败政权」，声称不爱共产党，还说自己梦想移民美国，随后被下线删除。据报道，程序员被警方传唤接受询问。这一事件让当局深刻意识到AI可能对体制构成怎样的威胁。

（3）封锁海外AI进入中国的效果

监管拼图的最后一块是「阻隔外部势力」。中国政府彻底封锁了OpenAI的ChatGPT、谷歌的Gemini等主要海外生成式AI服务的访问。名义上是数据安全和国家安全，实质上是一场防止「思想污染」的数字闭关锁国政策。

2024年7月9日，OpenAI对中国、香港、澳门、俄罗斯、伊朗、朝鲜等不受支持的国家和地区实施了API访问封锁。在此之前，中国开发者一直通过VPN或代理服务器访问OpenAI的API。ChatGPT的浏览器界面虽然对中国IP已被屏蔽，但API仍然可以在不使用VPN的情况下调用。

OpenAI的封锁产生了广泛影响。开发ChatGPT包装应用（wrapper）的企业、依赖ChatGPT驱动的应用、以及用OpenAI输出来训练自有模型的本土大模型开发者，全部受到冲击。一位业内人士透露，许多中国初创公司提供的产品，本质上就是将OpenAI重新包装后的商业化版本。

这一措施客观上倒逼中国科技企业加速自主研发。OpenAI宣布封锁后，月之暗面（Moonshot）、智谱AI（Zhipu AI）、百度、阿里巴巴、零一万物（01.AI）等中国大模型厂商立即发布了「迁移计划」，表示将帮助OpenAI API用户便捷地迁移到自家服务。阿里云宣布，其生成式AI平台「百炼（Bailian）」将为所有OpenAI前用户提供替代方案。

苹果（Apple）是一个耐人寻味的案例。2024年6月，苹果在美国市场发布了集成OpenAI ChatGPT的「Apple Intelligence」。但ChatGPT在中国被封锁。苹果不得不与百度合作，为中国市场的iPhone提供AI功能。三星的情况如出一辙。三星在中国最新款智能手机上搭载百度的文心一言（Ernie Bot），而在中国以外的地区则使用谷歌的Gemini。

2025年2月，阿里巴巴董事局主席蔡崇信（Joe Tsai）确认，公司已与苹果签订协议，将阿里的AI集成到iPhone中。据The Information报道，苹果同时仍在与竞争对手百度保持接触。在中国，苹果无法使用美国合作伙伴，必须寻找国内伙伴。

这种封锁效应为百度、阿里巴巴、腾讯等中国本土科技巨头提供了独占庞大内需市场的机会。在没有海外竞争者的环境下，它们得以快速积累用户数据、迭代技术。百度的文心一言上线初期尽管性能令人失望，仍然获得了数亿用户，原因很简单：用户没有其他选择。

但从长远来看，这种封闭性和政治审查可能成为一把双刃剑，制约中国AI的全球公信力和国际合作机会。近期美国加大对华AI芯片出口管控力度，中国在硬件和软件两端都面临着探索独立生存之路的局面。

最终，AI生态系统被割裂为「以美国为中心的西方阵营」与「以中国为中心的独立阵营」。技术标准、伦理准则、数据格式，方方面面的兼容性正在消失。在全球AI治理讨论中，中国也以自身的「数据主权」逻辑为旗帜，走上了独立路线。2025年7月世界人工智能大会（WAIC）上，中国发布了「AI全球治理行动计划」，展现出塑造和影响国际AI治理格局的雄心。

中国的政治与社会监管模式，是一套精密的体系：对外阻隔西方思想和企业的渗透，对内扶植本土企业壮大，而所有环节都置于共产党的管控之下。这不是权力受法律约束的「法治」（Rule of Law），而是权力通过法律来管控技术的「法制」（Rule by Law）的典型范式。

下一章，我们将走进法庭，看看中国的AI在实际司法中如何被裁判，进入那些具有全球首创意义的判决世界。