最近帮几家AI公司梳理备案流程,发现大家踩的坑高度重合。不是态度不端正,也不是材料拖沓,而是实实在在卡在几个硬骨头问题上。下面直接列出来,不绕弯子。
1. 训练数据来源说不清楚
很多模型用的是公开爬取的数据,比如网页、论坛、新闻、社交媒体。备案要求说明“数据是否合法取得、是否获得授权、是否包含违法不良信息”。但实际情况是:
- 数据是三年前批量爬的,原始URL早就失效;
- 没有保留完整的数据来源清单;
- 清洗日志缺失,无法证明已过滤敏感内容;
- 部分数据来自第三方数据集(如Common Crawl),但无法追溯其授权链条。
监管要的是“可验证的合法性”,而团队能提供的往往是“我们当时觉得没问题”。
2. 无法提供完整的数据处理记录
备案指南里明确要求提供“数据预处理、清洗、标注等环节的操作记录”。但多数技术团队开发时根本没想过要留痕——日志关了、中间文件删了、临时脚本丢了。
现在临时补?很难。因为:
- 清洗规则可能随时间多次调整,没人记得每次改了什么;
- 标注工作外包给众包平台,合同里没约定数据溯源义务;
- 某些去重或脱敏操作是自动完成的,没有人工审核记录。
结果就是:技术上做得挺好,但拿不出“证据链”。
3. 安全评估报告找不到合格机构出
《生成式AI服务管理暂行办法》要求提交“安全评估报告”,但市面上真正具备资质、被监管部门认可的第三方评估机构极少。有些公司找了所谓“合规咨询公司”,结果报告不被受理。
更麻烦的是,不同地区对报告内容要求不一:
- 有的要红队测试(模拟攻击);
- 有的要输出内容抽样分析(比如随机生成1万条,人工审核违规率);
- 有的要求评估模型是否可能被用于深度伪造、诈骗等场景。
企业自己做?不算数。找人做?贵且慢,还可能白花钱。
4. 模型参数和架构披露尺度难把握
备案表格里有一栏:“简要说明模型结构、训练方法、参数量级”。问题来了:
- 写太细(比如层数、注意力头数、训练步数),怕泄露技术细节;
- 写太模糊(比如“基于Transformer的大规模语言模型”),又被打回要求补充;
- 有些公司用的是开源模型微调,但微调策略、LoRA配置、数据配比属于商业机密,不愿公开。
目前没有统一标准,全靠审核人员主观判断,导致反复修改。
5. 内容过滤机制被质疑“形同虚设”
几乎所有备案材料都要描述“如何防止生成违法不良信息”。常见做法是加关键词过滤、后处理审查、提示词约束。但审核方会追问:
- 关键词库有多少条?多久更新一次?
- 能否拦截变体表达(比如拼音、谐音、符号替换)?
- 如果用户用英文提问涉政内容,系统能识别吗?
- 是否有误拦/漏拦的统计和改进机制?
很多团队的回答停留在“我们用了某大厂的内容安全API”,但拿不出自建策略和效果验证数据,被认为“依赖外部、缺乏自主防控能力”。
6. 模型更新后要不要重新备案?
这是个灰色地带。按现行规定,如果“模型基础架构、训练数据范围、应用场景发生重大变化”,需重新备案。但什么叫“重大”?
- 从7B升级到13B算不算?
- 加入新领域的微调数据(比如医疗问答)算不算?
- 仅优化推理速度、不改训练数据,算不算?
没人敢拍板。有些公司选择“悄悄上线”,结果被抽查到,被要求下线整改;另一些则每改一点就报备,导致产品迭代停滞。
7. 境外服务器或云服务使用受限
部分创业公司为了成本或性能,把训练或推理部署在境外(如AWS新加坡、Azure美国)。但备案明确要求“在中国境内运营的生成式AI服务,相关数据和模型应存储于境内”。
问题在于:
- 模型已在境外训练完成,迁回国内成本高;
- 某些GPU资源国内租不到,或排队太久;
- 多云架构中部分组件在境外,难以完全剥离。
结果就是:技术架构合理,但不符合属地监管要求,必须重构。
这些问题不是理论上的“合规风险”,而是每天真实卡住产品上线、融资尽调、政府合作的实际障碍。解决它们,光靠法务或技术单方面发力都不行,需要产品、工程、安全、法务甚至高管层协同作战。否则,再强的大模型,也可能倒在一张备案表前。
