![]()
作者:孙梦玥
机构:北京天驰君泰(杭州)律师事务所
引言:一个正在发生的决策困境
2026年5月上海某API中转站站长被刑事拘留,作为数据和AI合规律师第一时间触达和考虑的不是刑事责任判定问题,而是我们大量依赖这些接口的AI产品企业客户要怎么办。
客户咨询的问题通常很直接:“我们有从公司主体和架构层面做风险隔离的设计,但是会不会被这个事情牵连,到底要不要改?如果要改,成本多高?业务会不会中断?怎么分别向技术、业务、管理层、投资方披露这些问题?”
从企业做决策的逻辑出发,这件事管理层、技术、业务、法务都无法从单一视角拍板解决所有问题,因为技术成本、时间成本、合规要求、商业逻辑之间事实上存在冲撞。尤其是在首案刚刚出现,一切信息均不算明朗的状态下,要做出决策更为艰难。因此本文不做深入法理分析,而是将该事件可能触发的不同层面和领域的问题以及实施情况做逐一梳理,尝试把所有可能对做出决策有用的信息放到一张桌子上,为读者找到可行和最符合商业逻辑的思路。
一、信号穿透:上海第一案到底在打什么
(一)为什么这个案子是分水岭
先给一个基本判断:这不是孤立的执法,是制度性转折的开始。
首先回溯与本案事件相关的时间线:
2023-2025年:制度铺垫。《生成式AI服务管理暂行办法》施行,算法备案制度建立,但执法以指导为主。
2026年4月:专项行动。网信办启动“清朗·整治AI滥用”专项行动,关停数百个违规中转站点。
2026年5月:刑事追责。上海中转站长被刑拘37天后取保候审,国家安全部同步发布风险提示。
演进脉络很清楚:从“告诉你什么不能做”,到“清理做的人”,再到“追究组织者刑事责任”。多部门协同打击的态势已经形成。
本案的特殊性在于:公开检索中,尚未发现与此业务模式完全一致的终审案例。这意味着上海警方实际上是在尝试为全国相关业务画一条,而且是第一条红线。
(二)定罪的方式和逻辑——单点定罪,三层结构嵌套
很多企业以为问题在于“用了境外模型”,这个理解还不够全面。通过案件事实可以尝试分析上海警方立案的核心逻辑是:
第一层,无证经营增值电信业务。 中转站向国内用户有偿提供跨境API调用服务,这在中国法律框架下属于增值电信业务。【没有ICP证开展业务——非法经营】
第二层,规避AI服务监管。 中转站提供的境外模型没有经过安全评估,没有算法和模型备案。【为To C产品提供无法备案的基座模型——绕过了中国对生成式AI的整套监管体系】
第三层,违反数据跨境传输规定。 用户请求中可能包含个人信息甚至商业机密、重要数据,通过中转站直接流向境外服务器【不经评估和SCCs/CBDT申报数据出境——脱离数据出境安全评估的程序】
综合上述分析,本案定罪的直接依据是 “第一层(无证经营)”+“达到刑事立案金额”=“非法经营罪”。
第二层和第三层不是非法经营罪的必要条件,但它们的存在彻底封死了任何合规经营或情节轻微的辩解空间。证明了行为的实质违法性和社会危害性,是导致案件被从严从重处理的“加重情节”。
(三)对下游采购方企业的信号
第一层,先一张表论述采购方企业最关心的风险传导问题:
![]()
第二层,从商业风险层面上看,供给端被系统性清理,意味着依赖灰色供给的产品,其底层资源正在被切断。这不是个案风险,而是整个市场商业逻辑依赖的通行做法的制度性转折。
不仅仅是本文讨论的这个场景,事实上对于很多AI初创企业这两年秉持和习惯的先上线后合规,用合规上的暇疵换取市场先发机会的路径,已经在逐条关闭了。
二、定位决策锚点的前提是审视:四个层面
第一案发生之后,对于企业管理者和法务而言第一项工作肯定不是直接切除所有不合规风险,而是在仅有的事实信息中,继续传导、思考涉及本公司涉及的风险,在此基础上落地改造的理论基础。那么到底从哪开始想?
此处我们给出一个做数据合规使用的基本框架思路,其实可以用于数字经济领域业务的很多问题:来源→场景→处理→输出,四个层面逐层往下拆。
(一)层面一【来源】:先厘清业务模型从哪来
这是所有问题的起点,在考虑是否合规之前,先思考产品使用的基座还能用多久,是否存在随时断供导致产品运营停摆的问题。
![]()
建议:稳定的模型来源是用户体验的底线。中转API的“极低可持续性”意味着产品功能随时可能停摆或者使用体验大幅下降,这已不是合规问题,而是最根本的生存问题。因此对于现有基座模型情况和API供应商的尽职调查,评估基座稳定性是工作第一步。
(二)层面二【来源】:已封装/拟上市产品用在什么场景
同样一个模型,内部用和对外用,在当下法律框架体系下强度是不同的。
内部使用(员工辅助、内部知识库):合规义务相对轻,主要是数据安全问题,风险可控。
B端工具(如面向企业客户的SaaS):风险中等。一方面目前监管重点还放在To C(或B2B2C产品),另外一般大客户也会开展尽调,确认数据、模型来源,前期签单时可能会经过一轮排摸。但也不排除甲方不开展详细尽调,或者标准化封装产品直接销售,不管如何,此时合规排查压力仍然在服务供给方。
C端服务(面向公众):风险最高。监管重点,并且依法必须开展算法备案和安全评估是硬性要求。
建议:先按上述分类把公司所有产品过一遍,优先考虑ToC或者B2B2C服务的部分产品的改造。
(三)层面三【处理】:数据处理和传输路径
中转API被关注的另一个很大的问题是数据流向完全失控。使用API中转访问境外模型,数据不仅会被中转站控制,境外模型服务商同样会获取你提交的所有内容。
在中转模式下,数据要经过三重主体的接力控制:
用户 → 中转站 → 境外模型服务商 → (还可能)第三方数据处理方
![]()
核心数据安全风险:
1. 隐私裸奔
中转站阅后即存和转卖:中转站作为第三方端口,会将用户提交的所有数据留存至其服务器。部分缺乏正规加密与管控机制的中转站,甚至会私自截留用户数据,倒卖给其他大模型厂商用于系统训练。
2. 恶意植入后门盗取数据
部分中转站暗藏后门程序,不法分子可能通过后门向用户设备植入恶意代码,借此窃取账号密钥、云端凭证等,甚至植入远程控制程序,持续监控用户设备、窃取用户数据。
3. 数据违规出境:不经评估,直接流往境外
中转站将用户输入数据传输至境外服务器,通常未取得数据出境相关合规资质,未履行安全评估的法定流程。个人信息可能未经本人同意就被传输至境外、商业机密可能通过用户提问泄露到境外服务器、极端情况下,商业秘密、国家秘密和重要数据也可能通过这条通道外泄。从合规角度看,直接违反《数据安全法》《个人信息保护法》关于数据出境的规定。
4.境外模型服务商本身的数据留存
境外模型服务商同样会完整留存用户的对话数据。这意味着数据受境外法律管辖,外国政府可通过法律程序调取、境外模型商可能用自己的数据使用政策(通常是允许用于模型改进),即使中转站不留存,境外模型商也会留存。
5. 服务稳定性风险
虽然这更多是业务风险,但同样影响数据安全。一旦中转站被打击或跑路,企业用户的历史对话数据、API密钥、账户信息可能全部面临泄露风险。此时对数据安全事件承担直接责任的是企业。
建议:第一,摸清数据出境链路——立即排查内部使用API中转服务的情况,追踪数据从用户输入、经过中转站到境外模型服务商的完整流转路径,识别其中涉及的数据类型(是否含个人信息、重要数据或商业秘密),从源头厘清数据出境的实际状况,为后续合规整改和监管沟通打下基础。
第二,建立制度——出台第三方API采购管理办法和AI服务白名单机制,明确未经合规审批不得接入任何外部模型服务。
第三,管控合同——在与外部服务商的合同中强制加入数据出境限制、审计权和数据删除条款,从合同层面锁定合规底线。
(四)层面四【输出】:谁输出谁负责
使用中转API时,企业侧控制不了模型的行为。中转站可能因为串号,让用户A的回复里混进用户B的数据;也可能因为被植入恶意Prompt,输出预设的不当内容。但问题是产品如果输出了违法违规内容,监管不会去找中转站,而是直接找ToC企业,企业作为服务提供者将直接面对监管和担责压力。
三、大厂的“护城河”:为什么AWS可以在中国卖境外模型
在讨论改造路径之前,有必要先回答一个客户普遍困惑的问题:为什么像AWS、Azure这样的国际云巨头,似乎可以“合法”地在中国提供境外大模型的API服务?他们的模式和被刑拘的中转站长有什么本质区别?
这个问题的答案直接关系到企业应该选择什么样的改造路径。
(一)持牌经营:ICP证是入场券
AWS在中国并非“翻墙”进来做生意。它通过两个本土合作伙伴运营中国区域:光环新网运营北京区域,西云数据运营宁夏区域。
这两家公司都是持有合法ICP许可证的中国企业。当企业通过AWS中国区采购云服务时,签约主体是光环新网或西云数据,而不是亚马逊美国。账单以人民币结算,数据存储在中国境内的服务器上。
这与中转站长“无证经营”形成了第一个本质区别。
(二)数据不出境:物理隔离解决数据出境问题
中转站长被刑拘的一个重要原因是“数据违法出境”。而AWS中国的合规架构恰恰解决了这个问题。AWS中国区域的基础设施完全位于中国大陆境内。存储在AWS中国(北京)区域和AWS中国(宁夏)区域的数据,只会保留在这些区域内,除非客户主动将其移动到其他位置。
但这里有一个关键点需要区分:AWS中国区上的“境内模型”和“境外模型”走的是完全不同的通道。
境内模型(如通义千问、智谱等已在网信办备案的模型):通过AWS中国区的Bedrock服务上架,企业可以直接调用。这是完全合规的路径,数据全程在境内处理。
境外模型(如Claude、GPT等):企业通过AWS中国区调用境外模型时,实际走的是“企业专区间跨境专线”。这条路要求企业自行完成CBDT或签署SCCs。AWS的角色是提供合规工具、证明文件和基础设施保障,但不会替企业完成申报。
简单说,AWS不帮企业备案,但会提供合规工具。AWS把数据出境的合规责任交还给了企业自己,但它确保了技术链路是可审计、可追溯的。
(三)模型备案:境内模型上架,境外模型的“中国版”
同样的,OpenAI在中国也有一个合规通路——世纪互联运营的Azure OpenAI服务。
这个模式的本质是:微软将GPT的能力授权给世纪互联,由世纪互联在中国境内部署和运营,数据不出境,且完成网信办的模型备案。
AWS虽然没有完全复刻这个模式,但其逻辑是一致的:但凡是在AWS中国区上架的境内模型,都是已完成备案的合规模型。企业调用这些模型,不存在“使用未备案模型”的风险。
而对于境外模型,AWS中国区并不直接提供直连服务。如果企业需要使用Claude等境外模型,有两个选择:
1. 走AWS国际区
2. 通过企业专线走数据出境评估路径
AWS官方甚至提供了技术方案,通过IAM Policy限制调用来源IP,确保只有海外的应用服务器才能访问Bedrock服务,避免国内开发者的不合规调用。
但这并不意味着企业买了AWS的服务就万事大吉了。如果企业用AWS的境外模型能力去开发面向国内C端用户的产品,仍然面临模型备案的问题。
因此这里我们尝试提出一个结论:如果企业想要向中国大陆居民提供AI产品/服务,目前没有完全合规使用境外模型的通路,本质相同,只是传导的风险类型不同。
四、改造光谱:变什么、怎么变、变多深
(一)先搞清楚产品基座的技术方案
合规改造的成本,不取决于公司规模,而取决于产品“怎么用”大模型。我把常见的架构分成四种类型,成本差异非常大。
类型一:零散API调用——改造成本低
这类产品在不同功能点独立调用API,比如“一键生成周报”、“营销文案撰写”,各功能之间互不依赖。
改造动作是:替换每个功能背后的API,对每个功能的Prompt做微调。换Key本身几乎没有太多时间成本,但关键问题是质量不能保证。也就是说换Key简单,但换完之后,同样的Prompt在不同模型上的输出可能会有差异。原来GPT生成的东西语气偏正式,换成通义千问可能就变了。所以真正花时间的,是换完之后重新测试、微调Prompt,让输出质量回到可接受的水平。但多个模块可以以类似的逻辑并行推进也可以拆分推进,时间成本可控,对产品使用体验影响也不算太大。
类型二:RAG架构——部分情况下改造成本低
RAG数据库和大模型本身没有太大关系,不管是OpenAI还是Claude,企业做RAG只是把向量数据集标注好、训练好之后存储下来。这类产品的特征是:模型只做“阅读理解”,外挂的知识库和模型本身无关。如果公司产品是内部知识库问答、文档摘要、合同审查这类,那改造需要做的仅仅是更换后端的API Key,知识库本身完全不用动。技术工作量几乎为零。
但是,如果是为Agentic RAG更换基座模型,其改造成本则远高于纯RAG的模式。简单来说,纯RAG换模型只需修改API Key,因为知识库与模型解耦。但Agentic RAG引入了具备规划、评估能力的智能体,若前期架构设计不佳(模型调用硬编码、各环节强耦合),更换模型将涉及核心流程重构,成本会更高。
类型三:复杂Workflow/Agent——改造成本中到高,取决于代码质量
在这个业务场景下,产品底层可能每一个环节是不同的基座,最终通过算法串联起来,如果换掉其中一个,后面的工作流可能都涉及调整。
这是最麻烦的情况,企业产品里可能有一个工作流,第一步用A模型做意图识别,第二步用B模型做信息提取,第三步用C模型做内容生成。每一步的输出格式、约束条件,都是针对当时选的模型精心调过的。换掉其中一个,后续步骤的输入格式可能就不匹配了。
我们和技术出身的客户针对这一问题开展了深入交流,从技术视角出发得出的结论是:
第一,看工程约束清不清楚。如果每一步的输入输出格式、约束条件都定义得明明白白,换模型时每个模块可以独立调整,后面的模块不用动。反之,牵一发而动全身,所有Prompt都要重调。
第二,看有没有建立可替换模型的抽象层。抽象可以只针对某一个模型,也可以扩展到某一个模型商、所有模型、所有模型商的所有模型。抽象层越宽,后续换模型的自由度越大。
两者结合才是完整答案:抽象层解决“能不能换”的问题,工程约束解决“换了会不会崩”的问题。所以,同样是Workflow架构,两家公司的改造成本可能差出好几倍。
类型四:有LoRA等技术方案的参数微调
如果团队用特定数据对模型做了特训,从技术原理上需要补充一个关键点:LoRA权重和基座模型是存在绑定的。
如果微调是基于某个开源模型,并且换的新API也是同一个模型的合规服务(比如从A厂商的Llama API换成B厂商的Llama API),那LoRA权重可以保留,只需要换Key就行。
但如果要从Llama换成通义千问,原来的LoRA权重就不能用了,需要重新收集训练数据,在新模型上重新训练一次。那成本就相应飘高。
同样的,我们的从事技术开发客户在此给了一个建议:先评估一下,该场景是否可以不用微调、仅靠Prompt Engineering能不能达到80%的效果?如果能,放弃微调,省掉这个麻烦。
(二)能不能分批改
这也是企业客户最关心的问题之一:“我们能不能一边应付监管,一边慢慢改?毕竟用户体验太重要了。”
综合上述论述,结论是可以的。
Workflow架构下,每一步的结果会干干净净地交付到下一步,所以完全可以一块一块地改。当然,分批改和一次性全改,总工作量是一样的——每个模块都要挨个调试。分批改的优势不是省力气,而是降低业务中断的风险。可以要求技术先改一批不太重要的模块,万一出问题影响也不大;改顺手了,再去碰核心模块。
(三)改造路径怎么选
搞清楚自己公司产品属于哪种类型之后,就可以选改造路径了:
![]()
关于第二条路径升直采,需要特别说明企业通过AWS中国区等合规渠道采购境外模型,不等于可以随便用。 这条路要求企业自行完成数据出境安全评估或签署SCCs,且如果要将模型能力用于境内To C产品,仍然面临模型备案的障碍。
五、分级策略:不同公司发展阶段怎么决策
前文论述了法律和技术上的通用逻辑。现在我们按照公司的业务类型和发展阶段来观察,哪些类型的公司必须立刻启动产品改造工作。
(一)按客户群分
面向C端用户:属于监管高水位区。之间面向C端的基座模型必须改,优先级最高。
面向大型企业/政府/金融端服务产品:通常尽调更加严苛,部分企业还需要提供算法备案/大模型备案号、数据安全认证等。开发类似行业垂类产品的企业不仅需要改,还需要进一步履行备案义务以获得商业上的竞争优势。
中小企业B端:部分大企业客户采购前会做尽职调查,未来基座模型问题一定会成为必答题并要求提供合规承诺函。企业应基于商业和合同风险角度出发评估改造紧迫程度。
(二)按发展阶段分
初创/产品验证期:建议初创阶段就明确业务发展思路,直接用境内合规API,因为其实从长期来看风向已经足够明确。即使使用公司业务、股权等架构隔离等方式,本质上“为中国境内用户提供服务”必定是穿透式监管的底层基础,投机取巧不可取。除非做IP防火墙、整个技术业务团队放在境外、用户协议和财务安排均外迁,那本质上产品也已经“变”为境外产品了。
A轮-B轮:投资人尽调会查合规问题。必须在融资前完成改造。
C轮及以上/Pre-IPO:这是一个关键节点。Pre-IPO公司的AI合规状况,会在上市问询中被重点审查。建议这类客户在招股书中主动披露AI模型来源及合规情况,比被动等问询要好得多。
结论:一个诚实但不完美的答案
写到这里,我们必须诚实地得出结论:本文无法给出一个让所有客户都满意的答案。因为对于那些已经用境外模型封装了C端产品的企业,目前的监管框架下,确实没有一条“既保留境外模型能力、又完全合规”的路,使用了不同技术方案的企业都有属于自己的合规工作要做。
但我们能够给出的结论是:
第一,信号已经明确。上海第一案是制度性转折的开始,供给端被清理必然传导影响和风险到需求端。
第二,改造成本没有想象中那么高。部分改造成本不涉及参数调整,部分改造完全可以分批推进。关键在于先搞清楚自己属于哪种类型,结合企业的商业需求制定计划。
第三,合规不是当下的成本,是未来的竞争壁垒。未来先行完成合规改造的AI服务商会变得稀缺,率先完成改造的企业,反而可能获得先发优势。
![]()
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.