做 AI 产品的团队,迟早会碰到两个词:备案和登记。它们经常被混着用,但法律含义、适用场景、流程要求完全不同。搞混了可能白忙几个月,也可能错过合规窗口。
这篇把两者的区别、法律依据、基本流程说清楚。
核心区别一览
| 维度 | 备案 | 登记 |
|---|---|---|
| 性质 | 行政许可性质的监管手段 | 信息采集性质的行政管理手段 |
| 目的 | 事前安全审查,防止有害服务上线 | 掌握行业底数,便于统计和事后监管 |
| 法律强制性 | 必须完成才能上线服务 | 限期完成,未完成可能受罚但非上线前置 |
| 审查深度 | 深:需提交安全评估报告,接受实质审查 | 浅:提交材料信息,形式审查为主 |
| 适用对象 | 面向公众提供服务的生成式AI | 基础大模型本身(不管是否直接面向公众) |
| 监管部门 | 网信办牵头,多部门协同 | 网信办+工信部(依据具体规范) |
一句话总结:**备案管的是”服务能不能上”,登记管的是”模型在不在册”**。
备案:详细拆解
法律依据
大模型备案的法律依据是多层嵌套的,不是单一法规:
1.《生成式人工智能服务管理暂行办法》(第15号令,2023年8月15日施行)
这是最直接的上位法。第十七条明确规定:
提供具有舆论属性或者社会动员能力的生成式人工智能服务的,应当按照国家有关规定开展安全评估,并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。
关键点:备案的触发条件是”具有舆论属性或者社会动员能力”。说白了,面向公众的聊天机器人、内容生成工具,基本都跑不掉。
2.《互联网信息服务算法推荐管理规定》(2022年3月1日施行)
大模型备案走的是算法备案的通道。该规定第二十三条要求:
具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内履行备案手续。
3.《互联网信息服务深度合成管理规定》(2023年1月10日施行)
涉及图片、视频等深度合成内容的大模型,还要叠加这个规定的备案要求。
4. 配套文件:《生成式人工智能服务安全基本要求》(TC260)
TC260 标准虽然不是法律,但备案审查时基本按这个标准来。它规定了训练数据安全、模型安全、服务安全等维度的具体要求。
备案流程
1 | 准备材料 → 安全评估 → 省级网信办初审 → 国家网信办复审 → 获得备案号 |
第一步:安全评估
这是最重的环节。需要完成:
- 语料安全评估(训练数据来源、质量、合规性)
- 模型安全评估(生成内容的安全性、可控性)
- 服务安全评估(用户保护、内容标识、投诉机制)
实际上要用专项测试集对模型进行红队测试,生成大量内容来验证安全性。这块工作量很大,通常需要2-4周。
第二步:准备备案材料
核心材料包括:
- 算法备案信息表(算法基本原理、数据、模型)
- 安全评估报告(上一步的产出)
- 服务协议和隐私政策
- 用户保护机制说明
- 内容标识方案
第三步:提交省级网信办
通过网信办的备案系统在线提交。省级网信办做初审,通常需要20个工作日左右。
第四步:国家网信办复审
初审通过后报国家网信办复审。复审通过后发放备案号,在备案系统公示。
第五步:持续合规
备案不是一劳永逸。模型重大变更(算法机制变化、训练数据更新、服务范围调整)需要做变更备案。
实际耗时
从启动到拿到备案号,快的话2-3个月,慢的话半年以上。安全评估环节是最耗时的瓶颈。
登记:详细拆解
法律依据
大模型登记的法规出台晚于备案,属于监管体系完善的第二步:
1.《生成式人工智能服务管理暂行办法》第十九条
有关主管部门依据职责对生成式人工智能服务开展监督检查,提供者应当依法予以配合,按要求对训练数据来源、规模、类型、标注规则、算法机制机理等予以说明。
这一条是监督检查条款,登记的雏形。
2. 网信办关于生成式人工智能服务登记的相关通知(2024年起陆续发布)
2024年开始,网信办陆续发布通知,要求对基础大模型进行登记。区别于面向”服务”的备案,登记的对象是”模型”本身。
3. 工信部关于大模型合规登记的指引
工信部从产业管理的角度,对大模型研发企业提出了模型信息登记要求。主要关注模型的参数规模、训练算力、数据来源等产业数据。
登记流程
1 | 填写信息 → 在线提交 → 形式审查 → 登记完成 |
第一步:填报模型信息
在指定平台填写:
- 模型基本信息(名称、版本、参数规模)
- 训练数据信息(规模、类型、来源)
- 算力信息(训练算力、基础设施)
- 应用领域和场景
第二步:提交
在线提交到网信办或工信部的登记平台。
第三步:形式审查
审查提交信息的完整性、规范性。不做实质安全评估。
第四步:登记完成
获得登记编号,纳入监管台账。
实际耗时
快的话1-2周,慢的话1个月左右。跟备案比,轻量很多。
几个常见问题
Q1:我们只做 B 端模型不面向公众,需要备案吗?
看情况。《暂行办法》第二条明确”未向境内公众提供生成式人工智能服务的,不适用本办法的规定”。如果只做 B 端内部使用,理论上不需要备案。
但注意两个坑:一是”公众”的界定在实操中偏宽泛,API 开放给第三方可能被认定为面向公众;二是登记可能仍需完成,因为登记对象是模型不是服务。
Q2:备案和登记都要做吗?
大概率是的。如果你的模型既面向公众提供服务(触发备案),又是一个基础大模型(触发登记),两边都要走。
备案管”服务能不能上”,登记管”模型在不在册”,是两套平行的监管逻辑。
Q3:开源模型需要登记吗?
目前监管对纯开源模型(不提供服务的)态度比较模糊。登记的对象更偏向”研发主体”,如果你是模型研发方,即使开源也可能需要登记。但实操中,海外开源模型的国内使用者是否需要登记,还没有明确统一的做法。
Q4:备案被驳回怎么办?
常见驳回原因:
- 安全评估不充分(测试用例不够、红队覆盖不全)
- 训练数据来源不合规
- 内容安全机制不完善
驳回后可以补充材料重新提交。关键是安全评估报告的质量,这块建议找专业第三方辅助。
Q5:变更备案什么情况下需要做?
算法机制变化、模型架构调整、训练数据大范围更新、服务范围扩展——这些都需要变更备案。小规模的数据更新或参数微调通常不需要,但建议跟主管部门确认。
实操建议
1. 先登记、再备案
登记流程轻、耗时短,可以先完成登记让模型”入册”。备案重、周期长,可以并行准备。两者不冲突。
2. 安全评估要提前做
备案的核心瓶颈是安全评估。建议在产品规划阶段就把安全评估纳入时间表,不要等产品上线了才想起来要备案。
3. 保留完整的训练数据溯源
不管是备案还是登记,都会要求说明训练数据来源。从项目启动就做好数据溯源文档,别到提交时再补。
4. 关注地方差异
备案走省级初审,不同省的审查尺度有差异。北京、上海、深圳等 AI 产业聚集地的审查经验更丰富,流程也更顺畅。如果你的公司注册在这些地方,备案效率通常更高。
5. 变更管理要制度化
备案后的变更管理容易被忽视。建议建立内部机制,模型每次重大变更都评估是否需要变更备案。
参考资料
- 《生成式人工智能服务管理暂行办法》(国家互联网信息办公室等七部门令第15号),2023年7月10日公布,2023年8月15日施行。
- 《互联网信息服务算法推荐管理规定》(国家互联网信息办公室等三部门令第9号),2022年3月1日施行。
- 《互联网信息服务深度合成管理规定》(国家互联网信息办公室等三部门令第11号),2023年1月10日施行。
- 《生成式人工智能服务安全基本要求》(TC260-2024),全国信息安全标准化技术委员会。
- 国家互联网信息办公室算法备案系统:https://beian.cac.gov.cn
- 国家互联网信息办公室关于发布互联网信息服务算法备案信息的公告(历年批次)。