人人都做中转站,野蛮生长
近日,孙宇晨、傅盛及川普家族涉足AI中转站的消息引发关注。有运营者以200美元/月租用海外账号,拆分售予20人,单号利润率高达400%;百号规模下,月利润可达56万元人民币。
暴利背后,评论区最集中的疑问并非“如何搭建”,而是“在国内运营是否违法?”
本文不讨论技术实现,仅聚焦法律合规性。经系统梳理《网络安全法》《数据安全法》《个人信息保护法》《电信条例》《互联网信息服务管理办法》及《生成式人工智能服务管理暂行办法》等法规,结论明确:中转站运营不属简单“合法/非法”二分,而是一项多维风险行为,其法律后果取决于运营主体、服务对象、盈利模式与数据处理方式。
中转站的本质:API代理服务
技术本质一句话:将海外AI厂商的模型能力,通过非官方渠道封装为兼容AI协议的API接口,向国内用户提供调用服务。
该模式至少涉及四个关键动作:
- 服务器部署于境外,需借助非国家批准信道接入国际互联网;
- 逆向解析上游厂商客户端通信协议,将非API服务改造为可调用API;
- 向用户收取费用,提供实质性信息服务;
- 用户Prompt数据经境内→中转站境外服务器→海外AI厂商三段传输。
上述每一环节,均处于现行监管框架的风险临界点。
第一条:非法国际联网(翻墙)
依据《计算机信息网络国际联网管理暂行规定》第六条:
计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道。
即:未经许可的国际联网通道属于行政违规。
实践中,个人使用VPN访问境外网站极少被追责;但若以营利为目的,为他人提供稳定、规模化接入通道,则性质从“个人使用”升格为“提供互联网接入服务”,已超出豁免范围。
风险等级:商业化运营属中高风险。
第二条:逆向工程与合同违约
中转站核心技术依赖对海外大模型客户端协议的逆向分析,如提取Session Key、Cookie或认证Token。
法律层面存在双重风险:
- 民事层面:违反厂商ToS(服务条款)中关于“禁止逆向工程”“禁止转售”的约定,构成合同违约。但海外厂商在中国发起民事诉讼成本高、执行难,实际追诉概率低;
- 刑事层面:若逆向行为被认定为“非法获取计算机信息系统数据”或“破坏计算机信息系统”,可能触犯《刑法》第285、286条。目前尚无中转站运营者因此被刑事追责的公开案例,但法律风险客观存在。
风险等级:民事风险可控,刑事风险虽暂无先例,但不可忽视。
第三条:无证经营增值电信业务
向公众收费提供API调用服务,属于典型的“在线数据处理与交易处理业务”,依据《电信条例》及《互联网信息服务管理办法》,须取得ICP经营许可证(即增值电信业务经营许可证)。
绝大多数中转站未完成域名备案,服务器与结算体系(如USDT)均设于境外,完全游离于国内监管体系之外,构成事实上的“无证经营”。
风险等级:高。此为监管部门最易核查、最常处罚的违规项。
第四条:违法数据跨境传输
新修订《网络安全法》(2026年1月1日施行)强化数据出境监管,叠加《数据安全法》《个人信息保护法》,明确要求:
- 含个人信息(姓名、身份证号、病历等)的Prompt,属于“个人信息跨境提供”,须获用户单独同意,并履行安全评估或标准合同备案;
- 若涉及“重要数据”,须通过国家网信部门安全评估;
- 运营者需向用户明示数据出境目的、接收方及处理规则。
当前中转站普遍未开展安全评估、未申报、未告知用户,亦无数据最小化与去标识化机制。
风险等级:高。新法将罚款上限提至1000万元,执法刚性显著增强。
第五条:未使用已备案基础模型
《生成式人工智能服务管理暂行办法》第十七条明确规定:
- 提供具有舆论属性或社会动员能力的生成式AI服务,须开展安全评估、完成算法备案;
- 如基于第三方基础模型提供服务,应选用已通过国家网信部门备案的基础模型。
主流海外大模型尚未在中国完成备案。使用未备案模型向境内用户提供服务,无论运营者自身是否备案,均已实质性违反该条款。
风险等级:极高。此为专设条款,直指中转站核心商业模式。
第六条:涉嫌帮助信息网络犯罪活动罪(帮信罪)
《刑法》第287条之二规定:明知他人利用信息网络实施犯罪,仍为其提供技术支持或帮助,情节严重的,构成帮信罪。
中转站若未建立内容审核、关键词过滤、日志留存等风控机制,放任用户生成虚假信息、诈骗话术、违法内容,司法实践中极易被推定为“应当知道”,进而承担连带责任。
多数中转站标榜“无审核”“不限制”,实则构成自我举证——主动放弃监管义务。
风险等级:高。一旦下游用户涉刑,运营者极可能被一并立案侦查。
风险矩阵:四类运营模式对比
| 运营模式 | 翻墙 | 逆向 | 无证经营 | 数据跨境 | AI备案 | 帮信罪 | 综合风险 |
|---|---|---|---|---|---|---|---|
| 自建自用,不收费、不对外 | 低 | 低 | 不适用 | 低 | 不适用 | 不适用 | 低 |
| 供亲友免费使用 | 中低 | 低 | 边缘 | 中 | 可能触发 | 低 | 中低 |
| 面向公众收费运营 | 高 | 中 | 高 | 高 | 极高 | 高 | 高 |
| 叠加USDT结算、全境外架构、无内容审核 | 高 | 中 | 高 | 高 | 极高 | 高 | 极高 |
为何暂未大规模监管?
当前中转站未被集中整治,主因有三:
- 监管资源有限:网信、公安等部门优先处置电信诈骗、网络赌博、色情传播等高危害案件;
- 取证难度大:服务器、域名、支付均在境外,运营者匿名化程度高,跨境协作成本高昂;
- 政策观察期:AI技术迭代迅速,监管需结合产业实践完善细则。“暂未监管”不等于“合法”,而是“尚未进入执法优先级”。
随着CISPA相关研究发布及主流媒体深度报道,中转站已从技术圈层议题升级为公共监管议题,关注度提升必然推动监管响应提速。
合规建议与趋势判断
个人技术探索:自建、自用、不收费,风险可控,属合理技术实践范畴。
商业化运营:在现行法律框架下,已实质性触碰无证经营、AI服务备案、数据跨境三条监管红线,属“确定违规”,仅是尚未被查处。
长期可持续路径唯一:境内注册公司、申领ICP许可证、完成算法备案、采用已备案国产大模型、部署内容安全审核机制、依法开展数据出境安全评估。
该路径虽流程复杂、成本较高,却是唯一合法存续选项。孙宇晨等境外主体可规避部分责任,但境内运营者切勿以身试法。
赚钱方式众多,不必冒险行走法律钢丝。