人工智能正在从影像识别、病理分析、心电判读等相对明确的辅助工具,逐步进入临床决策支持、疾病风险预测、个体化治疗建议、患者随访管理以及医疗大模型交互等更高风险场景。继美国篇和欧盟篇之后,本文将视角转向中国法下AI医疗器械的合规框架。与美国以FDA对软件医疗器械和AI/ML变更控制为主线、欧盟在MDR/IVDR基础上叠加AI Act风险治理不同,中国对AI医疗器械的监管呈现出“药监准入、数据合规、互联网AI监管与医疗场景责任”多线并行的特点。
在中国法下,AI医疗器械首先仍需回到医疗器械监管框架中判断:产品是否基于医疗器械数据、是否采用人工智能技术、是否实现医疗用途,并在此基础上确定管理类别和注册路径。与此同时,AI医疗器械的安全性和有效性高度依赖数据质量、算法性能和临床适配性;模型迭代、云端部署、生成式交互和患者端服务,也会将其合规边界延伸至个人信息保护、数据出境、算法备案、生成合成内容标识、科技伦理审查以及医疗责任分配等领域。
本文以企业合规实务为导向,先梳理AI医疗器械的产品属性判断与注册路径,再重点分析企业最容易出现合规缺口的三个重点领域:数据合规、AI监管合规和全生命周期治理。
根据国家药监局医疗器械技术审评中心发布的《人工智能医疗器械注册审查指导原则》,人工智能医疗器械是指基于“医疗器械数据”、采用人工智能技术实现其预期用途(即医疗用途)的医疗器械。医疗器械数据主要指医疗器械产生并用于医疗目的的客观数据,例如医学影像、心电、脑电、病理图像、体外诊断数据等;特殊情形下,也包括通用设备产生但用于医疗目的的客观数据,例如用于皮肤疾病诊断的皮肤照片、用于心脏疾病预警的可穿戴心电数据等。监管语境下,人工智能与机器学习通常不作严格区分,当前审评关注的重点主要是数据驱动型算法模型。
三要素中,医疗用途是最终落点。即便产品使用了人工智能技术,如果其不处理医疗器械数据,或处理结果并不用于疾病诊断、监护、治疗等医疗目的,原则上不应直接认定为AI医疗器械。相反,产品即使被称为“智能工具”“医生助手”或“健康管理系统”,只要其实际输出已经进入个体患者的诊断、治疗或风险判断链条,仍可能被纳入医疗器械监管。
还需区分“医疗AI产品”和“AI医疗器械”两个概念。前者是较宽泛的产业概念,可以涵盖医生助手、医学知识问答、患者咨询智能体、病历文书生成、临床决策支持系统(CDSS)、影像或病理AI软件等多种形态;后者则是药监监管语境下的特定概念。医疗AI大模型/智能体、CDSS并不当然属于医疗器械,其关键仍在于是否处理医疗器械数据、输出是否用于个体化诊疗以及是否满足医疗器械定义。只有满足上述三要素的产品,才进入药监体系下“AI医疗器械”的监管视野。
确认产品构成医疗器械后,企业需要进一步判断其管理类别。我国医疗器械监管采取风险分级管理模式:第一类风险程度低,实行备案管理;第二类具有中度风险,第三类具有较高风险,二者均实行注册管理。管理类别直接决定审评机关、注册资料要求、临床评价强度和上市后监管负担。
具体类别通常依据《医疗器械分类目录》判断。与AI医疗器械最相关的是“21 医用软件”子目录,涵盖治疗计划软件、影像处理软件、数据处理软件、决策支持软件、体外诊断类软件等类别。需要注意的是,目录中的“品名举例”并非封闭清单。企业不能因为产品名称未出现在目录中就当然认为不属于医疗器械,也不能因为名称相似就机械套用某一目录项,而应结合产品描述、预期用途、处理对象、作用机理和临床风险作实质判断。
针对人工智能医用软件,国家药监局发布的《人工智能医用软件产品分类界定指导原则》进一步引入“算法成熟度”和“是否辅助决策”两个变量。算法在医疗应用中成熟度低的人工智能医用软件,如用于辅助决策,例如病灶特征识别、病变性质判定、用药指导、治疗计划制定等,通常按照第三类医疗器械管理;如仅用于非辅助决策,例如数据处理、自动测量、图像质量改善并提供临床参考信息,通常按照第二类医疗器械管理。算法成熟度高的产品,则回到现行《医疗器械分类目录》和分类界定文件判断。
因此,AI医用软件在实务中主要落在第二类和第三类。企业在产品立项阶段就应提前识别产品是否会从“工具”走向“决策助手”,以及算法是否属于成熟应用场景。预期用途、输出形式和对临床判断的影响程度,往往比产品名称本身更能决定其分类结论。
医疗器械监管中同时存在产品准入、生产资质和经营资质三组制度。本文聚焦产品层面的备案与注册:第一类医疗器械实行备案,第二类和第三类医疗器械实行注册。第一类备案更接近资料提交和存档备查;第二类、第三类注册则是上市前审查,注册申请资料通常围绕安全性、有效性和质量可控性展开,包括产品技术要求、风险分析资料、检验报告、临床评价资料、说明书及标签样稿、质量管理体系文件等。
就审批机关和时限而言,境内第二类医疗器械由省级药品监督管理部门审批,技术审评时限通常为60个工作日;境内第三类医疗器械由国家药监局审批,技术审评时限通常为90个工作日,且临床证据、风险控制和体系核查要求更高。医疗器械注册证有效期通常为五年。进口产品的注册、备案由国家药监局办理,境外申请人、备案人还应指定中国境内企业法人作为代理人。
AI医疗器械的注册审评重点并不限于传统医疗器械项下的检验报告、临床评价和质量体系文件。由于产品安全性和有效性高度依赖数据与算法,监管机关还会关注训练、验证和测试数据是否具有代表性,标注和质控是否可靠,算法是否存在偏倚、过拟合或泛化能力不足,软件生命周期和版本控制是否可追溯,联网、云部署、接口调用或远程维护是否带来网络安全风险,以及说明书是否充分揭示AI输出的含义、适用边界、医生复核要求和不适用场景。
换言之,AI医疗器械注册审评的核心并不是证明算法“先进”,而是证明算法在其申报的适用范围、目标人群、数据条件和临床场景中具有可验证、可复核、可持续控制的安全性和有效性。模型更新、训练数据扩充、算法结构调整或适用范围扩展,均可能影响既有注册结论。企业应在注册阶段同步建立算法更新评估、版本管理、变更注册判断和上市后性能监测机制。
AI医疗器械的数据贯穿研发、训练、验证、注册申报、临床部署和上市后监测全过程。同一份数据,在不同监管语境下可能具有不同法律属性:在药监注册语境下,可能构成医疗器械数据;在个人信息保护语境下,可能构成医疗健康信息或敏感个人信息;在卫生健康行业监管语境下,可能涉及人口健康信息;在基因检测、伴随诊断或跨境研发场景下,还可能涉及人类遗传资源信息或重要数据。
因此,数据合规不能从“是否脱敏”开始,而应先从数据来源、数据类型、使用目的和处理链条开始盘点。AI医疗器械常见数据可概括为四类:
医疗机构合作数据是AI医疗器械研发中最常见、也最敏感的数据来源。医疗机构在诊疗活动中取得患者数据,原始目的通常限于诊断、治疗、护理、病历管理和依法履职。将数据提供给企业用于商业化算法训练、产品注册或后续迭代,往往已超出原始诊疗目的,需要重新审查患者授权、伦理审查、院内审批和合作协议安排,并将患者知情同意、数据范围、交付条件、安全措施、再使用限制等作为合作协议的核心条款。
患者直接提供的数据,关键在于告知是否充分、同意是否具体、授权范围是否覆盖后续用途。企业不能仅在隐私政策中笼统写明“用于改善服务”,就当然将数据用于模型训练、算法验证、注册申报或商业化产品开发。涉及医疗健康、生物识别等敏感个人信息的,还应取得个人的单独同意,并告知处理敏感个人信息的必要性及其对个人权益的影响。
第三方提供的数据,不能仅依赖对方“保证数据合法”的合同表述。企业应进行必要的来源审查:第三方是否有权提供,原始数据主体是否已被告知相关用途,授权是否覆盖AI训练、验证和商业化,数据是否经过合法去标识化,第三方是否保留授权记录、伦理审查文件和质量控制记录。若第三方数据来源不清,即使企业并非最初收集方,也可能在后续使用环节承担合规风险。
公开数据集也不能当然理解为“可自由使用”。企业仍需核查开放许可条款是否允许商业使用、模型训练和再分发,原始数据采集是否经过伦理审查和知情同意,数据集是否存在样本偏差、标注偏差或来源国家合规问题。尤其在使用境外公开数据集时,还应关注其采集、共享和再利用是否符合来源地法律要求,以及能否支持在中国注册申报中的人群代表性和临床适配性论证。
企业应在数据取得阶段建立合法性审查机制,就数据来源、授权链条、使用限制、处理方式、安全措施和留痕材料形成档案。这些文件不仅是数据合规材料,也是注册申报中证明训练和验证数据来源可靠、过程可追溯的重要基础。
数据取得合法,并不意味着可以无限制使用。医疗数据可能最初用于诊疗,后来用于科研;可能先用于算法训练,再用于注册验证;产品上市后还可能用于性能监测和模型再训练。不同用途之间不能当然相互覆盖。在《个人信息保护法》框架下,处理个人信息应遵循合法、正当、必要和诚信原则,并限于实现处理目的的最小范围。若原始授权仅限于诊疗或科研,企业将数据进一步用于商业化AI产品开发,可能构成目的变更或超范围使用,需要重新取得授权或补充相应合规基础。
“最小必要”原则在AI医疗器械场景中具有实际约束力。算法训练确实需要一定规模和多样性的数据,但这并不意味着可以尽可能多地收集患者信息。例如,影像辅助诊断软件通常不应收集与影像分析无关的支付信息或通讯录;慢病管理或数字疗法产品即便需要连续监测数据,也应说明每类数据与风险评估、疗效监测或用药提醒之间的必要关系。
企业尤其应关注“二次使用”问题。运营中积累的AI输出、医生确认记录、用户反馈、错误日志和不良事件数据,对算法优化具有重要价值;但若拟用于模型迭代或再训练,应确认用户协议、隐私政策、医企合作协议和患者授权是否覆盖该等用途,并评估持续学习或模型更新是否影响产品安全性、有效性,从而触发补充验证、变更注册或备案信息更新要求。
(四)敏感个人信息:单独同意、PIPIA与去标识化
《个人信息保护法》将医疗健康、生物识别等列为敏感个人信息,要求只有在具有特定目的、充分必要性并采取严格保护措施的情形下方可处理,并取得个人的单独同意。处理敏感个人信息还属于应当事前开展个人信息保护影响评估(PIPIA)的法定情形,企业应评估处理目的和方式是否合法、正当、必要,处理活动对个人权益的影响和安全风险,以及保护措施是否有效,并保存评估记录。
医疗AI场景中敏感个人信息的范围相当宽泛。除电子病历、诊断记录和医学影像外,患者上传的症状描述、皮肤照片、用药记录、基因信息、睡眠和运动数据、连续血糖和心率数据,也可能因反映健康状况或疾病风险而具有敏感性。随着可穿戴设备和健康医疗移动应用广泛接入,企业的数据盘点不能只识别传统病历资料。
同时,企业需要区分去标识化和匿名化。匿名化强调处理后无法识别特定自然人且不能复原,匿名化后的信息不再属于个人信息;去标识化仅指不借助额外信息无法识别特定自然人,若结合额外信息仍可重新识别,原则上仍应按照个人信息处理规则管理。实践中,医学影像、罕见病样本、基因数据或多维健康数据即使去除姓名、身份证号,也可能通过特征组合发生重识别风险,因此不宜将“脱敏”简单等同于合规完成。
数据合规不仅要求“来源合法”,还要求“数据可靠”。如果训练数据存在样本偏倚、标注规则不清、清洗过程不可追溯,或训练集与测试集之间存在样本交叉,即使数据取得合法,也可能导致算法性能被高估,进而影响注册审评结论和临床使用安全。
企业应将数据质量管理前置到研发阶段:记录数据筛选标准、入选和排除规则、缺失值处理、图像质量控制、采集设备、来源机构、样本分布和适用人群;对于训练集、调优集和测试集,应明确划分方法、划分依据和分配比例,确保样本之间无交集并通过查重验证;如使用数据扩增,也应记录扩增对象、方式和倍数。
数据标注是算法可信度的关键环节。标注人员资质、标注规则、复核机制和分歧处理方式都会影响训练结果。行业标准《人工智能医疗器械质量要求和评价第3部分:数据标注通用要求》(YY/T 1833.3-2022)已将数据标注纳入质量评价框架。标注工作不宜仅作为技术外包处理,而应通过标注规范、培训记录、抽样复核和仲裁机制形成可审查的证据链。
数据质量还关系算法公平性和泛化能力。训练数据若集中于少数三甲医院、单一设备型号或特定人群,算法在基层医院、其他设备、不同年龄段、罕见疾病亚型或不同地区患者中的表现可能显著下降。企业应通过分层性能评价、亚组分析和偏倚评估,说明算法在目标适用人群和真实临床环境中的稳定性,并在证据不足时通过说明书、界面提示或培训材料明确限制。
医疗机构与企业合作时,首先应定性双方的数据处理关系。企业仅按医疗机构指示进行数据清洗、标注、建模或部署的,通常构成委托处理,应通过协议明确处理目的、期限、方式、个人信息种类、安全措施和双方义务,受托方不得超范围处理、未经同意不得转委托。若双方共同决定数据用于AI研发、训练或商业化注册,则可能构成共同处理,应约定各自权利义务,并共同承担个人信息保护责任。
第三方服务商和云部署会扩大数据暴露面。标注公司、CRO、云服务商、远程运维商等是否确有必要接触原始数据,是否可以通过去标识化数据、受控接口或本地化部署完成服务,是否具备访问控制、加密传输、日志留存、应急响应等安全能力,是否存在转包、调用境外资源或允许境外团队远程访问,均应纳入供应商尽调和合同审查。若涉及人口健康信息,还应特别关注存储地点、服务器托管和远程访问安排。云端推理、远程运维等实际部署方式,也应与注册申报资料保持一致。
数据出境判断的关键,不仅在于数据物理上是否离境,还在于境外主体是否能够访问、调取或使用相关数据。数据存储在境内,但境外机构或个人可在境外查询、下载、导出的,同样可能构成数据出境活动。根据现行数据出境规则,向境外提供重要数据,关键信息基础设施运营者向境外提供个人信息,或非关基运营者累计向境外提供达到一定规模的个人信息、敏感个人信息的,应申报数据出境安全评估;即使不触发安全评估,仍需履行《个人信息保护法》项下的告知、单独同意、PIPIA和境外接收方管理义务。
上市后运行数据可用于真实世界监测和临床评价,但不当然可用于模型再训练。企业应确认原有患者授权、医企合作协议和隐私政策是否覆盖再训练和产品迭代目的;对仍可识别个人的数据,继续适用告知、单独同意和PIPIA等要求。模型更新还可能触发注册变更:《人工智能医疗器械注册审查指导原则》将算法更新区分为算法驱动型和数据驱动型,更新影响产品安全性或有效性的,通常属于重大软件更新,应申请变更注册;不影响的,可作为轻微更新通过质量管理体系控制。企业不能将“增加训练数据”“优化模型参数”“调整算法阈值”一概理解为日常软件维护。
中国目前尚未通过一部统一的“人工智能法”对AI技术作全面监管,而是以具体服务形态和应用场景为切入点,形成了由算法推荐、深度合成、生成式人工智能服务、生成合成内容标识、安全评估和科技伦理审查等规则组成的复合监管体系。对AI医疗器械企业而言,这意味着在医疗器械注册之外,还需要根据产品部署和服务方式另行判断是否触发互联网AI监管义务。
内部研发或测试场景下,企业使用医学影像、心电、病理数据进行模型训练、算法验证或注册前测试,合规重点通常仍在数据来源、个人信息保护、伦理审查和注册申报资料,不当然构成面向公众提供互联网AI服务。《生成式人工智能服务管理暂行办法》也明确,研发、应用生成式人工智能技术但未向境内公众提供服务的,不适用该办法。
院内部署或受控使用场景下,影像辅助诊断、心电分析、病理辅助识别软件部署在医院系统中,由医生在诊疗流程中调用,AI输出仅作为医生复核依据的,仍以医疗器械注册、软件网络安全和质量管理体系为主;未面向不特定公众提供互联网信息服务的,不当然触发算法备案或生成式AI服务备案/登记。
面向公众或患者端服务场景下,企业通过App、小程序、互联网医院、公众号或网页端向公众提供AI问答、报告解读、健康建议、风险评估、个性化内容推荐或智能预问诊服务的,产品可能同时构成互联网信息服务中的算法推荐服务、深度合成服务或生成式人工智能服务,从而进入网信部门监管框架,触发备案、安全评估、生成合成内容标识等义务。
同一算法能力,因服务对象和交付方式不同,合规结论可能完全不同:仅供院内医生使用的AI辅助诊断软件,通常以药监准入和医疗机构内部使用管理为主;同一能力被封装为患者端问答、报告解释或健康建议服务并向公众开放,则需要同步评估互联网AI监管要求。
(二)“舆论属性或社会动员能力”:触发义务的关键判断
“具有舆论属性或者社会动员能力”是算法备案和部分安全评估义务是否触发的关键概念。医疗AI服务并不天然具有舆论属性,院内医生使用的影像辅助诊断软件通常不会因为采用深度学习技术本身就触发相关义务。但面向公众的医疗AI服务,应结合服务入口、用户范围、互动方式和输出影响进行判断。
企业可重点关注以下问题:服务是否面向不特定公众开放;是否通过App、小程序、公众号等互联网入口提供;是否允许用户发布、评论、转发或形成社群互动;是否通过算法对医疗健康内容、医生服务、诊疗路径或商业服务进行推荐、排序、推送;AI输出是否可能影响公众对疾病、用药、就医和健康风险的认知与行为选择。
对于医疗AI而言,风险并不只来自“舆论表达”。患者端报告解读、用药建议、症状问答和风险评估,虽然形式上可能只是个体化服务,却可能对患者是否就医、如何用药、是否延误治疗产生实际影响。因此,企业在判断互联网AI监管义务时,应避免仅从技术名称出发,而应从服务对象、传播范围、输出内容和对公众行为的影响进行综合评估。
(三)算法备案、生成式AI服务备案/登记与安全评估
一旦相关服务被认定为具有舆论属性或社会动员能力,企业应重点落实三类程序性义务。
第一,算法备案。依《互联网信息服务算法推荐管理规定》,具有舆论属性或社会动员能力的算法推荐服务提供者,应在提供服务之日起十个工作日内通过互联网信息服务算法备案系统履行备案手续,并在网站、应用程序显著位置标明备案编号;备案信息变更或终止服务的,还应办理变更或注销手续。
第二,生成式AI服务备案/登记。实践中所谓“大模型备案”,更准确地说是生成式人工智能服务备案或登记。企业自行向公众提供生成式AI服务的,通常需要评估备案路径;通过API等方式调用已备案模型能力的应用或功能,则可能由地方网信部门开展登记,并在显著位置公示模型名称、备案号或上线编号。患者端App、互联网医院、报告解读工具、AI问诊助手等服务形态,应特别关注这一要求。
第三,安全评估。信息服务上线、增设功能,或使用新技术新应用导致服务功能属性、技术实现方式发生重大变更的,应自行开展安全评估,并在上线或功能增设前提交评估报告。对医疗AI而言,安全评估不应只是形式性附件,还应结合医疗风险展开:AI输出是否可能误导患者,是否设置医生复核和线下就医提示,是否限制急危重症、高风险用药和处方生成场景,是否留存输入输出和模型版本记录,模型更新后是否需要重新评估。
医疗AI产品中生成、编辑或重组内容的功能,可能落入深度合成服务监管。例如,AI问诊生成回答、报告解读生成医学解释、患者教育机器人生成健康建议、医学图像增强修复或三维重建、数字人语音交互等,均可能涉及篇章生成、问答对话、文本转语音、图像生成、图像增强、三维重建等深度合成技术。具有舆论属性或社会动员能力的深度合成服务提供者应履行备案手续,技术支持者也应参照办理。
《人工智能生成合成内容标识办法》及配套强制性国家标准对生成合成内容提出显式标识和隐式标识要求。显式标识是用户可明显感知的文字、声音、图形提示;隐式标识则通过技术措施添加在文件元数据等位置。对医疗AI而言,标识义务的意义不止于让用户知道“内容由AI生成”,更在于防止患者或医生误认AI输出的性质。
报告解读、健康建议、用药提醒、预问诊摘要等内容可能直接影响患者就医决策。企业落实标识义务时,不宜仅以“是否加水印”为判断标准,而应同时关注用户界面、导出文件、元数据、日志留存、医生复核和患者提示,确保用户知悉内容由AI生成或辅助生成,医生能够识别并复核,监管可追溯来源,患者明确AI不能替代医生作出诊疗决策。
医疗AI的伦理审查不应只被理解为临床试验阶段的一项流程。涉及患者数据、真实世界数据、医学影像或病理样本、基因组数据、敏感疾病人群、生成式医疗建议或患者端AI交互服务的项目,均应在立项早期评估是否需要伦理审查、知情同意、风险控制方案和持续跟踪机制。
结合科技伦理规则和人工智能治理原则,医疗AI的伦理与责任控制可从三个维度展开。第一是公平性:关注训练和验证数据的代表性,评估算法在不同性别、年龄、地区、设备型号、疾病严重程度和医疗机构层级下是否存在性能差异,并在样本量不足时于说明书和医生培训材料中明确限制。第二是可解释性:尽可能向医生提供输出依据,例如病灶区域提示、置信度、风险评分含义、关键特征和不适用场景,避免医生只能面对无法理解的“黑箱结论”。第三是可追溯性:保留训练数据版本、模型版本、输入输出、医生确认或修改记录、模型更新记录和不良事件处置记录,使算法性能、临床使用和责任判断均有据可查。
责任层面,AI医疗器械的使用涉及多方主体。注册人负责产品设计、风险控制和上市后监测;互联网AI服务提供者负责内容安全和生成内容标识;医疗机构负责临床部署、人员培训和质量管理;医师负责在执业范围内作出最终诊疗判断。这些责任不会因AI介入而消失。《互联网诊疗监管细则(试行)》明确,人工智能软件不得冒用、替代医师本人提供诊疗服务,处方不得由人工智能自动生成。无论AI能生成何种病灶提示、风险评分或报告草稿,最终诊疗判断仍须由具备资质的医师结合患者具体情况作出。
若损害源于算法设计不合理、训练数据系统性偏差、风险警示不足,或发现缺陷后未及时警示、召回,可能进入产品责任评价;医疗机构未尽院内准入评估、人员培训和复核流程管理义务的,还可能与医疗损害责任衔接。企业应将责任控制前移到设计、验证和上市后阶段:明确产品预期用途、适用人群、输入条件和不适用场景,通过分层性能评价和偏倚分析证明安全有效,并在说明书、界面提示和医生培训中充分披露AI辅助属性、置信度含义和复核要求。
AI医疗器械合规不是注册申报时的一次性工程,而应覆盖产品从立项、研发、验证、注册、上线到上市后迭代的完整生命周期。企业可以围绕四条主线建立统一的合规管理框架。
第一,产品准入合规。在立项阶段即判断产品是否具有医疗用途、是否构成医疗器械、属于何种管理类别及适用何种准入路径;对采用AI技术的软件产品,同步关注算法成熟度、辅助决策属性、预期用途和输出形式,避免实际功能、注册路径与对外宣传发生错位。
第二,数据合规。在数据进入研发体系之前完成识别和合法性审查,明确数据来源及是否涉及敏感个人信息、人口健康信息、重要数据或人类遗传资源信息;对拟用于训练、注册申报或再训练的数据,重点审查授权链条、告知同意、伦理审查、PIPIA、去标识化、数据出境和可追溯性。
第三,AI监管合规。当软件从院内受控使用延伸至患者端、互联网医院、小程序或App,并向公众提供AI问答、报告解读或生成式服务时,同步判断是否触发算法备案、生成式AI服务备案/登记、安全评估、深度合成规则和生成合成内容标识义务,并充分提示AI生成或辅助属性。
第四,产品责任与医疗场景责任。企业围绕产品缺陷、说明书警示、模型更新、不良事件、召回和变更注册建立责任控制机制;医疗机构围绕院内准入、医生培训、复核流程建立质量管理机制;医师保持最终诊疗判断的主导地位;对第三方模型、云服务、标注服务商,通过合同明确数据安全、日志留存和责任追偿安排。在上述四条主线基础上,企业可按研发阶段采取下列合规措施:
AI医疗器械的合规没有单一抓手:药监准入决定产品能否作为医疗器械上市,数据合规决定算法能否合法地“学习”,互联网AI监管决定服务能否触达公众,责任机制决定风险发生时由谁、如何承担。四条主线相互交织,一次模型更新可能同时触发变更注册、再训练授权审查、备案变更和标识更新。
对企业而言,更现实的合规思路不是在产品上线前补一套文件,而是把监管判断嵌入产品设计、数据治理、算法研发、注册申报、商业化部署和上市后迭代的每一个节点。越早建立跨部门、可追溯、可更新的全生命周期合规体系,越能在监管持续细化的环境中,把合规从被动成本转化为产品可信度和市场竞争力。
业务领域:跨境投资与并购、政府事务与合规、数据安全与隐私保护、知识产权
联系电话:8621 6859 0516
电子邮箱:joseph.j.li@chancebridge.com
Joseph Li 是卓纬律师事务所上海办公室执⾏合伙⼈,拥有超过25年的执业经验,⻓期协助跨国公司应对其在中国⾯临的复杂法律、合规及监管挑战。他的专业领域覆盖医疗健康、快速消费品、零售、科技、汽⻋及电⼦商务等多个⾏业,并为客户提供战略性的“外部总法律顾问”服务。Joseph为客户就跨境投资、并购、企业合规及知识产权保护等复杂监管框架提供法律建议,同时亦关注科技与法律交叉领域的新兴法律问题,包括⽣命科学、数据安全及⼈⼯智能等。李律师曾⼊选《商法》A-List 2025–26 “增⻓驱动⼒”榜单,并在⾸届 Legal 500 China Elite 指南中获评“公司及并购领域上海精英律师。
业务领域:公司治理与跨境投资、政府事务与合规、网络安全与数据保护
联系电话:+86 21 6859 0516
电子邮箱:yunzhu.fang@chancebridge.com
方云竹的主要执业领域包括公司治理与跨境投资、政府事务与合规、网络安全与数据保护等。自加入卓纬律师事务所以来,曾参与多家企业的政府监管及跨境业务、合规制度建设、反贿赂与反腐败合规以及数据安全合规项目的相关法律事务。
本微信公众号的文章仅供交流之用,不代表北京卓纬律师事务所或其律师的正式法律意见或建议。若需要法律意见或专业分析,请联系并咨询北京卓纬律师事务所及其律师。欢迎转载或引用本微信公众号的文章和内容,请联系沟通授权事宜,并于转载时在文章开头处注明来源于微信公众号“北京卓纬律师事务所”以及作者名字。