大模型备案，到底卡在哪？

最近帮几家AI公司梳理备案流程，发现大家踩的坑高度重合。不是态度不端正，也不是材料拖沓，而是实实在在卡在几个硬骨头问题上。下面直接列出来，不绕弯子。

1. 训练数据来源说不清楚

很多模型用的是公开爬取的数据，比如网页、论坛、新闻、社交媒体。备案要求说明“数据是否合法取得、是否获得授权、是否包含违法不良信息”。但实际情况是：

• 数据是三年前批量爬的，原始URL早就失效；
• 没有保留完整的数据来源清单；
• 清洗日志缺失，无法证明已过滤敏感内容；
• 部分数据来自第三方数据集（如Common Crawl），但无法追溯其授权链条。

监管要的是“可验证的合法性”，而团队能提供的往往是“我们当时觉得没问题”。

2. 无法提供完整的数据处理记录

备案指南里明确要求提供“数据预处理、清洗、标注等环节的操作记录”。但多数技术团队开发时根本没想过要留痕——日志关了、中间文件删了、临时脚本丢了。

现在临时补？很难。因为：

• 清洗规则可能随时间多次调整，没人记得每次改了什么；
• 标注工作外包给众包平台，合同里没约定数据溯源义务；
• 某些去重或脱敏操作是自动完成的，没有人工审核记录。

结果就是：技术上做得挺好，但拿不出“证据链”。

3. 安全评估报告找不到合格机构出

《生成式AI服务管理暂行办法》要求提交“安全评估报告”，但市面上真正具备资质、被监管部门认可的第三方评估机构极少。有些公司找了所谓“合规咨询公司”，结果报告不被受理。

更麻烦的是，不同地区对报告内容要求不一：

• 有的要红队测试（模拟攻击）；
• 有的要输出内容抽样分析（比如随机生成1万条，人工审核违规率）；
• 有的要求评估模型是否可能被用于深度伪造、诈骗等场景。

企业自己做？不算数。找人做？贵且慢，还可能白花钱。

4. 模型参数和架构披露尺度难把握

备案表格里有一栏：“简要说明模型结构、训练方法、参数量级”。问题来了：

• 写太细（比如层数、注意力头数、训练步数），怕泄露技术细节；
• 写太模糊（比如“基于Transformer的大规模语言模型”），又被打回要求补充；
• 有些公司用的是开源模型微调，但微调策略、LoRA配置、数据配比属于商业机密，不愿公开。

目前没有统一标准，全靠审核人员主观判断，导致反复修改。

5. 内容过滤机制被质疑“形同虚设”

几乎所有备案材料都要描述“如何防止生成违法不良信息”。常见做法是加关键词过滤、后处理审查、提示词约束。但审核方会追问：

• 关键词库有多少条？多久更新一次？
• 能否拦截变体表达（比如拼音、谐音、符号替换）？
• 如果用户用英文提问涉政内容，系统能识别吗？
• 是否有误拦/漏拦的统计和改进机制？

很多团队的回答停留在“我们用了某大厂的内容安全API”，但拿不出自建策略和效果验证数据，被认为“依赖外部、缺乏自主防控能力”。

6. 模型更新后要不要重新备案？

这是个灰色地带。按现行规定，如果“模型基础架构、训练数据范围、应用场景发生重大变化”，需重新备案。但什么叫“重大”？

• 从7B升级到13B算不算？
• 加入新领域的微调数据（比如医疗问答）算不算？
• 仅优化推理速度、不改训练数据，算不算？

没人敢拍板。有些公司选择“悄悄上线”，结果被抽查到，被要求下线整改；另一些则每改一点就报备，导致产品迭代停滞。

7. 境外服务器或云服务使用受限

部分创业公司为了成本或性能，把训练或推理部署在境外（如AWS新加坡、Azure美国）。但备案明确要求“在中国境内运营的生成式AI服务，相关数据和模型应存储于境内”。

问题在于：

• 模型已在境外训练完成，迁回国内成本高；
• 某些GPU资源国内租不到，或排队太久；
• 多云架构中部分组件在境外，难以完全剥离。

结果就是：技术架构合理，但不符合属地监管要求，必须重构。

这些问题不是理论上的“合规风险”，而是每天真实卡住产品上线、融资尽调、政府合作的实际障碍。解决它们，光靠法务或技术单方面发力都不行，需要产品、工程、安全、法务甚至高管层协同作战。否则，再强的大模型，也可能倒在一张备案表前。