AI向善的制度保障:《人工智能科技伦理审查与服务办法(试行)》
2026-04-27
人工智能正深度赋能千行百业,其自主生成与决策能力呈指数级跃升——正逐步从“辅助人类判断”走向“替代人类决策”。然而,技术能力越强,其失控或被滥用所带来的社会代价就越难以承受,这正是将伦理审查制度化的根本原因。
2026年3月20日,工业和信息化部等十部门联合印发《人工智能科技伦理审查与服务办法(试行)》(“办法”),作为我国首部人工智能领域专门性科技伦理审查规章,自印发之日起施行。
本文立足立法原意与企业合规实务,从伦理审查义务的适用边界、审查主体的构建路径、审查的程序逻辑、实体审查标准的操作指引以及法律责任的衔接机制五个维度,系统拆解《办法》的核心规则,帮助人工智能企业精准把握监管要求,构建切实可行的伦理合规体系。
一、伦理审查义务的边界:"科技活动"的场景界定
《办法》第二条将伦理审查义务的“适用范围”[1]限制在人工智能“科技活动”内,并进一步将其界定为可能带来科技伦理风险挑战的人工智能“科学研究、技术开发等活动",这一表述直接决定了监管边界与企业合规义务的范围,是理解《办法》适用逻辑的核心前提。
(一)立法文本解释:限定于科研阶段的体系化论证
从我国科技伦理治理的统一法律体系来看,“科技活动”的范围已有相对明确的界定。作为《办法》的直接立法依据,《科技伦理审查办法(试行)》(“伦理办法”)第一条[2]将立法目的限定为"规范科学研究、技术开发等科技活动的科技伦理审查工作",第二条[3]进一步明确列举了需进行伦理审查的具体类型,主要集中于带有研究、试验与开发性质的科技活动,指为增加知识存量以及设计已有知识的新应用而进行的创造性、系统性工作。其最根本的特征是创造性,即活动能够产生新的技术成果,或对现有技术进行实质性修改,而非对已有技术的简单使用、复制或集成。
据此,《办法》作为人工智能领域的专门实施细则,其“科技活动”概念必须与《伦理办法》保持内涵统一,即严格限定于研究与发展(R&D)阶段,而非科技成果的一般性应用阶段。这一解释完全契合“源头治理”的立法精神——科技伦理风险主要孕育于技术创新过程,在研发阶段嵌入审查机制,才能从根本上阻断风险向应用端扩散。同时,也可避免对实质相同的科技活动重复开展伦理审查,有效节约行政资源与科研成本。
以下将结合具体场景,进一步厘清“科技活动”边界的实践含义。
(二)企业合规实务:类型化场景的边界划分
基于以上标准,是否构成“科技活动”的核心判断依据,在于企业的行为是否对模型性能或功能产生了实质性影响。例如,从零构建金融风控大模型属于应履行审查义务的“科技活动”;而仅调用该模型API嵌入自有审批流程,则属于对已有成果的集成使用,不构成“科技活动”(但仍需履行算法备案等常规合规义务)。
实践中的关键难点在于“私有化部署+轻度定制”场景下的“实质性影响”界定标准。例如,企业购买第三方模型并在私有环境中部署,同时进行提示词工程优化或少量样本微调。此类行为是否构成“对模型性能产生实质性影响”,目前尚无明确解释,需结合修改幅度、技术参数变化等因素综合判断。对于这些无法明确判断的灰色场景,建议企业主动留存技术改造记录,以备监管核查时举证说明;也可就具体场景向主管部门申请合规指引,降低不确定性风险。
二、伦理审查的主要路径:委员会与服务中心
基于《办法》第九条[4]和《办法》第十一条[5],企业履行伦理审查义务存在两种具体路径,一是企业自行设立人工智能科技伦理委员会(“委员会”),由其对企业科技活动进行内部伦理审查;二是第三方建立的专业性人工智能科技伦理审查与服务中心(“服务中心”)进行外部伦理审查。
(一)自设委员会:如涉“敏感领域”
《办法》第九条将自设委员会的要求从征求意见稿的“有条件的单位应设立”[6]修改为“应按照《伦理办法》第四条[7]有关要求设立”。根据《伦理办法》第四条,只有研究内容涉及的科技伦理达到“敏感领域”这一门槛,才需履行强制设立伦理委员会的法定义务。
“敏感领域”的界定应当以风险等级为核心标准,而非单纯以技术类型划分。参照《伦理办法》附件《科技伦理敏感领域清单》[8]等相关规定,人工智能领域的典型敏感领域可能包括:涉及生物识别、深度伪造、自动驾驶、医疗诊断与治疗、金融风控、公共安全、教育评估、就业推荐等可能直接影响人身权利、财产安全或公共利益的技术研发与应用(笔者建议,企业可参照《个人信息保护法》中“敏感个人信息”的判定逻辑来协助理解)。
判断是否属于敏感领域应当采取“实质重于形式”的原则。即使是通用人工智能技术,如果其研发目的或应用场景涉及上述领域,也应当被认定为敏感领域。例如,通用大模型本身不属于敏感领域,但如果其研发之初即以医疗诊断或金融风控为主要应用场景,或其核心功能已深度适配上述场景,则应认定为涉及敏感领域,相关研发单位须设立伦理委员会。
(二)服务中心制度:中小企业的合规替代路径
对于不涉及敏感领域、无强制设立委员会义务的企业,《办法》第十一条提供了替代合规路径,即委托服务中心开展伦理审查。这一机制对资源有限的中小企业而言尤为重要。不过,自设委员会与服务中心并非构成可自由选择的互换关系,而是强制义务与补充机制的分层关系。
《办法》目前对服务中心的认定标准尚属原则性规定,细化的资质条件与认定程序有待配套文件明确。在此之前,企业在选择服务中心时,建议重点考察以下几点:其一,是否具备覆盖人工智能技术、伦理、法律等多专业背景的专家团队;其二,是否建立了防范利益冲突的内部回避机制;其三,是否有可查验的既往审查案例与审查质量记录。
委托服务中心开展伦理审查,并不意味着企业可以将伦理合规责任完全转移。根据《办法》相关条款,企业作为科技活动的实施主体,仍须承担以下剩余义务:如实、完整地向服务中心提供审查所需材料,不得隐瞒或虚报关键信息;对服务中心提出的整改意见切实落实,并留存执行记录;在科技活动实施过程中发生重大变更时,须及时向服务中心报告并启动重新审查程序。
换言之,服务中心负责审查,但合规主体责任始终在企业。
为了方便读者理解,笔者将伦理审查的路径分析整理为下图:
▲伦理审查主体适用路径示意
三、伦理审查的程序逻辑:从申请到复核
但无论自设委员会还是外聘服务中心,企业均须按照《办法》规定的程序完成审查,以下将对全流程作系统梳理。
(一)审查启动:谁来申请、提交什么
审查申请由开展科技活动的单位提出,申请材料通常应包括:科技活动的基本情况说明;潜在伦理风险的自评报告;数据来源与处理方式说明;已有伦理审查意见(项目重大变更后重新提交审查的情形)。
(二)审查时限与决议类型
委员会或服务中心在受理申请后,应在《办法》规定的时限内作出审查决议。决议通常分为三类:审查通过;附条件通过;不予通过。附条件通过在同类伦理审查实践中较为普遍,企业应充分重视整改意见的落实,而非将其视为形式性要求。
(三)三类高风险活动的专家复核
《办法》第二十一条明确,以下三类活动在通过初步审查后,仍须向地方或相关主管部门申请专家复核,方可正式开展:
第一类,对人类主观行为、心理情绪和生命健康具有较强影响的人机融合系统研发,典型场景包括侵入式脑机接口医疗设备、神经调控AI系统、认知增强类可穿戴设备等;
第二类,具有舆论社会动员和社会意识引导能力的算法模型研发,典型场景包括大规模深度合成系统、算法推荐平台的舆论引导模型等;
第三类,面向高风险场景的高度自主自动化决策系统研发,典型场景包括L4级以上自动驾驶系统、重症监护AI诊断决策系统等。
专家复核并非对初步审查的简单重复,而是引入主管部门层面的跨机构专业判断,对初步审查结论进行实质性验证。企业应注意,在专家复核结论作出之前,不得擅自开展相关科技活动。
(四)审查结论的效力与持续监督
审查通过并不意味着一劳永逸。《办法》要求企业在科技活动实施过程中建立持续监测机制,定期评估伦理风险变化情况;如科技活动的目的、技术方案或应用场景发生重大变更,须及时启动重新审查程序。这一“动态合规”要求提醒企业,伦理审查是贯穿科技活动全周期的制度安排,而非一次性的准入门槛。
四、伦理审查的实体标准:六维框架的合规操作指引
《办法》第十五条确立了人工智能科技伦理审查的六项实体标准。六项标准并非相互独立的核查清单,而是从不同维度共同构建一个完整的伦理评估框架:人类福祉是价值导向,公平公正与隐私保护是底线约束,可控可信与透明可解释是技术要求,责任可追溯是管理保障。以下对各项标准的核心要义及企业合规操作要点逐一说明。
(一)人类福祉
审查核心在于风险收益比,即只有当预期收益显著大于潜在风险时,相关科技活动方可开展。
合规建议:在项目立项阶段引入“伦理影响评估”机制,明确技术成果的预期受益群体、可能受损群体及相应风险缓解措施,并将评估报告纳入审查申请材料。
(二)公平公正
该标准聚焦算法歧视的源头治理,覆盖数据采集、模型训练、结果输出全链条,同时禁止利用算法实施价格歧视等不公平商业行为。
合规建议:数据层面,在采集、标注、清洗各环节设置偏见检测节点;模型层面,对招聘筛选、信贷评估、内容推荐等面向用户的决策系统,定期检测输出在性别、地域、年龄等敏感维度上的分布偏差。
(三)可控可信
该标准的核心是“人类对系统保有最终控制权”,要求企业覆盖研发、部署、运行全阶段建立风险管控机制。
合规建议:在系统架构设计阶段即明确“人工干预触发条件”,避免将其作为事后补救手段;建立分级应急响应预案,区分模型性能异常、数据泄露、系统被恶意利用等不同风险类型,明确各场景的响应流程与责任部门。
(四)透明可解释
该标准区分两类对象:对监管机构须全面披露,对用户须作适度说明,均不得以“技术秘密”为由拒绝履行。
合规建议:对监管机构,准备完整技术文档;对用户,以非技术语言说明系统决策逻辑与使用边界,在合同或用户协议中明确AI辅助决策的适用范围。
(五)责任可追溯
该标准要求建立覆盖数据处理、模型训练、系统运行全链路的日志管理体系,并明确科技人员的个人责任边界。
合规建议:采用结构化日志格式记录关键操作节点,确保日志不可篡改;建立科技人员资质档案与责任链条;日志留存期限建议结合具体场景确定,网络日志一般不低于六个月,涉及重要数据处理的记录建议适当延长,高风险场景建议不低于三年。
(六)隐私保护
该标准与《个人信息保护法》直接衔接,核心要求是在数据利用与隐私保护之间实现合理平衡。
合规建议:建立训练数据脱敏和匿名化的标准操作流程;无法完全脱敏的场景优先采用联邦学习或差分隐私等隐私增强技术;建立数据全生命周期合规管理机制,涵盖采集授权、存储加密、访问控制及删除销毁,并定期审计。
五、法律责任转致条款解读:伦理审查义务的责任边界
《办法》第三十二条[9]是专门规定法律责任的条款,延续了我国科技伦理立法的纯转致性立法模式(即本办法本身不直接规定具体处罚措施,而是通过引用其他法律的处罚规定来实现追责),相较于征求意见稿[10]新增了三部基本法《网络安全法》《数据安全法》《个人信息保护法》作为处罚依据,明确了伦理合规与数据安全、网络安全合规的衔接路径,但仍未创设独立的行政处罚种类与幅度。该条的转致适用可分为如下两类情形。
(一)违反实体审查标准:可直接适用现行法律处罚
违反伦理实体审查标准的行为,可直接衔接适用三部法律的处罚规则。若上述行为在违反《办法》实体标准的同时,亦符合三部法律规定的违法构成要件,监管部门可直接依据上述法律予以处罚。这也是本次修法的核心意义所在,实现了伦理标准与既有法律责任体系的打通。
(二)违反程序审查义务:当前处罚依据缺失,以非处罚性监管为主
对于未按规定设立伦理委员会、未开展伦理审查或专家复核、伦理审查弄虚作假等违反核心程序义务的行为,《办法》本身未设定处罚,上位法中亦无对应罚则——《科学技术进步法》仅针对“违背科技伦理的科学技术研究开发活动”本身设定处罚,而非针对程序违法;《伦理办法》第四十七、四十八条同样为转致性条款,未规定具体处罚措施。
在此背景下,预期监管部门将主要借助责令改正、监管约谈等非处罚性手段实现约束;若程序违规同时伴随实体标准的违反,则直接适用《网络安全法》等法律予以处罚,后果将显著加重。
尽管当前处罚力度有限,企业仍不应忽视程序合规的价值:完整的审查记录是伦理合规体系成熟度的重要证明,在监管约谈和行政检查中具有实质性的信用价值;且随着《人工智能法》立法进程的推进,程序违规的处罚空白预计将会填补,提前建立合规机制方可规避未来法律风险。
六、结语
《办法》的出台是我国人工智能伦理治理从“软法时代”迈入“规则时代”的重要里程碑。然而,制度价值的实现有赖于落地质量。回顾既有科技伦理审查实践,形式化审查、利益回避不足、审查效率与创新速度失衡等问题已在医学伦理、科研机构伦理委员会中反复出现;在人工智能迭代速度更快、技术专业壁垒更高的背景下,上述挑战只会更为突出。
欧盟《人工智能法案》与美国NIH人类研究保护项目的经验共同指向一点:伦理审查制度的公信力,最终取决于审查机构的独立性与问责机制,而非审查程序的形式完备。《办法》目前对服务中心的认定标准尚待细化,这是后续配套文件最需着力之处。
对企业而言,伦理合规不应被视为外部强加的行政义务,而应成为技术研发的内生价值取向。在合规中建立信任,在信任中赢得市场——这是人工智能向善得以持续实现的现实路径,也是《办法》制度价值最终落地的基本前提。
参考文献:
[1]《办法》第二条 本办法所适用的人工智能科技活动是在中华人民共和国境内开展的,可能在人的尊严、公共秩序、生命健康、生态环境、可持续发展等方面带来科技伦理风险挑战的人工智能科学研究、技术开发等活动,以及依据法律、行政法规和国家有关规定需进行人工智能科技伦理审查的其他科技活动。
[2]《第二轮中央生态环保督察移交问题已追责问责近2900人》
[3]《伦理办法》第二条 开展以下科技活动应依照本办法进行科技伦理审查:
(一)涉及以人为研究参与者的科技活动,包括以人为测试、调查、观察等研究活动的对象,以及利用人类生物样本、个人信息数据等的科技活动;
(二)涉及实验动物的科技活动;
(三)不直接涉及人或实验动物,但可能在生命健康、生态环境、公共秩序、可持续发展等方面带来伦理风险挑战的科技活动;
(四)依据法律、行政法规和国家有关规定需进行科技伦理审查的其他科技活动。
[4]《办法》第九条 从事人工智能科技活动的高等学校、科研机构、医疗卫生机构、企业等是本单位人工智能科技伦理审查管理的责任主体,应按照《伦理办法》第四条有关要求,设立人工智能科技伦理委员会(以下简称委员会)。委员会应配备必要的工作人员、办公场所和经费等条件,采取有效措施保障委员会独立开展工作。鼓励有资质的相关单位开展人工智能科技伦理管理体系相关认证。
[5]《办法》第十一条 地方、相关主管部门可结合实际情况依托相关单位建立专业性人工智能科技伦理审查与服务中心(以下简称服务中心)。服务中心接受其他单位委托,提供人工智能科技活动伦理审查、复核、培训、咨询等服务。服务中心不得对同一人工智能科技活动同时提供审查和复核服务。服务中心应建立规范的管理制度和程序,配备具有人工智能科技伦理审查与服务能力的专职人员,接受地方或相关主管部门监督。
[6]《办法(征求意见稿)》第九条 从事人工智能科技活动的高等学校、科研机构、医疗卫生机构、企业等是本单位人工智能科技伦理管理服务的责任主体。有条件的单位应设立人工智能科技伦理委员会(以下简称委员会)。委员会应配备必要的工作人员、办公场所和经费等条件,采取有效措施保障委员会独立开展工作。鼓励有资质的相关单位开展人工智能科技伦理管理体系相关认证。
[7]《伦理办法》第四条 高等学校、科研机构、医疗卫生机构、企业等是本单位科技伦理审查管理的责任主体。从事生命科学、医学、人工智能等科技活动的单位,研究内容涉及科技伦理敏感领域的,应设立科技伦理(审查)委员会。其他有科技伦理审查需求的单位可根据实际情况设立科技伦理(审查)委员会。
单位应为科技伦理(审查)委员会履职配备必要的工作人员、提供办公场所和经费等条件,并采取有效措施保障科技伦理(审查)委员会独立开展伦理审查工作。
探索建立专业性、区域性科技伦理审查中心。
[8]《伦理办法》附件-需要开展伦理审查复核的科技活动清单
1. 对人类生命健康、价值理念、生态环境等具有重大影响的新物种合成研究。
2. 将人干细胞导入动物胚胎或胎儿并进一步在动物子宫中孕育成个体的相关研究。
3. 改变人类生殖细胞、受精卵和着床前胚胎细胞核遗传物质或遗传规律的基础研究。
4. 侵入式脑机接口用于神经、精神类疾病治疗的临床研究。
5. 对人类主观行为、心理情绪和生命健康等具有较强影响的人机融合系统的研发。
6. 具有舆论社会动员能力和社会意识引导能力的算法模型、应用程序及系统的研发。
7. 面向存在安全、人身健康风险等场景的具有高度自主能力的自动化决策系统的研发。
本清单将根据工作需要动态调整。
[9]《办法》第三十二条 在人工智能科技活动或开展人工智能科技伦理相关工作的过程中,违反本办法规定的,依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国科学技术进步法》等法律法规和相关规定,进行调查处理,给予相应处罚。
[10]《办法(征求意见稿)》第三十二条 在人工智能科技活动或开展人工智能科技伦理相关工作的过程中,违反本办法规定的,依照《科学技术进步法》等法律法规和相关规定,给予相应处罚。
本文作者:
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。
