智能体监管新规下的企业AI合规边界——从数据安全、权限控制到责任留痕

2026-05-14

一、监管新规：从生成内容到执行行为

2026年5月8日，国家网信办、国家发展改革委、工业和信息化部联合印发《智能体规范应用与创新发展实施意见》（以下简称《实施意见》）。《实施意见》将智能体界定为具备自主感知、记忆、决策、交互与执行能力的智能系统，并将其作为人工智能产品及服务的重要形态加以规范。^[1]

这一文件的制度背景，是国务院《关于深入实施“人工智能+”行动的意见》对智能终端和智能体规模化应用作出的部署。该意见提出，到2027年，新一代智能终端、智能体等应用普及率超过70%。^[2]这意味着智能体将从试点工具逐步进入企业经营、内部管理、客户服务、生产运维和公共治理场景。

从企业视角看，《实施意见》的关键变化在于规制对象的扩展。《生成式人工智能服务管理暂行办法》^[3] 和《人工智能生成合成内容标识办法》^[4]已经对AIGC 文本、图片或音视频内容提出了系统性的规范管理要求；《实施意见》则将监管延伸到智能体的行为能力——智能体可以调用外部工具、读取内部系统、组合多个任务、作出流程判断并触发执行动作。企业AI合规管理因此需要回答三个问题：智能体能接触哪些数据、能取得哪些权限、能否产生对内或对外的实际法律后果。

此前我们关于法务AI助手搭建的研究已经提出，法务部门处理的信息具有高度敏感性，本地部署可以使法律数据保留在组织内部安全环境中，并降低数据泄露和未经授权访问风险。^[6]关于AI赋能合规管理的研究进一步提出，以本地知识库为基座、以大模型为引擎、以场景化应用为导向建设合规智能体，并通过AIGC合规管理体系保障输出可靠性。^[7]《实施意见》发布后，上述思路需要从“内容复核”升级到“行为治理”。

二、风险变化：越权、数据与责任

越权操作风险。传统 AI 工具主要输出文本或建议，错误后果通常停留在草稿层面。智能体接入邮箱、合同系统、采购系统、财务系统、客户管理系统、代码仓库或生产控制系统后，错误可能转化为真实业务行为——自动发送未经确认的客户函件、自动提交不完整的监管材料、自动触发采购或付款流程、自动删除或改写业务记录。这类风险不能依靠事后“修改输出”解决。

数据复合风险。智能体具备记忆、检索、任务拆解和跨系统调用能力，可能把合同、员工信息、客户资料、供应商信息、交易数据、投诉记录、诉讼材料等进行交叉整合。这一活动须置于现行网络与数据安全法律框架之下：作为基础规范的《网络安全法》^[5]，与《个人信息保护法》^[8]、《数据安全法》^[9]、《网络数据安全管理条例》^[10]共同设定网络运行安全、个人信息处理（合法、正当、必要、诚信原则）、数据全流程安全管理与重要数据保护的合规要求。

供应链风险。企业部署智能体，通常涉及基础模型、RAG 知识库、插件、API、工作流编排、身份认证、日志系统和第三方应用。《实施意见》明确提出，加强模型接入、应用程序接口调用、扩展工具使用等环节安全管理，并探索供应链安全信息共享和预警机制。^[1]企业不能只审查 AI 供应商主体资格和价格条款，还应审查其模型来源、数据处理、接口安全、权限隔离、日志留存、漏洞响应和退出机制。

责任主体错置风险。智能体可以提出建议，企业不能把重大经营判断、法律判断、合规判断和审批责任交由系统承担。无论智能体能力如何增强，合同签署、争议处理、监管报送、员工处分、重大采购、招标投标、金融风控、医疗辅助、司法服务等事项，仍应由具备相应职责和资质的自然人作出最终判断。

三、合规底座：数据、知识库与本地部署

企业智能体治理的第一层，是数据和知识库治理。智能体输出质量取决于其知识供给，也受制于数据来源合法性、内容准确性、更新及时性和权限边界。我们的前期研究已经将合规知识库划分为外部规范层、内部制度层和经验沉淀层：外部规范层包括法律法规、部门规章、行业标准和监管指引；内部制度层包括公司章程、规章制度、业务流程和操作指引；经验沉淀层包括历史案例、风险事件、处置方案和专家意见。^[7]

这一框架对智能体部署仍然适用，但需要增加“可授权、可追溯”的要求。企业应当明确哪些知识可以被全员检索，哪些仅限法务、合规、审计、纪检或特定业务部门使用，哪些只能在脱敏后进入模型上下文。知识库的版本、来源、更新人、更新日期、引用规则和废止状态，应纳入统一管理。对法规、判例、监管文件和内部制度，应避免长期使用过期版本导致错误建议。

对于企业法律合规部门部门，建议优先采取“本地知识库+受控模型调用”的部署模式。内部合同、法律意见、备忘录、争议材料、尽职调查底稿、员工资料、客户资料和商业秘密不宜直接输入开放式外部平台。确需调用云端模型时，应先完成脱敏、摘要、必要性评估和审批记录，并禁止将敏感材料用于供应商模型训练。

在个人信息处理方面，企业应区分匿名化、去标识化和一般脱敏。匿名化后的信息不属于个人信息，但匿名化必须达到无法识别特定自然人且不能复原的标准；去标识化仅降低识别风险，仍需按照个人信息处理活动管理。对涉敏感个人信息、大规模自动化决策、对外提供个人信息或跨境提供个人信息的智能体场景，应开展个人信息保护影响评估并留存处理记录。^[8]

四、权限控制：授权、决策与行为围栏

《实施意见》明确提出，要厘清仅限用户本人决策、需由用户授权决策和智能体自主决策等各种决策方式的合理边界及所需权限，确保用户对智能体自主决策享有知情权和最终决策权，智能体执行操作不得超出用户授权范围。^[1] 这一要求应成为企业智能体制度设计的核心条款。

企业应将智能体权限拆分为四类：第一类是读取权限，包括检索文件、读取邮件、访问知识库、调用数据库；第二类是生成权限，包括生成草稿、风险清单、摘要、表格和报告；第三类是建议权限，包括提出审批意见、合同修改建议、风险评级和处置方案；第四类是执行权限，包括发送、提交、删除、改写正式记录、触发付款、下单采购、更新客户信息和启动审批流。前三类可以按场景授权，第四类应默认设置为人工确认后执行。

在高风险场景中，企业应采用“人机分段授权”。智能体可以完成事实整理、材料比对、法规检索和草稿生成，但不得直接完成最终审批、付款、合同签署、处分决定、监管报送、争议和解、客户承诺、投资决策等行为。系统设计上应设置行为围栏，包括权限白名单、敏感动作二次确认、异常操作阻断、接口限流、日志留存和权限到期回收。

对具身智能体、生产运维智能体、电力调度智能体、交通安全监管智能体、公共安全智能体等与物理世界或关键业务系统直接相连的场景，还应增加安全隔离和人工接管机制。《实施意见》已将能源资源、交通运输、公共安全、城市治理等列为典型应用场景。^[1]这类场景的技术效率越高，越需要在制度层面明确人工接管、应急停机和事故责任。

五、人机协同：复核、标识与留痕

AI在企业法律合规部门和合规工作中的定位，应是高效的信息检索与整合工具、初步分析与草案生成手段、重复性工作的自动化执行者。人的定位，是最终法律判断的决策者、AI输出内容的审核把关者、复杂法律问题的专业分析者、合规责任的最终承担者。7这一人机协同边界，在智能体时代更为重要。

企业应建立分级复核机制。低风险办公辅助可以采用抽查；中风险合同审查、制度问答、客户沟通、合规培训材料应逐项复核；高风险法律意见、重大交易、监管报送、员工处分、争议解决、招标投标和财务付款，应设置双人复核或负责人确认。复核内容不应仅限于文字是否通顺，还应包括事实来源、法律依据、数据合规、商业合理性、权限是否合规、是否需要对外标识以及是否产生法律后果。

对于向公众提供或在网络平台传播的生成合成内容，还应关注《人工智能生成合成内容标识办法》及GB 45438-2025《网络安全技术 人工智能生成合成内容标识方法》。该办法自2025年9月1日起施行，要求对人工智能生成合成内容进行显式或隐式标识。^[4]企业使用智能体生成营销内容、招聘信息、客服话术、公告、音视频材料、虚拟形象或对外宣传材料时，应同步评估标识义务。

留痕是智能体合规的证据基础。企业应能够还原完整链条：谁发起任务、输入了什么数据、调用了哪个模型、使用了哪些插件、访问了哪些知识库、获得了哪些权限、生成了哪些结果、由谁审核、修改了哪些内容、最终如何使用。前期研究提出的分层验证、风险分级、复合审查、自动化核查、可信存证、动态更新规则、外部审计和快速撤回机制，应进一步固化为智能体运行审计制度。^[7]

六、供应链管理：模型、接口与外部工具

企业采购智能体服务时，应将供应商审查从“工具采购”提升为“数字供应链审查”。合同和安全评估至少应覆盖以下事项：模型来源及备案情况，训练数据和知识库来源合法性，用户输入是否用于模型训练，数据存储地点和删除机制，个人信息处理角色，接口调用权限，插件和第三方工具清单，日志留存期限，漏洞响应时限，数据出境安排，分包和转委托，服务终止后的数据返还和销毁，配合监管和审计义务。

对于基于开源模型或开源框架构建的智能体，企业还应审查开源许可证、模型权重来源、第三方组件漏洞、模型篡改风险和更新机制。《实施意见》鼓励开源创新力量，推动智能体与开源芯片、开源操作系统、开源大模型兼容适配。1开源生态有助于降低研发门槛，但企业不能因此降低安全审查强度。

对于外部平台提供的智能体分发、插件市场、软件商店和行业供需平台，企业应关注平台规则、用户协议和隐私政策。《实施意见》要求指导开发平台、分发平台、服务提供者建立公平合理的平台规则、用户服务协议及隐私政策，明确供需双方权责。^[1] 企业作为采购方或部署方，也应在内部制度中同步明确用户责任、部门责任和违规后果。

七、落地清单：六张表管住智能体

智能体合规不宜停留在原则表述。企业法律合规部门可以牵头建立六张基础清单，先形成可执行的治理抓手，再逐步与信息安全、内控、审计、采购和业务流程整合。

在实施顺序上，建议企业先做现状评估和方案规划，再完成知识库建设与系统部署，随后开展智能体训练与功能优化，最后进入试运行和持续改进阶段。^[7]这一分阶段路径有利于避免一次性全面上线造成治理失控，也便于法务、合规、IT、风险管理和业务部门形成稳定协同。

对于尚未建立企业级AI治理制度的企业，近期可以先发布一份内部智能体使用规范，明确禁止输入的资料、允许使用的场景、审批流程、复核责任、日志要求和违规责任。对已经部署智能体的企业，应尽快补做供应商审查、权限复核、数据影响评估和应急演练。

结语：让智能体进入可控流程

《实施意见》释放的监管信号比较明确：国家积极推动智能体的应用，其研发、部署、分发和使用须建立在安全、可靠、可信的基础上。企业 AI 合规能力的判断标尺，是权限边界是否可解释、人工复核是否可执行、行为记录是否可追溯、治理机制是否可持续改进。模型先进与否，与这一判断不直接相关。

对企业法律合规部门而言，智能体治理的工作重点，应从“能不能用AI”推进到“用什么智能体、接入什么数据、授予什么权限、由谁复核、如何留痕、发生错误如何处置”。只有把智能体纳入制度、流程、合同、权限和审计体系，AI才能真正成为企业合规管理能力的一部分，而不是新的风险源。

参考文献：

[1]国家互联网信息办公室、国家发展改革委、工业和信息化部：《智能体规范应用与创新发展实施意见》，2026年5月8日发布，载国家互联网信息办公室网站，https://www.cac.gov.cn/2026-05/08/c_1779979789523320.htm。本文同时参考用户提供的《实施意见》全文及答记者问文本。

[2]国务院：《关于深入实施“人工智能+”行动的意见》，2025年8月发布；参见中华人民共和国生态环境部转载文本，

https://www.mee.gov.cn/zcwj/gwywj/202508/t20250827_1126207.shtml。

[3]国家互联网信息办公室等七部门：《生成式人工智能服务管理暂行办法》，2023年7月10日公布，2023年8月15日起施行；参见国家互联网信息办公室网站，https://www.cac.gov.cn/2023-07/13/c_1690898327029107.htm。

[4]国家互联网信息办公室、工业和信息化部、公安部、国家广播电视总局：《人工智能生成合成内容标识办法》，2025年3月7日印发，

2025年9月1日起施行；参见国家互联网信息办公室网站，https://www.cac.gov.cn/2025-03/14/c_1743654684782215.htm。

[5]《中华人民共和国网络安全法》，2016年11月7日通过，2017年6月1日起施行，后经修改；参见国家法律法规数据库，

https://flk.npc.gov.cn/detail?fileId=&id=2c909fdd678bf17901678bf8276f093d。

[6]德恒律师事务所：《法务AI助手搭建及AIGC合规管理指引》，2025年4月17日，

https://www.dehenglaw.com/cn/newscontent/0008/033840/2.aspx?MID=0902。

[7]德恒律师事务所：《AI赋能合规管理：落地路径、应用场景与法律保障》，2026年1月28日，

https://www.dehenglaw.com/cn/newscontent/0008/035938/2.aspx?MID=0902。

[8]《中华人民共和国个人信息保护法》，2021年8月20日通过，2021年11月1日起施行；参见国家法律法规数据库，

https://flk.npc.gov.cn/detail?fileId=&id=ff8081817b6472a3017b656cc2040044。

[9]《中华人民共和国数据安全法》，2021年6月10日通过，2021年9月1日起施行；参见国家法律法规数据库，

https://flk.npc.gov.cn/detail?fileId=&id=ff80818179f5e0800179f885c7e70392。

[10]《网络数据安全管理条例》，国务院令第790号，2024年9月24日公布，2025年1月1日起施行；参见国家法律法规数据库，

https://flk.npc.gov.cn/detail?id=ff808181927f0e7b0192949a1da4355d。

本文作者：

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。