如今，人工智能的監管與管控舉措似乎在全球各地全面鋪開、密集推進。

中國于 2021 年出臺全球首部人工智能專項監管法規，聚焦人工智能服務提供者與內容治理，通過平臺管控和備案要求落實監管執行。

歐盟《人工智能法案》雖 2024 年正式生效，歐盟委員會卻已著手提議對其進行更新與簡化。

印度指派高級技術顧問搭建人工智能治理體系，相關方案已于 2025 年 11 月發布。

美國方面，聯邦政府 2025 年雖試圖限制各州行動、放寬人工智能監管尺度，各州仍在各自制定并執行本土的人工智能監管規則。

這一現狀給美國的工程師和政策制定者都提出了一個關鍵問題：美國究竟能通過何種可落地的監管方式，減少人工智能在現實世界中造成的危害？我的答案是：監管人工智能的使用行為，而非其底層模型。

以模型為核心的監管模式為何行不通

各類相關監管提案，如為前沿人工智能模型的訓練流程發放許可、限制開源模型權重、要求模型發布前獲得審批（例如加州的《前沿人工智能透明度法案》），看似能實現監管管控，實則只是形式工程。模型權重與代碼屬于數字產物，一旦由實驗室發布、遭遇泄露或被海外競爭對手獲取，便能以近乎零成本實現復制傳播。人們無法撤回已發布的模型權重，無法對人工智能研究設置地域限制，也無法阻止大模型被蒸餾為小模型。試圖對這類數字產物進行封鎖管控，只會導致兩種糟糕的結果：合規企業深陷繁文縟節的文書工作，而無視規則的主體則會通過海外布局、地下運作等方式規避監管，甚至二者兼具。

在美國，對模型發布實施許可制還可能與言論相關法律產生沖突。聯邦法院已將軟件源代碼認定為受保護的表達形式，因此任何限制人工智能模型發布的制度，都極易遭遇法律挑戰。

當然，“無所作為” 也絕非可行之選。若缺乏監管約束，深度偽造詐騙、自動化欺詐、大規模輿論誘導宣傳等問題將持續發生，直至某起轟動性的災難性事件出現，倒逼政府出臺重手監管措施 —— 而這類措施往往只追求表面效果，難以解決實際問題。

切實可行的替代方案：按風險等級監管人工智能使用行為

以使用為核心的監管體系，會根據人工智能的落地應用場景劃分風險等級，并據此匹配相應的監管義務。以下是一套具備可操作性的監管框架，核心是將監管執行聚焦于人工智能系統與人類產生實際交互的環節：

• 基礎級：通用消費級交互場景（開放式聊天、創意寫作、學習輔助、日常辦公效率提升）

監管要求：交互環節明確標注人工智能使用信息；發布可接受使用政策；設置技術防護措施，防止場景升級至更高風險等級；建立用戶反饋機制，支持用戶標記問題輸出內容。

• 低風險級：輔助類應用場景（文稿撰寫、內容摘要、基礎辦公效率提升）

監管要求：進行簡單的人工智能使用披露；落實基礎的數據安全管理規范。

• 中風險級：影響個人決策的輔助支持場景（招聘初篩、福利資格審核、貸款預審批）

監管要求：形成書面的風險評估報告；建立有效的人工監督機制；制定人工智能物料清單，至少包含模型溯源信息、核心評估結果及風險緩解措施。

• 高影響級：安全關鍵型應用場景（臨床診療決策支持、關鍵基礎設施運維）

監管要求：針對具體應用場景開展嚴格的上線前測試；實施系統的持續監控；建立事故報告制度；必要時，需依據驗證后的性能表現獲得相關授權方可落地。

• 高危級：軍民兩用功能場景（例如，可制作生物特征聲紋以突破身份驗證的工具）

監管要求：僅限在持牌場所由核驗通過的操作人員使用；禁止開發和使用主要用途為從事非法活動的功能。

聚焦現實關鍵節點，形成監管閉環

人工智能系統唯有與用戶、資金、基礎設施和各類機構建立連接，才能真正落地產生實際影響，而這正是監管機構的核心執行切入點：聚焦分發環節（應用商店、企業級市場）、能力獲取環節（云計算平臺、人工智能平臺）、商業化環節（支付系統、廣告網絡）及風險轉移環節（保險公司、合同合作方）。

針對高風險的人工智能使用場景，需要求運營方完成身份綁定，根據風險等級設置人工智能能力使用權限，建立防篡改的日志記錄體系以支持審計和事后事故復盤，同時落實隱私保護措施。監管機構需要求運營方為其落地主張提供實證依據，制定事故應急響應方案，上報重大系統故障，并設置人工兜底機制。若因人工智能的不當使用造成損害，相關企業需公開其運營流程，并為造成的危害承擔相應的法律責任。

這一監管模式將催生推動企業合規的市場動力。當采購、云服務接入、保險投保等核心商業運營環節，都與企業的人工智能合規證明掛鉤時，人工智能模型開發者將按照采購方的可核驗標準進行模型研發。這將提升整個行業的安全底線，惠及包括初創企業在內的所有參與者，而非讓少數持有牌照的頭部企業形成競爭優勢。

歐盟監管模式：契合點與差異點

上述監管框架與歐盟《人工智能法案》在兩個關鍵方面高度契合。其一，二者均將風險聚焦于人工智能的實際影響環節：歐盟法案劃定的 “高風險” 范疇包括就業、教育、基本服務獲取及關鍵基礎設施領域，同時明確了全生命周期的監管義務和相關主體的投訴權利。其二，二者均認可對通用人工智能系統采取特殊監管措施，且并未將模型發布管控視為安全保障手段。而我為美國設計的這一監管提案，與歐盟法案存在三大核心差異：

第一，美國的監管規則必須符合憲法規定，具備司法存續性。美國法院已將源代碼認定為受保護的言論，若一項監管制度要求模型權重發布或某類模型訓練需獲得審批，其本質已接近事前言論限制。相比針對模型開發者的許可制，針對人工智能運營方、明確其在敏感場景中的行為邊界和實施條件的使用型監管體系，更契合美國憲法第一修正案的原則。

第二，歐盟可依托其統一的單一市場，推動各平臺適配其制定的預防性監管規則。而美國需正視人工智能模型的全球流通現實 —— 無論是開源模型還是閉源模型，都將在全球范圍內存在，因此監管應聚焦于人工智能產生實際作用的關鍵節點：應用商店、企業級平臺、云服務提供商、企業身份認證體系、支付通道、保險公司，以及醫療、公用事業、銀行等受監管行業的核心管控方。這些節點具備可監管性，可要求相關主體完成身份綁定、建立日志記錄、設置能力使用權限并落實事后追責，而無需妄想對軟件進行 “封鎖管控”。同時，這些節點的監管可覆蓋美國眾多專業監管機構 —— 這些機構往往難以制定出足夠寬泛、能影響整個人工智能生態的高階規則。因此，與歐盟相比，美國需更明確地對人工智能服務的關鍵節點實施監管，以適配其獨特的政府架構和公共管理體系。

第三，美國應增設專門的 “軍民兩用高?！?風險等級。歐盟《人工智能法案》本質上是圍繞基本權利保護和產品安全構建的監管體系。而美國還面臨著國家安全層面的現實考量：部分人工智能能力具有高度危險性，因其能放大危害后果，例如生物安全、網絡攻擊、大規模欺詐相關的人工智能工具。美國的人工智能監管框架需明確劃定這一范疇并實施直接監管，而非試圖將其納入泛化的 “前沿模型” 許可制中。

中國監管模式：可借鑒之處與需規避之處

中國為面向公眾的人工智能應用構建了分層監管體系。2023 年 1 月 10 日生效的《深度合成服務管理規定》，要求對合成媒體進行顯著標注，并明確了服務提供者和平臺的主體責任；2023 年 8 月 15 日生效的《生成式人工智能服務管理暫行辦法》，進一步為面向公眾的生成式人工智能服務增設了備案和治理義務，監管執行則依托平臺管控和算法備案制度落地。

美國不應照搬中國對人工智能觀點和信息傳播的政府主導式管控模式 —— 這與美國的價值觀相悖，也無法通過美國的憲法審查。對模型發布實施許可制，不僅在實踐中難以落地，在美國還可能構成違憲的言論審查。

但中國的監管模式中有兩項務實舉措值得美國借鑒。其一，建立合成媒體的可信溯源和可追溯體系，包括強制標注制度和溯源鑒證工具。這能為合法的內容創作者和平臺提供可靠的權屬證明和內容完整性驗證手段。當大規模的真實性核驗能高效完成時，攻擊者將失去低成本復制和制作深度偽造內容的優勢，而防御方也將重新獲得檢測、分級處置和應對此類問題的時間。其二，要求面向公眾的高風險人工智能服務運營方，向監管機構備案其技術方法和風險管控措施，如同美國對其他安全關鍵型項目的監管要求。同時，需結合自由民主制的特點，設置正當程序和透明度保障機制，明確運營方在安全措施、數據保護和事故處置方面的主體責任 —— 尤其是針對那些旨在誘導用戶情緒或培養用戶依賴的人工智能系統，目前這類系統已包括游戲、角色扮演及相關衍生應用。

務實的監管路徑

在數字產物可近乎實時復制、科研成果跨境自由流動的當下，對人工智能的研發環節實施有實際意義的監管，根本無從談起。但通過監管人工智能的使用行為而非模型本身、聚焦關鍵節點落實監管執行、按風險等級匹配監管義務，美國完全可以將未經核驗的人工智能系統排除在醫院、支付系統和關鍵基礎設施之外。

若能落地到位，這一監管模式將與歐盟以結果為導向的監管框架形成協同，將美國聯邦和各州的監管創新整合為統一的基礎標準；同時，借鑒中國在分發環節的有效管控措施，摒棄其限制言論的許可制度。美國完全可以制定出既能保護民眾權益，又能推動人工智能產業實現蓬勃創新的監管規則。