观韬解读│人工智能企业投融资法律尽职调查要点（中篇）

作者：项晨 张烜 张嘉豪

在人工智能企业投融资法律尽职调查要点（上篇）的内容中，我们梳理了人工智能企业的类型化特征、知识产权风险及训练数据合规等尽调要点。但是，人工智能企业的法律风险不仅仅是在技术与数据层面，随着技术商业化与跨境布局的加速，尽调中需要关注的监管领域也从“数据输入端”拓展至“技术输出端”及“业务运营端”。因此，中篇将聚焦于投融资交易中的以下几大尽调要点：技术进出口合规风险识别、算法与模型的备案/登记合规风险识别，以及网络安全与企业资质的合规风险识别。

四、技术进出口合规风险识别

当前，我国已形成由《出口管制法》《技术进出口管理条例》《中国禁止出口限制出口技术目录》构建的技术出口管制监管框架，监管层面始终秉持“实质重于形式”的审查原则，即便企业通过境外主体迁移、核心团队外迁等方式开展跨境技术转移，只要核心技术在中国境内研发形成，相关行为仍受中国法律管辖。

Manus收购案所传递的监管导向亦明确，人工智能企业未经合规审批擅自开展技术跨境转移，将导致交易受阻，面临行政处罚甚至承担刑事责任风险，直接冲击标的企业持续经营能力与核心投资价值，故应在投融资尽调中开展全维度、穿透式核查。

1．技术出口高风险场景

人工智能企业投融资尽调中，需关注以下高风险技术出口场景：

第一，境内核心算法、模型参数的跨境转移行为；

第二，通过总部迁址、境外运营主体变更、核心技术团队外迁等方式实现的变相技术转移行为；

第三，跨境并购、技术许可、海外合资合作中，向境外主体提供管制技术的行为；

第四，中国籍技术人员向境外组织、个人提供境内研发管制技术的行为。

2．技术出口的合规性核查

（1）核心技术属性的核查

首要核查企业核心技术（包括预训练模型算法、AI智能体技术、交互界面技术、个性化推荐算法、训练框架等）的研发形成地、知识产权归属，匹配《中国禁止出口限制出口技术目录》，明确技术管制类别：针对禁止类技术需核查是否存在任何形式的跨境转移行为；针对限制类技术需核查是否已向商务部申请并取得技术出口许可证，是否存在未经许可擅自出口的情形；针对自由出口技术需核查是否已依法完成进出口合同备案登记。对于技术属性认定存疑的，需核查企业是否已委托专业机构进行评估，避免因属性误判引发合规风险。

（2）技术出口行为的核查

围绕人工智能企业的技术出口场景，核查是否存在规避监管的违规行为。例如，是否存在“境内研发、境外落地”却未履行审批登记程序的情形；是否通过主体迁移、团队外迁开展的技术转移，是否同步履行了对应合规手续；向境外主体提供管制技术的，是否严格遵守许可文件约定的地区、范围等；是否存在向中国出口管制管控名单内主体提供技术的情形。

（3）企业内部合规制度核查

需核查标的企业是否建立健全技术出口合规内部审查制度，是否对核心技术、核心人员开展常态化出口管制合规培训；核查技术出口相关的交易合同、许可审批文件、技术传输记录等资料是否完整留存，留存期限是否符合监管要求；核查企业是否建立动态合规机制，能够匹配《中国禁止出口限制出口技术目录》的动态调整，及时更新技术管控范围与合规流程。

五、算法与模型备案/登记合规风险识别

在人工智能企业的投融资交易中，算法与模型备案/登记合规是决定标的企业业务合法性、持续经营能力的基础性尽调事项。该事项关系到标的企业是否存在被责令暂停服务、产品下架整改、行政处罚的法律风险，也是其市场准入、规模化商业拓展的前提之一。

1．备案/登记合规义务的边界

根据法律依据、监管对象与适用场景的差异，可将标的企业的合规义务分为以下几类：

上述三种合规事项可以简单概括为：算法备案管“算法应用”、大模型备案管“造模型”、大模型登记管“用模型”，三者的审查强度均不相同。

企业可结合自身业务模式，判断其备案义务：

（1）自研/实质性微调模型：应完成大模型备案+算法备案；

（2）仅调用已备案大模型API：应完成大模型登记+算法备案；

（3）仅提供非生成式算法服务：仅需算法备案；

（4）模型/算法仅用于企业内部管理、研发测试，而不面向公众提供任何相关服务：无强制备案/登记义务。

2．核查备案/登记状态与材料真实性

（1）核实备案编号/上线编号

通过国家或省级网信办公开渠道核验备案/登记信息的真实性与有效性，确认相关模型或应用已完成备案，即算法备案需核验国家网信办算法备案系统核发的备案编号；大模型备案需核验国家网信办终审通过的备案号；大模型登记需核验属地省级网信办核发的上线编号，且不存在“提交未审核、审核驳回仍上线运营”等情形；同时明确大模型备案不可替代算法备案，二者为独立义务，不应混同。

（2）审查备案/登记内容与实际情况的一致性

比对备案/登记申报内容（材料）与标的实际运营情况，包括备案/登记的算法/模型类型、应用产品名称、核心功能、服务范围、运行机制，与标的当前线上可查的产品功能、业务场景、服务对象是否一致。同时，需核查是否存在未备案/未登记的新增算法服务、新增模型版本、新增应用场景。

1)  针对算法备案标的，需核查企业的算法安全自评估报告、风险防控方案的完整性与真实性。

2)  针对大模型备案标的，需核查对外提供服务的模型版本、核心架构、训练数据范围，与备案版本是否一致，是否存在重大版本迭代、核心架构修改未重新备案的情形；此外，需核查模型训练数据的来源合法性、知识产权授权文件、个人信息处理相关合规材料，确认不存在数据侵权、违规收集个人信息等可能导致备案被撤销的风险。

3)  针对API调用类标的，不应仅听信企业自称“仅做API调用”或“技术中立”的陈述，仍需通过访谈、架构图等方式穿透核查其在大模型产业链中的真实角色；核查是否存在更换底层模型、变更应用场景未更新登记信息的情形等；核查模型API调用协议的合法性，确认调用行为已获得完整授权，且双方合规责任划分清晰。

3．核查合规义务履行情况与整改记录

核查企业是否建立机制，以应对算法/模型发生重大变更、应用场景重大调整、服务范围重大变更时，能够按监管要求及时更新备案/登记信息或重新履行备案程序；针对监管政策更新后的新增合规要求，确认标的是否已及时调整到位。

全面核查标的是否存在因备案/登记合规问题被监管约谈、责令整改、行政处罚、暂停服务的记录；针对有违规记录的标的，重点核查整改是否全部完成，是否存在复发风险。

六、网络安全风险识别

1．法定合规义务的履行

尽职调查中需核查企业是否落实网络安全等级保护制度，按对应等级要求完成定级测评、备案，全面履行安全保护义务；核查企业提供的产品/服务是否符合强制性国家标准，是否存在设置恶意程序、擅自终止安全维护服务等违规情形。

2．企业防护体系运行核查

针对人工智能企业大模型训练推理、API接口开放等高频高风险业务场景，需验证企业网络安全技术防护体系的完备性与运行效果，评估企业网络安全架构设计的合理性，核查是否部署适配业务特性的防火墙、恶意代码防护体系等全链路安全防护措施；同时，审查企业是否建立常态化的网络安全监测与漏洞扫描机制，对发现的高风险漏洞实现及时修复，以抵御网络攻击、恶意软件入侵等安全威胁，保障网络稳定运行。

3．应急处置能力与历史风险排查

一方面，需核查企业是否制定网络安全应急响应预案，明确安全事件发生后的处置流程、责任分工以及内外沟通机制，是否定期开展应急演练，评估其在突发事件下的响应与恢复能力，以最大程度降低安全事件对企业经营的不利影响；另一方面，需梳理企业历史上发生的网络安全事件，核查事件处置的合规性、整改效果，确认是否存在遗留的监管处罚、民事索赔等潜在风险。

七、企业资质合规

1．通用资质核查

通用资质是通过互联网向境内用户提供人工智能服务的企业，无论其业务细分领域与应用场景，均须具备的准入与经营资质。

（1）互联网信息服务许可/备案（ICP许可/备案）核查

合规依据：《互联网信息服务管理办法》

尽调核查要点：

1)  企业以营利为目的，通过向用户收费、电子商务、广告等方式获取利益，提供人工智能服务的，属于经营性互联网信息服务，需核查是否取得通信管理部门核发的增值电信业务经营许可证（ICP许可证），许可证是否在有效期内，许可主体与实际经营主体是否一致，无出租、出借、转让许可证等违规情形；

2)  非经营性互联网信息服务，需核查是否完成ICP备案，备案信息与网站、服务主体、接入信息一致，无未备案擅自开展服务的情形；

3)  通过APP、小程序等移动端提供服务的，需核查是否按工信部《关于开展移动互联网应用程序备案工作的通知》的要求，履行备案手续。

（2）公安联网备案核查

合规依据：《计算机信息网络国际联网安全保护管理办法》

尽调核查要点：

1)  核查企业是否在网站/APP网络正式联通之日起30日内，到属地公安机关办理联网备案手续；

2)  无论企业服务平台的服务器部署在中国内地或境外，只要境内用户可访问该服务，均需核查是否完成公安联网备案，备案信息与实际服务信息一致，且无应备案未备案情形。

2．特定行业应用场景专项资质

针对人工智能技术落地于特定监管行业的企业，需结合行业的监管规则，核查对应的专项业务资质，相关行业如：

（1）医疗健康领域人工智能服务

合规依据：《医疗器械监督管理条例》《互联网诊疗管理办法（试行）》等

尽调核查要点：

人工智能应用于辅助诊断、医学影像分析、疾病风险预测等场景，属于第二类、第三类医疗器械的，需核查是否取得医疗器械注册证，生产企业是否取得医疗器械生产许可证；提供互联网医疗、人工智能辅助诊疗服务的，需核查是否取得《医疗机构执业许可证》等对应资质，确认业务开展与资质范围一致。

（2）金融领域人工智能服务

合规依据：《证券法》《证券投资顾问业务暂行规定》等

尽调核查要点：

人工智能应用于智能投顾、金融信贷审批、征信服务等持牌金融业务场景的，需核查是否取得金融监管部门核发的对应业务资质（如证券投资咨询业务资格、征信业务经营许可证等），确认无无资质开展金融业务、超范围经营的情形。

（3）教育领域人工智能服务

合规依据：《民办教育促进法》等

尽调核查要点：

针对提供学科类培训、职业教育、在线培训服务的人工智能企业，需核查是否取得对应的办学许可证、民办非企业单位登记证书等资质，确认业务模式符合教育监管政策要求，无违规开展教育培训服务的情形。

（4）自动驾驶/智能网联汽车领域人工智能服务

合规依据：《关于开展智能网联汽车准入和上路通行试点工作的通知》《上海市智能网联汽车测试与应用管理办法》等

尽调核查要点：

针对将人工智能系统应用于自动驾驶、智能座舱等汽车场景的企业，需核查其是否取得了对应地区的自动驾驶道路测试资质、示范运营资质。此外，对于该领域中的外资企业，还需核查其业务是否涉及高精地图测绘。根据外商投资准入负面清单，外资企业严禁从事大地测量及导航电子地图编制等业务。因此，需确认标的外资企业未通过代持等方式规避外资准入限制、测绘活动是否由具备对应资质的中资主体承担，无擅自采集涉密地理信息的行为，以及是否已建立涉密测绘成果全流程管控机制，保障智驾高精地图原始数据、加密前数据等涉密内容可追溯，无违规复制、传输、向境外提供等情形。