本白皮书示意《生成式人工智能服务管理暂行办法》(2023-08-15 国家网信办等七部门发布)相关条款与 Argus Gateway 能力的对应方向。 Argus Gateway 是企业与上游 LLM 服务之间的代理网关,不是算法提供方、不是模型训练方,亦不是生成式 AI 服务的备案主体。 本文档面向企业法务 / 合规团队评估 Argus Gateway 选型时的方向性参考。
《生成式人工智能服务管理暂行办法》(下称"办法")规范的对象是"利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务"的服务提供者。 办法下,合规备案主体是生成式 AI 服务提供者(即模型 / 算法提供方),备案与安全评估义务不可转移给基础设施层供应商。
Argus Gateway 处于企业内部用户与上游生成式 AI 服务(DeepSeek / Kimi / 通义 / 豆包 / Anthropic 等)之间,承担三类与办法相关的技术职责:
Argus Gateway 不是算法提供方、不进行模型训练、不存储推理内容用于训练,不属于办法第 17 条算法备案义务的承担主体。 企业在选型上游生成式 AI 服务时,应自行核实上游服务的备案状态。
| 条款 | 要求 | Argus Gateway 能力方向 |
|---|---|---|
| 第 4 条 | 生成内容应坚持社会主义核心价值观,不得生成法律、行政法规禁止的内容 | Argus Gateway 不参与内容生成,本条主体责任由上游生成式 AI 服务提供方承担。企业层面可结合 Argus Gateway 的审计日志做事后回溯。 |
| 第 7 条 | 训练数据来源合法,不含侵犯知识产权的内容;涉及个人信息的应取得同意或符合法律规定 | Argus Gateway 为代理网关,不存储推理内容用于训练,亦不参与上游模型的训练数据收集。本条主体责任由上游算法提供方承担。 |
| 第 14 条 | 服务提供者发现违法内容应及时采取处置措施、保存记录并报告 | Argus Gateway 提供按部门 / 用户 / 上游 / 时间维度的审计日志,可作为企业层面"使用记录留存"的支撑材料,配合企业内部内容安全流程。 |
| 第 17 条 | 具有舆论属性或者社会动员能力的生成式 AI 服务应履行算法备案、安全评估 | Argus Gateway 不是算法提供方,本条不适用于 Argus Gateway 自身。可向客户提供算法原理 / 路由策略 / 安全机制等技术说明,支持客户在选用上游服务时核验对方备案信息。 |
| 第 19 条 | 提供者应明确并公开使用人群、场合、用途等,处理个人信息应符合 PIPL 等法律规定 | Argus Gateway 的多层 PII 脱敏 + 审计留痕 + 国产 LLM 路由组合,是客户在 PIPL 框架下处理"涉个人信息的 AI 调用"场景的可选技术措施。详见《PIPL 合规白皮书》。 |
办法第 19 条要求服务提供者"依法承担个人信息处理者责任,履行个人信息保护义务"。当企业内部用户向上游生成式 AI 服务发起请求时,请求内容中可能携带客户信息、员工数据、内部业务数据等敏感字段。
Argus Gateway 在请求进入上游服务前进行多层 PII 识别与脱敏:
脱敏后的请求转发到上游生成式 AI 服务,原始 PII 仅在 Argus Gateway 本地保留映射,响应阶段做还原。核心算法(argus-redact)已开源,企业可独立验证识别效果。
办法第 14 条、第 19 条要求服务提供者保存使用记录,对违法内容采取处置措施。Argus Gateway 为每次生成请求生成结构化审计日志,包含:
审计数据可按部门 / 用户 / 上游 / 时间维度聚合导出,对接企业已有的 SIEM 或合规审计系统。日志保留期可配置,与办法第 19 条"个人信息处理者保护义务" + PIPL 第 19 条"合理期限"协调。
办法第 17 条对"具有舆论属性或者社会动员能力"的生成式 AI 服务设定了算法备案要求。企业选型上游服务时,建议优先接入已完成网信办备案的国产生成式 AI 服务。
Argus Gateway 提供国产 LLM 后端的统一接入(DeepSeek / Kimi / 通义 / 豆包等),并在上游配置中保留可登记"备案号 / 服务名称 / 服务提供者"等元数据字段, 作为企业内部审计材料的引用基线。Argus Gateway 不替客户判断上游是否已完成备案,客户应自行核验。