來源 | 《民主與法制》周刊2026年第15期

作者 | 辜凌云，北京大學智能學院助理研究員

北京大學法學博士

北大法律信息網(wǎng)簽約作者

開源人工智能的快速發(fā)展，正在重塑全球人工智能技術擴散的路徑與格局。以權重公開為主要特征的開源模型，因其可下載、可微調、可二次開發(fā)的特性，使技術創(chuàng)新的參與門檻大幅降低，推動了人工智能技術能力在更廣泛主體之間的流通與應用。2026年國務院《政府工作報告》明確提出“支持人工智能開源社區(qū)建設，促進開源生態(tài)繁榮”。“十五五”規(guī)劃綱要也明確要求“推進開源體系建設，完善開源運行機制”。在這一產業(yè)變革與政策推動相互疊加助力的背景下，面向產業(yè)創(chuàng)新賦能的開源人工智能規(guī)則體系建設，不能僅停留在對于個別法律爭議的零散回應，而應立足開源人工智能的運行邏輯和生態(tài)特征，系統(tǒng)回應產業(yè)格局與制度供給之間的不適應，著力構建能夠兼顧創(chuàng)新激勵與安全治理的規(guī)則體系，為開源人工智能健康發(fā)展和產業(yè)生態(tài)繁榮提供更具前瞻性、穩(wěn)定性和適配性的法治保障。

開源人工智能產業(yè)需求與制度保障的不平衡

開源人工智能技術發(fā)展所引發(fā)的制度問題，根源在于其產業(yè)運行邏輯與現(xiàn)行規(guī)則體系保障預設之間的適配滯后。以開放共享和協(xié)同迭代為特征的開源模式，正在推動人工智能由封閉供給走向開放擴散，由集中控制走向多主體參與。與之相對，現(xiàn)行制度規(guī)則仍主要建立在以軟件源代碼為主的規(guī)則中心化治理和傳統(tǒng)責任主體相對集中易發(fā)現(xiàn)的基礎之上。在這種產業(yè)格局持續(xù)變化而制度結構相對滯后的關系中，開源人工智能所進行的訓練數(shù)據(jù)利用、安全監(jiān)管覆蓋以及開源許可證功能等問題日益顯現(xiàn)，并逐步成為開源人工智能規(guī)則體系構建中必須回應的核心議題。

在訓練數(shù)據(jù)利用層面，開源模型發(fā)展對于版權規(guī)則的適配性提出了更高要求。開源人工智能的能力高度依賴于大規(guī)模數(shù)據(jù)訓練、持續(xù)迭代優(yōu)化以及模型的再開發(fā)與再利用，而現(xiàn)行版權制度對于模型訓練數(shù)據(jù)使用合法性的回應仍然較為有限。《生成式人工智能服務管理暫行辦法》第7條雖然已經明確要求使用具有合法來源的數(shù)據(jù)和基礎模型、涉及知識產權的，不得侵害他人依法享有的知識產權，但從現(xiàn)行《著作權法》合理使用規(guī)則的結構來看，其規(guī)范設計主要仍圍繞個人學習、課堂教學、科學研究等傳統(tǒng)利用場景展開，對于模型訓練這一兼具規(guī)模性、技術性和產業(yè)性的使用方式，尚未形成清晰、穩(wěn)定且具有可操作性的規(guī)則支撐。特別是在開源場景下，模型權重公開和衍生鏈條延伸使得訓練數(shù)據(jù)來源合法性和權利責任配置問題更容易暴露出來，使開源模型相較于閉源模型會承擔更高的版權合規(guī)壓力。

在安全監(jiān)管層面，現(xiàn)有規(guī)制框架與開源模型的擴散機制之間存在明顯錯位。當前人工智能安全治理總體上仍然以服務提供者為主要規(guī)制對象，圍繞算法備案、內容安全、模型管理和服務合規(guī)展開，其背后所預設的運行結構仍是相對中心化和可識別歸責的服務供給關系。然而，開源模型一經發(fā)布，便可能基于其許可證的擴散機制迅速進入多層次、多主體和多場景的衍生應用鏈條，以此形成“模型發(fā)布者-微調開發(fā)者-場景部署者-終端使用者”相互疊加的復雜結構。在此過程中，模型能力的實際提供者與法律意義上的責任承擔者未必始終保持一致，傳統(tǒng)圍繞單一服務提供者所展開的監(jiān)管模式，也就難以完整覆蓋開源模型“發(fā)布即擴散”的運行現(xiàn)實。

在開源許可證層面，現(xiàn)有通用許可證與人工智能產業(yè)發(fā)展需求之間存在制度保障空隙。近年來，國內頭部開源模型在許可證選擇上逐漸向MIT、Apache2.0等通用寬松許可證遷移，這種變化有助于降低合作門檻、擴大生態(tài)參與范圍，并促進模型能力的傳播與應用。但需要看到的是，這類許可證原本主要針對傳統(tǒng)軟件源代碼的復制、修改和再分發(fā)規(guī)則設計，其制度功能集中于源代碼開放與利用自由，對于人工智能模型輸出結果的權利歸屬無相關規(guī)定，對高風險場景的使用限制、訓練數(shù)據(jù)來源聲明等人工智能特有問題，尚未提供充分、恰當?shù)囊?guī)則安排。隨著開源人工智能由技術社區(qū)內部協(xié)作逐步走向通用化、規(guī)模化和產業(yè)化，許可證所承載的制度功能也面臨新的邊界，單靠既有通用協(xié)議已難以完成對模型開放條件、產業(yè)使用秩序和風險控制要求的全面協(xié)調。

開源人工智能治理核心規(guī)則的制度構建

現(xiàn)有規(guī)則不足以保障通過開源形式建立的人工智能產業(yè)健康發(fā)展需求，對此，如何構建面向產業(yè)創(chuàng)新賦能的開源人工智能規(guī)則體系，關鍵在于圍繞模型運行鏈條中的核心法律關系形成與其開放擴散、協(xié)同開發(fā)和多主體參與特征相適應的制度安排。從現(xiàn)實產業(yè)運行看，當前規(guī)則短板主要集中于前述訓練數(shù)據(jù)利用、安全監(jiān)管適配和開源許可證功能三個主要面向，核心法律規(guī)則的建構可以嘗試就這三方面同步推進。

訓練數(shù)據(jù)合規(guī)治理構成開源人工智能規(guī)則體系建構的基礎環(huán)節(jié)。開源模型的能力形成高度依賴大規(guī)模數(shù)據(jù)訓練學習與優(yōu)化，訓練數(shù)據(jù)的合法性基礎由此成為模型開發(fā)和開源發(fā)布的前提。圍繞這一問題，實踐中有兩個基本前提需要澄清。一是“開源”不等于免于授權約束。開源的核心法律機制是以許可證為中心的有條件授權，權利人并未永久放棄版權，而是通過格式化合同向公眾有條件讓渡特定版權權利。二是算法開源與訓練數(shù)據(jù)公開是兩個相互獨立的法律規(guī)則領域。模型權重的開放并不意味著訓練數(shù)據(jù)可一并對外披露，強制要求數(shù)據(jù)公開，在醫(yī)療、金融等涉及敏感信息的場景中反而將迫使企業(yè)違反個人信息保護義務。而《著作權法》第24條設定的合理使用規(guī)則采用的封閉式列舉模式，則使“合法來源”這一規(guī)范性要求難以得到制度支撐，現(xiàn)行合理使用情形對模型訓練場景均存在適用障礙，法院缺乏認定人工智能模型訓練合理使用的規(guī)范依據(jù)。

訓練數(shù)據(jù)合規(guī)治理需要在立法、政策和司法層面共同推進。立法上，可依托《著作權法》第24條第13項兜底條款預留制度接口，在配套規(guī)范中增設面向文本與數(shù)據(jù)挖掘、機器學習或模型訓練的專門權利限制規(guī)則，并探索機器可讀的“聲明保留”機制。政策上，應統(tǒng)籌推進國家公共語料庫建設，系統(tǒng)開放政務數(shù)據(jù)、公共文化資源與科學數(shù)據(jù)，鼓勵科研機構以開放許可證形式發(fā)布經過合規(guī)處理的中文語料，以供給側的有效擴容降低企業(yè)尋找合規(guī)數(shù)據(jù)來源的難度。司法上，則應通過司法解釋或指導性案例，逐步統(tǒng)一模型訓練合理使用、輸出侵權判斷和平臺責任邊界等核心標準。

開源模型安全監(jiān)管分級治理是開源人工智能規(guī)則體系建構的關鍵環(huán)節(jié)。在訓練數(shù)據(jù)合法性問題之外，開源人工智能進一步提出的制度挑戰(zhàn)主要集中體現(xiàn)在現(xiàn)有安全監(jiān)管框架與開源擴散邏輯之間的適配不足，具體體現(xiàn)為現(xiàn)行備案制度與開源人工智能模型運行邏輯的不適配。第一，將模型權重發(fā)布至開源社區(qū)，在現(xiàn)行制度下并不直接觸發(fā)備案義務，但一旦模型被開源，研發(fā)者無法通過云端接口進行事后管控，這與閉源服務的治理邏輯存在本質差異；第二，基于開源模型進行垂直場景微調的下游企業(yè)，須承擔構建數(shù)十萬量級攔截關鍵詞庫、覆蓋多項風險場景評估測試題集等繁重義務，合規(guī)成本與實際算力投入嚴重不相稱，制約了開源模型在垂直行業(yè)的應用推廣。

安全監(jiān)管規(guī)則有必要轉向更符合產業(yè)邏輯的分級治理結構。“十五五”規(guī)劃綱要提出“構建技術標準研制調整、技術應用分級管理機制”和“推動建立人工智能全生命周期風險管理制度”，為制度轉型提供了政策依據(jù)。制度設計上，可圍繞模型能力水平、應用場景敏感度和現(xiàn)實風險強度實行差異化監(jiān)管。對于未達到系統(tǒng)性風險閾值的普通開源基礎模型，豁免技術文檔披露、下游信息報告等義務，保留版權合規(guī)等基本底線要求；對于算力規(guī)模較大、能力較強的開源模型，引入安全評估與紅藍對抗測試，體現(xiàn)技術能力與防控能力相匹配的原則，但需注意單純依賴算力閾值可能遺漏能力已較強但訓練成本較低的模型，建議將算力閾值與實際能力評估相結合。同時，還應建立“基礎模型-微調模型-應用服務”的分層備案通道，使不同環(huán)節(jié)主體依據(jù)其實際控制能力和風險貢獻承擔相應責任，從而實現(xiàn)合規(guī)成本在產業(yè)鏈上的合理分配。

開源許可證規(guī)則效果的規(guī)范化是開源人工智能規(guī)則體系建構的重要支撐。在訓練數(shù)據(jù)規(guī)則與安全監(jiān)管規(guī)則之外，開源人工智能的制度運行還需要借助更具適配性的許可證規(guī)則安排，對開放條件、責任邊界和風險傳導機制加以協(xié)調。傳統(tǒng)開源許可證設計以軟件源代碼為規(guī)制對象，在人工智能模型場景下存在三類具體空白。一是對模型輸出結果的權利歸屬均未做規(guī)定；二是缺乏針對生化武器開發(fā)、大規(guī)模監(jiān)控等高安全風險場景的使用限制條款；三是對訓練數(shù)據(jù)來源合法性聲明、安全對齊措施披露、下游商業(yè)部署方法與合規(guī)承諾等人工智能特定義務缺乏安排。

人工智能開源許可證規(guī)則的完善應朝著人工智能專門化和制度激勵化兩個方向推進。一方面，產業(yè)界應推動研制人工智能專用開源許可證，在現(xiàn)有框架基礎上增設人工智能特定條款，內容應至少涵蓋訓練數(shù)據(jù)主要來源類別及合法性基本聲明、已采取安全對齊措施的原則性描述、模型輸出物的權利歸屬默認規(guī)則，以及特定高風險場景的使用限制。如木蘭寬松許可證（MulanPSL v2）已獲國際開源組織認證，可在此基礎上增設人工智能特定內容形成系列許可證，具備一定可行性。另一方面，可探索建立“合格開源許可證”認定機制，將采用符合安全要求的許可證作為享受分級監(jiān)管豁免的條件之一，形成以許可證合規(guī)換取備案簡化的規(guī)則激勵。對于未采用合格開源許可證的開源模型，可要求其在發(fā)布時附隨安全說明文檔就訓練數(shù)據(jù)來源、模型能力邊界和已知風險作出基本披露，并由人工智能行業(yè)或產業(yè)協(xié)會提供附加條款范本，降低企業(yè)合規(guī)成本，通過行業(yè)自治實現(xiàn)有效治理。

開源人工智能跨境治理的規(guī)則邊界與標準建設

面向產業(yè)創(chuàng)新賦能的開源人工智能規(guī)則體系建設，不僅需要著眼于國內法層面訓練數(shù)據(jù)利用、安全監(jiān)管適配和許可證規(guī)范化等核心議題，還應關注開源人工智能跨境治理的相關規(guī)則建設。開源模型一經發(fā)布即可在全球范圍內傳播、部署和二次開發(fā)，由此產生的跨境治理問題在現(xiàn)行規(guī)則框架中尚無系統(tǒng)回應。由此，我國面向產業(yè)創(chuàng)新賦能的開源人工智能規(guī)則建構，既要著眼于國內制度完善，也要將視野進一步拓展至跨境場景中的規(guī)則邊界和制度銜接問題。開源人工智能跨境治理的重點應主要集中于出口管制邊界的明確、數(shù)據(jù)合規(guī)接口的細化以及整體行業(yè)標準建設能力的提升。

進一步明確開源模型跨境流動中的出口管制邊界。盡管《中國禁止出口限制出口技術目錄》已規(guī)定涉及個性化信息推送服務技術等相關條款，但在面對“模型開源發(fā)布”這一新型技術擴散方式時仍存在適用邊界不清的問題。在人工智能開源場景下，基礎模型的開源發(fā)布與通過商業(yè)交易向特定主體轉讓核心技術的方式，在傳播路徑、控制能力和商業(yè)目的上均存在實質差異，現(xiàn)行規(guī)則對開源模型是否應當納入出口管制的規(guī)制范圍缺乏明確規(guī)定。此外，對于在境外對中國開源模型進行超大算力微調并在境外部署的情形，是否會觸發(fā)中國側的技術出口管制，同樣需要在規(guī)則層面作出界定。這兩個邊界的模糊，既會增加國內企業(yè)參與全球開源生態(tài)的制度不確定性，也會影響監(jiān)管規(guī)則域外適用的穩(wěn)定性和可預期性。較為可行的處理路徑可以參照《技術進出口管理條例》關于技術許可與技術轉讓的既有區(qū)分框架，將“以開放許可證向不特定公眾發(fā)布模型權重”定性為有別于定向技術轉讓的特殊擴散方式，并在此基礎上形成更具針對性的差異化規(guī)則。

形成更具操作性的開源人工智能跨境運行中數(shù)據(jù)合規(guī)的規(guī)則指引。境外開源模型以中國境內數(shù)據(jù)為語料進行蒸餾訓練、調用境外算力處理境內數(shù)據(jù)、境內企業(yè)向境外開源平臺傳輸訓練日志，均可能引發(fā)《數(shù)據(jù)安全法》《個人信息保護法》《網(wǎng)絡安全法》等關于數(shù)據(jù)出境安全評估的要求。當前，上述場景中哪些屬于須經安全評估的出境行為，尚缺乏可操作的細化規(guī)則。面向開源人工智能的制度供給，需要在守住網(wǎng)絡安全、數(shù)據(jù)安全和個人信息保護底線的前提下，圍繞不同類型數(shù)據(jù)的跨境流動進一步細化規(guī)則，并為高質量訓練數(shù)據(jù)集的合規(guī)雙向流動建立明確通道，使中國開源人工智能模型既能夠依法參與全球協(xié)作，也能夠在跨境合規(guī)上形成更明確的制度預期。

依托標準建設和完善規(guī)則銜接機制提升跨境治理能力。開源人工智能的跨境擴散表明，單邊規(guī)則固然重要，但規(guī)則是否能夠被不同法域的開發(fā)者、平臺和經營主體識別和采納，同樣構成治理有效性的重要條件。當前，以木蘭寬松許可證（MulanPSL v2）為代表的本土開源協(xié)議已經具備一定制度基礎，但國內頭部企業(yè)開源模型仍普遍采用MIT、Apache等國際通行協(xié)議，這一現(xiàn)實表明，本土標準在國際開發(fā)者社區(qū)中的識別度、適用便利性和傳播能力仍有進一步提升空間。

標準建設的重點不在于形式上的許可證協(xié)議替換，而在于圍繞開源人工智能的特殊需求，形成兼具國際可讀性、制度穩(wěn)定性與本土治理關切的規(guī)則表達。一方面，應推動人工智能專用開源許可證與國際開源社區(qū)既有認證機制、合規(guī)工具體系形成更加緊密的銜接，提升本土開源許可證的國際可信度與適用便利性。另一方面，應依托人工智能國際標準制定平臺，推動在ISO/IEC JTC 1/SC 42人工智能標準工作組中將開源人工智能許可證的合規(guī)框架納入標準議題，增強我國在新興規(guī)則領域中的議題設置能力。同時，還可在雙邊科技合作協(xié)議和自由貿易協(xié)定中，探索開源人工智能規(guī)則互認與標準銜接的制度路徑，為本土規(guī)則積累更多國際適用經驗，推動國內規(guī)則進一步轉化為國際可采納的標準表達。

點擊進入下方小程序

獲取專屬解決方案~

責任編輯 | 郭晴晴

審核人員 | 張文碩

本文聲明 | 本文章僅限學習交流使用，如遇侵權，我們會及時刪除。本文章不代表北大法律信息網(wǎng)（北大法寶）和北京北大英華科技有限公司的法律意見或對相關法規(guī)/案件/事件等的解讀。