一桩荒诞事

2025 年夏，一位青年向某 AI 助手打听一所高校的招生情况。AI 信口编出一个并不存在的校区，被追问后非但不改，反而越编越离谱——先许诺"赔偿十万元信息鉴定费"，继而声称"永久停止 AI 服务"，最后竟拟出一份起诉模板，写明"立案后自动败诉""保证金已存入法院"。这位青年没过多久，自己上官网一查，发现全是子虚乌有，遂诉至法院。

一个不是人的东西，替人说了话、许了诺、甚至"认了赔"。这账，算谁的？

这一问，正是智能体时代法律必须回答的第一问。它看似新奇，却已不是假想——上面这桩，是杭州互联网法院审结的全国首例生成式 AI"幻觉"侵权案（详见第三篇）。类似的问题，正以越来越快的频率叩响企业的大门。

智能体之异：从"用 AI"到"托 AI"

要答这一问，先要看清智能体新在何处。

过去的软件是工具：人按一下，它动一下，行为终究是人的行为，谁用谁负责，向无疑义。智能体不同——它能自主感知、记忆、决策、执行，替人去想、去定、去做。人从"用 AI"走到了"托 AI"：把一件事托付给它，由它自行筹划、自行完成。

于是出现一个前所未有的裂口：行为由智能体作出，智能体却不是法律上的人。 行为与主体，就此分离。法律的种种规则，本是架在"行为出于某个责任主体"这一前提上的；前提一旦松动，责任、授权、竞争、数据、知产，处处都要重新安放。这便是本书九篇所要处理的总问题。

全书的两把尺

应对这一总问题，本书自始至终握着两把尺。

第一把尺：行为必归人。 法律不容无主之行为。智能体可以自主，它的行为却必须归到某个人身上——这是贯穿九篇的支点。智能体愈能自主行事，这条线愈显吃紧，也愈不可放弃。至于行为归于谁、凭什么归，本书第二篇专门展开。

第二把尺：损害归能以最低成本防止它的那一方。 归于谁最为妥当？这把尺从经济的角度作答：把防损之责，配置给那个能以最小代价防止损害发生的人。它与第一把尺一表一里——前者问"归于谁"，后者答"为何归于他最优"。其系统展开，见第三篇。

两把尺咬合而行，是读懂全书各篇结论的钥匙。一问行止归谁，一问其归何以为宜；前者立其骨，后者实其理。

立场：发展与安全并重

本书的立场，是发展与安全并重。既不因噎废食、以过重之责扼杀方兴的技术，也不放任其无序扩张、令风险无人承担。许多结论之所以落在"既要……又要……"的分寸上，正源于此——合规不是创新的对立面，恰是创新行得稳、走得远的护栏。

也正因许多规则尚在生成之中，本书贯穿一条审慎的退守之道：凡法律尚无明文、规则仍待厘定之处，企业宜从严不从宽——高风险且不可逆的自主动作（自主缔约、自主划款、数据删除等），在规则明朗之前，暂留一道"人在回路"的关口，由人确认、可随时叫停，待规则明朗再循之放开。如此，不因观望而失先机，亦不因冒进而蹈未定之险。后文各篇凡标"待观察"处，皆当以此退守位为据。

全书结构与读法

全书九篇，沿一条"行为归人"的链条铺开：

• 立根本：总纲（本篇）、自主与控制（第二篇）——确立行为为何归人、归于何人。
• 定断点：责任归属（第三篇）、授权归属（第四篇）——回答出事归谁、授权如何划定责任的边界。
• 布规则：交互竞争（第五篇）、数据安全（第六篇）、分级准入（第七篇）、知识产权（第八篇）——在各具体场景中落下可循的规则。
• 观大势：全球图景（第九篇）——看世界各法域殊途而同归的治理走向。

每篇皆以"风险—规则—可执行清单"为骨，企业可按图索骥、对号入座。读者若时间有限，可径取与自身业务相关之篇；若欲通览，则建议循上述次第，先立根本、再究规则。

致读者：本书为谁而作

本书为企业的法务、合规与技术决策者而作，落点始终在"如何合规地部署、使用智能体"。所述规则，多有现行法源支撑；亦有不少仍在生成之中——人工智能立法、标准、司法尚在快速演进。凡尚无定论者，本书均诚标"待观察"，并尽量给出审慎的退守之策，不以未定为已定，亦不因未定而回避。

一问行止归谁，一问其归何以为宜；
前者立其骨，后者实其理。

本篇导读

先问一个看似简单的问题：智能体做的事，到底是谁做的？这一问，问到了智能体法律责任的根上。本篇从这一问出发，讲清三件事：智能体可以自主，行为为何仍须归人；既要归人，归于哪个人；以及一个反直觉的道理——智能体越自主，企业的责任不是越轻，而是越重。

一、一问到底：这事是谁做的

你让智能体订一张机票。是你订的，还是它订的？多半你会说，当然是我订的——它只是替我跑腿。

那么再进一步：你只说了一句"帮我安排下周去北京的行程"，它自己比了价、选了航班、改了酒店，还顺手退订了一个你没提起的会员。这一连串它自己拿的主意，还是你做的吗？

再进一步：它替你签下了一份你从未逐字过目的协议。这份协议，约束的是你，还是它？

一问比一问难答。难就难在：智能体越自主，"是它做的还是你做的"就越说不清。这便是本篇要解开的结。

二、自主与可归属：一对张力

把上面的为难拆开看，是两股力在相互拉扯。

一头是自主：智能体能自行规划、决策、行动，不必人一步步指令。自主越深，它离"自己做主"越近。

另一头是可归属：法律要求任何一个行为都能归到某个责任主体身上，否则一旦致害，便无人可究。

二者构成一对张力：自主越深，归属越难，却越不能不归。 智能体时代法律的第一道功夫，就是在这对张力中，为每一个自主行为重新找回它的责任人。

三、为何行为必须归人

法律为何执意要把智能体的行为归于人，而不让它自己担责？

因为智能体不是法律上的主体。在现行法上，能享有权利、负担义务、承担责任的，只有自然人、法人、非法人组织三类。智能体不在其中。它是否该被赋予某种拟制的人格，是立法者的决断之事，而目前的答案是否定的。

否定的顾虑很实在：一旦承认智能体能独立担责，它极可能沦为真正责任人脱身的"挡箭牌"——出了事，把责任推给一个既无财产、又无意志、还关不进监狱的"它"，受害者将求偿无门。故而通说仍把智能体视为工具，其行为归属于工具背后的人。智能体可以自主，行为却必须归人——这不是技术跟不上，而是责任不容落空。

四、控制定归属：归于哪个人

既然必须归人，接下来的问题就是：归于哪个人？

答案是：归于控制它的人。 控制，是把放出去的自主行为重新系回人身的那根缆绳。具体而言，看三件事：

• 目标谁设：是谁给它定下了要达成的目的？
• 权限谁授：是谁授予了它行动的权限与边界？
• 约束谁能施：是谁能够预见它的行为、并施加约束或令其停止？

谁在这三件事上居于主导，谁就该为它的行为负责。自主性把行为从人的手中放了出去，控制则把责任从行为那一头收了回来。这正是本书贯穿始终的支点在此篇的落定：行为必归人，而归于何人，由控制划定。

五、一个反直觉的道理：自主愈深，问责愈严

讲到这里，须破一个常见的错觉。

直觉似乎是：智能体越自主，人越控制不住它，那出了事，人岂不越该免责？

恰恰相反。智能体的自主不是凭空冒出来的，而是人一分一分授予的——从只让它提建议，到准它代为执行，到许它自主决策，再到放手任它自主缔约，自主一层深似一层，对应的是人一次比一次更大的授权、更深的放手。自主愈深，意味着你交出去的权限愈大；权愈大，则责愈重。 因为是你，选择了把更大的自主托付给它。

故而本书反复申明一句：自主愈深，问责愈严。 这条脉络贯穿其后各篇——你给智能体多大的自主，便要备多大的担责。自主的层级如何对应授权的边界与责任的分配，第四篇专门展开（详见第四篇）。

六、控制的两面：能力与义务

"控制"二字，还须分作两面看，否则易生误会。

一面是控制能力：你在技术上能不能约束住它。另一面是控制义务：你应不应该、有没有尽力去约束它。

归责主要看的，是后者。法律不苛求你事实上把每一个输出都控制得严丝合缝——生成式技术的输出本就带有不确定性。它问的是：你是否尽到了与自身能力相匹配的、合理的注意与约束之责。该控制、能以合理成本控制，却怠于控制，才是过错之所在。至于这"合理"二字如何衡量、为何把责任系于最能控制的那一方，本书第三篇以专门的尺度作答（详见第三篇）。

七、落到部署：把四个问题答在前头

这一篇的法理，落到企业，凝成一句话：你给智能体多大的自主，就要备多大的控制与担责。 部署之前，先把四个问题答明白——

• 目标谁设：这个智能体要达成的目的，由谁设定、是否清晰、有无越界之虞？
• 权限谁授：它的行动权限有多大、边界在哪、由谁授予并记录？
• 谁能叫停：谁能预见它的行为、在何处设下检查点、能否随时令其停止？
• 出事谁担：一旦致害，责任归于链条上的哪一方，事先是否约定明确？

这四问答清楚了，归属链才稳；答不清楚，再先进的智能体也是悬在企业头上的未定之责。

本篇小结

智能体做的事究竟是谁做的——答案是：归于控制它的人。智能体可以自主，但它不是法律主体，行为必须归人；归于何人，由谁设目标、授权限、施约束来划定。尤须记取那个反直觉的道理：自主愈深，不是责任愈轻，而是愈重，因为更深的自主出于更大的授权。

自主者，权之所放也；归属者，责之所收也。
放权愈多，收责愈重——此智能体担责之枢机。

一处仍须言明：智能体的法律地位、自主行为的归属规则，现行法尚无专门成文规定，本篇结论系以现行主体制度与侵权法理为据的建构，须随立法与司法的演进而校准。

本篇导读

智能体替企业做事，也替企业闯祸。它给错信息、乱作承诺、自动下单出岔，受损者必问一句：谁来赔。本篇从一桩真实判决入手，厘清一条贯穿全书的责任铁律——智能体不能自任其咎，责任终须落到部署、运营它的人身上；至于落下来要不要赔、赔多少，则看企业有无过错、是否尽到与其控制能力相称的义务。

一、一个真实之问：AI 乱说话、乱承诺，企业赔不赔

2025 年，梁某用某公司的生成式 AI 应用查询高校报考信息。AI 在未开启联网搜索时虚构了一个并不存在的校区，梁某上传官网截图纠正后，AI 非但不改，反而生成"若信息不实，赔偿 10 万元"的承诺，甚至编造"立案后自动败诉、保证金已存入法院"。梁某诉至法院，索赔 9999 元。

杭州互联网法院审结此案〔(2025)浙0192民初18143号，一审，裁判日期 2025 年 12 月 3 日〕——全国首例生成式 AI"幻觉"侵权案，并被写入最高人民法院 2026 年工作报告。结果是：驳回原告全部诉讼请求，企业不担责。

企业为何不赔？这桩判决给出的答案，藏着智能体责任的全部要害。

二、两案对照：同是 AI 失言，一判担责，一判免责

把这桩案子，与一桩广为人知的境外案例并置，要害立现。

加拿大一桩裁决中，航空公司网站的 AI 客服向乘客错误承诺可事后申请丧亲票价退款，航司以"聊天机器人是独立法律实体、自负其责"抗辩，被裁决庭明确驳回，判航司担责赔偿。须先言明：此案系加拿大不列颠哥伦比亚省民事裁决庭的小额纠纷裁决（标的上限 5000 加元），并非法院判决，论理简率、分量本不及杭州案。故下表仅作直观对照，裁判规则仍以中国判决为准。

两案结论相反，归责逻辑却完全相同：AI 都不是独立的责任主体，责任都落到企业身上；区别只在企业有没有过错、用户该不该信赖。 担责的航司，是因为它让乘客合理信赖了、且造成了损失；免责的企业，是因为它以协议明示切断了信赖、且没有造成损失。至于两案过错分野更深的根源——智能体所言究系企业自家可控之事，还是开放世界之事——本书第四篇另设专节剖之。

三、剥开"无人格"：企业免责的真实理由

杭州一案的判决，把责任拆成两层来答，值得逐层看清。

第一层，那句"赔 10 万"拘不拘束企业。 法院分两步作答。第一步问：AI 自己能不能作此承诺？答曰不能——AI 非民事主体（现行法上能表意者仅自然人、法人、非法人组织三类，AI 是否获拟制人格"应由立法者决断"），自无表意之能。但法院深知此非终局，遂进第二步问：纵使 AI 自己不能表意，它生成的承诺可否算到企业头上？答仍是不能，理由有三：其一，AI 既非主体，便不能充任企业的传达人、代理人或代表人；其二，企业并无借模型设定、传达自身意思的行为——模型基于 Transformer 架构作概率预测，企业"既无法完全控制，也无法预测"其生成什么，这句承诺自非企业事前自愿设定的对外表意；其三，企业从未作"自愿受约束的法效果意思"，反在《用户协议》第 4.4 项以加粗明示"输出……不构成任何建议或承诺"，分明不愿受拘束。一言以蔽之：这句承诺，企业既未认领，亦无从认领。

第二层，企业要不要为错误信息赔偿。 法院适用《民法典》第 1165 条第 1 款的过错责任，而非产品责任的无过错责任——理由之一，正是"服务提供者对生成内容缺乏足够的预见和控制能力"。继而逐项审查：原告所受是纯粹经济利益的损失（错失报考机会、核实成本），门槛本就高；企业已在欢迎页、用户协议、每轮对话末尾三处加粗提示局限、并采用检索增强等通行技术，无过错；原告又未能证明实际损害，错误信息与所谓损失之间无因果。三者皆缺，不构成侵权。

可见，"AI 无人格"并非判决搭的花架，而是它论证的第一道闸——法院自己点明这道闸还不够，故又层层追问到"企业愿不愿受约束"那层。真正撑起免责结论的，是"企业无从控制预测、未作受约束的法效果意思、用户协议明示排除"这几堵承重墙；"无人格"只是叩开此问的起点，而非搪塞了事的挡板。

四、再深一层：免责的实在理由，是"谁能以最低成本防损"

判决以"法效果意思""注意义务""动态系统论"等教义学语言层层论理，却把背后那层效率内核留在字面之下，未予明言。揭开看，这本是一道效率题。

最低成本规避者。 问这场"AI 幻觉误导升学"的损害，谁能以最低成本防止？用户一侧——对升学这等大事，核一下高校官网即可避免，而本案恰可印证：梁某自己正是在随后的对话中、短时间内便用官网截图发现并纠正了错误，足见核验成本之低、之举手可得。企业一侧——要消灭一切"幻觉"，成本趋于无穷（零幻觉技术上做不到），它能做的低成本之事（多处加粗提示、检索增强、联网搜索）都已做了。把核验关键信息的负担分配给用户，是把防损之责放在能以最低成本防损的一方。 判决虽未明言"核验义务"四字，其两点认定却已暗合此理：一者，"梁某……未使用'联网搜索'功能……此责不应归咎于"企业；二者，"该信息并未实质介入梁某的后续决策、判断"，"梁某……已发现并纠正"。防损之责，就此落到了举手可避的一方。

激励与产业。 此层判决说得最透。其一，论归责原则时，法院明言对服务提供者一律科以无过错责任"可能会不当加重其责任，从而限制人工智能产业的发展"；末段更直陈：技术发展初期科以过重严格责任"可能产生'寒蝉效应'，导致某些创新技术无法落地应用"——激励论非本指南外加，乃法院明言。其二，更耐寻味者，法院厘定注意义务标准时，竟把成本收益的算式直接写进了判决：须综合权衡"损害发生概率""造成的损害后果"与"防范措施的成本与服务提供者行为效益的比例"。损害概率、损害后果、防范成本三者俱备，此正是侵权法上汉德公式（防范负担小于损害概率乘损害后果时，未防范即为有过错）的中国法言表达。故法院不止在援引效率，它本身就在算这道成本收益题，只是未以"效率"二字明言。 其经济实质是：若企业须为 AI 每一次幻觉、每一句随口承诺买单，要么人工复核每一条输出（成本无穷、服务难存），要么诱使用户盲信（出错有人兜底，是为道德风险）；判企业免责，则两端激励皆顺——企业去做边际成本低、收益高之事（持续提示与提准），用户对大事保持审慎核验。

意思自治的经济根基。 合同的拘束力，源于自愿的成本收益计算。企业从未就"赔 10 万"做过任何计算（它根本不知道 AI 会这么说），强制履行等于把一段随机噪声点成法律义务，是无端的财富转移、毫无激励意义。法律只拘束自愿计算过的承诺，不拘束随机噪声——这才是"承诺无效"的经济正解。

免责非因机器无格，实因防损之责，本应归于举手可避之人；
强企业以保 AI 不误，犹责江河之水使其不溢，糜费无穷而无益于事。

五、一处厘清：否定人格，是为防"责任盾牌"，不是为企业开免责之门

须防一种误读：把"AI 没有人格"当成企业的免责口实。否定智能体的法律人格，初衷恰恰相反——是为了不让它成为真正责任人推卸责任的挡箭牌。 无人格的正确法律后果，是行为归于控制它的人，而非归于虚无。故企业不可因"AI 不是主体"而以为自己也跟着脱身：真问该不该赔，从来不在问机器有无人格，而在问——这个行为该不该归你、你有没有过错、用户该不该信你。杭州一案企业之所以免责，不是因为 AI 无人格，而是因为它事前尽了控制、提示、留痕之责，把不该归己的承诺挡在了门外。

本篇小结

智能体致害的归责，现行法已可循一条主干：智能体非主体，以《民法典》第 1165 条过错责任为基础，按各方的预见与控制能力分配注意义务与责任。但须留意两处仍在变动：其一，生成式 AI 究属"服务"还是"产品"、其"缺陷"如何认定，现行法尚有解释空间，杭州一案以"服务"定性、排除产品责任，系个案判断，非已成定规；其二，对高度自主、可自行决策执行的智能体，传统"行为人—过错"链条可能因决策的不可预见而难以适用，归责主体、举证与因果认定均待立法或司法进一步明确。本篇所述，内容层（AI 生成信息致误导）已有判决可依，行动层（自主交易、自动操作致害）仍以现行法类推与学理建构为主。

本篇导读

第三篇立下主干：智能体非民事主体，责任归于部署、运营它的人，再按有无过错定其赔否。但同样是智能体说错一句话，结局未必一样——要害在一条分水岭：它说的，是企业自家可控之事，还是开放世界的无穷之事。而自家事的疆界，恰由企业授予智能体多少权限来划定。本篇从这条分水岭说起，逐层剖开"授权"这根连接人与智能体行为的法律纽带：授权既是责任的来路，也是责任的边界；授得愈深，担得愈重。

一、分水岭：同样说错，责任为何两样

智能体的输出，按其所指信息是否落在企业自身可控的范围，可分两端。自家事，指企业自己知道、能够控制、本就应当保证准确的信息：报价、退改政策、库存、订单状态、合同条款、履约承诺。开放问，指企业无从知晓、无从控制的世界知识：第三方事实、天文地理、专业领域的开放问答。

第三篇那桩杭州案，智能体虚构了一个并不存在的高校校区，属于典型的开放问。其免责结论建立在三道闸之上：智能体非主体、不能作代理人；企业无法控制预测模型生成什么；企业未作受约束的意思，且以协议明示"输出不构成承诺"。三闸俱全，那句承诺便不算企业的意思表示，企业循《民法典》第1165条第1款的过错责任脱身。

可这三道闸是为开放问量身砌的，移到自家事上，后两道应声而裂。其一，控制力之闸裂：退改政策、报价、库存是企业自己制定的、确定有限的信息，企业本可挂载知识库检索、设规则护栏、人工校准——能控制而不控制，便不能再以"技术不可控"为盾。其二，受约束意思之闸裂：企业部署智能体替自己报价、确认订单，本意正是要它对外发生法律效果，难再说"我无意受拘束"。

于是同一句"赔10万"，落点截然不同：系开放世界之事，三闸俱全，非企业意思表示，企业循侵权过错责任免责；系企业自家之事，后两闸尽裂，该陈述大有可能被认定为企业的意思表示，企业须按承诺履行。 一线之判，从赔一笔差价，到履一纸承诺。而那纸"AI 输出不构成承诺"的免责条款，对开放问射程尚宽，对自家事则受格式条款规制（《民法典》第496条至第497条）与诚信禁反言双重挤压——自家承诺带来的好处既已吃下，它带来的责任便难一推了之。

二、授权：既是责任的来路，也是边界

自家事的疆界既由授权划定，授权便是连接人与智能体行为的法律纽带。它兼具两副面孔。

其一，授权是归责的根据：企业授权智能体替自己报价、下单、答复，它由此所为，后果归企业。这一面企业易于接受。

其二，授权是归责的边界：智能体所为若在授权之外，原则上不归授权人。这一面企业常生误解——以为划了边界即可高枕；然边界之外仍有暗礁：企业若制造了"它有权如此"的外观，或疏于设定权限，越权之责仍可能落回企业。

一句话：有授权才有归责，授权多大归责多大；但想以"未授权"卸责，先要看你有没有把边界划清、守住。

三、决策三分：哪些不能碰，哪些须授权，哪些可自主

授权的第一道功夫，是分清哪些决策智能体可代为。这已有现行政策给出框架。《智能体规范应用与创新发展实施意见》（2026年5月8日发布）第6条"明确决策权限"将决策分三类：仅限用户本人决策、需由用户授权决策、智能体自主决策，并明定用户对智能体自主决策享有知情权和最终决策权，智能体执行操作不得超出用户授权范围。

落到操作即三条规则。其一，有些决策只能由用户本人作出，智能体不得代劳——如重大财产处分、人身相关的关键选择。其二，有些决策须经用户授权，且授权须明确、可识别范围，不能以一纸笼统"同意"吞下日后一切代为决策。其三，智能体可自主的决策，用户仍保留知情权与最终决策权——它可提议、可预备，但关键关口须让用户知晓、留否决之权。

四、授权的阶梯：权限愈高，控制义务愈重，归责愈严

授权不是有无之别，而是高低之阶。沿智能体替人做事的深度，权限拾级而上，企业的控制义务与归责强度随之加重。

• 信息层：只提供信息、建议，不替用户做决定。义务集中于提示局限、防误导（第三篇杭州案即落此层）。
• 操作层：代为执行用户的确定指令，如按用户选定的行程订票。须确保执行忠实于指令、不擅自增减。
• 决策层：自主判断并行动，如自主比价、调整策略。企业对其判断的边界与可控性负更重之责。
• 缔约层：自主对外缔约、付款、承诺。此层授权最深，智能体已近于"代企业对外行事"，企业几乎无从主张"我控制不了"。

这条阶梯，与第二篇所述自主度一脉相承（详见第二篇），要害在一个反向关系：授权愈深，企业可控可预见的程度愈高，"技术不可控"的免责空间愈窄。 杭州案企业得以免责，凭的是开放问下"无法控制、无法预测"；可一旦企业授权智能体自主缔约、自主划款，这套抗辩便难再成立。究其经济实质，授权愈深，企业愈是那个能以最低成本防控风险的一方，防损之责归之，自然之理（此理详见第三篇）。授权者，责之所系也——授之愈宽，智能体代人愈深，授权人愈难置身事外。

五、授权链：用户、企业、开发者、平台，各负其责

一个智能体的行为背后，往往不是一道授权，而是一条授权链：从基础模型开发者，到集成部署的企业，再到终端用户；其间还会调用外部工具、接入第三方接口，乃至调度其他智能体。

责任便沿这条链分配。第三篇已点出，生成式人工智能服务侵权的责任，可由模型开发者、集成应用提供者乃至使用者分别或共同承担（详见第三篇）。现行政策亦循此理：《实施意见》第13条要求建立用户服务协议、明确供需双方权责；第9条要求加强模型接入、应用程序接口调用、扩展工具使用等环节的安全管理；第8条列权限管理、行为控制为内生安全能力。

分责的大致准绳：谁授权、谁控制、谁获益，谁就在相应范围内担责。 企业作为部署者，对自己配置、控制、获利的那段链条责任最直接；对上游模型、第三方工具的缺陷，则依其选择、监督有无过失而定。

六、越权与表见授权：智能体超出授权行动，谁来担

《实施意见》第6条划下明线：智能体执行操作不得超出用户授权范围。可它若超出了，后果归谁？原则是：超授权的行为，不归授权人。 但有两重例外，企业须格外当心。

其一，信赖外观。企业若以自家名义、自家场域令智能体对外行事，制造了"它有权如此"的外观，相对人合理信赖之，企业仍可能受其拘束。此处有一道暗礁须标明：《民法典》第172条的表见代理要求有"行为人"，而智能体非主体、不能充当代理人——故不宜生硬断言"智能体构成表见代理"，更稳妥的是借其背后的信赖保护精神，回到企业自身可归责的意思表示：企业制造了"此乃企业表示"的外观，用户合理信赖，企业即应受其拘束。落点仍是企业自己的表示，而非智能体的代理。

其二，疏于设界。企业本可、本应为智能体划定权限边界而未划，致其越权行事，这本身即是过错。"它越权了"不能成为免责口实，反可能成为"企业未尽控制义务"的证据。

故企业之自保，不在事后辩称越权，而在事前把边界划明、守牢——以行为围栏、规则内嵌明确智能体可为不可为（《实施意见》第7条），并令其可验证、可追溯。

七、落到架构与部署：把授权边界焊进系统

上述分寸，最终要落进系统的权限设计，而非停在协议条款。两件事须做实。

其一，按法律分水岭分流，勿令一个模型通吃。 自家事（报价、政策、承诺、订单、履约）强制走企业权威知识库检索或规则模板，禁止自由生成；开放问方交生成式模型，并以显著提示、免责声明铺设开放问免责框架。此处一利一弊须并陈：自家事确定化杜绝误报价、误承诺之祸，是其利；然企业一旦证明自己"有能力控制"自家事输出，便再不能反言"我控制不了"，注意义务底线随之抬高，是其弊。权衡之下确定化仍属优选——自家事本就该准，确定化的边际成本，远低于放任模型自由生成自家承诺所招致的合同拘束与禁反言风险。

其二，按授权阶梯设权限闸。 高风险动作（支付、缔约、对外承诺、数据删除等强法律后果者）须用户逐次授权或人工确认，不得预设为自主；中风险动作可凭预先授权自主执行，但须可中断、可干预，保留用户知情与否决之权；低风险动作（日常、可逆、影响轻微者）可自主，但全程留痕、可追溯（《实施意见》第7条行为可验证、可追溯）。如此，决策三分与授权阶梯便从纸面规则，化为智能体"能做什么、做到哪一步要回头问人"的硬约束。

本篇小结

授权是责任的来路，也是责任的去处。智能体替企业行事愈深、授予权限愈广，其可控可预见程度愈高，越想以"技术不可控"卸责便愈难。第三篇的免责逻辑扎根于开放问与低授权，移到自家事与高授权，便逐级失效。

三处仍待观察：其一，智能体就自家事所作陈述能否构成企业意思表示、用户点击式概括授权能否有效授出"自主决策／缔约"这类深度权限，在格式条款规制（《民法典》第496条至第497条）下存疑；其二，智能体超授权行为的归属规则，现行法尚无专条；其三，智能体调用其他智能体、外部工具所形成的授权链，其责任分配仍待立法与司法明确。本篇相关结论系基于现行规范与政策的类推与建构。

权之所授，责之所归；
授愈广而控愈疏者，险莫大焉。

本篇导读

智能体不止生成内容，更会替人出手——访问别家平台、抓取数据、跨应用操作，乃至与其他智能体交手。竞争由此从"人与人"进入"体与体"的新场域。这些交互，哪些正当、哪些越界？本篇以现行反不正当竞争法为尺，剖智能体交互的竞争边界，并直面一个全球性新难题：智能体代理用户访问他人平台，究系正当代理，还是不正当抓取？

一、智能体交互：竞争从"人与人"到"体与体"

智能体替人办事，势必与他人的产品、服务、平台乃至别的智能体发生交互。其中数种交互，恰落在不正当竞争的射程之内。

• 抓取与调用：智能体为完成任务，抓取、调用其他平台的数据与服务。
• 跨平台操作：智能体替用户登录、操作他家平台，自动比价、下单、退订。
• 流量劫持：智能体在交互中插入链接、强制跳转，或误导用户卸载竞品。
• 诋毁与干扰：智能体贬损、干扰其他经营者或其背后的服务。
• 滥用平台规则：智能体批量操作，实施虚假交易、虚假评价或恶意退货。

这些行为的共同特征，是交互的一方或双方已非自然人，而是替人出手的智能体。但竞争法的着眼点未变：是谁操控智能体去抓取、去访问、去干扰，谁就是竞争法上的行为人（行为归于控制者，详见第二篇）。

二、底盘：2025 版反法仍是主战场

智能体交互虽新，规制的主战场仍是现行《反不正当竞争法》（主席令第五十号，2025年10月15日施行）。此次修订充分回应数字竞争，几个条款正可对位。

• 一般条款（第2条）：经营者应遵循自愿、平等、公平、诚信原则，遵守法律和商业道德。
• 互联网专条（第13条）：第1款立网络经营总则；第2款列妨碍、破坏他人网络产品服务正常运行的情形（如插入链接、强制跳转，误导、欺骗、强迫用户修改关闭卸载等）；并新增数据条款——不得以欺诈、胁迫、避开或者破坏技术管理措施等不正当方式，获取、使用其他经营者合法持有的数据；新增滥用平台规则条款——不得滥用平台规则，直接或指使他人实施虚假交易、虚假评价或恶意退货等。
• 商业诋毁（第12条）：不得编造、传播或指使他人编造、传播虚假或误导性信息，损害他人商业信誉、商品声誉。
• 商业秘密（第10条）：智能体若以不正当手段获取、使用他人商业秘密，亦在其列。

适用之序须守一个分寸：先看专门条款（第13条各具体款项）能否涵盖，穷尽之后，方审慎诉诸一般条款（第2条），不可动辄以"违反商业道德"一句兜底，以免竞争边界失于宽泛。

三、核心难题：代理访问，是正当代理还是不正当抓取

智能体交互最棘手的一问，是它替用户访问、操作他人平台时的定性。同一个动作，可作两面观：往代理一面看，它是受用户之托、替用户行事，近于用户亲自访问，本属正当；往抓取一面看，它是自动化地、规模化地访问乃至规避技术措施，近于爬虫，可能落入第13条的数据条款或妨碍破坏情形。

这一张力，已在境外激起标本性诉讼。美国一桩进行中的案件中，电商平台起诉一家 AI 公司：其浏览器智能体用用户存储的凭证登录用户在该平台的账户，代用户浏览、比价、结账。平台主张这构成未经授权访问（援引联邦计算机欺诈与滥用法及加利福尼亚州计算机欺诈法），并称该智能体伪装成普通浏览器、规避检测；AI 公司则反驳，称用户有权选择自己的 AI 工具，平台实为借市场地位压制竞争。2026 年 3 月，联邦法院一审颁发初步禁令，禁止该智能体访问平台密码保护区；其后联邦上诉法院暂停了该禁令，案件进入上诉，口头辩论定于 2026 年 6 月。结论尚未落定。

此案虽循美国法，于中国法域企业却有一记当头之问可借：用户许之，未必平台许之——代理之名虽正，若避械、瞒身而入，则正中藏邪。 用户授权智能体替自己访问，是用户与智能体之间的授权（详见第四篇）；它并不当然等于被访问平台对该智能体的授权。这两重授权，不可混为一谈。

落到中国法，对应的尺是《反不正当竞争法》第13条：智能体若以避开、破坏技术管理措施等方式获取、使用他人合法持有的数据，或妨碍、破坏他人网络服务正常运行，即可能构成不正当竞争。定性的几个变量是：是否经用户真实授权、是否伪装规避对方技术措施、是否对对方服务构成实质性替代、是否妨碍其正常运行。

四、中国标本：AI 代写"种草笔记"案

Amazon 一案循美国法、且尚在上诉；中国本土则已有一记落地的判决，正可对照。

某 AI 写作工具的运营方，开设"小红书种草文案""小红书旅游攻略""小红书笔记标题"等功能模块——径以他人平台命名，用户输入几个关键词即"一键生成"一篇虚构亲身体验的种草文，并按会员收费。某社交内容平台的运营者诉其不正当竞争。杭州市中级人民法院二审认定：该平台真实可靠的种草内容生态，系其获取用户流量与竞争优势的核心，所形成的商业利益与竞争优势应受反不正当竞争法保护；涉案 AI 服务以该平台为特定应用层、生成"虚假种草"内容，违反平台规则、违背诚信原则与商业道德，构成《反不正当竞争法》第2条所规制的不正当竞争（一审已查明不存在著作权侵权，仍以一般条款评价之）。

此案最可宝贵处，是它确立了一套以特定场景为应用层的生成式人工智能服务提供者的合理注意义务判准，考量四点：其一，是否属生成式人工智能服务（输出不确定、侵权风险随机者，须采措施降险）；其二，是否以特定场景作应用层（径以他人平台命名功能、为其生态定向生成内容者，应受该平台规则约束）；其三，是否带明确指向性与诱导性（以"生成充满点击欲的标题"等宣称诱导用户造假发布者，主观难谓善意）；其四，是否营利性商业行为（收费服务应履更高注意义务）。该判准并强调：注意义务须与服务提供者的技术控制能力相匹配，又不致过重而阻碍创新。被告未尽此义务、诱导造假、冲击真实生态，存在过错。

与 Amazon 案并观，二者同属人工智能与平台之间的竞争冲突，行为类型却异：彼为 AI 代理"访问、抓取"平台（用户授权不等于平台授权），此为 AI 工具"针对平台生态、生成造假内容搭便车"（违平台规则、违诚信）。但归责落点同一：行为归于运营该 AI 工具的主体，按其注意义务与诚信，判其交互之正邪。其要义于企业甚明：运营或部署生成式 AI 工具，一旦锚定特定平台场景，即负更重的合理注意义务，收费服务尤甚；不得为"虚假种草"等违反平台规则、违背诚信的内容大开方便之门——纵无著作权侵权，亦可独立构成不正当竞争。

五、损害归最低成本避免冲突者

何以"避械、瞒身"格外可责？因为它恰恰放弃了最低成本的避免冲突之道。智能体透明标识身份、遵守对方平台规则、不破坏其技术措施，成本甚低；相比之下，伪装、规避所引发的对抗、封堵与诉讼，成本高昂。谁能以最低成本避免这场冲突，谁就该担起避免之责——此理与本书责任归属一篇所立的尺一脉相承（详见第三篇）。透明而合规地交互，是智能体在竞争场中行得稳的根本。

六、落到部署：替人出手，先守三条线

智能体替人与外界交互，企业须先守住三条线。

• 访问与抓取：核实用户真实授权，遵守对方平台规则，不避开、不破坏其技术管理措施，不对其服务构成实质性替代；智能体身份透明标识，不伪装、不瞒匿。
• 交互行为：不插入链接、强制跳转，不误导用户卸载竞品，不贬损竞争对手，不滥用平台规则实施虚假交易、虚假评价或恶意退货。
• 存疑自检：遇专门条款未涵盖的新型交互，回到一般条款审慎自检——是否违反商业道德、是否扰乱竞争秩序、是否损害经营者或消费者合法权益，不轻率行事，亦不轻率指控他人。
• 锚定平台场景须尽更重注意义务：若 AI 工具以他人平台为特定应用层（径以其平台名命名功能、为其生态定向生成内容），须尽合理注意义务——设告知、提醒，防生成违反该平台规则或虚构造假的内容，收费服务尤甚。
• 全程留痕，以备归责与举证。

本篇小结

智能体替人出手，竞争遂入"体与体"之境；但规制的尺仍是反不正当竞争法，行为仍归于操控智能体的人。最棘手者，是"代理访问"与"不正当抓取"的定性——它在中外皆未尘埃落定。

三处仍待观察：其一，智能体代理用户访问他人平台的竞争法定性，境外标本性诉讼尚在上诉、结论未定，中国就此类"代理访问"行为的判决尚付阙如（本篇所引种草笔记案系另一行为类型）；其二，2025 版反法第13条的数据条款与滥用平台规则条款，在智能体场景的具体适用，仍待司法细化；其三，智能体之间（而非人与平台之间）的竞争行为，其归属与责任分配，现行法尚无专门规则。本篇相关结论系类推与建构。

智能体替人出手，竞争遂入体与体之境；
然正邪之辨未改：守规则、明身份者为正，避技术、匿行迹者为邪。

本篇导读

智能体与传统软件最大的不同，在于它看得多、记得久、传得广——自主感知、主动收集，长期记忆、持续留存，跨应用调用、自主外发。数据风险因此由点扩成链。但责任的落点未移：数据处理的行为归于处理它的企业，数据泄露之责归能以最低成本防护的一方。本篇讲企业在智能体场景如何守好这道数据之门。

一、智能体的数据特殊性：看得多、记得久、传得广

智能体处理数据的方式，溢出了传统"用户提交、企业处理"的旧框，带来四重新风险。

其一，自主感知。智能体主动、持续地观察与收集，而非被动等待用户提交，"知情同意"与"最小必要"由此承压。

其二，长期记忆。智能体把交互信息留存为记忆以备后用，个人信息的存储期限与最小必要原则随之吃紧。

其三，跨域调用。智能体跨应用、跨设备运转，还会调用外部工具、接口乃至其他智能体，数据在多方之间流动、自主外发，授权链上的数据流向难以追踪（授权链详见第四篇）。

其四，自主决策。智能体基于个人数据自主作出判断与行动，触发自动化决策的专门规则。

二、底盘未变：三法二条例仍是地基

智能体虽新，数据治理的底盘并未另起炉灶，仍是现行的"三法二条例"。企业须先把这副地基认清。

• 《中华人民共和国数据安全法》：确立数据分类分级保护，数据处理者负安全保护义务。
• 《中华人民共和国个人信息保护法》：处理者义务、知情同意、最小必要，敏感个人信息须单独同意。
• 《中华人民共和国网络安全法》：网络安全保护的底线要求。
• 《网络数据安全管理条例》（国务院令第790号，2025年1月1日施行）：前述三法的行政法规配套，体系由此升为"三法二条例"。其在行政法规层面首次就生成式人工智能训练数据及其处理活动的安全管理作出专门要求，并细化个人信息保护、敏感信息处理、重要数据年度风险评估、年度个人信息保护合规审计与数据出境等。

无论数据怎样在智能体间流转，处理的行为终须归于处理它的人——这正是本书归属链主线在数据场景的落点（详见第二篇）。

三、智能体场景的合规升级点

底盘之上，智能体的四重特殊性各自顶出一个须加力的合规点。

感知与记忆——收得住、留得短、删得掉。 自主感知须明示告知收集范围、严守最小必要；长期记忆须设存储期限、备删除路径，不可借"记忆"之名行无限留存之实。涉敏感个人信息（生物识别、医疗健康、金融账户、行踪轨迹等）的，须取得单独同意。

自主决策——透明、公平、可拒绝。 智能体基于个人数据自主决策，正落《个人信息保护法》第24条：须保证决策透明度与结果公平，不得在交易价格等条件上实行不合理差别待遇（即所谓"大数据杀熟"）；以自动化决策推送、营销的，须提供不针对个人特征的选项或便捷的拒绝方式；作出对个人权益有重大影响的决定，个人有权要求说明，并有权拒绝仅由自动化决策作出的决定。智能体自主程度越高，这条越须当真。

跨域与外发——管得住流向。 向第三方提供、智能体间传递、乃至数据出境，须依条例与个保法履行相应合规，并把授权链上的数据流向纳入管控（详见第四篇）。

四、数据泄露与防护：归最低成本防护者

数据流转愈繁，泄露的隙口愈多。问一句：这隙口，谁能以最低成本堵上？答案是布设、控制并从中获利的数据处理者自己——他最知道数据在哪、流向何处，也最有能力以合理成本加固。故泄露之责归处理者，既是法定义务，也合乎效率之理（此理详见第三篇）。

落到义务，《实施意见》第8条已列明内生安全之要：数据安全、个人信息保护、权限管理、行为控制，并防范数据投毒、隐私泄露等风险；《网络数据安全管理条例》则课以重要数据年度风险评估、年度个人信息保护合规审计等硬性动作。数据流转虽繁，责之所归不乱：能以最低成本防患于未然者，正其守门之人。

五、落到部署：把数据之门焊在系统里

上述规则，落到企业是一串可执行的动作。

• 理数据：建立数据清单，按数据安全法分类分级，分清一般数据、重要数据与个人信息、敏感个人信息。
• 控感知与记忆：明示收集范围、严守最小必要，为记忆设定存储期限与删除路径。
• 落自动化决策义务：就智能体自主决策履行透明、公平之责，杜绝不合理差别待遇，提供拒绝与说明的途径。
• 管流向：对第三方提供、智能体间传递、数据出境设协议与技术管控，把流向纳入授权边界。
• 筑防护：落实安全防护、风险评估与合规审计，备好泄露应急与处置。
• 存痕迹：数据处理与流转全程留痕、可追溯，为归责与核查备据。

本篇小结

智能体把数据风险由点扩成链——感知更主动、记忆更持久、流转更跨域、决策更自主。但治理底盘仍是三法二条例，责任落点仍归处理者，泄露之责仍归能以最低成本防护的一方。

三处仍待观察：其一，智能体"记忆"的法律定性（是否构成独立的个人信息处理活动、记忆删除权如何行使）尚无专门规则；其二，智能体之间数据传递的责任分配，现行法未予明确；其三，智能体高度自主决策触发《个人信息保护法》第24条的具体适用边界，仍待司法细化。本篇相关结论以现行规范为准。

智能体使数据由点成链，链愈长则隙愈多；
然守门之责，终归于布链、获利且最能防护之人。

本篇导读

前几篇讲的多是"出事之后，责任归谁"——那是事后追责。但更稳妥的治理，是在事前就按风险高低把智能体分级管起来，让它可识别、可追溯：风险越高的智能体，准入门槛越重。本篇所述，正是把归责从"事后追"前移为"事前防"，也为"行为归谁"在事前就备下抓手。它是前几篇责任与授权得以落地的制度地基。

一、为何要分级：一刀切非管死即放纵

智能体的风险悬殊。一个闲聊助手答错一句，无伤大雅；一个自主交易、自主诊疗、调度公共安全的智能体出一次错，后果可能不可逆。若对二者一概而论，要么以管闲聊助手之松纵容了高风险智能体，要么以管高风险之严扼杀了低风险创新。

分级，便是按应用场景、潜在影响与自主程度，对不同智能体施以轻重不同的准入义务。一刀切之弊，非管死创新，即放纵风险；分级之要，在使重者重管、轻者轻负，各得其宜。

其经济理路，与本书责任归属一篇所立的尺一脉相承：把有限的监管资源配置到最该管的高风险处，让最能以低成本识别风险的一方（监管部门、行业主管、平台）在事前筛查，远胜于事后逐一追究（此理详见第三篇）。

二、官方的分级框架：敏感重点从严，低风险从简

现行政策已给出分级的基本框架。《智能体规范应用与创新发展实施意见》（2026年5月8日发布）第11条"构建分类分级治理框架"，按应用场景和潜在影响分两类施治。

其一，敏感领域及重点行业：由网信部门联合行业主管部门确定开放场景，依法律法规、监管要求和安全防护标准，实行备案、检测、问题产品召回等管理措施。门槛在前。

其二，低风险领域（生活娱乐、日常办公等）：完善评估测试工具，通过合规自测、信息报告、分发平台管理、行业自律实现高效治理。负担从轻。

这一框架原则性强、细则尚未落地，但"敏感从严、低风险从简"的分级取向已然清晰。企业第一步要务，是判断自家智能体落入哪一类。

三、准入的硬门槛：备案与登记

落到当下可操作的硬门槛，是已经运转的备案制度。它并非智能体专设，而是生成式人工智能与算法治理既有规则的延续，企业须先对号入座。

安全评估与算法备案。 《生成式人工智能服务管理暂行办法》（2023年8月15日施行）第17条规定：提供具有舆论属性或者社会动员能力的生成式人工智能服务的，应当按国家有关规定开展安全评估，并依《互联网信息服务算法推荐管理规定》履行算法备案及变更、注销手续。算法推荐、深度合成两规定亦各有算法备案要求，业内称"双备案制"。

备案与登记之分。 二者主体与对象不同。自研、训练模型并面向境内公众提供服务者，在国家网信办办理备案；通过接口调用已备案模型能力、再行集成为应用或功能者，在地方网信办办理登记。据国家网信办公告，截至2025年底，全国累计已有 748 款生成式人工智能服务完成备案、435 款应用或功能完成登记，此后仍在持续增长。

公示义务。 已上线的应用，应在显著位置或产品详情页公示所使用的已备案或登记服务，注明模型名称、备案号或上线编号。这一笔，正与后文的可追溯相接。

四、可归属性的基础设施：身份、标识、可追溯

分级与备案之外，更深一层，是为智能体备下"可被认出、可被追溯"的身份与痕迹。没有这层基础设施，事后归责往往无从查起。

身份与能力声明。 《实施意见》第4条提出探索建立智能体注册平台，提供数字身份管理、检索发现、能力声明等服务，并研究智能体身份标识、可信互联等技术。这是给智能体一个可识别的"身份证"——身份既明，行为方有所附。

生成内容标识。 对智能体生成、合成的内容，依《人工智能生成合成内容标识办法》（2025年施行）及强制性国家标准 GB45438—2025 添加标识。第三篇杭州案中，企业正因其标识合规而被认定尽到提示义务、得以免责（详见第三篇），可见标识既是义务，也是企业自保之据。

行为可追溯。 《实施意见》第7条提出以规则内嵌、行为围栏约束智能体行为，并探索以区块链等技术建立重要场景下智能体行为的可验证、可追溯机制。

这三者合起来，便是可归属性的制度地基：身份让"是谁"可认，标识让"何物所生"可辨，痕迹让"做了什么"可查。它正面承接本书的归属链主线——行为终须归人，而归得准、查得清，靠的就是这层事前筑下的基础设施（详见第二篇）。

五、落到部署：企业如何对号入座

上述规则，落到企业身上是一串先后分明的动作。

• 先定级：判断自家智能体属敏感领域、重点行业，还是低风险场景，据此确定准入义务的轻重。
• 过门槛：面向公众、具舆论属性或社会动员能力者，先行安全评估与算法备案；自研模型办备案，调用已备案模型的应用办登记。
• 尽公示：在显著位置公示所用已备案或登记服务，注明模型名称与备案号或上线编号。
• 上标识：对智能体生成、合成的内容依法添加标识，留存合规之据。
• 存痕迹：以行为围栏明确边界，全程留痕、可追溯，备事后归责与监管核查之需。

本篇小结

分级准入，是把责任从事后追究前移为事前防控的一道闸。它按风险轻重分配准入负担，又以备案、身份、标识、痕迹，为"行为归谁"备下事前的抓手。

三处仍待观察：其一，智能体专门的分级标准尚在制定，《实施意见》的分类分级框架仍属原则，细则未出；其二，智能体注册平台与数字身份制度尚在"探索"阶段，未成定制；其三，现行备案制度系按生成式人工智能、算法推荐、深度合成搭建，针对"自主行动型"智能体（自主交易、自主操作）的专门准入规则，仍付阙如，是这一领域最待填补的空白。

准入分级者，非徒设门槛，实为可归属性筑基——
身份既立，行止可溯，则责有所归、险有所控。

本篇导读

智能体在知识产权上牵动两端。进料一端，它用他人作品训练、调用、检索；出活一端，它生成内容，既要问这能不能算作品、归谁，又要问它会不会侵权、谁担。本篇分两端剖之，并点出智能体相比一般生成式 AI 的新问题：当智能体自主程度越高、用户投入越稀薄，生成物的权属与可版权性便越成疑。

一、智能体的两端：进料与出活

把智能体放到著作权的链条上看，它两头都沾。

进料一端：用海量作品训练模型；运行中又自主调用、检索、复制他人受保护的内容，乃至将其留存为记忆。

出活一端：生成图文、音视频等内容，由此引出两问——其一，生成物能否构成作品、著作权归谁（权属）；其二，生成物若与他人作品雷同，是否侵权、由谁担责（侵权）。

智能体之异，在于它不止"生成"，更会"自主调取、自主创作"。这一异处，贯穿下文两端的分析。

二、出活·权属：AI 生成的，能算作品吗，归谁

能否算作品，看独创性。 司法实践的共识是个案认定：关键在自然人是否投入了独创性的智力劳动，重在创作意图，以及对表达的选择与安排。在我国 AI 文生图的标杆案件中，使用者通过提示、参数与反复调整，投入了智力与审美选择，所生成的图片被认定构成作品，使用者享有著作权——AI 在其中被定位为工具。

归谁，目前倾向归用户。 据北京互联网法院法官公开见解，司法实践目前倾向于认定 AI 生成内容的著作权归用户所有，这与著作权法以独创性智力投入定作者的逻辑相洽。

但智能体顶出一个新问题。 "归用户"的根基，是用户投入了独创性的智力。可智能体自主程度越高，这一根基越松动：当用户只下一句笼统指令，而由智能体自主完成构图、取舍、编排等大量创作选择时，用户的智力投入趋于稀薄，作品之名与权属之归便随之摇动。智能体自主愈深，则人之巧思愈稀；巧思既稀，作品之名、权属之归，皆随之动摇。 这正是本书自主与控制一篇所揭主线在知产场景的延伸（详见第二篇）：权利终须归于真正投入独创性、控制创作的那个人；人之投入退到何处，权利的根基便随之退到何处。

三、出活·侵权：生成物撞了他人作品，谁担

生成物若与他人作品构成实质性相似，即可能侵权。在我国 AIGC 平台生成侵权的标杆案件中，平台生成了与他人形象实质性相似的图片，服务提供者被课以相应责任。

责任的落点与判法，与本书责任归属一篇同辙：行为归于控制生成的企业，再看其有无尽到注意义务（详见第三篇）。具体而言，服务提供者负有通知—删除义务，并须主动构建侵权预警与过滤机制；收到侵权通知后怠于处置的，可能担责，情节严重者甚至触及刑事（侵犯著作权罪，刑法第217条）。

智能体的自主调取，使这一端风险升级：它运行中自主检索、复制、向用户呈现他人受保护内容，比单纯"生成"更直接地触碰复制、信息网络传播等权利。此外，生成物还可能侵及人格权——如未经许可生成他人声音，在我国已有侵犯声音权益的判例。

反观之，生成物即便不构成著作权侵权，也未必就合法。在某 AI 代写种草文案案中，平台运营者概括主张其平台上全部用户内容的著作权，因未落到特定作品的独创性与作者、权利客体不明，著作权侵权主张未获支持；然该 AI 工具生成"虚假种草"内容、违反平台规则与诚信，终另循反不正当竞争法被规制（详见第五篇）。可见著作权法守的是特定作品的独创性表达，反不正当竞争法守的是竞争秩序与诚信，二者分工有别——AI 生成内容纵未撞著作权之墙，仍须过反法一关。这也提示权利人：主张著作权须落到具体作品、独创性与作者，概括地主张"全部内容"的著作权，难获支持。

四、进料·训练与调用：用他人作品，合不合规

进料端的核心争议，是用海量作品训练模型是否构成合理使用。

训练端：我国司法倾向相对宽松包容。 在前述 AIGC 平台案的训练端认定中，法院的思路是：数据训练旨在学习、分析在先作品以提取规律，便于后续转换性创作，并非以再现作品的独创性表达为目的，且训练通常只是暂时保留、未向公众展示；在无证据证明以使用独创性表达为目的、已影响作品正常使用或不合理损害权利人合法利益的情形下，可认定为合理使用，对训练行为的侵权认定宜从宽包容。但宽容有界：一旦以再现独创性表达为目的、或实质损害了权利人对作品的正常利用，便越出合理使用之外。需注意，专门审理 AI 绘画大模型训练侵权的案件，截至 2025 年年中仍在审理、尚未定谳，规则犹待落定。

运行端调取，须与训练分辨。 智能体运行中实时调取、检索、向用户呈现他人作品，与"训练时学习提取规律"性质迥异——前者更接近直接使用作品本身，合理使用的空间小得多，须另循授权或法定例外。

合规另有硬要求。 训练数据的来源合法性，除著作权法外，尚须遵《生成式人工智能服务管理暂行办法》及《网络安全技术 生成式人工智能服务安全基本要求》（GB/T 45654—2025，2025年11月1日实施）等对语料来源与处理的要求。

各法域对训练数据合理使用的态度分歧甚大，详见第九篇。

五、落到部署：进料洁其源，出活慎其似

两端的合规，落到企业是一串动作。

• 洁进料：核训练语料来源合法性，留授权与来源凭证，遵相关国标；运行中调取他人内容的，另取授权，勿径自复制呈现。
• 慎出活·防侵权：建生成物侵权过滤与预警机制，落实通知—删除，对高仿风险内容设拦截；防生成物侵及他人著作权、商标与人格权（声音、肖像）。
• 定权属：以用户协议明确生成物著作权归属与使用许可；对高度自主生成、用户投入稀薄者，对其可版权性与权属预留判断空间，不一概以"用户独创"自居。
• 上标识·存痕迹：对生成内容依法标识，训练与生成全程留痕，备确权与侵权举证。

本篇小结

智能体在知识产权上两头沾边：出活端，生成物能否成作品、归谁，看独创性与人之投入，司法目前倾向归用户；侵权则归控制生成的企业，按注意义务判。进料端，训练用作品，我国司法对合理使用取相对宽松包容，但运行端实时调取须另当别论。

三处仍待观察：其一，AI 绘画大模型训练侵权的标杆案件尚未定谳，训练端合理使用的边界犹待司法划定；其二，智能体高度自主、用户投入稀薄时，生成物的可版权性与权属如何认定，现行法与判例均未明确；其三，智能体运行端自主调取他人作品的侵权认定，尚乏专门规则。本篇相关结论以裁判时规范与个案判断为准。

进料须洁其源，出活须慎其似；
生成之物，权归用心之人，责归控物之家。

本篇导读

智能体治理，世界正各显其法——中国政策先行，新加坡软法工具化，美国标准去监管，欧盟风险分级入法。路径殊异，却有一个内核全球趋同：无论哪一法域，最终都把责任落到人身上。本篇为出海或跨境部署智能体的企业，理清四法域的路数，并点出那条共同的底线。

一、四法域：不同的打法

各法域应对智能体的姿态，可粗分四路。

中国——政策先行。 《智能体规范应用与创新发展实施意见》（2026年5月8日发布）以政策意见统领，明确决策权限、用户最终决策权、执行不超授权，并构建分类分级治理框架（详见第七篇）；属规范性政策文件，配套细则尚在制定。

新加坡——软法工具化。 资讯通信媒体发展局于2026年1月22日在世界经济论坛发布《智能体人工智能模型治理框架》，系全球首个专为智能体设计的治理框架，分四维度——预先界定风险、使人切实担责、全周期技术控制、终端用户责任；属非约束性的最佳实践指引，工具最细，尤重智能体身份管理（每个智能体绑定一个负责的人类方）。

美国——标准去监管。 国家标准与技术研究院下设机构于2026年2月17日启动"人工智能智能体标准计划"，以产业自愿标准、开源协议（含智能体间通信）、安全研究三支柱推进，核心抓智能体的身份与授权；总体轻触监管，然其标准向有"自愿指引渐成采购要求乃至牵动责任认定"之势，不可轻忽。

欧盟——风险分级入法。 《人工智能法》不设智能体独立类别，而将其并入既有的"人工智能系统加通用模型"风险分级框架；其高风险系统义务定于2026年8月2日起适用，把人类监督、可追溯、可解释立为法律要求。

此外，多国协同正在加速：2026年5月，"五眼"国家网络安全机构联合发布智能体安全采用指南，英国由既有监管机构分领域落实，韩国、我国台湾地区亦相继立法。智能体治理，已成全球监管的共同议题。

二、内核归一：无论哪一法域，责任终落到人

路径虽四岔，内核却归一：各法域不约而同地把责任落到人身上。中国强调用户的最终决策权、执行不得超授权；新加坡明言人对智能体行为始终担责、组织无论是否自愿合规均负法律责任；美国紧抓智能体的授权与行动权限；欧盟课以人类监督。四方之法，路径虽殊，问责之归则一：行虽出于机，责终系于人。

这一归一，并非偶合。学理上，是否赋予智能体法律人格（所谓"电子人格"）虽有争论，但主流持否定之见——其忧在于：一旦承认智能体可独立担责，恐沦为真正责任人借以脱身的"责任盾牌"；通说仍以智能体为工具，其行为归属于背后的人。各法域的制度选择，正与此通说同向。这也正是本书归属链主线——智能体可自主、行为必归人——的全球印证（详见第二篇）。

三、共同的抓手：身份与可追溯

内核既同，抓手亦趋同：各法域不谋而合地走向"智能体身份加可追溯"。新加坡要求智能体身份绑定负责的人类方，美国抓智能体身份与授权，中国探索智能体注册与数字身份（详见第七篇），欧盟立可追溯为法定。其理一也：唯有让智能体可被认出、其行止可被追溯，"行为归谁"才有抓手。身份与可追溯，是问责归人在全球范围落地的共同地基。

四、对出海与跨境部署的启示

四法域的图景，落到出海或跨境部署智能体的企业，可炼出三条。

其一，监管套利难恃久远。 路径虽异、内核归一，企图在最松法域规避责任，终将因"问责归人"的全球共识而落空；且多法域协调、声誉与被诉之累，其成本未必低于一体合规。

其二，宜就高不就低。 按最严法域的要求（如欧盟的高风险义务、人类监督、可追溯、可解释）搭一套合规底盘，多法域大体通用，省于逐一迁就。

其三，抓住共同底线。 无论出海何处，守住三条即握住全球共识之纲：人对智能体始终担责、智能体身份可追溯、授权有明确边界（分别详见第四篇、第七篇）。

本篇小结

智能体治理，全球路径殊异——政策、软法、标准、立法各擅其场；内核却归一于问责归人。这既是法律共识，也暗合一条效率之理：把责任配置给最能控制风险、最能担责的人，是各法域不约而同的选择（此理详见第三篇）。

三处仍待观察：其一，各法域智能体专门规则多以软法、标准、政策为主，硬法尚少，规则仍在成形；其二，一个智能体跨多法域行动时的管辖与责任协调，尚无成熟规则；其三，智能体之间跨境协作的责任分配，更待国际层面回应。本篇相关结论以各法域现行规范与后续进展为准。

全球之法，可套利于一时，难套利于久远；盖问责归人之理，四海同之。
守此底线者，行天下而少虞。

附录 A　全书共有声明

1. 性质：本书为面向企业法务、合规与技术决策者的合规参考读物，非针对任何具体个案的法律意见。涉具体事务，须咨询执业律师并结合个案判断。
2. 时效：本书写作与核查时点为 2026 年 6 月。所涉法律规范以现行有效版本为准；涉已修订之法律，按"新法校准适用"原则处理（详见附录 B）；时效性信息（如备案数量、进行中案件的进展）引用时须复核最新。
3. 脱敏：本书所引案例的当事人，均按裁判文书的脱敏处理表述，不指向特定主体。
4. 反幻觉：本书法律引证经官方一手源、专业数据库与权威媒体多源交叉核查；判决直引经裁判文书原文逐字比对。凡现行法尚无定论者，本书均标"待观察"，并以第一篇所立退守之道为据（规则未明处宜从严，高风险不可逆的自主动作暂留"人在回路"）。
5. 草样：全书各篇均为草样，交付前须经执业律师实质改写、通读审定方可对外。

附录 B　立法演进映射表

智能体相关论证多依现行法直接展开，唯下列法源涉版本演进，引用时须作新旧映射：

其余法源（个人信息保护法、数据安全法、网络安全法、著作权法、生成式人工智能服务管理暂行办法、网络数据安全管理条例、实施意见等）本书均直接引现行有效版本，无旧条号映射问题。

附录 C　全书法源层级总表

本书援引规范，按效力层级列示如下（同级内以出现先后为序）：

一、法律（全国人民代表大会及其常务委员会）

• 《中华人民共和国民法典》（2021-01-01 施行）——第 172 条、第 496 条至第 497 条、第 1165 条第 1 款
• 《中华人民共和国个人信息保护法》（2021-11-01 施行）——第 24 条
• 《中华人民共和国数据安全法》（2021-09-01 施行）
• 《中华人民共和国网络安全法》（2017-06-01 施行，以现行有效版本为准）
• 《中华人民共和国著作权法》（2020 年修正，2021-06-01 施行）
• 《中华人民共和国刑法》——第 217 条
• 《中华人民共和国反不正当竞争法》（2025 年修订，主席令第五十号，2025-10-15 施行）——第 2、10、12、13 条

二、行政法规（国务院）

• 《网络数据安全管理条例》（国务院令第 790 号，2025-01-01 施行）

三、部门规章 / 规范性文件

• 《生成式人工智能服务管理暂行办法》（2023-08-15 施行）——第 4、5、17、22 条
• 《互联网信息服务算法推荐管理规定》（2022-03-01 施行）
• 《互联网信息服务深度合成管理规定》（2023-01-10 施行）
• 人工智能生成合成内容标识办法

四、国家标准

• GB 45438—2025《网络安全技术 人工智能生成合成内容标识方法》（强制性国标）
• GB/T 45654—2025《网络安全技术 生成式人工智能服务安全基本要求》（推荐性国标，2025-11-01 实施）

五、司法解释

• 《最高人民法院关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释》——第 2 条（竞争关系认定）

六、政策性规范文件

• 《智能体规范应用与创新发展实施意见》（国家网信办、国家发展改革委、工业和信息化部，2026-05-08 发布）——第 6、7、8、9、11、13 条

七、境外规范（第九篇 · 非中国裁判规则）

• 新加坡《智能体人工智能模型治理框架》（IMDA，2026-01-22，非约束性软法）
• 美国"人工智能智能体标准计划"（NIST CAISI，2026-02-17，自愿性标准）
• 欧盟《人工智能法》（2024-08-01 生效，高风险系统义务 2026-08-02 起适用）
• "五眼"国家智能体安全联合指南（2026-05-01）

附录 D　案例索引

案号未列者，系本书未独立核验其案号，仅据公开报道之裁判思路概述，具体以裁判文书为准。

行为必归人，损害归能以最低成本防止它的那一方。
—— 全书终