小公司有备案吗？

视场景而定；先盘点，别猜。

只用境外 ChatGPT 呢？

可能涉出境与个人信息；走评估。

UI 提示+元数据+对外声明，法务定稿。

视场景而定；先盘点，别猜。

可能涉出境与个人信息；走评估。

结论：2026 企业合规重点：生成式内容标识与用户告知、训练数据与个人信息合法性、算法备案与变更报告、跨境传输评估、行业细则（金融、医疗、车）。先盘点场景再对条款，不要一刀切停用。

法务收到监管问卷，业务说「我们没用 AI」——实际上销售已在用 Copilot 写标书、客服已上线 Bot。合规第一步是资产盘点，不是买更多模型。

2026 合规动作：1 AI 应用清单 2 内容标识 3 个人信息与训练合规 4 算法备案是否需要 5 出境评估 6 行业附加要求 7 Incident 预案。

列：工具名、用途、数据级别、是否对外生成、供应商、境内/境外模型。没有清单，无法回答备案与出境问题。

对外文案、图像、音频若属深度合成或 AIGC，按法规标识与告知；用户协议与 UI 提示更新。Marketing 与 Legal 联合出模板句。

收集个人信息用于训练需合法基础；员工上传客户数据进公有云可能同时触发个人信息与保密义务。DPA 与内部制度对齐。

具有舆论属性或特定公共影响的推荐/生成服务可能需备案；纯内部效率工具范围不同——以法务解读为准，业务勿自判。

使用境外 API 可能构成数据出境；走标准合同、评估或本地化副本。金融、汽车、医疗常有更严行业规范。

建立：内容安全事件响应、模型输出违规上报路径、年度合规复盘。保存提示词与日志策略与 retention 对齐监管要求。

0–30 天：盘点生成式 AI 使用场景、数据分级、现有合同是否覆盖训练 opt-out。31–60 天：高风险场景（人事、金融、医疗文案）加人工复核与留痕。61–90 天：建立算法说明与投诉渠道草案，对外包供应商发书面问卷。

法务与 IT 共签「可上云数据白名单」，业务只在该清单内试点。监管变化时更新 Wiki 与培训微课，比一次性大课更能减少违规上传。