OpenAI禁止中国企业使用API，微软Azure OpenAI会是下一个合规选择？| 曼昆普法

6月25日，OpenAI向API（应用接口）用户推送官方邮件，告知自7月9日起，将阻止来自未列入支持国家和地区名单的区域的API流量，如要继续使用OpenAI的服务，需要在受支持的区域进行访问。

一时间众议纷纭，媒体更以“断供”描述OpenAI的此次举措。有人认为，是因为美国对中国的打压政策；有人认为，是为了防止国内大模型的套壳和获取语料。事实上，OpenAI从未向国内市场开放服务，“断供”言过其实，更准确得说是加强了封禁的措施。也因此，我国所有调用API接口的企业，本质上都处于不合规的状态，既不符合OpenAI的政策，也不符合国内的法律。那么，这些企业下一步该走向何方？

顺势迁移

2023年7月，中国网信办联合有关部门推出《生成式人工智能服务管理暂行办法》，是全球范围内针对生成式人工智能的首部专门立法。根据办法，生成式人工智能服务提供者要使用具有合法来源的数据和基础模型；而OpenAI并未根据国内监管要求进行算法备案、生成式人工智能服务备案等。与此同时，根据OpenAI的政策，不向中国用户提供GPT服务。

在“双重违法”之下，使用OpenAI API接口的“套壳”应用处于随时被禁止运营的状态，这对于一个长期项目不是件好事情。国内监管之所以仍保持一定“宽容”，是因为行业毕竟在初期发展阶段，执法强度也有个由松到紧的过程。此次OpenAI方的封禁，可以倒逼国内项目走向合规发展的道路。

现状之下，选择国内AI模型进行迁移，成为所有套用Open API接口的应用需要考虑的关键解决方案之一。与此同时，国产大模型也不失时机地争相推出“搬家”方案。

通过迁移，原有应用的功能可以维持稳定，应用及背后公司也可以避免因失去OpenAI API而产生违约问题。在考察性价比之余，应用可优先考虑已经通过生成式人工智能服务备案的大模型，避免新的合规问题。值得注意的是，截至2024年3月，我国共有117个大模型已经在网信办备案。

不过，自从OpenAI发布公告后，部分文章提出：使用OpenAI API的应用可以迁移至Azure OpenAI。给出理由是，微软已经和OpenAI合作，且未禁止中国用户使用。那么，这些应用是否可以采纳该建议，且合规性如何？

Azure OpenAI

首先，我们来看看什么是Azure OpenAI。

Azure OpenAI 是微软提供的服务，可以实现对 OpenAI大语言模型的 REST API 访问，这些模型包括GPT-4、GPT-4 Turbo with Vision、GPT-3.5-Turbo和嵌入模型系列。Azure OpenAI服务完全由微软控制；微软在Azure环境中托管OpenAI模型，该服务不会与OpenAI运营的任何服务（例如ChatGPT或OpenAI API）进行交互。而且，微软也在OpenAI“断供” 事件后加入了这场迁移抢客盛宴。

和OpenAI不同，Azure OpenAI并没有限制中国用户使用，这一点不管是在官方宣传还是工作人员口头回复都得到确认。不过矛盾的是，在一份官方产品可用服务区域文件中，似乎注明在中国不可用。

那么，我国使用OpenAI API接口做AI项目的企业，如果选择将自己的项目迁移至Azure OpenAI，在合规方面可以高枕无忧吗？

合规存疑

作为一项全球服务，微软有完整的数据合规政策。如承诺数据不对OpenAI开放，不会被用于改进OpenAI或微软的产品、服务，随时可以删除，防止有害内容生成，遵守欧盟GDPR和ISO 27001、ISO 27002和ISO 27018的要求。然而，据曼昆律师了解到的信息，Azure OpenAI的合规政策没有专门针对中国法律进行适配。因此，在以下方面，使用Azure OpenAI的合规性仍然存疑。

疑点1：数据出境

Azure的中国服务由国内世纪互联公司运营，数据中心在中国境内。但Azure OpenAI属于全球服务，数据中心在中国境外。当国内关键信息基础设施运营者或者其他数据处理者传输敏感个人信息、个人信息、重要数据超过一定标准，需要向国家网信部门申报数据出境安全评估、通过个人信息保护认证。这对于国内用户是很大的合规成本，且由于Azure OpenAI本身亦未查询到经过国内评估认证，难以保证可以顺利通过。

疑点2：未完成备案

根据《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》，凡是提供具有舆论属性或者社会动员能力的生成式人工智能服务，应当开展安全评估，并履行算法及模型备案手续。经检索，Azure OpenAI并未完成算法和大模型备案。那么对于想面对境内公众提供服务的用户来说，很难证明是使用了合法来源的基础模型，以及满足其他监管要求。

总结：对于想应用于内部研发、运营使用，未面向公众，不涉及个人信息、重要数据的企业，Azure OpenAI是个可选项；除此之外，则要慎重评估使用Azure OpenAI的合规风险。由于未能掌握完整信息，本人根据公开信息，试着对Azure OpenAI的合规性进行分析，如有事实出入，请微软联系更正。

最差方案

有业内人士提出，可以通过使用海外服务器或创建反向代理来绕开限制。这个方案是通过技术手段反封锁，但无法解决任何合规问题。相反，这样做会增加数据安全和隐私的风险。在运营方面，国内苹果和安卓的应用市场可以下架这类应用；应用服务的稳定性也要打个大大的问号。

小结

在OpenAI限制中国使用其API的背景下，国内现存AI企业考虑数据迁移至Azure OpenAI或其他国际服务时，必须仔细评估合规风险。与此同时，面对新技术带来的法律挑战，企业或许应该积极探索本土化解决方案，而非一味寻求“平替”，在不断变化的技术环境中实现合规发展。