2026年7月3日,印度电子与信息技术部秘书S. Krishnan在一场公开活动中说出了一句让行业瞬间警觉的话:“我们一直在用IT规则和现有法律条款来处理AI带来的各种问题,但现在,也许是时候考虑一部单独的立法了。”
这句话的分量,不在于它宣布了一张具体的立法时间表。Krishnan明确表示“何时正式推出立法草案尚无法评论”。它的真正意义在于,这标志着印度政府对AI监管认知的根本性转折。
就在不到五个月前,2026年2月10日,印度中央政府完成了一轮堪称“史上最严”的IT规则修订。新规首次在法律层面正式定义了“合成生成信息”:任何经过AI创建或修改、足以以假乱真的音频、视频和图像,全部纳入监管范畴。更关键的是,平台下架被标记AI内容的时限从36小时压缩到了3小时。对于深度伪造这类可以瞬间引爆舆论危机的合成内容,政府显然不想再给平台留任何缓冲空间。
这套组合拳在当时已被视为全球最激进的AI内容监管措施之一。印度总理莫迪本人也曾公开将深度伪造称为一场“危机”。
但Krishnan现在传递的信号比那套组合拳更值得推敲。IT规则的修补只能管住AI的输出端,内容该下架下架、该贴标贴标,却管不住AI系统的输入端和运行逻辑本身。当一家银行用AI模型做信贷审批、一家医院用AI辅助诊断、一家保险公司用AI自动化理赔决策时,“3小时下架”这条规则几乎是无效的。
这正是印度政府正在面对的核心矛盾。一个为“中间人责任”和“内容移除”而设计的IT法律框架,根本无法回答“AI系统的开发者、部署者和使用者之间,谁来为模型的错误决策负责”这个根本问题。
与此同时,印度AI市场正在以令人咋舌的速度膨胀。据Market Research Future数据,2024年印度AI市场规模为85.9亿美元,预计到2035年将达到540.4亿美元,年复合增长率18.2%。银行业、医疗健康、教育、物流、零售和公共服务,所有这些正在急速拥抱AI的行业,恰恰也是模型错误决策可能造成实质性损害的行业。
当AI从实验室里的“新鲜玩意”变成电力、水务一样的运营基础设施时,一部通用数字规则显然不够用了。
为什么IT规则管不住AI
理解印度的这次监管转向,首先要搞清楚一件事:现行IT规则到底为什么管不住AI。
印度现行法律体系对数字内容的监管核心逻辑是“中间人责任与内容移除”。这套逻辑建立在2010年代互联网生态的假设之上:平台上发布的内容由用户生成,平台作为“中间人”承担有限责任,只要在接到政府或法院通知后及时移除违规内容即可免责。
AI系统彻底打破了这套假设。一个生成式AI模型不是平台,不是用户,也不是内容发布者。它自己生成内容。当一个AI聊天机器人在金融咨询中提供了误导性信息、一个AI语音克隆工具被用于电话诈骗、一个自动化简历筛选系统被指控存在歧视,谁来负责?
是开发模型的公司?是部署模型的云平台?是把模型集成到产品中的应用商?还是最后的实际使用者?现行IT规则中没有一个条款能回答这个问题。
Krishnan的话其实道出了监管者的无奈。“我们有网络犯罪条款、中间人义务条款和消费者保护工具可以用来处理部分案件,但这些都是事后救济。AI的危害往往比投诉处理流程跑得更快。”
这种“打地鼠式”的执法状态带来的结果,是监管的不确定性和不公平性:同样性质的AI伤害,换一个场景可能就没有法律依据处理。
全球AI立法的倒逼效应
印度的态度转变,当然也有全球语境。
2026年8月2日,欧盟《人工智能法案》将进入全面适用阶段。这部全球首部全面AI监管法律划定了不可接受风险、高风险、有限风险和极低风险四个层级,对高风险AI系统提出了从风险评估、数据治理到人工监督的全生命周期合规要求,违规罚款最高可达3500万欧元或全球年营收的7%。
中国则在更早的阶段就通过《生成式人工智能服务管理暂行办法》等法规,建立了针对大模型的内容审查和备案制度。美国虽然没有联邦层面的统一AI立法,但各州和联邦机构正从各自职权范围开出越来越严格的监管要求。
印度一直在这股全球监管浪潮中采取观望加修补的策略。2025年底有议员提出的《人工智能治理法案》私人草案曾建议设立强制性伦理审查、偏见审计,违规罚款最高5000万卢比。但政府层面的正式动作一直谨慎,直到这次Krishnan的表态。
这种谨慎不难理解。印度既是AI技术的消费大国,也是AI人才的输出大国。监管过于严格可能抑制正在爆发的AI创新和创业生态;监管过于宽松,又可能让公民权益和国家安全暴露在快速增长的AI风险之下。监管的双脚分别踩在内部动力和外部压力上。内部动力来自深度伪造的泛滥和AI在各行各业的大规模部署;外部压力来自全球AI立法竞赛。当欧盟、中国、美国都在建立自己的AI监管体系时,作为全球增长最快的AI市场之一,印度不能也不愿意沦为“监管洼地”。
双线作战:两套规则并行编织
值得注意的是,印度政府目前实际上同时在推进两条并行的AI治理防线。
第一道防线是已经生效的2026年IT规则修订,解决最紧迫的合成内容问题。明确定义、缩短下架时限、要求披露标签。这条防线的逻辑是事后控制,内容出来了,识别出来,下架处理。
第二道防线就是Krishnan现在提到的单独立法,解决IT规则管不了的问题。AI系统的设计、开发、部署和使用全生命周期的治理。这条防线的逻辑是事前加事中控制,在AI系统上线之前就确定好责任归属、风险评估和审计要求。
这不是一个二选一的方案。Krishnan的措辞暗示了一种双轨并行的政策设计:IT规则管内容输出,AI专法管系统治理。先用现有法律框架快速堵住最显而易见的漏洞,也就是深度伪造内容的分发,再花时间精心设计一部真正管住AI系统本身的专门法律。这种渐进策略既回应了社会对AI安全的紧迫关切,也为产业留出了适应期。
企业准备好更严格的审查了吗
对于在印度开展业务的企业来说,Krishnan的声明不是遥远的政策信号,而是一张写好了开篇语的新合规考卷。
迹象已经密集到不容忽视。印度央行在2026年6月发布了一份关于AI和机器学习系统模型风险管理的框架草案,覆盖银行和非银行金融机构使用的所有AI/ML系统。印度最高法院也在同一时期发布了法院AI使用规范草案,明确要求AI只能辅助、不能替代司法决策,并禁止AI用于风险评估、行为画像和秘密监控。
在正式单独立法之前,各行业监管机构已经开始独立收紧对AI的约束。Krishnan此次表态的潜台词则是:法律层面的顶层设计即将跟上。
对企业而言,最直接的合规变化预计将从三个方面展开。
第一是透明度。IT规则修订已经要求AI生成内容标注标签,AI专法预计将把这个要求从输出端扩展到系统层面。模型开发者可能被要求披露训练数据来源、模型能力的边界和已知风险。
第二是责任分配。谁为AI的错误负责,这将是新法律最核心的议题。如果印度参考欧盟AI法案的分级思路,高风险AI应用的开发者和部署者可能面临强制性的合规义务。
第三是预先评估。目前的IT规则逻辑是出了事再处理,而新法律很可能会要求高风险AI系统在部署前通过审计或测试,类似欧盟的合格评定程序。
RBI的AI风险框架和最高法院的AI使用规范草案已经在各自领域为AI画出了使用红线。一旦顶层专门立法出台,这些分散的行业规定将被整合成一个统一的合规体系,届时合规成本将远高于今天主动布局的企业所付出的代价。
谁能在笼子建好之前抵达安全区
印度正处在AI监管的十字路口。
往前走,需要回答一系列全世界都还没有标准答案的问题。高风险AI应用的标准怎么定?中小AI创业公司的合规成本谁来兜底?监管的笼子怎么造才既关得住风险、又不关死创新?
往后看,依赖IT规则打补丁的日子已经不可能继续了。深度伪造的泛滥速度、AI在各行各业的大规模渗透、全球监管竞赛的白热化,三重压力叠加之下,印度已经没有“不监管”的选择。
留给印度政策制定者的问题只有一个:造笼子的速度,能不能追上AI进化成新物种的速度。
对于在印度经营的企业,眼下最明智的策略不是等法律落地再做准备。当RBI已经开始收紧银行业的AI风控、最高法院已经在对法院AI使用画红线、IT秘书已经在公开讨论单独立法的必要性时,信号已经足够密集。
先建立起经得起审计的AI治理体系的企业,将在新规则落地时拥有真正的先发优势。
印度正在为AI造一个笼子。问题是,这个笼子要造多大、多久造好,以及谁来负责锁门。






快报