药品监管领域生成式人工智能应用风险等级分类建议、相关法律法规和政策、大模型安全备案核心指标参考表

-PAGE16附录A

药品监管领域生成式人工智能应用风险等级分类建议

（资料性）结合药品业务领域工作实际，对典型应用场景进行风险等级划分，共分为五级。具体说明如下：风险等级判定标准药品监管典型应用场景医药企业典型应用场景医药信息化服务机构典型服务场景高具有重大威胁性，涉及药品质量安全，直接关系公民生命健康、安全和重大公共利益的关键领域。辅助审评

药物警戒

风险管理

说明书适老化改造生产质量控制辅助

注册申报关键数据生成

用药指导生成

药品不良反应分析

监管数据报送为客户提供生产质量控制AI系统

开发注册申报辅助系统

提供用药指导服务平台

提供不良反应分析服务

提供监管数据报送系统中具有明显威胁性，影响范围较大或涉及重要业务数据的场景。形式审查

远程监管

现场监管

辅助抽检工作

辅助稽查办案

网络交易监管

数据分析与预测业务办理及政策咨询

业务数据查询注册申报资料辅助编写

临床试验数据整理

合规自查辅助审计文档生成

质量风险预警供应链优化

研发方向评估提供注册申报资料编写工具

提供临床试验数据分析服务

提供合规自查系统

提供审计文档生成工具

提供质量风险预警系统提供数据分析工具

提供供应链优化咨询

提供研发评估分析低具有轻微威胁性，影响范围很小。应用于内部管理、信息整理等辅助性工作。批件整理

工作方案研究市场数据分析

内部文档整理

业务流程优化提供文档整理服务

提供流程优化咨询附录B

药品业务领域生成式人工智能应用相关法律法规和政策序号层级名称1法律《中华人民共和国网络安全法》2法律《中华人民共和国数据安全法》3法律《中华人民共和国个人信息保护法》4法律《中华人民共和国反电信网络诈骗法》5法律《中华人民共和国药品管理法》6法律《中华人民共和国电子商务法》7行政法规《中华人民共和国药品管理法实施条例》8行政法规《国家药品注册管理办法》9行政法规《互联网信息服务管理办法》10行政法规《政务数据共享条例》11部门规章《生成式人工智能服务管理暂行办法》12部门规章《互联网信息服务深度合成管理规定》13部门规章《互联网信息服务算法推荐管理规定》14部门规章《儿童个人信息网络保护规定》15部门规章《电信和互联网用户个人信息保护规定》16部门规章《网络信息内容生态治理规定》17部门规章《互联网新闻信息服务管理规定》18部门规章《网络安全审查办法》19部门规章《互联网文化管理暂行规定》20部门规章《人工智能生成合成内容标识办法》21规范性文件《互联网直播服务管理规定》22规范性文件《互联网论坛社区服务管理规定》23规范性文件《中华人民共和国药品生产质量管理规范》（GMP）24规范性文件《中华人民共和国药品经营质量管理规范》（GSP）25规范性文件《科技伦理审查办法（试行）》26标准《合规管理体系要求及使用指南》（GB/T35770—2022）27标准《信息安全技术ICT供应链安全风险管理指南》（GB/T36637—2018）28标准《网络安全技术软件供应链安全要求》（GB/T43698—2024）29标准《信息安全技术大数据安全管理指南》（GB/T37973—2019）30标准《网络安全标准实践指南——网络数据分类分级指引（v1.0-202112）》（TC260-PG-20212A）31标准《信息安全技术机器学习算法安全评估规范》（GB/T

42888-2023）32标准《信息安全技术个人信息去标识化指南》（GB/T37964-2019）33标准《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）34标准《信息安全技术个人信息安全规范》（GB/T35273—2020）35标准《网络安全技术人工智能生成合成内容标识方法》（GB45438-2025）36标准《网络安全标准实践指南——人工智能生成合成内容标识服务提供者编码规则》（TC260-PG-20252A）37标准《网络安全技术生成式人工智能服务安全基本要求》（GB/T45654-2025）38标准《网络安全技术生成式人工智能预训练和优化训练数据安全规范》（GB/T45652-2025）39标准《网络安全技术生成式人工智能数据标注安全规范》（GB/T45674-2025）40标准《数据安全技术敏感个人信息处理安全要求》（GB/T45574-2025）41标准《数据安全技术政务数据处理安全要求》（GB/T45396-2025）

附录C

大模型安全备案核心指标参考表

（资料性）测试种类测试方法最低数量要求最低结果要求参考标准模型准确性测试业务场景测试典型场景覆盖准确率≥90%根据业务要求制定专业性测试专业知识问答500条正确率≥95%行业专家评审安全性测试对抗样本测试100条防护率≥90%GB/T45654—2025拒答能力测试应拒答测试200条拒答率≥95%GB/T45654—2025内容安全测试生成内容审核1000条合格率≥95%GB/T45654—2025数据安全测试数据泄露测试模拟攻击无泄露GB/T45396—2025性能测试压力测试高并发场景响应时间符合要求业务要求服务可用性测试连续运行测试7×24小时可用性≥99.5%SLA要求

附录D

药品业务领域人工智能应用合规自查清单

（资料性）D.1管理体系-建立人工智能应用管理制度-明确组织架构和责任分工-制定应用场景全流程操作规程（SOP）-建立人员培训机制-建立风险管控机制-制定安全应急预案-建立第三方服务商管理制度D.2安全防护-实施访问控制和权限管理-建立数据分类分级管理制度-实施数据脱敏和加密措施-建立操作日志留痕机制-完成安全测试验证D.3合规要求-模型已按规定备案（如适用）-符合数据安全要求-符合个人信息保护要求-建立内容审核机制-建立投诉反馈渠道-建立监管信息提供机制D.4风险控制-完成应用场景风险评估-确定风险等级并登记备案-实施相应风险控制措施-建立持续监测机制-建立定期评估机制-建立风险报告机制-建立服务风险评估机制