2023年4月11日,国家网信办公布了《生成式人工智能服务管理办法(征求意见稿)》,2023年7月13日,在充分吸收了各界对于征求意见稿的反馈意见后,国家网信办会同六部委共同发布《生成式人工智能服务管理暂行办法》(以下简称《办法》),自2023年8月15日起施行。
《办法》的出台标志着我国人工智能领域立法迈出了重要一步,北京德恒(重庆)律师事务所数据安全与合规团队特组织专家和研究人员对《办法》条款进行梳理解读,同时整理出合规要点,希望有助于《办法》的传播与完善。
说明:为突出重点和方便阅读,我们将结论“合规要点”作为第一部分,读者有疑问时可以查询第二部分条文解读。
一
生成式人工智能合规要点
特别需要说明的是,上述合规措施仅为要点与概括,企业若要对生成式人工智能进行全面合规,应当聘请专业律师团队从“法律+技术+管理”的三位一体视角进行。
二
《办法》解读
《办法》第一条
为了促进生成式人工智能健康发展和规范应用,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国科学技术进步法》等法律、行政法规,制定本办法。
解读:
关于生成式人工智能的监管,除了常规的三法外,《办法》新增加了《科技进步法》,这意味着《办法》视野不仅局限于市场竞争秩序规制,科技伦理审查也将成为监管的重要指标之一。
《办法》规定了“维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益”,标志着对生成式人工智能的监管将上升至国家安全和社会公共利益的高度。
《办法》第二条
利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务(以下称生成式人工智能服务),适用本办法。
国家对利用生成式人工智能服务从事新闻出版、影视制作、文艺创作等活动另有规定的,从其规定。
行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等研发、应用生成式人工智能技术,未向境内公众提供生成式人工智能服务的,不适用本办法的规定。
解读:
《办法》第二条对适用范围作出了明确规定,仅限于向境内提供生成式人工智能服务,并且必须是面向公众。如果面向的不是公众(如内部使用)、或者面向的是境外公众,则都不适用本《办法》。
凡在境内使用生成式人工智能服务技术进行内容创作的,包括利用生成式人工智能服务技术完成专业生产内容(以下简称:PGC)和用户生产内容(以下简称:UGC)创作或生成并进行网络传输的行为,需遵守该《办法》。
虽然《办法》未对境外主体向中国境内公众提供生成式人工智能服务单独规定,但在《办法》第二十条明确了国家网信部门对来源于境外向境内提供生成式人工智能服务的违法行为,有权通知有关机构采取必要措施予以处置。
《办法》第三条
国家坚持发展和安全并重、促进创新和依法治理相结合的原则,采取有效措施鼓励生成式人工智能创新发展,对生成式人工智能服务实行包容审慎和分类分级监管。
《办法》第十六条
网信、发展改革、教育、科技、工业和信息化、公安、广播电视、新闻出版等部门,依据各自职责依法加强对生成式人工智能服务的管理。
国家有关主管部门针对生成式人工智能技术特点及其在有关行业和领域的服务应用,完善与创新发展相适应的科学监管方式,制定相应的分类分级监管规则或者指引。
解读:
以上两条规定了分类分级分行业监管的原则。虽然《办法》没有进一步展开具体规则,但分类分级分行业监管大概率会成为通用的监管思路。
《办法》第四条
提供和使用生成式人工智能服务,应当遵守法律、行政法规,尊重社会公德和伦理道德,遵守以下规定:
(一)坚持社会主义核心价值观,不得生成煽动颠覆国家政权、推翻社会主义制度,危害国家安全和利益、损害国家形象,煽动分裂国家、破坏国家统一和社会稳定,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,暴力、淫秽色情,以及虚假有害信息等法律、行政法规禁止的内容;
(二)在算法设计、训练数据选择、模型生成和优化、提供服务等过程中,采取有效措施防止产生民族、信仰、国别、地域、性别、年龄、职业、健康等歧视;
(三)尊重知识产权、商业道德,保守商业秘密,不得利用算法、数据、平台等优势,实施垄断和不正当竞争行为;
(四)尊重他人合法权益,不得危害他人身心健康,不得侵害他人肖像权、名誉权、荣誉权、隐私权和个人信息权益;
(五)基于服务类型特点,采取有效措施,提升生成式人工智能服务的透明度,提高生成内容的准确性和可靠性。
《办法》第五条
鼓励生成式人工智能技术在各行业、各领域的创新应用,生成积极健康、向上向善的优质内容,探索优化应用场景,构建应用生态体系。
支持行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等在生成式人工智能技术创新、数据资源建设、转化应用、风险防范等方面开展协作。
解读:
以上两条规定了生成式人工智能服务提供者应当承担信息内容审查义务。在内容方面,除了禁止违法犯罪行为外,本条还明确提出生成式人工智能服务提供者负有防止算法歧视、不得实施垄断和不正当竞争行为、不得侵害他人人格权、提升生成内容的准确性和可靠性等义务。
《办法》第七条
生成式人工智能服务提供者(以下称提供者)应当依法开展预训练、优化训练等训练数据处理活动,遵守以下规定:
(一)使用具有合法来源的数据和基础模型;
(二)涉及知识产权的,不得侵害他人依法享有的知识产权;
(三)涉及个人信息的,应当取得个人同意或者符合法律、行政法规规定的其他情形;
(四)采取有效措施提高训练数据质量,增强训练数据的真实性、准确性、客观性、多样性;
(五)《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规的其他有关规定和有关主管部门的相关监管要求。
《办法》第八条
在生成式人工智能技术研发过程中进行数据标注的,提供者应当制定符合本办法要求的清晰、具体、可操作的标注规则;开展数据标注质量评估,抽样核验标注内容的准确性;对标注人员进行必要培训,提升尊法守法意识,监督指导标注人员规范开展标注工作。
《办法》第九条
提供者应当依法承担网络信息内容生产者责任,履行网络信息安全义务。涉及个人信息的,依法承担个人信息处理者责任,履行个人信息保护义务。
提供者应当与注册其服务的生成式人工智能服务使用者(以下称使用者)签订服务协议,明确双方权利义务。
解读:
以上三条规定了生成式人工智能的合法进行训练数据处理活动义务、必要标注义务、履行网络信息安全义务。
《办法》第七条要求“使用具有合法来源”的训练数据,生成式人工智能的基础是机器学习模型,这些模型通过学习大量的数据分析出模式和规律,然后基于这些规律和特点来生成新的数据或完成任务。
生成式人工智能服务提供者为了训练模型,可能会利用爬虫技术等各种方式取得未经授权的信息,存在知识产权侵权风险。另外,生成式人工智能“涌现”是人工智能系统的行为和决策,并不是由人类设计的,也就没人能对其进行预测或干预,这对输入数据的质量提出了极高的要求。
因此,《办法》特别强调训练数据“真实性、准确性、客观性、多样性”的重要性。此外,涉及到数据权属(知识产权)、个人信息的问题时,企业同时应当确保不侵犯他人权利。从合规的视角看,为履行上述义务,企业至少应当签署协议、承诺书、委托律师进行基本的尽职调查。
《办法》第八条对数据标注提出了更为细致的要求,不仅扩张了数据标注的适用范围,还新增设了数据标注质量评估要求。
《办法》第九条“网络信息内容生产者责任”,要求生成式人工智能服务提供者履行网络信息安全义务,仅从条文上看,似乎限缩了为“网络信息安全责任”上,但这需要进一步的解释。一般意义上的“内容生产者”涉及到知识产权侵权、人格权侵权、个人信息侵权等一系列责任,但在第九条均未提及。
综合来说,《办法》体现出的监管思路为尽量减轻生成式人工智能服务提供者的合规义务,并以鼓励性要求为主。
《办法》第六条
鼓励生成式人工智能算法、框架、芯片及配套软件平台等基础技术的自主创新,平等互利开展国际交流与合作,参与生成式人工智能相关国际规则制定。
推动生成式人工智能基础设施和公共训练数据资源平台建设,促进算力资源协同共享,提升算力资源利用效能;推动公共数据分类分级有序开放,扩展高质量的公共训练数据资源,鼓励采用安全可信的芯片、软件、工具、算力和数据资源。
解读:
相较于私人企业收集数据,公权力机关收集数据方法更多、纬度更全,毫无疑问,将公共数据用于人工智能训练对该产业的发展有着重大意义。
目前,各地正逐渐出台公共数据开放平台的建设计划,本条旨在推进生成式人工智能与各地公共数据开放利用政策相衔接,更好发挥公共数据红利。
《办法》第十条
提供者应当明确并公开其服务的适用人群、场合、用途,指导使用者科学理性认识和依法使用生成式人工智能技术,采取有效措施防范未成年人用户过度依赖或者沉迷生成式人工智能服务。
解读:
本条规定了生成式人工智能技术未成年人保护义务,明确指出未成年群体应有防沉迷措施,反应我国网络数据安全立法对于未成年保护的大趋势。
《办法》第十一条
提供者对使用者的输入信息和使用记录应当依法履行保护义务,不得收集非必要个人信息,不得非法留存能够识别使用者身份的输入信息和使用记录,不得非法向他人提供使用者的输入信息和使用记录。
提供者应当依法及时受理和处理个人关于查阅、复制、更正、补充、删除其个人信息等的请求。
解读:
本条规定了生成式人工智能使用场景下的个人信息保护义务。
《办法》第十一条重申了“最小必要”原则,以及不得“非法留存”和“非法提供”个人信息,对个人信息保护提供了原则性规定。
《办法》第十二条
提供者应当按照《互联网信息服务深度合成管理规定》对图片、视频等生成内容进行标识。
《办法》第十三条
提供者应当在其服务过程中,提供安全、稳定、持续的服务,保障用户正常使用。
高亮提示:
以上两条规定了提供者的标识义务和尽职义务。标识是为了防止误认、混淆乃至预防更严重的违法犯罪情形,确保用户可以区分人工智能形成的内容与真实个人形成的内容。
《办法》第十四条
提供者发现违法内容的,应当及时采取停止生成、停止传输、消除等处置措施,采取模型优化训练等措施进行整改,并向有关主管部门报告。
提供者发现使用者利用生成式人工智能服务从事违法活动的,应当依法依约采取警示、限制功能、暂停或者终止向其提供服务等处置措施,保存有关记录,并向有关主管部门报告。
解读:
本条规定的是提供者的停止/制止违法行为义务。《办法》规定了发现违法内容时“停止生成与传输”以及“采取模型优化训练等措施”进行整改。
如果提供者发现使用者从事违法活动,应当及时制止,特别要注意的是“保存记录”和“向主管部门报告”的合规义务。
《办法》第十五条
提供者应当建立健全投诉、举报机制,设置便捷的投诉、举报入口,公布处理流程和反馈时限,及时受理、处理公众投诉举报并反馈处理结果。
《办法》第十八条
使用者发现生成式人工智能服务不符合法律、行政法规和本办法规定的,有权向有关主管部门投诉、举报。
《办法》第十九条
有关主管部门依据职责对生成式人工智能服务开展监督检查,提供者应当依法予以配合,按要求对训练数据来源、规模、类型、标注规则、算法机制机理等予以说明,并提供必要的技术、数据等支持和协助。
参与生成式人工智能服务安全评估和监督检查的相关机构和人员对在履行职责中知悉的国家秘密、商业秘密、个人隐私和个人信息应当依法予以保密,不得泄露或者非法向他人提供。
《办法》第二十一条
提供者违反本办法规定的,由有关主管部门依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国科学技术进步法》等法律、行政法规的规定予以处罚;法律、行政法规没有规定的,由有关主管部门依据职责予以警告、通报批评,责令限期改正;拒不改正或者情节严重的,责令暂停提供相关服务。
构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
解读:
第十五条、十八条规定了提供者建立投诉、举报机制义务,第十九条规定了监督检查时提供者的配合义务与监管人员的保密义务。
第十六条和第二十一条第一款,确立了违反《办法》的行政处罚主体为“网信、发展改革、教育、科技、工业和信息化、公安、广播电视、新闻出版等部门”。行政处罚分为两类:
(1)引用四法进行处罚,此时可能会适用较高的罚款类措施;
(2)在四法没有规定时,可以进行“警告、通报批评、责令限期改正、责令暂停提供相关服务”。
《办法》第二十一条第二款还明确了提供者的行为构成违反治安管理行为及犯罪的情形时,应依法追究行政或刑事责任。
《办法》第十七条
提供具有舆论属性或者社会动员能力的生成式人工智能服务的,应当按照国家有关规定开展安全评估,并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。
解读:
本条明确“具有舆论属性或者社会动员能力的”提供者的算法备案与安全评估义务,与《互联网信息服务算法推荐管理规定》以及《互联网信息服务深度合成管理规定》保持一致。
《办法》第二十条
对来源于中华人民共和国境外向境内提供生成式人工智能服务不符合法律、行政法规和本办法规定的,国家网信部门应当通知有关机构采取技术措施和其他必要措施予以处置。
解读:
能否接入境外生成式人工智能一直也为各方所关注,但《办法》并没有直接对此做出回应,只是规定了可以采取必要措施,这也为国内使用境外服务的企业增加了不确定性。
对于从海外引进生成式人工智能产品的企业应提高注意义务,重点关注我国网络安全、进出口管制、行政处罚等方面的法律。
《办法》第二十二条
本办法下列用语的含义是:
(一)生成式人工智能技术,是指具有文本、图片、音频、视频等内容生成能力的模型及相关技术。
(二)生成式人工智能服务提供者,是指利用生成式人工智能技术提供生成式人工智能服务(包括通过提供可编程接口等方式提供生成式人工智能服务)的组织、个人。
(三)生成式人工智能服务使用者,是指使用生成式人工智能服务生成内容的组织、个人。
解读:
本条界定了生成式人工智能的概念,与之相关联的概念有还有深度合成技术以及算法推荐技术,具体区别如下表所示。
生成式人工智能相关概念
与生成式人工智能相关的概念还有PGC、UGC。PGC是指发布者有一定的专业资质和专业知识,发布原创的自制的内容;UGC指用户生成内容,一般可以被解释为在网站或其他具有开放性质的载体上由用户创造、贡献、生成并发布的“非专业”内容。
三
结语
综上,《办法》是针对生成式人工智能的原则性问题进行的立法,虽然条文较少,但也明确了企业合规经营的基本方向,为避免经营风险,人工智能相关企业应当及时对标《办法》,开展全面合规工作。
需要注意的是,《办法》中含有“暂行”二字,也暗示其过渡性的地位。根据2023年6月6日国务院办公厅印发的《国务院2023年度立法工作计划的通知》(国办发〔2023〕18号),人工智能法被列入2023年立法计划,这意味着未来我国人工智能统一监管立法已提上日程。
本专栏作者赵长江系法学博士、副教授、硕士生导师(法学、网络空间安全),距今为止执业20年。主要研究网络与数据安全合规、企业合规治理、刑民交叉重大案件处理等方向,擅长政务数据的合规审查与评估、企业合规体系搭建,以及企业重要技术和关键业务法律风险排查等领域。
现担任中国互联网安全大会行业专家委员会专家、重庆市法学会首席法律咨询专家、重庆市网络空间安全法治研究基地专家、重庆市互联网信息办公室专家顾问等。主持/主研国家级和省部级以上项目20余项,出版专著1部、主编教材《网络安全法》等3部。长期为政府部门、国有企业、大中型企业等提供网络与数据安全的专项服务,服务客户包括政府部门、电信运营商、电力企业、科技公司、金融投资公司等。
联合撰写作者:
重庆邮电大学 李甚泽(德恒重庆见习生)
本文作者
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。