搜索
新闻详情

客户至上 专业立本 协同创新 追求卓越

关注 | 《生成式人工智能服务管理暂行办法》解读

浏览量

国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局公布了《生成式人工智能服务管理暂行办法》(以下简称《办法》),于2023年8月15日正式施行。《办法》是中国第一部对生成式人工智能的监管法规,是应对生成式人工智能高速发展下将引发的传播虚假信息、侵害个人信息权益、数据安全和偏见歧视等问题的迫切社会需求,同时也是落实《网络安全法》、《数据安全法》、《个人信息保护法》、《科学技术进步法》等上位法的重要要求,进一步规范了数据处理等活动,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。本文将对《办法》进行解读。

一、何为生成式人工智能?

生成式人工智能是指基于算法、模型、规则生成文本、图片、声音、视频、代码等内容的技术,是一种通过学习大规模数据集生成新的原创内容的新型人工智能,在2022年底因ChatGPT发布而引起了公众广泛关注,生成式人工智能已在教育、设计等多个行业引发爆点。能够生成语言文本类的比如ChatGPT、百度的文心一言,生成图像类的比如Midjourney,生成音视频类的比如AI换脸软件等等。

二、《办法》解读

《办法》共计5章24个条款,主要从技术发展与治理、服务规范、监督检查和法律责任四个方面对生成式人工智能管理予以规定。

1. 适用范围

《办法》第二条规定“利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务,适用本办法”。据此,受《办法》监管的主要评价标准是“向国内公众提供服务”,只要是面向中国境内公众提供生成式人工智能服务的,则需适用《办法》规定。而不论服务提供者是境内主体还是境外主体。《办法》第二十条规定“对来源于中华人民共和国境外向境内提供生成式人工智能服务不符合法律、行政法规和本办法规定的,国家网信部门应当通知有关机构采取技术措施和其他必要措施予以处置。”可见,对于境外主体而言,仍受《办法》监管,若向境内提供服务不符合规定,则可能会面临相关技术措施。

其次,《办法》第二条还规定“国家对利用生成式人工智能服务从事新闻出版、影视制作、文艺创作等活动另有规定的,从其规定”,因上述领域有其行业特性,故在监管上有特殊规定的,适用特殊规定,并且,未来可能还会出台针对上述领域的生成式人工智能监管规范。

此外,《办法》就适用范围还作出了例外规定,即“行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等研发、应用生成式人工智能技术,未向境内公众提供生成式人工智能服务的”,即内部研发、应用的不适用《办法》,体现了国家鼓励生成式人工智能创新发展、包容审慎的立法原则。但是不适用《办法》规定并不代表不受监管、没有法律风险,其仍受《网络安全法》、《数据安全法》、《个人信息保护法》、《科学技术进步法》等法律规制。

2. 监管原则

《办法》第三条规定了相应的监管原则——包容审慎和分类分级监管。一方面鼓励生成式人工智能技术在各行业、各领域的创新应用与发展,比如支持行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等在生成式人工智能技术创新、数据资源建设、转化应用、风险防范等方面开展协作;鼓励生成式人工智能算法、框架、芯片及配套软件平台等基础技术的自主创新;推动生成式人工智能基础设施和公共训练数据资源平台建设;鼓励采用安全可信的芯片、软件、工具、算力和数据资源等。另一方面,提出要遵守法律、行政法规的其他有关规定和有关主管部门的相关监管要求,可以预见相关部门未来将进一步出台、完善相关细化规则或指引,提出更有针对性的监管要求。

3. 治理制度

《办法》要求第七条规定了生成式人工智能服务提供者依法开展预训练、优化训练等训练数据处理活动需要遵守的规定,相较于《征求意见稿》,《办法》不再要求服务提供者“保证”数据的真实性、准确性、客观性、多样性,而是使用“增强”一词,要求服务提供者“采取有效措施提高训练数据质量,增强训练数据的真实性、准确性、客观性、多样性”,符合《办法》鼓励生成式人工智能创新发展,对生成式人工智能服务实行包容审慎的原则。

具体来说,要求使用具有合法来源的数据和基础模型;涉及知识产权的,不得侵害他人依法享有的知识产权;涉及个人信息的,应当取得个人同意或者符合法律、行政法规规定的其他情形;采取有效措施提高训练数据质量,增强训练数据的真实性、准确性、客观性、多样性;遵守《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律、行政法规的其他有关规定和有关主管部门的相关监管要求。

另外,根据现已生效的相关规定,涉及深度合成的如人脸生成、三维重建等,需遵守《互联网信息服务深度合成管理规定》;提供具有舆论属性或者社会动员能力的生成式人工智能服务的,应当按照国家有关规定开展安全评估,并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。“具有舆论属性或者社会动员能力的生成式人工智能服务”的具体标准可以参考《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》中规定,具有舆论属性或社会动员能力的互联网信息服务包括:(一)开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能;(二)开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。

4. 数据标注

因为生成式人工智能需要投喂大量的文本、图片、视频等材料进行训练学习,而数据标注就是把需要其进行学习的初级数据进行标注,不断进行训练,以使人工智能可以自主识别、生成相关内容。《办法》对提供生成式人工智能服务的数据标注工作进行了规定,包括提供者应当制定符合办法要求的清晰、具体、可操作的标注规则;要求开展数据标注质量评估,抽样核验标注内容的准确性;要求对标注人员进行必要培训,提升尊法守法意识,监督指导标注人员规范开展标注工作。

5. 服务规范

生成式人工智能提供者承担的是网络信息内容生产者责任。一般而言,互联网服务提供者往往承担的是平台的管控义务,用户承担生成内容的责任,但因生成式人工智能不仅仅是为使用者提供一个交互的平台,其亦自主创新生成内容,在无法完全剥离平台与内容的情况下,《办法》直接规定了生成式人工智能提供者对内容生成亦承担责任。具体而言:

服务协议:提供者应当与注册其服务的使用者签订服务协议,明确双方权利义务。

提供者应当明确并公开其服务的适用人群、场合、用途,指导使用者科学理性认识和依法使用生成式人工智能技术,并强调了对未成年人的防沉迷要求,提供者需要采取有效措施防范未成年人用户过度依赖或者沉迷。

个人信息保护要求:提供者对使用者的输入信息和使用记录应当依法履行保护义务,不得收集非必要个人信息,不得非法留存能够识别使用者身份的输入信息和使用记录,不得非法向他人提供使用者的输入信息和使用记录。提供者应当依法及时受理和处理个人关于查阅、复制、更正、补充、删除其个人信息等的请求。

内容生产者责任:提供者发现违法内容的,应当及时采取停止生成、停止传输、消除等处置措施,采取模型优化训练等措施进行整改,并向有关主管部门报告。提供者发现使用者利用生成式人工智能服务从事违法活动的,应当依法依约采取警示、限制功能、暂停或者终止向其提供服务等处置措施,保存有关记录,并向有关主管部门报告。

投诉举报机制:提供者应当建立健全投诉、举报机制,设置便捷的投诉、举报入口,公布处理流程和反馈时限,及时受理、处理公众投诉举报并反馈处理结果。并明确使用者发现生成式人工智能服务不符合法律、行政法规和本办法规定的,有权向有关主管部门投诉、举报。

6. 行政许可

目前,我国的法律法规尚未对生成式人工智能服务本身设置行政许可或外商投资准入限制,但是,在提供服务过程中如涉及增值电信服务、网络视听节目服务、网络出版服务、互联网文化经营、广播电视节目制作经营等,则需要按照相应要求获得相应资质。

7. 监督管理

贯彻分级分类监管原则,《办法》规定网信、发展改革、教育、科技、工业和信息化、公安、广播电视、新闻出版等部门,依据各自职责依法加强对生成式人工智能服务的管理。有关主管部门可以依据职责对生成式人工智能服务开展监督检查,提供者违反《办法》规定的,依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国科学技术进步法》等法律、行政法规的规定予以处罚,没有规定的,由有关主管部门依据职责予以警告、通报批评,责令限期改正;拒不改正或者情节严重的,责令暂停提供相关服务。构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

三、企业内部在使用生成式人工智能服务时法律风险与防范措施

随着生成式人工智能的出现与火爆,越来越多的企业也会采购相关服务来提高工作效率或产出。如前所言,企业内部使用、不向境内公众提供生成式人工智能服务时不适用《办法》的规定,但仍需要遵守相关法律规定,另外关注相应法律风险。

1. 注意审查提供者资质

境外向境内企业提供服务的,属于《办法》规制范围,同时还要遵守中国《网络安全法》、《电信条例》等规定,如不符合相关规定的,国家网信部门会通知有关机构采取技术措施和其他必要措施予以处置。所以,在采购境外服务时,应加强其合法性审查。同时,企业采购应注意采购协议、服务协议或者提供者公布的规则、方法等,并且还应注意上述协议可能随着技术的更新而随时更新,确保合作内容、使用范围、使用目的等不会违反相关法律规定、协议要求。

2. 加强使用管理

企业在使用采购的服务时,应当严格遵守相关法律法规,确保服务的安全、合规和高效。企业不得将采购的服务用于直接向公众提供服务,以免侵犯他人权益或触犯法律。其次,企业应尽量避免将采购的服务、接口、账号等转租、转借给他人使用,以防止信息泄露、滥用或被恶意利用。此外,企业还应严格加强员工账号管理,确保员工在使用相关服务时遵循公司规定,防止内部风险的发生。

3. 注意完善相应资质

尽管是内部使用,但是企业业务涉及相关资质要求的,还是应当依法办理完善。比如利用生成式人工智能开展网络视听节目、进行网络出版、广播电视节目制作经营等,应该办理相应许可证,如信息网络传播视听节目许可证、网络出版服务许可证、广播电视节目制作经营许可证等。

4. 注意对生成内容的审查

因生成式人工智能生成的内容依靠数据投喂,无法保证其生成内容一定是准确的、合法的,如果过于依赖人工智能提供的内容,反而会加重企业的风险,影响企业的正常经营。一旦相关内容违法、错误,并且已经对外公开,企业还可能面临处罚。因此企业对生成内容对外公开发布的,应当注意审查,可建立相关人工审查机制,确保生成内容的合法性,警惕“人工智障”。

另外,生成式人工智能可能被多个竞争性企业采购,难免会产生同质化的生成内容,关键还是要注重企业自身、员工的创新能力,注意审查相关内容,而非仅仅依赖人工智能,确保企业创意,避免“信息茧房”。

5. 注意保护商业秘密与个人信息

在使用生成式人工智能执行任务过程中,企业应尊重并保护涉及的国家机密、商业秘密、个人隐私和个人信息,严格按照《数据安全法》、《个人信息保护法》等相关法规进行操作。例如,企业应实施必要的措施,如加密技术、管理制度、培训等,确保员工在处理任务时对关键数据和信息进行有效保护,避免通过输入内容、搜索词等方式泄露企业或客户的商业秘密。同时,限制员工收集非必要的个人信息,不得非法保存或向他人提供能够识别员工身份的信息和使用记录。