跨越AIGC合规上市之路(三):数据合规与科技伦理篇
作为AIGC产品上市合规系列文章,承接此前关于AIGC产品上市算法备案、安全评估、资质证照等相关合规义务介绍,本篇将进一步讨论AIGC产品的数据合规要点与科技伦理问题,助力企业开发符合合规要求的人工智能产品。
作者丨蔡鹏 肖莆羚令 王梦迪
引言
近期颁布的《生成式人工智能服务管理暂行办法》(以下简称为《暂行办法》)对提供AIGC服务的机构及个人提出了一系列的合规要求,涵盖了针对外部用户的合规义务和企业内部全方位数据合规、科技伦理审查等方面。结合这部法规以及此前已经生效的《互联网信息服务算法推荐管理规定》(以下简称为《算法推荐管理规定》)和《互联网信息服务深度合成管理规定》(以下简称为《深度合成管理规定》),我们全面剖析了AIGC服务提供者的网络安全、数据合规与科技伦理审查的关键要素,包括训练数据管理、外部产品合规、信息内容治理、反垄断与不正当竞争、科技伦理审查机制等,旨在为企业提供有效的合规指引,使其能够在不断变化的运营环境中稳步前进。
一、网络安全与数据合规关键控制点
(一) 训练数据合规要点
针对AIGC服务而言,训练数据是其训练算法模型、提供服务的底层知识来源。相应地,《暂行办法》对AIGC服务提供者在开展预训练、优化训练等环节中的训练数据处理活动明确如下合规义务:
1. 数据来源合规
AIGC服务提供者应当使用具有合法来源的数据和基础模型,严格把控数据源的获取方式、合法基础(涉及个人信息的,应当取得个人同意或者符合法律、行政法规规定的其他情形)等,避免因数据源污染影响算法模型的准确性、真实性等。对此,AIGC服务提供者应当结合具体的数据来源,采取对应性的合规措施:
• 直接收集数据:如训练数据来自用户在使用AIGC产品中提供和产生的数据,则AIGC服务提供者应当依法取得合法性基础,如获取用户的同意或者单独同意等;
• 外部采购数据:如训练数据是采购自外部第三方的数据,则AIGC服务提供者首先应当对数据提供方开展合规尽调,就其数据保护能力、组织管理、操作规程等进行调查,选定后应当与数据合作方签署合作协议,要求合作方对数据来源的合法性作出承诺和保证;
• 外部抓取数据:此类抓取的形式有很多,主要的表现形式之一便是线上爬取。AIGC服务提供者应当根据爬取手段、爬取内容、被爬取网站/平台的禁止性要求/robots协议、爬取数据的后续使用等,评估爬取行为的合规性并谨慎开展数据爬取行为;同时应当关注数据爬取过程中的著作权侵权等风险。
《暂行办法》提出,将会推动公共训练数据资源平台建设。对于AIGC服务提供者而言,后续公共平台建成后,将能够一定程度上保障数据来源的合法性。但目前该平台建设的规划、进展以及后续数据使用的规则尚不明确,训练数据的来源仍集中在直接采集、外部采购和外部抓取这几种形式,因此,AIGC服务提供者仍应当根据上述要求保障数据来源的合法性。
2. 数据质量把控
AIGC服务提供者应当采取有效措施提高训练数据质量,增强训练数据的真实性、准确性、客观性、多样性。结合我们的实践经验,AIGC服务提供者可以从以下几个方面提高训练数据的质量:
• 运用数据清洗和预处理技术,排除噪声和偏差:采用数据去重、去除异常值、纠正错误和标注不准确的数据等方法,以提高数据集的准确性和一致性;
• 注重数据的客观性和多样性:通过搜集来自不同来源、不同领域和不同背景的数据,确保训练数据集具有广泛的覆盖范围,减少因为偏向性而导致的结果失衡问题;
• 建立监测和反馈机制持续监控和评估数据质量:定期检查模型输出的准确性和一致性,并根据反馈进行模型的优化和改进。
3. 数据标注规范
AIGC服务提供者在生成式人工智能技术研发过程中进行数据标注的,应当制定符合《暂行办法》要求的清晰、具体、可操作的标注规则;开展数据标注质量评估,抽样核验标注内容的准确性;对标注人员进行必要培训,提升遵法守法意识,监督指导标注人员规范开展标注工作。
模型正误标注规则、有害标注规则、语义标注规则、弱监督标注规则、人工审核标注规则等均是常见的标注规则。除标注规则外,AIGC服务提供者还可考虑设定配套的标注流程、质检流程以及执行规则。日前,已经有国内知名媒体平台表示正在建设主流价值语料库,并有望在8月上旬推出第一阶段的语料库,我们期待“国家队”能够发布更多数据标注的参考和实践指引。
(二) 信息安全治理要点
《暂行办法》对AIGC服务提供者赋予了网络信息内容生产者的角色,要求其履行网络信息安全义务。根据《网络信息内容生态治理规定》的规定,网络信息内容生产者应当履行的义务包括鼓励制作、复制、发布积极信息,不得制作、复制、发布违法信息,防范和抵制制作、复制、发布不良信息等。针对上述义务的履行,AIGC服务提供者应当采取如下合规措施:
1. 生成内容标识
AIGC服务提供者应当按照《互联网信息服务深度合成管理规定》的要求,采用技术措施添加不影响用户使用的标识,即隐式标识;同时需在生成或编辑的信息内容的合理位置、区域进行显著标识,即显式标识。此前,业内对于显式标识单独合规水位线缺乏统一的认知。2023年8月7日全国信安标委发布《网络安全标准实践指南——生成式人工智能服务内容标识方法(征求意见稿)》,对标识方式和标识内容提出了统一的要求。例如,显示标识提示文字应至少包含“由人工智能生成”或“由 AI 生成”等信息并设置于图片、视频画面四角;隐式标识至少需包含服务提供者的名称等。该要求尚在征求意见中,AIGC服务提供者可根据自身的实际情况积极提出修改意见。
此外,结合我们的实践经验,如果AIGC产品未设置显著标识的功能,将可能会直接导致无法顺利完成算法备案,对此,建议AIGC服务提供者可参照《网络安全标准实践指南——生成式人工智能服务内容标识方法(征求意见稿)》落地标识义务。
2. 生成内容准确性、可靠性、价值观保障
AIGC服务提供者可通过加强对生成模型的解释性和可解释性的研究和开发、加强训练数据的质量控制和验证提升生成式人工智能服务的透明度,提高生成内容的准确性和可靠性。
同时,《暂行办法》明确AIGC服务提供者首先应当坚持社会主义核心价值体系。未来AIGC产品的内容价值导向合规与意识形态安全将会成为监管的重点内容,对此,AIGC服务提供者可以通过建立主流价值语料库、符合主流价值的大模型等方式保障生成内容符合主流价值,避免出现价值导向风险、话语权垄断风险、路径依赖风险、虚假信息风险、内容操纵风险等。
3. 不良、违法内容处置
对于违法内容,AIGC服务提供者应以限制内容生成、传播为要务。AIGC服务提供者应根据服务用途、功能场景等建立健全识别违法和不良信息的特征库,并完善入库标准、规则和程序,记录并留存相关网络日志。
如发现违法内容的,应当及时采取停止生成、停止传输、消除等处置措施,采取模型优化训练等措施进行整改,并向有关主管部门报告。此外,AIGC服务提供者还应特别注意对前述处置措施进行留痕。
4. 违法活动处置
对于违法内容,AIGC服务提供者应以控制活动影响范围为要务。如发现使用者利用生成式人工智能服务从事违法活动的,应当依法依约采取警示、限制功能、暂停或者终止向其提供服务等处置措施,保存有关记录,并向有关主管部门报告。
(三) 产品外部合规要点
目前,AIGC服务面向的主要是C端用户,而C端用户在使用AIGC服务的过程中可能会面临诸多问题,如算法歧视、个人信息泄露、未成年人沉迷等。对此,法规明确了AIGC服务提供者在向用户提供服务的过程应当履行一系列合规义务,这些义务内化为产品/服务的文本、环节、功能如下:
1. 实名认证
《生成式人工智能服务管理办法(征求意见稿)》明确要求提供生成式人工智能服务应当要求用户提供真实身份信息,而在正式发布的《暂行办法》中该条款被予以删除。我们理解,这是因为目前为用户实名制提供法律基础的《网络安全法》《互联网用户账号名称管理规定》以及《互联网用户账号信息管理规定》针对实名要求所设定的情形以发布信息、即时通讯服务为主。换言之,如果AIGC产品不具备发布信息或即时通信的功能,则不应强制实名。
然而,不可否认的是,AIGC产品的主流输出物(文字、图片、视频、音频等)本身即具有较强的信息要素,考虑到AIGC产品市场化的安全性以及监管趋势,若AIGC服务提供者所提供的服务需要用户进行账号注册后方可使用,则建议按照“后台实名、前台自愿”的原则,要求AIGC服务使用者通过真实身份信息认证后注册账号。实名认证的方式包括基于移动电话号码、身份证件号码等进行身份认证。
此外,AIGC服务提供者可以将实名认证的具体流程和要求等通过制定《用户注册制度》明确并固定下来,并妥善保存作为合规证明材料。
2. 服务协议签订
AIGC服务提供者与使用者签订服务协议为其法定义务:
• 形式上,AIGC服务提供者可以在用户注册界面展示协议文本,并要求用户勾选同意;
• 内容上,服务协议中应当明确双方权利义务,同时应当明确保障用户权益的具体措施,如投诉举报途径的设置、行权路径等,以备算法备案与安全评估过程中的监管核查。
3. 服务详情公开
AIGC服务提供者应当明确并公开其服务的适用人群、场合、用途,可通过使用手册、使用页面设置等方式指导使用者科学理性认识和依法使用生成式人工智能技术,采取有效措施(如限定服务范围、限定服务时间)防范未成年人用户过度依赖或者沉迷生成式人工智能服务。
4. 处理个人信息合规
《个人信息保护法》是《暂行办法》的上位法,这要求AIGC服务提供者在涉及处理个人信息的活动时,应当完全遵守《个人信息保护法》的相关规定。特别是,不得收集非必要个人信息,不得非法留存和对外提供可识别使用者身份的输入信息和使用记录;同时应当注意依法设置用户行权途径,及时受理和处理个人关于查阅、复制、更正、补充、删除其个人信息等请求。
5. 健全投诉、举报机制
AIGC服务提供者应当建立健全投诉、举报机制,设置便捷的投诉、举报入口(包括在线平台、电子邮件、热线电话等多种形式),通过平台规则、服务协议或者产品页面等方式公布处理流程和反馈时限,可设立专门的投诉举报处理团队,及时受理、处理公众投诉举报并反馈处理结果。
(四) 禁止垄断和不正当竞争
AIGC服务提供者不得利用算法、数据、平台等优势,实施垄断和不正当竞争行为。和此前钢铁、石油等可见可触的生产资料相比,基于技术、数据等新的竞争形态滋生了新型垄断问题,例如算法合谋、自我优待、平台封禁、扼杀式并购等。2022年修订后的《反垄断法》对数字经济领域的垄断行为进行规制正是对这些新型问题的回应。本次《暂行办法》也再次强调了人工智能这一细分领域的反垄断和反不正当竞争要求。对此,AIGC服务提供者在模型生成、算法训练、服务应用等过程中需警惕因算法、数据等优势实施垄断或者不正当竞争行为。
二、科技伦理合规控制要点
(一) 防止歧视
在算法设计、训练数据选择、模型生成和优化、提供服务等过程中,AIGC服务提供者应当采取有效措施防止产生民族、信仰、国别、地域、性别、年龄、职业、健康等歧视,前述措施包括但不限于:
• 建立多样化和代表性的数据集:确保其包含各个族群、信仰、国别、地域、性别、年龄、职业和健康状况的充分信息;
• 公平性考量:算法设计和模型生成过程中加入公平性考量,保障算法不会对某些群体产生偏袒或不公平的结果。
此外,算法推荐服务提供者要特别注意应向用户提供针对其个人特征的选项,不得根据消费者的偏好、交易习惯等特征,利用算法在交易价格等交易条件上实施不合理的差别待遇等违法行为。
(二) 科技伦理审查机制
正式发布的《暂行办法》以《科学技术进步法》作为上位法,不仅是为了彰显推动人工智能服务科技进步的核心理念,同时也再次强调科技伦理的重要性。此前,关于“科技伦理审查”的要求已经在《算法推荐管理规定》《深度合成管理规定》以及《科技伦理审查办法(试行)(征求意见稿)》中多次出现,特别是《科技伦理审查办法(试行)(征求意见稿)》对涉人工智能的单位设置了较高的合规义务,包括成立科技伦理(审查)委员会,和就自主科技伦理审查活动开展监督管理性质的专家复核。可以说,科技伦理审查将成为算法备案、安全评估之后AIGC服务提供者需面临的另一项合规审核义务。
结合我们的实践经验,在算法备案材料中,科技伦理审查制度属于必备的重点材料之一。针对AIGC服务提供者而言,可从以下几个方面构建自身的科技伦理审查制度,尽早开始部署科技伦理(审查)委员会等科技伦理审查制度。
1. 设立科技伦理(审查)委员会
针对AIGC服务提供者而言,首先应当设立科技伦理(审查)委员会,根据法规具体要求履行相应的合规义务,科技伦理(审查)委员会的设立主要关注以下两个方面:
• 委员会组成及任职要求:人数应不少于7人,设主任委员1人。委员会成员应包括具备相关科学技术背景的同行专家委员,伦理学、法学、社会学等相应专业背景的委员,不同性别的委员以及非本单位的委员,少数民族地区的应考虑配备少数民族委员。委员任期不超过5年,可以连任;
• 委员会管理制度要求:建立审查、监督、保密管理、档案管理等制度,建立科技伦理应急审查制度。
2. 依法履行备案程序
AIGC服务提供者在设立科技伦理(审查)委员会后,在科技伦理(审查)委员会履职前及履职过程中,需要依照法律要求履行相应的备案程序,备案程序重点关注以下几个方面:
• 备案平台:“国家科技伦理管理信息登记平台”。据悉“国家科技伦理管理信息登记平台”已经在建设中,该平台后续将用于企业科技伦理(审查)委员会备案和涉及科技伦理的科技活动(包括人工智能等科技活动)的审核。
• 备案情形
需对已设立的科技伦理(审查)委员会进行登记备案;备案内容包括伦理委员会名称、依托单位、成立时间、成立文件上传、伦理审查领域、伦理委员会联系人及联系方式、伦理委员会章程文件上传、伦理相关工作制度或工作规程文件上传、伦理委员会年度报告文件上传等内容。
需对纳入清单管理的科技活动(同下文需申请专家复核的情形),在获得企业内部伦理审查批准后的30日内进行登记备案。
3. 科技伦理审查程序
AIGC服务提供者开展企业内部的科技伦理审查需要按照法规要求的相关流程,并针对不同情形适用不同的程序(包括简易程序、普通程序、专家复核程序),具体流程如下:
点击可查看大图
4. 针对特定活动需申请专家复核
根据《科技伦理审查办法(试行)(征求意见稿)》,针对如下三种情形,AIGC服务提供者在完成企业内部伦理审查后需申请专家复核,企业内部科技伦理(审查)委员会应根据专家复核意见作出科技伦理审查决定,AIGC服务提供者应按照最终的科技伦理审查决定开展科技活动:
• 对人类主观行为、心理情绪和生命健康等具有较强影响的人机融合系统的研发;
• 具有社会舆论动员能力和社会意识引导能力的算法模型、应用程序及系统的研发;
• 面向存在安全、人身健康风险等场景的具有高度自主能力的自动化决策系统的研发。
结语
除上述针对特定板块或者特定环节的管理之外,对于AIGC服务提供者而言,建立和健全内部合规管理制度、机制并采取有效措施推动制度的落地实施,是业务得以持续、健康发展的基石和保障。根据《暂行办法》及其他相关规章的要求,结合我们的实践经验,AIGC服务提供者需要建立健全的制度包括算法机制机理审核制度(常见审核方式如模型对齐度评估、模型鲁棒性评估、模型可解释性评估)、互联网用户账号信用管理体系、信息发布审核机制、辟谣机制、数据安全和个人信息保护制度、安全事件应急处置等。
此外,我们也要强调,合规之路是一个不断发展和变化的过程,AIGC服务提供者在努力提高技术能力的同时,需要持续关注和探索新的合规要求和最佳实践,不断完善和提升AIGC产品上市的合规水平,才能在激烈的竞争中立于不败之地。
蔡鹏 律师
北京办公室 合伙人
业务领域:网络安全和数据保护, 知识产权权利保护, 合规和反腐败
特色行业类别:通讯与技术, 健康与生命科学
肖莆羚令 律师
北京办公室 知识产权部
王梦迪
北京办公室 知识产权部
《跨越AIGC产品合规上市之路(二):资质证照篇》
《跨越AIGC产品合规上市之路(一):算法备案与安全评估》
《万紫千红待新蕾:<生成式人工智能服务管理暂行办法>全景解析》
《在“不确定”中寻找“确定性”——盲盒经济合规问题要点解读》
《2022-2023年度IPO数据合规观察概览》
特别声明
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。