新法解读 | 《互联网信息服务深度合成管理规定》合规义务全景梳理(附表)
编者按
2022年1月,国家互联网办公室发布《互联网信息服务深度合成管理规定(征求意见稿)》,旨在加强互联网信息服务深度合成管理,维护网络空间良好生态,促进深度合成服务规范发展。2022年11月3日,《互联网信息服务深度合成管理规定》(“《规定》”)正式通过,该规定将于2023年1月10日起施行。
主要内容介绍
深度合成技术,是指利用深度学习、虚拟现实等生成合成类算法制作文本、图像、音频、视频、虚拟场景等网络信息的技术,包括但不限于文本内容生成、语音内容生成、音乐或场景声生成、人脸或姿态生成、图像生成,以及数字人物、虚拟场景生成。
可以看出,立法采取了“开放“的概括式规定,对现有以及将来可能纳入深度合成技术的类别,做了列举式的涵盖。总体而言,使用AI、算法等技术进行TO C和TO B应用场景开发的,均有可能落入规定管制的范围。
《规定》所包含的核心监管思路是以各类主体为监管目标的纵向监管模式,所覆盖的主体包括三类:深度合成服务提供者、技术支持者以及服务使用者。
对于企业而言,识别自己是否落入监管,我们建议采取”三步法”:首先识别自己在经营中是否使用了深度合成技术;其次辨识自己属于哪一类被监管的主体;最后根据我们文中列明的义务项进行逐项落实。在前述三步中,最重要的就是厘清各项义务主体所对应的新增合规义务。在下文中,我们将就《规定》中对各类主体提出的不同责任义务进行针对性梳理,帮助企业理解现有及以后业务开展中的合规要点。
01/
深度合成服务提供者的合规义务
深度合成服务提供者(“服务提供者”),是指提供深度合成服务的组织、个人。《规定》对于服务提供者的义务作出了全面、细致的规定。按照适用情况,服务提供者的合规义务可以分为普遍义务与特殊义务。普遍义务包括:
身份认证
身份认证为《规定》一大亮点。服务提供者可通过移动电话号码、身份证件号码、统一社会信用代码或者国家网络身份认证公共服务等方式对深度合成服务使用者进行真实身份信息认证。如未进行真实身份信息认证,则服务提供者不得提供信息发布服务。
内容管理
《规定》按照深度合成服务的流程对服务提供者设置了如下义务:
在服务前,服务提供者应建立健全用于识别违法和不良信息的特征库用于识别违法和不良内容;
在服务中,服务提供者需采取技术或者人工方式对输入数据和合成结果进行审核并保存有关记录,如发现违法和不良信息的,则服务提供者负有报告义务,且可以采取警示、限制功能、暂停服务、关闭账号等处置措施限制该等信息的发布;
在服务结束/信息发布后,服务提供者应确保辟谣机制和申投诉机制的流畅运行,且申投诉的适用对象包括没有注册用户的普通公众。此外,如果发现利用深度合成服务制作、复制、发布、传播虚假信息的,服务提供者应当及时向网信部门和有关主管部门报告。
标识义务
对使用深度生成服务生成或者编辑的信息内容,服务提供者应当采取技术措施添加不影响用户使用的标识,并依法保存日志信息;同时,服务提供者应当向服务使用者提供显著标识功能,使其能够对信息内容进行显著标识。
制度建设
《规定》对服务提供者提出了多项制度建设要求,包括管理规则、算法机制机理审核制度、科技伦理审查制度、信息发布审核制度、反电信网络诈骗制度,以及数据安全与个人信息保护制度等。
技术措施
服务提供者的技术措施以安全可控为原则,应特别注意算法训练管理,采取必要措施保障训练数据安全。
除以上普遍义务外,服务提供者还应注意在以下场景下的特殊合规义务:
“单独同意”:如深度合成服务涉及提供人脸、人声等生物识别信息编辑功能,则该等服务的实现以取得被编辑的个人信息主体的单独同意为前提。虽然《规定》要求服务提供者仅对深度合成服务使用者负有提示其取得单独同意的义务,但实质并不能免除服务提供者对该等义务是否确实履行的合理核验责任;
安全评估:如服务提供者所提供工具能够生成或者编辑人脸、人声等生物识别信息,或可能涉及国家安全、国家形象、国家利益和社会公共利益的, 应当开展安全评估;
显著标识义务: 在以下情况下,提供以下深度合成服务可能导致公众混淆或者误认的,服务提供者的标示义务将被加重,需通过显著标识向公众提示深度合成情况:(1)智能对话、智能写作等模拟自然人进行文本的生成或者编辑服务;(2)合成人声、仿声等语音生成或者显著改变个人身份特征的编辑服务;(3)人脸生成、人脸替换、人脸操控、姿态操控等人物图像、视频生成或者显著改变个人身份特征的编辑服务;(4)沉浸式拟真场景等生成或者编辑服务;(5)其他具有生成或者显著改变信息内容功能的服务。
算法备案与安全评估:如是具有舆论属性或者社会动员能力的服务提供者,则应按照《互联网信息服务算法推荐管理规定》进行算法备案并将备案信息予以公示;且如果服务提供者开发上线具有舆论属性或者社会动员能力的新产品、新应用、新功能,也应开展安全评估,该项安全评估与《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》对新技术新应用的安全评估或为同一评估。
点击蓝色字体,可查阅我们已发布的“简评与关注:国家网信办发布互联网信息服务算法备案清单”。
02/
深度合成服务技术支持者的合规义务
根据《规定》,深度合成服务技术支持者(“技术支持者”)是指为深度合成服务提供技术支持的组织、个人。该等界定并未采用“技术提供商”或“技术供应商”等说法,从文意解读,其适用的对象更加广泛,仅提供技术辅助、协助的企业也将被纳入规制。
与服务提供者相比,《规定》对技术支持者设定的合规义务相对有限,包括训练数据管理、“单独同意”提示、安全评估,以及算法备案。具体规定与服务提供商对应义务的内容一致,不再赘述。
值得注意的是,《规定》要求技术支持者履行算法备案义务实际扩大了《互联网信息服务算法推荐管理规定》关于算法备案的适用范围[1]。此后该类技术解决方案公司是否完成了算法备案可能会成为其被选入供应商库的前置条件。
03/
深度合成服务使用者的合规义务
《规定》本身对深度合成服务使用者(“服务使用者”)的规制,较技术提供者更少,重点包括:
配合服务提供者完成身份认证;及
在编辑人脸、人声等生物识别信息,取得个人信息主体的单独同意。对于单独同意的义务本身也是其在《个人信息保护法》下作为个人信息处理者的合规义务。
上述规定并不意味着服务使用者的合规义务较少。事实上,服务使用者对如何使用深度合成服务拥有最大的自主权,也是直接面对普通个人信息主体的一方,属于深度合成服务产业链的终端,其合规风险更高。
此外,《规定》还对两类特殊主体在特定场景下涉及深度合成服务的活动作出强调:
新闻信息发布主体:转载基于深度合成服务制作发布的新闻信息的,应当依法转载互联网新闻信息稿源单位发布的新闻信息。
APP、小程序等分发平台:互联网应用商店等应用程序分发平台应当落实上架审核、日常管理、应急处置等安全管理责任,核验深度合成类应用程序的安全评估、备案等情况。
基于上文,我们总结了各类主体的合规义务表,供读者参考:
合规义务 | 服务提供者 | 服务技术支持者 | 服务使用者 |
身份认证 | √ | √ | |
内容管理 | √ | ||
标识义务 | √ | ||
制度建设 | √ | ||
技术措施 | √ | √ | |
“单独同意” | √(仅提示义务) | √(仅提示义务) | √ |
安全评估 | √ | √ | |
算法备案与安全评估 | √ | √(仅算法备案) |
04/
结语
《规定》对应用深度合成技术提供互联网信息服务制定系统性、专门性规定,明确各类主体的信息安全义务,同时注重与互联网内容、算法等法律法规的有机衔接,为促进深度合成服务规范发展提供有力法治保障。我们建议各类企业可以按照我们提供的“三步法“,谨慎识别自身义务,在规定生效日期之前,尽快查漏补缺,做出有效的应对措施。
注:
[1] 根据《互联网信息服务算法推荐管理规定》,算法推荐服务提供者负有备案义务。
点击下方“阅读原文”,可获取《规定》全文。
本文首发自公众号:数据与电商研究室
如需转发,请注明信息来自数据与电商研究室,如有意见建议或合作,请邮件CPdatalaw@zhonglun.com.
往 期 精 彩
解读文章
Core Issues When Processing Employees’ Personal Information(Q&A)
Landmark Rules on Certification for Cross-Border Data Processing
案例分享
★
长按二维码一键关注