查看原文
其他

专家解读 |《生成式人工智能服务管理办法(征求意见稿)》的主要制度和合规义务

王新锐 CCIA数据安全工作委员会 2023-09-26


短短的几个月内,人工智能产品突然迎来一个爆发期,以ChatGPT/GPT-4为代表的各种大语言模型(Large Language Model)及其应用连续推出,不断登上全球媒体的头条,都像变魔术一样在各种互动场景中生成让人惊叹的内容,人工智能技术仿佛被按下了快进键。


快进的不仅是技术,全球的立法者、监管者也以罕见的速度对潜在的风险做出了回应,例如:

  • 意大利数据保护局宣布暂时禁用ChatGPT,并对其涉嫌违反数据保护要求展开了调查;

  • 加拿大隐私专员办公室宣布对ChatGPT的开发者OpenAI公司展开调查;

  • 英国数据保护机构发布了对使用生成式人工智能(Generative AI)的8个问题;

  • 德国联邦数据保护发言人称,出于数据保护方面的考虑可能会暂时禁止在德国使用ChatGPT。

我国的监管机构显然也关注到了新的人工智能产品带来的风险。4月11日,国家网信办发布了《生成式人工智能服务管理办法(征求意见稿)》(以下简称“生成式AI新规”)。这是一部“小切口”式立法,以生成式人工智能作为规制对象。相比“大而全”式立法中容易将风险泛化也不易落地,这种精准对应、快速出台的规制思路,可能也是未来科技领域立法的一个趋势。本文将结合以往的立法脉络和执法实践,尝试对新规中的主要制度进行解读。


01

生成式人工智能带来的新的风险


在本次生成式AI新规征求意见之前,国家网信办等四部委在2021年12月出台了《互联网信息服务算法推荐管理规定》(以下简称“《算法规定》”),于2022年11月又出台了《互联网信息服务深度合成管理规定》(以下简称“《深度合成规定》”)。其中《算法规定》主要聚焦在大数据杀熟、诱导沉迷网络、劳动权益保障、偏见歧视以及未成年人和老年人权益保障等五个方面的问题。此前我们的文章(《互联网信息服务算法推荐管理规定》系列解读一:合规红线和义务清单)也对其中的合规义务进行了梳理。


生成式AI相比以往的人工智能技术,其可以直接利用自然语言和计算机进行交互、使用的门槛更低,用户体验则更好,而且生成的文本、图片、声音、视频、代码都和自然人产出的内容已非常接近,或质量更高,这也让其一旦被滥用或误用,迷惑性比以往的人工智能技术更强,带来的潜在损害也更大。

但技术本身一旦推出就几乎无法回卷,只能引导而不能绝对禁止,否则必然会转入地下,安全风险会更高。生成式AI新规整体上采取了务实的态度,将以往的监管义务和监管手段进行了组合,也更为严格。但考虑到生成式AI由于开发和运营成本较高,其主要开发者很可能是大型企业,监管要求更高且更细在某种意义上也是可预期的。


02

提供生成式人工智能产品或服务的合规义务


  • 1)新增义务

根据新规,生成式人工智能是指基于算法、模型、规则生成文本、图片、声音、视频、代码等内容的技术,该定义属于不完全列举,而并没有限定于大语言模型、神经网络或深度合成等技术路线,核心的限定就是“生成”,尤其是之前并不存在的内容。我们认为,无论是中文还是英文,生成式人工智能的解释口径都比较宽,但也不是一个可随意扩张解释的概念,还是要和产业界从技术角度的通常理解保持一致。

之前《算法规定》和《深度合成规定》已对生成合成类算法提出了规制要求,下表整理了生成式人工智能产品或服务提供者的新增或细化义务。



生成式AI新规

相关规定

新增

•     提供者对产品生成内容承担责任:利用生成式人工智能产品提供聊天和文本、图像、声音生成等服务的组织和个人(以下称“提供者”),包括通过提供可编程接口等方式支持他人自行生成文本、图像、声音等,承担该产品生成内容生产者的责任(第5条)

•      预训练数据、优化数据的合法性要求:

‒         提供者应当对生成式人工智能产品的预训练数据、优化训练数据来源的合法性负责(第7条)

‒         提供者能够保证数据的真实性、准确性、客观性、多样性(第7条)

•     不法内容处理机制:对于运行中发现、用户举报的不符合本办法要求的生成内容,除采取内容过滤等措施外,应在3个月内通过模型优化训练等方式防止再次生成(第15条)

•     积极指导义务:提供者应当指导用户科学认识和理性使用生成式人工智能生成的内容(第18条)


细化

•     不得歧视义务:

‒         在算法设计、训练数据选择、模型生成和优化、提供服务等过程中,采取措施防止出现种族、民族、信仰、国别、地域、性别、年龄、职业等歧视(第4条)

‒         不得根据用户的种族、国别、性别等进行带有歧视性的内容生成(第12条)

《网络信息内容生态治理规定》第6条

《算法规定》第7条、第8条

•     防止生成虚假信息义务:生成的内容应当真实准确,采取措施防止生成虚假信息(第4条)

《算法规定》第13条、《深度合成规定》第6条

•     人工标注相关义务:生成式人工智能产品研制中采用人工标注时,提供者应当(第8条)

‒         制定清晰、具体、可操作的标注规则

‒         对标注人员进行必要培训

‒         抽样核验标注内容的正确性

《算法规定》第16条、《深度合成规定》第10条

•     信息公开义务:

‒         明确并公开其服务的适用人群、场合、用途(第10条)

‒         提供可以影响用户信任、选择的必要信息,包括预训练和优化训练数据的来源、规模、类型、质量等描述,人工标注规则,人工标注数据的规模和类型,基础算法和技术体系等(第17条)

《深度合成规定》第16条、第17条、第18条

•     防范用户过分依赖或沉迷:采取适当措施防范用户过分依赖或沉迷生成内容(第10条)

不得设置诱导用户沉迷的算法模型:《算法规定》第8条

•     个人信息保护义务:(第11条)

‒         提供者对用户的输入信息和使用记录承担保护义务

‒         不得非法留存能够推断出用户身份的输入信息

‒         不得根据用户输入信息和使用情况进行画像

‒         不得向他人提供用户输入信息

《算法规定》第7条、第29条,《深度合成规定》第7条、第14条

•     用户投诉接收处理机制:(第13条)

‒         及时处置个人关于更正、删除、屏蔽其个人信息的请求

‒         发现、知悉生成的文本、图片、声音、视频等侵害他人肖像权、名誉权、个人隐私、商业秘密,或者不符合本办法要求时,应当采取措施,停止生成,防止危害持续。

《算法规定》第6条、第23条,《深度合成规定》第6条、第12条


  • 2)安全评估

生成式AI新规要求在利用生成式人工智能产品向公众提供服务前,应当按照《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》(下称“《安全评估规定》”)向国家网信部门申报安全评估。《安全评估规定》由国家网信办和公安部于2018年11月联合发布,是一项非常重要的制度,但由于被实际触发或公开报道的情况并不是太多,因此引起的重视程度也不够。

“具有舆论属性或社会动员能力的互联网信息服务”是指开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能,以及开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。根据我们在实务中与相关机构沟通的经验,媒体和社交属性较强的的互联网产品,通常都落入该范畴,尤其是用户量较大的产品。

需要进行评估的情形和评估事项如下表:


安全评估情形

  • 具有舆论属性或社会动员能力的信息服务上线或者增设相关功能的

  • 使用新技术新应用,使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更,导致舆论属性或者社会动员能力发生重大变化的

  • 用户规模显著增加,导致信息服务的舆论属性或者社会动员能力发生重大变化的

  • 发生违法有害信息传播扩散,表明已有安全措施难以有效防控网络安全风险等情形

  • 地市级以上网信部门或者公安机关书面通知需要进行安全评估的其他情形

安全评估事项

  • 落实安全管理负责人或机构

  • 用户真实身份核验以及注册信息留存措施

  • 用户操作日志、发布内容的留存措施

  • 对违法有害信息的防范处置和记录保存措施

  • 个人信息保护和管控违法信息传播的技术措施

  • 建立投诉举报渠道

  • 建立协助网信部门、公安、国安等监管的工作机制;

  • —— 在2019年1月,国家网信办即依据《互联网新闻信息服务新技术新应用安全评估管理规定》和《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》,先后约谈四款社交类新功能新应用企业负责人,责成有关企业履行和完善安全机制程序。

  • —— 2021年3月,国家网信办、公安部曾指导北京、天津、上海、浙江、广东等地方网信部门、公安机关依法约谈11家未履行安全评估程序的语音社交软件和涉“深度伪造”技术应用的企业,督促其按照《网络安全法》《安全评估规定》等法律法规及政策要求,认真开展安全评估,完善风险防控机制和措施,并对安全评估中发现的安全隐患及时采取有效整改措施,切实履行企业信息内容安全主体责任。

  • —— 2022年全年,网信部门针对具有舆论属性或社会动员能力的44款APP存在未按要求开展安全评估等违法违规行为,依法对其予以下架处置。

《安全评估规定》主要是对企业进行“事前规制”,相比事后监管,更偏向于强调守住红线,使企业在申报中提高重视程度,及时发现安全隐患。由于生成式人工智能这类新技术新应用可能导致舆论属性或者社会动员能力发生重大变化,要求该类新技术新应用相关产品向公众提供服务前进行安全评估,亦符合监管部门一直以来对新技术新应用以及网络信息内容生态进行监管的要求。

  • 3)算法备案

生成式AI新规要求在利用相关产品向公众提供服务前,应当按照《算法规定》履行算法备案和变更、注销备案手续,算法规定对算法备案制度进行了规定。自《算法规定》实施以来,国家网信办于2022年8月、10月及2023年1月先后三次公布了《境内互联网信息服务算法备案清单》,发布了200余项算法备案,其中包括了多家头部互联网公司的算法。

本文对算法备案制度和流程进行简单介绍,具体分析以及需要准备的申报材料、备案内容请见此前我们的文章(《互联网信息服务算法推荐管理规定》系列解读二:算法备案的制度要求与具体流程)。


算法备案主体

** 为公众舆论提供表达渠道的服务提供者,如微信、微博、抖音、豆瓣等论坛、博客、通讯群组等

** 具有发动社会公众从事特定活动的互联网信息服务商

算法备案主体制度要求

** 算法备案主体进行算法备案填报时应当对落实算法安全主体责任的情况进行说明

** 在进行算法备案前,企业应设置算法安全机构,建立完善的公司内部规章制度,主要包括算法安全自评估制度、算法安全监测制度、算法安全事件应急处置制度、算法违法违规处置制度

算法备案流程

** 企业应当在提供服务之日起10个工作日内通过互联网信息服务算法备案系统进行填报,履行备案手续

** 填报信息主要包括:算法主体信息、产品及功能信息、算法信息

** 企业可以根据业务变化进行变更备案信息或注销备案

处罚

未履行备案手续的,将被网信部门予以警告、通报批评、责令限期改正,拒不改正或者情节严重的,责令暂停信息更新,最多可并处十万元的罚款


03

小结


生成式AI作为一种不断发展的新技术,其对人类社会的影响也是逐渐显现的,有一个认识逐渐深化的过程。监管规则设定事先评估和备案制度,希望守住安全底线,和之前与算法、深度合成有关的规则具有承继关系。需要观察的是,产业界和监管机构、大众媒体如何良性互动,将发展带来的风险在发展中解决,主动解决各方的安全焦虑,而不是刻舟求剑,把一些产业和技术过渡期的问题变成技术探索的阻碍。

(本文作者:世辉律师事务所 王新锐)

延伸阅读:

专家解读 |《互联网信息服务算法推荐管理规定》系列解读一:合规红线和义务清单

专家解读 | 《互联网信息服务算法推荐管理规定》系列解读二:算法备案的制度要求与具体流程

CCIA数据安全工作委员会单位介绍 

世辉律师事务所是一家以服务科技公司为特色的综合性律所,在北京、在上海、深圳设有分支机构。世辉的客户均为行业领军公司和著名投资机构。世辉目前担任多个官方组织和行业协会委员,包括CCIA数据安全委员会副主任委员等。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存