一、背景深度合成技术正在给我们熟悉的社会组织架构、交流方式带来迅猛冲击。长期以来，被认为可以检验人工智能能否思考的图灵测试貌似已经被逾越。Midjourney创作的图像战胜了人类艺术家的作品获得艺术比赛“数字艺术”类别的第一名，或是让ChatGPT与人类谈笑风生，都预示着随着ChatGPT、Midjourney等平台的普及，让深度合成技术的使用门槛大大降低，让这项技术正在从实验室向普罗大众扩散，基于深度合成技术创作的作品也几乎到了随处可见的程度。2022年1月28日，网信部门发布《互联网信息服务深度合成管理规定（征求意见稿）》，在历经近一年的征求意见后，《互联网信息服务深度合成管理规定》正式颁布并将于2023年1月10日施行，意味着中国为狂飙突进中的深度合成技术准备的深度监管措施已经就绪。《互联网信息服务深度合成管理规定》并不是我国法规首次关注深度合成内容，此前在《互联网信息服务算法推荐管理规定》《网络音视频信息服务管理规定》《网络信息内容生态治理规定》等法律法规中均涉及深度合成内容，但这些法规更多是从音视频或较为宏观的角度关注，而《互联网信息服务深度合成管理规定》则针对深度合成内容的特点，更有针对性地进行规制。二、适用范围深度合成技术是一种特殊的算法应用技术。《互联网信息服务深度合成管理规定》将深度合成技术定义为：“利用深度学习、虚拟现实等生成合成类算法制作文本、图像、音频、视频、虚拟场景等网络信息的技术”。具体言之，可以分为如下类别：类别描述示例文本类篇章生成、文本风格转换、问答对话等生成或者编辑文本内容的技术写稿机器人语言模型GPT-3等伪原创工具、洗稿机器人文字聊天机器人ChatGPT音频类文本转语音、语音转换、语音属性编辑等生成或者编辑语音内容的技术语音合成工具（不包括语音转文本工具）声音模仿、克隆客服/营销语音机器人音乐生成、场景声编辑等生成或者编辑非语音内容的技术自动编曲音效合成图像视频类人脸生成、人脸替换、人物属性编辑、人脸操控、姿态操控等生成或者编辑图像、视频内容中生物特征的技术美颜换脸捏脸图像生成、图像增强、图像修复等生成或者编辑图像、视频内容中非生物特征的技术画质修复黑白影像配色虚拟空间类三维重建、数字仿真等生成或者编辑数字人物、虚拟场景的技术数字孪生元宇宙游戏引擎3D建模VR随着深度合成技术的广泛使用，《互联网信息服务深度合成管理规定》的调整范围会涵盖数字化工作的各个维度：客服平台的聊天机器人与营销机器人、广泛运用于地震等突发事件或体育赛事中的写稿机器人、相机（App）中的美颜功能、游戏中3D场景或捏脸功能、元宇宙所构建的虚拟空间……不一而足。在管辖范围上，在中华人民共和国境内应用深度合成技术提供互联网信息服务会受到《互联网信息服务深度合成管理规定》的调整。该规定是以使用地域为监管抓手，且重点关注提供互联网信息服务，即如果仅用于科研目的，不涉及提供互联网信息服务，那么就不受该规定的管辖。此外，像ChatGPT本身禁止中国手机号注册，DeepL禁止中国用户成为付费用户，都杜绝了法律意义上的在中国境内提供信息服务的可能，而这也加剧技术的割裂。三、深度合成技术合规义务框架相对于征求意见稿，《互联网信息服务深度合成管理规定》最大的变化在于新引入了“深度合成服务技术支持者”的概念。主体定义深度合成服务技术支持者为深度合成服务提供技术支持的组织、个人深度合成服务提供者提供深度合成服务的组织、个人深度合成服务使用者使用深度合成服务制作、复制、发布、传播信息的组织、个人我们对三大主体的法律关系进行了梳理，并对重点的法律义务进行了归纳：可见，《互联网信息服务深度合成管理规定》构建了以服务提供者为核心的深度合成技术监管制度，提供者通过管理规则、平台公约与服务协议来拉平技术支持者与使用者的合规水位，而使用者会直面最终用户。除了三大主体以外，《互联网信息服务深度合成管理规定》还对互联网应用商店等应用程序分发平台提出对深度合成技术的审核要求，以压实监管责任。因此，在规定施行后，深度合成相关的App、小程序在申请上架时应提前准备安全评估报告、备案信息等材料。四、重点：算法合规深度合成技术是一种特殊的算法运用技术，因此属于算法合规的范畴。对深度学习技术算法机制的审核、评估会成为深度合成技术合规最显著的特点之一，即《互联网信息服务深度合成管理规定》中很多合规措施可以借用公司成熟的合规机制，但算法合规措施会令很多企业无从下手。在网信办“互联网信息服务算法备案系统”中，就专门提供了《互联网信息服务算法安全自评估报告（生成合成类）》的模板，可以为算法评估工作提供参考。根据该模板，在开展算法评估时的大体思路是：1）对算法本身的情况进行介绍，比如算法的流程、所涉数据、模型、干预策略等；2）评估的重点在于对风险进行研判，风险主要来自于：算法滥用、算法漏洞、算法恶意利用等；3）在风险研判的基础上，需要对风险防控情况进行介绍，并判断相关机制能否有效消除或遏制风险，主要包括风险防范机制、用户权益保护、内容生态治理、模型安全保障等内容；4）基于以上信息，形成安全评估结论。此外，金融领域的《人工智能算法金融应用评价规范》（JR/T0221-2021）也可以参考，该标准提供了AI算法评价内容的框架：五、“单独同意”的适用此次《互联网信息服务深度合成管理规定》中第14条对“单独同意”机制进行了规定，是一个近距离观察执法机构理解如何理解《个人信息保护法》中“单独同意”制度的窗口。在该法规第14条第2款中规定：“深度合成服务提供者和技术支持者提供人脸、人声等生物识别信息编辑功能的，应当提示深度合成服务使用者依法告知被编辑的个人，并取得其单独同意。”因为人脸、人声信息均属于敏感个人信息，因此该条款呼应了《个人信息保护法》第29条“处理敏感个人信息应当取得个人的单独同意”的规定。目前学者们普遍将“单独同意”视为“同意”的子集，认为如果处理个人信息不以同意为基础，那么可以在很多场景下豁免单独同意的要求。但此次《互联网信息服务深度合成管理规定》中并未提及其他合法性基础，即使深度合成服务使用者以其他合法性基础编辑人脸、人声信息，也可能被监管部门认定为需要获得单独同意。举个例子，机构或个人利用深度学习技术对历史纪录片、老电影进行修复，那么如果机械理解该规定，就需要历史纪录片、老电影中所有个人的单独同意，这几乎是不可能完成的任务。但在其他场景下，完全可以将新闻报道或已公开信息作为法律依据，不经同意就处理这些个人信息。所以，在进行风险评估时，需要从《立法法》、法律效力等角度进行论证“单独同意”在下位法中的适用情况，并确保说理充分。六、合规路径基于此前我们为该领域企业提供法律服务的经验，我们建议提供深度合成技术的企业（技术支持者与使用者）可以依据以下思路开展合规工作：1.准确了解深度合成技术使用情况对公司内部涉及深度合成技术的场景进行梳理。明确：运营主体、具体场景、所涉的用户数量与类型、数据来源、参与运营的供应商与第三方、当前的法律协议与规章制度、对个人与社会的（潜在）影响等。2.科技伦理与算法安全评估就相关技术的使用进行科技伦理风险评估。对算法、深度合成技术的评估主要通过：查阅材料、查看系统、访谈人员、系统测试、攻击测试、算法测试、查看算法等方式进行。3.搭建内部制度机制平台企业应当在用户注册、算法机制机理审核、科技伦理审查、信息发布审核、数据安全、个人信息保护、反电信网络诈骗、应急处置等管理等领域将深度合成技术的风险管控纳入考量。此外，平台还需要建立内容审核、事件响应、辟谣、协助调查等机制。重点对于用户输入的提示词以及生成的结果进行审核。4.制定管理规则、平台公约，更新服务协议针对深度识别技术的使用，要求使用者在使用时：1）不得合成违法违规的内容；2）不得将合成内容用于违法或侵权用途；3）不得将合成内容谎称为自然内容；4）用于合成的素材应当合法合规，对人像、声音等生物识别信息获取单独同意（如有必要）并完成个人信息保护影响评估；5）对生成内容的知识产权的归属、数据处理的权限进行约定；6）其他需要约定或声明的内容。5.标识深度合成内容通过添加水印、电子签名等方式，对深度合成内容进行标识，避免公众误认以及被第三方恶意篡改或删除。在此过程中，更重要的是设计该法定提示如何在有效告知公众的基础上，避免对业务的正常开展造成过大的冲击。6.使用者对于使用者来说，应当根据自身的实际需要以及各平台对权利归属地约定选择平台，确保自己能够有权利使用生成的作品。在使用生成的图像、影像或音乐时，也应当遵守相关法律法规，对生产内容是人工智能自动生成进行说明或标识。此外，对于涉及敏感个人信息的处理，使用者也应当妥善处理合法性基础的问题，并完成个人信息保护影响评估。附：其他法规中关于深度合成技术的规定1.《互联网信息服务算法推荐管理规定》发现未作显著标识的算法生成合成信息的，应当作出显著标识后，方可继续传输（第9条）不得生成合成虚假新闻信息（第13条）2.《网络信息内容生态治理规定》网络信息内容服务使用者和网络信息内容生产者、网络信息内容服务平台不得利用深度学习、虚拟现实等新技术新应用从事法律、行政法规禁止的活动。（第23条）3.《网络音视频信息服务管理规定》网络音视频信息服务提供者基于深度学习、虚拟现实等新技术新应用上线具有媒体属性或者社会动员功能的音视频信息服务，或者调整增设相关功能的，应当按照国家有关规定开展安全评估。（第10条）网络音视频信息服务提供者和网络音视频信息服务使用者利用基于深度学习、虚拟现实等的新技术新应用制作、发布、传播非真实音视频信息的，应当以显著方式予以标识。（第11条第1款）网络音视频信息服务提供者和网络音视频信息服务使用者不得利用基于深度学习、虚拟现实等的新技术新应用制作、发布、传播虚假新闻信息。转载音视频新闻信息的，应当依法转载国家规定范围内的单位发布的音视频新闻信息。（第11条第2款）网络音视频信息服务提供者应当加强对网络音视频信息服务使用者发布的音视频信息的管理，部署应用违法违规音视频以及非真实音视频鉴别技术，发现音视频信息服务使用者制作、发布、传播法律法规禁止的信息内容的，应当依法依约停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向网信、文化和旅游、广播电视等部门报告。（第12条第1款）网络音视频信息服务提供者发现不符合本规定第十一条第一款要求的信息内容的，应当立即停止传输该信息，以显著方式标识后方可继续传输该信息。（第12条第2款）网络音视频信息服务提供者应当建立健全辟谣机制，发现网络音视频信息服务使用者利用基于深度学习、虚拟现实等的虚假图像、音视频生成技术制作、发布、传播谣言的，应当及时采取相应的辟谣措施，并将相关信息报网信、文化和旅游、广播电视等部门备案。（第13条）史宇航：法学博士，执业律师，注册信息安全专业人员（CISP），注册信息隐私管理人员（CIPM），汇业律师事务所顾问。

写在前面2021年12月3日，滴滴宣布将从纽交所退市，转进香港。在2021年11月14日征求意见的《网络数据安全管理条例（征求意见稿）》中，专门规定数据处理者赴香港上市，影响或者可能影响国家安全的，应当按照国家有关规定，申报网络安全审查（第13条）。而在2021年12月2日，网易云音乐以云村的名字在港交所正式挂牌。因此，网易云成为绝佳的研究样本，观察网络安全审查对赴港上市有何影响。以下为摘录，全文请参见：https://www1.hkexnews.hk/listedco/listconews/sehk/2021/1123/2021112300033_c.pdf概要于2021年7月10日，国家互联网信息办公室就《网络安全审查办法草案》公开征求意见，规定关键信息基础设施运营者采购网络产品和服务，数据处理者（连同关键信息基础设施运营者统称「运营者」）开展数据处理活动，影响或可能影响国家安全的，应当进行网络安全审查。根据《网络安全审查办法草案》，掌握超过1百万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。然而，《网络安全审查办法草案》并无就「国外上市」提供进一步解释或诠释。截至最后实际可行日期，《网络安全审查办法草案》尚未正式施行。根据现有中国网络安全法律，关键信息基础设施运营者拟采购网络产品和服务，可能影响国家安全的，应当进行网络安全审查。如我们的中国法律顾问告知，在《网络安全审查办法草案》下，「关键信息基础设施运营者」的实际范畴及现有监管机制尚未明确，而中国政府机关对诠释及执行该等法律可能具广泛的自由裁量权。截至本文件日期，我们并无涉及国家互联网信息办公室就网络安全审查作出的任何调查，而我们亦无就此方面接获任何询问、通知、警告或制裁。此外，《数据安全条例草案》还从个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务的角度就数据处理者利用网络开展数据处理活动进行了其他具体规定。例如，有下列情况之一的，数据处理者应当在十五个工作日内删除个人信息或匿名化处理：(1)已实现个人信息处理目的或者实现处理目的不再必要；(2)达到与用户约定或者个人信息处理规则明确的存储期限；(3)终止服务或者个人注销账号；(4)因使用自动化采集技术等，无法避免采集到的非必要个人信息或者未经个人同意的个人信息。处理重要数据的，应符合具体要求，例如，重要数据的处理者应当明确数据安全负责人，成立数据安全管理机构，并在识别其重要数据后的十五个工作日内向设区的市级网信部门备案。数据处理者处理一百万人以上个人信息的，还应当遵守《数据安全条例草案》对重要数据的处理者作出有关重要数据安全的规定。处理重要数据或者赴境外上市的数据处理者，应当自行或者委托数据安全服务机构每年开展一次数据安全评估，并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。数据处理者向境外提供在中国境内收集和产生的数据，倘若数据中包含重要数据、或倘若数据处理者为关键信息基础设施运营者或处理一百万人以上个人信息，数据处理者应当通过国家网信部门组织的数据出境安全评估。由于《数据安全条例草案》于颇为近期颁布，《数据安全条例草案》部分要求需视乎更细化的明文规定或实行标准，我们仍正在评估《数据安全条例草案》各项规定对我们业务的适用程度。基于《数据安全条例草案》并未正式通过及视乎进一步指引，且本集团并无涉及国家互联网信息办公室按此基准作出的任何网络安全审查的调查，亦并无就此接获任何查询、通知、警告或制裁，经咨询中国法律顾问，董事认为有关条例并无对本集团业务经营及财务表现构成重大不利影响，且将不会影响本公司截至本文件日期在任何重大方面遵守法律及法规。然而，董事及中国法律顾问不能排除日后颁布的新规则或法规将会对本集团施加额外合规规定的可能性。假设《网络安全审查办法草案》及《数据安全条例草案》未来以目前的形式生效，视乎《网络安全审查办法草案》及《数据安全条例草案》的进一步实施详情、指引及澄清，我们及中国法律顾问认为将不会对我们截至本文件日期在任何重大方面遵守法律法规或上市构成重大不利影响，原因是(i)如「业务－数据安全」所披露，我们已实施全面措施，以确保安全存储和传送数据，以及防止任何未经授权取得或使用数据；(ii)截至本文件日期，我们并无遭受任何政府机关处以有关违反数据安全法律法规的重大罚款或行政处罚；(iii)截至本文件日期，我们概无将对业务运营有重大不利影响的数据或个人信息重大泄漏或对数据保护和隐私法律法规的违反；(iv)我们已在采取措施准备遵守《数据安全条例草案》的规定；及(v)我们将继续关注中国数据安全法规的发展。倘《网络安全审查办法草案》及《数据安全条例草案》生效，我们将向相关监管机构寻求指引，以确保我们采取的措施属适当。然而，本公司中国法律顾问不排除未来颁布的新规则或法规将对本集团造成额外合规要求的可能性。风险因素我们的业务产生并处理大量数据，我们须遵守中国及其他司法辖区有关数据隐私及安全的法律法规。不当使用或披露数据均可能对我们的业务及前景造成重大不利影响。1.安全漏洞及攻击我们收集、处理并存储大量关于用户、业务伙伴及雇员的数据，包括涉及我们用户的个人及交易数据。虽然我们已采取合理措施保护有关数据，但无法保证该等措施将奏效。未经授权访问数据及系统、禁用或降低服务或破坏系统的技术不断演变，因此我们可能无法预知、阻止或防范该等技术或以其他方式实施充分的防范措施，因而不能避免未经授权访问有关数据或系统。我们的服务可能容易受到安全漏洞及攻击的损害，这可能导致系统中断、延迟或关闭，造成关键数据丢失或未经授权访问我们的数据或用户数据。我们经常遭受不同程度的网络攻击，包括入侵或试图入侵我们的用户账户以及将用户流量引向其他互联网平台。我们用于促进与其他互联网平台互动的任何功能都有可能扩大黑客对我们用户账户的访问范围。尽管难以确定任何特定的中断或攻击可能直接造成的损害（如有），但倘若我们未能保持产品和技术基础设施的性能、可靠性、安全性和可用性以令用户满意，这可能会损害我们的声誉及损害保留现有用户并吸引新用户的能力。尽管我们已建成系统与程序，旨在保护我们的数据及用户数据、避免数据丢失、在我们平台禁用不良账户和活动、防止或发现安全漏洞，但我们无法向阁下保证有关措施将能提供必要的安全。我们可能产生大量成本用于防范网络攻击，倘我们的系统或第三方的系统出现实际或疑似安全漏洞，则可能需要我们耗用大量资源以弥补安全漏洞，并解决与漏洞有关的事项，包括通知用户或监管部门。2.数据安全及隐私以及网络安全的监管规定（1）收集、使用和存储个人信息我们须遵守与数据安全和隐私有关的各种法律和其他义务，其中包括于2021年11月1日生效的《个人信息保护法》，其强调处理者的义务及责任对个人信息保护的重要性。该等法律及法规包括对个人信息的收集、使用和存储的限制，以及采取措施防止个人数据被泄漏、盗取或篡改的规定。互联网服务提供商如欲收集或使用个人信息，只能收集其提供服务所必需的个人信息。此外，互联网服务提供商必须向用户明确告知收集或使用个人信息的目的、方式和范围，且必须征得被收集或使用个人信息的用户的同意。互联网服务提供商亦须制定及发布用户个人信息收集、使用规则，对所收集信息严格保密，采用技术及其他措施维护信息安全。网络运营者收集、存储、使用、转移、披露不满十四周岁儿童个人信息的，应当设置专门的儿童个人信息保护规则和用户协议，以显著、清晰的方式告知儿童监护人，并应当征得儿童监护人的同意。有关详细资料请参阅「法规－有关互联网隐私的法规」。（2）数据安全及网络安全审查全国人大常委会于2021年6月10日发布《数据安全法》，规范中国的数据处理活动和安全监管，该法已于2021年9月1日生效。根据《数据安全法》，国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。任何组织或者个人数据处理活动违反《数据安全法》，视具体情况承担相应的民事、行政或刑事责任。此外，随着《7月6日意见》的颁布，中概股公司在数据安全、跨境数据流动及涉密信息管理等方面的合规受到中国监管机关的严格审查。预计此类法律法规将发生进一步变化，这可能要求增加信息安全责任和加强跨境信息管理机制及程序。于2021年7月10日，国家互联网信息办公室就《网络安全审查办法草案》公开征求意见，该草案规定运营者开展数据处理活动，影响或可能影响国家安全的，应当进行网络安全审查。根据《网络安全审查办法草案》，掌握超过1百万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。此外，于2021年11月14日，国家互联网信息办公室就《数据安全条例草案》公开征求意见，当中要求数据处理者于其日常营运遵守若干规定，并进一步列明若干情况下数据处理者应申报网络安全审查，包括数据处理者赴香港上市，影响或者可能影响国安全的。然而，《网络安全审查办法草案》及《数据安全条例草案》均无就「国外上市」或「影响或可能影响国家安全」提供任何进一步解释或诠释。截至最后实际可行日期，《网络安全审查办法草案》及《数据安全条例草案》均未正式通过。我们无法保证我们在日后的融资活动中会否受网络安全审查的限制，抑或日后新颁布的规则或法规会否对我们构成额外合规要求。于2021年10月29日，国家互联网信息办公室就《数据出境安全评估办法（征求意见稿）》公开征求意见。该法规规定任何数据处理者向境外提供在中国境内运营中收集和产生的重要数据或应当进行安全评估的个人信息，应当进行安全评估。截至最后实际可行日期，《数据出境安全评估办法（征求意见稿）》并未正式通过。有关详情，请参阅「法规－有关信息安全的法规」。我们可能须受有关数据安全及隐私的法律法规所规限，包括收集、使用及存储中国以外司法辖区的个人信息。倘我们或我们的合作伙伴未能或被视为未能维护用户数据的安全或遵守适用的中国或外国隐私、数据安全及个人信息保护法律、法规、政策、合约条文、行业标准及其他规定，可能引致民事或监管责任，包括政府或数据保护部门的强制行动及调查、罚款、处罚、以某一方式责令我们停止运营、诉讼或负面报道，并可能需要我们投入大量资源为指控和申索进行抗辩。此外，对于我们未能充分保护用户数据或因其他原因违反了适用的隐私及数据安全法律、法规、政策、合约条文、行业标准或其他规定的申索或诉讼，可能会损害我们的声誉并失去用户或合作伙伴对我们的信心，或会令我们失去用户、广告商、内容提供商、其他业务伙伴及收入，进而可能对我们的业务、财务状况及经营业绩造成重大不利影响，并可能令我们的股价大幅下跌。

自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有安排的除外。《个人信息保护法》第49条一、隐私政策中的“死者条款”人固有一死，因此如何保护死者的个人信息权益是一个非常棘手但又无法回避的问题。不同于GDPR，我国《个人信息保护法》中明确规定了死者个人信息的条款。隐私政策（个人信息处理规则）是沟通厂商与用户的桥梁。我们跟踪了大量企业针对《个人信息保护法》对隐私政策的修订，发现在《个人信息保护法》实施后，隐私政策中关于死者权益的条款，主要有三种写法：完全不写直接写间接写二、完全不写绝大多数厂商的隐私政策，不会涉及死者权益如何保障的问题。我能够理解这样设计的初衷，毕竟给用户来讲“您死后的权利”听上去不是一件特别吉利，也不太符合很多国人习惯的事情。因此，避而不谈死者个人信息的问题也未必是一个坏的选择。但是，企业内部的用户权利响应机制需要能够响应死者近亲属的权利请求，并允许用户设置自己死后个人信息的处理方式。三、直接写部分企业会在隐私政策中直接写过世用户的个人信息权益问题。并且详细说明近亲属如何提交请求。比如B站就列明了“去世用户的身份证明文件、死亡证明文件、申请人的身份证明文件、申请人与去世用户的亲属关系证明文件，并提供申请行使的权利种类、目的”。索尼也要求“提交逝者的身份证明文件、死亡证明文件、申请行使权利的逝者近亲属的身份证明文件、亲属关系证明文件、申请行使的权利种类、目的等”。云闪付https://wallet.95516.com/s/wl/WebAPP/helpAgree/page/agreement/appPrivacy.html八、已故用户的个人信息保护云闪付用户去世后，您作为近亲属为了自身的合法、正当利益，可以通过本隐私政策的联系方式联系我们，对去世用户在云闪付APP产生的个人信息行使查阅、复制、更正、删除等权利。需要特别提示，如查询云闪付用户银行卡账户信息，请联系银行卡账户银行。同时，为了充分保护去世用户的个人信息权益，我们将对相关材料进行核实，如去世用户的身份文件证明、死亡证明文件、申请人身份证件、申请人与去使用户的亲属关系证明。哔哩哔哩https://www.bilibili.com/blackboard/privacy-pc.html十、

缔约方认识到，保护个人信息的健全法律框架所依据的原则应包括：（a）收集限制；（b）数据质量；（c）目的說明；（d）使用限制；（e）安全保障措施；（f）