导读
2023年7月13日下午,国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局公布《生成式人工智能服务管理暂行办法》(以下称《暂行办法》),自2023年8月15日起施行。同时于当日发布了《国家互联网信息办公室有关负责人就<生成式人工智能服务管理暂行办法>答记者问》(以下称《答记者问》),以便于公众了解该办法的出台的背景、目标和关键规范内容。
《暂行办法》于今年4月份发布征求意见稿至昨天推出正式稿以及拟定下月施行,不过短短数月。如此迅速出台该人工智能技术管理部门规章,不难看出国家贯彻落实有关政策及推行法规要求以有效促进生成式人工智能技术健康发展的迫切和决心。
根据《暂行办法》和《答记者问》,国家在生成式人工智能技术的整体监管策略上释放了利好信号,大力鼓励创新和探索,其治理框架而言并未提出标新立异治理要求,而是围绕生成式人工智能技术的应用汇总网络安全、数据安全、个人信息保护、算法治理、知识产权保护等有关规定及要求。除训练数据合规要求外,具体合规要求仍沿袭网络信息内容生态治理管理管控要求为主,要求生成式人工智能服务提供者作为“内容生产者”,落实安全管控主体责任。
作者在下文将依据《暂行办法》《答记者问》和内容安全治理等相关法规,结合本人在网络信息内容安全、算法合规及数据合规的实务经验,从实务层面对该办法进行解读,供相关行业或企业参考。
一、国家对于生成式人工智能技术的整体管制策略或原则是什么?
答:根据《暂行办法》第一、三、五和六条及《答记者问》第一问,对于生成式人工智能技术,国家“坚持发展和安全并重、促进创新和依法治理相结合的原则,采取有效措施鼓励生成式人工智能创新发展,对生成式人工智能服务实行包容审慎和分类分级监管。”
此外该办法名为“暂行办法”,意味着国家有关部门后续会结合实际情况进行快速修改,以适应人工智能技术的快速发展之需。
实务解读
比对了《暂行办法》的征求意见稿和生效文本,生效文本删除了大量较为严格限制规定,其正文更是直接把鼓励生成式人工智能创新发展”写入规定,明显对于人工智能技术施以“包容”和“宽松”,利好信号十分明显。该举措实质为鼓励各行业各领域企业机构抓住这号称“最新一轮技术革命”所带来的经济机遇,进行创新和探索,以培育新技术应用场景和构建新应用生态体系。
当然,国家也明确了对生成式人工智能技术采取“审慎和分类分级监管的政策,推进各种相关法律规定管控要求在企业层面的落实,以防范和应对人工智能技术带来的社会性风险,从而引导新技术的健康发展,建立长效机制。
对于企业而言,这是宽严相济的管控策略,企业可积极利用生成式人工智能技术进行研发和应用等探索,同时采取审慎态度注意相应的监管红线,落实主体责任。
二、《暂行办法》对生成式人工智能技术提出了什么样的新治理要求?
答:《暂行办法》是我国境内首部针对生成式人工智能技术管控专门规定,但其并未提出较多新要求。本质仍是围绕生成式人工智能技术,汇总融合了已有的网络安全,尤其网络信息内容生态治理规定、个人信息保护、数据安全、算法管理规定、知识产权保护(著作权为主)有关法律法规的要求。
这也对应了《答记者问》第一问中提到的制定《暂行办法》背景之——“推进实施法律规定的内在要求,即“落实《网络安全法》、《数据安全法》、《个人信息保护法》、《科学技术进步法》有关规定的重要要求,进一步规范数据处理等活动”。
当然,《暂行办法》在第七条提出了训练数据处理活动的管控要求,以及在第八条提出了数据标注的有关要求,要求企业在新技术应用过程,采取措施提升其所依赖的运算的巨量数据和模型来源的合法性,以及采取措施提升数据及其内容的质量。
实务解读
《暂行办法》汇总了生成式人工智能技术应当遵循的全部各类原则、合规要求。对于企业合规从业人员而言,省去了一些从不同法规去梳理“合规地图”的工作。
从治理要求而言,企业可从人工智能技术自行研发、或者引入第三方API接口的立项开始,重点围绕内容安全、数据安全和个人信息保护、同时兼顾算法治理规定和伦理规定等要求,分拆相关的合规要求和责任主体,在不同环节进行布控和落实管控,该工作应当以生成式人工智能技术依赖的算法模型、数据来源的合法性进行着手,尤其企业自行爬取的数据或第三方提供数据的合法、真实和客观性建立评估模型,确保源头合法。
三、哪些对象或行为需遵循《暂行办法》的要求?
答:从适用对象而言,根据《暂行办法》第二条和第四条,其适用对象和范畴包括了生成式人工智能技术的服务提供者和服务使用者两大类。相较于征求意见稿,《暂行办法》正式稿排除了“研发生成式人工智能产品行为”,同时直接明确“未向境内公众提供生成式人工智能服务的,不适用本办法的规定”。
实务解读
举例说明哪些对象落入本法适用范畴和排除的范畴:
1. 生成式人工智能技术的服务提供者:
判断的关键词:“利用生成式人工智能技术”+“面向境内公众”+“提供生成式人工智能服务”,这包括了两种情形:
■ APP等网络平台运营者,向境内公众提供生成式人工智能技术工具,以便用户进行内容创作、生成或制定;
■ APP等网络平台运营者,向境内公众用户所提供的内容为生成式人工智能技术工具创作、生成或制定的。
反之,被《暂行办法》排除适用的例子:
■ 纯粹研发行为:e.g.面向企业而非公众提供人工智能技术的研发方法,如算法模型或其他相关技术研发、技术支撑方等,尤其是被委托研发的一方、委托进行算法模型优化技术支撑者,不在办法约束范畴;
■ 纯粹企业机构或个人自用行为:e.g.企业内部用作知识库、快速生产内容的工具;
■ 服务对象为境外公众的行为;e.g.虽在境内研发并运营,但明确这不面向中国境内公众提供服务的平台。
2. 生成式人工智能服务的使用者;
使用者的判断标准相对简单,无论企业、机构还是个人,但凡在境内使用生成式人工智能技术进行内容创作的,包括利用AI完成OGC、PGC和UGC创作或生成并进行网络传输的行为,需遵守该办法。例如B站的UP主利用境内的类似于“Midjourney”或其他类似的生成式人工智能服务制作其视频、传播该视频的行为,就属于《暂行办法》的第四条规范的行为。
当然第四条的内容也主要源于《网络安全法》《网络信息内容生态治理规定》等网络信息内容安全管控的要求。
四、《暂行办法》正式颁布稿删除了“研发生成式人工智能产品”,是否可认为生成式人工智能产品的研发行为无需进行合规?
答:《暂行办法》正式颁布稿删除征求意见稿多次提到的“研发生成式人工智能产品”,同时根据上文可知国家主张鼓励企业对人工智能的研发和探索的投入,以“发展”和“鼓励创新”为主基调兼顾安全和治理,但其这不代表生成式人工智能产品的研发无需采取合规措施。因为除了《暂行办法》外,生成式人工智能产品的研发行为涉及模型搭建或引入新模型,进行数据收集和数据训练等行为,还需遵守包括但不限于网络安全、数据安全、个人信息保护和知识产权的有关法律规定。
实务解读
生成式人工智能技术的研发行为虽未纳入《暂行办法》的适用范畴,企业仍应前置合规部署,宜直接参考《暂行办法》采取自律合规措施,并宜在相应项目研发立项阶段启动合规管控,否则等到生成式人工智能技术产品或服务上线运营(go live)后才启动合规管控,就太晚了。
这其中重点是前置采取合规评估措施,包括对研发行为中涉及的科技伦理评估、数据处理的安全及合规评估、生产内容的真实、合法和客观等合规评估,以及包括研发过程涉及技术支撑方、数据供应商等第三方的合规评估就也应优先纳入自律管控的合规版块中。
五、落入《暂行办法》适用范畴企业或个人,有哪些需落实的合规义务?
答:《暂行办法》主要对生成式人工智能服务提供者和使用者提出了合规要求,其中绝大部分责任是落生成式人工智能服务提供者上,要求其以“内容生产者责任”落实网络信息安全义务,此外涉个人信息的则落实个人信息保护义务。
下文则汇总前文零散提及的合规义务,对《暂行办法》所涉及的条款和该合规义务的来源等进行简要说明。
针对生成式人工智能服务提供者,简单梳理如上义务要点,但实质上,这几个合规义务类型很多都有交叉重叠的部分,尤其网络信息安全管控义务就可作为一个包罗上文单列的其他义务的“口袋”。针对未成年人网络保护义务和内容安全自检自查的评估和自律合规举措,可参考《北源观点 | 针对“清朗·2023年暑期未成年人网络环境整治”专项行动的解读及合规应对建议》
结语
《暂行办法》的出台,对于促进人工智能技术和相关产业的健康发展是利好的,国家以发展优先兼顾合规管控的情况下,企业无论是研发还是利用生成式人工智能技术的,可在监管红线范畴内进行大胆的创新和探索。
以上仅为笔者本人关于《暂行办法》的粗浅解读,不视为法律意见。如有针对可落地的人工智能合规策略或解决方案,仍需回归具体业务场景进行研讨。如针对本文有任何疑问的,请联系笔者进一步沟通。
作者:许瑞凤
审稿:梁艳芬
(文中观点不代表北源律师事务所的观点或法律意见)