全文3017字 | 推荐阅读时间5mins

文 | 周文娟、蒋美珍

当前，生成式人工智能^[1]正在加速发展，不断催生新场景、新业态、新模式和新市场，赋能千行百业。与此同时，其暴露出的安全风险也引起了监管部门的关注。2023年7月，我国网信办联合国家有关部门公布了《生成式人工智能服务管理暂行办法》（以下简称《办法》）。2023年8月15日，该办法将正式施行，是我国促进生成式人工智能健康发展和规范应用的专门立法，界定了生成式人工智能技术的基本概念，规定了生成式人工智能服务的制度要求，为生成式人工智能服务提供了合规方向。本文以《办法》的适用范围和治理原则为基础，解析“生成式人工智能服务”的合规要点，以期为相关企业与从业人员研发、提供与使用生成式人工智能服务提供初步参考。

以服务范围区分《办法》的适用主体。《办法》第2条规定“利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务（以下称生成式人工智能服务），适用本办法”，明确了其规制对象为“向境内公众”提供生成式人工智能服务，同时也说明了未向境内公众提供服务的生成式人工智能技术的研发、应用不属于该办法的适用范围。除此，《办法》第二条还规定了“行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等研发、应用生成式人工智能技术，未向境内公众提供生成式人工智能服务的，不适用本办法的规定”，大大减轻了生成式人工智能技术、应用在研发阶段的合规负担，缓解了许多企业接入生成式人工智能服务用于改善工作效率等内部应用目的时的合规顾虑。

监管对象分为生成式人工智能服务的提供者和使用者^[2]。《办法》第四条就该两类主体应当遵循的原则进行了列举式规定，涉及对内容进行合法性审查，对敏感信息的预防措施，对知识产权、商业秘密进行保护，防止侵犯他人合法权益，以及有效提升生成式人工智能服务的透明性、内容的准确性和可靠性等。《办法》共计二十四条、五章，全文分为总则（4条）、技术发展与治理（4条）、服务规范（7条）、监督检查和法律责任（6条）、负责（3条），通篇的监管重点集中在服务提供者，但同时也对使用者作出了约束规定。

鼓励创新、包容审慎是《办法》中体现的监管总体思路。《办法》立足于促进生成式人工智能健康发展和规范应用，在总则^[3]中明确了国家坚持发展和安全并重、促进创新和依法治理相结合的原则。

《办法》第二章“技术发展与治理”中提出了鼓励措施。一是鼓励创新应用。《办法》明确提出鼓励生成式人工智能技术在各行业、各领域的创新应用，有助于生成式人工智能赋能千行百业，实现各行业智能化变革，构建新的生态体系。二是鼓励多方协作。《办法》鼓励行业组织、企业以及各个相关机构之间开展协作，在生成式人工智能技术创新、数据资源建设、转化应用、风险防范等方面汇聚多方力量取得突破。三是鼓励自主创新与国际合作。《办法》一方面鼓励生成式人工智能相关基础技术的自主创新，另一方面鼓励平等互利开展国际交流与合作，从而促进我国人工智能技术发展。四是鼓励资源共享。《办法》提出推动生成式人工智能基础设施和公共训练数据资源平台建设的措施，促进算力资源协同共享，提升算力资源利用效能。

《办法》全篇表现了包容审慎的监管理念。《办法》延续了此前《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》等规范的监管手段，同时明确了分类分级监管的原则。一是明确了安全评估与算法备案要求。《办法》对提供具有舆论属性或者社会动员能力的生成式人工智能服务的，提出了安全评估与算法备案要求。二是明确了信息披露要求。《办法》明确了提供者应配合主管部门的监督检查，按要求对训练数据来源、规模、类型、标注规则、算法机制机理等予以说明。三是明确了分类分级监管原则。《办法》提出了网信、发展改革、教育等多部门要依据各自职责依法加强对生成式人工智能服务的管理。但相应的分类分级监管规则或者指引，还待日后有关主管部门结合生成式人工智能技术特点及其在有关行业和领域的服务应用逐步完善。

从《办法》的适用范围和治理原则来看，“生成式人工智能服务”的合规要点可分为三个方面：开发合规、应用合规以及服务合规。

第一，开发合规，意指训练数据的过程应当具有合法性。《办法》第七条^[4]对训练数据处理活动应当遵循的义务进行了列举式规定，分别强调了数据来源合法性、知识产权合法性、个人信息保护合法性，此外提出了数据质量的要求，最后以三大上位法（网络安全法、数据安全法、个人信息保护法）进行兜底性约束。这就要求生成式人工智能开发者、提供者：对用于数据训练的原始数据进行分类，确定需要获得授权的数据及所需获得的权利（结合后续的使用方式），对数据库/知识库内容的权利归属及授权链文件进行分类审查、抽查，合规排摸，以确保使用该等内容进行人工智能训练未超出授权范围。《办法》第八条^[5]对数据标注提出了明确要求，制定标注规则、评估标准质量并对标注人员进行培训等一系列规范要求是合规的要点。《办法》第十七条^[6]对提供服务前的准备工作提出了明确要求，“具有舆论属性或者社会动员能力的”提供者应当开展安全评估，并履行算法备案手续。

第二，应用合规，意指利用训练出的生成式人工智能技术所生成的内容应当具有合法性。《办法》第四条就相关主体提供和使用生成式人工智能服务的过程中应尊重知识产权、尊重人格权等其他权益提出了要求；第九条第一款^[7]明确了生成式人工智能的提供者应当依法承担网络信息内容生产者责任、履行网络信息安全义务和个人信息保护责任；第十四条^[8]还对内容违规提出了整改和救济措施。这就要求服务提供者与使用者签订服务协议明确双方权利义务，通过协议、平台规则等方式明确不同场景下各自的责任划分。如在涉及侵权的内容系由使用者提供的情况下，应当由使用者承担内容侵权责任，但服务提供者也尽到“警示”“限制功能”以及“保存记录”和“报告”的义务等。

第三，服务合规，意指生成式人工智能服务过程应当具有合法性。《办法》第九条第二款^[9]明确了提供者具有制度服务协议的权利与义务。为避免潜在的争议，在生成式人工智能模型时即应构建服务协议，就生成内容的权利归属、提供者与使用者的责任划分、免责条款等进行约定。第十一条^[10]规定了人工智能服务提供者对使用者的输入信息和使用记录的保护义务。由于使用者在生成式人工智能产品中输入的内容可能涉及个人隐私或者商业秘密，若被人工智能服务提供者非法对外提供，则可能导致隐私或者商业秘密泄露。即便提供者未将上述信息提供给第三方，若该等信息被作为训练数据用于训练人工智能模型，也可能出现在其他使用者向人工智能模型输入特定指令后，上述涉密信息被输出的情况。因此，为避免潜在的争议，生成式人工智能模型就输入信息可否用于模型的再训练可在服务协议中进行约定。承接《互联网信息服务深度合成管理规定》的相关规定，在第十二条^[11]中提出了服务提供者对生成内容的标识要求，服务提供者应履行网络信息安全监管义务，在生成内容中添加可识别水印或有效警示信息。

综上，在《办法》的监管框架下，“生成式人工智能服务”在开发、应用和服务的全生命周期中均明确应采取相应措施保证合规性，防止算法歧视，尊重知识产权、商业道德，保守商业秘密，不得利用算法、数据、平台等优势，实施垄断和不正当竞争行为也是应尽的合规性义务。

- 作者简介 -

“中联成都”所刊登的文章仅代表作者本人观点，不得视为上海中联（成都）律师事务所或其律师出具的正式法律意见或建议。如需转载或引用文章的任何内容，请联系公众号沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中联成都”及作者姓名。未经本所书面同意，也不得转载或使用文章中包含的任何图片或影像。如您有意就相关主题进一步交流或探讨，欢迎与本所联系。