《生成式人工智能模型訓(xùn)練合規(guī)技術(shù)規(guī)范》（征求意見稿）

2本文件規(guī)定了生成式人工智能在進(jìn)行模型訓(xùn)練時應(yīng)遵守的合規(guī)原則，給出了相應(yīng)的合規(guī)要求與規(guī)定。本文件適用于指導(dǎo)生成式人工智能進(jìn)行模型訓(xùn)練。下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T4943.1信息技術(shù)設(shè)備安全第一部分：通用要求GB/T5271.1-2000信息技術(shù)詞匯第1部分：基本術(shù)語GB/T5271.28-2001信息技術(shù)詞匯第28部分：人工智能基本概念與專家系統(tǒng)GB/T5271.29-2006信息技術(shù)詞匯第29部分：人工智能語音識別與合成GB/T5271.31-2006信息技術(shù)詞匯第31部分：人工智能機(jī)器學(xué)習(xí)GB/T29246-2023信息安全技術(shù)信息安全管理體系概述和詞匯GB/T29490-2023企業(yè)知識產(chǎn)權(quán)合規(guī)管理體系要求GB/T32914-2023信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)能力要求GB/T32916-2023信息安全技術(shù)信息安全控制評估指南GB/T35273-2020信息安全技術(shù)個人信息安全規(guī)范GB/T35770-2022合規(guī)管理體系要求GB/T41479-2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求GB/T41867-2022信息技術(shù)人工智能術(shù)語GB/T42018-2022信息技術(shù)人工智能平臺計算資源規(guī)范GB/T42574-2023信息安全技術(shù)個人信息處理中告知和同意的實施指南GB/T42755-2023人工智能面向機(jī)器學(xué)習(xí)的數(shù)據(jù)標(biāo)注規(guī)程GB/T43269-2023信息安全技術(shù)網(wǎng)絡(luò)安全應(yīng)急能力評估準(zhǔn)則GB/T43557-2023信息安全技術(shù)網(wǎng)絡(luò)安全信息報送指南TC260-PG-20202A移動互聯(lián)網(wǎng)應(yīng)用程序(App)收集使用個人信息自評估指南3TC260-003生成式人工智能服務(wù)安全基本要求3.1生成式人工智能簡稱AIGC，具有文本、圖片、音頻、視頻等內(nèi)容生成能力的人工智能模型及相關(guān)技術(shù)。3.2模型訓(xùn)練利用訓(xùn)練數(shù)據(jù)，基于機(jī)器學(xué)習(xí)算法，確定或改進(jìn)機(jī)器學(xué)習(xí)模型參數(shù)的過程。3.3測試數(shù)據(jù)用于評估最終機(jī)器學(xué)習(xí)模型性能的數(shù)據(jù)。[來源:GB/T41867-2022，定義3.2.3]3.4數(shù)據(jù)標(biāo)注給數(shù)據(jù)樣本指定目標(biāo)變量和賦值的過程3.5個人信息以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息3.6敏感個人信息一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息。3.7告知使個人知曉其個人信息處理活動及其有關(guān)規(guī)則的行為。個人對其個人信息進(jìn)行處理自愿、明確作出授權(quán)的行為。3.9提供個人信息處理者通過共享、轉(zhuǎn)移等方式將個人信息傳輸或披露給其他個人信息處理者的行為。3.10訓(xùn)練數(shù)據(jù)用于訓(xùn)練機(jī)器學(xué)習(xí)模型的輸入數(shù)據(jù)子集。4生成式人工智能數(shù)據(jù)應(yīng)用應(yīng)符合以下合規(guī)原則：4.1科技倫理原則：在生成式人工智能數(shù)據(jù)應(yīng)用的各個環(huán)節(jié)中，需注意遵循增進(jìn)人類福祉、尊重生命權(quán)利、堅持公平公正、合理控制風(fēng)險、保持公開透明的科技倫理原則；4.2內(nèi)容安全原則：在利用生成式人工智能技術(shù)進(jìn)行內(nèi)容生成時，應(yīng)采取有效措施避免生成違背社會主義核心價值觀的內(nèi)容，避免生成具有歧視性的內(nèi)容，避免生成虛假有害信息等法律、行政法規(guī)禁止的內(nèi)容；4.3人格保護(hù)原則：在生成式人工智能數(shù)據(jù)應(yīng)用的各個環(huán)節(jié)中，應(yīng)注重保護(hù)自然人的人格利益，不得侵害他人肖像權(quán)、名譽(yù)權(quán)、榮譽(yù)權(quán)、隱私權(quán)和個人信息權(quán)益等；4.4商業(yè)利益原則：在模型開發(fā)、服務(wù)提供等數(shù)據(jù)應(yīng)用環(huán)節(jié)中，提供者應(yīng)尊重他人的知識產(chǎn)權(quán)、數(shù)據(jù)權(quán)益等，避免實施壟斷、不正當(dāng)競爭等侵犯其他商業(yè)主體合法權(quán)利的行為；4.5技術(shù)發(fā)展原則：提供者在服務(wù)提供過程中應(yīng)注意及時收集反饋信息，提高生成內(nèi)容的準(zhǔn)確度與可靠性，不斷促進(jìn)人工智能技術(shù)的優(yōu)化與發(fā)展；4.6體系合規(guī)原則：提供者應(yīng)搭建完善的合規(guī)管理體系，就生成式人工智能數(shù)據(jù)應(yīng)用的各個環(huán)節(jié)，制定合規(guī)管理制度，采用有效的技術(shù)方法和其他管理措施，實現(xiàn)數(shù)據(jù)應(yīng)用合規(guī)管理目標(biāo)。5.1合規(guī)性審查對用于模型訓(xùn)練的數(shù)據(jù)，提供者應(yīng)根據(jù)獲取數(shù)據(jù)的不同方式以及數(shù)據(jù)自身的不同類別，建立數(shù)據(jù)來源和內(nèi)容合法性的審查機(jī)制。5.2收集方式5.2.1直接收集數(shù)據(jù)提供者可直接從個人信息主體處獲取個人信息，或在自身日常生產(chǎn)經(jīng)營中創(chuàng)造生產(chǎn)新數(shù)據(jù)、以原始數(shù)據(jù)為基礎(chǔ)加工生產(chǎn)新數(shù)據(jù)。5.2.2間接收集數(shù)據(jù)在事先評估合法的前提下，除直接獲取數(shù)據(jù)外，提供者可從其他主體處間接獲取數(shù)據(jù)，5即通過數(shù)據(jù)交易、數(shù)據(jù)共享、公共數(shù)據(jù)授權(quán)運營等途徑獲取數(shù)據(jù)。提供者應(yīng)同相對方簽訂相應(yīng)的法律協(xié)議，謹(jǐn)慎審核相對方的數(shù)據(jù)來源合法性以及數(shù)據(jù)可交易性，并要求相對方作出來源合法性、可交易性和可使用性承諾，或出示相關(guān)證明等。鼓勵提供者通過數(shù)據(jù)交易所等公開平臺獲取數(shù)據(jù)，以提升數(shù)據(jù)來源的合法合規(guī)性。5.3數(shù)據(jù)類別5.3.1公開數(shù)據(jù)信息提供者可以使用一些平臺上公開可用的數(shù)據(jù)集，這些數(shù)據(jù)集通常經(jīng)過整理和標(biāo)注，適用于各種機(jī)器學(xué)習(xí)任務(wù)；通過人工收集的方式獲取數(shù)據(jù)信息，應(yīng)注意獲取手段的合法合規(guī)，不得侵犯他人合法權(quán)益；通過網(wǎng)絡(luò)爬蟲工具抓取網(wǎng)頁內(nèi)容或是從應(yīng)用程序接口（API）中獲取數(shù)據(jù)，應(yīng)遵守目標(biāo)網(wǎng)站的網(wǎng)絡(luò)爬蟲排除協(xié)議（Robots協(xié)議）等聲明文件要求，避免采用破解密碼、偽造用戶代理（UserAgent）、設(shè)置代理網(wǎng)際協(xié)議地址（IP地址）等技術(shù)手段進(jìn)行違規(guī)爬取。應(yīng)控制數(shù)據(jù)爬取的流量與頻率，避免因爬取行為影響目標(biāo)網(wǎng)站的正常運行。爬取移動互聯(lián)網(wǎng)應(yīng)用程序（App）、小程序等所依賴的網(wǎng)絡(luò)服務(wù)應(yīng)用程序接口（API）中的數(shù)據(jù)，應(yīng)當(dāng)遵守API的服務(wù)授權(quán)聲明。公開數(shù)據(jù)附有數(shù)據(jù)使用許可條件或使用限制的，提供者獲取該公開數(shù)據(jù)后，應(yīng)遵守相關(guān)約定。5.3.2個人數(shù)據(jù)信息如提供者采集的數(shù)據(jù)類型中包含個人信息，應(yīng)遵循相應(yīng)的法律法規(guī)，包括但不限于以下5.3.2.1收集個人信息的合法性要求。對個人信息控制者的要求包括：不得欺詐、誘騙、強(qiáng)迫個人信息主體提供其個人信息；不得隱瞞產(chǎn)品或服務(wù)所具有的收集個人信息的功能；不得收集法律法規(guī)明令禁止收集的個人信息；不得從非法渠道獲取個人信息。5.3.2.2收集個人信息的最小必要性要求。收集個人信息對個人信息控制者的要求包括：收集的個人信息的類型應(yīng)與實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)，直接關(guān)聯(lián)是指沒有上述個人信息的參與，產(chǎn)品或服務(wù)的功能無法實現(xiàn)；自動采集個人信息的頻率應(yīng)是實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最低頻率；間接獲取個人信息的數(shù)量應(yīng)是實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最少數(shù)量。65.3.2.3收集個人信息時的授權(quán)同意。對個人信息控制者的要求包括：收集個人信息，應(yīng)向個人信息主體告知收集、使用個人信息的目的、方式和范圍等規(guī)則，并獲得個人信息主體的授權(quán)同意；收集個人敏感信息前，應(yīng)征得個人信息主體的明示同意，并應(yīng)確保個人信息主體的明示同意是其在完全知情的基礎(chǔ)上自主給出的、具體的、清晰明確的意愿表示；收集個人生物識別信息前，應(yīng)單獨向個人信息主體告知收集，使用個人生物識別信息的目的、方式和范圍，以及存儲時間等規(guī)則，并征得個人信息主體的明示同意；收集年滿14周歲未成年人的個人信息前，應(yīng)征得未成年人或其監(jiān)護(hù)人的明示同意；不滿14周歲的，應(yīng)征得其監(jiān)護(hù)人的明示同意；間接獲取個人信息時，應(yīng)要求個人信息提供方說明個人信息來源，并對其個人信息來源的合法性進(jìn)行確認(rèn)。應(yīng)了解個人信息提供方已獲得的個人信息處理的授權(quán)同意范圍，包括使用目的，個人信息主體是否授權(quán)同意轉(zhuǎn)讓、共享、公開披露、刪除等。如開展業(yè)務(wù)所需進(jìn)行的個人信息處理活動超出已獲得的授權(quán)同意范圍的，應(yīng)在處理個人信息前，征得個人信息主體的明示同意，或通過個人信息提供方征得個人信息主體的明示同意。5.3.2.4告知與同意的基本原則。個人信息處理者在實施告知時需考慮以下基本原則：a)公開透明：公布處理個人信息的種類、目的、方式、安全措施等處理規(guī)則，不得采取故意遮擋、隱藏等方式誘導(dǎo)個人略過告知內(nèi)容；b)有效傳達(dá)：盡可能通過交互式界面、郵件、電話或短信等方式向相關(guān)個人進(jìn)行告c)適時充分：在收集、提供、公開等個人信息處理活動發(fā)生之前或同時，對個人進(jìn)行充分告知；d)真實明確：告知個人信息的處理種類、目的、方式等規(guī)則與實際情況一致，且需結(jié)合實際業(yè)務(wù)功能，不使用籠統(tǒng)、寬泛的表述；e)清晰易懂：告知文本符合個人的語言習(xí)慣，使用通用且無歧義的語言、數(shù)字、圖示等。個人信息處理者在取得個人同意時需考慮以下基本原則：a)告知一致：取得同意的范圍不超出所告知的內(nèi)容；b)自主選擇：支持個人通過自行操作的方式作出同意，不使用默認(rèn)勾選的方式取得同意；7c)時機(jī)恰當(dāng)：在個人信息收集行為發(fā)生前，且同步傳達(dá)告知內(nèi)容時，取得個人同意，以增進(jìn)個人對業(yè)務(wù)功能與所收集的個人信息之間關(guān)聯(lián)性的理解：d)避免捆綁：區(qū)分產(chǎn)品或服務(wù)的業(yè)務(wù)功能，不采用捆綁方式強(qiáng)迫個人一次性同意多種業(yè)務(wù)功能可能收集的個人信息或多個處理活動，個人拒絕同意時，不影響與該個人信息無關(guān)的業(yè)務(wù)功能的正常使用。5.3.2.5個人信息的展示限制。涉及通過界面展示個人信息的（如顯示屏幕、紙面?zhèn)€人信息控制者宜對需展示的個人信息采取去標(biāo)識化處理等措施，降低個人信息在展示環(huán)節(jié)的泄露風(fēng)險。例如，在個人信息展示時，防止內(nèi)部非授權(quán)人員及個人信息主體之外的其他人員未經(jīng)授權(quán)獲取個人信息。5.3.2.6個人信息的使用限制。對個人信息控制者的要求包括：除目的所必需外，使用個人信息時應(yīng)消除明確身份指向性，避免精確定位到特定個人。例如，為準(zhǔn)確評價個人信用狀況，可使用直接用戶畫像，而用于推送商業(yè)廣告目的時，則宜使用間接用戶畫像。對所收集的個人信息進(jìn)行加工處理而產(chǎn)生的信息，能夠單獨或與其他信息結(jié)合識別自然人個人身份，或者反映自然人個人活動情況的，應(yīng)將其認(rèn)定為個人信息。對其處理應(yīng)遵循收集個人信息時獲得的授權(quán)同意范圍。5.3.3知識產(chǎn)權(quán)保護(hù)獲取數(shù)據(jù)用于模型訓(xùn)練的，應(yīng)采取以下手段防止對他人知識產(chǎn)權(quán)的侵害：對于已超過著作權(quán)保護(hù)期限進(jìn)入公有領(lǐng)域的作品，提供者可以采集相關(guān)數(shù)據(jù)投入模型訓(xùn)練，但應(yīng)避免在生成內(nèi)容中侵犯著作權(quán)人的署名權(quán)、修改權(quán)與保護(hù)作品完整權(quán)等著作人身權(quán)；對仍在著作權(quán)保護(hù)期限內(nèi)的作品，提供者應(yīng)主動采取措施獲取著作權(quán)人的授權(quán)，明確其作品可用于生成式人工智能的模型訓(xùn)練；建議提供者通過著作權(quán)集體管理組織獲取著作權(quán)人的授權(quán)；對于商標(biāo)權(quán)、專利權(quán)、商業(yè)秘密等其他類型的知識產(chǎn)權(quán)，建議提供者根據(jù)數(shù)據(jù)類型和數(shù)據(jù)來源進(jìn)行必要甄別，如發(fā)現(xiàn)有侵權(quán)可能的，應(yīng)避免采集或取得權(quán)利人的授權(quán)。86.1數(shù)據(jù)預(yù)處理總體要求網(wǎng)絡(luò)運營者應(yīng)識別數(shù)據(jù)處理中涉及的數(shù)據(jù)，包括個人信息、重要數(shù)據(jù)和其他數(shù)據(jù)，形成數(shù)據(jù)保護(hù)目錄，并及時更新。6.1.2分類分級。網(wǎng)絡(luò)運營者應(yīng)按照相關(guān)國家標(biāo)準(zhǔn)，根據(jù)合同規(guī)定和業(yè)務(wù)運營需要，對所識別的數(shù)據(jù)進(jìn)行分類分級管理。6.1.3風(fēng)險防控。網(wǎng)絡(luò)運營者開展數(shù)據(jù)處理時，應(yīng)按照合同約定履行數(shù)據(jù)安全保護(hù)義務(wù)，開展數(shù)據(jù)處理活動應(yīng)加強(qiáng)風(fēng)險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險時，應(yīng)采取加密、脫敏、備份、訪問控制、審計等技術(shù)或者其他必要措施，加強(qiáng)數(shù)據(jù)安全防護(hù)，保護(hù)數(shù)據(jù)免受泄露、竊取、修改、損毀、不正當(dāng)使用等；對重要數(shù)據(jù)和敏感個人信息進(jìn)行重點保護(hù)，應(yīng)按照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險評估，并向有關(guān)主管部門報送風(fēng)險評估報告。風(fēng)險評估報告應(yīng)包括處理的重要數(shù)據(jù)的種類、數(shù)量，開展數(shù)據(jù)處理活動的情況，面臨的數(shù)據(jù)安全風(fēng)險及其應(yīng)對措施等。應(yīng)建立數(shù)據(jù)安全管理責(zé)任和評價考核制度，制定數(shù)據(jù)安全保護(hù)計劃，開展安全風(fēng)險評估，及時處置安全事件，組織開展教育培訓(xùn)。6.1.4審計追溯。網(wǎng)絡(luò)運營者應(yīng)對數(shù)據(jù)處理的全生存周期進(jìn)行記錄，確保數(shù)據(jù)處理可審計、可追溯。6.2數(shù)據(jù)預(yù)處理安全技術(shù)要求6.2.1通則網(wǎng)絡(luò)運營者在開展數(shù)據(jù)處理時應(yīng)進(jìn)行影響分析和風(fēng)險評估，采取必要的措施對識別的風(fēng)險進(jìn)行控制，以保障數(shù)據(jù)安全。6.2.2收集網(wǎng)絡(luò)運營者為提供服務(wù)而必須處理個人信息的，應(yīng)遵循合法、正當(dāng)、必要的原則，不應(yīng)收集與其提供的服務(wù)無直接或無合理關(guān)聯(lián)，或超出個人信息主體明示同意期限的個人信息，9且遵守以下要求：6.2.2.1應(yīng)制定和公開個人信息保護(hù)政策并嚴(yán)格遵守，個人信息保護(hù)政策應(yīng)符合GB/T35273-2020中5.5要求；6.2.2.2收集個人信息前，應(yīng)明示個人信息保護(hù)政策，并征得個人信息主體同意；6.2.2.3改變處理個人信息的目的、類型、范圍、用途的，應(yīng)及時告知個人信息主體，修改個人信息保護(hù)政策，并重新征得個人信息主體同意，涉及個人信息保護(hù)政策變動的應(yīng)修改個人信息保護(hù)政策：6.2.2.4明示所提供產(chǎn)品或服務(wù)的類型，以及該產(chǎn)品或服務(wù)所必需的個人信息，不應(yīng)因用戶不同意或撤回同意提供該產(chǎn)品或服務(wù)所必需個人信息以外的信息，而拒絕提供該產(chǎn)品或服務(wù)；6.2.2.5不應(yīng)僅以改善服務(wù)質(zhì)量、提升用戶體驗、定向推送信息、研發(fā)新產(chǎn)品等為目的，強(qiáng)制要求、誤導(dǎo)用戶同意收集個人信息；6.2.2.6收集敏感個人信息前，應(yīng)取得個人信息主體的單獨同意，確保單獨同意是在完全知情的基礎(chǔ)上自主給出的、具體的、清晰明確的意愿表示；6.2.2.7收集不滿十四周歲未成年人個人信息前，應(yīng)取得未成年人的監(jiān)護(hù)人的單獨同意；6.2.2.8從個人信息主體以外的其他途徑獲得個人信息的，應(yīng)了解個人信息來源、個人信息提供方已獲得的個人信息處理授權(quán)同意范圍，并按照本文件的要求履行安全保護(hù)義務(wù)。6.2.3存儲網(wǎng)絡(luò)運營者應(yīng)對數(shù)據(jù)存儲活動采取安全措施，包括：6.2.3.1存儲重要數(shù)據(jù)和個人信息等敏感網(wǎng)絡(luò)數(shù)據(jù)，應(yīng)采取加密、安全存儲、訪問控制、安全審計等安全措施；6.2.3.2存儲重要數(shù)據(jù)和個人信息，不應(yīng)超過與重要數(shù)據(jù)和個人信息主體約定的存儲期限或個人信息主體授權(quán)同意有效期；6.2.3.3存儲個人生物特征識別信息的，應(yīng)遵守GB/T35273-2020中6.3b)和c)的要求及生物特征識別信息保護(hù)等相關(guān)國家標(biāo)準(zhǔn)要求。數(shù)據(jù)接收方存儲數(shù)據(jù)時，應(yīng)按要求采取安全措施并以合同進(jìn)行約定。6.2.4使用網(wǎng)絡(luò)運營者在為用戶提供定向推送或信息合成服務(wù)時的要求如下：6.2.4.1定向推送及信息合成：a)網(wǎng)絡(luò)運營者利用個人信息和算法為用戶提供定向推送信息服務(wù)的，同時應(yīng)提供非定向推送信息的服務(wù)選項；b)在向個人信息主體提供新聞、博客類信息服務(wù)的過程中，網(wǎng)絡(luò)運營者利用算法自動合成文字、圖片、音視頻等信息，應(yīng)明確告知用戶。6.2.5.2第三方應(yīng)用管理：網(wǎng)絡(luò)運營者應(yīng)對接入或嵌入其產(chǎn)品或服務(wù)的第三方應(yīng)用加強(qiáng)數(shù)據(jù)安全管理，包括：a)應(yīng)通過合同等形式，明確雙方的數(shù)據(jù)安全保護(hù)責(zé)任和義務(wù)；b)應(yīng)監(jiān)督第三方應(yīng)用運營者加強(qiáng)數(shù)據(jù)安全管理，發(fā)現(xiàn)第三方應(yīng)用沒有落實安全管理責(zé)任的，應(yīng)及時督促整改，必要時停止接入；c)網(wǎng)絡(luò)運營者知道或者應(yīng)知道第三方應(yīng)用利用其平臺侵害用戶民事權(quán)益，未采取必要措施的，應(yīng)與第三方應(yīng)用運營者承擔(dān)連帶責(zé)任；d)宜對接入或嵌入的第三方應(yīng)用開展技術(shù)檢測，確保其數(shù)據(jù)處理行為符合雙方約定要求，對審計發(fā)現(xiàn)超出雙方約定的行為及時停止接入。6.2.5加工網(wǎng)絡(luò)運營者在開展轉(zhuǎn)換、匯聚、分析等數(shù)據(jù)加工活動的過程中，知道或者應(yīng)知道可能危害國家安全和公共安全、經(jīng)濟(jì)安全和社會穩(wěn)定的，應(yīng)立即停止加工活動。6.2.6傳輸網(wǎng)絡(luò)運營者應(yīng)對數(shù)據(jù)傳輸活動采取安全措施，包括：傳輸重要數(shù)據(jù)和敏感個人信息時，應(yīng)采用加密、脫敏等安全措施；向數(shù)據(jù)接收方傳輸數(shù)據(jù)時，應(yīng)按要求采取安全措施并以合同進(jìn)行約定。6.2.7提供6.2.7.1向他人提供：網(wǎng)絡(luò)運營者向他人提供數(shù)據(jù)前，應(yīng)進(jìn)行安全影響分析和風(fēng)險評估，可能危害國家安全、公共安全、經(jīng)濟(jì)安全和社會穩(wěn)定的，不應(yīng)向他人提供。要求如下：a)向他人提供個人信息，應(yīng)向個人信息主體告知接收方的名稱，聯(lián)系方式、處理目的、處理方式、個人信息的種類、存儲期限，并取得個人信息主體同意；b)共享、轉(zhuǎn)讓重要數(shù)據(jù)，應(yīng)與數(shù)據(jù)接收方通過合同等形式明確雙方的數(shù)據(jù)安全保護(hù)責(zé)任和義務(wù)，采取加密、脫敏等措施保障重要數(shù)據(jù)安全；c)委托第三方開展數(shù)據(jù)處理活動的，應(yīng)通過合同等形式明確約定委托處理的目的、期限、處理方式、數(shù)據(jù)的種類、保護(hù)措施、雙方的權(quán)利和義務(wù)，以及第三方返還或刪除數(shù)據(jù)的方式等，要求第三方以合同中約定的形式返還、刪除接收和產(chǎn)生的數(shù)據(jù)，并對數(shù)據(jù)處理活動進(jìn)行監(jiān)督；d)發(fā)生收購、兼并、重組、破產(chǎn)時，數(shù)據(jù)接收方應(yīng)繼續(xù)履行相關(guān)數(shù)據(jù)安全保護(hù)義務(wù)；沒有數(shù)據(jù)接收方的，應(yīng)刪除數(shù)據(jù)。6.2.7.2數(shù)據(jù)出境：網(wǎng)絡(luò)運營者向境外提供個人信息或者重要數(shù)據(jù)的，應(yīng)遵循國家相關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)的要求，境內(nèi)用戶在境內(nèi)訪問境內(nèi)網(wǎng)絡(luò)的，其流量不應(yīng)路由至境外。6.2.8公開網(wǎng)絡(luò)運營者利用所掌握的數(shù)據(jù)資源，公開市場預(yù)測、統(tǒng)計等信息時，不應(yīng)危害國家安全、公共安全、經(jīng)濟(jì)安全和社會穩(wěn)定。6.2.9投訴、舉報受理處置網(wǎng)絡(luò)運營者應(yīng)建立投訴、舉報受理處置制度。收到通過其平臺編造、傳播虛假信息，發(fā)布侵害他人名譽(yù)、隱私、知識產(chǎn)權(quán)和其他合法權(quán)益信息，以及假冒、仿冒、盜用他人名義發(fā)布信息的投訴、舉報的，自接受投訴舉報起，受理時間不超過3天。受理后進(jìn)行調(diào)查取證，對于查實的編造、傳播虛假信息，發(fā)布侵害他人名譽(yù)、隱私、知識產(chǎn)權(quán)和其他合法權(quán)益信息，以及假冒、仿冒、盜用他人名義發(fā)布信息的投訴、舉報，依法采取停止傳輸、消除等處置措施。6.3數(shù)據(jù)標(biāo)注合規(guī)要求6.3.1標(biāo)注規(guī)則的制定為模型訓(xùn)練的目的需要進(jìn)行數(shù)據(jù)標(biāo)注的，應(yīng)按法律法規(guī)以及數(shù)據(jù)需求方的要求，依據(jù)以下規(guī)定制定標(biāo)注規(guī)則：6.3.1.1標(biāo)注規(guī)則應(yīng)根據(jù)數(shù)據(jù)需求方對模型訓(xùn)練的具體要求制定；6.3.1.2標(biāo)注規(guī)則應(yīng)清晰、具體、全面、細(xì)化，對標(biāo)注人員具有實際操作性；6.3.1.3標(biāo)注規(guī)則的確定應(yīng)有利于提高訓(xùn)練數(shù)據(jù)的準(zhǔn)確性，標(biāo)注過程中如發(fā)現(xiàn)冗余數(shù)據(jù)、錯誤數(shù)據(jù)、異常數(shù)據(jù)等情況應(yīng)進(jìn)行及時處理；6.3.1.4標(biāo)注規(guī)則的確定應(yīng)有利于保持訓(xùn)練數(shù)據(jù)的客觀性，避免因規(guī)則設(shè)計的主觀性導(dǎo)致標(biāo)注結(jié)果發(fā)生同客觀情況的偏離；6.3.1.5標(biāo)注規(guī)則應(yīng)進(jìn)行定期審查和更新，以適應(yīng)新的法律法規(guī)、技術(shù)發(fā)展和業(yè)務(wù)需求的變化。6.3.2數(shù)據(jù)標(biāo)注質(zhì)量評估數(shù)據(jù)標(biāo)注的全流程實施過程中應(yīng)包含質(zhì)量評估的環(huán)節(jié)，具體操作可依據(jù)GB/T42755-2023第6.2和第7.1條規(guī)定的流程與方法進(jìn)行實踐。質(zhì)量評估可采用抽樣核驗、機(jī)器驗證、第三方驗證等方式進(jìn)行，根據(jù)場景需求及項目特點，建議選擇兩種以上方式進(jìn)行數(shù)據(jù)標(biāo)注準(zhǔn)確度和一致性檢查，并根據(jù)檢查結(jié)果及時進(jìn)行反饋校正。6.4訓(xùn)練數(shù)據(jù)預(yù)處理合規(guī)要求6.4.1提高訓(xùn)練數(shù)據(jù)質(zhì)量提供者應(yīng)采取有效措施提高訓(xùn)練數(shù)據(jù)質(zhì)量，并從真實性、準(zhǔn)確性、客觀性、多樣性、安全性等角度考慮訓(xùn)練數(shù)據(jù)以提升數(shù)據(jù)質(zhì)量。當(dāng)各方面要求不能同時滿足或可能存在沖突時，提供者應(yīng)進(jìn)行謹(jǐn)慎考量，以防止訓(xùn)練數(shù)據(jù)的不當(dāng)選擇影響生成內(nèi)容的質(zhì)量。6.4.2訓(xùn)練數(shù)據(jù)的真實性提供者應(yīng)從數(shù)量和質(zhì)量上判斷所獲取的數(shù)據(jù)是否具有可靠的來源，是否能夠反映真實世界的情況，并通過人工或模型等方式就數(shù)據(jù)內(nèi)容的真實性進(jìn)行核驗。6.4.3訓(xùn)練數(shù)據(jù)的準(zhǔn)確性提供者可采用數(shù)據(jù)去重、去除異常值、糾正錯誤等數(shù)據(jù)清洗方法，以提高數(shù)據(jù)集的準(zhǔn)確性和一致性，排除噪聲和偏差。6.4.4訓(xùn)練數(shù)據(jù)的客觀性訓(xùn)練數(shù)據(jù)宜盡可能中立和無偏見，在數(shù)據(jù)采集與后續(xù)處理環(huán)節(jié)中均應(yīng)避免人為干擾、選擇偏見和其他主觀因素的介入。6.4.5訓(xùn)練數(shù)據(jù)的多樣性為提高模型的性能和泛化能力，應(yīng)充分考慮數(shù)據(jù)來源、數(shù)據(jù)類型及樣本特征分布的均衡和多樣化。為防止生成存在偏見或歧視的內(nèi)容，應(yīng)進(jìn)行充分多樣化和具有代表性的數(shù)據(jù)選擇，確保其包含各個民族、信仰、國別、地域、性別、年齡、職業(yè)和健康等的充分信息。6.4.6訓(xùn)練數(shù)據(jù)的安全性為確保訓(xùn)練數(shù)據(jù)的安全性，應(yīng)對訓(xùn)練數(shù)據(jù)的來源進(jìn)行安全評估和核驗。7.1模型訓(xùn)練7.1.1訓(xùn)練步驟模型訓(xùn)練應(yīng)至少包括預(yù)訓(xùn)練與優(yōu)化訓(xùn)練等兩重的訓(xùn)練環(huán)節(jié)。7.1.2預(yù)訓(xùn)練預(yù)訓(xùn)練應(yīng)選擇具有合法來源的基礎(chǔ)模型，基礎(chǔ)模型應(yīng)經(jīng)過可靠性、安全性、合法性以及價值觀等方面的測評，才可在此基礎(chǔ)上進(jìn)行后續(xù)訓(xùn)練。7.1.3優(yōu)化訓(xùn)練經(jīng)過預(yù)訓(xùn)練后形成的算法模型，還應(yīng)通過優(yōu)化訓(xùn)練進(jìn)一步使用已標(biāo)注的數(shù)據(jù)進(jìn)行后續(xù)流程，來優(yōu)化模型訓(xùn)練的最終結(jié)果。7.1.4模型驗證在模型訓(xùn)練的不同環(huán)節(jié)中，均可使用驗證數(shù)據(jù)對模型的參數(shù)與設(shè)置進(jìn)行持續(xù)優(yōu)化。驗證數(shù)據(jù)可與訓(xùn)練數(shù)據(jù)來源于同樣的數(shù)據(jù)集，但在訓(xùn)練過程中應(yīng)保持相對獨立。7.2模型測試在正式為公眾提供內(nèi)容生成服務(wù)之前，為保證模型生成的效果，應(yīng)按照以下要求進(jìn)行模型測試：7.2.1制定全面完整嚴(yán)格的測試指標(biāo)體系，以減少幻覺、有害偏見和違法內(nèi)容的生成；7.2.2引入人工方式或其他模型進(jìn)行對抗測試，根據(jù)結(jié)果反饋實現(xiàn)對模型性能的改進(jìn)優(yōu)化；7.2.3建立動態(tài)調(diào)整的指標(biāo)體系與測試方案，定期評估和調(diào)整指標(biāo)體系，確保測試結(jié)果的有效性；7.2.4測試數(shù)據(jù)的來源應(yīng)獨立于訓(xùn)練數(shù)據(jù)與驗證數(shù)據(jù)，且應(yīng)按照同樣標(biāo)準(zhǔn)進(jìn)行預(yù)處理；7.2.5確保模型在經(jīng)過嚴(yán)格測試并核驗完成之后才對公眾提供內(nèi)容生成服務(wù)；7.2.6模型評價依據(jù)、測試指標(biāo)體系、測試與核驗辦法及采用的技術(shù)手段等，均應(yīng)明確記錄，做到可查詢、可溯源。8.1使用者盡責(zé)義務(wù)的告知提供者應(yīng)當(dāng)與注冊使用其服務(wù)的使用者(下稱“使用者”)簽訂服務(wù)協(xié)議，在服務(wù)協(xié)議中明確告知使用者如下事項：8.1.1生成式人工智能服務(wù)的基本特點與可能風(fēng)險；8.1.2使用者使用生成式人工智能服務(wù)的基本規(guī)范，包括不得利用生成式人工智能服務(wù)特性，有意識地獲取違反法律法規(guī)、違反社會公德或倫理道德的內(nèi)容；8.1.3使用者負(fù)有審慎、盡責(zé)使用生成式人工智能服務(wù)的義務(wù)，在生成內(nèi)容含有違反法律法規(guī)、違反社會公德或倫理道德的內(nèi)容時，不應(yīng)將此生成內(nèi)容對外傳播；8.1.4明確告知使用者與生成內(nèi)