《生成式人工智能服務(wù)管理暫行辦法》風(fēng)險提示及應(yīng)對措施

《生成式人工智能服務(wù)管理暫行辦法》風(fēng)險提示及應(yīng)對措施近年來，國內(nèi)外科技巨頭不斷在人工智能領(lǐng)域發(fā)力，新興的人工智能生成內(nèi)容（ArtificialIntelligenceGeneratedContent,AIGC）技術(shù)帶動了新一輪AI浪潮，或?qū)θ袠I(yè)產(chǎn)生顛覆性影響。2022是AIGC的爆發(fā)之年，人們看到了AIGC無限的創(chuàng)造潛力和應(yīng)用的廣泛前景。目前對于AIGC這一概念尚無統(tǒng)一的界定。國內(nèi)研學(xué)界對于AIGC的理解是繼專業(yè)生成內(nèi)容和用戶生成內(nèi)容之后，利用人工智能技術(shù)自動生成內(nèi)容的新型生產(chǎn)方式。中國信息通信研究院發(fā)表的《人工智能生產(chǎn)內(nèi)容白皮書（2022年）》認為，AIGC既是從內(nèi)容生產(chǎn)者視角進行分類的一類內(nèi)容，又是一種內(nèi)容生產(chǎn)方式，還是用于內(nèi)容自動化生產(chǎn)的一類技術(shù)集合1。AIGC技術(shù)的使用場景可以包括個人應(yīng)用（ToC）和商業(yè)應(yīng)用（ToB）兩個大類：一是偏生活化和智能化的ToC應(yīng)用，這類應(yīng)用能降低內(nèi)容生成成本，可用于搜索引擎內(nèi)容結(jié)構(gòu)優(yōu)化，文娛類中的小說、短視頻等內(nèi)容生成，游戲、動漫的角色形象優(yōu)化等。例如一些AI繪畫模型，可以通過數(shù)據(jù)庫中大量的繪畫作品和圖像，快速高效地生成繪畫作品；電商行業(yè)通過智能客服完成常見問題解答等。未來ToC人工智能將具有更強的人機交互能力，使用場景也將更加豐富。其二，在傳統(tǒng)企業(yè)數(shù)字化轉(zhuǎn)型進程中，人工智能技術(shù)的應(yīng)用能幫助企業(yè)降低轉(zhuǎn)型成本，提高運營效果。例如，智能客服、智能辦公軟件、支持汽車直銷、用戶運營戰(zhàn)略轉(zhuǎn)型等。ToB人工智能技術(shù)以提升生產(chǎn)效率為核心，針對不同行業(yè)差異進行定制化。在金融服務(wù)業(yè)中集中于提供數(shù)據(jù)分析與投資分析支持，在制造業(yè)中則可幫助企業(yè)逐步實現(xiàn)流程自動化與智能化；另外，還可以將AI技術(shù)與ERP系統(tǒng)相結(jié)合，為企業(yè)提供更精準(zhǔn)的財務(wù)管理和庫存管理建議等。ToB的人工智能未來將不僅關(guān)注生成式AI領(lǐng)域，也將進一步完善決策式AI的使用場景，并通過增強垂類領(lǐng)域的細分功能提升產(chǎn)品可用性。根據(jù)技術(shù)咨詢機構(gòu)Gartner預(yù)測，目前由人工智能生產(chǎn)的數(shù)據(jù)占所有數(shù)據(jù)的不足1%，到2025年，這個數(shù)字將達到10%2；在醫(yī)療領(lǐng)域，到2025年，超過30%的藥物和材料將通過生成式人工智能（AIGC的工具之一）被發(fā)現(xiàn)3。國外商業(yè)咨詢機構(gòu)AcumenResearchandConsulting預(yù)測，2023年全球AIGC市場規(guī)模將有望達到1100億美元，亦有國內(nèi)智庫預(yù)測，2023年國內(nèi)AIGC市場有望突破170億人民幣。隨著人工智能技術(shù)的快速發(fā)展，AI已成為企業(yè)和個人提高工作效率和質(zhì)量的重要工具，因其基于數(shù)據(jù)和算法的本質(zhì)，數(shù)據(jù)使用的安全性和規(guī)范性變得愈發(fā)重要，各國對于AI技術(shù)應(yīng)用的法規(guī)也逐漸完善。一、AI立法監(jiān)管趨勢2020和2021年，美國先后發(fā)布了《生成人工智能網(wǎng)絡(luò)安全法案》和《人工智能能力與透明度法案》，在推動人工智能發(fā)展的同時，對數(shù)據(jù)隱私等多個方面提出了規(guī)范要求。歐盟作為首個對數(shù)據(jù)經(jīng)濟發(fā)布單獨政策的地區(qū)，對人工智能的發(fā)展及數(shù)據(jù)使用也提出了較多要求。2023年6月，在歷經(jīng)多次起草修訂后，歐盟發(fā)布了《人工智能法案》最新草案以確保人工智能在歐盟市場中能夠安全使用。此外，其他國家也陸續(xù)對人工智能監(jiān)管做出回應(yīng)，普華永道對此簡單歸納如下：*以上信息，根據(jù)各國/地區(qū)的公開資料整理。為應(yīng)對不斷變化的技術(shù)發(fā)展和市場情況，我國相關(guān)監(jiān)管機構(gòu)也迅速做出回應(yīng)，2023年7月13日國家網(wǎng)信辦聯(lián)合六部門共同發(fā)布《生成式人工智能服務(wù)管理暫行辦法》（以下簡稱《暫行辦法》），其將于2023年8月15日起正式施行，作為中國針對AIGC的首份監(jiān)管文件，為飛速發(fā)展的AIGC技術(shù)提供政策支持?！稌盒修k法》依托《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《中華人民共和國科學(xué)技術(shù)進步法》等上位法規(guī)定，由國家網(wǎng)信辦、國家發(fā)展改革委、教育部、科技部、工業(yè)和信息化部、公安部、廣電總局等進行多重監(jiān)管。由此可見，不論是從立法還是執(zhí)法層面，《暫行辦法》均與現(xiàn)有數(shù)據(jù)與網(wǎng)絡(luò)安全合規(guī)體系進行呼應(yīng)與銜接。《暫行辦法》的實施落地揭開我國AI治理體系化的序章，隨著更多人工智能領(lǐng)域?qū)ｉT立法及實施細則的出臺，未來將逐步形成針對生成式人工智能的體系化治理框架。二、《暫行辦法》重點內(nèi)容解讀1.明確了規(guī)范主體及適用范圍《暫行辦法》明確適用于“利用生成式人工智能技術(shù)向中華人民共和國境內(nèi)公眾提供生成文本、圖片、音頻、視頻等內(nèi)容的服務(wù)。”1）對于“境內(nèi)公眾”的界定《暫行辦法》針對的是向中華人民共和國境內(nèi)公眾提供服務(wù)的場景，對境外公眾提供服務(wù)的行為則不落入規(guī)制范圍。此外，對于“公眾”的范圍，《暫行辦法》明確生成式人工智能服務(wù)若僅限于部分人員或內(nèi)部使用，無需遵循《暫行辦法》的相關(guān)規(guī)定，例如公司對生成式人工智能服務(wù)的研發(fā)、應(yīng)用活動等。2）對于“提供”行為的認定生成式人工智能服務(wù)提供者（“服務(wù)提供者”）向境內(nèi)公眾提供相關(guān)服務(wù)，不論其直接向境內(nèi)公眾提供或通過API接口、利用境外大模型等方式間接向境內(nèi)公眾提供服務(wù)，均應(yīng)遵循《暫行辦法》的相關(guān)規(guī)定。另外，若企業(yè)使用境外技術(shù)提供服務(wù)涉及數(shù)據(jù)出境，則需滿足國內(nèi)數(shù)據(jù)出境合規(guī)要求。2.明確了相關(guān)主體合規(guī)義務(wù)要求AI系統(tǒng)覆蓋從前期研發(fā)，到中期投入使用再到后期基于人機交互而進行的模型優(yōu)化等各環(huán)節(jié)，其中涉及生成式人工智能服務(wù)開發(fā)者（“開發(fā)者”）、服務(wù)提供者以及服務(wù)使用者等多方主體?！稌盒修k法》明確規(guī)定服務(wù)提供者應(yīng)履行如下主要義務(wù)：1）內(nèi)容合規(guī)義務(wù)作為網(wǎng)絡(luò)信息內(nèi)容的生產(chǎn)者，應(yīng)采取必要措施保障內(nèi)容的合法合規(guī)，對不良信息定期進行監(jiān)控并及時處置。同時，為用戶使用服務(wù)提供明確指導(dǎo)，并對未成年人采取額外保護措施，采取有效措施防止未成年人過度依賴或沉迷。2）數(shù)據(jù)處理及標(biāo)注合規(guī)義務(wù)服務(wù)提供者所使用的數(shù)據(jù)和基礎(chǔ)模型應(yīng)具有合法來源，著重提高訓(xùn)練數(shù)據(jù)質(zhì)量，增強訓(xùn)練數(shù)據(jù)的真實性、準(zhǔn)確性、客觀性及多樣性。同時，內(nèi)部應(yīng)落實數(shù)據(jù)標(biāo)注的明確規(guī)則，對相關(guān)數(shù)據(jù)進行標(biāo)注，并通過開展質(zhì)量評估或人員培訓(xùn)等提高標(biāo)注數(shù)據(jù)的準(zhǔn)確率。3）隱私數(shù)據(jù)合規(guī)義務(wù)在提供AIGC相關(guān)服務(wù)過程中，服務(wù)提供者應(yīng)保護個人信息主體的相關(guān)權(quán)利，如使用個人信息訓(xùn)練AIGC的應(yīng)在收集處理前獲得個人信息主體的授權(quán)同意，并建立個人信息主體權(quán)利響應(yīng)機制、個人信息風(fēng)險評估機制等。4）安全評估和算法備案義務(wù)服務(wù)提供者提供的生成式人工智能服務(wù)具備輿論屬性或者社會動員能力的，應(yīng)當(dāng)開展安全評估并落實算法備案等行政流程。結(jié)合相關(guān)法律法規(guī)4，新聞、社交、直播、教育、寫作、聊天等AIGC服務(wù)提供者開展評估或備案的可能性較高?！稌盒修k法》同時要求開發(fā)者及服務(wù)使用者應(yīng)履行如下義務(wù)：在開發(fā)、使用AIGC產(chǎn)品服務(wù)過程中不得制作、復(fù)制或發(fā)布損害國家利益、社會公共利益和他人合法權(quán)益的信息，并應(yīng)積極抵制色情暴力、煽動性、誘導(dǎo)性、低俗化等不良影響信息。3.與知識產(chǎn)權(quán)及不正當(dāng)競爭合規(guī)要求相銜接AIGC技術(shù)依賴于大量數(shù)據(jù)的挖掘和訓(xùn)練，包含圖片、音頻、論文等。這些數(shù)據(jù)多數(shù)非原創(chuàng)數(shù)據(jù)，是通過一些機構(gòu)提供內(nèi)容或是網(wǎng)絡(luò)爬蟲收集，因此也受到知識產(chǎn)權(quán)及不正當(dāng)競爭相關(guān)法律法規(guī)的規(guī)制。三、AIGC應(yīng)用過程中不同市場主體合規(guī)風(fēng)險提示1.開發(fā)者可能面臨的合規(guī)風(fēng)險開發(fā)者深度參與AIGC技術(shù)模型的研發(fā)和優(yōu)化，其中主要存在以下合規(guī)風(fēng)險：數(shù)據(jù)爬取風(fēng)險：開發(fā)者通常使用網(wǎng)絡(luò)爬蟲抓取數(shù)據(jù)用于模型訓(xùn)練，若在此過程中若抓取不當(dāng)，可能侵害其他計算機信息系統(tǒng)而承擔(dān)刑事責(zé)任，或因損害抓取網(wǎng)站的市場利益構(gòu)成不正當(dāng)競爭，進而需承擔(dān)民事賠償、行政罰款等法律責(zé)任。數(shù)據(jù)安全風(fēng)險：由于AIGC收集和存儲的賬號信息和對話內(nèi)容等數(shù)據(jù)可能會被共享給供應(yīng)商、服務(wù)提供商等第三方，數(shù)據(jù)共享過程中可能會遭到未授權(quán)攻擊者訪問和竊取數(shù)據(jù)。若未采取必要的數(shù)據(jù)安全保護措施，將導(dǎo)致發(fā)生數(shù)據(jù)泄露、用戶隱私數(shù)據(jù)竊取等數(shù)據(jù)安全風(fēng)險。合作方權(quán)責(zé)劃分風(fēng)險：盡管《暫行辦法》將服務(wù)提供者作為主要責(zé)任主體，但其在履行相應(yīng)義務(wù)時，如管理數(shù)據(jù)和基礎(chǔ)模型來源、進行數(shù)據(jù)標(biāo)注等，勢必需要開發(fā)者的支持協(xié)助。若雙方在進行設(shè)計合作方案時權(quán)利義務(wù)劃分不清，將導(dǎo)致在應(yīng)對風(fēng)險時無法快速應(yīng)對，將損失及風(fēng)險進一步擴大。2.服務(wù)提供者可能面臨的合規(guī)風(fēng)險服務(wù)提供者作為《暫行辦法》主要責(zé)任主體，相較其他主體而言承擔(dān)較重的合規(guī)義務(wù)，其可能面臨的合規(guī)風(fēng)險主要包括：內(nèi)容管控風(fēng)險：服務(wù)提供者作為網(wǎng)絡(luò)信息內(nèi)容生產(chǎn)者，需要管理信息內(nèi)容、處置違法信息、管理用戶使用活動、打擊侵害知識產(chǎn)權(quán)或不正當(dāng)競爭行為等。若服務(wù)提供者未對信息內(nèi)容進行合理管控，導(dǎo)致其產(chǎn)品侵害社會公眾利益、他人合法權(quán)利，則服務(wù)提供者將作為主要責(zé)任方，承擔(dān)因內(nèi)容侵權(quán)引發(fā)的相關(guān)民事、行政及刑事責(zé)任。數(shù)據(jù)安全風(fēng)險：服務(wù)提供者應(yīng)保證數(shù)據(jù)及模型來源合法，增強訓(xùn)練數(shù)據(jù)的真實性、準(zhǔn)確性、客觀性、多樣性，規(guī)范開展數(shù)據(jù)標(biāo)注活動等合規(guī)義務(wù)。不當(dāng)處理訓(xùn)練數(shù)據(jù)不僅對產(chǎn)品功能及服務(wù)質(zhì)量產(chǎn)生影響，還會在遭受惡意攻擊時產(chǎn)生數(shù)據(jù)泄露風(fēng)險。個人信息處理合規(guī)風(fēng)險：服務(wù)提供者在使用AIGC技術(shù)模型時可能對個人信息進行直接或間接處理，由此涉及的個人信息處理活動需遵循個人信息保護的相關(guān)合規(guī)要求，如事先獲取個人信息主體同意，及時響應(yīng)用戶權(quán)利行使要求等。若未及時落實前述義務(wù)，將面臨警告，沒收違法所得、責(zé)令暫?；蛘呓K止提供服務(wù)等行政處罰。3.使用者可能面臨的合規(guī)風(fēng)險使用者主要參與AIGC技術(shù)模型的使用及優(yōu)化階段，隨著AIGC技術(shù)的成熟與發(fā)展，越來越多企業(yè)作為使用者接入AICG技術(shù)，過程中可能輸入含有公司商業(yè)秘密或其他敏感數(shù)據(jù)（如重要數(shù)據(jù)，員工敏感個人信息），該等信息若被用作模型訓(xùn)練并未被合理保護，將可能發(fā)生敏感數(shù)據(jù)泄露事件，直接導(dǎo)致使用者個人及企業(yè)遭受財產(chǎn)損失及聲譽損害。四、AIGC應(yīng)用與服務(wù)合規(guī)建議及應(yīng)對措施基于前述分析，AIGC技術(shù)模型在研發(fā)、使用、優(yōu)化等過程中涉及數(shù)據(jù)提供方、開發(fā)者、服務(wù)提供者、使用者等不同主體，各主體面臨的合規(guī)風(fēng)險亦有差異，普華永道建議企業(yè)通過采取以下措施開展有效的風(fēng)險管理：1.規(guī)范數(shù)據(jù)處理活動，重點關(guān)注數(shù)據(jù)來源合法性AIGC技術(shù)模型的研發(fā)、使用等可能會涉及個人信息或重要數(shù)據(jù)的收集、處理，應(yīng)保障關(guān)注數(shù)據(jù)來源合法性。即便服務(wù)提供者獲取的訓(xùn)練數(shù)據(jù)來源于網(wǎng)絡(luò)、語料庫、論文等公開渠道，也應(yīng)當(dāng)避免不正當(dāng)使用爬蟲等技術(shù)手段收集訓(xùn)練數(shù)據(jù)，同時加強對數(shù)據(jù)提供方等第三方的管控，厘清各方權(quán)責(zé)。另外，因AIGC技術(shù)的不可預(yù)測性，或是使用不當(dāng)都易發(fā)生數(shù)據(jù)泄露風(fēng)險，應(yīng)加強防泄漏，建立應(yīng)急預(yù)案。2.開展安全評估及算法備案具有輿論屬性或者社會動員能力的AIGC服務(wù)的服務(wù)提供者需依法履行安全評估及備案的行政手續(xù)，鑒于立法或執(zhí)法實踐中尚未對“有輿論屬性或者社會動員能力的生成式人工智能服務(wù)”形成統(tǒng)一明確標(biāo)準(zhǔn)，企業(yè)需密切關(guān)注法律動向，并結(jié)合自身經(jīng)營情況判斷是否需履行評估及備案手續(xù)。3.識別數(shù)據(jù)跨境場景，開展數(shù)據(jù)出境安全評估無論是境內(nèi)服務(wù)提供者通過接入境外API接口后向境內(nèi)使用者提供服務(wù)，還是境外開發(fā)者直接面向境內(nèi)公眾提供服務(wù)，均可能發(fā)生數(shù)據(jù)出境，從而觸發(fā)數(shù)據(jù)出境的相關(guān)監(jiān)管。服務(wù)提供者應(yīng)梳理數(shù)據(jù)流轉(zhuǎn)情況，識別其中跨境情形，按規(guī)定履行評估申報、合同備案義務(wù)，依法開展數(shù)據(jù)出境活動。4.定期開展AI模型安全測評企業(yè)應(yīng)對AI模型開展安全測評，測評內(nèi)容包括網(wǎng)絡(luò)安全測評和內(nèi)容安全測評。網(wǎng)絡(luò)安全測評通過滲透測試、代碼掃描等安全性測試手段，檢測AI應(yīng)用軟件和插件的安全漏洞，并及時進行修復(fù)，避免安全性漏洞造成網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露。內(nèi)容安全檢測主要檢測模型是否會產(chǎn)生有害的、有偏見的、侵權(quán)的、虛假內(nèi)容，并進一步確認在訓(xùn)練數(shù)據(jù)集、模型、安全模塊或二次開發(fā)調(diào)用接口等安全問題。5.加強員工培訓(xùn)，提高風(fēng)險意識考慮到AI應(yīng)用場景的復(fù)雜性，針對與AI技術(shù)相關(guān)的團隊和人員開展培訓(xùn)至關(guān)重要。AI從業(yè)人員應(yīng)提高自身的認知及風(fēng)險意識，合理合法使用AI技術(shù)，避免因為人員的偏見與歧視影響AI模型的可靠性、透明性、可解釋性、公平性和隱私性，觸發(fā)監(jiān)管風(fēng)險。6.引入AI風(fēng)險管理專業(yè)角色普華永道最近一項調(diào)查