《生成式人工智能服務(wù)管理暫行辦法》風(fēng)險(xiǎn)提示及應(yīng)對(duì)措施

《生成式人工智能服務(wù)管理暫行辦法》風(fēng)險(xiǎn)提示及應(yīng)對(duì)措施近年來(lái)，國(guó)內(nèi)外科技巨頭不斷在人工智能領(lǐng)域發(fā)力，新興的人工智能生成內(nèi)容（ArtificialIntelligenceGeneratedContent,AIGC）技術(shù)帶動(dòng)了新一輪AI浪潮，或?qū)?duì)全行業(yè)產(chǎn)生顛覆性影響。2022是AIGC的爆發(fā)之年，人們看到了AIGC無(wú)限的創(chuàng)造潛力和應(yīng)用的廣泛前景。目前對(duì)于AIGC這一概念尚無(wú)統(tǒng)一的界定。國(guó)內(nèi)研學(xué)界對(duì)于AIGC的理解是繼專(zhuān)業(yè)生成內(nèi)容和用戶(hù)生成內(nèi)容之后，利用人工智能技術(shù)自動(dòng)生成內(nèi)容的新型生產(chǎn)方式。中國(guó)信息通信研究院發(fā)表的《人工智能生產(chǎn)內(nèi)容白皮書(shū)（2022年）》認(rèn)為，AIGC既是從內(nèi)容生產(chǎn)者視角進(jìn)行分類(lèi)的一類(lèi)內(nèi)容，又是一種內(nèi)容生產(chǎn)方式，還是用于內(nèi)容自動(dòng)化生產(chǎn)的一類(lèi)技術(shù)集合1。AIGC技術(shù)的使用場(chǎng)景可以包括個(gè)人應(yīng)用（ToC）和商業(yè)應(yīng)用（ToB）兩個(gè)大類(lèi)：一是偏生活化和智能化的ToC應(yīng)用，這類(lèi)應(yīng)用能降低內(nèi)容生成成本，可用于搜索引擎內(nèi)容結(jié)構(gòu)優(yōu)化，文娛類(lèi)中的小說(shuō)、短視頻等內(nèi)容生成，游戲、動(dòng)漫的角色形象優(yōu)化等。例如一些AI繪畫(huà)模型，可以通過(guò)數(shù)據(jù)庫(kù)中大量的繪畫(huà)作品和圖像，快速高效地生成繪畫(huà)作品；電商行業(yè)通過(guò)智能客服完成常見(jiàn)問(wèn)題解答等。未來(lái)ToC人工智能將具有更強(qiáng)的人機(jī)交互能力，使用場(chǎng)景也將更加豐富。其二，在傳統(tǒng)企業(yè)數(shù)字化轉(zhuǎn)型進(jìn)程中，人工智能技術(shù)的應(yīng)用能幫助企業(yè)降低轉(zhuǎn)型成本，提高運(yùn)營(yíng)效果。例如，智能客服、智能辦公軟件、支持汽車(chē)直銷(xiāo)、用戶(hù)運(yùn)營(yíng)戰(zhàn)略轉(zhuǎn)型等。ToB人工智能技術(shù)以提升生產(chǎn)效率為核心，針對(duì)不同行業(yè)差異進(jìn)行定制化。在金融服務(wù)業(yè)中集中于提供數(shù)據(jù)分析與投資分析支持，在制造業(yè)中則可幫助企業(yè)逐步實(shí)現(xiàn)流程自動(dòng)化與智能化；另外，還可以將AI技術(shù)與ERP系統(tǒng)相結(jié)合，為企業(yè)提供更精準(zhǔn)的財(cái)務(wù)管理和庫(kù)存管理建議等。ToB的人工智能未來(lái)將不僅關(guān)注生成式AI領(lǐng)域，也將進(jìn)一步完善決策式AI的使用場(chǎng)景，并通過(guò)增強(qiáng)垂類(lèi)領(lǐng)域的細(xì)分功能提升產(chǎn)品可用性。根據(jù)技術(shù)咨詢(xún)機(jī)構(gòu)Gartner預(yù)測(cè)，目前由人工智能生產(chǎn)的數(shù)據(jù)占所有數(shù)據(jù)的不足1%，到2025年，這個(gè)數(shù)字將達(dá)到10%2；在醫(yī)療領(lǐng)域，到2025年，超過(guò)30%的藥物和材料將通過(guò)生成式人工智能（AIGC的工具之一）被發(fā)現(xiàn)3。國(guó)外商業(yè)咨詢(xún)機(jī)構(gòu)AcumenResearchandConsulting預(yù)測(cè)，2023年全球AIGC市場(chǎng)規(guī)模將有望達(dá)到1100億美元，亦有國(guó)內(nèi)智庫(kù)預(yù)測(cè)，2023年國(guó)內(nèi)AIGC市場(chǎng)有望突破170億人民幣。隨著人工智能技術(shù)的快速發(fā)展，AI已成為企業(yè)和個(gè)人提高工作效率和質(zhì)量的重要工具，因其基于數(shù)據(jù)和算法的本質(zhì)，數(shù)據(jù)使用的安全性和規(guī)范性變得愈發(fā)重要，各國(guó)對(duì)于AI技術(shù)應(yīng)用的法規(guī)也逐漸完善。一、AI立法監(jiān)管趨勢(shì)2020和2021年，美國(guó)先后發(fā)布了《生成人工智能網(wǎng)絡(luò)安全法案》和《人工智能能力與透明度法案》，在推動(dòng)人工智能發(fā)展的同時(shí)，對(duì)數(shù)據(jù)隱私等多個(gè)方面提出了規(guī)范要求。歐盟作為首個(gè)對(duì)數(shù)據(jù)經(jīng)濟(jì)發(fā)布單獨(dú)政策的地區(qū)，對(duì)人工智能的發(fā)展及數(shù)據(jù)使用也提出了較多要求。2023年6月，在歷經(jīng)多次起草修訂后，歐盟發(fā)布了《人工智能法案》最新草案以確保人工智能在歐盟市場(chǎng)中能夠安全使用。此外，其他國(guó)家也陸續(xù)對(duì)人工智能監(jiān)管做出回應(yīng)，普華永道對(duì)此簡(jiǎn)單歸納如下：*以上信息，根據(jù)各國(guó)/地區(qū)的公開(kāi)資料整理。為應(yīng)對(duì)不斷變化的技術(shù)發(fā)展和市場(chǎng)情況，我國(guó)相關(guān)監(jiān)管機(jī)構(gòu)也迅速做出回應(yīng)，2023年7月13日國(guó)家網(wǎng)信辦聯(lián)合六部門(mén)共同發(fā)布《生成式人工智能服務(wù)管理暫行辦法》（以下簡(jiǎn)稱(chēng)《暫行辦法》），其將于2023年8月15日起正式施行，作為中國(guó)針對(duì)AIGC的首份監(jiān)管文件，為飛速發(fā)展的AIGC技術(shù)提供政策支持?！稌盒修k法》依托《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《中華人民共和國(guó)科學(xué)技術(shù)進(jìn)步法》等上位法規(guī)定，由國(guó)家網(wǎng)信辦、國(guó)家發(fā)展改革委、教育部、科技部、工業(yè)和信息化部、公安部、廣電總局等進(jìn)行多重監(jiān)管。由此可見(jiàn)，不論是從立法還是執(zhí)法層面，《暫行辦法》均與現(xiàn)有數(shù)據(jù)與網(wǎng)絡(luò)安全合規(guī)體系進(jìn)行呼應(yīng)與銜接?！稌盒修k法》的實(shí)施落地揭開(kāi)我國(guó)AI治理體系化的序章，隨著更多人工智能領(lǐng)域?qū)ｉT(mén)立法及實(shí)施細(xì)則的出臺(tái)，未來(lái)將逐步形成針對(duì)生成式人工智能的體系化治理框架。二、《暫行辦法》重點(diǎn)內(nèi)容解讀1.明確了規(guī)范主體及適用范圍《暫行辦法》明確適用于“利用生成式人工智能技術(shù)向中華人民共和國(guó)境內(nèi)公眾提供生成文本、圖片、音頻、視頻等內(nèi)容的服務(wù)?！?）對(duì)于“境內(nèi)公眾”的界定《暫行辦法》針對(duì)的是向中華人民共和國(guó)境內(nèi)公眾提供服務(wù)的場(chǎng)景，對(duì)境外公眾提供服務(wù)的行為則不落入規(guī)制范圍。此外，對(duì)于“公眾”的范圍，《暫行辦法》明確生成式人工智能服務(wù)若僅限于部分人員或內(nèi)部使用，無(wú)需遵循《暫行辦法》的相關(guān)規(guī)定，例如公司對(duì)生成式人工智能服務(wù)的研發(fā)、應(yīng)用活動(dòng)等。2）對(duì)于“提供”行為的認(rèn)定生成式人工智能服務(wù)提供者（“服務(wù)提供者”）向境內(nèi)公眾提供相關(guān)服務(wù)，不論其直接向境內(nèi)公眾提供或通過(guò)API接口、利用境外大模型等方式間接向境內(nèi)公眾提供服務(wù)，均應(yīng)遵循《暫行辦法》的相關(guān)規(guī)定。另外，若企業(yè)使用境外技術(shù)提供服務(wù)涉及數(shù)據(jù)出境，則需滿(mǎn)足國(guó)內(nèi)數(shù)據(jù)出境合規(guī)要求。2.明確了相關(guān)主體合規(guī)義務(wù)要求AI系統(tǒng)覆蓋從前期研發(fā)，到中期投入使用再到后期基于人機(jī)交互而進(jìn)行的模型優(yōu)化等各環(huán)節(jié)，其中涉及生成式人工智能服務(wù)開(kāi)發(fā)者（“開(kāi)發(fā)者”）、服務(wù)提供者以及服務(wù)使用者等多方主體。《暫行辦法》明確規(guī)定服務(wù)提供者應(yīng)履行如下主要義務(wù)：1）內(nèi)容合規(guī)義務(wù)作為網(wǎng)絡(luò)信息內(nèi)容的生產(chǎn)者，應(yīng)采取必要措施保障內(nèi)容的合法合規(guī)，對(duì)不良信息定期進(jìn)行監(jiān)控并及時(shí)處置。同時(shí)，為用戶(hù)使用服務(wù)提供明確指導(dǎo)，并對(duì)未成年人采取額外保護(hù)措施，采取有效措施防止未成年人過(guò)度依賴(lài)或沉迷。2）數(shù)據(jù)處理及標(biāo)注合規(guī)義務(wù)服務(wù)提供者所使用的數(shù)據(jù)和基礎(chǔ)模型應(yīng)具有合法來(lái)源，著重提高訓(xùn)練數(shù)據(jù)質(zhì)量，增強(qiáng)訓(xùn)練數(shù)據(jù)的真實(shí)性、準(zhǔn)確性、客觀性及多樣性。同時(shí)，內(nèi)部應(yīng)落實(shí)數(shù)據(jù)標(biāo)注的明確規(guī)則，對(duì)相關(guān)數(shù)據(jù)進(jìn)行標(biāo)注，并通過(guò)開(kāi)展質(zhì)量評(píng)估或人員培訓(xùn)等提高標(biāo)注數(shù)據(jù)的準(zhǔn)確率。3）隱私數(shù)據(jù)合規(guī)義務(wù)在提供AIGC相關(guān)服務(wù)過(guò)程中，服務(wù)提供者應(yīng)保護(hù)個(gè)人信息主體的相關(guān)權(quán)利，如使用個(gè)人信息訓(xùn)練AIGC的應(yīng)在收集處理前獲得個(gè)人信息主體的授權(quán)同意，并建立個(gè)人信息主體權(quán)利響應(yīng)機(jī)制、個(gè)人信息風(fēng)險(xiǎn)評(píng)估機(jī)制等。4）安全評(píng)估和算法備案義務(wù)服務(wù)提供者提供的生成式人工智能服務(wù)具備輿論屬性或者社會(huì)動(dòng)員能力的，應(yīng)當(dāng)開(kāi)展安全評(píng)估并落實(shí)算法備案等行政流程。結(jié)合相關(guān)法律法規(guī)4，新聞、社交、直播、教育、寫(xiě)作、聊天等AIGC服務(wù)提供者開(kāi)展評(píng)估或備案的可能性較高?！稌盒修k法》同時(shí)要求開(kāi)發(fā)者及服務(wù)使用者應(yīng)履行如下義務(wù)：在開(kāi)發(fā)、使用AIGC產(chǎn)品服務(wù)過(guò)程中不得制作、復(fù)制或發(fā)布損害國(guó)家利益、社會(huì)公共利益和他人合法權(quán)益的信息，并應(yīng)積極抵制色情暴力、煽動(dòng)性、誘導(dǎo)性、低俗化等不良影響信息。3.與知識(shí)產(chǎn)權(quán)及不正當(dāng)競(jìng)爭(zhēng)合規(guī)要求相銜接AIGC技術(shù)依賴(lài)于大量數(shù)據(jù)的挖掘和訓(xùn)練，包含圖片、音頻、論文等。這些數(shù)據(jù)多數(shù)非原創(chuàng)數(shù)據(jù)，是通過(guò)一些機(jī)構(gòu)提供內(nèi)容或是網(wǎng)絡(luò)爬蟲(chóng)收集，因此也受到知識(shí)產(chǎn)權(quán)及不正當(dāng)競(jìng)爭(zhēng)相關(guān)法律法規(guī)的規(guī)制。三、AIGC應(yīng)用過(guò)程中不同市場(chǎng)主體合規(guī)風(fēng)險(xiǎn)提示1.開(kāi)發(fā)者可能面臨的合規(guī)風(fēng)險(xiǎn)開(kāi)發(fā)者深度參與AIGC技術(shù)模型的研發(fā)和優(yōu)化，其中主要存在以下合規(guī)風(fēng)險(xiǎn)：數(shù)據(jù)爬取風(fēng)險(xiǎn)：開(kāi)發(fā)者通常使用網(wǎng)絡(luò)爬蟲(chóng)抓取數(shù)據(jù)用于模型訓(xùn)練，若在此過(guò)程中若抓取不當(dāng)，可能侵害其他計(jì)算機(jī)信息系統(tǒng)而承擔(dān)刑事責(zé)任，或因損害抓取網(wǎng)站的市場(chǎng)利益構(gòu)成不正當(dāng)競(jìng)爭(zhēng)，進(jìn)而需承擔(dān)民事賠償、行政罰款等法律責(zé)任。數(shù)據(jù)安全風(fēng)險(xiǎn)：由于AIGC收集和存儲(chǔ)的賬號(hào)信息和對(duì)話(huà)內(nèi)容等數(shù)據(jù)可能會(huì)被共享給供應(yīng)商、服務(wù)提供商等第三方，數(shù)據(jù)共享過(guò)程中可能會(huì)遭到未授權(quán)攻擊者訪(fǎng)問(wèn)和竊取數(shù)據(jù)。若未采取必要的數(shù)據(jù)安全保護(hù)措施，將導(dǎo)致發(fā)生數(shù)據(jù)泄露、用戶(hù)隱私數(shù)據(jù)竊取等數(shù)據(jù)安全風(fēng)險(xiǎn)。合作方權(quán)責(zé)劃分風(fēng)險(xiǎn)：盡管《暫行辦法》將服務(wù)提供者作為主要責(zé)任主體，但其在履行相應(yīng)義務(wù)時(shí)，如管理數(shù)據(jù)和基礎(chǔ)模型來(lái)源、進(jìn)行數(shù)據(jù)標(biāo)注等，勢(shì)必需要開(kāi)發(fā)者的支持協(xié)助。若雙方在進(jìn)行設(shè)計(jì)合作方案時(shí)權(quán)利義務(wù)劃分不清，將導(dǎo)致在應(yīng)對(duì)風(fēng)險(xiǎn)時(shí)無(wú)法快速應(yīng)對(duì)，將損失及風(fēng)險(xiǎn)進(jìn)一步擴(kuò)大。2.服務(wù)提供者可能面臨的合規(guī)風(fēng)險(xiǎn)服務(wù)提供者作為《暫行辦法》主要責(zé)任主體，相較其他主體而言承擔(dān)較重的合規(guī)義務(wù)，其可能面臨的合規(guī)風(fēng)險(xiǎn)主要包括：內(nèi)容管控風(fēng)險(xiǎn)：服務(wù)提供者作為網(wǎng)絡(luò)信息內(nèi)容生產(chǎn)者，需要管理信息內(nèi)容、處置違法信息、管理用戶(hù)使用活動(dòng)、打擊侵害知識(shí)產(chǎn)權(quán)或不正當(dāng)競(jìng)爭(zhēng)行為等。若服務(wù)提供者未對(duì)信息內(nèi)容進(jìn)行合理管控，導(dǎo)致其產(chǎn)品侵害社會(huì)公眾利益、他人合法權(quán)利，則服務(wù)提供者將作為主要責(zé)任方，承擔(dān)因內(nèi)容侵權(quán)引發(fā)的相關(guān)民事、行政及刑事責(zé)任。數(shù)據(jù)安全風(fēng)險(xiǎn)：服務(wù)提供者應(yīng)保證數(shù)據(jù)及模型來(lái)源合法，增強(qiáng)訓(xùn)練數(shù)據(jù)的真實(shí)性、準(zhǔn)確性、客觀性、多樣性，規(guī)范開(kāi)展數(shù)據(jù)標(biāo)注活動(dòng)等合規(guī)義務(wù)。不當(dāng)處理訓(xùn)練數(shù)據(jù)不僅對(duì)產(chǎn)品功能及服務(wù)質(zhì)量產(chǎn)生影響，還會(huì)在遭受惡意攻擊時(shí)產(chǎn)生數(shù)據(jù)泄露風(fēng)險(xiǎn)。個(gè)人信息處理合規(guī)風(fēng)險(xiǎn)：服務(wù)提供者在使用AIGC技術(shù)模型時(shí)可能對(duì)個(gè)人信息進(jìn)行直接或間接處理，由此涉及的個(gè)人信息處理活動(dòng)需遵循個(gè)人信息保護(hù)的相關(guān)合規(guī)要求，如事先獲取個(gè)人信息主體同意，及時(shí)響應(yīng)用戶(hù)權(quán)利行使要求等。若未及時(shí)落實(shí)前述義務(wù)，將面臨警告，沒(méi)收違法所得、責(zé)令暫?；蛘呓K止提供服務(wù)等行政處罰。3.使用者可能面臨的合規(guī)風(fēng)險(xiǎn)使用者主要參與AIGC技術(shù)模型的使用及優(yōu)化階段，隨著AIGC技術(shù)的成熟與發(fā)展，越來(lái)越多企業(yè)作為使用者接入AICG技術(shù)，過(guò)程中可能輸入含有公司商業(yè)秘密或其他敏感數(shù)據(jù)（如重要數(shù)據(jù)，員工敏感個(gè)人信息），該等信息若被用作模型訓(xùn)練并未被合理保護(hù)，將可能發(fā)生敏感數(shù)據(jù)泄露事件，直接導(dǎo)致使用者個(gè)人及企業(yè)遭受財(cái)產(chǎn)損失及聲譽(yù)損害。四、AIGC應(yīng)用與服務(wù)合規(guī)建議及應(yīng)對(duì)措施基于前述分析，AIGC技術(shù)模型在研發(fā)、使用、優(yōu)化等過(guò)程中涉及數(shù)據(jù)提供方、開(kāi)發(fā)者、服務(wù)提供者、使用者等不同主體，各主體面臨的合規(guī)風(fēng)險(xiǎn)亦有差異，普華永道建議企業(yè)通過(guò)采取以下措施開(kāi)展有效的風(fēng)險(xiǎn)管理：1.規(guī)范數(shù)據(jù)處理活動(dòng)，重點(diǎn)關(guān)注數(shù)據(jù)來(lái)源合法性AIGC技術(shù)模型的研發(fā)、使用等可能會(huì)涉及個(gè)人信息或重要數(shù)據(jù)的收集、處理，應(yīng)保障關(guān)注數(shù)據(jù)來(lái)源合法性。即便服務(wù)提供者獲取的訓(xùn)練數(shù)據(jù)來(lái)源于網(wǎng)絡(luò)、語(yǔ)料庫(kù)、論文等公開(kāi)渠道，也應(yīng)當(dāng)避免不正當(dāng)使用爬蟲(chóng)等技術(shù)手段收集訓(xùn)練數(shù)據(jù)，同時(shí)加強(qiáng)對(duì)數(shù)據(jù)提供方等第三方的管控，厘清各方權(quán)責(zé)。另外，因AIGC技術(shù)的不可預(yù)測(cè)性，或是使用不當(dāng)都易發(fā)生數(shù)據(jù)泄露風(fēng)險(xiǎn)，應(yīng)加強(qiáng)防泄漏，建立應(yīng)急預(yù)案。2.開(kāi)展安全評(píng)估及算法備案具有輿論屬性或者社會(huì)動(dòng)員能力的AIGC服務(wù)的服務(wù)提供者需依法履行安全評(píng)估及備案的行政手續(xù)，鑒于立法或執(zhí)法實(shí)踐中尚未對(duì)“有輿論屬性或者社會(huì)動(dòng)員能力的生成式人工智能服務(wù)”形成統(tǒng)一明確標(biāo)準(zhǔn)，企業(yè)需密切關(guān)注法律動(dòng)向，并結(jié)合自身經(jīng)營(yíng)情況判斷是否需履行評(píng)估及備案手續(xù)。3.識(shí)別數(shù)據(jù)跨境場(chǎng)景，開(kāi)展數(shù)據(jù)出境安全評(píng)估無(wú)論是境內(nèi)服務(wù)提供者通過(guò)接入境外API接口后向境內(nèi)使用者提供服務(wù)，還是境外開(kāi)發(fā)者直接面向境內(nèi)公眾提供服務(wù)，均可能發(fā)生數(shù)據(jù)出境，從而觸發(fā)數(shù)據(jù)出境的相關(guān)監(jiān)管。服務(wù)提供者應(yīng)梳理數(shù)據(jù)流轉(zhuǎn)情況，識(shí)別其中跨境情形，按規(guī)定履行評(píng)估申報(bào)、合同備案義務(wù)，依法開(kāi)展數(shù)據(jù)出境活動(dòng)。4.定期開(kāi)展AI模型安全測(cè)評(píng)企業(yè)應(yīng)對(duì)AI模型開(kāi)展安全測(cè)評(píng)，測(cè)評(píng)內(nèi)容包括網(wǎng)絡(luò)安全測(cè)評(píng)和內(nèi)容安全測(cè)評(píng)。網(wǎng)絡(luò)安全測(cè)評(píng)通過(guò)滲透測(cè)試、代碼掃描等安全性測(cè)試手段，檢測(cè)AI應(yīng)用軟件和插件的安全漏洞，并及時(shí)進(jìn)行修復(fù)，避免安全性漏洞造成網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露。內(nèi)容安全檢測(cè)主要檢測(cè)模型是否會(huì)產(chǎn)生有害的、有偏見(jiàn)的、侵權(quán)的、虛假內(nèi)容，并進(jìn)一步確認(rèn)在訓(xùn)練數(shù)據(jù)集、模型、安全模塊或二次開(kāi)發(fā)調(diào)用接口等安全問(wèn)題。5.加強(qiáng)員工培訓(xùn)，提高風(fēng)險(xiǎn)意識(shí)考慮到AI應(yīng)用場(chǎng)景的復(fù)雜性，針對(duì)與AI技術(shù)相關(guān)的團(tuán)隊(duì)和人員開(kāi)展培訓(xùn)至關(guān)重要。AI從業(yè)人員應(yīng)提高自身的認(rèn)知及風(fēng)險(xiǎn)意識(shí)，合理合法使用AI技術(shù)，避免因?yàn)槿藛T的偏見(jiàn)與歧視影響AI模型的可靠性、透明性、可解釋性、公平性和隱私性，觸發(fā)監(jiān)管風(fēng)險(xiǎn)。6.引入AI風(fēng)險(xiǎn)管理專(zhuān)業(yè)角色普華永道最近一項(xiàng)調(diào)查