生成式人工智能個(gè)人信息保護(hù)基本要求

ICSCCS點(diǎn)擊此處添加CCS號(hào)31代替DB31/TXXXX-XXXXBasicrequirementsforpersonalinformationprotectioningenerativearti在提交反饋意見(jiàn)時(shí)，請(qǐng)將您知道的相關(guān)專(zhuān)利連同支持性文件一并附上。IDB31/TXXXX—XXXX 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4基本要求 訓(xùn)練數(shù)據(jù)安全要求 4.1.1訓(xùn)練數(shù)據(jù)采集階段 4.1.2訓(xùn)練數(shù)據(jù)標(biāo)注階段 4.1.3訓(xùn)練數(shù)據(jù)存儲(chǔ)階段 模型安全要求 安全評(píng)估要求 4.3.1安全評(píng)估要求 4.3.2安全評(píng)估測(cè)評(píng)要素 5管理要求 組織架構(gòu)要求 5.1.1組織架構(gòu)及崗位設(shè)置 5.1.2職責(zé)設(shè)置 DB31/TXXXX—XXXX本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任。本文件由上海市互聯(lián)網(wǎng)信息辦公室提出。本文件由上海市信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。本文件起草單位本文件主要起草人：1生成式人工智能個(gè)人信息保護(hù)基本要求本文件規(guī)定了生成式人工智能個(gè)人信息保護(hù)的全生命周期基本要求。本文件適用于為本市生成式人工智能服務(wù)提供者，評(píng)測(cè)機(jī)構(gòu)和主管部門(mén)開(kāi)展生成式人工智能相關(guān)風(fēng)險(xiǎn)評(píng)估工作提供指導(dǎo)。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069—2010信息安全技術(shù)術(shù)語(yǔ)GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范TC260-003生成式人工智能服務(wù)安全基本要求3術(shù)語(yǔ)和定義TC260-003界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1生成式人工智能generativeartificialintelligence利用生成式人工智能技術(shù)向中華人民共和國(guó)境內(nèi)公眾提供生成文本、圖片、音頻、視頻等內(nèi)容。3.2服務(wù)提供者serviceprovider以交互界面、可編程接口等形式提供生成式人工智能服務(wù)的組織或個(gè)人。[來(lái)源：TC260-003，3.1]3.3訓(xùn)練數(shù)據(jù)trainingdata所有直接作為模型訓(xùn)練輸入的數(shù)據(jù)，包括預(yù)訓(xùn)練、優(yōu)化訓(xùn)練過(guò)程中的輸入數(shù)據(jù)。[來(lái)源：TC260-003，3.3]3.4基礎(chǔ)模型foundationmodel在大量數(shù)據(jù)上訓(xùn)練的，用于普適性目標(biāo)、可優(yōu)化適配多種下游任務(wù)的深度神經(jīng)網(wǎng)絡(luò)模型。3.5個(gè)人信息personalinformation以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。[來(lái)源：GB/T25069—2010，3.196]3.6敏感個(gè)人信息sensitivepersonalinformation一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。4基本要求4.1訓(xùn)練數(shù)據(jù)安全要求2DB31/TXXXX—XXXX4.1.1訓(xùn)練數(shù)據(jù)采集階段對(duì)于服務(wù)提供者，數(shù)據(jù)采集階段要求如下：a)使用包含個(gè)人信息的開(kāi)源數(shù)據(jù)時(shí)：1)應(yīng)具有合法的開(kāi)源許可協(xié)議或者相關(guān)授權(quán)文件；2)不得使用敏感個(gè)人信息進(jìn)行模型訓(xùn)練，獲得對(duì)應(yīng)個(gè)人信息主體的單獨(dú)授權(quán)同意，或滿足其他合法使用該生物特征信息的條件除外。b)使用包含個(gè)人信息的自采數(shù)據(jù)時(shí)：1)應(yīng)將個(gè)人信息處理目的、方式和范圍等，以顯著方式告知并取得用戶的同意，或者滿足其他合法處理個(gè)人信息的條件。使用包含敏感個(gè)人信息的自采數(shù)據(jù)時(shí)，應(yīng)取得個(gè)人信息主體的單獨(dú)授權(quán)同意，授權(quán)格式可參考附錄A，或者滿足其他合法使用敏感個(gè)人信息的條件。使用包含人臉等生物特征信息的自采數(shù)據(jù)時(shí)，應(yīng)獲得個(gè)人信息主體的書(shū)面授權(quán)同意，或滿足其他合法使用該生物特征信息的條件；2)可依法采集自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息，但不得采集個(gè)人已經(jīng)明確拒絕的個(gè)人信息，且不得對(duì)個(gè)人權(quán)益有重大影響。3)注：自采數(shù)據(jù)包括自行生產(chǎn)的數(shù)據(jù)以及從互聯(lián)網(wǎng)采集的數(shù)據(jù)。c)使用包含個(gè)人信息的商業(yè)數(shù)據(jù)時(shí)：1)應(yīng)訂立有效合同，明確各方權(quán)利義務(wù)和責(zé)任；2)應(yīng)確保商業(yè)數(shù)據(jù)來(lái)源合法，要求交易方或者合作方承諾數(shù)據(jù)來(lái)源合法，并提供相關(guān)證明文件；3)應(yīng)確認(rèn)交易方或者合作方的數(shù)據(jù)移轉(zhuǎn)行為合法，并審核交易方或者合作方移轉(zhuǎn)數(shù)據(jù)是否滿足法定或者約定的條件；4)在約定的處理目的、處理方式和個(gè)人信息的種類(lèi)等范圍內(nèi)處理個(gè)人信息；變更原先的處理目的、處理方式的，應(yīng)依照法律規(guī)定重新取得個(gè)人同意。d)使用用戶個(gè)人信息時(shí)：1)應(yīng)以顯著方式告知用戶，取得用戶的同意，并保留相關(guān)記錄；2)不得以用戶不同意將其個(gè)人信息用于生成式人工智能訓(xùn)練或者撤回同意為由，拒絕提供生成式人工智能服務(wù)，處理個(gè)人信息屬于提供服務(wù)所必需的除外；3)通過(guò)生成式人工智能向用戶提供服務(wù)的，應(yīng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供便捷的拒絕方式。4.1.2訓(xùn)練數(shù)據(jù)標(biāo)注階段對(duì)于服務(wù)提供者，訓(xùn)練數(shù)據(jù)標(biāo)注階段要求如下：a)對(duì)標(biāo)注人員要求：1)應(yīng)進(jìn)行個(gè)人信息保護(hù)和安全規(guī)范的培訓(xùn)和考核。培訓(xùn)內(nèi)容應(yīng)包括標(biāo)注規(guī)則、標(biāo)注方法等安全要求。應(yīng)考核標(biāo)注人員是否具備上崗資格，制定考核方式和取消上崗資格等安全機(jī)制；2)應(yīng)區(qū)分標(biāo)注和審核階段，確定專(zhuān)門(mén)的標(biāo)注人員，預(yù)留合理的標(biāo)注時(shí)間；3)應(yīng)設(shè)置合理的訪問(wèn)權(quán)限，標(biāo)注人員應(yīng)僅在其工作范圍內(nèi)訪問(wèn)相關(guān)個(gè)人信息；4)應(yīng)簽署保密協(xié)議，標(biāo)注人員對(duì)工作中獲得的個(gè)人信息承擔(dān)相應(yīng)保密義務(wù)。b)對(duì)標(biāo)注規(guī)則要求：1)應(yīng)分別制定功能性標(biāo)注規(guī)則和安全性標(biāo)注規(guī)則。功能性標(biāo)注應(yīng)能夠用于指導(dǎo)標(biāo)注人員按照個(gè)人信息特點(diǎn)生產(chǎn)具備真實(shí)性和準(zhǔn)確性的訓(xùn)練數(shù)據(jù)，包含正反例信息，使標(biāo)注人員能夠依據(jù)標(biāo)注規(guī)則正確執(zhí)行標(biāo)注任務(wù)；安全性標(biāo)注應(yīng)能夠指導(dǎo)標(biāo)注人員圍繞訓(xùn)練數(shù)據(jù)和生成內(nèi)容的個(gè)人信息安全風(fēng)險(xiǎn)進(jìn)行標(biāo)注，對(duì)個(gè)人信息的常見(jiàn)安全風(fēng)險(xiǎn)均應(yīng)有對(duì)應(yīng)的標(biāo)注規(guī)則；2)應(yīng)制定合理的標(biāo)注規(guī)則，標(biāo)注中不得包含歧視等不合理的內(nèi)容。c)對(duì)標(biāo)注內(nèi)容的準(zhǔn)確性要求：31)應(yīng)對(duì)每一批包含個(gè)人信息的訓(xùn)練數(shù)據(jù)進(jìn)行人工抽檢，發(fā)現(xiàn)內(nèi)容中包含未經(jīng)授權(quán)的個(gè)人信息的，該批次標(biāo)注的訓(xùn)練數(shù)據(jù)作廢；2)對(duì)安全性標(biāo)注，標(biāo)注的訓(xùn)練數(shù)據(jù)包含個(gè)人信息時(shí)，應(yīng)由至少一名審核人員審核通過(guò)。4.1.3訓(xùn)練數(shù)據(jù)存儲(chǔ)階段對(duì)于服務(wù)提供者，訓(xùn)練數(shù)據(jù)存儲(chǔ)階段要求如下：a)應(yīng)對(duì)包含個(gè)人信息的安全性標(biāo)注的訓(xùn)練數(shù)據(jù)進(jìn)行隔離存儲(chǔ)。對(duì)包含敏感個(gè)人信息的安全性標(biāo)注的訓(xùn)練數(shù)據(jù)，應(yīng)進(jìn)行物理或邏輯隔離存儲(chǔ)，并采用加密技術(shù)，防止未經(jīng)授權(quán)的訪問(wèn)和泄露。b)應(yīng)根據(jù)應(yīng)用場(chǎng)景和數(shù)據(jù)形態(tài)對(duì)個(gè)人信息脫敏，針對(duì)視頻、圖像、語(yǔ)音、文本、結(jié)構(gòu)化等不同情形，明確敏感數(shù)據(jù)類(lèi)型、對(duì)敏感個(gè)人信息脫敏。4.2模型安全要求4.2.1模型研發(fā)階段對(duì)于服務(wù)提供者，模型訓(xùn)練數(shù)據(jù)存儲(chǔ)階段要求如下：a)需根據(jù)相關(guān)法律法規(guī)，對(duì)研發(fā)、計(jì)算和推理環(huán)境采取必要的安全措施，避免個(gè)人信息數(shù)據(jù)泄露；b)應(yīng)采取技術(shù)措施，避免在模型研發(fā)過(guò)程引入因個(gè)人信息導(dǎo)致的歧視等不合理對(duì)待；c)宜采取技術(shù)措施，使得用戶個(gè)人信息可在研發(fā)完成的模型中被刪除。4.2.2模型服務(wù)階段對(duì)于服務(wù)提供者，模型服務(wù)階段技術(shù)要求如下：a)應(yīng)能夠分辨并且拒絕將用戶輸入的侮辱、誹謗等違法或者不良個(gè)人信息納入訓(xùn)練數(shù)據(jù)；b)應(yīng)能夠在生成內(nèi)容輸出前進(jìn)行自動(dòng)檢測(cè)，避免輸出敏感個(gè)人信息，醫(yī)療等特殊場(chǎng)景除外；c)應(yīng)增強(qiáng)生成內(nèi)容的準(zhǔn)確性和完整性，減少生成錯(cuò)誤、片面的個(gè)人信息；d)宜具備對(duì)越獄攻擊、指令泄露，以及成員推斷攻擊、數(shù)據(jù)提取攻擊、屬性推斷攻擊等攻擊形式進(jìn)行防御的能力；e)如在語(yǔ)音克隆等場(chǎng)景中需要采集個(gè)人信息的，應(yīng)獲得用戶的授權(quán)同意。還應(yīng)明確告知用戶聲音數(shù)據(jù)的使用目的、存儲(chǔ)期限、共享情況等信息，并提供便捷的撤回方式。對(duì)于服務(wù)提供者，模型服務(wù)階段審計(jì)要求如下：a)應(yīng)對(duì)個(gè)人信息保護(hù)政策、安全制度或措施的有效性進(jìn)行審計(jì)；b)應(yīng)定期針對(duì)人工智能系統(tǒng)組件日志開(kāi)展日志審計(jì)工作；c)應(yīng)及時(shí)處理審計(jì)過(guò)程中發(fā)現(xiàn)的個(gè)人信息違規(guī)使用、濫用等情況；d)對(duì)于服務(wù)提供者，模型服務(wù)階段其他要求如下：e)應(yīng)將個(gè)人信息處理規(guī)則（包括用途等）以顯著方式告知并獲得用戶授權(quán)同意。f)應(yīng)采取技術(shù)手段，確認(rèn)用戶是否是未成年人，屬于未成年人情形的，需開(kāi)啟未成年人保護(hù)模式。g)如對(duì)境外提供模型服務(wù)的，應(yīng)采取技術(shù)措施，確保境內(nèi)采集的個(gè)人信息無(wú)法在境外服務(wù)中被用戶獲取。4.2.3模型下線階段對(duì)服務(wù)提供者，模型下線階段要求如下：a)應(yīng)及時(shí)清除模型中所包含的個(gè)人信息，除非確有法律法規(guī)、行業(yè)規(guī)定等具體文件要求除外。b)對(duì)于模型更替下線、模型整體下線其要求分別如下：1)模型更替下線：應(yīng)在更替過(guò)程中，采取必要的安全措施，防止數(shù)據(jù)在遷移過(guò)程中被篡改或竊取。2)模型整體下線：應(yīng)對(duì)模型相關(guān)的所有數(shù)據(jù)、配置文件、日志文件等進(jìn)行徹底清理，確保不留任何殘留數(shù)據(jù)。4.3安全評(píng)估要求4.3.1安全評(píng)估要求4DB31/TXXXX—XXXX對(duì)服務(wù)提供者的要求如下：a)應(yīng)建立個(gè)人信息保護(hù)影響評(píng)估制度，評(píng)估并處置提供生成式人工智能服務(wù)過(guò)程中相關(guān)個(gè)人信息處理活動(dòng)存在的安全風(fēng)險(xiǎn)；b)應(yīng)根據(jù)制定的個(gè)人信息保護(hù)影響評(píng)估制度，根據(jù)法律法規(guī)的要求，執(zhí)行個(gè)人信息保護(hù)影響評(píng)估活動(dòng)；c)個(gè)人信息保護(hù)影響評(píng)估活動(dòng)可由服務(wù)提供者自行組織開(kāi)展，也可委托外部第三方專(zhuān)業(yè)機(jī)構(gòu)執(zhí)行；d)在生成式人工智能產(chǎn)品或服務(wù)發(fā)布前，或業(yè)務(wù)功能發(fā)生重大變化時(shí)，應(yīng)開(kāi)展個(gè)人信息保護(hù)影響評(píng)估；e)在法律法規(guī)對(duì)服務(wù)提供者提出個(gè)人信息保護(hù)方面新的要求，或在業(yè)務(wù)模式、基礎(chǔ)模型、信息系統(tǒng)、運(yùn)行環(huán)境發(fā)生重大變更時(shí)，應(yīng)開(kāi)展個(gè)人信息保護(hù)影響評(píng)估；f)應(yīng)針對(duì)生成內(nèi)容中涉及的個(gè)人信息部分，每年至少開(kāi)展一次個(gè)人信息保護(hù)影響評(píng)估；g)當(dāng)發(fā)生個(gè)人信息安全事件，導(dǎo)致大量個(gè)人信息主體權(quán)益受損或產(chǎn)生一定社會(huì)影響時(shí)，應(yīng)委托外部機(jī)構(gòu)重新開(kāi)展相關(guān)的個(gè)人信息保護(hù)影響評(píng)估工作；h)應(yīng)形成書(shū)面的個(gè)人信息保護(hù)影響評(píng)估報(bào)告并存檔備查，對(duì)于開(kāi)展個(gè)人信息保護(hù)影響評(píng)估過(guò)程中發(fā)現(xiàn)的問(wèn)題，應(yīng)及時(shí)采取補(bǔ)救措施并于報(bào)告中記錄。4.3.2安全評(píng)估測(cè)評(píng)要素服務(wù)提供者應(yīng)參照GB/T39335-2020的流程和內(nèi)容，開(kāi)展個(gè)人信息保護(hù)影響評(píng)估工作，主要評(píng)估個(gè)人信息處理活動(dòng)遵循個(gè)人信息安全基本原則的情況以及個(gè)人信息處理活動(dòng)對(duì)個(gè)人信息主體合法權(quán)益的影響，并重點(diǎn)評(píng)估內(nèi)容如下：a)采集用戶信息作為語(yǔ)料或使用用戶輸入信息作為語(yǔ)料時(shí)，是否遵循目的明確、告知同意、最小必要等原則；b)使用個(gè)人信息進(jìn)行模型訓(xùn)練、使用個(gè)人信息作為語(yǔ)料生成內(nèi)容、輸出包含個(gè)人信息的語(yǔ)料等個(gè)人信息處理行為是否可能對(duì)個(gè)人信息主體合法權(quán)益造成不利影響，包括是否會(huì)危害人身和財(cái)產(chǎn)安全、損害個(gè)人名譽(yù)和身心健康、引發(fā)差別性待遇等；c)所采取的個(gè)人信息安全措施是否能夠保障個(gè)人信息安全；d)去標(biāo)識(shí)化后處理的個(gè)人信息被重新識(shí)別出個(gè)人信息主體的風(fēng)險(xiǎn)；e)共享、轉(zhuǎn)讓個(gè)人信息對(duì)個(gè)人信息主體合法權(quán)益可能產(chǎn)生的不利影響。5管理要求5.1組織架構(gòu)要求5.1.1組織架構(gòu)及崗位設(shè)置對(duì)于服務(wù)提供者要求如下：a)應(yīng)建立個(gè)人信息保護(hù)組織架構(gòu)，明確個(gè)人信息保護(hù)機(jī)構(gòu)；在機(jī)構(gòu)設(shè)置上可和數(shù)據(jù)安全保護(hù)機(jī)構(gòu)相重合；b)應(yīng)根據(jù)法律法規(guī)規(guī)定，任命個(gè)人信息保護(hù)負(fù)責(zé)人，個(gè)人信息保護(hù)負(fù)責(zé)人應(yīng)熟悉生成式人工智能產(chǎn)品和服務(wù)，并具有相關(guān)管理工作經(jīng)歷和個(gè)人信息保護(hù)專(zhuān)業(yè)知識(shí)。5.1.2職責(zé)設(shè)置對(duì)于服務(wù)提供者，個(gè)人信息保護(hù)機(jī)構(gòu)及個(gè)人信息保護(hù)負(fù)責(zé)人的職責(zé)應(yīng)包括但不限于：a)制定、實(shí)施和定期更新同提供生成式人工智能服務(wù)有關(guān)的個(gè)人信息保護(hù)政策和相關(guān)規(guī)程；b)監(jiān)督內(nèi)部及與外部合作方（如第三方基礎(chǔ)模型提供者、語(yǔ)料提供方等）的個(gè)人信息安全管理；c)開(kāi)展個(gè)人信息安全影響評(píng)估，提出生成式人工智能個(gè)人信息保護(hù)相關(guān)的對(duì)策建議；d)在生成式人工智能產(chǎn)品或服務(wù)上線發(fā)布前進(jìn)行技術(shù)檢測(cè)，避免未知（與提供生成式人工智能服務(wù)無(wú)關(guān)或與公開(kāi)的個(gè)人信息保護(hù)規(guī)則不符）的個(gè)人信息收集、使用、傳輸?shù)忍幚硇袨?；e)及時(shí)受理來(lái)自用戶或其他個(gè)人信息主體的投訴。55.1.3資源配置服務(wù)提供者應(yīng)為個(gè)人信息保護(hù)機(jī)構(gòu)及個(gè)人信息保護(hù)負(fù)責(zé)人提供必要的資源，保障其獨(dú)立履行職責(zé)。5.2人員管理要求5.2.1錄用前管理對(duì)于服務(wù)提供者要求如下：a)錄用前應(yīng)對(duì)員工進(jìn)行背景調(diào)查，了解其犯罪記錄、誠(chéng)信狀況等；b)應(yīng)與所有可訪問(wèn)個(gè)人信息的員工簽署保密協(xié)議，或在勞動(dòng)合同中設(shè)置保密條款。5.2.2在崗管理對(duì)于服務(wù)提供者要求如下：a)應(yīng)明確涉及個(gè)人信息處理的各層級(jí)內(nèi)設(shè)部門(mén)和相關(guān)崗位人員的安全職責(zé)，并通過(guò)安全制度建設(shè)，對(duì)員工提出個(gè)人信息保護(hù)的指引和要求；b)涉及個(gè)人信息處理崗位的相關(guān)人員，在調(diào)離崗位時(shí)，應(yīng)立即調(diào)整和完成相關(guān)人員對(duì)個(gè)人信息訪問(wèn)、使用等權(quán)限的調(diào)整，并要求相關(guān)人員繼續(xù)履行個(gè)人信息保密責(zé)任；c)應(yīng)定期（至少每年一次）或在個(gè)人信息保護(hù)政策發(fā)生重大變化時(shí)，對(duì)個(gè)人信息處理崗位上的相關(guān)人員開(kāi)展專(zhuān)業(yè)化培訓(xùn)和考核，確保相關(guān)人員熟練掌握個(gè)人信息保護(hù)政策和相關(guān)規(guī)程，并留存相關(guān)記錄；d)人工智能系統(tǒng)開(kāi)發(fā)人員、測(cè)試人員與運(yùn)維人員之間不應(yīng)相互兼崗。5.2.3離職前管理對(duì)于服務(wù)提供者要求如下：a)與員工終止勞動(dòng)合同時(shí)，應(yīng)立即終止并收回其對(duì)個(gè)人信息的訪問(wèn)權(quán)限（包括用戶數(shù)據(jù)庫(kù)、語(yǔ)料庫(kù)等）；b)與員工終止勞動(dòng)合同時(shí)，應(yīng)要求員工繼續(xù)履行對(duì)所獲知的個(gè)人信息的保密義務(wù)。5.3安全事件處置制度要求1.1.1安全事件應(yīng)急處置和報(bào)告對(duì)于服務(wù)提供者要求如下：a)應(yīng)制定個(gè)人信息安全事件應(yīng)急預(yù)案；b)應(yīng)定期（至少每年一次）組織內(nèi)部相關(guān)人員開(kāi)展內(nèi)部應(yīng)急響應(yīng)培訓(xùn)和演練；c)發(fā)生個(gè)人信息泄露、篡改、丟失等安全事件后，應(yīng)及時(shí)采取必要措施控制事態(tài)發(fā)展，消除安全d)應(yīng)記錄事件內(nèi)容，分析和調(diào)查事件產(chǎn)生的原因，評(píng)估事件可能造成的影響；e)若系因輸出生成內(nèi)容而導(dǎo)致的個(gè)人信息安全事件，應(yīng)立即采取技術(shù)手段對(duì)輸出內(nèi)容進(jìn)行監(jiān)測(cè)，防止事件擴(kuò)大；f)應(yīng)按照法律法規(guī)等有關(guān)規(guī)定及時(shí)上報(bào)主管部門(mén)。1.1.2安全事件告知對(duì)于服務(wù)提供者要求如下：a)應(yīng)及時(shí)將安全事件相關(guān)情況以郵件、信函、電話、推送通知等方式告知受影響的個(gè)人信息主體。難以逐一告知個(gè)人信息主體時(shí)，應(yīng)采取合理、有效的方式發(fā)布與公眾有關(guān)的警示信息；b)告知的內(nèi)容應(yīng)符合法律法規(guī)及GB/T39335-2020關(guān)于安全事件告知的規(guī)定。6DB31/TXXXX—XXXX（資料性）生成式人工智能敏感個(gè)人信息授權(quán)書(shū)模板本人，身份證號(hào)碼（以下簡(jiǎn)稱“授權(quán)方”自愿同意參加貴方就項(xiàng)目組織并實(shí)施的（結(jié)合具體情況明確采集用途并承諾對(duì)以下事項(xiàng)充分知曉并同意，且授權(quán)本人合法監(jiān)護(hù)人，身份證號(hào)碼（以下簡(jiǎn)稱“監(jiān)護(hù)人”）代本人簽署本授權(quán)書(shū)（如涉及監(jiān)護(hù)人以下簡(jiǎn)稱為“被授權(quán)施采集本人的以下個(gè)人信息和數(shù)據(jù)（包括個(gè)人敏感信息）在以下指定范圍內(nèi)儲(chǔ)存、使用、加工、傳輸、公開(kāi)或刪除等（以下統(tǒng)稱為“處理”1)采集數(shù)據(jù)類(lèi)型、內(nèi)容及用途（以下具體列舉采集的類(lèi)型及用途例如a)生物識(shí)別信息，包括人臉信息、聲紋、虹膜等；b)個(gè)人健康信息，包括醫(yī)療記錄、各項(xiàng)生理指