学术研究

Publications

全文解读《生成式人工智能服务管理办法(征求意见稿)》,人工智能立法还需进一步体系化

发布日期:2023年04月12日 作者:陆晖

从年初至今,以ChatGPT为代表的人工智能引爆了科技界,国内百度、商汤、阿里等公司纷纷推出相应的产品和服务。4月11日,国家互联网信息办公室发布关于《生成式人工智能服务管理办法(征求意见稿)》公开征求意见的通知,该《办法》的出台预示着我国在人工智能立法上再进一步,笔者作为法律实务者,尝试结合人工智能产业,对《办法》进行逐条梳理。

 

第一条 为促进生成式人工智能健康发展和规范应用,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规,制定本办法。

 

解读:除上述三部法律以外,还要结合《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》等法规,共同构成生成式人工智能服务的法律规范,而且本《办法》有不少条款是在重申上述两部“规定”已有规定,如本《办法》第四条第(一)款“应当体现社会主义核心价值观”与《互联网信息服务算法推荐管理规定》第六条、《互联网信息服务深度合成管理规定》第四条的表述虽有差异,但本质要求相一致。

 

第二条 研发、利用生成式人工智能产品,面向中华人民共和国境内公众提供服务的,适用本办法。

本办法所称生成式人工智能,是指基于算法、模型、规则生成文本、图片、声音、视频、代码等内容的技术。

 

解读:只要面向中国境内公众提供服务的均要求适用本办法,且不区分提供产品和服务的主体是否位于境内,意味着境内外的产品服务提供者希望在中国境内开展业务的,要接受中国监管部门的监管。微软宣布其产品全面接入人工智能Copilot,Copilot要在中国运营并向中国公众提供服务,就要全面符合本办法的各项规定,比如按本办法第六条要求向网信申报安全评估,对算法进行备案。

 

第三条 国家支持人工智能算法、框架等基础技术的自主创新、推广应用、国际合作,鼓励优先采用安全可信的软件、工具、计算和数据资源。

 

解读:表明国家对人工智能技术和产业持鼓励的态度,至于何为“安全可信”的标准,虽在本办法中没有具体列举,但可以认为符合前述各项法律法规要求且接受中国监管的,视为“安全可信”。

 

第四条 提供生成式人工智能产品或服务应当遵守法律法规的要求,尊重社会公德、公序良俗,符合以下要求:

(一)利用生成式人工智能生成的内容应当体现社会主义核心价值观,不得含有颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,暴力、淫秽色情信息,虚假信息,以及可能扰乱经济秩序和社会秩序的内容。

(二)在算法设计、训练数据选择、模型生成和优化、提供服务等过程中,采取措施防止出现种族、民族、信仰、国别、地域、性别、年龄、职业等歧视。

(三)尊重知识产权、商业道德,不得利用算法、数据、平台等优势实施不公平竞争。

(四)利用生成式人工智能生成的内容应当真实准确,采取措施防止生成虚假信息。

(五)尊重他人合法利益,防止伤害他人身心健康,损害肖像权、名誉权和个人隐私,侵犯知识产权。禁止非法获取、披露、利用个人信息和隐私、商业秘密。

 

解读:本条第一至五款内容,在《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》中均有相同或相似的规定,可以看到关于互联网技术的监管保持一致性。值得注意的是第四款“利用生成式人工智能生成的内容应当真实准确,采取措施防止生成虚假信息”,这对服务提供者提出了明确要求,即对生成的内容负责,保证真实准确。从法律术语来看,该条款的要求非常高,服务提供者要对内容进行实质性审查,不能“一本正经地胡说八道”。服务提供者要采取何种技术手段能达到上述要求,或者建立某种责任豁免制度,在尽到最大注意义务后可以免责。

 

同时也要注意第五款“禁止非法获取、披露、利用个人信息和隐私、商业秘密”,该要求并不囿于本办法的范围,如果非法获取信息的行为和结果严重,还可能涉嫌触犯刑法中的“非法侵入计算机信息系统罪”、“非法获取计算机信息系统数据、非法控制计算机信息系统罪”等罪名。

 

第五条 利用生成式人工智能产品提供聊天和文本、图像、声音生成等服务的组织和个人(以下称“提供者”),包括通过提供可编程接口等方式支持他人自行生成文本、图像、声音等,承担该产品生成内容生产者的责任;涉及个人信息的,承担个人信息处理者的法定责任,履行个人信息保护义务。

 

解读:这是对人工智能生成内容的合法性要求,这里的主体包括服务提供者和通过可编程接口(API)调用人工智能服务的产品提供者,上述两类主体不仅仅要对技术负责,同时对其生成内容的合法性负责。如果把人工智能产品服务提供者视为平台,把通过API接口调用服务的产品提供者视为应用(app),该条规定要求平台与应用承担同样责任。如果类比电子商务平台与商家、社交平台与账号的责任划分与承担,本办法加重了人工智能平台的法律责任。

 

第六条 利用生成式人工智能产品向公众提供服务前,应当按照《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》向国家网信部门申报安全评估,并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。

 

解读:本条规定并非要求人工智能产业实施“牌照”制度,但人工智能服务产品提供者在运营前,要进行安全评估、算法备案,可视为有限度的“行政审批”。而后续对于产业是否实施牌照制度,可能要结合整体产业的发展再作规划,在当前应当以鼓励为主,避免过多的审批程序。

 

第七条 提供者应当对生成式人工智能产品的预训练数据、优化训练数据来源的合法性负责。

用于生成式人工智能产品的预训练、优化训练数据,应满足以下要求:

(一)符合《中华人民共和国网络安全法》等法律法规的要求;

(二)不含有侵犯知识产权的内容;

(三)数据包含个人信息的,应当征得个人信息主体同意或者符合法律、行政法规规定的其他情形;

(四)能够保证数据的真实性、准确性、客观性、多样性;

(五)国家网信部门关于生成式人工智能服务的其他监管要求。

 

解读:进行模型训练的数据、语料作为人工智能必不可少的元素,有观点认为如果无序获取数据,可能导致侵害他人合法数据,成为人工智能“原罪”。而我们也看到国外有相关的案件为数据所有者认为人工智能公司获取的数据、信息侵害了相关权益,从而提起诉讼。本办法要求数据的来源合法,其中第一款要求符合《网络安全法》的规定,《网络安全法》第四章“网络信息安全”规定了信息收集、使用、传输、保密等方面的要求,如果人工智能产品服务提供者要自行收集信息,则需遵守上述规定。

 

不过从公司运营的角度来看,人工智能公司未必会自行收集数据,可以通过公开的数据交易所进行数据交易,既可以解决合法性问题又提高效率,这有赖于国内大数据产品的提供,如果能打通“数据—人工智能”的上下游产业链条,可以形成多赢的良性局面。

 

第八条 生成式人工智能产品研制中采用人工标注时,提供者应当制定符合本办法要求,清晰、具体、可操作的标注规则,对标注人员进行必要培训,抽样核验标注内容的正确性。

 

解读:在中文语义下对标注规则进行统一规定,可以提高效率,推进训练成果。

 

第九条 提供生成式人工智能服务应当按照《中华人民共和国网络安全法》规定,要求用户提供真实身份信息。

 

解读:网络实名制的必然要求。服务提供者在收集了用户的身份信息后要承担保密责任,要有相应该的设备和技术支持保证用户身份信息不外泄。

 

第十条 提供者应当明确并公开其服务的适用人群、场合、用途,采取适当措施防范用户过分依赖或沉迷生成内容。

 

解读:类似于游戏公司要建立防沉迷系统,避免用户心理上的依赖和沉迷,要控制用户的使用频率和时间,对于人工智能公司而言技术上并不难实现。

 

第十一条 提供者在提供服务过程中,对用户的输入信息和使用记录承担保护义务。不得非法留存能够推断出用户身份的输入信息,不得根据用户输入信息和使用情况进行画像,不得向他人提供用户输入信息。法律法规另有规定的,从其规定。

 

解读:该条规定在《个人信息保护法》中有相同或相似的规定,个保法第24条规定不得利用个人信息进行画像。通过对比《互联网信息服务算法推荐管理规定》第10条“算法推荐服务提供者应当加强用户模型和用户标签管理,完善记入用户模型的兴趣点规则和用户标签管理规则”,该条规定更为详细,本办法可以借鉴。

 

第十二条 提供者不得根据用户的种族、国别、性别等进行带有歧视性的内容生成。

 

解读:这是社会主义核心价值的体现,必须执行到位。

 

第十三条 提供者应当建立用户投诉接收处理机制,及时处置个人关于更正、删除、屏蔽其个人信息的请求;发现、知悉生成的文本、图片、声音、视频等侵害他人肖像权、名誉权、个人隐私、商业秘密,或者不符合本办法要求时,应当采取措施,停止生成,防止危害持续。

 

解读:首先,该条应当明确责任主体是否包括通过可编程接口(API)调用人工智能服务的产品提供者;其次责任形式仍遵循“通知—删除”范式,既是对服务者的责任约束,同时也是“有限度责任”的法律依据。当然,权利受到侵害的主体有权向相关主体主张侵权责任。

 

第十四条 提供者应当在生命周期内,提供安全、稳健、持续的服务,保障用户正常使用。

 

解读:即使没有该规定,运营主体自身亦有持续运营的动力和意愿,但属于市场竞争范畴的内容不宜作为强制性规定。

 

第十五条 对于运行中发现、用户举报的不符合本办法要求的生成内容,除采取内容过滤等措施外,应在3个月内通过模型优化训练等方式防止再次生成。

 

解读:实质上对于违反本办法的服务提供者,给出3个月的时间修改模型和算法,对于服务提供者而言,除了考虑静态的单项内容,更要考察动态的多项内容,能否在规定时间内完成规定动作。

 

第十六条 提供者应当按照《互联网信息服务深度合成管理规定》对生成的图片、视频等内容进行标识。

 

解读:见于2023年1月10日施行的《互联网信息服务深度合成管理规定》第16、17、18条,规定五类场景属于强制性标识,其他场景由使用者选择是否标识。该五类场景的第一类为“智能对话、智能写作等模拟自然人进行文本的生成或者编辑服务”,按此规定微软的Copilot功能生产的文字、PPT等内容,亦属于强制标识范围。

 

第十七条 提供者应当根据国家网信部门和有关主管部门的要求,提供可以影响用户信任、选择的必要信息,包括预训练和优化训练数据的来源、规模、类型、质量等描述,人工标注规则,人工标注数据的规模和类型,基础算法和技术体系等。

 

解读:该规定对于人工智能产品服务提供者来说,承担较重的申报责任,相关内容可能会涉及商业秘密、关键数据等核心要素,建议重视该条规定,在征求意见期限内充分酝酿评估。

 

第十八条 提供者应当指导用户科学认识和理性使用生成式人工智能生成的内容,不利用生成内容损害他人形象、名誉以及其他合法权益,不进行商业炒作、不正当营销。

用户发现生成内容不符合本办法要求时,有权向网信部门或者有关主管部门举报。

 

解读:明确人工智能产品服务提供者的责任和用户的举报权利,同时该规定也是网信部门和有关主管部门的工作职责,而且后者更为重要,上述部门应当建立相应的举报受理制度,接受公众举报,不得推诿。

 

第十九条 提供者发现用户利用生成式人工智能产品过程中违反法律法规,违背商业道德、社会公德行为时,包括从事网络炒作、恶意发帖跟评、制造垃圾邮件、编写恶意软件,实施不正当的商业营销等,应当暂停或者终止服务。

 

解读:技术上不难做到,目前社交平台的封号、禁言等措施,属于同类型措施。

 

第二十条 提供者违反本办法规定的,由网信部门和有关主管部门按照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规的规定予以处罚。

法律、行政法规没有规定的,由网信部门和有关主管部门依据职责给予警告、通报批评,责令限期改正;拒不改正或者情节严重的,责令暂停或者终止其利用生成式人工智能提供服务,并处一万元以上十万元以下罚款。构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

 

解读:从行政处罚、治安管理处罚到追究刑事责任,责任依次加重。

 

第二十一条 本办法自2023年 月 日起实施。

 

解读:预计今年施行。

 

最后总结,《办法》仍沿袭由网信部门制定规章的做法,对人工智能的某一部分——人工智能生成内容(AIGC)进行立法,这在面对快速革新的产业不失为反应敏捷的权宜之策。但是必须要看到该做法有失之全局之虞,尤其是和其他部门法比如知识产权法,产生冲突时,问题始终需要解决。类似于语言大模型训练所需的语料、数据如何获取,访问他人享有权利的信息如何平衡权利与效率,使用程序自动“抓取”数据在何种场景可以责任豁免,《办法》中仅作“数据来源合法”的原则性要求。未有更具体规定。如果我们认为人工智能是新兴产业方向,则不能固守原有权利模式,更应顺应产业发展,协调不同权利之间的利益与矛盾,以法律回应社会生活。

分享 :

投诉电话:

  • +86-10-6652 3366

咨询电话:

  • 北京:+86-10-6652 3388
  • 上海:+86-21-6106 0889
  • 深圳:+86-755-3398 8188
  • 广州:+86-20-8551 1672
© 1995-2023

君泽君律师事务所版权所有。 京ICP备17030563号-1

君泽君香港分所与尼克松·郑林胡律师行联营