“暂行办法”正式问世,护航生成式AI安全发展
发布时间:2024-10-24 | 发布者: 东东工作室 | 浏览次数: 次(原标题:“暂行办法”正式问世,护航生成式AI安全发展)
近日,国家网信办、国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局等七个部门正式公布了《生成式人工智能服务管理暂行办法》(以下简称“《暂行办法》”),该办法将于2023年8月15日施行。此消息一出,代表着我国生成式人工智能领域的监管和规范框架的形成,对于该行业的发展有着重要的指导和监督作用,能够更好地促进生成式人工智能技术的革新和应用。
事实上,《暂行办法》在今年4月11日便以征求意见稿的身份登台亮相,飒姐团队也对此作出了简要评析(见公众号文章《新规解读!生成式人工智能管理办法(征求意见稿)》)。但当时毕竟仅处于征求意见状态,并非最后的成文,因而对于《暂行办法》的正式稿仍有加以说明和强调的必要。飒姐团队今日文章便对《暂行办法》进行解读分析,以供读者朋友们了解其中重点。我们也将把《暂行办法》原文附随在文后供各位读者老友参考,各位点击文后“阅读原文”即可获取。
01《暂行办法》与《征求意见稿》的区别
本次网信办发布的《生成式人工智能服务管理暂行办法》相较于《生成式人工智能服务管理办法(征求意见稿)》(以下简称《征求意见稿》)虽在整体体例上基本保持一致,但条文内容上作了较大的调整。飒姐团队将针对几个较为重要的改动点进行分析。
(一)规制对象
本次《暂行办法》相较于《征求意见稿》首先在规制对象上作了调整,规制目标更明确、针对性更强。根据《暂行办法》第二条,本法仅适用于利用生成式人工智能技术向中华人民共和国境内公众提供服务者,而不再适用于研究、应用人工智能技术、未向境内公众提供人工智能服务者。这体现了国家对于生成式人工智能在研究与应用方面的支持与鼓励,而不以服务提供者的要求限制其发展。
(二)行业发展
关于生成式人工智能的应用场景问题一直引人争议。本次《暂行办法》强调了人工智能技术的“应用”,即有目的性地发展人工智能,要将研究成果转化为生产成果,鼓励其与实际应用场景相结合,与各行业、各领域的需求相结合,提高人工智能投入的转化输出比。
本次《暂行办法》一方面提出了鼓励行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等应开展协作,在共建的基础上发展人工智能;另一方面提出了“公共数据”与“人工智能基础设施”的结合,在数据分类分级的前提下,扩展高质量的公共训练数据资源。这体现了国家对于生成式人工智能发展持看好的态度。企业之间的数据壁垒以及庞大公共数据的闲置,是生成式人工智能发展路程中的两个关键问题。以上规定若能得到落实,有望大幅扩展人工智能训练的数据库,极大促进我国人工智能的建设与发展。
(三)平台责任
本次《暂行办法》新增的第九条明确了生成式人工智能服务提供者的主体地位,即网络信息内容生产者。一方面,根据本条,其须承担相关的责任,并履行网络信息安全义务;另一方面,对其主体身份的强调也将其明确纳入了网络平台责任的规制范围内,而无灰色地带可躲。
此外,本条也强调了其个人信息处理者责任,并要求其应当与注册其服务的使用者签订服务协议,明确双方权利义务,以避免发生纠纷时责任不明。
(四)未成年人保护
本次《暂行办法》增加了人工智能服务提供者的义务,要求其指导使用者科学理性认识和使用生成式人工智能技术,并将采取有效措施防止沉迷的对象由“用户”改成了“未成年用户”,一方面更具有针对性,响应了我国强调保护未成年人的号召;另一方面也给予了服务提供者更大的自由,对于“成年用户”则无须以强监管手段防止其过度依赖或者沉迷。
(五)处置措施
本次《暂行办法》明确了平台责任,并规定了相应的处置措施。一方面,提供者发现平台存在违法内容的,除原来规定外,还应当向有关主管部门报告;另一方面,提供者发现使用者利用人工智能服务从事违法活动的,除原来规定外,还应当保存有关记录,并向有关主管部门报告。以上规定的补充将报告纳入监管体系中,完善了监管链条,有利于打击违法活动,同时也与其他网络监管相关法律法规保持了体系一致性。
02提供者的服务规范
《暂行办法》第三章明确了向境内提供服务的生成式人工智能服务提供者的服务规范。以下归类重点的服务规范:
(一)网络信息安全义务(第九条和第十一条)
提供者应履行的“网络信息安全义务”需与《民法典》、《个人信息保护法》、《网络安全法》、《数据安全法》和《电信和互联网用户个人信息保护规定》中明确的权利、义务及法律责任结合解读。具体而言:
首先,《办法》将使用者的输入信息、使用记录纳入信息保护的范围之中。信息处理的“目的明确”和“最小化处理原则”自然也适用于此,即:(1)有明确且合理的目的、方式、范围,(2)限于实现处理目的的最小范围,不得过度收集个人信息。
其次,敏感个人信息的处理适用更严格的保护措施。我国法律对敏感信息的定义较为宽泛,即关于导致侵犯人格尊严或者危害人身、财产安全的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等,以及不满十四周岁未成年人的个人信息,因而提供者应及时识别敏感个人信息的范畴并予以重视。
另外,海外业已有服务提供者和使用者通过签订服务协议确定权利义务的先例,包括信息处理、知识产权归属等。然而,结合语境,此条应着重在服务协议中明晰信息处理的权责,即确保使用者业已充分知情并同意提供者的信息处理行为。
如前所述,如果提供者未能履行该义务,其将面临《网络安全法》、《数据安全法》、《个人信息保护法》等法律、行政法规下的相关处罚。
(二)标识人工智能生成内容(第十二条)
随着生成式人工智能技术日臻成熟,AIGC的应用不断扩大。然而,利用AIGC传递假新闻、诈骗的风险仍不可小觑。标识人工生成、深度合成的内容以避免误用、滥用及不法行为可以说是成本最低、从根本杜绝的方法。对此《暂行办法》明确规定应按照《互联网信息服务深度合成管理规定》进行标识,这就要求提供者采取技术措施添加不影响用户使用的标识,并依照法律、行政法规和国家有关规定保存日志信息,同时对可能导致公众混淆或者误认的服务,应当在生成或者编辑的信息内容的合理位置、区域进行显著标识,向公众提示深度合成情况。
(三)未成年人防沉迷(第十条)
与《征求意见稿》中圈定“成年人用户”不同的是,《暂行办法》仅要求防范未成年人防沉迷。这与《未成年人保护法》、《预防未成年人犯罪法》及《互联网信息服务算法推荐管理规定》(第十八条)中预防未成年人沉迷网络的要求一致,也放宽了对服务提供者的限制。
(四)反馈机制(第十三、十四、十五条)
设定反馈机制不仅保护了用户的权益,更一定程度地明晰了提供者的法律责任。具体而言,如果提供者未能提供投诉、反馈机制,提供者应负有责任;如果提供者提供该机制却不作为,提供者仍负有责任;如果提供者提供该机制,却因算力限制不能及时回应相关反馈,提供者的责任应不同于“不作为”,在一定程度上予以减轻或免除。
03生成式人工智能行业的角色定位
在生成式人工智能行业中存在着提供者、使用者、监管者以及中间机构四个角色。
提供者无疑处于监管的核心地位,其中尤其需要注意的是提供具有舆论属性或者社会动员能力的生成式人工智能服务的提供者。对于此类提供者,根据《暂行办法》第十七条的规定,需要按照国家有关规定开展安全评估,并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。如在此过程中提供者存在弄虚作假或是不按照规定履行程序的行为,则可能面临警告、通报批评、罚款的行政处罚,严重者甚至可能被责令关闭网站、吊销相关业务许可证或吊销营业执照。
此外,对于提供者而言,最应当警惕的是个人信息、数据安全及网络安全方面的法律风险,三者均要求提供者履行相关的安全保护义务,对个人信息、数据及网络予以一定保障,同时在提供服务的过程中确保个人信息和数据的来源合法、处理合法,并对于跨境数据予以重视,在提供者涉及跨境服务的情况下要求其遵守相关法律法规,否则根据《暂行办法》第二十、二十一条的规定,主管机构能够对其进行行政处罚,严重者甚至构成犯罪。
在此基础上,使用者承担了一定的监督责任。《暂行办法》第十八条明确了使用者的投诉、举报的权利,一旦发现生成式人工智能服务不符合相关规定,便能够向有关主管部门进行投诉、举报。
至于监管者和中间机构,其主要负责发挥监管和诸如安全评估等职能,本质上属于协助者的角色,其定位在于帮助行业健康成长。但也正因为其定位,在履行职责过程中必然会知悉一定的国家秘密、商业秘密、个人隐私和个人信息,故而根据《暂行办法》第十九条的规定,其相关机构和人员因而拥有一定的保密义务,不得泄露或者非法向他人提供。
04写在最后
近年来,我国人工智能领域立法密集,已经基本形成了相应的监管体系,但立法只是监管的第一步,行业要想健康稳定发展离不开执法者和诸多参与者的合力,只有各大参与者各司其职,依法而行,我国人工智能技术的应用才能在合法合规的基础上快速发展,走向繁荣。
本文系未央网专栏作者:肖飒 发表,内容属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!转载请标注:我爱技术网——“暂行办法”正式问世,护航生成式AI安全发展