文 | 史宇航 汇业律师事务所 顾问
一、背景:飞入寻常百姓家
伴随着ChatGPT的热度持续发酵,以及New Bing一票难求,AIGC已经走到门前按下了门铃。企业将AI引入到日常工作中也正在成为大的趋势。人工智能的奇点,已经近在眼前。
企业运用AIGC的能力,可能直接成为核心竞争力与吸引力的组成部分。但AIGC也同时会给企业的合规经营带来了巨大的挑战。与之前造成广泛影响的其他深度合成技术不同,ChatGPT、New Bing、Codex的AIGC已经展示出嵌入日常工作的能力,这意味着深度合成技术在未来可能会成为新的办公标准配置,就像电子邮件、无线网络、Office套件那样。
在办公场景下,起草邮件、撰写文案、绘制海报等场景都可能有AIGC的一席之地。在这样的背景下问题随之而来,网络游戏中能否为NPC添加ChatGPT式的交互功能,能否用AIGC去给编故事、编试题、画插图,能否借助Codex这样的系统写程序,不一而足。
面临着以ChatGPT为代表的新技术冲击,新技术如何在法律框架下发挥最大的潜力,会是企业合规新的难题。而中国是最早对人工智能进行监管的国家之一,《互联网信息服务深度合成管理规定》已经于2023年1月10日施行。此外,此前在《互联网信息服务算法推荐管理规定》《网络音视频信息服务管理规定》《网络信息内容生态治理规定》等法律法规中均涉及深度合成内容。
二、AIGC的法律框架
在中国的法律框架下,设立了深度合成服务提供者、深度合成服务技术支持者以及深度合成服务使用者三类主体:
目前中国法律围绕着深度合成服务提供者为中心构建了监管义务,通过管理规则、平台公约与服务协议来拉平技术支持者与使用者的合规水位,而使用者会直面最终用户,甚至自己就是用户。如果深度合成技术支持者面向使用者提供服务,那么直接服务提供者与服务技术支持者将是同一主体。
根据以上框架,企业如果希望在服务中引入AIGC,则需要关注:
1.与深度合成服务提供者或技术支持者的协议条款。基于合同关系,重点需要关注在使用AI方面有何限制、免责场景。
2.深度合成服务提供者与技术支持者是否履行了《互联网信息服务深度合成管理规定》中的的合规义务。如果深度合成服务提供者与技术支持者无法履行相关义务,则需要法务合规人员将风险进行识别和标记,供公司领导层与业务部门决策是否承担该风险。
而对于计划在中国境内合规提供深度合成技术的机构来说,《互联网信息服务深度合成管理规定》中的各项义务,也是提供服务前的必答题,尤其是算法备案义务。
三、算法备案
算法备案仍是监管部门对算法安全进行管控最重要的方式,如未完成则会成为最明显的风险敞口。因为算法备案的公开性,第三方会将算法是否完成备案作为判断合规水位的一个重要角度。
截至2023年2月,共有三批共223个算法通过了算法备案并进行公示,其中生成合成类共有10个,在完成备案的233个算法中占比并不算高:
目前,通过备案的生成合成类算法主要被运用于智能客服、语音转化、图像识别、视频图像生成等领域。我们对通过算法备案的生成合成类算法进行了整理:
中国的算法备案制度,是基于公司与算法的“双层备案制”。所谓“双层备案制”,即首先需要通过公司层面的备案,对公司算法管理机构、岗位、制度等内容进行考察,并完成公司备案;在完成公司层面的备案后,再对算法本身的情况进行备案,如算法的名称、使用场景、风险防控机制,等等。因此,在备案清单中经常会看到公司对某一产品的不同算法进行备案。
四、隐私与数据保护
如果企业贸然在服务中引入AIGC,则会让用户的隐私与数据安全面临巨大的合规挑战。究其原因,AIGC的改变体现在以下方面:
1.传统聊天软件通常会声称不会收集聊天记录,聊天记录会点对点加密传输,但AIGC不可避免会收集聊天内容用于内容生成并反馈,以及用于算法的训练,所提供的隐私信息甚至可能在其他场景下被披露。简而言之,AIGC改变了隐私的边界与预期。
2.对非结构化数据的收集。传统网络产品对个人信息的收集是较为固定且结构化的,即企业通常会预先设置好计划收集个人信息的类别。但ChatGPT、New Bing这样的聊天机器人不会,它们会随着聊天不断获得用户的隐私与个人信息。会获得哪些数据很难提前预知。这也为隐私政策如何告知用户处理个人信息的类型带来了挑战。
3.信息处理的方式可能是黑箱,这也导致撤回、修改、删除等个人信息权利如何行使会有考验。
4.如果直接选用境外的AIGC技术,有较大可能性会涉及数据出境的问题,且该场景下如何开展数据出境合规可能仍有待探索和研究。
5.当然,通过聊天的形式也有可能更有助于个人信息的保护,比如告知聊天机器人让它帮我们整理个人信息处理规则,告知我们聊天过程中它收集了哪些个人信息,通过自然语言直接要求修改、删除,等等。
概言之,AIGC在交互方面的应用会改变个人信息的保护模式,而且会是算法评估、备案中重点关注的内容之一。企业在引入AIGC提供服务时,需要充分考虑个人信息处理情况的变更,有必要就AIGC到运用,开展个人信息保护影响评估。
五、合规建议
根据我们为提供算法合规的经验,企业如果决定在服务中引入AIGC,不妨:
1.采用敏捷治理模式控制AI风险。通过定向邀请、局部试点,以用户体验计划等灵活形式推出服务,确保使用的服务能够得到充分测试。比如微软在New Bing时就采用了该策略,避免未经充分测试的服务带来无法挽回的影响。
2.就员工内部使用AIGC,制定合规使用政策。在制定规则的过程中,充分与员工进行沟通,征求员工、法务、合规、管理层等利益相关方的意见。并且对规则及时进行更新、完善。在此基础上,就合规使用开展培训,要求使用相关服务的员工充分理解AIGC的使用场景与风险,严格限制使用AIGC时交互信息的范围,涉及个人信息、隐私、商业秘密的信息不得通过AIGC处理。
3.制定企业层面的AI治理架构、伦理政策与规章制度。在人员组成方面确保多样性,充分考虑性别、年龄、地域、学历、部门等多样性因素。引入外部资源,增加相关决策的客观性。
对算法进行动态自评估。算法自评估不是一锤子买卖,而是需要随着算法的调试、完善、不断迭代的一份文件,贯穿于算法的整个生命周期。
4.在与AIGC的外部供应商合作中,如与第三方技术支持者或服务提供者进行合作,应当要求第三方尽可能全面地披露风险与数据处理情况,并就责任承担事宜尽可能清晰地进行约定。
5.向可能被影响的人群告知AIGC的使用情况。如对外服务时告知内容是由AIGC生成,应当警惕内容的风险,或是在对内服务时提升相关内容生成于AICC,确保可能被影响人群的知情权,等等。