文 | 史宇航 汇业律师事务所 顾问
一、背景与联动
随着2023年上半年生成式人工智能(“生成式AI”)的爆发,各国(区域)立法机构与执法机构对生成式AI的监管竞赛也随之到来。欧盟的EU AI Act已经箭在弦上,我国也将《人工智能法》纳入立法规划,美国也在快马加鞭抢占监管的制高点。
随着《生成式人工智能服务管理暂行办法》在2023年7月颁布,该暂行办法与《互联网信息服务深度合成管理规定》与《互联网信息服务算法推荐管理规定》形成了AI监管的三足鼎立之势,我国关于人工智能与算法的监管已经初具雏形。这三项法规与更上位的《网络安全法》《数据安全法》《个人信息保护法》《科学技术进步法》共同构成了“前《人工智能法》时代”算法与人工智能的监管框架。因为《科学技术进步法》的存在,意味着科技伦理审查将在生成式AI的监管中扮演重要角色。
《生成式人工智能服务管理暂行办法》在条款中直接与《互联网信息服务深度合成管理规定》中的标识制度、《互联网信息服务算法推荐管理规定》中的算法备案制度形成联动。因为暂行办法本身仅适用于面向公众的场景,因此不可避免具有舆论属性或社会动员能力,需要完成算法备案。
“深度合成技术”“生成式人工智能”与“算法推荐技术”三个概念关系密切,可以对比的区别:
二、适用范围
《生成式人工智能服务管理暂行办法》适用于什么情形非常重要,但不适用于什么场景同样重要。此次暂行办法罕见地规定了“……研发、应用生成式人工智能技术,未向境内公众提供生成式人工智能服务的,不适用本办法的规定。”这充分体现了暂行办法对生成式人工智能服务实行包容审慎的态度。
《生成式人工智能服务管理暂行办法》的适用范围被限制在面向境内公众,即在面向境外公众、面向境外非公众、面向境内非公众的情况下可以不适用暂时办法。具体言之,面向企业内部的生成式人工智能产品不适用,面向特定企业客户的生成式人工智能产品同样不适用该暂行办法。此外,企业面向境外公众提供生成式人工智能产品也同样不适用。如出海电商使用ChatGPT提供客服支持,就不适用该暂行办法。
三、责任主体与合规项
生成式人工智能服务提供者,是指利用生成式人工智能技术提供生成式人工智能服务(包括通过提供可编程接口等方式提供生成式人工智能服务)的组织、个人。
我们通过可视图的形式,简单梳理提供者相关的法律关系:
四、训练数据与数据训练
训练数据的合法性问题饱受关注。算法如果缺少优质训练数据,就会像千里马吃不饱饭一样,导致“食不饱,力不足,才美不外见”。而如何合法合规地获取数据,在个人信息、知识产权角度都面临显著的法律挑战。OpenAI就因为训练数据中的版权与个人信息问题导致需要应对多起诉讼。
在《生成式人工智能服务管理暂行办法》中,讨论了训练数据合法性的标准,笔者觉得很适合对比此前的征求意见稿。
可以看出,每一项训练数据的合法性标准都进行了不小的调整,尤其值得关注的是前两项合法来源于知识产权条款。
首先,如何界定“具有合法来源”?如果某数据集在最初收集时权利存在瑕疵,但买方在购买该数据时得到了卖方的合规承诺和保证,或是在尽职调查时没有发现问题,那么买方能否参照“善意第三人”的原则继续使用或至少保留训练成果?或者说,尽职调查需要做到何种程度买方才能免责?这些问题都有待实践给我们答案。
其次,知识产权条款启动的前提是他人需要首先“依法享有的知识产权”,这就排除了不受知识产权(版权)保护的作品,如:1)法律、法规,国家机关的决议、决定、命令和其他具有立法、行政、司法性质的文件,及其官方正式译文;2)单纯事实消息;3)历法、通用数表、通用表格和公式。即上述数据集并不涉及侵犯知识产权,所以这个条款可以在很大的程度上免除事实类数据集侵权的顾虑。
对于数据训练活动,《生成式人工智能服务管理暂行办法》也要求明确规则、把控质量、培训监督三项要求。这三项内容会成为具体的合规控制点,如果涉及外包第三方来对数据进行训练,也需要在协议中体现上述三项合规控制点。
五、对外协议与渠道
提供者对外提供生成式人工智能服务,在文件和渠道的准备上,至少应当具备:
1.对所提供的生成式人工智能服务进行介绍,介绍中需要至少包括:适用人群、场合、用途三要素。
2.接入防沉迷措施。
3.部署隐私政策,建立自然人个人信息行权处置机制。
4.公开投诉、举报渠道。
六、跨境
产品能否接入以OpenAI为代表的的境外生成式AI来提供服务一直也为各方所关注,《生成式人工智能服务管理暂行办法》也给予屏蔽不合规生成式AI服务的法规基础。
除此以外,从海外引进生成式AI还可能涉及进口管制的问题,需要获得审批。根据商务部2021年11月公布的《中国禁止进口限制进口技术目录》,深度伪造技术属于限制进口技术目录。控制要点为:笔迹伪造技术、语音伪造技术、图片伪造技术、视频伪造技术、生物特征伪造技术以及其他伪造技术,伪造信息与被伪造信息相似度大于70%。
判断技术是否属于进口,需要确认技术处理环节的负责主体。如果是境外主体在境外进行技术处理,再将处理结果传输至境内,则不涉及技术进口,如果技术处理环节发生在境内,则涉及技术授权的技术处理,需要根据技术处理的具体情况判断。
此外,如果直接使用境外的生成式AI,不可避免会存在双向的数据交互,这意味着中国法下的数据出境合规也会是一个难以回避的问题。
七、企业AI的合规治理思路
根据近期笔者为生成式AI提供咨询的经验,企业研发、应用生成式AI,可以从以下角度关注:
1.企业需要在事前进行合规规划,将合规能力嵌入到产品和服务中。生成式AI的合规链条非常长,项目的立项、研发、测试、发布、更新、下架每一个环节都涉及大量的合规控制点以及多个备案、申请的关卡,这涉及不同领域的法律法规,需要企业提前规划。而合规能力也会直接决定生成式AI的产品、服务能走多远。
2.企业需要建立企业层面的AI治理架构。在算法备案的环节中,就要求备案主体首先将企业层面的算法治理机制进行备案,再对具体产品的算法机制进行备案。而在生成式AI的治理中,同样会涉及企业内部不同部门需要协调,因此需要企业能够从较为高的规格对待AI治理。比如成立由企业管理层牵头的治理委员会,发布公司的AI治理理念,等等。此外,公司的治理架构还需要保持足够的兼容性,以对接近期可能会出台的科技伦理相关要求。
3.敏捷治理。《生成式人工智能服务管理暂行办法》被冠以“暂行”之名,意味着我国监管部门面对飞速发展的生成式AI保留了灵活审慎的态度。而企业作为生成式AI的一线使用者,更需要遵循敏捷治理的思路,以适应技术的不断革新以及监管规则与趋势的变化。
生成式AI正在重新塑造这个世界,《生成式人工智能服务管理暂行办法》的颁布是法律对生成式AI的一次有力回应。监管部门包容、促进创新的态度体现在暂行办法的字里行间,我们期待生成式AI的发展能够给我们这个世界带来更多有趣的变革。