律师逐条解读：我国首个AIGC监管规定，梳理合规焦点问题！

作者：曾理 熊猫法律星球

随着人工智能广泛普及和应用，生成式人工智能技术（Generative Artificial Intelligence）依托语言、图像以及多模态大模型（Foundation Model），可以实现较好的内容生成效果，并在传媒、零售、法律、医疗、金融等领域逐步开始提供专业化与个性化内容生成服务。

2023年4月11日，国家互联网信息办公室发布《关于<生成式人工智能服务征求意见稿（征求意见稿）>公开征求意见的通知》（以下统称“征求意见稿”），意见反馈截止时间为2023年5月10日。

与该《征求意见稿》紧密相关的是由网信办、工业和信息化部、公安部公布并于2023年1月10日起施行的《互联网信息服务深度合成管理规定》，以及由国家互联网信息办公室会同工业和信息化部、公安部、国家市场监督管理总局发布并于2022年3月1日起施行的《互联网信息服务推荐管理规定》。

本文将结合前述关于人工智能技术的相关立法，梳理并评析《征求意见稿》中的重点法律问题。

一、明确责任主体

根据《征求意见稿》第五条：“利用生成式人工智能产品提供聊天和文本、图像、声音生成等服务的组织和个人（以下称“提供者”），包括通过提供可编程接口等方式支持他人自行生成文本、图像、声音等，承担该产品生成内容生产者的责任；涉及个人信息的，承担个人信息处理者的法定责任，履行个人信息保护义务。”
根据《征求意见稿》第十九条：“提供者发现用户利用生成式人工智能产品过程中违反法律法规，违背商业道德、社会公德行为时，包括从事网络炒作、恶意发帖跟评、制造垃圾邮件、编写恶意软件，实施不正当的商业营销等，应当暂停或者终止服务。”
根据《互联网信息服务深度合成管理规定》第二十三条：“深度合成服务提供者，是指提供深度合成服务的组织、个人。深度合成服务技术支持者，是指为深度合成服务提供技术支持的组织、个人。深度合成服务使用者，是指使用深度合成服务制作、复制、发布、传播信息的组织、个人。”

因此，根据前文所述，我国立法目前明确了三类责任主体，一是生成式人工智能服务提供者（提供应用或服务）；二是技术支持者（提供算法等人工智能技术）；三是服务使用者（使用生成式人工智能的个人或组织），以下简称“用户”。

二、明确规范客体

根据《征求意见稿》第二条：“本办法所称生成式人工智能，是指基于算法、模型、规则生成文本、图片、声音、视频、代码等内容的技术。”

根据《互联网信息服务深度合成管理规定》第二十三条：“深度合成技术，是指利用深度学习、虚拟现实等生成合成类算法制作文本、图像、音频、视频、虚拟场景等网络信息的技术，包括但不限于：（一）篇章生成、文本风格转换、问答对话等生成或者编辑文本内容的技术；（二）文本转语音、语音转换、语音属性编辑等生成或者编辑语音内容的技术；（三）音乐生成、场景声编辑等生成或者编辑非语音内容的技术；（四）人脸生成、人脸替换、人物属性编辑、人脸操控、姿态操控等生成或者编辑图像、视频内容中生物特征的技术；（五）图像生成、图像增强、图像修复等生成或者编辑图像、视频内容中非生物特征的技术；（六）三维重建、数字仿真等生成或者编辑数字人物、虚拟场景的技术。”

根据立法所述，基于现有的算法及深度合成内容监管基础，主要形成了两种类型的生成式人工智能形成综合性立法，一类是根据算法应用场景（如生物医疗领域、自动驾驶领域、数字金融等不同领域），二类是根据生成内容的类型（文本/图像/三维模型/音频/视频/代码等），依次形成生成式人工智能风险分级分类管理体系，并对涉及人脸等敏感个人信息的高风险领域重点规制。

三、备案与安全评估

从人工智能立法现状来看，我国呈现多头监管的趋势，国家网信部门负责统筹协调全国，国家市场监督管理总局、国家互联网信息办公室、工业和信息化部、电信部、公安部、科技部等有权部门依据各自职责人工智能服务的治理和监督管理工作。

根据《征求意见稿》第六条：“利用生成式人工智能产品向公众提供服务前，应当按照《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》向国家网信部门申报安全评估，并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。”
根据《互联网信息服务深度合成管理规定》第十九条：“具有舆论属性或者社会动员能力的深度合成服务提供者，应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照前款规定履行备案和变更、注销备案手续。完成备案的深度合成服务提供者和技术支持者应当在其对外提供服务的网站、应用程序等的显著位置标明其备案编号并提供公示信息链接。”
根据《互联网信息服务深度合成管理规定》第二十条：“深度合成服务提供者开发上线具有舆论属性或者社会动员能力的新产品、新应用、新功能的，应当按照国家有关规定开展安全评估。”

具体而言，在算法分类分级监管方面，立法规定了网信部门会同电信、公安、市场监管等有关部门建立分级分类安全管理制度，根据提供服务的舆论属性或者社会动员能力、内容类别、用户规模、算法推荐技术处理的数据重要程度、对用户行为的干预程度等对服务提供者实施分级分类管理。

在履行备案义务方面，立法规定了具有舆论属性或者社会动员能力的服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息，履行备案手续。服务提供者的备案信息发生变更的，应当在变更之日起十个工作日内办理变更手续。服务提供者终止服务的，应当在终止服务之日起二十个工作日内办理注销备案手续。

在申请安全评估方面，立法规定了具有舆论属性或者社会动员能力的服务提供者应当按照国家有关规定开展安全评估。网信部门会同电信、公安、市场监管等有关部门对人工智能服务依法开展安全评估和监督检查工作，对发现的问题及时提出整改意见并限期整改。

人工智能服务提供者应当依法留存网络日志，配合网信部门和电信、公安、市场监管等有关部门开展安全评估和监督检查工作，并提供必要的技术、数据等支持和协助。

四、训练数据安全

根据《互联网信息服务深度合成管理规定》第二十三条：“训练数据，是指被用于训练机器学习模型的标注或者基准数据集。” 

实践中，数据训练的处理流程包括：数据采集、数据清洗、数据标注、模型训练、模型验证、实现目标。

根据《征求意见稿》第七条：“提供者应当对生成式人工智能产品的预训练数据、优化训练数据来源的合法性负责。用于生成式人工智能产品的预训练、优化训练数据，应满足以下要求：（一）符合《中华人民共和国网络安全法》等法律法规的要求；（二）不含有侵犯知识产权的内容；（三）数据包含个人信息的，应当征得个人信息主体同意或者符合法律、行政法规规定的其他情形；（四）能够保证数据的真实性、准确性、客观性、多样性；（五）国家网信部门关于生成式人工智能服务的其他监管要求。”根据《征求意见稿》第八条：“生成式人工智能产品研制中采用人工标注时，提供者应当制定符合本办法要求，清晰、具体、可操作的标注规则，对标注人员进行必要培训，抽样核验标注内容的正确性。”

根据《征求意见稿》第十七条：“提供者应当根据国家网信部门和有关主管部门的要求，提供可以影响用户信任、选择的必要信息，包括预训练和优化训练数据的来源、规模、类型、质量等描述，人工标注规则，人工标注数据的规模和类型，基础算法和技术体系等。”

训练数据的风险存在于各个流程，其中在数据采集阶段风险最大。现实中，训练数据来源一般分为两类，一是网络数据，二是合成数据。

· 网络数据的来源包括，一是采集物理世界的个人信息从而形成网络数据，即取得自然人（被测试者）合法授权后，通过实时跟踪和记录自然人的身体运动信息、面部表情，将其转化为网络数据，用于虚拟人生成等领域。二是直接获取开放的公共数据或者通过爬虫方式搜集网络数据。三是通过数据交易的方式向数据提供商或地方数据交易所购买数据。

· 合成数据来源，即生成式人工智能应用部署后，可以实现人机之间的交互。用户在输入页面填写信息，从而获得人工智能生成的内容，比如一段文字、一幅图像等数据。

我国立法要求，要求人工智能服务提供者和技术支持者应当加强训练数据管理，采取必要措施保障训练数据安全，实现训练数据收集、存储、使用全生命周期管理。训练数据包含个人信息的，应当遵守个人信息保护的有关规定。

服务提供者和技术支持者提供人脸、人声等生物识别的敏感个人信息或重要数据编辑功能的，应当提示服务使用者依法告知被编辑的个人，并取得其单独同意。

此外，还需进一步加强对于训练数据提供商的约束，要求其对于数据来源、数据交易及使用进行全流程安全监测。

另外第二大风险系攻击者对数据集发起投毒，即通过向数据集中引入不正确的标签，将AI系统的学习引到错误的方向上，以使模型将学到的特征模式与错误的标签相关联。因此，立法特别要求人工智能服务提供者和技术支持者应当清晰、具体、可操作的标注规则，对标注人员进行必要培训，抽样核验标注内容的正确性。

五、算法安全

根据《互联网信息服务算法推荐管理规定》第六条：“算法推荐服务提供者应当坚持主流价值导向，优化算法推荐服务机制，积极传播正能量，促进算法应用向上向善。算法推荐服务提供者不得利用算法推荐服务从事危害国家安全和社会公共利益、扰乱经济秩序和社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动，不得利用算法推荐服务传播法律、行政法规禁止的信息，应当采取措施防范和抵制传播不良信息。”
根据《互联网信息服务算法推荐管理规定》第十六条：“算法推荐服务提供者应当以显著方式告知用户其提供算法推荐服务的情况，并以适当方式公示算法推荐服务的基本原理、目的意图和主要运行机制等。”
根据《互联网信息服务深度合成管理规定》第十五条：“深度合成服务提供者和技术支持者应当加强技术管理，定期审核、评估、验证生成合成类算法机制机理。”

所有算法服务包括生成式人工智能服务，都需要遵守基本的法律法规规范要求。实践中，生成式人工智能技术的算法是技术开发者的核心资产和重要的商业秘密，是不为公众所知的黑匣子。但是，当生成式人工智能产生对公众有影响的内容时, 则要求服务提供者和技术支持者遵循“算法透明原则”，即要求其在一定程度上对算法的机制、决策过程或对个人权益影响的情况进行披露、公示, 旨在数据隐私、消费者权益保等领域保护公众知情权。

不仅如此，还要求服务提供者和技术支持者不得利用算法对其他互联网信息服务提供者进行不合理限制，或者妨碍、破坏其合法提供的互联网信息服务正常运行，实施垄断和不正当竞争行为。

该原则在司法实践中也得到了验证，在2022年宣判的“算法推荐第一案”中北京爱奇艺科技有限公司诉北京字节跳动科技有限公司(以下简称“字节公司”)侵害《延禧攻略》信息网络传播权一案, 法院针对字节公司使用信息流推荐算法传播侵权作品的行为进行了论述: “字节公司以其服务特点和技术优势…,…也为自身获取了更多的流量和市场竞争优势等利益。但……也存在着提高侵权传播效率、扩大侵权传播范围、加重侵权传播后果的风险。……与不采用算法推荐、仅提供信息存储空间服务的其他经营者相比, 理应对用户的侵权行为负有更高的注意义务。……其服务和运营的相应环节中施以必要的注意、采取必要的措施加以完善。”

六、生成内容安全

根据《互联网信息服务深度合成管理规定》第四条：“提供深度合成服务，应当遵守法律法规，尊重社会公德和伦理道德，坚持正确政治方向、舆论导向、价值取向，促进深度合成服务向上向善。”

根据《互联网信息服务深度合成管理规定》第十条：“深度合成服务提供者应当加强深度合成内容管理，采取技术或者人工方式对深度合成服务使用者的输入数据和合成结果进行审核。深度合成服务提供者应当建立健全用于识别违法和不良信息的特征库，完善入库标准、规则和程序，记录并留存相关网络日志。深度合成服务提供者发现违法和不良信息的，应当依法采取处置措施，保存有关记录，及时向网信部门和有关主管部门报告；对相关深度合成服务使用者依法依约采取警示、限制功能、暂停服务、关闭账号等处置措施。”
根据《征求意见稿》第十条：“提供者应当明确并公开其服务的适用人群、场合、用途，采取适当措施防范用户过分依赖或沉迷生成内容。”
根据《征求意见稿》第十二条：“提供者不得根据用户的种族、国别、性别等进行带有歧视性的内容生成。”根据《征求意见稿》第十六条：“提供者应当按照《互联网信息服务深度合成管理规定》对生成的图片、视频等内容进行标识。”根据《征求意见稿》第十八条：“提供者应当指导用户科学认识和理性使用生成式人工智能生成的内容，不利用生成内容损害他人形象、名誉以及其他合法权益，不进行商业炒作、不正当营销。用户发现生成内容不符合本办法要求时，有权向网信部门或者有关主管部门举报。”

根据前文所述，立法要求服务提供者对使用其服务生成或者编辑的信息内容，应当采取技术措施添加不影响用户使用的标识，并依照法律、行政法规和国家有关规定保存日志信息，以便追溯查询，同时还要求服务提供者提供深度合成服务，可能导致公众混淆或者误认的，应当在生成或者编辑的信息内容的合理位置、区域进行显著标识，向公众提示深度合成内容的情况。而且任何组织和个人不得采用技术手段删除、篡改、隐匿深度合成标识。

不仅如此，立法还特别要求，提供者应当引导用户正确使用人工智能生成服务，如发现用户违法使用服务的，应当立即暂停提供服务，如用户发现生成内容不符合本办法要求时，亦有权向网信部门或者有关主管部门举报。

七、保障用户权益

（1）保障用户信息安全

根据《征求意见稿》第十一条：“提供者在提供服务过程中，对用户的输入信息和使用记录承担保护义务。不得非法留存能够推断出用户身份的输入信息，不得根据用户输入信息和使用情况进行画像，不得向他人提供用户输入信息。法律法规另有规定的，从其规定。”
根据《征求意见稿》第十四条：“提供者应当在生命周期内，提供安全、稳健、持续的服务，保障用户正常使用。”

立法要求服务提供者和技术支持者保障用户信息安全，例如不得利用算法虚假注册账号、非法交易账号、操纵用户账号；不得虚假点赞、评论、转发；不得利用算法屏蔽信息、过度推荐、操纵榜单或者检索结果排序、控制热搜或者精选等干预信息呈现，实施影响网络舆论或者规避监督管理行为；不得犯用户隐私和买卖个人数据。

（2）保障用户知情同意权

根据《互联网信息服务深度合成管理规定》第十四条：“深度合成服务提供者和技术支持者应当加强训练数据管理，采取必要措施保障训练数据安全；训练数据包含个人信息的，应当遵守个人信息保护的有关规定。深度合成服务提供者和技术支持者提供人脸、人声等生物识别信息编辑功能的，应当提示深度合成服务使用者依法告知被编辑的个人，并取得其单独同意。”
根据《互联网信息服务算法推荐管理规定》第十六条：“算法推荐服务提供者应当以显著方式告知用户其提供算法推荐服务的情况，并以适当方式公示算法推荐服务的基本原理、目的意图和主要运行机制等。”
根据《互联网信息服务算法推荐管理规定》第十七条：“算法推荐服务提供者应当向用户提供不针对其个人特征的选项，或者向用户提供便捷的关闭算法推荐服务的选项。用户选择关闭算法推荐服务的，算法推荐服务提供者应当立即停止提供相关服务。算法推荐服务提供者应当向用户提供选择或者删除用于算法推荐服务的针对其个人特征的用户标签的功能。算法推荐服务提供者应用算法对用户权益造成重大影响的，应当依法予以说明并承担相应责任。”

我国立法要求服务提供者和技术支持者应保障用户拥有充分自主决策权，有权选择是否接受人工智能提供的服务，有权随时退出与人工智能的交互，有权随时中止人工智能系统的运行，确保人工智能始终处于人类控制之下。如果用户拒绝接受人工智能服务，需得提供替代性的传统技术服务。

（3）保障用户投诉举报权利

根据《征求意见稿》第十三条：“提供者应当建立用户投诉接收处理机制，及时处置个人关于更正、删除、屏蔽其个人信息的请求；发现、知悉生成的文本、图片、声音、视频等侵害他人肖像权、名誉权、个人隐私、商业秘密，或者不符合本办法要求时，应当采取措施，停止生成，防止危害持续。”
根据《互联网信息服务深度合成管理规定》第十一条：“深度合成服务提供者应当建立健全辟谣机制，发现利用深度合成服务制作、复制、发布、传播虚假信息的，应当及时采取辟谣措施，保存有关记录，并向网信部门和有关主管部门报告。”
根据《互联网信息服务深度合成管理规定》第十二条：“深度合成服务提供者应当设置便捷的用户申诉和公众投诉、举报入口，公布处理流程和反馈时限，及时受理、处理和反馈处理结果。”

关于保障用户申诉、投诉和举报权，立法明确要求服务提供者应当设置便捷有效的用户申诉和公众投诉、举报入口，明确处理流程和反馈时限，及时受理、处理并反馈处理结果。

（4）建立未成年人保护、老年人权益保护机制

关于建立未成年人保护、老年人权益保护机制，虽然《征求意见稿》中尚未提及，但在《互联网信息服务算法推荐管理规定》已有明文规定，人工智能服务提供者和技术支持者应当参考。具体如下：

根据《互联网信息服务算法推荐管理规定》第十八条：“算法推荐服务提供者向未成年人提供服务的，应当依法履行未成年人网络保护义务，并通过开发适合未成年人使用的模式、提供适合未成年人特点的服务等方式，便利未成年人获取有益身心健康的信息。算法推荐服务提供者不得向未成年人推送可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好等可能影响未成年人身心健康的信息，不得利用算法推荐服务诱导未成年人沉迷网络。”
根据《互联网信息服务算法推荐管理规定》第十九条：“算法推荐服务提供者向老年人提供服务的，应当保障老年人依法享有的权益，充分考虑老年人出行、就医、消费、办事等需求，按照国家有关规定提供智能化适老服务，依法开展涉电信网络诈骗信息的监测、识别和处置，便利老年人安全使用算法推荐服务。”

八、违法后果

根据《征求意见稿》第二十条：“提供者违反本办法规定的，由网信部门和有关主管部门按照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规的规定予以处罚。法律、行政法规没有规定的，由网信部门和有关主管部门依据职责给予警告、通报批评，责令限期改正；拒不改正或者情节严重的，责令暂停或者终止其利用生成式人工智能提供服务，并处一万元以上十万元以下罚款。构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。”

虽然国内目前立法中对于人工智能违法处罚的罚款较低，但该类罚款数额在国际主流趋势均偏高，例如制定《通用数据保护条例》（GDPR）的欧盟委员会，近日发布人工智能行业监管草案，其称如果人工智能公司不遵守该草案，首先将受到警告，其产品有可能将被下架，如果人工智能公司仍违反规则，可没收年收入6%。

又如意大利监管机构表示，他们不仅会暂停使用OpenAI 开发的chatgpt(一款生成式人工智能应用)，还会调查它是否符合《通用数据保护条例》（GDPR），因此OpenAI如不依法整改，将很可能被处以2000万欧元（约合人民币1.49亿元）或高达年收入4%的罚款。

因此，我国对于人工智能违法处罚的罚款在将来亦可能会随之大幅提升。

综上所述，人工智能服务的各个义务主体除了享受科技带来的巨大商业机遇外，也应当积极承担起社会责任，保障用户权利和数据安全，审慎开发和使用人工智能技术，加强人员培训，才能更好地管理合规风险，实现可持续发展。

作者简介：

曾理 ，广东启源律师事务所（高云团队）律师，高级企业合规师。中国电子信息行业联合会《数据合规管理体系 要求》（T/CITIF001-2022）起草人。从业至今一直专注于知识产权、不正当竞争、网络数据安全、数据治理、企业数据合规等新型法律业务，服务客户覆盖了政务、金融、健康医疗、呼叫中心、人工智能、电商等多个行业。服务领域包括制定修改隐私政策、制定数据商业化使用合规审查制度、进行数据跨境传输的合规审查，构建企业数据资产体系等。曾律师参与申报的《涉外企业数据合规一站式法律服务解决方案》荣获“2022广州法律服务产品大赛”金牌推荐产品。