7月13日,国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局等七部门联合公布《生成式人工智能服务管理暂行办法》,自2023年8月15日起施行。
《互联网法律评论》特约作者时萧楠律师指出,这是全球首个全面监管生成式人工智能的立法文件,对比3个月前的立法征求意见稿,监管的具体要求变化不大,主要变化在于“更加有利于人工智能行业的发展”。
《互联网法律评论》观察到,参与该法规制定的部委中,发改委、工信部分别为经济建设的宏观和行业管理部门,教育部、科技部是国内人工智能科研力量的主管部门,这四个部委的参与传递出中央政府积极鼓励生成式人工智能行业发展的强烈信号。
本文来自微信公众号:Internet Law Review(ID:Internet-law-review),作者:时萧楠,头图来自:视觉中国
2023年4月11日,国家互联网信息办公室就其起草的《生成式人工智能服务管理办法(征求意见稿)》向社会公开征求意见,在短短的3个月内《生成式人工智能服务管理暂行办法》(以下称“《本办法》”),完成了国家互联网信息办公室审议通过,国家发展和改革委员会、教育部、科学技术部、工业和信息化部、公安部、国家广播电视总局同意的立法进程,成为全球第一个全面监管生成式人工智能的立法文件,《本办法》于2023年7月13日公布,2023年8月15日起施行。
《本办法》与4月的征求意见稿相比,监管的具体要求变化不大,但从整体上对人工智能服务的监管原则角度,更加有利于人工智能行业发展的变化,我们现在针对其中的重点内容进行解读:
一、监管原则是什么?
在4月的征求意见稿中,国家互联网信息办公室就已经提出了鼓励生成式人工智能行业发展的相关内容,本次正式公布版更是进一步明确监管的整体原则除了单纯地鼓励以外,还明确强调了安全与依法治理,并且通过规定分类分级监管的方式实现这一原则的落地。
伴随2023年上半年欧盟《人工智能法案》不断更新立法进程,其中对于人工智能分类分级的监管思路也得到了行业的认可。《本办法》中吸收了欧盟《人工智能法案》的分类分级的监管措施,这一举措将大大降低行业对监管过严导致发展受阻的疑虑。
针对分类监管,目前《本办法》中可以明确的是,利用生成式人工智能服务从事新闻出版、影视制作、文艺创作等活动的,未来将会由相关监管部门,包括国家互联网信息办公室、国家广播电视总局等相关主管部门另行规定。
但目前针对分级监管,尚未明确具体的分级标准,需要等待监管部门的进一步明确。
二、适用范围是什么?
1. 利用生成式人工智能技术
《本办法》规定的“生成式人工智能技术”是指具有文本、图片、音频、视频等内容生成能力的模型及相关技术。
与征求意见稿中规定的“生成式人工智能”相比,《本办法》中删除了“代码”,我们理解这并非是指利用人工智能生成“代码”不再受监管,而是监管将“代码”理解为广义的文本,因此无需单独列举。
2. 向中华人民共和国境内公众提供生成式人工智能服务的
本条保持了与征求意见稿相同的规定,在本条规定下,境内主体向境外提供人工智能服务的,无需适用《本办法》。但需要提醒注意的是,如果是中国境内的生成式人工智能服务在向境外提供服务过程中,即使不需要适用《本办法》,仍需要注意是否会产生数据出境等合规问题。
3. 研发、应用生成式人工智能技术,未向境内公众提供服务的,无需适用《本办法》
对于公司内部/自然人使用人工智能技术是否存在相应的监管合规要求一直是大家经常探讨的内容,《本办法》明确规定,研发和应用生成式人工智能技术,只要未向境内公众提供服务的,就无需适用《本办法》。
但纵观《本办法》,监管将对应用生成式人工智能服务的使用者的管理义务赋予了服务提供者,例如《本办法》第10条、第11条、第12条中均规定了服务提供者对使用者的管理,如果使用者进行违法行为是因为服务提供者未按照规定进行管理,监管可以追究其法律责任。
需要注意的是在现在利用人工智能服务生成虚假信息进行诈骗等行为已经开始频频出现的背景下,使用者如利用人工智能服务进行违法犯罪行为将被直接追究法律责任。
三、适用主体都是谁?
《本办法》中明确规定,生成式人工智能服务提供者是指利用生成式人工智能技术提供生成式人工智能服务(包括通过提供可编程接口等方式提供生成式人工智能服务)的组织、个人。
可以看出《本办法》并未区分技术支持者和服务提供者,但明确了目前多是通过可编程接口等方式向企业端客户提供深度合成算法服务的主体同样适用《本办法》。
四、监管治理制度有哪些?
《本办法》规定生成式人工智能服务提供者应当依法开展预训练、优化训练等训练数据处理活动,保证使用具有合法来源的数据和基础模型;涉及知识产权的,不得侵害他人依法享有的知识产权;涉及个人信息的,应当取得个人同意或者符合法律、行政法规规定的其他情形;采取有效措施提高训练数据质量,增强训练数据的真实性、准确性、客观性、多样性等,以及针对标注数据的合法合规、质量管理。
其中,训练数据和基础模型具有合法来源的规定,需要明确的是开源的数据库、基础模型是否属于具有合法来源的,结合《本办法》第20条的规定,使用来源于境外向境内提供服务的,国家网信办应当通知有关机构采取技术措施和其他必要措施予以处置。这意味着可以使用境外数据库、基础模型,但是应当保证这些数据、模型都是符合《本办法》以及其他中国相关法律法规要求的,这个服务提供者带来了严格的审核责任。
同时针对训练数据中的知识产权、个人信息的合法合规;数据质量的真实准确等要求同样给服务提供者带来了严格的审核责任,也是服务提供者应当加强内部合规技术措施和制度管理的重点。
五、服务规范监管重点都是什么?
《本办法》中针对生成式人工智能服务的服务规范规定了防沉迷或者防止过度依赖;对Prompt的保护义务;针对生成内容的标识义务;服务安全稳定;违反内容的处置机制(并且删除了征求意见稿中要求的发现违法信息后3个月内对算法进行整改的要求);快捷的投诉机制。
可以看出《本办法》中的服务规范监管要求相较征求意见稿更为与行业贴近,具有较高的可执行性。
六、监管机构有哪几个?
《本办法》中联合发布的七个部门都将会是生成式人工智能的监管机构,因此生成式人工智能涉及到该七个监管机构相应职责的内容,相关监管部门可以依据《本办法》进行监管。
七、安全评估与算法备案的要求是什么?
《本办法》第17条中保留了征求意见稿中的安全评估与算法备案的要求,但其完成时间修订为依据相关规定进行安全评估与算法备案,也就是不再强行要求两者均在服务上线前完成。
根据安全评估的相关规定(《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》),应用上线前应当完成相应的安全评估,并且目前部分省份网信办已经开始基于此进行相关安全评估工作。因此相关企业应当尽快评估其生成式人工智能服务是否为“新技术新应用”,需要完成相关安全评估。
算法备案则继续按照《互联网信息服务深度合成管理规定》的要求,提供服务之日起十个工作日内完成相关算法备案手续。因此相关企业应当尽快评估是否需要完成算法工作手续,以及具体备案角色(服务提供者或者技术提供者)。
本文来自微信公众号:Internet Law Review(ID:Internet-law-review),作者:时萧楠(《互联网法律评论》特约专家、植德律师事务所合伙人)