2023年8月15日,《生成式人工智能服务管理暂行办法》正式施行,这是全球范围内较早针对生成式AI进行专门监管的法规之一。ChatGPT的横空出世让生成式AI进入了大众视野,随之而来的数据安全、内容合规、知识产权和伦理风险也引发了监管层的高度关注。很多企业在应用大模型做智能客服、内容生成、代码辅助等业务时,最关心的问题是:用AI生成的回复内容出了事谁负责?训练数据能随便用吗?这篇内容对暂行办法的核心要求进行系统解读。
暂行办法对生成式AI服务的定义涵盖了基于生成式人工智能技术向中国境内公众提供文本、图片、音频、视频等生成式内容服务的场景。这意味着无论是企业自建的大语言模型产品,还是接入第三方大模型API开展对客服务,都在暂行办法的监管范围内。企业需要明确自身的定位:是服务提供者还是技术提供者,不同的角色承担不同的合规义务。
暂行办法的核心原则之一是坚持社会主义核心价值观,要求生成式AI服务提供者采取措施防止产生歧视性内容、虚假信息、违法信息等。具体来说,生成式AI服务中不得包含煽动颠覆国家政权、分裂国家、破坏国家统一、危害国家安全和利益、损害国家荣誉和利益的内容。服务提供者需要建立内容审核机制,确保生成内容不违反法律法规和公序良俗。实践中,企业普遍采用预训练数据过滤、模型微调对齐和输出内容过滤三层防护策略。
暂行办法对训练数据的合法性提出了明确要求。生成式AI训练数据的来源、规模和类型需要进行说明,数据应当合法合规,不得包含违法和不良信息。使用具有人格权的个人信息进行训练的,应当取得个人信息主体的同意。涉及著作权的训练数据,应当尊重知识产权,不得侵害他人合法权益。这对AI企业的数据合规能力提出了更高要求,企业需要建立训练数据的合规审核流程,特别是对于从互联网爬取的数据,需要评估是否涉及版权和隐私问题。
暂行办法对生成式AI服务的透明度提出了具体要求。服务提供者应当以显著方式告知用户其正在与生成式AI进行交互,也就是所谓的AI标签。同时应当提示用户生成内容的合成属性,让用户了解内容是AI生成的而非真人创作。对于生成式AI产品的标识,参照深度合成管理规定的要求进行标注,确保用户能够识别AI生成内容。
暂行办法要求服务提供者对生成内容的真实性负责。生成式AI产品生成的内容应当真实准确,防止产生虚假信息。对于具有舆论属性或社会动员能力的生成式AI服务,应当开展安全评估并按照互联网信息服务算法推荐管理规定履行备案手续。这要求企业在业务上线前准备相应的人工智能安全评估报告。
暂行办法对用户信息保护作出了专门规定。服务提供者应当依法承担个人信息保护义务,防止用户数据泄露。在收集和使用用户的输入信息时,应当明确告知并获得用户同意。用户的输入信息原则上不得用于模型训练优化,除非经过用户单独同意或进行匿名化处理。实践中,很多AI企业选择默认不将用户输入用于模型训练,并提供用户选择退出的机制。
暂行办法建立了分级分类监管框架。国家网信部门会同有关部门对不同类别、不同应用场景的生成式AI服务实施分级分类监管。对于具有舆论属性或社会动员能力的服务,监管要求更加严格。随着AI应用场景的不断丰富,监管部门也在持续完善分级分类管理标准。
违反暂行办法的法律责任不容忽视。服务提供者违反规定的,由网信部门和有关主管部门依据职责责令改正,给予警告。拒不改正或情节严重的,责令暂停提供服务,处以罚款。构成犯罪的,依法追究刑事责任。暂行办法施行以来,监管部门已经对多起生成式AI服务违规行为进行了处罚,涉及内容审核不到位、未履行备案义务和用户信息保护不当等情形。
生成式AI企业应当建立完善的合规管理体系。建议从数据合规、内容安全、算法备案、用户保护和应急响应五个维度构建合规框架,确保AI服务在合法合规的轨道上运行。
常见问题
Q1:企业使用ChatGPT或类似工具辅助工作是否受暂行办法约束? A:如果企业在中国境内向公众提供基于生成式AI的服务,就需要遵守暂行办法。内部辅助工具不直接面向公众的,监管要求相对宽松。
Q2:生成式AI的备案在哪里办理? A:具有舆论属性或社会动员能力的生成式AI服务,应当通过属地的省级网信部门向国家网信部门办理算法备案。
Q3:企业如何才能合规地使用用户输入数据训练模型? A:需要取得用户的单独同意,或者对数据进行匿名化处理,确保无法识别到具体的个人。
