引言:2022年12月5日,美国《体育画报》播放了一段令人拍案叫绝的视频:著名的NBA篮球运动员Stephen Curry(斯蒂芬·库里)连续投出了五个横贯整个篮球场的三分球。该视频一经播放其热度便急剧上升,截至当日,该视频的播放量已超过500万次,就连同为NBA篮球运动员的灰熊队员Ja Morant(贾·莫兰特)也在推特上转发并评论了该视频。但令人咋舌的是,就在众人惊叹不已之时,勇士队官方与库里本人均出面回应道,这段令所有人信以为真的视频实际是以深度合成技术制成。随后互联网中也出现了有关如何通过三段视频合成该视频的逻辑介绍。
一、从“斯蒂芬·库里事件”看“辨伪求真”的愿景
在库里事件引起一片热议之时,可达到“以假乱真”效果的深度合成技术则再次引发社会公众的关注,从该事件可以看出,我们长期所信任的自我判断与认知能力在新兴技术的面前可能不堪一击。
一直以来,伴随深度合成技术在教育、文创、新闻以及娱乐等多重领域的应用价值被进一步挖掘,该技术对国家安全、社会秩序、个人名誉及隐私的隐患与威胁亦被广泛探讨:一方面,深度合成技术可被用来制作符合公众偏好的内容,“塑造与加深标签用户的价值观和态度,诱导其放弃区分事实真相的意愿[1]”,从而诱发“信任衰退效应”[2];另一方面,深度合成技术可以高真实度的方式把虚假信息呈现给社会公众,从而影响公众对虚假信息的判断,轻则引发信任危机,重则激发社会矛盾与侵害国家安全。
在我国,“辨伪求真”是党的十九大报告提出的“营造清朗的网络空间”总任务的一部分,中共中央印发的《法治社会建设实施纲要(2020-2025年)》更是明确提出制定完善对算法推荐、深度伪造等新技术应用的规范管理办法。我们理解,国家所提出的“辨伪求真”并不是简单的“去伪存真”。具体而言,作为一种中立的信息技术,深度合成技术在不同场景中具备自身的应用价值,因此,“辨伪求真”的命题并非旨在对深度合成、深度伪造等技术进行除尘涤垢,而是确保此类新兴技术在国家、社会及个人的权益得到充分保护、权利救济渠道畅通的前提下被有序应用。在此宏观背景下,2022年1月28日,国家互联网信息办公室发布了《互联网信息服务深度合成管理规定(征求意见稿)》(下称“《深度合成管理规定(征求意见稿)》”或“原征求意见稿”)。在面向社会各界公开征求意见近一年后,2022年12月11日,国家互联网信息办公室、工业和信息化部、公安部最终联合发布了《互联网信息服务深度合成管理规定》(下称“《深度合成管理规定》”或“新规”),该新规将于2023年1月10日起实施。
二、深度合成技术与境外立法再观
1. 深度合成的技术原理与技术特征
从技术原理来看,深度合成技术是一种基于深度学习的伪造技术,该技术主要依托于“生成式对抗网络(Generative Adversarial Networks,GAN算法)”及“自动编码机(Autoencoders,一种神经网络模型)”两种方式实现原初内容和目标内容的模拟、合成和替换,或创建全新的视频、图像、音频和文本等内容。
从技术特征来看,首先,深度合成技术具有高度真实的特点,这体现在相比从前以人工机械地拼凑图像为底层逻辑的伪造技术,深度合成技术所生成、修改的内容基本上不具有可察觉的痕迹。其次,该技术具有加速发展的特征,这是由于深度合成技术需要以海量数据完成自我迭代的过程,导致被动式伪造转变为现今大规模的自主式伪造,深度合成技术也由此呈现出加速发展的态势。此外,随着深度合成技术壁垒的降低,该技术还呈现出应用广泛的特点,目前,由于深度学习算法已基本成型,多数算法代码已被开源,有关深度合成的软件基本上可以实现零成本的制作与传播,在此基础上,社会公众亦可以更加便捷地获得与使用这项技术。
2. 境外主流国家有关深度合成技术的立法更新
本着在追求科技创新的同时抑制其潜在威胁,各国相继对深度合成技术采取了监管措施。我们曾在之前的文章中盘点过部分境外国家及地区有关深度合成的立法情况(具体内容详见:《“假作真时真亦假”——数字社会中辨伪存真的挑战》),时至今日,各司法辖区有关深度合成技术的立法与行业自律规范仍在不断更新。
(1)美国
2022年5月24日-《深度合成工作任务法案》(Deepfake Task Force Act)
该法案要求美国各界组建一个公私合作成立的工作组,该工作组须制定相关计划以减少深度伪造的数字音频、图像与文本内容所带来的威胁与不利影响,例如:通过标识数字化内容的来源以减少深度伪造内容的扩散;为原始内容的作者提供可用于证明其原始内容真实性与非欺骗性的加密措施;以及研发允许社会公众对相关内容的真实性、非欺骗性及其来源进行验证的措施。此外,该法案呼吁互联网平台、媒体、社会组织以及公众提高识别深度伪造内容的能力,并鼓励政府进一步研发可监测、鉴别深度伪造内容的信息技术与系统。
2022年2月18日-《国家标准技术研究院2021年未来法案》(National Institute of Standards and Technology for the Future Act of 2021)
该法案要求科学领域委员会设立数字与多媒体小组委员会,制定验证或评估数字内容真实性的标准准则,包括由深度合成等合成或操纵数字内容的技术所创建的内容。
(2)欧盟
2022年6月16日-《2022年虚假信息强化行为准则》(2022 Strengthened Code of Practice on Disinformation)
通过制定该行为准则,欧盟委员会要求签署承诺的相关方为打击在线虚假信息(包括禁止传播的虚假信息)作出共同努力。该行为准则总体上体现出欧盟委员会对于网络信息环境的透明、安全和可信赖的要求,例如准则第15条规定,签署该行为准则的、开发或运营人工智能系统的相关方,应承诺在通过其提供的服务传播人工智能生成或操纵的内容时(如深度合成内容),应当将《人工智能法案》下的透明性义务与关于操纵性行为的负面清单纳入考量。
(3)英国
2022年11月25日- 《在线安全法案》(Online Safety Bill)
2022年11月25日,英国司法部称将以修订《在线安全法案》的方式,对深度合成行为进行规制,具体而言,在未经本人同意的情况下,利用深度合成技术伪造色情视频的行为将被认定为犯罪。这一修正内容的目的是为了保证包括《在线安全法案》在内法律适应现代化发展趋势;同时,鉴于利用深度合成技术伪造色情视频已经成为了一种威胁女性的潜在方式,此举亦旨在保护妇女免受深度伪造色情视频所带来的伤害。目前,《在线安全法案》是英国首个计划以单独列明条款的方式,对深度合成色情视频进行规制的法律。
(4)新加坡
2019年5月8日-《防止网络虚假信息和网络操纵法案》(Protection For Online Falseas And Manipment Act)
通过该法案,新加坡国会旨在保护社会免受恶意行为者在网上制造的谎言和操纵行为的危害,提高在线广告等内容的透明度。该法案旨在规制可能不利于新加坡国家安全与公共安全、有损新加坡与其他国家的友好关系、影响总统议员选举等的虚假事实陈述。因此,当互联网平台中出现利用深度合成技术制造的、可能影响前述安全的虚假音频、视频作品时,新加坡政府则有权要求互联网平台更正或下架相关虚假内容,并对违规者处以高额罚款等处罚措施。
以上我们理解,当前境外主流国家有关深度伪造、深度合成技术的规制要点仍紧扣加强深度合成内容的透明性与可识别性、遏制负面虚假信息的传播、保护与鼓励鉴别技术的开发等要点。
三、我国现行《深度合成管理规定》的特点
总体来看,此次出台的《深度合成管理规定》仍将“利用以深度学习、虚拟现实为代表的生成合成类算法制作文本、图像、音频、视频、虚拟场景等信息”的深度合成技术作为规制客体,并将应用深度合成技术提供互联网信息服务(下称“深度合成服务”)、为深度合成服务提供技术支持、以及使用与协助提供深度合成服务的对象为作为责任主体。此前,我们曾经在文章中分析总结,《深度合成管理规定(征求意见稿)》以“信息内容治理、数据安全保障以及算法技术合规”作为各方责任主体的三块义务基石(具体内容详见:《“假作真时真亦假”——数字社会中辨伪存真的挑战》)。在此基础上,当前《深度合成管理规定》进一步厘清与细化了各责任主体的身份定义与责任义务,形成了更加完善的全流程治理模式、打造了多元化监管格局并实现了多维谱系法律法规的协同治理。
1. 明确与细化各方责任主体的法律定义与义务
(1)限缩“深度合成服务提供者”的内涵,细化该责任主体的主要合规义务
根据《深度合成管理规定》第二条,新规原则上仅适用于在中华人民共和国境内提供深度合成服务的组织、个人。因此,作为新规中最为主要的信息安全责任主体,深度合成服务提供者除了应当遵守法律法规,尊重社会公德和伦理道德,坚持正确政治方向、舆论导向、价值取向,促进深度合成服务向上向善外,仍应当以履行信息内容治理义务、数据安全保障义务与算法技术合规义务作为核心责任(具体内容详见:《“假作真时真亦假”——数字社会中辨伪存真的挑战》)。
值得注意的是,在维持深度合成服务提供者三大主要合规义务不变的情况下,新规对部分义务进行了可圈可点的调整:
以风险为导向,限缩需予以显著标识的深度合成服务种类。首先,在枚举了部分具有生成或者显著改变信息内容功能的深度合成服务类型的基础上,新规进一步限缩了需要进行显著标识的情形,即:该要求仅适用于可能导致公众混淆与误认的情形,且取消了有关显著标识位置的强制性要求。我们理解,此内容的调整是以风险为导向对深度合成服务进行治理的典型表现,不仅呈现出监管部门在加强深度合成服务管理力度的前提下,对于中立技术发展与使用的认可态度,且顺应了国际上仅针对有损于国家、社会、公众与个人利益的深度合成内容采取强监管手段的趋势。
取消限制传播未经显著标识的深度合成内容的规定。其次,新规取消了对于未经显著表示的深度合成信息内容的限制传播规定,取而代之以提出任何组织与个人均不得采用技术手段删除、篡改、隐私深度合成标识的要求。我们理解,该变化一方面仍是出于以风险为导向的治理思路,另一方面即是出于与《互联网信息服务管理办法》这一上位法第十五、十六条的规定进行顺应与协同,也即,有关停止传输的处理措施仅适用于规制含有法律、行政法规所禁止的内容的互联网信息,而未经显著标识的深度合成信息内容尚不能纳入该范围。
(2)明确 “深度合成服务技术支持者”的外延,缩减该责任主体的信息内容治理义务
此前,《深度合成管理规定(征求意见稿)》将“为深度合成服务提供技术支持的组织”归为深度合成服务提供者,并将信息内容治理义务、数据安全保障义务与算法技术合规义务适用于该主体。对此,我们曾在文章中指出,由于对深度合成提供技术支持的组织而言,其大多数情况下并不会直接面向个人用户,且不属于“网络信息内容服务平台”,因此,该类主体或难以在实践中履行制定与公开管理规则和平台公约等义务(具体内容详见:《“假作真时真亦假”——数字社会中辨伪存真的挑战》)。因此,《深度合成管理规定(征求意见稿)》所提出的部分责任义务,尤其是有关信息内容治理的要去,对于仅为深度合成服务提供技术支持的组织而言或存在一定不适用性。
为了弥合上述规定在适用过程中可能产生的偏离,本次出台的《深度合成管理规定》一方面从适用主体上将为深度合成提供技术支持的组织、个人从深度合成服务提供者中剥离,并将其单独定义为“深度合成服务技术支持者”;另一方面,考虑到此类角色通常仅为深度合成服务提供技术层面的支持,并不涉及提供互联网信息服务,因此,新规取消了该责任主体在信息内容治理方面的合规义务,而仅限于履行数据安全保障义务与算法技术合规义务,以及协助发展有关深度合成技术的行业自治规范。
(3)强化其他责任主体的信息安全义务
而针对深度合成服务的使用者与应用程序分发平台这类责任主体,新规基本上秉承了《深度合成管理规定(征求意见稿)》既有的要求,但在此基础上从不同维度强化了这两类责任主体的信息安全责任义务。例如:
仅能以单独同意作为合法性基础。针对深度合成服务的使用者,在使用深度合成服务提供者与技术支持者提供的人脸、人声等生物识别信息编辑功能时,新规在要求该主体以获得单独同意的方式作为个人信息处理的合法性基础之上,删除了原有的“法律、行政法规另有规定的除外”的兜底规定。因此我们理解,对于涉及敏感个人信息处理的深度合成服务,使用者仅能以“单独同意”作为合法性基础,其合规负担有所升高。
新增“上架审核”与“警示”的权责。此外,针对互联网应用商店等应用程序分发平台,新规明确了其所应当承担的具体的安全管理责任,包括上架审核、日常管理、应急处置等。值得注意的是,新规同时赋予了此责任主体对违规提供深度合成服务的应用程序进行“警示”的权力,我们理解,该措施亦旨在加强应用程序分发平台对于深度合成服务的监督管理能力。
(4)增设深度合成技术的典型应用场景为监管场景
值得注意的是,新规增设了两处有关深度合成服务的特殊规制场景,分别为不得使用深度合成服务制作、复制、发布、传播虚假新闻信息,以及要求深度合成服务提供者就专就反电信网络诈骗制定管理制度。我们理解,新规通过提出如上特殊规制要求,乃期望对实践中深度合成技术滥用程度较高的典型场景予以重击,从而有的放矢地维护网络空间的良好生态,保障社会公众对公共媒体信任利益,并维护个人的精神与财产权益。
2. 完善“事前预防”与“事后应对”相结合的全流程治理模式
从《深度合成管理规定》的更新内容来看,本次新规呈现出更为完整的“事前预防”与“事后应对”相结合的全流程治理模式,该治理模式以各方责任主体与监管部门的上下联动为构建基础。
(1)事前预防:新增信息发布审核义务与细化算法备案要求
就事前预防而言,在深度合成服务提供者一侧,新规提出专门设立“信息发布审核管理制度”的要求。我们理解,相较于此前《深度合成管理规定(征求意见稿)》提出的 “信息内容管理制度”设立要求,专设“信息发布审核”义务是为了提高深度合成服务提供者在信息内容管理方面的预判与预防能力,并试图从源头减少或遏制利用深度合成服务制作、发布与传播违法违规信息的情况发生。
在监管一侧,新规进一步细化了深度合成服务的算法备案要求。作为一种典型的事前监管手段,备案为监管部门提供了一个可预先控制、紧密跟踪的算法适用情况的监督环境,一旦监管部门发现深度合成算法将对国家、社会、组织与个人的权益造成损害时,其可立即采取应对措施以降低风险。此前的《深度合成管理规定(征求意见稿)》尚未对深度合成服务提供者履行备案义务的条件进行区别,因此,为了避免对深度合成服务施加超负荷的监管力度,同时为了与《互联网信息服务算法推荐管理》的要求进行协调,新规明确备案和变更、注销备案的要求仅适用于具有舆论属性或者社会动员能力的深度合成服务。我们理解,在坚持事前监管原则不动摇的基础,新规为此监管举措规划了更加切实可行的路径;同时,我们理解同欧盟《人工智能法案》对于高风险人工智能所提出的“事前注册”要求,算法备案也是我国以风险为导向所提出的特有算法监管手段。
(2)事后应对:新增应急处置与日志记录义务
就事后应对而言,在深度合成服务提供者与应用程序分发平台一侧,新规新增了“应急处置”管理制度的设立义务。作为信息安全事件的关键救济机制,应急处置机制为我国《网络安全法》《数据安全法》与《个人信息保护法》对网络运营者及数据处理者所提出的强制性要求。新规对相关责任主体提出设立应急处置管理制度的要求,从形式上而言,是通过对前述法律的承继与呼应完善自身体系,从实质上而言,是为确保深度合成服务过程所产生的信息安全事件可以得到及时的处理与整治。其次,新规还增设了记录并保存相关网络日志的要求的要全。具体而言,针对信息内容管理义务的履行,包括建立健全用于识别违法和不良信息的特征库,完善入库标准、规则和程序,以及处置识别的利用深度合成服务制作、复制、发布、传播虚假信息等情形,深度合成服务提供者必须记录并保存相关网络日志。我们理解,该义务的履行有助于监管部门及时对深度合成服务中的违法违规现象采取执法措施。
3. 打造多元化监管格局与实现多维谱系的法律协同治理
(1)网信、电信与公安三部共治
我们理解,新规所呈现的另一重要变化即构建了更为多元的深度合成服务监管格局。根据《深度合成管理规定(征求意见稿)》的规定,深度合成服务的治理与相关监督管理工作分别由地方网信部门进行协调、由国家网信部门进行统筹。而根据新规,深度合成服务的治理将在未来将由网信部门、电信主管部门以及公安部门协作进行。此外,如果深度合成服务提供者和技术支持者是为从事网络出版服务、网络文化活动和网络视听节目服务的,其还应当同时符合新闻出版、文化和旅游、广播电视主管部门的规定。对此,我们理解,构建该多部门参与治理的多元监管局面,仍是国家有关“敏捷治理”总体策略的表现。
(2)与上位法律法规协同并进
此外,新规还致力于从整体立法目的与各细微规定之处实现与上位法等规定之间的协同性。首先,新规第一条指出其立法目的为“加强互联网信息服务深度合成管理”,这表明新规并非我国首部对深度合成技术进行治理的规范,而是在已有立法的基础之上,更加系统、更具针对性地对深度合成技术提出治理要求。其次,新规第六条将组织和个人不得利用深度合成服务制作、传播的信息更新为“法律、行政法规禁止的信息”,删除了此前对禁止传播内容的列举,这一变动也符合我国的立法现状。譬如,《互联网信息服务管理办法》第十五条明确列举了互联网信息服务提供者不得制作、复制、发布、传播的信息内容,前述更新可确保法律规范之间的一致性,避免日后其他法律、行政法规对相关条款进行调整,从而导致《深度合成管理规定》产生不对称性。再者,就法律责任而言,《深度合成管理规定(征求意见稿)》对深度合成服务提供者等主体违反规定时应当承担的法律责任进行了具体说明。而新规将法律责任统一更新为“深度合成服务提供者和技术支持者违反本规定的,依照有关法律、行政法规的规定处罚”,我们理解,将法律责任调整为纯粹的引致性条款,能最大程度地确保新规与其他法律、行政法规之间的协同性,且有助于维护新规的稳定性。
四、厉兵秣马:新规下的企业合规建议
1. 厘清自身角色,迎接未来监管
《深度合成管理规定》对参与深度合成服务的各方主体量身定制了应尽的法律职责。我们理解,实践中,涉及深度合成服务的组织或个人应首先对自身在深度合成服务中的角色进行定位,确认自身深度合成服务提供者、深度合成服务技术支持者、深度合成服务使用者以及应用程序分发平台的具体属性,并在锁定角色的基础上更有针对性地为迎接新规的监管做好准备。
2. 加强鉴别、验证、加密技术建设,具备以“技术管技术”的合规能力
信息技术作为社会规范的一种形式,与道德、习惯、纪律、法律互为补充,共同规制人们的生活社会。我们理解,《深度合成管理规定》第十条强调了深度合成服务提供者在加强深度合成内容管理力度之时,可以采取技术方式对使用者的输入数据和合成结果进行审核。因此,为了落实此技术治理方式,作为深度合成服务提供者的企业可增加有关监测与鉴别技术的研发力度,确保自身具备及时识别深度合成内容的能力[3],尤其是重点判断对社会影响力重大或者关乎政治和公众话题的音视频是否包含深度合成的虚假信息。此外,企业还可通过内部算法优化的方式,对包含深度合成技术的内容进行分级管理,如降低可能涉及名誉侵害等具有负面影响的深度合成内容的推荐热度排名,并限制其在平台上二次传播的可能性。[4]最后,发布视频、音频作品的互联网平台企业还可引入区块链技术,凭借区块链技术的数据加密、时间戳、分布式共识等安全技术措施,使得他人无法对区块链上发布的视频、音频作品进行修改,确保相关音频、视频文件不会被他人以深度合成技术进行滥用。
3. 积极参与制定深度合成算法与人工智能伦理规范,实现行业自律与自治
《深度合成管理规定》要求深度合成服务提供者落实科技伦理审查制度的构建,同时也鼓励相关行业组织加强行业自律,建立健全行业标准、行业准则等。值得说明的是,商业伦理是提供判断主体行为是否合乎道德与真理的一种方式,其本身虽不具有法律意义上的强制性,但可作为行业组织的道德指引和约束。实践中,深度合成服务提供者与技术支持者应当结合本行业人工智能技术和应用的特色,共同制定商业伦理规范,并积极将自身制定的商业伦理规范推广至更大的范围,从而为同行业的其他主体提供指引,为深度合成技术治理的后续立法提供有价值的经验,避免盲目和超前的立法扼杀深度合成技术的创新活力。[5]
小结
通过加强对互联网信息服务中的深度合成技术的现象进行规制,《深度合成管理规定》旨在鼓励技术创新和防范技术异化防范之间寻求平衡点,将深度合成技术限制在有序的法治环境中实现良性发展,确保网络空间的一片清朗。
但是我们理解,“辨伪求真”既是深化互联网信息服务治理工作的一小步,同时也是我国迈入现代化治理的宏观背景下,开展信息化、智能化治理工作的一大步。因此在未来,除了以互联网信息服务为视角对深度合成技术的规制进行讨论外,我们亦有必要从更广泛的维度,如数字经济、人工智能、大数据、云计算治理等方面,对深度合成技术及产品的研究开发、设计制造、部署应用、使用等各个环节的治理问题进行深潜,以形成跨界共治、群智放开的深度合成技术治理格局,为国家现代化治理进程赋能。
【感谢实习生刘畅对本文作出的贡献。】
扫码下载文章
苗争鸣:《可怕的“深度伪造”技术》,载《世界知识》2019 年第22期。
尚海涛:《“深度伪造”法律规制的新范式与新体系》,载《河北法学》2023年第1期(网络首发时间为2022年12月)。
Lorenzo DAMI: Analysis and Conceptualization of Deepfake Technology As Cyber Threat, https://www.researchgate.net/profile/Lorenzo_Dami/publication/361007477_Analysis_and_conceptualization_of_deepfake_technology_as_cyber_threat/links/62979381c660ab61f858378b/Analysis-and-conceptualization-of-deepfake-technology-as-cyber-threat.pdf, latest visited by 14/12/2022.
尚海涛:《“深度伪造”法律规制的新范式与新体系》,载《河北法学》2023年1月。
万智前等人《深度合成技术应用的法律风险与协同规制》,载《科技与法律(中英文)》2021年底5期,第89页。
