标签:合规业务-网络安全与数据合规,数字经济,电信、传媒、娱乐与高科技-高科技,人工智能
引言
自Open AI研发的聊天机器人程序ChatGPT(Chat Generative Transformer)于2022年11月30日发布以来,生成式人工智能(Generative AI)技术迅速商业化,引发社会各界对于其潜在商业及社会价值的讨论。同时各国监管部门对该类前沿技术经历从禁止到有限开放的过程,[1]虽然急于监管,但怠为提供具体的指引。由于对生成式人工智能底层技术缺乏深入理解,且对于其应用前景预测有限,各国尚未形成体系化的监管思路及规则。然而时不我待,在前沿技术巨大社会价值与部分不可测风险之间,亟需平衡发展与安全的监管规则作为市场主体的指路明灯,协助技术服务提供方和使用方妥善控制风险,促进发展。在该大背景下,国家互联网信息办公室(以下简称“网信办”)及时的响应市场需求,于2023年4月11日发布《生成式人工智能服务管理办法(征求意见稿)》(“《征求意见稿》”)。
最终,在广泛征求社会各界意见后,2023年7月13日,网信办、国家发展和改革委员会、教育部、科学技术部、工业和信息化部、公安部、国家广播电视总局七部委联合发布《生成式人工智能服务管理暂行办法》(“《暂行办法》”,将于2023年8月15日正式生效),成为全球首部针对生成式人工智能的法规。值得注意的是,《暂行办法》确定了发展作为主基调,直接删除了《征求意见稿》中“不得进行用户画像”“用户实名制”等争议性规定,并修改了“利用生成式人工智能生成的内容应当真实准确,采取措施防止生成虚假信息”“保证数据的真实性、准确性”“对于运行中发现、用户举报的不符合本办法要求的生成内容,应在3个月内通过模型优化训练等方式防止再次生成”等争议性表述[2]。
在数字型社会迈向智能化社会的当前,新型技术将不断涌现。不可否认的是,技术壁垒造成的认知差距短时间内将不断拉大,因此如何应对新技术新应用对于社会管理的影响是全球通用的难题。国家法律法规不仅体现本国的监管智慧,反映国家社会管理的水平,也将被置于放大镜之下被各国审视,成为国家竞争力的重要组成部分,出现类似的布鲁塞尔效应(Brussels effect)。因此在为《暂行办法》迅速出台欢呼雀跃的同时,我们需要深刻理解其历史沿革、蕴含的监管逻辑,才能合理预测后续人工智能监管大局中的思路。因势利导,不急不躁,让中国的人工智能技术和监管规则都能屹立在国际潮头。
一、中国算法与人工智能治理的历史沿革
1. 法律规范:“法治之网”逐步完善
在人工智能治理的立法层面,我国以纲领性文件为方向,近年来在法律及标准层面以算法治理为重点构建人工智能监管的“桥头堡”。
在纲领文件层面,我国先后颁布《关于加强互联网信息服务算法综合治理的指导意见》(“《算法治理意见》”),明确了我国算法治理目标是建立治理机制健全、监管体系完善、算法生态规范的算法安全综合治理格局;《关于加强科技伦理治理的意见》提出伦理先行的治理要求;以及《新一代人工智能发展规划》《新一代人工智能伦理规范》《关于加快场景创新以人工智能高水平应用促进经济高质量发展的指导意见》等促进人工智能应用发展的文件。
在法律层面,《数据安全法》明确算法治理的原则,要求技术促进经济社会发展,增进人民福祉,符合社会公德和伦理;《个人信息保护法》从个人信息保护角度规制自动化决策;《互联网信息服务算法推荐管理规定》(“《算法推荐规定》”)重点治理以“大数据杀熟”为代表的算法歧视性决策;《互联网信息服务深度合成管理规定》(“《深度合成规定》”)秉持“辨伪求真”的愿景,以深度合成技术作为规制客体;《暂行办法》则整体聚焦生成式人工智能的规范应用与发展。在此基础上,还有诸多聚焦于电子商务、金融科技等特定行业领域的算法治理相关规定散见于《电子商务法》等法律法规中。
除立法之外,我国重视标准体系建设,利用产业标准进一步提高治理效能,例如国家标准化管理委员会等五部门印发《国家新一代人工智能标准体系建设指南》以加强人工智能领域标准化顶层设计,推动人工智能产业技术研发和标准制定;《人工智能伦理安全风险防范指引》针对人工智能可能产生的伦理安全风险问题,给出安全开展人工智能研究开发、设计制造、部署应用等相关活动的规范指引;此外,信安标委发布的2023年度第一批网络安全国家标准需求中,还包括拟作为《征求意见稿》配套标准的《生成式人工智能预训练和优化训练数据安全规范》《信息安全技术生成式人工智能人工标注安全规范》等标准。
2. 治理思路:风险治理
我国采用风险治理的理念早在《网络安全法》《数据安全法》规定的分类分级保护制度中已有体现,《网络安全法》明确“国家实行网络安全等级保护制度”;《数据安全法》要求根据数据引发的外部风险,即对国家、社会的价值以及出现安全事件后造成的危害后果将数据划分为核心数据、重要数据和一般数据,并适配不同程度的保护制度。
《算法治理意见》进一步明确“坚持风险防控,推进算法分级分类安全管理”为治理的基本原则之一;《算法推荐规定》明确规定要根据算法推荐服务的舆论属性或社会动员能力、内容类别、用户规模、算法推荐技术处理敏感程度、对用户行为的干预程度等对其进行分类分级管理;《深度合成规定》和《算法推荐规定》均要求具有舆论属性或社会动员能力的服务提供者履行备案义务,并进行专门安全评估;《暂行办法》依然延续此风险治理的思路,并在第十六条明确提出整体性的分类分级监管理念。
3. 治理方式:行业规制方式成效显著,顶层通用立法即将到来
《算法推荐规定》《深度合成规定》以及《暂行办法》均体现针对性立法、敏捷治理的思路——针对特定类型算法服务或应用制定规范。采取行业规制的方式使监管部门能迅速回应算法与人工智能在特定领域、行业引发的问题,实现敏捷治理、精准治理。
然而,尽管上述法规相互衔接,能够体现监管思路的延续性,但通用型人工智能将迅速普及,其在垂类领域的应用也将快速多样化,“点对点”的监管可能会“目不暇接”,“疲于应对”。为体现科技立法的前瞻性,在人工智能不断发展的时代,我们需要横向综合性的人工智能立法在新技术、新形式出现时提供一般性监管要求。2023年6月6日发布的《国务院2023年度立法工作计划》已明确将《人工智能法》纳入计划,届时我国算法与人工智能的治理体系将兼具精准设计、敏捷迅速与统一通用、涵盖广泛的优势,将更好地推动技术发展与风险管控双重目标实现。
二、责任主体义务梳理:压实服务提供者义务
《暂行办法》对生成式人工智能在具体场景的应用提出了基本、通用的合规要求,例如生成式人工智能提供者应当承担网络信息内容生产者责任。另一方面,《暂行办法》也对相关组织在新闻出版、影视制作等特殊领域利用生成式人工智能服务从事特定活动预留了一定空间,多领域主管部门依据职责,对本领域内的生成式人工智能服务应用开展行业垂直监管。
责任主体义务的设计通常是每部法律法规的重点,尽管《深度合成规定》中精确划分深度合成服务技术支持者、服务提供者与使用者的责任与义务,但《暂行办法》明确以服务提供者为治理抓手,围绕服务提供者进行义务设计。
《暂行办法》第二十二条的规定将“包括通过提供可编程接口等方式支持他人自行生成文本、图像、声音等”修改为“生成式人工智能服务提供者,是指利用生成式人工智能技术提供生成式人工智能服务(包括通过提供可编程接口等方式提供生成式人工智能服务)的组织、个人”,即旨在压实生成式人工智能服务提供者义务,有助于避免相关主体怠于履行合规义务或相互推诿,使规范落到实处。
在《暂行办法》下,生成式人工智能服务提供者主要需履行算法训练相关义务、内容管理相关义务、使用者相关义务以及监管机制相关义务,具体如下:
值得注意的是,尽管当前生成式人工智能的服务提供者多为技术开发方,仍可以满足上述合规及技术要求。但随着市场的发展,将会有大量非技术持有者借助技术支持方对外提供生成式人工智能服务,如果缺乏技术开发和管理手段,服务提供方应当就上述义务与技术支持方达成明确且详尽的协议,以确保自身合规义务的履行。
三、《暂行办法》的主要变化梳理
1. 明确适用范围与域外效力
与《征求意见稿》相比,《暂行办法》以反向列举的方式排除了对“应用生成式人工智能技术,未向境内公众提供生成式人工智能服务”情形的适用。鉴于《征求意见稿》由网信办发布,结合网信办的职权范围(互联网信息内容管理等),其适用范围应当与《算法推荐规定》《深度合成规定》类似,即集中在互联网信息服务的场景中。
尽管《暂行办法》由七部委联合发布,理论上打破了其适用范围的禁锢,但考虑到《暂行办法》围绕服务提供者进行算法备案、安全评估以及网络信息内容治理等义务设计安排,可以合理认为第二条规定中的“境内公众”指境内不特定的公众,而仅在内部研发生成式人工智能,或公司基于内部辅助办公等目的引入并允许员工使用的行为,则并未落入《暂行办法》的适用范围。
但需注意的是,一方面这并不意味着对向不特定企业提供的生成式人工智能服务的排除适用;另一方面,这也不意味着研发、内部使用生成式人工智能无需受到任何约束。如前所述,考虑到可能的顶层通用立法《人工智能法》已被纳入立法计划,不排除前述行为将可能受到《人工智能法》为人工智能确立的通用基线要求约束。欧盟的《人工智能法案》同样采取类似思路,规定仅用于研发目的和非专业目的的人工智能系统,仍需要遵守透明度义务。研发、内部使用生成式人工智能仍需要加强透明性,对其应用同时也建议满足比如信息内容管理等要求。
就域外效力而言,《暂行办法》新增第二十条规定,在“向中华人民共和国境内公众提供”的基础上特别强调《暂行办法》对于境外生成式人工智能服务的域外效力。由此可见,相关企业无论是嵌入式集成,或是通过应用程序接口在产品和服务中封装等方式使用境外生成式人工智能服务,均应当充分考量该等境外服务在中国法下的合法合规性,以及因此导致的供应中断风险,乃至可能承担的连带责任等。
此外,尽管目前尚未有直接因接入境外生成式人工智能API的产品和服务受到处罚的案例,我们亦注意到,近日已有通过API方式接入GPT的应用程序,因“于境外ChatGPT有链入,未做网安备案,公司运维的两个网站未做网安备案,网络安全制度不完善,未履行网络安全义务等行为”受到公安部门行政处罚的案例。依据行政处罚决定书,处罚依据为《网络安全法》第五十九条第一款之规定,即对应的违法行为系未履行网络安全等级保护义务(第二十一条)以及未制定网络安全事件应急预案(第二十五条)之义务。就此我们理解,接入境外生成式人工智的产品和服务可能受到监管关注的可能性较高,应注意积极履行相关合规义务。
2. 聚焦内容治理:衔接《网络信息内容生态治理规定》
《暂行办法》第四条和第九条进一步明确了生成式人工智能服务提供者的网络信息内容生产者的主体身份,并有效衔接《网络信息内容生态治理规定》(“《信息内容治理规定》”)为网络信息内容生产者施加的义务。
(1)压实服务提供者的网络信息内容生产者责任
《信息内容治理规定》是网信办对中国境内的网络信息内容生态进行治理的主要规范,除了《暂行办法》第九条提及的“网络信息内容生产者”[3],该规定还对“网络信息内容服务平台”[4]施加了一定的合规要求。
如“明确适用范围与域外效力”一节所述,《暂行办法》的适用范围集中在互联网信息服务的场景中,提供者受到互联网信息内容治理相关规定规制的脉络较为清晰。
除可能作为网络信息内容服务平台承担《信息内容治理规定》项下义务外,和传统的网络信息内容服务平台相比,生成式人工智能服务的特殊性在于,除了本身可能提供平台服务外,生成式人工智能服务实际上参与了信息内容的生成,加之其广泛运用将在信息内容领域对使用者造成潜移默化的影响,因此,《暂行办法》特别要求服务提供者承担网络信息内容生产者的责任。
(2)有效衔接有关违法信息和不良信息的规定
在明确服务提供者需承担网络信息内容生产者责任的基础上,《暂行办法》第四条进一步与《信息内容治理规定》第六条、第七条衔接,一方面,以结果为导向,禁止提供者生成违法信息;另一方,要求提供者应采取措施防止产生歧视信息。此外,由于使用者也构成《信息内容治理规定》规定的网络信息内容生产者,因此《暂行办法》第四条进一步补充了“使用生成式人工智能服务”的情形,使得其在信息内容治理领域的主体责任方面保持逻辑自洽。
此外,当前大家日益依赖互联网渠道获取信息资源,为了避免因ChatGPT等生成式人工智能已经出现的“胡编乱造”能力而误导公众,产生错误认识,《暂行办法》在要求不得生成违法信息的基础上,进一步要求提高生成内容的准确性和可靠性。
值得注意的是,无论是境外还是境内(多为内测)生成式人工智能产品,均已经出现虚假信息的情况。除通过常见的事后纠偏措施以外,服务提供者如何采取有效措施,事先提供生成内容的准确性(比如专业领域的强化学习和事先纠偏等),将不仅仅是服务提供者的合规要求,也将是其服务竞争力的表现。
3. 风险进路:分级分类管理
《暂行办法》充分体现了我国对算法与人工智能治理的以风险为核心的分级分类监管机制。
(1)落实各行业领域生成式人工智能服务应用的分类分级监管机制
如前所述,我国在互联网信息内容领域已初具基于风险的分类分级制度雏形。具体而言,考虑到在互联网信息时代,信息快速传播对社会及公共利益产生的极大影响,《算法推荐规定》《深度合成规定》作为我国对互联网信息领域应用算法推荐技术、深度合成技术进行规制的主要文件,依据相关服务提供者是否具备舆论属性或社会动员能力,为相关主体施加了不同层次的合规义务。此种基于是否具有舆论属性或社会动员能力的风险形成的分级要求也延续至了《暂行办法》。
我们理解,《暂行办法》第十七条规定的安全评估与算法备案义务不仅延续了我国既有的算法治理手段,更体现了对生成式人工智能服务的风险分级要求。此前,在《征求意见稿》出台后,我们认为《征求意见稿》第六条对提供者履行算法备案与安全评估的义务的边界可能存在疑问。《暂行办法》对此作出了回应,延续了此前对算法推荐与深度合成服务提供者的分级,明确仅在“提供具有舆论属性或者社会动员能力”时,相关主体才需履行安全评估与算法备案义务。
值得注意的是,上述分级管理仅仅是冰山一角,《暂行办法》第十六条明确将分级分类监管的方法论延伸至生成式人工智能应用的全方位领域。也即,各行业主管部门均可以依据本行业内生成式人工智能技术本身的特点与在特定行业应用的特色进行分级分类监管,避免“一刀切”,使得各个风险级别的生成式人工智能服务一方面有能力在实践中充分发挥其作用,另一方面,其应用风险也可通过恰当、具有针对性的监管手段得到有效控制。
(2)为人工智能技术未来整体性分级分类提供先行示范
生成式人工智能技术仅是纷繁复杂的人工智能技术的一种,在人工智能治理过程中,除了规制特定人工智能技术类型、特定领域应用的精细化治理规则,规制整体人工智能技术及应用的通用立法也极具意义。
如前所述,我国此前在数据安全、个人信息保护以及互联网信息内容领域也体现了一定的风险分级分类思路,除了特定的行业内分级分类机制,整体的风险分级分类的思路在《暂行办法》中也得到了赓续。具体而言,《暂行办法》第三条提出国家对“生成式人工智能服务实行包容审慎和分级分类监管”。我们理解,这一规定不仅明确了分级分类在生成式人工智能服务这一特定技术服务领域的应用,更为重要的是,其为此后我国拟制定的通用性人工智能立法设置整体性的风险分级分类制度提供先行实践作用,为我国《人工智能法》预留了充分的发挥空间。
需要注意的是,我国虽然和欧盟类似,在人工智能治理领域均采取基于风险的分级分类制度。但是,基于各地区先天的文化及价值观差异,风险的视野可能存在差异。具体而言,欧盟《人工智能法案》在2023年发布的折衷草案中,明确了其在进行分级分类时,将人工智能系统对人们健康、安全、基本权利或环境的危害等因素涵盖在内。而我国未来如考虑对人工智能系统或技术进行整体规制,则可以基于人工智能规制内生的网络安全、数据安全、个人信息保护要求以及公共利益等因素为出发点,因地制宜,制定适宜我国实际需求的基于风险的分级分类制度。
4. 算法披露:与算法安全风险监测机制相适应
《暂行办法》对于算法披露义务的修订至少体现出两重深意,一是协调增强算法披露制度的体系建构,二是审慎考量算法透明与知识产权、商业秘密保护之间的平衡。
(1)协调增强算法披露制度的体系建构
与《征求意见稿》第十七条“应当根据国家网信部门和有关主管部门的要求”这一不甚明确的适用前提相比,《暂行办法》明确了算法披露义务系服务提供者在有关主管部门依据职责开展监督检查时的配合义务。该等监督检查与我国现有算法治理框架一脉相承,属于算法安全风险常态化监测机制,是算法监管体系的重要组成部分。根据2021年网信办等九部委印发的《算法治理意见》,监管部门对算法的数据使用、应用场景、影响效果等开展日常监测工作,感知算法应用带来的网络传播趋势、市场规则变化、网民行为等信息,预警算法应用可能产生的不规范、不公平、不公正等隐患,发现算法应用安全问题。此外,这亦与《深度合成规定》《算法推荐规定》保持高度一致。
在此基础上,考虑到在《暂行办法》下,算法备案与安全评估义务均仅适用于“具有舆论属性或社会动员能力”的服务提供者,而前述算法披露义务适用于所有的服务提供者,可以理解其并非是向监管部门履行“额外”的算法披露义务,而是增强算法披露制度的完整性,并形成覆盖不同风险级别的生成式人工智能的监管体系。
(2)审慎考量算法透明与知识产权、商业秘密保护之间的平衡
就披露范围而言,《暂行办法》不但摒弃了“以影响用户信任、选择的必要信息” “基础算法和技术体系”等相对模糊不清的表述,代之以“算法机制机理”,还明确规定获知披露信息的相关机构和人员的保密义务。
一方面,这一修订一定程度上直接回应了实践中相关企业对于源代码等可能被纳入披露范围而导致的对知识产权、商业秘密保护等方面的隐忧,有助于保护企业的发展动力。另一方面,如前所述,考虑到该等算法披露义务与算法安全风险监测机制相适应,可以理解对于训练数据来源、规模、算法机制机理等披露要求的限度,将限于监管部门履行其防范算法滥用风险等方面的监管职责,而不至于毫无边界,甚至于算法绝对透明。这似乎旨在呼应这样一种主张:对算法的透明度要求不应高于人类——我们只需要人类决策者在问责和透明程序中提供足够的信息和理由,而不是以上帝之眼洞察他们的认知过程。[5]
此外,对“算法机制机理”的理解在实践中已有章可循。目前,已按照《深度合成规定》《算法推荐规定》履行算法备案义务的企业,可以在互联网信息服务算法备案系统中查询其拟公示算法机制机理内容,其中包含备案算法的基本原理、运行机制、应用场景、目的意图等信息。
5. 审慎包容:责任主体义务限缩
《暂行办法》对于算法纠偏及训练数据的数据质量要求相关规定修改,适度为生成式人工智能服务提供者“松绑”,充分体现出坚持发展和安全并重,平衡企业利益、公共利益、个人信息保护等多方诉求的包容审慎监管态度。
(1)算法纠偏与报告义务
如我们在“不要温和地走进那良夜——对《生成式人工智能服务管理办法》的思考”一文中所述,尽管算法透明度是算法规制可欲的目标,也是算法程序性规制强有力的监管工具,但在实践中,由于算法黑箱的存在会影响技术人员进行算法纠偏行为的有效性,若采取“防止不当内容再次生成”等基于结果的规制方案,可能致使责任主体履行义务存在较大障碍。因此,《暂行办法》第十四条将算法纠偏义务限于“及时采取停止生成、停止传输、消除等处置措施”具备更强的可操作性,亦能避免相关企业为此支出高昂但或“徒劳无功”的合规成本。
此外,《暂行办法》还要求企业保存采取处置措施的有关记录,并向有关主管部门报告。尽管具体的报告内容将有待明确,这意味着“采取有效措施”并非被置于监管真空,而是同样需经由监管部门评估、以有效固定生成式人工智能违法行为的问责点。
(2)训练数据的数据质量要求
生成式人工智能模型在预训练和调优过程中,有赖于大规模语料库等海量数据的“喂养”,然而越多的数据并不等于越好的数据。如果训练数据存在错误、噪声或偏差,模型可能会学习到不准确或不可靠的信息,从而影响模型的泛化能力。此外,如若数据集中存在虚假与歧视性内容等,模型的输出结果中也可能镜像呈现相应内容。因此,对训练数据的质量控制,实质是对确保生成式人工智能的可靠性与可信度,防止生成违法、不良信息等的源头控制。因此,无论是《暂行办法》还是欧盟《人工智能法案》,均对训练数据提出了一定的质量要求。
《暂行办法》在《征求意见稿》提出的训练数据“真实性、准确性、客观性、多样性”的基础上,限缩了生成式人工智能服务提供者对训练数据质量应尽的义务履行边界,从“能够保证”训练数据质量减轻至“提高”训练数据质量、“增强”训练数据的真实性、准确性、客观性以及多样性。
上述变化为由结果为导向减轻至以行为为导向。我们理解,这种变化在一定程度上打消了提供者对使用训练数据、扩大训练数据范围的顾虑,有助于其积极开展相关的数据训练活动,优化人工智能,从而使公众受益。毕竟,即使是大企业,也难以保证自身使用的海量训练数据均是真实、准确且客观的。因此,《暂行办法》调整了相关义务,即使客观上存在训练数据不真实、不准确、不客观的可能性,但不影响生成式人工智能服务提供者通过数据标注等手段,尽可能减少相关风险。
与真实性、准确性和客观性相较而言,训练数据的多样性更需从多维度进行分析与判断。生成式人工智能技术在训练优化时,单一范围的训练数据可能致使生成结果存在不足与遗漏。以ChatGPT为例,当ChatGPT的训练数据以英文语料资料为主时,虽然其可基于对话者的指示对英文写作进行充分地改写,但是在组织中文时,能力则稍显逊色。基于此,建议相关企业以生成式人工智能服务预期应用的具体领域为出发点,充分考虑不同行业的差异化与特殊性,选择恰当的训练数据范围。
四、对《暂行办法》的思考与展望
1. “举重若轻”,敏捷与审慎监管相依,科学进步成为新主题
ChatGPT等生成式人工智能在全球掀起热潮后,我国监管部门需要迅速研讨风险,在短时间内形成征求意见稿,时间紧任务重。同时为了平衡发展与安全,在广泛征求社会意见后,《暂行办法》大量删减争议条款,在鼓励新技术在合理框架内发展的主基调下,在技术涌现不到六个月时间内最终定稿,体现出我国在社会面临新技术引发的新旧风险时进行“敏捷治理”的积极态度。
在“敏捷治理”的基础上,基于生成式人工智能服务提供者的现实技术与能力困境,同时避免采取欧盟等在科技领域的强势态度从而可能致使人工智能创新受阻的负面影响,我们理解《暂行办法》在《征求意见稿》的基础上,充分体现了我国对人工智能等科技领域发展所采取的“包容审慎态度”,在促发展与稳安全之间寻找动态的平衡点。
值得一提的是,除《网络安全法》《数据安全法》《个人信息保护法》的“三驾马车”外,《暂行办法》还将《科学技术进步法》明确纳入其上位法的范畴。《科学技术法》作为我国法律层级的规定,明确提出“发挥科学技术第一生产力、创新第一动力”的目标;《暂行办法》作为其下位法,将相关机构研发生成式人工智能服务(不面向境内公众提供)的情形排除在管辖范围外,并支持鼓励行业组织等技术创新,“牢牢把握建设世界科技强国的战略目标”,“抓抢全球科技发展先机”。
2. 规范先行,可期待与《人工智能法》相衔接
如前所述,结合《国务院2023年度立法工作计划》,我国的《人工智能法》已经正式进入了立法进程中。《暂行办法》是我国人工智能整体监管的及时应对和有益尝试,随着技术发展和行业实践的推移,“行业规制+通用立法”的模式将成为人工智能治理的主流手段。可以预计在未来,人工智能立法不论是从横向层面还是从纵向层面,都会日臻全面和完善。
如前所述,我国自《数据安全法》起,即构建了一种基于风险的分类分级监管思路。《暂行办法》第三条和第十六条均明确提及我国在生成式人工智能治理方面将采取“分类分级监管”,这也为正在制定的《人工智能法》就人工智能整体规制层面进行分类分级监管提供了充足的空间。
3. 吸收国际共识,传递中国价值,分享中国方案
一方面,《暂行办法》制定、征求意见的过程中,全球范围内生成式人工智能治理的相关讨论热度居高不下。欧盟自2021年发布《人工智能法案》提案后,进行多次协商与沟通,并分别于2022年发布《人工智能法案》妥协版本,于2023年发布《人工智能法案》折衷版本。欧盟及其他地区的立法活动为我国提供了参考,在制定《暂行办法》时,我国也对国际先进、有借鉴意义的经验进行吸收学习,博采众长,合理借鉴多数司法管辖区例如训练数据治理等监管要求,体现出《暂行办法》的国际先进性。
另一方面,作为世界范围内首部正式通过的生成式人工智能服务法规,《暂行办法》立足我国实践,通过第四条中要求尊重“社会公德和伦理”,确定中国生成式人工智能的伦理和道德原则。此外《暂行办法》还鼓励生成式人工智能技术的自主创新,并积极通过推进公共训练数据资源平台、推动公共数据共享开放、促进算力资源协同共享等措施,为企业就生成式人工智能算法、框架、芯片等的研发保驾护航。
最后,《暂行办法》第六条明确鼓励生成式人工智能算法、框架、芯片及配套软件平台等基础技术的自主创新,平等互利开展国际交流与合作,参与生成式人工智能相关国际规则制定,也旨在将中国价值和中国方案进一步对外推广。
4. “条修叶贯”,企业宜加快完善内部合规制度体系
对于企业而言,不仅要着手履行《暂行办法》及现行算法与人工智能治理框架合规义务,更是要思考如何通过技术、制度和组织工具,建立一个内部逻辑自洽、行之有效的人工智能合规体系,以应对未来可能到来的各种监管举措。
整体而言,企业宜从人工智能全生命周期的角度思考如何搭建内部合规体系,包括但不限于:
- 人工智能风险管理组织;
- 人工智能道德伦理标准;
- 人工智能开发管理制度;
- 人工智能数据安全与合规管理规范;
- 人工智能技术和服务监测制度;
- 人工智能安全应急处理要求;
- 科技伦理审查制度等。
同时,还需要考虑到企业需履行算法纠偏与报告等义务,企业应当建立内部记录机制,以实现对人工智能开发和使用的信息记录,以满足算法透明性义务和及时响应监管的要求,有助于企业进行合规自证。
后记
在《征求意见稿》出台后,我们在“不要温和地走进那良夜——对《生成式人工智能服务管理办法》的思考”一文中曾呼唤,面对生成式人工智能部分不可测风险,“即使眼前幽暗丛生,我们也‘不要温和地走入那良夜’(Do not go gentle into that good night)”,应当以“以最大的热情鼓励和促进技术的发展,同时以最审慎的心态、最大的关注力观察人工智能的发展动向,秉承技术中立的价值,审慎包容但坚守底线”。在《暂行办法》“落地”后,我们欣喜地发现“发展和安全并重、促进创新和依法治理”真正成为监管原则,“包容审慎”也体现在具体的监管要求和方式中。
尽管我国成功发布全球首部生成式人工智能法规,可谓是“今宵绝胜无人共”,但在“欢欣鼓舞”的同时,我们仍不能放松警惕。不仅新技术新应用正在以史无前例的速度、强度和广度影响社会,各国未来陆续出台的人工智能监管规则也将引发多样化的思潮,产业发展和社会治理势必迎来第二波的冲击。在人工智能领域,监管部门如何开拓监管思路、抓准监管时机、更新监管工具,产业如何顺应合规发展方向、主动管理人工智能、快速创新应用将会持续影响各国的国际竞争力。结合《暂行办法》的成功经验,我们相信,产业与监管的有效沟通,相互理解与共同治理,将能协助大家携手“卧看星河尽意明”,最终走出幽暗,迎来更加璀璨的国家及人类的未来。
感谢实习生王艺捷对本文的贡献
扫码订阅“金杜律师事务所”,了解更多业务资讯
当地时间2023年3月31日,意大利个人数据保护局宣布即日起暂时禁止使用ChatGPT。2023年4月13日,西班牙国家数据保护局因ChatGPT可能违反《通用数据保护条例》而对OpenAI启动初步调查程序;法国国家信息自由委员会也决定对收到的有关ChatGPT的五起投诉展开调查。此外,欧盟数据保护委员会(EDPB)也于2023年4月13日宣布成立针对ChatGPT的专门小组。值得注意的是,随着OpenAI在隐私数据方面作出让步,4月29日,意大利个人数据保护局撤销了对ChatGPT的暂时禁令。
“全球首部生成式AI法规即将生效,多个争议条款被删改”,参见https://mp.weixin.qq.com/s/yW9putNcX0XIEHcH8tQ3Pw。
网络信息内容生产者:《网络信息内容生态治理规定》第四十一条规定,网络信息内容生产者是指制作、复制、发布网络信息内容的组织或者个人。
网络信息内容服务平台:《网络信息内容生态治理规定》第四十一条规定,网络信息内容服务平台,是指提供网络信息内容传播的网络信息服务提供者。
Zerilli, J., Knott, A., Maclaurin, J., Gavaghan, C.: Transparency in algorithmic and human decision-making: is there a double standard? Philos. Technol. 32(4), 661–683 (2019).