前沿观察,

书当快意读易尽——通过Sora读懂我国新兴领域立法及合规指引

中国 | 中文
所在网站 :    中国   |   中文
澳大利亚
中国香港特别行政区
新加坡
美国
全球

标签:合规业务-网络安全与数据合规数字经济

引言

Sora是OpenAI公布的全新的生成式人工智能模型,它是一个文生视频模型(Text to Video),能够根据输入的提示词,生成最长达60秒的逼真视频。Sora在发布后引起了广泛的关注和讨论,虽然其生成的视频仍有瑕疵,遭到一些专业人士以及竞争对手谷歌等的吐槽,但是其生成的视频质量高,包含了高度精细的背景、复杂的运镜、丰富的角色,以及多变的风格和微表情等,使得人们对其的应用前景充满期待。与此同时,Sora也引发了一些关于版权、商标和数据合规等法律问题的讨论。我们很有兴趣做一个假设,如果Sora在中国提供服务,应当遵守哪些法律指引呢?经过梳理分析,我们发现实际上Sora可能会用上我国所有的新技术新应用立法(目前我国新兴领域立法体系主要关注网络安全和数据安全问题,因此生成式人工智能的知识产权保护问题不在本文中讨论)。本文以此作为思想试验,以Sora为调整对象,分析解构我国新兴领域立法规定及合规概要,希望可以让我们更深入地认识大模型,也可借此了解和熟悉我国的新兴领域立法体系。

一、我国的新兴领域立法体系略览

习近平总书记高度重视发挥法治对新技术新应用新业态发展的引领、规范和保障作用,就依法规范新兴领域作出重要指示批示。习近平总书记指出,“健全国家治理急需的法律制度、满足人民日益增长的美好生活需要必备的法律制度,以良法善治保障新业态新模式健康发展”“加快数字经济、互联网金融、人工智能、大数据、云计算等领域立法步伐”“加强重点领域、新兴领域、涉外领域立法,统筹推进国内法治和涉外法治,以良法促进发展、保障善治”。

党的二十大报告指出,完善以宪法为核心的中国特色社会主义法律体系要加强重点领域、新兴领域、涉外领域立法。随着人工智能、大数据、自动驾驶等新技术新应用的快速发展,强化新兴领域立法是网络法律体系的重要部分。2024年1月,司法部表示,“立法方面,司法部今年进一步丰富立法形式,以急用先行、‘小块灵’等多种形式,探索建立立法快速响应机制,提升立法质效”,持续加强重点领域、新兴领域法律法规供给。

自2016年以来,我国立足发展实践,结合新兴领域创新性、探索性、未知性的特征,先后制定出台多部法律法规,为新兴领域创新发展提供坚实的法律基础,其中既有涉及数据的,具有通用性、顶层性的立法,以适应新兴领域对数据使用和保护的需求,同时也有专门针对具有应用、业态的立法,以保障行业健康有序房展。

  • 通用层面的顶层立法,重点围绕数据治理的底层问题,出台了《网络安全法》《数据安全法》《个人信息保护法》等众所周知的重要立法。其中,确立了网络安全、数据安全和个人信息合规最顶层也是最基础的法律要求。
  • 细分领域的具体立法,围绕区块链、音视频、汽车数据、算法推荐、深度合成、AIGC等,针对具体技术和应用制定针对性的法规,包括《区块链信息服务管理规定》《网络音视频信息服务管理规定》《汽车数据安全管理若干规定(试行)》《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》。

我国新兴领域立法坚持小切口、小步跑的效率原则,体现出包容审慎、敏捷弹性、保障安全等特点,通过法治手段有效应对了新兴领域产生的新问题和新挑战,引导新技术新应用新业态良性发展。同时充分展现了开创性、探索性的立法特征,为其他国家相关立法提供了有效经验和智慧。

不容忽视的是,随着生成式人工智能的通用性和兼容性不断提升,应用及产业发展步伐还将进一步加快。2024年1月,工信部等七部门联合发布了《关于推动未来产业创新发展的实施意见》,表示将大力发展未来产业,到2025年实现未来产业技术创新、产业培育、安全治理等全面发展,部分领域达到国际先进水平;到2027年,实现未来产业综合实力显著提升,部分领域实现全球引领。工信部等部门发布的实施意见,为未来产业发展划定了路线图和主要方向,技术和产业的发展已经步入未来,相应而言,法治保障体系也会进入新的构建阶段。《关于推动未来产业创新发展的实施意见》中即把“强化安全治理”作为保障措施之一,要求“坚持包容审慎的治理理念,探索跨部门联合治理模式,构建多方参与、有效协同的未来产业治理格局。加强伦理规范研究,科学划定‘红线’和‘底线’,构建鉴别-评估-防御-治理一体化机制。引导企业建立数据管理、产品开发等自律机制,完善安全监测、预警分析和应急处置手段,防范前沿技术应用风险”。

下面,我们结合Sora应用,进一步讨论我国新兴领域立法现状及其合规适用。

二、通用性数据合规

在数据合规方面,Sora(或任何其他大语言模型)的使用需要考虑多个因素,以确保数据的合法性和合规性。以下是一些关键的数据合规问题,需要在使用Sora或类似模型时加以考虑:

1. 数据来源:必须确保所使用的数据来源于合法合规的渠道。这意味着不能从非法、侵犯个人信息或者危害数据安全的渠道获取数据。同时,对于重要数据、个人信息等的收集和使用,必须遵守相关法律规定,如《网络安全法》《数据安全法》《个人信息保护法》等。

2. 数据使用权限:即使数据来源于合法渠道,也必须确保有权使用这些数据来训练模型。这通常涉及到获取数据提供者的明确许可,或者符合公开数据使用的目的和方式。

3. 数据清洗和预处理:在使用数据之前,可能需要进行清洗和预处理,以删除或修改可能违反合规要求的内容。这可能包括内容管理要求(违法信息和不良信息)、数据安全要求和个人信息保护要求等。

4. 模型输出的合规性:除了输入数据,还需要确保模型的输出内容也符合合规要求。例如,如果模型生成的内容包含违法信息、虚假信息或误导性内容(如谣言等),就可能违反相关的法律规定。

5. 数据保护:必须采取适当的安全措施来保护所使用的数据,以防止数据泄露、篡改或滥用。这可能包括加密存储、访问控制、定期审计等。

6. 合规审计:定期进行合规审计是确保数据合规性的重要手段。这可以帮助识别和解决潜在的合规问题,确保模型的使用符合相关法规和标准。同时,根据《个人信息保护法》《未成年人网络保护条例》

7. 隐私政策:如果使用Sora或类似模型涉及个人信息,还需要制定清晰的隐私政策,向用户明确说明个人信息的收集、使用、存储和共享方式等情况。

综上所述,数据合规性是使用Sora或任何AI模型时必须考虑的关键问题。通过确保数据的合法性、合规性和安全性,可以最大限度地减少合规风险,确保模型的使用符合相关法规和标准。

三、互联网信息服务算法推荐服务

根据《互联网信息服务算法推荐管理规定》,算法推荐技术包括生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术。Sora具有生成合成的技术特征,属于算法推荐服务。根据规定要求,算法推荐服务提供者需履行以下方面的主体责任(具体解读可见:《算法治理之互联网信息服务推荐算法管理》)。

1. 算法安全责任。算法推荐服务提供者应当建立健全相关管理制度和技术措施,包括建立健全算法机制机理审核、科技伦理审查、用户注册、信息发布审核、数据安全和个人信息保护、反电信网络诈骗、安全评估监测、安全事件应急处置等管理制度和技术措施,制定并公开算法推荐服务相关规则,配备与算法推荐服务规模相适应的专业人员和技术支撑。

2. 算法伦理责任。法推荐服务提供者应当定期审核、评估、验证算法机制机理、模型、数据和应用结果等,不得设置诱导用户沉迷、过度消费等违反法律法规或者违背伦理道德的算法模型。

3. 算法信息安全管理。算法推荐服务提供者应当建立健全用于识别违法和不良信息的特征库,完善入库标准、规则和程序。发现未作显著标识的算法生成合成信息的,应当作出显著标识后,方可继续传输。发现违法信息的,应当立即停止传输,采取消除等处置措施,防止信息扩散,保存有关记录,并向网信部门和有关部门报告。发现不良信息的,应当按照网络信息内容生态治理有关规定予以处置。

4. 算法安全评估。算法推荐服务提供者需要对具有舆论属性或者社会动员能力的算法推荐服务提供者提出了算法安全评估的特殊要求,明确其应当按照国家有关规定开展安全评估。此外,鉴于该等算法推荐服务提供者应当履行备案的义务,在其填报备案系统信息时需提交算法自评估报告。

5. 算法分类分级备案。具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息,履行备案手续。

6. 用户权益保护。算法推荐服务提供者应当加强标签管理,提高算法应用的透明度,不强制实施自动化决策,设置投诉反馈渠道等。同时,对于未成年人、老年人、劳动者(涉及工作调度)等有特殊保护要求。

值得注意的是,国家网信办、工信部、公安部还出台了《互联网信息服务深度合成管理规定》,对应用深度合成技术提供互联网信息服务作出了规定。

四、深度合成服务

根据《互联网信息服务深度合成管理规定》的要求,在中华人民共和国境内应用深度合成技术提供互联网信息服务,即深度合成服务,需要遵守该规定及相关法律法规要求。所谓深度合成技术,按照该规定第二十三条,是指利用深度学习、虚拟现实等生成合成类算法制作文本、图像、视频、虚拟场景等网络信息的技术。Sora属于制作视频的技术,具体应属于第二十三条第六项的形式——三维重建、数字仿真等生成或者编辑数字人物、虚拟场景的技术。深度合成服务与算法推荐服务管理要求比较类似,具有舆论属性或者社会动员能力的深度合成服务提供者,也应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。具体到深度合成服务,需要满足两个主要方面的合规义务,一般要求、数据和技术管理规范。

  • 一般要求。(1)信息安全义务。禁止任何组织和个人利用深度合成制作、复制、发布、传播违法信息,特别是禁止虚假新闻信息。深度合成服务提供者应当建立健全用户注册、算法机制机理审核、科技伦理审查、信息发布审核、数据安全、个人信息保护、反电信网络诈骗、应急处置等管理制度,具有安全可控的技术保障措施。(2)实名制登记。深度合成服务提供者应当基于移动电话号码、身份证件号码、统一社会信用代码或者国家网络身份认证公共服务等方式,依法对深度合成服务使用者进行真实身份信息认证。(3)巡查义务。深度合成服务提供者需要采取技术或者人工方式对深度合成服务使用者的输入数据和合成结果进行审核。(4)建立相关保障机制。深度合成服务提供者应当建立健全辟谣机制,同时还应当设置便捷的用户申诉和公众投诉、举报入口。(5)应用商店上架审核。互联网应用商店等应用程序分发平台应当落实上架审核、日常管理、应急处置等安全管理责任,核验深度合成类应用程序的安全评估、备案等情况。
  • 数据和技术规范。(1)训练数据管理。深度合成服务提供者应当保障数据安全,遵守个人信息保护规定,提供人脸、人声等生物识别信息编辑功能的,应当提示深度合成服务使用者依法告知被编辑的个人,并取得其单独同意。(2)安全评估。深度合成服务提供者应当定期审核、评估、验证生成合成类算法机制机理,提供特定功能的模型、模板等工具的,应当依法自行或者委托专业机构开展安全评估。(3)标识义务。深度合成服务提供者对使用其服务生成或者编辑的信息内容,应当采取技术措施添加不影响用户使用的标识,而相关深度合成信息内容可能导致公众混淆或者误认的,应当在生成或者编辑的信息内容的合理位置、区域进行显著标识。对此,《互联网信息服务深度合成管理规定》在第十七条中列举了五类情形,第三项中即包括“视频生成”服务。

值得注意的是,《互联网信息服务深度合成管理规定》出台于2022年11月,其中涉及一些深度合成视频信息内容的因素,不过“文本转视频”并未作为一项典型服务纳入调整范围。未来我国如果要专门针对Sora及类似服务进行规范,可以考虑在该规定的基础上做修订处理。

五、生成式人工智能服务

Sora作为大模型的应用形式,提供生成式人工智能信息服务,需要遵守《生成式人工智能服务管理暂行办法》的规定。该规定以部门规章的形式明确了生成式人工智能服务如何遵守《网络安全法》《数据安全法》《个人信息保护法》等法律规定的要求,将生成式人工智能服务纳入了既定法律框架(具体解读详见:《“卧看星河尽明意”——全球首部生成式人工智能法规解读》)。根据该规定要求,对于生成式人工智能服务,差异性合规要求主要在于准入管理部分,大多数生成式人工智能服务提供者需同时适用《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》下的算法备案制度,以及《生成式人工智能服务管理暂行办法》下的生成式人工智能(大语言模型)备案,实践中形成了以线上的算法备案以及线下的大模型备案构成的“双备案制”的生成式人工智能服务监管机制。其中,Sora可通过国家网信办提供的互联网信息服务算法备案系统完成算法备案,其流程已相对成熟。

六、网络音视频服务

Sora是否属于网络音视频服务提供者?根据国家网信办发布的《网络音视频信息服务管理规定》,网络音视频信息服务提供者是指向社会公众提供网络音视频信息服务的组织或者个人。而网络音视频服务,是指通过互联网站、应用程序等网络平台,向社会公众提供音视频信息制作、发布、传播的服务。根据该规定,Sora符合向社会公众提供音视频制作服务的特征,需要遵守相关要求。

1. 作为提供者,落实信息内容安全管理主体责任。具体而言,需要配备与服务规模相适应的专业人员,建立健全用户注册、信息发布审核、信息安全管理、应急处置、从业人员教育培训、未成年人保护、知识产权保护等制度,具有与新技术新应用发展相适应的安全可控的技术保障和防范措施,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、安全性和可用性。

2. 作为提供者,落实实名制登记要求。具体而言,需要对用户进行基于组织机构代码、身份证件号码、移动电话号码等方式的真实身份信息认证。

3. 作为提供者,落实安全评估要求。具体而言,需要基于深度学习、虚拟现实等新技术新应用上线具有媒体属性或者社会动员功能的音视频信息服务,或者调整增设相关功能的,应当按照国家有关规定开展安全评估。

4. 作为提供者和使用者,落实显著标识要求。具体而言,利用基于深度学习、虚拟现实等的新技术新应用制作、发布、传播非真实音视频信息的,应当以显著方式予以标识。同时,作为提供者,发现其平台上未经显著标识的相关音视频信息,应当立即停止传输该信息,以显著方式标识后方可继续传输该信息。

5. 作为提供者和使用者,不得制作、发布、传播虚假新闻信息。具体而言,不得利用基于深度学习、虚拟现实等的新技术新应用制作、发布、传播虚假新闻信息。

6. 作为提供者,落实鉴伪和巡查义务。具体而言,需要加强对网络音视频信息服务使用者发布的音视频信息的管理,部署应用违法违规音视频以及非真实音视频鉴别技术,发现音视频信息服务使用者制作、发布、传播法律法规禁止的信息内容的,应当依法依约停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向网信、文化和旅游、广播电视等部门报告。

7. 作为提供者,需要建立辟谣机制。具体而言,应当建立健全辟谣机制,发现网络音视频信息服务使用者利用基于深度学习、虚拟现实等的虚假图像、音视频生成技术制作、发布、传播谣言的,应当及时采取相应的辟谣措施,并将相关信息报网信、文化和旅游、广播电视等部门备案。

8. 作为提供者,应当与其服务使用者签订协议。具体而言,应当签订的服务协议中,明确双方权利、义务,要求网络音视频信息服务使用者遵守本规定及相关法律法规。对违反本规定、相关法律法规及服务协议的网络音视频信息服务使用者依法依约采取警示整改、限制功能、暂停更新、关闭账号等处置措施,保存有关记录,并向网信、文化和旅游、广播电视等部门报告。

9. 作为提供者,应当设置投诉举报入口。具体而言,应当自觉接受社会监督,设置便捷的投诉举报入口,公布投诉、举报方式等信息,及时受理并处理公众投诉举报。

10. 作为提供者,需要留存日志并配合监管。具体而言,应当依法留存网络日志,配合网信、文化和旅游、广播电视等部门开展监督管理执法工作,并提供必要的技术、数据支持和协助。

11. 作为技术提供方,应当落实网络安全保障义务。具体而言,为网络音视频信息服务提供技术支持的主体应当遵守相关法律法规规定和国家标准规范,采取技术措施和其他必要措施,保障网络安全、稳定运行。

值得注意的是,《网络音视频信息服务管理规定》同时对服务提供者和服务使用者进行监管,设置了各自的责任义务。网络音视频信息服务提供者相较具有更大的责任。

七、汽车数据处理者

Sora不仅能生成视频,更重要的是它能了解世界运行的底层物理规律,并学会预测下一个时刻的变化。这种认知和预测能力对于自动驾驶来说是非常关键的。自动驾驶汽车需要能够准确理解并预测周围环境的变化,包括其他车辆、行人、道路标志等的动态变化,从而做出正确的驾驶决策。因此,Sora可能在自动驾驶领域发挥重要作用。具体而言,可以模拟各种复杂的交通场景,帮助自动驾驶系统更好地适应和预测环境的变化,从而提高系统的鲁棒性和安全性。此外,Sora还可以用于自动驾驶系统的测试和验证,通过模拟各种可能的交通场景,发现和解决潜在的问题。很多观点认为,Sora以及类似视频生成人工智能,可以应用于自动驾驶场景,助力智能网联汽车技术发展和突破。

如果将Sora应用于自动驾驶,那么可能需要遵守《汽车数据安全管理若干规定(试行)》。根据该规定,汽车数据处理者是指开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。Sora应被纳入软件供应商的范畴。具体而言,应当履行以下义务:

1. 贯彻依法合理有效利用相关原则。具体包括车内处理原则、默认不收集原则、精度范围适用原则和脱敏处理原则。

2. 个人信息处理告知义务。汽车数据处理者需要明确告知处理个人信息的种类、收集情境、停止收集的方式途径等相关信息,确保个人信息的合法性和透明性。

3. 具备个人信息处理合法性基础。汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形。因保证行车安全需要,无法征得个人同意采集到车外个人信息且向车外提供的,应当进行匿名化处理,包括删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理等。

4. 依法依标处理敏感个人信息。汽车数据处理者处理敏感个人信息的,应当依照法律、行政法规和强制性国家标准的要求,确保处理活动具有直接服务于个人的目的,采取显著方式告知,取得个人单独同意,以适当方式提示收集状态,保障删除权等。

5. 重要数据风险评估和年度报告。汽车数据处理者需要识别重要数据,在此基础上按照规定开展风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。同时,每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送年度汽车数据安全管理情况(即1215报告)。

6. 重要数据在境内存储或申报安全评估。重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。

7. 建立投诉举报机制。汽车数据处理者开展汽车数据处理活动,应当建立投诉举报渠道,设置便捷的投诉举报入口,及时处理用户投诉举报。

结语-对企业的合规启示

在新兴领域确保合规性是一个重要且复杂的任务,特别是当这些领域涉及到新技术和创新性的应用时,如Sora这样的视频生成和模拟工具。以下是一些建议,以帮助企业在使用Sora等新技术新应用时确保合规性:

1. 了解并跟踪法规变化:新兴技术往往伴随着新的法规和合规要求。企业应建立一个专门的团队或寻求第三方专业机构的力量,来跟踪相关法规的发展,及时调整合规策略。参与行业协会、研讨会和培训课程,以获取最新的合规信息和最佳实践。

2. 进行全面的合规风险评估:在将Sora等新技术集成到业务流程中之前,企业应进行全面的合规风险评估。这包括评估网络安全、数据安全、个人信息保护等方面的风险。同时,需要根据评估结果制定相应的风险应对策略和部署计划。

3. 制定并执行严格的内部合规政策:企业应制定详细的内部合规政策,明确员工在使用Sora等工具时的行为准则和禁止事项。在此基础上,还需要通过定期的培训和沟通,确保员工了解并遵守这些政策。

4. 与第三方合作时确保合规性:如果企业与第三方合作开发或部署Sora等解决方案,应确保第三方也遵守相关的合规要求。在合同中明确双方的合规责任和义务,包括网络安全、数据安全和个人信息保护的责任和义务等。

5. 建立有效的监控和审计机制:企业应建立监控和审计机制,定期检查Sora等工具的使用情况,确保它们的合规性。如果发现任何违规行为或潜在风险,应立即采取行动进行纠正。必要时,还可以通过公布审计报告、社会责任报告等方式,接收社会监督。

6. 准备应对监管机构的审查:由于新兴领域可能受到监管机构的特别关注,企业应做好准备,随时接受监管机构的审查和询问。建立完善的文档管理系统,以便在需要时快速提供相关的合规证明和资料。

7. 培养合规文化:合规不仅仅是遵守法律的要求,更是一种企业文化。企业应通过领导层的示范、培训和激励机制,培养员工的合规意识和行为习惯。

8. 灵活适应变化:新兴领域的合规环境可能会快速变化。企业应保持灵活性和敏捷性,及时调整合规策略和实践,以适应这些变化。

总之,在新兴领域确保合规性需要企业持续投入努力和资源。通过了解法规变化、进行风险评估、制定内部政策、与第三方合作、建立监控机制、准备应对审查、培养合规文化以及灵活适应变化,企业可以在使用Sora等新技术新应用时降低合规风险并保持竞争优势。

扫码订阅“金杜律师事务所”,了解更多业务资讯

最新文章
前沿观察
在各国的专利审查过程中,评价权利要求是否具有新颖性或创造性,需要进行详尽的文献检索,根据找到的对比文件判断该专利是否具备新颖性和创造性。而其中至关重要的一环在于对比文件能否认定为现有技术,这一认定对于专利授权和无效而言非常重要。前不久,笔者收到一个提问:专利申请通过巴黎公约途径进入美国,其申请在先、公开在后的优先权基础专利是否构成现有技术影响其他在后美国专利申请的新创性?相信这也成为许多申请人关心的问题。本文结合《美国发明法案》(America Invents Act, AIA)的相关规定,探讨这个问题背后的逻辑和影响。知识产权-专利

2024/11/28

前沿观察
2024年8月,亚洲开发银行(下称“亚行”)经审核后,认可金杜担任某被制裁企业的合规监管人(Compliance Monitor)。被制裁的是一家水利工程行业的国有企业,该企业在2018年投标时提交了不真实的业绩证明,亚行认为其构成欺诈,因此对该企业及其下属单位做出取消投标资格4年的制裁决定,如果企业完成合规整改等义务则最早可以在制裁决定生效3年后申请解禁。在制裁期限内,企业需聘请合规监管人,对其合规整改的情况进行监督和评价,并向亚行汇报。争议解决与诉讼-合规调查及公司治理,金融机构-多边开发性金融机构

2024/11/27

前沿观察
近年来,越来越多的中国企业将目光投向海外市场,寻求更广阔的发展空间。出海为中国企业带来新的商业机遇的同时,也带来全新的海外税收挑战。如何提高资金利用效率、降低集团整体税负成本;如何优化供应链、构建境内境外公司关联交易安排;如何提升企业税务合规,避免重大税务风险,都是在海外投资中常见的税务问题。 为更好助力企业海外发展战略,我们特推出企业出海税务指南系列文章,对出海企业海外投资架构搭建、业务规划及运营管理等方面涉及的税务规划进行探讨。本篇文章将重点讨论境外控股架构搭建中的税务考量。税务-税务合规及税务筹划

2024/11/27