标签:知识产权-知识产权交易,数字经济,电信、传媒、娱乐与高科技-高科技
随着“Sora”等多模态高性能生成式人工智能的相继出现,全球范围内针对生成式人工智能服务安全的监管呼声也日渐高涨。2023年7月,国家互联网信息办公室,国家发展和改革委员会等七部门联合颁布《生成式人工智能服务管理暂行办法》(“《AIGC暂行办法》”),在延续《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》所规定的算法备案的基础上,另行确立了针对生成式人工智能大模型的安全评估备案(“大模型备案”)。但是,《AIGC暂行办法》对于大模型备案所关注的生成式人工智能服务安全的具体要求、评估参数、评估标准等并未进行细化解释。
2023年10月11日,全国网络安全标准化技术委员会颁布了《生成式人工智能服务安全基本要求(征求意见稿)》(“征求意见稿”),并于2024年3月1日正式颁布了《生成式人工智能服务安全基本要求(TC260-003)》(“正式文件”)。《生成式人工智能服务安全基本要求》(“《AIGC安全要求》”)作为国家专业标准化技术委员会发布的技术文件,在生成式人工智能服务安全的原则性要求方面提供了细化指引,为包括大模型备案在内的人工智能安全监管制度提供了评价工具,为各类生成式人工智能服务提供者开展安全评估、提高安全水平提供了参考。
本文将就《AIGC安全要求》的正式文件相较于征求意见稿的重点修订内容进行梳理分析,并对生成式人工智能服务提供者为符合《AIGC安全要求》的规定可以考虑设立的合规制度提出基础建议。
一、《生成式人工智能服务安全基本要求》正式文件与征求意见稿主要内容的对比与总结
1. 第3条(术语和定义)
(1)第3.1条(生成式人工智能服务 generative artificial intelligence service,“生成式人工智能服务”)
本定义照应了《AIGC暂行办法》第二条对“生成式人工智能服务”的定义。[1]正式文件在对“生成式人工智能服务”的定义中删除了征求意见稿中“基于数据、算法、模型、规则”的表达,增加“利用生成式人工智能技术向中华人民共和国境内公众提供”,使得《AIGC安全要求》中“生成式人工智能服务”这一概念的定义与《AIGC暂行办法》中的定义保持统一。
根据本定义,结合《AIGC暂行办法》第二条规定可知,目前我国针对生成式人工智能行业的监管侧重于针对面向中华人民共和国境内的公众提供生成式人工智能服务的组织或个人。对生成式人工智能技术进行单纯的内部研发和应用,不涉及向境内公众提供服务的行业组织、企业、教育和科研机构、公共文化机构等专业机构,并非本轮监管重点关注的对象。但是,该等企业仍需根据具体情况遵循《中华人民共和国数据安全法》(“《数据安全法》”)、《中华人民共和国网络安全法》(“《网络安全法》”)等法律法规,并且可以在一定程度上参考《AIGC暂行办法》以及《AIGC安全要求》对于生成式人工智能服务安全的要求,以应对未来的合规动态。
(2)第3.2条(提供者 service provider,“服务提供者”)
本定义照应了《AIGC暂行办法》第二十二条对“生成式人工智能服务提供者”的定义。[2]结合本文第1.1条的分析可知,正式文件对“提供者”的定义与《AIGC暂行办法》中对“生成式人工智能服务提供者”的定义亦基本相同。实践中,API、SDK等接口服务以及网页、移动应用、小程序等交互界面为目前B端及C端用户调用生成式人工智能的主流方式,故《AIGC安全要求》在服务提供方式的列举中增加了“以交互界面”的方式提供生成式人工智能服务的情况,随着人工智能行业的高速发展,不排除未来可能出现新的调用方式。
(3)第3.5条(基础模型 foundation model)
在征求意见稿及正式文件中,均在第6条(模型安全要求)中使用了“基础模型”这一概念,本定义是对“基础模型”这一概念的进一步解释,明确了需要经过主管部门备案后方可用于提供生成式人工智能服务的基础模型,区别于普通的计算机模型,是指具备深度神经网络结构的、经过优化和训练能够适配多种下游任务的通用大模型。
本定义在一定程度上照应了《AIGC暂行办法》第七条对生成式人工智能服务提供者开展训练数据处理活动时使用合规基础模型的要求。[3]实践中,国内生成式人工智能服务行业对基础模型的调用通常分为三种类型:
在这三种情况下,相应的服务提供者在《AIGC暂行办法》以及《AIGC安全要求》下所需要履行的义务轻重亦有所不同,需要根据具体情况进一步分析。
2. 第4条(总则)
正式文件中增加了对生成式人工智能长期风险、伦理风险的警示内容,体现对目前全球范围内针对生成式人工智能对人类社会可能造成的潜在风险(包括网络安全和生物技术等领域的风险,放大虚假信息风险、伦理风险等)的高度关切。
3. 第5条(语料安全要求)
(1)第5.1条(语料来源安全要求)
1)第5.1条a)(语料来源管理方面)
正式文件中删除了“语料来源黑名单”制度,而修改为对来源语料本身进行安全评估的制度。我们理解,在实践中,同一语料来源项下可能存在大批量的语料,因其中某一批语料产生了安全问题而舍弃某一语料来源会造成较大的语料损失。在当下基础模型行业已经开始出现语料紧缺、训练数据不足的风险的情况下,“语料来源黑名单”制度并不利于优化生成式人工智能服务。正式文件进一步将来源语料安全制度细分为“采集前”和“采集后+训练前”两个阶段,要求服务提供者对语料进行双重安全评估,确保语料来源安全。
2)第5.1条c)(语料来源可追溯方面)
本条系对语料来源合规性追溯的规定。语料的来源分为自采语料与商业语料。所谓自采语料,是指自行生产以及从互联网采集的语料。《AIGC安全要求》规定服务提供者应当采取措施从源头追溯并确保自采语料合规性,包括(1)保存采集记录;(2)不采集他人已明确不可采集的语料,包括(a)通过robots协议等技术手段标明不可采集的网页数据,以及(b)正式文件增加的“个人已拒绝授权采集的个人信息”。我们理解,正式文件中将个人拒绝授权采集的个人信息明确列举于不得采集的语料中,系对《AIGC暂行办法》第七条的进一步细化。[8]
关于商业语料,我们理解主要指并非由服务提供者自行采集,而是通过与第三方语料提供方进行交易获得的语料。《AIGC安全要求》规定服务提供者应当采取措施,确保商业语料的合规性,包括(1)与语料提供方签署有效的交易文件;(2)要求语料提供方提供语料来源、质量、安全等承诺以及相关证明材料并进行审核。本条在一定程度上明确了商业语料交易所需遵循的合规性要求,但仍遗留了一些问题,有待进一步在实践中摸索出答案,例如,语料接收方对语料提供方所提供的承诺以及证明材料需尽到何种程度的审核义务,才能够被认定为适当地履行了合规要求等。
(2)第5.2条(语料内容安全要求)
1)第5.2条b)(知识产权方面)
正式文件删除了对“侵犯商业秘密”的重点识别要求,我们理解,一方面,对于泄露他人商业秘密这一语料安全风险,正式文件中已经于附录A中进行了明确;另一方面,商业秘密的识别是一项难度和成本较高的任务,可能会对人工智能产业的初期发展带来较大的压力。
2)第5.2条c)(个人信息方面)
本条照应了《AIGC暂行办法》中第七条对生成式人工智能服务提供者开展训练数据处理活动时使用个人信息的合规要求。[9]正式文件较征求意见稿而言,主要有以下几点调整:
首先,正式文件将“使用时”的表述修改为“使用前”。我们理解,一方面,该等修改符合《中华人民共和国个人信息保护法》(“《个保法》”) 关于个人信息处理者在处理个人信息前的告知义务的规定。[10]而根据《个保法》第四条规定,个人信息的使用即属于个人信息的处理的一种情形。[11]因此,从遵循《个保法》规定的角度看,服务提供者应当在使用包含个人信息的语料之前,而非之时,即取得对应的个人同意或者符合法律、行政法规规定的其他情形。另一方面,服务提供者对语料的使用往往是多次、同时、大批量的使用,因此,要求其在使用的同时开始履行合规要求并不具备实操性,而是应当在使用乃至获取语料之前即获得个人同意,或者确保其符合法律法规的要求。
其次,正式文件删去了“应使用包含人脸等生物特征信息的语料时,获得对应个人信息主体的书面授权同意,或满足其他合法使用该生物特征信息的条件。”根据《个保法》第二十八条规定,敏感个人信息包含生物识别信息。[12]因此,即使正式文件中删去本条,由于上述第2)条的“敏感个人信息”在《个保法》的定义中已经包括了生物识别信息,因此并不会减轻服务提供者处理个人信息时需要履行的义务。
第三,正式文件将“或满足其他合法使用该个人信息的条件”的表述一律调整为“应取得对应个人同意或者符合法律、行政法规规定的其他情形”。我们理解,这一调整主要是为了与《AIGC暂行办法》第七条的表述保持一致。
(3)第5.3条(语料标注安全要求)
1)第5.3条a)(标注人员方面)
本条内容照应了《AIGC暂行办法》第八条中对生成式人工智能服务提供者在技术研发过程中进行数据标注的要求,并对该等要求进行了细化和进一步拓展。[13]正式文件相较于征求意见稿,增加了对于标注人员的安全培训以及具体培训内容的要求,并进一步明确了标注人员的考核机制。
(4)第6条(模型安全要求)(对服务提供者的要求)
1)第6条b)(模型生成内容安全方面)
正式文件将征求意见稿中对模型生成内容的“定期检测”要求具象化为要求服务提供者建立常态化监测测评手段,强调监测测评是持续进行的过程,进一步确保提供服务全过程的安全性。另外,正式文件中增加了及时处置安全问题的表述,对服务提供者提出问题处理的时效性要求,防止安全问题扩大带来进一步影响。
(2)第6条c)(生成内容准确性方面) d)(生成内容可靠性方面)
求意见稿中对生成内容的安全性的绝对要求,转变为要求服务提供者采取操作保障内容安全,即要求服务提供者采取技术措施实现生成内容准确性和可靠性的提高。本条的增删在一定程度上体现了监管部门对于生成式人工智能具有不可控性这一客观事实的理解,进而将监管的侧重点从单一的“结果安全”转变为兼顾“结果安全”与“程序安全”,降低了各类生成式人工智能服务提供者的合规压力。
5. 第7条(安全措施要求)(对服务提供者的要求)
(1)第7条a)(模型适用人群、场合、用途方面)
一方面,正式文件增加了金融信息服务作为重要场合之一,进行明确列举,要求服务提供者将服务用于金融信息服务时,也需要具备与风险程度以及场景相适应的保护措施。金融安全是国家安全的重要组成部分,本条的修改照应了《金融信息服务管理规定》中对金融信息服务提供者应当履行主体责任、建立信息安全保障等服务规范的要求,[14]体现了我国监管部门对于生成式人工智能服务应用于金融行业所可能构成的潜在风险的特别关注。
另一方面,本条也照应了《AIGC暂行办法》对未成年人保护的要求,并对实现该等要求所应采取的措施进行了细化。[15]正式文件在适用未成年人服务方面,删除了密码管理形式及单日对话次数与时长的限制,避免过度限制未成年人自由,体现《中华人民共和国未成年人保护法》保护未成年人隐私权的原则。[16]
此外,正式文件在规范未成年人付费服务方面,由要求未成年人的监护人确认付费服务内容改为要求服务提供者负责不向未成年人提供与其民事行为能力不符的付费服务,并要求服务提供者谨慎开放面向未成年人的付费服务。
(2)第7条b)(服务透明度方面)
本条照应了《AIGC暂行办法》第十条针对生成式人工智能服务透明度的要求。[17]正式文件在公开信息方面取消强制公开基础模型使用情况,此改动平衡了提升生成式人工智能服务对用户的透明度与保护商业秘密这两项需求。另外,正式文件中还增加了要求服务提供者在显著位置公开采集个人信息及其在服务中的用途的规定,与《个保法》中个人信息处理规则保持一致,[18]体现对个人信息保护的重视。
(3)第7条c)(收集使用者输入信息用于训练方面)
本条照应了《AIGC暂行办法》第九条的规定。[19]正式文件中删除了服务提供者“应事前与使用者约定能否将使用者输入信息用于训练”这一要求,而仅保留了“服务提供者显著告知+允许使用者便捷关闭”的同意机制。针对收集输入信息用于训练事项,建议服务提供者在与使用者的用户协议中明确规定、向使用者发送站内信或通过其他方式提示使用者其输入信息将用于训练,并根据正式文件的要求对向使用者明确提供简便快捷的关闭输入信息用于训练的方式。
(4)第7条d)(图片、视频等内容标识方面)
本条照应了《AIGC暂行办法》中第十二条关于生成内容标识的规定。[20]正式文件中删去了内容标识的特定依据,我们理解,服务提供者对于生成内容标识的规定应当遵循包括《互联网信息服务深度合成管理规定》、TC260-PG-20233A《网络安全标准实践指南—生成式人工智能服务内容标识方法》在内的现有以及未来可能出现的相关国家标准、行业标准的规定。
(5)第7条e)(训练、推理所采用的计算系统方面)
本条照应了《AIGC暂行办法》第六条的规定。[21]正式文件中增加了对训练和推理所采用的计算系统方面的安全要求,提出计算系统供应链安全评估要求,并对芯片安全程度提出支持标准,从软件硬件两方面出发保障计算系统的安全运行,也与《中华人民共和国计算机信息系统安全保护条例》中计算机信息系统的使用单位应当建立健全安全管理制度的要求相适应。[22]
(6)第7条g)(向使用者提供服务方面)
本条照应了《AIGC暂行办法》第十四条中对服务提供者就违法内容采取处置措施的要求。[23]正式文件增加了对使用者输入信息的检测及相应处置要求,加强对使用者输入信息的监管,并要求服务提供者根据监看情况而非仅根据国家政策以及第三方投诉情况来进行内容优化。总体而言,本条向服务提供者提供了生成内容监控制度的设立要点,分别包括(1)在输入阶段,检测输入信息、对多次输入违法信息的用户采取处置措施;(2)在内容生成阶段,对诱导性问题设立拒绝回答的机制;(3)设置人员监控制度,根据监控情况及时调整基础模型,提高生成内容质量及安全。
(7)第7条h)(模型更新、升级方面)
正式文件删除了在模型重要更新、升级后须重新备案的要求,修改为由服务提供者自行组织安全评估。这一修改与《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》(“《互联网信息服务安全评估规定》”)中互联网信息服务提供者应当在使用新技术新应用导致重大变更等情形下自行开展安全评估的规定相适应。[24]根据《互联网信息服务安全评估规定》第七条规定[25],如该等模型重要更新、升级属于使用新技术新应用导致重大变更情形,服务提供者完成该等安全评估后需要将该等安全评估报告提交至网信部门等主管部门。如服务提供者涉及提供互联网新闻信息服务的,还需根据《互联网新闻信息服务新技术新应用安全评估管理规定》规定[26]报请国家或者省、自治区、直辖市互联网信息办公室组织开展安全评估。
(8)第7条i)(服务稳定、持续方面)
本条照应了《AIGC暂行办法》第十三条对生成式人工智能服务稳定性与持续性的要求。[27]正式文件单独增加了本条款,既遵循了《AIGC暂行办法》的要求,也与目前全球各主要国家和地区对人工智能服务鲁棒性(robustness)的普遍关注态度一致。正式文件中明确了保障稳定性与可持续性须注意的技术要点,包括隔离训练环境与推理环境、持续监测模型输入内容、定期安全审计、建立备份机制和恢复策略等。
6. 第9条(安全评估要求,原第8条)
(1)第9.1条(评估方法,原8.1条)
正式文件中对安全评估结果为不符合的特殊情况做出了进一步规范,要求服务提供者对已经采取技术或管理措施但未符合《AIGC安全要求》项下强制性安全措施要求的部分进行详细说明,阐明采取的措施以及后续满足要求的计划。另外,正式文件中还新增了要求安全评估报告形成整体评估结论的内容,并明确了该结论的评估标准,进一步提高了安全评估报告的完整性与科学性。
二、生成式人工智能服务安全制度的修订要点与合规制度建议
1. 修订要点
整体而言,正式文件较征求意见稿的修订大致分为三个方面:其一,将各类定义与条款表述与《个保法》、《AIGC暂行办法》等法律规定拉齐,保证规范概念体系的一致性;其二,从可行性的角度对部分生成式人工智能服务的安全要求进行了删繁就简、灵活处理,平衡了包括用户知情权、内容安全在内的合规需求与发展需求;其三,在语料采集、语料标注、内容安全监测、服务稳定性等方面为服务提供者提供了更为明确、详细、与当前发展水平相适应的制度设立的指引。
2. 安全合规制度建议
在归纳梳理了《AIGC安全要求》正式文件中对服务提供者的各项服务安全评估要求后,我们建议服务提供者可考虑采取下述制度,以保障自身所提供的生成式人工智能服务的安全性。
(1)设立语料来源安全管理制度
1)设立语料采集前及采集后安全评估制度,结合《AIGC安全要求》附录A中针对语料安全风险信息的分类,对风险语料设立分级分类识别、关键词识别等识别机制。
2)设立语料来源追溯制度。将采集的语料根据《AIGC安全要求》分为自采语料[28]与商业语料,并针对不同类型的语料,通过内部培训、协议条款约定、交易审核流程等环节建立起语料追溯制度。
(2)设立语料内容安全管理制度,包括:
1)语料内容过滤制度。服务提供者可以通过多种机制确保语料内容的合法性和适宜性,包括但不限于:关键词过滤、分类模型、人工抽检等;
2)知识产权管理制度。服务提供者可以确立针对生成式人工智能的知识产权管理制度,包括但不限于:设立知识产权负责人和管理策略、设立知识产权风险识别制度、建立用户易于访问的投诉举报渠道以及知识产权侵权问题报告渠道等。
(3)建立语料标注规范,包括:
1)标注人员管理制度,包括但不限于:安全培训制度、考核制度、职能划分等;
2)标注规则,包括但不限于:
- 确立规则基本内容,制定包含标注目标、数据格式、方法和质量指标的标注规则;
- 确立功能性与安全性标注规则,分别对功能性和安全性标注制定规则,至少覆盖数据标注和审核环节;
3)标注内容抽检审核制度,包括但不限于:
- 功能性标注抽检制度,对每批标注语料进行人工抽检,不准确的内容需重新标注,包含违法不良信息的批次应废弃;
- 安全性标注审核制度,确保每条安全性标注语料至少需经一名审核人员审核通过;
4)设立数据隔离存储制度,对安全性标注数据进行隔离存储,以保障数据的安全性和完整性。
(4)设立模型生成内容安全制度,包括但不限于:
1)安全性评价规则,在模型训练过程中,将生成内容的安全性作为评估生成结果好坏的主要指标;
2)输入信息安全性检测制度,对用户输入进行安全性检测,引导模型生成积极正向的内容;
3)常态化监测与优化机制,建立常态化的监测评估机制,对服务过程中检测到的安全问题进行及时处理,并通过指令微调或强化学习等技术手段优化模型。
(5)其他综合管理制度
1)模型适用性和安全性制度,包括但不限于:
- 特殊场合的保护措施:为关键信息基础设施领域,或者如自动控制、医疗信息服务等重要场景提供服务时,结合《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》、《信息安全技术 关键信息基础设施安全保护要求》等规范制定与风险相适应的保护措施;
- 未成年人保护制度:结合《未成年人网络保护条例》等未成年人保护相关法律法规设立未成年人使用规则,允许监护人设定防沉迷措施,展示有益内容,防止未成年人接触不适用服务。
2)内容监管与质量控制制度,设置关键词和分类模型监管制度以及人员监看制度:对用户输入进行监管,对违法不良信息采取处置措施,并根据监看情况提高内容质量及安全,监看人员数量应与服务规模匹配。
3)环境隔离与安全审计制度,隔离训练与推理环境,定期进行安全审计。设立持续监测与备份恢复制度,持续监测输入内容,建立数据和模型的备份及恢复策略。
结语
《生成式人工智能服务安全基本要求》正式文件的出台,不仅为企业提供了更明确的合规指导,也体现了我国在促进技术创新的同时,对于保障网络安全、个人隐私以及社会公共利益的坚定立场。面对快速发展的生成式人工智能技术,建立和完善相应的合规制度,不仅符合当前的法规要求,更使其在不断变化的法律环境中保持灵活性和前瞻性,确保技术创新的同时,能够有效管理风险,保护用户权益。我们将持续关注,为企业保驾护航。
感谢实习生缪逸泓、张文溢、何一辰对本文作出的贡献。
扫码订阅“金杜律师事务所”,了解更多业务资讯
《AIGC暂行办法》第二条规定,“生成式人工智能服务”是指“利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务”。
《AIGC暂行办法》第二十二条规定,“生成式人工智能服务提供者,是指利用生成式人工时能技术提供生成式人工智能服务(包括通过提供可编程接口等方式提供生成式人工智能服务)的组织、个人”。
《AIGC暂行办法》第七条规定,“生成式人工智能服务提供者(以下称提供者)应当依法开展预训练、优化训练等训练数据处理活动,遵守以下规定:(一)使用具有合法来源的数据和基础模型;……”
《AIGC暂行办法》第七条规定,“生成式人工智能服务提供者应当依法开展预训练、优化训练等训练数据处理活动,遵守以下规定:……(三)涉及个人信息的,应当取得个人同意或者符合法律、行政法规规定的其他情形;……(五)《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律、行政法规的其他有关规定和有关主管部门的相关监管要求。”
《AIGC暂行办法》第七条规定,“生成式人工智能服务提供者(以下称提供者)应当依法开展预训练、优化训练等训练数据处理活动,遵守以下规定:……(三)涉及个人信息的,应当取得个人同意或者符合法律、行政法规规定的其他情形;……。”
《个保法》第十七条规定,“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的,应当将变更部分告知个人。”
《个保法》第四条规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”
《个保法》第二十八条规定,“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别……等信息。”
《AIGC暂行办法》第八条的规定,“在生成式人工智能技术研发过程中进行数据标注的,提供者应当制定符合本办法要求的清晰、具体、可操作的标注规则;开展数据标注质量评估,抽样核验标注内容的准确性;对标注人员进行必要培训,提升尊法守法意识,监督指导标注人员规范开展标注工作。”
《金融信息服务管理规定》第五条规定,“金融信息服务提供者应当履行主体责任,配备与服务规模相适应的管理人员,建立信息内容审核、信息数据保存、信息安全保障、个人信息保护、知识产权保护等服务规范。”
《AIGC暂行办法》第十条规定,“提供者应当……指导使用者科学理性认识和依法使用生成式人工智能技术,采取有效措施防范未成年人用户过度依赖或者沉迷生成式人工智能服务。”
《中华人民共和国未成年人保护法》第四条规定,“保护未成年人,应当坚持最有利于未成年人的原则。处理涉及未成年人事项,应当符合下列要求:……(三)保护未成年人隐私权和个人信息;……。”
《AIGC暂行办法》第十条规定,“提供者应当明确并公开其服务的适用人群、场合、用途”。
《个保法》第十七条规定,“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
……(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;……。个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。”
《AIGC暂行办法》第九条规定,“提供者应当与注册其服务的生成式人工智能服务使用者(以下称使用者)签订服务协议,明确双方权利义务。”
《AIGC暂行办法》第十二条规定,“提供者应当按照《互联网信息服务深度合成管理规定》对图片、视频等生成内容进行标识。”
《AIGC暂行办法》第六条规定,“促进算力资源协同共享,提升算力资源利用效能。推动公共数据分类分级有序开放,扩展高质量的公共训练数据资源。鼓励采用安全可信的芯片、软件、工具、算力和数据资源。”
《中华人民共和国计算机信息系统安全保护条例》第十三条规定,“计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作。”
《AIGC暂行办法》第十四条规定,“提供者发现违法内容的,应当及时采取停止生成、停止传输、消除等处置措施,采取模型优化训练等措施进行整改,并向有关主管部门报告。提供者发现使用者利用生成式人工智能服务从事违法活动的,应当依法依约采取警示、限制功能、暂停或者终止向其提供服务等处置措施,保存有关记录,并向有关主管部门报告。”
《互联网信息服务安全评估规定》第三条规定,“互联网信息服务提供者具有下列情形之一的,应当依照本规定自行开展安全评估,并对评估结果负责:……(二)使用新技术新应用,使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更,导致舆论属性或者社会动员能力发生重大变化的;……。”
《互联网信息服务安全评估规定》第七条规定,“互联网信息服务提供者应当将安全评估报告通过全国互联网安全管理服务平台提交所在地地市级以上网信部门和公安机关。具有本规定第三条第一项、第二项情形的,互联网信息服务提供者应当在信息服务、新技术新应用上线或者功能增设前提交安全评估报告;具有本规定第三条第三、四、五项情形的,应当自相关情形发生之日起30个工作日内提交安全评估报告。”
《互联网新闻信息服务新技术新应用安全评估管理规定》第七条规定,“有下列情形之一的,互联网新闻信息服务提供者应当自行组织开展新技术新应用安全评估,编制书面安全评估报告,并对评估结果负责:(一)应用新技术、调整增设具有新闻舆论属性或社会动员能力的应用功能的;(二)新技术、新应用功能在用户规模、功能属性、技术实现方式、基础资源配置等方面的改变导致新闻舆论属性或社会动员能力发生重大变化的。国家互联网信息办公室适时发布新技术新应用安全评估目录,供互联网新闻信息服务提供者自行组织开展安全评估参考。”《互联网新闻信息服务新技术新应用安全评估管理规定》第八条规定,“互联网新闻信息服务提供者按照本规定第七条自行组织开展新技术新应用安全评估,发现存在安全风险的,应当及时整改,直至消除相关安全风险。按照本规定第七条规定自行组织开展安全评估的,应当在应用新技术、调整增设应用功能前完成评估。”《互联网新闻信息服务新技术新应用安全评估管理规定》第九条规定,“互联网新闻信息服务提供者按照本规定第八条自行组织开展新技术新应用安全评估后,应当自安全评估完成之日起10个工作日内报请国家或者省、自治区、直辖市互联网信息办公室组织开展安全评估。”
《AIGC暂行办法》第十三条规定,“提供者应当在其服务过程中,提供安全、稳定、持续的服务,保障用户正常使用。”
《AIGC安全要求》正式文件规定,对于汇聚了网络地址、数据链接等能够指向或生成其他数据的情况,如果需要使用这些被指向或生成的内容作为语料,应将其视同于自采语料。
