人工智能的向善发展-中国的监管思路和企业合规建议(二)
编者按
“元宇宙”之后什么最火?毫无疑问,答案非ChatGPT莫属。
2023年1月底,ChatGPT的月活用户突破1亿,一度成为史上增长最快的消费者应用。这一消息迅速引爆了ICT行业和资本圈,并很快“出圈”掀起了一场“你会被ChatGPT取代吗”的打工人灵魂大拷问。
就在人们充满好奇、甘当“小白鼠”时,过去的两个多月内,各互联网巨头和头部创业公司纷纷推出自家的大模型AIGC产品,颇有AI军备大赛之感。
那么,你知道:
1.作为人工智能的一种,ChatGPT和AI、AGI、AIGC之间的关系及范式转变如何?
2.全球范围和中国境内的AI大数据模型的新“跑马圈地”运动版图怎样?
3.世界各国(包括中国),对AIGC发展的监管态势和监管重点有何异同?
4.从企业合规角度看,在数据、内容、牌照及线路等行动路径上又有哪些值得注意之处?
紧紧围绕上述问题,中富博睿公共政策团队现推出【合规系列 | 人工智能的向善发展-中国的监管思路和企业合规建议】,共两篇,为您一一分享我们对AIGC领域的观察与思考。
透视全球监管态势:是潘多拉魔盒?还是普罗修斯之火?
(一) 全球各国对AIGC发展均有明确的监管意愿,但推进节奏和手段不一。
随着人工智能技术的飞速发展,其应用范围已经涵盖了各个领域,从医疗到金融、从教育到娱乐,人工智能已经成为现代社会不可或缺的一部分。但是,人工智能技术的广泛应用也带来了一系列的安全和道德问题,如隐私保护、歧视和不公平性、算法合规等。人工智能会有自我意识吗?它将对社会、文化、知识系统造成何种冲击?“人机边界”到底在哪里?未来人类有能力与人工智能“抗衡”吗?为了解决这些问题,全球各国都在加强对人工智能技术的监管和管理。
其实,人工智能监管的“火苗”并不是最近才被点燃。早在2021年4月,欧盟委员会就提出了《人工智能法案》条例草案,这被视为欧盟在人工智能以及更广泛的欧盟数字战略领域的里程碑事件。只不过提案的推进并没有想象中顺利,欧洲议会议员们尚未就提案基本原则达成一致。
美国国家标准与技术研究院也于2023年1月发布了《人工智能风险管理框架》(AI RMF)1.0版,旨在指导机构组织在开发和部署人工智能系统时降低安全风险,避免产生偏见和其他负面后果,提高人工智能可信度。
英国、意大利、加拿大、法国、西班牙等国家也都开始行动起来。据英国《金融时报》报道,英国政府于2023年3月发布了第一份人工智能白皮书,概述了人工智能治理的5项原则。此外,据路透社报道,3月31日,意大利政府数据保护局(Garante)要求禁止OpenAI公司开发的AI聊天机器人ChatGPT在意大利的使用,并对ChatGPT应用程序涉嫌违反隐私规则展开调查。加拿大联邦隐私监管机构近期宣布,已对OpenAI展开调查,因该公司涉嫌“未经同意收集、使用和披露个人信息”。
(二) 中国监管实践体现了国家对推动人工智能发展和加强风险管理并举的思路。
与全球趋势相同步,中国的监管实践也在不断迭代中。4月11日,中国国家互联网信息办公室发布《生成式人工智能服务管理办法(征求意见稿)》,就生成式人工智能在研发、应用等不同环节需遵循的社会伦理,对知识产权与个人隐私保障等法律义务,以及服务平台应遵守的相关法规和应尽责任,明确了标准和要求。“狂飙”的AIGC产业迎来中国国家级规范性政策。
中国是最早对人工智能进行监管治理的国家之一。近年来,针对不断涌现的新技术、新应用,中国已连续出台《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》等文件,《征求意见稿》因时因势作出进一步规范,就是探索一套敏捷高效的监管途径,最大限度地及时应对和处置技术发展伴生的各种风险,使各方主体遵循更加清晰的标准和指向。
面对时下爆火的生成式AI产业,《征求意见稿》体现了监管前置的思路。隐患苗头初现之时,及时亮出有序通行的关键绿灯,让这条“快车道”上的竞赛者,清楚地知道哪些红线不能闯,才能促进生成式AI趋利避害、平稳向前。
从整体基调来看,《征求意见稿》是为了促进生成式人工智能健康发展和规范应用,对支持行业合规发展传递出积极的信号。但是,通过研究具体规定,可以看出监管机构对于生成式人工智能服务提供方和使用者提出了全面的合规要求, 尤其是在:内容合规、禁止算法歧视、不公平竞争或垄断行为、不得侵犯他人合法权益、提供者的主体责任、 申报安全评估与算法备案、训练数据来源合法性要求等方面。关于《生成式人工智能服务管理办法(征求意见稿)》,各大机构和律所已分享了不少洞察分析,笔者不再赘述。
AIGC企业的合规要点
从企业服务机构的角度而言,我们从以下几个方面为中国境内从事AIGC业务的企业提出几点合规观察,供参考:
(一)数据合规
鉴于生成式AI在训练、测试、生成等不同阶段存在不同的监管要求,因此,数据层面的合规风险须根据数据开展阶段的不同行为及相关监管来加以区分。
1. 数据收集时的合规风险:生成式AI涉及大量的数据进行训练。以ChatGPT回答为例,其声称训练数据来源于公开信息,包括网络文本、语言学知识库、对话数据集、科学论文等多种渠道,但收集方式(数据爬虫)、训练数据仍可能侵犯个人信息甚至是敏感个人信息。《个人信息保护法》规定生物识别信息属于敏感个人信息,处理敏感个人信息需要取得个人的单独同意或具备其他合法性。
2. 数据处理的合规风险:生成式AI在处理相关数据及信息时,存在使用、泄漏商业秘密之风险。如公司员工在使用AIGC生成相关内容时,可能输入公司商业秘密数据,而用户使用过程中的输入信息和交互消息可能被用于持续的迭代训练,如此一来,商业秘密存在被再次使用、泄漏的风险。
3. 数据跨境风险:用户在使用AIGC服务时,在输入端口提出问题后,用户与其对话的数据将会被存储在开发者或其使用的云服务提供商的数据中心。在人机交互问答的过程中,中国境内用户分享的个人信息、商业秘密等数据则存在跨境流出的风险。
根据《网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。如相关企业日后在运营过程中使用境外的AIGC服务,则需要严格遵守《网络安全法》《数据安全法》《个人信息出境标准合同办法》等相关规定,以免承担行政责任甚至刑事责任。
(二)算法合规
针对AIGC类算法监管,国家网信办与工信部、公安部于2022年11月25日发布了《合成管理规定》(2023年1月10日实施),就深度合成技术作出了针对性合规指引。此次出台的《征求意见稿》更是提出了算法的备案要求。
《推荐管理规定》第二十四条规定:“具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息,履行备案手续。”
故,针对生成式AI的服务提供者,应按照上述规定完成算法备案手续。同时,需注意符合信息服务规范、保护用户权益及建立健全相关机制(如算法机制机理审核、科技伦理审查、反电信网络诈骗、日志信息留存、应急处置管理制度及辟谣机制等)。
(三)内容合规
1. 知识产权归属及侵权问题:除了在AIGC前端数据收集、使用阶段可能存在侵权风险,AIGC还存在一个值得重点研究并待更多实践检验的理论问题,即其生成物能否被认定为作品受版权保护以及相关权利究竟归属于何方主体。
2. 内容审查:就AI生成的网络内容,需要符合《网络信息内容生态治理规定》《网络音视频信息服务管理规定》等对网络信息内容生产者及网络信息内容服务平台所规定的该等主体对网络内容管理应承担的义务,如不得制作、复制、发布危害国家安全、泄露国家秘密、损害国家荣誉和利益的、煽动民族仇恨、民族歧视,破坏民族团结的、散布谣言、扰乱经济秩序和社会秩序的、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪等违法信息。
(四)牌照合规
在中国开展AIGC服务,从行业分类上属于互联网。作为必须条件,企业须申请和持有相应的增值电信业务牌照和经营许可证,并遵守国家相关的法律法规和规定。在日常经营中,企业需要制定相应的管理制度和流程,保证合规运营。企业应当全面落实与增值电信业务相关的规定,完善企业内部合规管理制度,强化员工合规意识和培训,确保企业主体合规。
(五)线路合规
线路合规是指AIGC企业所使用的网络和数据传输服务需要遵守国家政府的相关规定。企业如果是自行建立或租用专线(含虚拟专用网络VPN),为用户访问境外AIGC服务提供代理服务,存在较高的违规风险。2017年1月,工信部发布《关于清理规范互联网网络接入服务市场的通知》,明确“未经电信主管部门批准,不得自行建立或租用专线(含虚拟专用网络VPN)等其他信道开展跨境经营活动。基础电信企业向用户出租的国际专线,应集中建立用户档案,向用户明确使用用途仅供其内部办公专用,不得用于连接境内外的数据中心或业务平台开展电信业务经营活动。”
实践中,外贸企业、跨国企业因办公自用等原因,需要通过专线等方式跨境联网时,可以向依法设置国际通信出入口局的电信业务经营者租用。但请注意,从已获授权的基础电信业务运营商处获得的VPN服务也只能在企业内部使用。
参考:
1、首部生成式AI管理办法要来了!我们划了9个重点
2、国枫观察 | 初探AIGC监管现状及合规风险——以ChatGPT为切入点,张紫薇
3、AI大模型生态投资图谱,杨江凯
4、从ChatGPT到AGI:大国博弈的入场券、主场战和主力军,安筱鹏,阿里研究院
END