生成式人工智能数据合规研究系列(一)——法律与监管概述篇

来源:天达共和律师事务所

文章摘要
2022年12月,美国人工智能公司OpenAI推出的里程碑式应用ChatGPT引起了社会的广泛关注。

2022年12月,美国人工智能公司OpenAI推出的里程碑式应用ChatGPT引起了社会的广泛关注。以ChatGPT为首的新一代生成式人工智能(“生成式AI”),可以通过底层技术构建出以文本生成、图像生成、音频生成、视频生成为代表的生成内容类型,具有无穷的应用前景。在各大科技巨头纷纷投身于生成式AI的开发研究和技术革新、社会开始享受生成式AI所带来便利的同时,生成式AI也引发了一系列诸如知识产权侵犯及权属争议、个人数据泄露、虚假信息传播等风险隐患。面对生成式AI对现有监管体系带来的巨大冲击,各国开始积极探索和尝试对该新兴技术的监管方式。而作为企业而言,尤其是研发或使用生成式AI的企业,在技术革新日新月异的今天,提前了解生成式AI可能带来的法律风险,可以更快速地抓住机遇,具有重要意义。
基于本团队对法律、监管动向以及实际案例等的跟踪研究,并结合实际工作中的经验,我们推出“生成式人工智能数据合规研究系列”,供大家参阅指正。本系列共分为四部分——“法律与监管概述篇”“网络安全篇”“数据安全篇”和“个人信息保护篇”,将通过梳理我国关于生成式AI的法律和监管环境,尝试探讨生成式AI服务提供者在数据合规方面可能面临的法律风险,以期启发在生成式AI发展的浪潮中有意研发或使用生成式AI的企业。本期是系列研究的第一篇“法律与监管概述篇”,将主要为您介绍我国关于生成式人工智能数据合规法律和监管环境。
一、域外立法实践的概述
随着生成式AI的迅速发展,世界范围内各法域都紧密关注生成式AI的治理,对于AI技术面临的法律和政策问题的回应,我们注意到美国和欧洲走在前列。美国方面,以ChatGPT的上线为节点,美国对生成式AI的监管态度逐渐发生了转变,从鼓励生成式AI的发展转变为逐渐加强监管的态势,今年10月30日,美国总统拜登签署白宫关于生成式AI的首个监管规定,要求对人工智能进行新的安全评估、公平和民权指引,以及对劳动力市场影响的研究;欧洲方面,以欧盟为代表的强监管阵营,在对待AI技术引发的数据保护和隐私保护上的问题始终呈现出较为保守的态度,表现为积极通过立法和执法活动干预AI发展,例如欧盟委员会自2021年4月起大力推行的《人工智能法案》,对AI服务提供者提出了较高的义务,此外,以意大利为首的一众欧洲国家自今年3月起纷纷对ChatGPT展开调查,通过临时限制、全面禁用、违规调查、限期整改、解禁等系列措施,督促OpenAI在数据隐私方面达到合规要求。
可以发现,掌握人工智能治理的话语权、规则制定权,抢先形成新的国家竞争优势,已经成为世界不同法域的努力目标。总体策略上,我们认为各国都将在促进AI技术和产业发展与有效规制之间的寻求平衡,并会针对生成式AI存在的共性问题作出规定,为企业研发和使用生成式AI提供更加细致准确的合规指引,包括生成式AI应用带来的数据合规和网络安全问题、知识产权和不正当竞争问题、内容规则审核问题等。考虑到此前欧盟GDPR对全球个人信息保护机制的巨大影响,其《人工智能法案》提出的“风险进路”(risk-based approach)监管思路可能会对各国在人工智能领域的立法和监管产生重要影响。
二、我国的主要立法情况
在上述背景下,面对近年来AI技术所带来的数据合规等风险,我国也跟随世界的潮流,采取了相关措施以平衡AI技术的创新发展与安全应用。我们将对近5年来我国针对AI领域的立法和司法活动进行梳理,试图窥见我国对待生成式AI的监管态度。
2017年,国务院颁布《新一代人工智能发展规划》指出,人工智能已经成为国际经济的新焦点,经济发展的新引擎,社会建设的新机遇,要抢抓人工智能发展的重大战略机遇。该规划明确了我国人工智能发展的阶段战略目标、重点任务、资源配置、保障措施和组织实施,是我国在人工智能领域进行的第一个系统部署的文件,将人工智能的发展上升为国家战略。此后,我国陆续出台相关政策性文件,如《促进新一代人工智能产业发展三年行动计划(2018-2020)》、《国家新一代人工智能开放创新平台建设工作指引》等。这些产业政策文件以促进AI领域产业发展为主。早期阶段,为鼓励AI技术发展,我国在AI技术方面的立法以促进人工智能领域产业发展为主,此时的立法重点以网络信息内容为主要治理对象,例如,2019年发布的《网络音视频信息服务管理规定》《网络信息内容生态治理规定》对人工智能在网络音视频领域的信息内容提出了监管要求[1]。彼时,对于一些在实践中广泛应用或者发展较为成熟、导致社会问题多发的领域,我国也会出台专门的监管规则,如在自动驾驶领域出台的《智能网联汽车道路测试管理规范(试行)》;在智慧医疗领域出台《人工智能医疗器械注册审查指导原则》《人工智能辅助诊断技术管理规范》;针对人脸识别技术,最高人民法院出台《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等。
然而近年来,随着AI技术的快速发展和相关应用的迅速增多,相关风险也随之凸显,其中算法风险(例如,大数据杀熟、算法歧视等)尤为明显。算法以大数据和机器深度学习为基础,是人工智能的动力来源,也是人工智能的核心。算法本身是中立的,但是算法的应用结果会影响到各个主体的权益,产生法律上的后果,而事实上人工智能产品产生的多数问题恰恰来源于“算法歧视”、“算法黑箱”等一系列问题。从2021年开始,我国相关部门关注算法的安全监管,并于近两年围绕人工智能及其算法出台了多部部门规章、团体标准和指引:
2021年9月,国家互联网信息办公室(以下简称“国家网信办”)等九部委印发了《关于加强互联网信息服务算法综合治理的指导意见》,首次明确了构建算法安全综合治理格局的主要目标,提出了通过多方衔接布局的算法安全治理局面,构建以算法监测、算法安全评估、算法备案为主的安全监测体系,引导算法应用向善。这是国家首次在算法治理领域发布指导意见,标志着前期算法野蛮生长时代的结束。
2022年3月1日起,由网信办、工业和信息化部(以下简称“工信部”)、公安部、国家市场监督管理总局联合发布《互联网信息服务算法推荐管理规定》(以下简称“《算法推荐规定》”)[2]施行。该规定主要聚焦算法应用深化而产生的算法歧视、大数据杀熟、网络诱导沉迷、未成年人保护等问题。在服务规范上,《算法推荐规定》要求算法推荐服务商应当加强信息安全管理,建立健全用于识别违法和不良信息的特征库,不得生成合成虚假新闻信息或者传播非国家规定范围内的单位发布的新闻信息等,对算法推荐服务商提出了多项合规要求。人工智能服务提供者的范围实质上涵盖了算法推荐服务提供者。算法推荐服务提供者是指为向用户提供算法推荐技术服务的互联网信息服务提供者[3],而生成式人工智能服务提供者则是指利用生成式人工智能产品提供聊天和文本、图像、声音生成等服务的组织和个人[4]。人工智能包含机器学习,机器学习包含深度学习,机器学习或者深度学习又包含推荐算法。因此《算法推荐规定》虽然是围绕算法推荐服务制定的规则,但也是规制人工智能应用的重要指引。
2023年1月10日,国家网信办、工信部、公安部联合出台的《互联网信息服务深度合成管理规定》(以下简称“《深度合成规定》”)正式施行,加强了针对互联网信息服务深度合成的管理。相比于《算法推荐规定》来看,《深度合成规定》对技术支持者进行了专门规制,明确了在深度合成技术开发阶段技术支持者就要承担数据和技术规范义务以及备案义务;同时也明确了深度合成服务使用者的内容合法性审查义务,深度合成服务提供者的深度合成标识义务以及显著标识义务等三方主体的法律义务。另外针对深度合成技术,中国电子工业标准化技术协会也于2022年发布团体标准T/CESA 1197-2022《人工智能深度合成图像系统技术规范》,确立了深度合成图像(含视频)系统的框架,规定了系统技术要求,描述了对应的测试评价方法。适用于深度合成图像系统的设计、开发、测试、评估、管理等。这两项规定针对深度合成内容的特点进行了更有针对性的规制,是我国在生成式AI法律监管方面迈出的重要一步。
2023年7月13日,国家网信办发布了《生成式人工智能服务管理暂行办法》(以下简称“《生成式人工智能办法》”)[5],自2023年8月15日起施行。该《生成式人工智能办法》是我国对生成式人工智能监管的第一个专门规定,其目的是为了促进生成式人工智能的健康发展与规范应用,以确保技术创新与法律法规的和谐共存。在内容安全层面,该《生成式人工智能办法》明确了服务提供者的主体责任、生产违规内容的处置以及对于生成内容标识等义务。在数据安全层面,《生成式人工智能办法》规定了服务提供者应当对生成式人工智能产品的预训练数据、优化训练数据来源的合法性负责,并对训练数据的特性、个人信息保护与知识产权保护进行了规定。在算法层面,《生成式人工智能办法》也细化了生成式人工智能的算法伦理,规定了算法的安全评估与备案制度。最后,《生成式人工智能办法》将法律责任与处罚归拢到《中华人民共和国网络安全法》(以下简称“《网络安全法》”)、《中华人民共和国数据安全法》(以下简称“《数据安全法》”)、《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)《中华人民共和国科学技术进步法》这几部法律。目前生成式AI技术在市场应用层面仍非常新颖,世界各国都在摸索对其的规制方法,该《生成式人工智能办法》对生成式AI的应用提出了监管要求,也体现出立法者鼓励新兴技术和创新的态度。
2023年8月6日和10月11日,我国信息安全标准化技术委员会相继发布了《信息安全技术机器学习算法安全评估规范》(GB/T 42888-2023)和《TC260-生成式人工智能服务安全基本要求》(征求意见稿)。上述规范作为《生成式人工智能办法》的配套规范,前者可适用于保障机器学习算法生存周期安全以及开展机器学习算法安全评估;后者提出了生成式AI服务提供者需遵循的安全基本要求,可为生成式AI服务算法备案前的安全性评估提供一套可参考操作的标准。
三、司法和监管的实践与摸索
与近期频繁的立法活动相呼应,目前国内虽尚未有专门针对生成式AI的案例,但数起针对AI算法层面的司法判例已反映出一定的监管态度。比如在“算法推荐短视频侵权第一案”爱奇艺诉字节侵权《延禧宫略》案[6]中,法院明确强调提供信息流推荐服务的平台经营者应当对用户的侵权行为应当负有更高的注意义务。该判例体现了我国在算法规制中对于算法推荐服务者的信息规范要求和用户权益保护,算法推荐不能成为推荐利用人进入著作权侵权避风港的理由,该判例也与《算法推荐规定》中“不得利用算法推荐服务从事侵犯他人合法权益的活动”相一致,对于算法治理的司法实践具有重要意义。而在其他典型案例中,法院的判决则进一步体现了应算法技术提供服务的企业应当作为责任承担主体的倾向,例如在何某诉上海自古红蓝人工智能科技有限公司网络侵权责任纠纷案[7]中,法院判例体现了在司法实践中对于网络服务提供者以“技术中立”原则为由豁免责任的否定性态度;无独有偶,在上海携程商务有限公司与胡某侵权责任纠纷上诉案中[8],关于平台的“大数据杀熟”行为是否侵害个人信息,法院判决体现了在“大数据杀熟”行政强监管下,“算法中立”的思路已被逐渐摒弃,企业更应该主动承担起对算法的审查义务,以此引导“算法向善”。
执法方面,在《生成式人工智能办法》生效后短短一个月内,截至今年9月,包括百度、阿里、字节跳动、商汤科技等在内的多家互联网头部企业和机构,均已通过其相关大模型产品(例如百度文心一言、阿里的通义千问等)的算法备案,并宣布对中国公众用户开放其大模型服务,昭示出中国在生成式AI领域的监管已走在世界前列。
通过梳理上述立法、司法和监管实践,不难发现虽然我国目前对于人工智能的监管仍处于相对早期阶段,但相关的立法和司法已初具雏形,且监管反应尤为迅速。由于算法规制和AI技术在透明度和公平性等问题上存在共通之处,因此生成式AI存在的某些风险和算法应用的某些行为可以在现有法律框架内进行规制,但是诸如算法歧视、算法透明等一系列问题大多仍停滞在理论层面,监管实践和司法判例也相对较少。随着生成式AI技术的不断进步,一旦出现越来越多消费级应用,AI服务提供者可能会承担更高的义务。
综上所述,我国正在稳步加强对人工智能的治理,针对生成式AI的监管方式也在有条不紊地探索之中,从下期开始,我们将基于我国针对生成式AI在数据合规方面的立法和监管环境,进一步分析生成式AI在网络安全、数据安全、个人信息保护领域可能遇到的法律风险。我们将在下期为您呈现“网络安全篇”,尝试探讨提供生成式AI服务的企业作为网络运营者或网络产品/服务提供者的风险及应对策略,敬请期待。
注释
[1] 例如,《网络音视频信息服务管理规定》第11条:网络音视频信息服务提供者和网络音视频信息服务使用者利用基于深度学习、虚拟现实等的新技术新应用制作、发布、传播非真实音视频信息的,应当以显著方式予以标识。网络音视频信息服务提供者和网络音视频信息服务使用者不得利用基于深度学习、虚拟现实等的新技术新应用制作、发布、传播虚假新闻信息。转载音视频新闻信息的,应当依法转载国家规定范围内的单位发布的音视频新闻信息。
《网络信息内容生态治理规定》第23条:网络信息内容服务使用者和网络信息内容生产者、网络信息内容服务平台不得利用深度学习、虚拟现实等新技术新应用从事法律、行政法规禁止的活动。
[2] 互联网信息服务算法推荐管理规定,http://www.cac.gov.cn/2022-01/04/c1642894606364259.htm,2023年6月14日最新访问。
[3] 《算法推荐规定》第2条:在中华人民共和国境内应用算法推荐技术提供互联网信息服务(以下简称算法推荐服务),适用本规定。
[4] 《生成式人工智能服务管理办法(征求意见稿)》第5条:利用生成式人工智能产品提供聊天和文本、图像、声音生成等服务的组织和个人(以下称“提供者”),包括通过提供可编程接口等方式支持他人自行生成文本、图像、声音等,承担该产品生成内容生产者的责任 ;涉及个人信息的,承担个人信息处理者的法定责任,履行个人信息保护义务。
[5] 《生成式人工智能服务管理暂行办法》,中国网信网,http://www.cac.gov.cn/2023-07/13/c
1690898327029107.htm,2023年7月14日最新访问。
[6] 北京爱奇艺科技有限公司诉北京字节跳动科技有限公司侵害作品信息网络传播权纠纷案,北京市海淀区人民法院民事判决书,(2018)京0108民初49421号。
[7] 何某诉上海自古红蓝人工智能科技有限公司网络侵权责任纠纷案,北京互联网法院民事判决书,(2020)京0491民初9526号
[8] 上海携程商务有限公司与胡某侵权责任纠纷上诉案,浙江省绍兴市中级人民法院民事判决书,(2021)浙06民终3129号。
感谢实习生刘骅兴和张白荟为本文的调研工作提供支持

技术驱动法律,专业成就未来