数据合规2023年回顾与2024年前瞻:重点问题篇

来源:天达共和法律观察

文章摘要
前 言 在“立法篇”与“监管篇”系列文章中,我们已对2023年数据合规领域的重要立法与监管动态进行了详尽的回顾,并预测与展望了2024年的立法与监管走向。
前 言
在“立法篇”与“监管篇”系列文章中,我们已对2023年数据合规领域的重要立法与监管动态进行了详尽的回顾,并预测与展望了2024年的立法与监管走向。本篇文章为该系列文章的最后一篇,我们将开启“重点问题篇”的探讨,聚焦于2023年数据合规领域的核心课题,并对这些重点问题的未来发展趋势进行深度剖析与展望。
在回顾2023年数据合规领域的立法与监管活动时,我们注意到,重要数据、数据要素流动与数据交易、个人信息合规审计以及人工智能与算法等问题成为了该年度数据合规的核心关注点。接下来,我们将针对上述四个重点问题进行深入的阐述与分析。
一、重要数据的识别与管理
1. 重要数据的识别
“数据三法”建立了数据分级分类的基础框架,根据数据的重要程度和可能造成的危害程度,将数据划分为一般数据、重要数据和核心数据三个层级,在当前的数据合规领域中,数据的分级分类,特别是重要数据乃至核心数据的识别仍是数据合规工作实施的基础和关键。2024年3月21日发布的《数据安全技术数据分类分级规则》(GB/T 43697-2024)再次为数据分类分级工作的落地与实施提供了重要的指导标准。针对重要数据的识别问题,《中华人民共和国数据安全法》(以下称“《数据安全法》”)以及《工业和信息化领域数据安全管理办法(试行)》[1]等相关法律法规均明确规定,各地各部门及相关行业领域需制定重要数据目录。3月22日公布并实施的《促进和规范数据跨境流动规定》,对数据出境管理环节的重要数据识别,明确了“由上而下”的识别规则。
但是,在《中国人民银行业务领域数据安全管理办法(征求意见稿)》[2]中,明确要求数据处理者需根据行业和地区的识别标准规范,主动识别并向主管部门报送和备案重要数据目录,即“由下至上”的识别实施规则。该识别实施规则在2023年重要数据监管活动的实践中得到了切实贯彻。在《工业和信息化领域数据安全管理办法(试行)》中,也规定了工业和信息化领域数据处理者应当定期梳理数据,按照相关标准规范识别重要数据和核心数据并形成本单位的具体目录,并将本单位重要数据和核心数据目录向本地区行业监管部门备案。在各地各部门的监管中,以2023年上半年为例,上海市通信管理局与江苏省通信管理局相继发布了针对电信和互联网行业的数据安全专项行动通知。在这些通知中,均强调了重要数据和核心数据的识别认定及目录管理的重要性。通知明确要求相关行业的数据处理者必须依据既定的标准和规范,对本单位处理的重要数据和核心数据进行精准的识别与认定,并据此形成目录清单[3]。上海市网信办今年也持续通过其官方微信公众号,对数据分类分级、制定重要数据目录试点成果进行分享,为业界提供了宝贵的经验和参考。此外,北京市通信管理局也在2023年7月对电信领域的数据处理者提出了明确要求,强调了对重要数据和核心数据的识别与管理工作的重要性[4]。从行业实践上看,各行业的重要数据识别均处于探索阶段,仅汽车行业[5]、工信行业[6]的相关行业规定为该领域重要数据识别工作提供了明确细则。上述监管实践展示了我国在推进重要数据识别工作方面的积极态度,也明确了建立健全重要数据识别与管理的长效机制的决心,以期为数据的安全、合规使用提供有力保障。重要数据的识别方法如表1所示。
表1 重要数据识别方法[7]

2. 重要数据处理者的管理义务和责任
基于相关规范要求,重要数据处理者需履行的重要数据管理义务包括:
第一,识别并备案。重要数据处理者的首要任务是准确识别并备案重要数据。这需要企业按照数据分类分级制度和重要数据识别相关制度的要求,对本企业所处理的数据进行细致的分级和筛选。一旦重要数据被识别出来,企业需要按照清单形式进行记录,并报送至相关网信部门备案。若重要数据后续发生任何重大变化,企业还需及时更新备案信息,确保数据的实时性和准确性。
第二,成立管理机构。为了有效管理重要数据并确保其安全,重要数据处理者需要成立专门的数据安全管理机构。同时,还需确定数据安全负责人,明确其职责和权力,以便更好地协调和监督数据安全管理工作。
第三,安全教育培训。为了提高员工的数据安全意识和实践操作技能,重要数据处理者需要定期开展数据安全教育培训。这包括制定全面的安全培训计划,明确培训内容和目标,并定期组织员工参加培训。培训内容可以涵盖数据安全基础知识、数据处理规范、数据安全风险识别与应对等方面。
第四,定期安全评估。为了确保重要数据的安全性和合规性,重要数据处理者需要定期开展数据安全评估。这包括对企业所处理的重要数据进行风险评估,识别潜在的安全风险,并制定相应的应对措施。评估结果需要向相关部门报告,以便及时了解和解决数据安全问题。此外,对于涉及重要数据出境的情况,企业还需按照相关规定进行安全评估,准备相关材料并按照流程申报出境安全评估。通过定期的安全评估,企业可以及时发现并解决数据安全问题,确保数据的合规性和安全性。[8]
3. 最新自贸区实践
2024年2月7日,天津市商务局、中国(天津)自由贸易试验区管委会联合发布《中国(天津)自由贸易试验区企业数据分类分级标准规范》,该规范适用于天津自贸试验区内企业在生产经营过程中产生、收集、存储、传输和处理的数据的分类分级,并将企业数据分成13大类40子类,从高到低分为核心、重要、一般3个级别,明确了重要数据的识别标准。
2024年2月8日,中国(上海)自由贸易试验区临港新片区管委会办公室正式发布了《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》,该办法明确规定了临港新片区管委会在制定重要数据目录方面的职责,将其纳入数据出境安全评估管理范畴,并报送相关部门备案。为有效推进数据分类分级管理工作,临港新片区将遵循“由企业到行业,由案例到清单,由正面到负面”的递进原则,以行业为划分依据,以企业数据跨境的实际需求场景为切入口,逐步展开一般数据清单和重要数据目录的编制工作。本年度,临港新片区将率先聚焦在智能网联汽车、金融理财、高端航运、国际贸易、生物医药、文化出海等重点领域,针对这些领域的具体应用场景,组织行业内的领军企业以及专家成立专项工作组。这些工作组将陆续发布一系列一般数据清单和重要数据目录,以指导企业在数据跨境流动中的合规操作。目前,特斯拉(上海)有限公司、上海汽车集团股份有限公司、保时捷(中国)汽车销售有限公司等14家汽车行业的代表性企业已率先成立工作组,共同推进汽车行业相关清单和目录的编制工作。
二、促进数据要素流动与数据交易规则
1. “数据二十条”
2022年12月,中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》(简称“数据二十条”)提出建设数据产权制度、流通交易制度、收益分配制度、安全治理制度四大制度。
在构建数据产权制度方面,“数据二十条”明确了数据资源持有权、数据加工使用权、数据产品经营权三权分置,同时推进数据分级分类确权授权机制。在具体实践中,数据产权制度存在知识产权模式与数据产权模式两种形式。知识产权模式以北京市、浙江省为例[9],规定了数据知识产权登记办法;数据产权模式以深圳市为例[10],规定了数据资源、数据产品在深圳市内登记的细则。
在交易流通制度方面,“数据二十条”明确:第一,完善数据全流程合规与监管规则体系;第二,统筹构建规范高效的数据交易场所;第三,培育数据要素流通和交易服务生态;第四,构建数据安全合规有序跨境流通机制。
在收益分配制度方面:第一,健全数据要素由市场评价贡献、按贡献决定报酬机制;第二,更好发挥政府在数据要素收益分配中的引导调节作用。
在安全治理制度方面:第一,创新政府数据治理机制;第二,充分发挥社会力量多方参与的协同治理作用;第三,压实企业的数据治理责任。
2. “数据要素×”三年行动计划
2024年1月4日,国家数据局等17部门联合发布《“数据要素×”三年行动计划(2024—2026年)》,旨在发挥数据要素的乘数效应,推动数字经济发展。该计划强调数据要素的放大、叠加、倍增作用,通过数据流引领各类资源流动,提高全要素生产率,并促进数据多场景应用,开辟经济增长新空间。“数据要素×”三年行动计划的目标包括打造示范应用场景、培育数据要素应用地区和数据商、完善数据产业生态、扩大数据交易规模,以及推动数据要素成为经济增长新动力。
为实现上述目标,“数据要素×”三年行动计划将在商贸流通、交通运输、工业制造、医疗健康、金融服务、科技创新、文化旅游、现代农业、应急管理、气象服务、绿色低碳、城市治理等十二个领域展开重点行动,并强化数据供给、流通环境优化和数据安全保障。计划将落实数据安全法规制度,完善数据分类分级保护,加强个人信息保护,提升数据安全保障水平,以确保数据要素的安全有效应用,为经济高质量发展提供有力支撑。到2026年底,预期数据要素应用将大幅拓展,其乘数效应在经济发展中显现。
3. 数据要素流动中企业的数据合规义务
依据相关规范文件的要求,企业在推动数据要素流动的过程中,需承担以下数据合规义务:首先,确保数据全生命周期的安全管理,这涵盖了从数据收集、治理、处理,到传输、存储,再到数据产品与服务的经营以及数据跨境传输等多个关键环节。针对每个环节,企业都应提出并落实具体的安全管理要求,以保障数据的安全性和合规性。其次,企业需建立健全的数据安全管理制度体系,这包括完善数据安全管理组织架构,制定详细的数据安全管理制度,建立数据安全风险识别预警机制以及数据安全事件应急响应机制,同时还应设立数据安全培训考核机制和数据安全评估机制。通过履行这些义务,企业不仅能够保障数据安全,更能够有效激活数据要素的价值,实现数据资产的最大化利用。
三、个人信息保护合规审计制度的发展预测
《中华人民共和国个人信息保护法》(以下称“《个人信息保护法》”)第五十四条[11]规定了个人信息处理者应当对个人信息进行合规审计。此外,由于监管部门的监管方式正在由主要是事前监管,向建立事前、事中、事后的全链条管理进行转换,个人信息保护合规审计也是监管部门落实事中、事后管理的有力抓手,同时还是企业核查法定义务履行状况和评估合规风险等的有效途径,因此这项制度有望得到较快的推广和实施。2023年8月3日,《个人信息保护合规审计管理办法(征求意见稿)》[12]更加细化了个人信息保护合规审计制度。其中个人信息保护合规审计的方式、触发条件、审计频次如图1所示,审计流程如图2所示。

图1 个人信息保护合规审计的方式、触发条件、审计频次

图2 个人信息保护合规审计流程
我们建议着重企业可以重点关注个人信息保护审计制度的落地动向,进行适当准备,对于个人信息处理数量较多、活动较频繁及合规要求较高的企业,宜参照《个人信息保护合规审计管理办法(征求意见稿)》中的合规点进行预备审计或工作对照评估。例如,合法性依据的审查、个人信息处理规则的合规性、告知义务的履行情况等。特别地,对于大型互联网平台运营者,除上述要点外,还需关注独立机构的独立性、履职能力及其监督作用的发挥,平台规则的合规性,对平台内产品或服务提供者个人信息处理活动的有效监督,以及每年发布的个人信息保护社会责任报告等关键内容,以确保全方位的个人信息保护合规性。
四、人工智能与算法的发展与规制
随着人工智能与算法技术的飞速发展,人工智能相关的法律法规规范也在加紧制定当中,并已在法律、政策、行业规定、行业标准形成了多项文件,规定了人工智能与算法应当履行的义务与责任。目前我国人工智能与算法的立法如表2所示。
表2 人工智能与算法的立法

1. 合规义务:算法备案
2023年4月10日,国家网信办发布《生成式人工智能服务管理办法(征求意见稿)》并公开征求意见年,8月15日,《生成式人工智能服务管理暂行办法》(以下简称“《人工智能暂行办法》”)正式生效,从征求意见到正式出台仅历时三个月。
根据《人工智能暂行办法》的规定,向中华人民共和国境内公众提供具有舆论属性或社会动员能力的生成式人工智能(以下简称“AIGC”)服务,应当进行算法备案[13]与安全评估。在此规定下,AIGC产品若要符合备案与评估要求,必须满足两个核心条件:一是向中华人民共和国境内公众提供;二是产品具有舆论属性或社会动员能力。
关于算法备案的备案主体,结合《算法推荐管理规定》《深度合成管理规定》等法律法规,备案主体为AIGC服务提供者、算法推荐服务提供者与深度合成服务技术支持者。关于算法备案的备案时限,应当三十个工作日内予以备案,发放备案编号并进行公示。
根据国家网信办官网发布的数据,截至2024年2月,已经公示了7批次的算法备案信息,涵盖了总计610件算法产品。这些备案的算法产品广泛涉及生成合成、个性化推送、排序精选、检索过滤以及调度决策等多个类别。在这些类别中,个性化推送和检索过滤的算法尤为突出,成为备案清单中的主要类别。值得一提的是,在2023年6月批次中,共有41个深度合成服务算法通过了备案。其中,大多数算法生成的结果包含文本、语音内容以及图片等多种形式。具体情况如图3所示。

图3 境内互联网信息服务算法备案/深度合成服务算法备案情况
2. 合规义务:安全评估
《人工智能暂行办法》第17条[14]规定了对AIGC进行安全评估的要求,安全评估的要求在《互联网信息服务深度合成管理规定》[15]《互联网信息服务算法推荐管理规定》[16]中亦有规定。目前,关于AIGC产品和服务的安全评估尚缺乏具体的细则和指导。根据行业实践,AIGC安全评估内容包括但不限于企业组织架构、制度规范、第三方管理等主体安全保障的基本要求,还涵盖信息安全管理、技术安全等核心安全内容,并需要特别针对账号管理、信息审核及功能使用等展开专项安全评估。此外,AIGC产品和服务的提供商除了需遵循网信办的安全评估流程外,还可能受到公安机关和工信部门的安全评估要求的约束。然而,各部门间关于安全评估的具体要求及未来是否会有整合,目前尚不清晰。
3. 合规义务:内容标识
根据《人工智能暂行办法》[17],人工智能提供者应当按照《互联网信息服务深度合成管理规定》[18]对图片、视频等生成内容进行标识。内容标识义务主要包含两点:首先,深度合成服务提供者需在不干扰用户正常使用的前提下,对生成或编辑的信息内容添加标识,并依法保存相关日志信息;其次,对于具有显著改变信息内容功能的服务,如智能对话、合成人声、人脸生成及沉浸式拟真场景等,应在内容的显著位置添加标识,明确告知公众信息的合成情况,以防混淆。
4. AIGC训练数据的合规要求
根据《人工智能暂行办法》,AIGC训练数据应当满足以下合规要求:第一,使用具有合法来源的数据和基础模型;第二,涉及知识产权的,不得侵害他人依法享有的知识产权;第三,涉及个人信息的,应当取得个人同意或者符合法律、行政法规规定的其他情形;第四,采取有效措施提高训练数据质量,增强训练数据的真实性、准确性、客观性、多样性;第五,《中华人民共和国网络安全法》《数据安全法》《个人信息保护法》等法律、行政法规的其他有关规定和有关主管部门的相关监管要求。
5. 2024年人工智能与算法管理的趋势展望
2023年11月,AI生成图片著作权侵权第一案发布,认可了在作品体现作者的个性化表达前提下,自然人对利用人工智能生成图片享有著作权。2024年2月28日,备受瞩目的AIGC平台侵权第一案判决公布,确认涉案AI文生图平台侵犯了原告对作品享有的复制权和改编权。法院从三个角度论证了被告作为AIGC服务提供者未尽合理注意义务:一是缺乏完善的投诉举报机制,导致权利人难以维权;二是缺乏潜在风险提示,未通过服务协议等方式告知用户不得侵犯他人著作权;三是缺乏显著标识,使权利人难以识别生成物是否由人工智能生成,从而无法采取有效维权措施。
结合上述讨论,我们预见在2024年,首先,人工智能与算法相关的法律法规以及整体的监管框架将迎来更为迅速和全面的完善。随着新技术的迅猛发展和广泛应用,不仅将推动现有法律体系的更新和调整,以适应这些技术带来的新挑战和新机遇,同时也会促使其他领域的法律法规进行相应的修订和完善。其次,主管部门在监管手段上也将展现出更为灵活多变的态势。面对日新月异的技术变革,监管部门需要不断创新监管方式,以确保既能够充分保障公众利益,又能够鼓励技术的健康有序发展。这可能会包括更加精准的政策制定、更为高效的执法手段以及更加透明的监管流程。与此同时,随着人工智能与算法在各领域的深入应用,各领域的“第一案”也将陆续出现。这些案例不仅将为实务工作提供有力的指引,也将成为推动法律法规进一步完善的重要参考。通过这些案例的审判和裁决,我们将更加清晰地看到人工智能与算法在法律层面的定位和影响,为未来的法律实践提供更加明确的方向。
本系列文章是我们在2023年数据合规立法执法及实务重点领域的梳理总结,涵盖了年度数据合规立法、监管概况及重点问题。囿于规范众多而篇幅有限,我们的讨论聚焦于关键内容,旨在为企业提供有价值的参考。展望未来,随着数据合规相关规范的日益完善,以及企业在数据合规实践中不断积累的宝贵经验,数据合规的实务工作必将更趋规范和成熟。同时,我们也应看到,国内外政治经济环境的演变将为数据合规工作带来新的挑战和机遇。我们将持续关注数据合规领域的最新动态,为广大企业提供更具针对性的建议和资讯,以期共同推动数据合规工作的深入发展。
注释
[1] 《工业和信息化领域数据安全管理办法(试行)》第七条:工业和信息化部组织制定工业和信息化领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范,指导开展数据分类分级管理工作,制定行业重要数据和核心数据具体目录并实施动态管理。
地方行业监管部门分别组织开展本地区工业和信息化领域数据分类分级管理及重要数据和核心数据识别工作,确定本地区重要数据和核心数据具体目录并上报工业和信息化部,目录发生变化的,应当及时上报更新。
[2] 《中国人民银行业务领域数据安全管理办法(征求意见稿)》第八条:…在中国人民银行组织下,数据处理者应当准确识别判定本单位信息系统存储的全量数据是否属于重要数据、核心数据,并填写报送重要数据目录内容,由中国人民银行汇总后确定重要数据具体目录。数据处理活动中,数据处理者还应当及时准确识别判定所涉及数据是否属于重要数据、核心数据。
[3] 上海市通信管理局“浦江护航”2023年电信和互联网行业数据安全专项行动,要求电信和互联网行业数据处理者依据相关标准规范对本单位重要数据和核心数据进行识别认定,并形成具体目录,通过指定填报工具提交备案申请。市通信管理局对备案内容进行审核,对符合要求的予以备案并纳入行业重要数据和核心数据目录。
江苏省2023年“数安护航”电信和互联网行业数据安全专项行动,要求电信和互联网行业数据处理者应依据电信领域重要数据和核心数据识别指南对本单位重要数据和核心数据进行识别认定,形成具体目录,通过指定填报工具向省通信管理局提交目录备案。省通信管理局对电信和互联网行业数据处理者提交的重要数据和核心数据备案进行审核,对符合要求的予以备案并纳入行业重要数据和核心数据目录。
[4] 北京市通信管理局发布《北京地区电信领域数据安全管理实施细则》,其中要求电信领域数据处理者应当按照电信领域重要数据和核心数据识别标准识别重要数据和核心数据,按要求将识别出的重要数据和核心数据进行目录填报,并报北京市通信管理局备案。北京市通信管理局对备案信息完整性、重要数据和核心数据类别、级别、数据量等填报内容准确完备性进行审核。
[5] 《汽车数据安全管理若干规定(试行)》第三条:重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,包括:
(一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;
(二)车辆流量、物流等反映经济运行情况的数据;
(三)汽车充电网的运行数据;
(四)包含人脸信息、车牌信息等的车外视频、图像数据;
(五)涉及个人信息主体超过10万人的个人信息;
(六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。
[6] 《工业和信息化领域数据安全管理办法(试行)》第十条:危害程度符合下列条件之一的数据为重要数据:
(一)对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域;
(二)对工业和信息化领域发展、生产、运行和经济利益等造成严重影响;
(三)造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大;
(四)引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响;
(五)经工业和信息化部评估确定的其他重要数据。
[7] 根据《数据安全技术数据分类分级规则》(GB/T 43697-2024),重要数据的识别,在符合表1的基础上,还需考虑该国标附录G:重要数据识别指南的因素。
[8] 根据北京市互联网信息办公室、北京市经济和信息化局、北京市通信管理局《关于开展2023年度汽车数据安全管理情况报送工作的通知》,汽车行业的数据安全风险报送的内容新增一项风险评估报告。《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》也规定重要数据和核心数据处理者应当开展重要数据安全风险评估活动,从数据处理、数据安全管理、数据安全组织架构各方面评估风险。
[9] 《北京市数据知识产权登记管理办法(试行)》第二条:数据知识产权的登记对象,是指数据持有者或者数据处理者依据法律法规规定或者合同约定收集,经过一定规则或算法处理的、具有商业价值及智力成果属性的处于未公开状态的数据集合。
《浙江省数据知识产权登记办法(试行)》(一)适用范围及原则。本办法适用于对依法收集、经过一定算法加工、具有实用价值和智力成果属性的数据提供数据知识产权登记服务。
[10] 《深圳市数据产权登记管理暂行办法》第二条:本办法中下列用语的含义:数据资源,是指自然人、法人或非法人组织在依法履职或经营活动中制作或获取的,以电子或其他方式记录、保存的原始数据集合。数据产品,是指自然人、法人或非法人组织通过对数据资源投入实质性劳动形成的数据及其衍生产品,包括但不限于数据集、数据分析报告、数据可视化产品、数据指数、应用程序编程接口(API 数据)、加密数据等。
第三条:数据资源和数据产品在本市行政区域内的首次登记、许可登记、转移登记、变更登记、注销登记和异议登记,适用本办法。数据知识产权登记按有关规定执行,不适用本办法。
[11] 《个人信息保护法》第五十四条:个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
第六十四条:履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以……或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。
[12] 《个人信息保护合规审计管理办法(征求意见稿)》第三条:本办法所称个人信息保护合规审计,是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。
[13] 《生成式人工智能服务管理暂行办法》第十七条:提供具有舆论属性或者社会动员能力的生成式人工智能服务的,应当按照国家有关规定开展安全评估,并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。
《互联网信息服务深度合成管理规定》第十九条:具有舆论属性或者社会动员能力的深度合成服务提供者,应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。
深度合成服务技术支持者应当参照前款规定履行备案和变更、注销备案手续。
完成备案的深度合成服务提供者和技术支持者应当在其对外提供服务的网站、应用程序等的显著位置标明其备案编号并提供公示信息链接。
《互联网信息服务算法推荐管理规定》第二十四条:具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息,履行备案手续。
算法推荐服务提供者的备案信息发生变更的,应当在变更之日起十个工作日内办理变更手续。
算法推荐服务提供者终止服务的,应当在终止服务之日起二十个工作日内办理注销备案手续,并作出妥善安排。
[14] 《生成式人工智能服务管理暂行办法》第十七条:提供具有舆论属性或者社会动员能力的生成式人工智能服务的,应当按照国家有关规定开展安全评估,并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。
[15] 《互联网信息服务深度合成管理规定》第十五条:深度合成服务提供者和技术支持者应当加强技术管理,定期审核、评估、验证生成合成类算法机制机理。
深度合成服务提供者和技术支持者提供具有以下功能的模型、模板等工具的,应当依法自行或者委托专业机构开展安全评估:
(一)生成或者编辑人脸、人声等生物识别信息的;
(二)生成或者编辑可能涉及国家安全、国家形象、国家利益和社会公共利益的特殊物体、场景等非生物识别信息的。
第二十条:深度合成服务提供者开发上线具有舆论属性或者社会动员能力的新产品、新应用、新功能的,应当按照国家有关规定开展安全评估。
[16] 《互联网信息服务算法推荐管理规定》第二十七条:具有舆论属性或者社会动员能力的算法推荐服务提供者应当按照国家有关规定开展安全评估。
[17] 《生成式人工智能服务管理暂行办法》第十二条:提供者应当按照《互联网信息服务深度合成管理规定》对图片、视频等生成内容进行标识。
[18] 《互联网信息服务深度合成管理规定》第十六条:深度合成服务提供者对使用其服务生成或者编辑的信息内容,应当采取技术措施添加不影响用户使用的标识,并依照法律、行政法规和国家有关规定保存日志信息。
第十七条深度合成服务提供者提供以下深度合成服务,可能导致公众混淆或者误认的,应当在生成或者编辑的信息内容的合理位置、区域进行显著标识,向公众提示深度合成情况:
(一)智能对话、智能写作等模拟自然人进行文本的生成或者编辑服务;
(二)合成人声、仿声等语音生成或者显著改变个人身份特征的编辑服务;
(三)人脸生成、人脸替换、人脸操控、姿态操控等人物图像、视频生成或者显著改变个人身份特征的编辑服务;
(四)沉浸式拟真场景等生成或者编辑服务;
(五)其他具有生成或者显著改变信息内容功能的服务。
深度合成服务提供者提供前款规定之外的深度合成服务的,应当提供显著
标识功能,并提示深度合成服务使用者可以进行显著标识。
《互联网信息服务算法推荐管理规定》第九条:算法推荐服务提供者应当加强信息安全管理,建立健全用于识别违法和不良信息的特征库,完善入库标准、规则和程序。发现未作显著标识的算法生成合成信息的,应当作出显著标识后,方可继续传输。
技术驱动法律,专业成就未来