網(wǎng)上投稿
引言
近日,實踐中,針對部分調(diào)用OpenAI的ChatGPT產(chǎn)品接口的境內(nèi)平臺,部分地區(qū)的互聯(lián)網(wǎng)信息辦公室(即網(wǎng)信辦)根據(jù)《網(wǎng)信部門行政執(zhí)法程序規(guī)定》第三十八條 [1] 、《生成式人工智能服務管理暫行辦法》(“《AIGC暫行辦法》”)第十七條 [2] 、第二十一條 [3] ,與該等境內(nèi)平臺的平臺運營方進行了約談。與此同時,如我們在《大模型合規(guī)之現(xiàn)實初探》一文中所述,七月底以來,蘋果APP Store對中國內(nèi)地中大量提供類ChatGPT服務的應用進行集中下架,其中不少亦是利用OpenAI提供的API服務所開發(fā)的應用,根據(jù)部分平臺運營方收到的蘋果官方下架通知,應用下架的主要原因在于應用與ChatGPT相關(guān),而ChatGPT在中國沒有獲得運營所必需的許可。
該等實踐意味著在《AIGC暫行辦法》正式生效后,境內(nèi)平臺利用境外技術(shù)支持方提供的服務向中國境內(nèi)用戶提供生成式人工智能服務的合規(guī)要求正在逐漸全面跟上。以下,我們針對該等具體合規(guī)要求展開討論,供境內(nèi)平臺的平臺運營方在與境外技術(shù)支持方進行合作的過程中進行參考。
總體而言,境內(nèi)平臺使用境外生成式人工智能服務主要通過直接調(diào)用境外生成式人工智能服務、接入境外生成人工智能服務的可編程接口(即API)等方式實現(xiàn)。以OpenAI為例,根據(jù)OpenAI官網(wǎng)的說明,目前OpenAI提供的服務包括ChatGPT、DALL-E等非API服務(non-API consumer services)以及API服務這兩種類型。不過,目前OpenAI的前述兩種服務均未面向中國內(nèi)地以及中國香港地區(qū)的用戶開放;實踐中,境內(nèi)平臺主要借助于虛擬專用網(wǎng)絡(即VPN)通過中國境外IP地址使用OpenAI提供的服務,該種使用方式本身存在一定的違規(guī)風險,例如違規(guī)建立或租用虛擬專用網(wǎng)絡等國際聯(lián)網(wǎng)相關(guān)風險。
即使境外主體提供的生成式人工智能服務向中國境內(nèi)用戶開放,在境內(nèi)平臺使用該等服務向境內(nèi)用戶提供生成式人工智能服務的情況下,如我們在《大模型合規(guī)之現(xiàn)實初探》一文中所述,利用生成式人工智能技術(shù)向中華人民共和國境內(nèi)公眾提供生成文本、圖片、音頻、視頻等內(nèi)容服務的組織、個人均屬于《AIGC暫行辦法》項下的生成式人工智能服務提供者,應當履行生成式人工智能服務提供者的責任與義務。因此,境外主體以及境內(nèi)平臺的平臺運營方均屬于生成式人工智能服務提供者,應當遵守《AIGC暫行辦法》《互聯(lián)網(wǎng)信息服務深度合成管理規(guī)定》(“《深度合成管理規(guī)定》”)《互聯(lián)網(wǎng)信息服務算法推薦管理規(guī)定》(“《算法推薦管理規(guī)定》”)等中國相關(guān)法律法規(guī)的規(guī)定,倘若存在違規(guī)情況,根據(jù)《AIGC暫行辦法》,國家網(wǎng)信部門有權(quán)通知有關(guān)機構(gòu)采取技術(shù)措施和其他必要措施對境外的技術(shù)支持方予以處置,而該等處置措施極有可能會對使用境外生成式人工智能服務的境內(nèi)平臺造成較大影響。
當前,境內(nèi)平臺使用境外生成式人工智能服務的合規(guī)要點主要在資質(zhì)要求、數(shù)據(jù)跨境合規(guī)、數(shù)據(jù)訓練合規(guī)等方面,具體如下:
1 資質(zhì)要求
1.1 算法備案
為滿足生成式人工智能服務的透明度要求,根據(jù)《AIGC管理辦法》《深度合成管理規(guī)定》《算法推薦管理規(guī)定》,平臺運營方、技術(shù)支持方均應當履行算法備案的義務。因此,在境內(nèi)平臺使用境外生成式人工智能服務的場景下,境外的技術(shù)支持方以及境內(nèi)的平臺運營方均應當進行算法備案,具體而言 [4] :
? 在算法類型方面,境外的技術(shù)支持方以及境內(nèi)的平臺運營方均應當選擇“生成合成類(深度合成)算法”這一算法類型進行算法備案;
? 在備案角色方面,境外的技術(shù)支持方應當作為深度合成服務技術(shù)支持者進行算法備案,境內(nèi)平臺的平臺運營方應當作為深度合成服務提供者進行算法備案;
《算法推薦管理規(guī)定》進一步明確,如技術(shù)支持方以及平臺運營方未依法履行備案手續(xù)的,由網(wǎng)信部門和電信、公安、市場監(jiān)管等有關(guān)部門依據(jù)職責給予警告、通報批評,責令限期改正;拒不改正或者情節(jié)嚴重的,責令暫停信息更新,并處一萬元以上十萬元以下罰款。
1.2 安全評估
根據(jù)《AIGC管理辦法》《深度合成管理規(guī)定》《算法推薦管理規(guī)定》《具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務安全評估規(guī)定》(“《安全評估規(guī)定》”),境外的技術(shù)支持方、境內(nèi)平臺的平臺運營方還應當完成以下兩種類型的安全評估:一是按照《安全評估規(guī)定》通過全國互聯(lián)網(wǎng)安全管理服務平臺完成具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務安全評估;二是針對生成式人工智能服務進行新技術(shù)新應用安全評估(即雙新評估),而關(guān)于雙新評估的具體流程以及要求仍有待監(jiān)管部門進一步公開。
根據(jù)《安全評估規(guī)定》,如技術(shù)支持方、平臺運營方拒不依法開展安全評估的,網(wǎng)信部門和公安機關(guān)將通過全國互聯(lián)網(wǎng)安全管理服務平臺向公眾提示其提供的服務存在安全風險。
2 數(shù)據(jù)跨境合規(guī)
在境內(nèi)平臺使用境外生成式人工智能服務的場景下,中國境內(nèi)用戶在境內(nèi)平臺的輸入端口提出問題后,該問題會傳輸?shù)轿挥诰惩獾募夹g(shù)支持方,技術(shù)支持方模型給出相應回答后,該回答便會傳輸?shù)骄硟?nèi)平臺的用戶端口以實現(xiàn)對問題的反饋。按照該服務模式,境內(nèi)平臺的平臺運營方向境外技術(shù)支持方傳輸用戶輸入數(shù)據(jù)的過程中,平臺運營方有可能涉及將中國境內(nèi)用戶的個人信息傳輸至境外。
在此種情形下,對于平臺運營方而言,平臺運營方應當按照《中華人民共和國個人信息保護法》(“《個人信息保護法》”)《數(shù)據(jù)出境安全評估辦法》《個人信息出境標準合同辦法》等相關(guān)法律法規(guī)履行個人信息跨境傳輸相關(guān)的合規(guī)要求,包括數(shù)據(jù)出境安全評估/個人信息保護影響評估、個人信息出境標準合同簽訂和備案、用戶告知等。
對于境外技術(shù)支持方而言,在技術(shù)支持方與平臺運營方簽訂個人信息出境標準合同的情形下,技術(shù)支持方應當履行該等標準合同項下境外接受方的義務,例如確保個人信息的保存期限為實現(xiàn)處理目的所必要的最短時間,保存期限屆滿的,應當刪除個人信息(包括所有備份)。同時,技術(shù)支持方還應當按照標準合同的約定,結(jié)合其所在國家或者地區(qū)的個人信息保護政策和法規(guī),對于該等政策和法規(guī)對于技術(shù)支持方履行標準合同約定義務的影響進行評估。
根據(jù)《個人信息保護法》,如平臺運營方、技術(shù)支持方違反上述要求,平臺運營方、技術(shù)支持方將被中國境內(nèi)的主管部門處以責令改正、給予警告、沒收違法所得、罰款等行政處罰;違法處理個人信息的應用程序,將被責令暫停或者終止提供服務;直接負責的主管人員和其他直接責任人員將被處以一萬元以上十萬元以下罰款。此外,平臺運營方、技術(shù)支持方還可能因違反技術(shù)支持方所在國家或者地區(qū)可適用的個人信息保護政策和法規(guī)面臨相應的處罰風險。
3 數(shù)據(jù)訓練合規(guī)
如我們在《大模型合規(guī)之現(xiàn)實初探》一文中所述,數(shù)據(jù)是大模型最底層的“原料”,而數(shù)據(jù)訓練是對“原料的使用”,數(shù)據(jù)訓練合規(guī)是滿足服務生成內(nèi)容合規(guī)的重要前提,技術(shù)支持方、平臺運營方應當按照《AIGC暫行辦法》 [5] 的要求,開展預訓練、優(yōu)化訓練等訓練數(shù)據(jù)處理活動。
在境內(nèi)平臺使用境外生成式人工智能服務的場景下,境內(nèi)平臺運營方應當特別關(guān)注數(shù)據(jù)和基礎模型來源合法、知識產(chǎn)權(quán)合規(guī)以及個人信息保護等方面的要求。具體而言,
3.1 數(shù)據(jù)和基礎模型的來源合法
關(guān)于數(shù)據(jù)和基礎模型,一般由境外技術(shù)支持方提供基礎模型以及該等基礎模型的訓練數(shù)據(jù)。為滿足相應的合規(guī)要求,平臺運營方應對于境外技術(shù)支持方提供的基礎模型和數(shù)據(jù)來源的合法性進行必要的審查,對技術(shù)支持方數(shù)據(jù)安全保護能力開展盡職調(diào)查。在平臺運營方與技術(shù)支持方簽署的相關(guān)技術(shù)服務合同中,平臺運營方可以要求技術(shù)支持方對數(shù)據(jù)和基礎模型來源的合法合規(guī)性進行陳述保證,明確雙方的權(quán)利義務,避免因技術(shù)支持方所提供的基礎模型和/或數(shù)據(jù)來源合法性問題影響平臺運營方業(yè)務的持續(xù)開展。
3.2 知識產(chǎn)權(quán)合規(guī)
如我們在《ChatGPT許可應用,知識產(chǎn)權(quán)和數(shù)據(jù)怎么看?》一文中所述,在模型訓練的過程中,在數(shù)據(jù)收集階段、數(shù)據(jù)預處理階段、結(jié)果生成階段分別可能涉及對于數(shù)據(jù)的復制、翻譯、改編、匯編、信息網(wǎng)絡傳播等受到著作權(quán)法等知識產(chǎn)權(quán)相關(guān)法律法規(guī)規(guī)制的行為。而在模型的訓練數(shù)據(jù)庫涉及未經(jīng)授權(quán)使用他人享有知識產(chǎn)權(quán)的數(shù)據(jù)及內(nèi)容的情形下,天然具有知識產(chǎn)權(quán)侵權(quán)風險。以ChatGPT為例,ChatGPT的數(shù)據(jù)源包括用戶輸入內(nèi)容和訓練數(shù)據(jù)庫。其中,用戶輸入內(nèi)容包括用戶使用ChatGPT等非API服務提供的數(shù)據(jù);訓練數(shù)據(jù)庫則包括以下三種類型的數(shù)據(jù):公有領域內(nèi)容、通過簽訂合同獲得合法授權(quán)的內(nèi)容、未經(jīng)授權(quán)的信息及內(nèi)容。倘若技術(shù)支持方提供的模型的訓練數(shù)據(jù)庫涉及未經(jīng)授權(quán)的信息及內(nèi)容,在境內(nèi)平臺生成內(nèi)容與該等信息及內(nèi)容存在實質(zhì)性相似的情形下,技術(shù)支持方、平臺運營方往往并不屬于合理使用,從而均有可能承擔相應的侵權(quán)責任。為降低前述侵權(quán)風險,在要求技術(shù)支持方確保數(shù)據(jù)來源合法合規(guī)性的同時,我們也建議技術(shù)支持方、平臺運營方對于生成內(nèi)容進行一定程度的審核,確保生成內(nèi)容在表達方面與原始的信息及內(nèi)容在存在顯著區(qū)分。
3.3 個人信息保護
如前文所述,在部分情形下,用戶輸入內(nèi)容將成為技術(shù)支持方模型的訓練數(shù)據(jù)。例如,根據(jù)OpenAI官網(wǎng)的說明,用戶通過ChatGPT、DALL-E等非API服務提供的數(shù)據(jù)將成為ChatGPT的訓練數(shù)據(jù),除非用戶選擇關(guān)閉訓練模式;而用戶通過API提供的數(shù)據(jù)將不會作為ChatGPT的訓練數(shù)據(jù),除非用戶另行進行授權(quán) [6] 。而該等用戶輸入內(nèi)容中可能包含用戶的個人信息。參考全國信息安全標準化技術(shù)委員會發(fā)布的《信息安全技術(shù) 機器學習算法安全評估規(guī)范(征求意見稿)》的要求 [7] ,我們建議平臺運營方針對將用戶個人信息用于數(shù)據(jù)訓練取得用戶同意(針對人臉信息等敏感個人信息還應取得用戶的單獨同意),并向用戶提供不使用個人信息用于數(shù)據(jù)訓練的選項;此外,平臺運營方、技術(shù)支持方還可以考慮對于收集的個人信息進行必要的匿名化處理,以降低數(shù)據(jù)訓練活動對于用戶個人權(quán)益的影響。
如技術(shù)支持方、平臺運營方未按照《AIGC暫行辦法》的規(guī)定開展訓練數(shù)據(jù)處理活動,除《個人信息保護法》《中華人民共和國著作權(quán)法》等法律法規(guī)明確規(guī)定的法律責任以外,技術(shù)支持方、平臺運營方還可能被處以警告、通報批評、責令限期改正、責令暫停提供相關(guān)服務等行政處罰。
結(jié)語
相較于中國境內(nèi)的技術(shù)支持方,境外的技術(shù)支持方在落實相關(guān)合規(guī)要求的過程中面臨更高的不確定性。同時,在涉及境外主體的情況下,技術(shù)支持方、平臺運營方還可能需要滿足其他國家或地區(qū)更為嚴苛的合規(guī)要求。因此,我們建議,境內(nèi)平臺與境外的技術(shù)支持方開展生成式人工智能服務相關(guān)合作時,厘清各方的責任與義務,及時關(guān)注所涉國家和地區(qū)的監(jiān)管動態(tài),在合法合規(guī)的前提下開展跨境業(yè)務合作。
[1] 《網(wǎng)信部門行政執(zhí)法程序規(guī)定》第三十八條規(guī)定,網(wǎng)信部門對當事人作出行政處罰決定前,可以根據(jù)有關(guān)規(guī)定對其實施約談,談話結(jié)束后制作執(zhí)法約談筆錄。
[2] 《生成式人工智能服務管理暫行辦法》第十七條規(guī)定,提供具有輿論屬性或者社會動員能力的生成式人工智能服務的,應當按照國家有關(guān)規(guī)定開展安全評估,并按照《互聯(lián)網(wǎng)信息服務算法推薦管理規(guī)定》履行算法備案和變更、注銷備案手續(xù)。
[3] 《生成式人工智能服務管理暫行辦法》第二十一條規(guī)定,提供者違反本辦法規(guī)定的,由有關(guān)主管部門依照《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》、《中華人民共和國科學技術(shù)進步法》等法律、行政法規(guī)的規(guī)定予以處罰;法律、行政法規(guī)沒有規(guī)定的,由有關(guān)主管部門依據(jù)職責予以警告、通報批評,責令限期改正;拒不改正或者情節(jié)嚴重的,責令暫停提供相關(guān)服務。構(gòu)成違反治安管理行為的,依法給予治安管理處罰;構(gòu)成犯罪的,依法追究刑事責任。
[4] 詳見《互聯(lián)網(wǎng)信息服務深度合成管理規(guī)定》備案填報指南,鏈接地址:https://beian.cac.gov.cn/api/file/fileDownLoad?noticeId=notice_4b62813c-b5cd-4bf0-b1ff-5c140decda7f。
[5] 《AIGC暫行辦法》第七條規(guī)定,生成式人工智能服務提供者(以下稱提供者)應當依法開展預訓練、優(yōu)化訓練等訓練數(shù)據(jù)處理活動,遵守以下規(guī)定:(一)使用具有合法來源的數(shù)據(jù)和基礎模型;(二)涉及知識產(chǎn)權(quán)的,不得侵害他人依法享有的知識產(chǎn)權(quán);(三)涉及個人信息的,應當取得個人同意或者符合法律、行政法規(guī)規(guī)定的其他情形;(四)采取有效措施提高訓練數(shù)據(jù)質(zhì)量,增強訓練數(shù)據(jù)的真實性、準確性、客觀性、多樣性;(五)《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》等法律、行政法規(guī)的其他有關(guān)規(guī)定和有關(guān)主管部門的相關(guān)監(jiān)管要求。
[6] How your data is used to improve model performance,鏈接地址:https://help.openai.com/en/articles/5722486-how-your-data-is-used-to-improve-model-performance。
[7] 《信息安全技術(shù) 機器學習算法安全評估規(guī)范(征求意見稿)》第6.1條第g)項規(guī)定,相關(guān)組織和個人在開發(fā)或運營機器學習算法時,應確保所開發(fā)或運營的機器學習算法的隱私性,確保處理數(shù)據(jù)遵守法律和法規(guī)要求,保護個人信息和隱私,避免存儲、泄漏敏感數(shù)據(jù),包括但不限于:1) 未經(jīng)個人同意,不應使用其個人信息開展機器學習算法相關(guān)活動。法律法規(guī)規(guī)定無需同意的情況除外;2) 對個人信息采用必要的數(shù)據(jù)脫敏措施。
滬公網(wǎng)安備 31010402007129號
