适用场景
面向中国境内公众提供生成式人工智能服务的出海企业,以及虽为内部使用但涉及中国数据的企业,均需关注本指南。
核心要点
1. 属地管辖原则与服务范围
无论服务提供者身处何地,只要其生成式AI产品面向中国境内公众提供服务,即受中国相关法规管辖。即使是企业内部定制化AI工具,若涉及中国数据,也应关注法规精神及更广泛的数据安全要求。
2. 内容与服务行为规范
生成内容需符合社会主义核心价值观,避免歧视,尊重知识产权,并确保真实准确。服务提供过程中,应采取措施防止生成虚假信息,保护用户肖像权、名誉权和个人隐私等合法权益。
3. 安全评估与算法备案要求
面向公众提供的生成式AI服务,在上线前需向国家网信部门申报安全评估,并按规定履行算法备案及变更、注销手续。对于基于AIGC底层算法进行再加工或嵌套的新型AI产品,也需审慎判断其评估备案义务。
4. 训练数据来源合法性
生成式AI产品的预训练和优化训练数据来源必须合法,不得侵犯知识产权。若数据包含个人信息,需征得个人信息主体同意。同时,数据应保证真实性、准确性、客观性及多样性。
5. 用户输入信息保护与投诉机制
服务提供者对用户的输入信息和使用记录负有严格保护义务,不得非法留存可推断用户身份的信息,禁止用户画像,且原则上不得向他人提供用户输入信息。同时,需建立便捷的用户投诉处理机制,及时响应个人信息权利请求,并主动处置侵权或违规内容。
实务建议
- 建立健全内容审核与过滤系统,确保生成内容符合中国法律法规及社会公德要求。
- 对预训练和优化训练数据进行全面合规审查,特别是知识产权归属和个人信息获取的合法性。
- 提前规划并完成面向公众服务的生成式AI产品的安全评估和算法备案。
- 设计系统时严格限制用户输入信息的处理,避免非法留存、用户画像和未经授权的共享。
- 设立高效、便捷的用户投诉和个人信息权利响应渠道,并加强对生成内容的日常监测,主动发现并处理侵权或违规信息。
风险提示
- “公众”定义存在模糊性,即使是内部定制化AI工具,也需关注数据安全和隐私保护的合规风险。
- 生成内容“真实准确”的要求可能带来巨大的合规成本,尤其对于海量数据和生成内容难以逐一核验的情况。
- 训练数据“真实性、准确性、客观性”的量化标准尚不明确,特别是对于非现实世界或拟定数据。
- 生成式AI服务对用户输入信息的保护要求高于《个人信息保护法》的一般规定,可能导致合规实践中的冲突或更高标准。
- 对于生成内容侵权或违规,服务提供者是否负有主动监测义务的边界尚待明确,建议采取积极主动的监测措施以降低风险。