适用场景
所有利用生成式人工智能技术(如大语言模型、AI绘画)向中国境内公众提供服务的出海企业,无论其技术研发、模型训练还是应用服务阶段,均需关注。尤其适用于提供具有舆论属性或社会动员能力服务的企业。
核心要点
1. 明确适用范围:向境内公众提供服务
《暂行办法》的核心监管对象是“向中华人民共和国境内公众提供生成式人工智能服务”的行为。这意味着,只要您的服务最终用户在中国境内,无论您的公司注册地在何处,都需遵守该办法。反之,仅在企业内部研发或使用,不向境内公众提供的,则不直接适用。
2. 统一主体责任:服务提供者与技术提供者同责
办法将“生成式人工智能服务提供者”定义为利用该技术提供服务的组织或个人,明确包括通过API接口等方式提供技术支持的主体。这意味着,技术层(如模型提供方)和应用层(如集成AI功能的产品方)在法律上承担同等的合规责任。
3. 贯穿全链条的合规义务
合规要求覆盖AI服务全生命周期:在数据训练阶段,需确保数据来源合法、尊重知识产权与个人信息权益;在服务提供阶段,需承担网络内容生产者、个人信息处理者等多重法律责任,并履行内容标识、未成年人保护、违法内容处置等具体义务。
4. 分类分级与重点监管
监管遵循“包容审慎、分类分级”原则。对于“具有舆论属性或社会动员能力”的服务,提出了更严格的要求,必须按照国家规定开展安全评估并履行算法备案手续。新闻、出版、影视等特定领域的监管,未来可能由相关主管部门另行细化。
5. 鼓励创新与明确底线
办法在监管的同时也明确了鼓励方向:应用层应致力于生成积极健康的内容;技术层和基础层则被鼓励在算力、数据等基础设施上创新,并参与平等的国际合作与标准制定。监管底线是坚持社会主义核心价值观,防止算法歧视,保护各方合法权益。
实务建议
- 立即进行适用性评估:判断您的AIGC服务是否属于“向中国境内公众提供”。如果是,无论公司位于何地,都需启动合规程序。
- 梳理并映射法律责任:明确您的业务在《暂行办法》下同时作为“网络信息内容生产者”和“个人信息处理者”的责任,并对照《网络信息内容生态治理规定》《个人信息保护法》等完善内部制度。
- 建立全流程数据合规机制:从训练数据来源审核、标注质量管控,到生成内容的过滤与标识,建立覆盖数据获取、处理、输出各环节的管理规程。
- 评估并履行备案与评估义务:若您的服务可能具有“舆论属性或社会动员能力”,应主动咨询监管部门,准备并按国家规定进行安全评估与算法备案。
- 完善用户协议与运营规范:更新服务协议,明确与用户的权利义务。同时,建立健全用户投诉举报机制、未成年人防沉迷措施以及违法内容发现、处置与报告流程。
- 对第三方模型与数据源进行合规审计:如果使用开源或第三方模型、数据库,必须对其内容是否符合中国法律法规进行评估,避免引入合规风险。
风险提示
- 误区:仅应用层企业需要合规。正解:通过API等方式提供底层模型或技术的“技术支持者”同样被视为服务提供者,需承担同等责任。
- 误区:内部使用的AI工具无需关注。正解:虽然不直接适用《暂行办法》,但其生成内容的使用仍需遵守《网络信息内容生态治理规定》等其他法规。
- 注意事项:境外公司向中国境内提供服务,除遵守《暂行办法》外,还必须符合中国的外商投资、数据出境等相关规定。
- 注意事项:“具有舆论属性或社会动员能力”的界定可能动态调整,企业需保持对监管动态的敏感,避免因误判而遗漏关键合规义务。
- 注意事项:对生成内容仅进行“显著标识”可能不够,《深度合成管理规定》要求的“隐式标识”(如数字水印)也是重要合规点,需采用技术手段落实。