适用场景
所有在业务中研发、提供、接入或使用生成式人工智能(如大语言模型、AI绘画、智能对话等)服务的中国出海企业,无论处于技术开发、产品集成还是应用部署阶段,均需关注。
核心要点
1. 明确适用范围与责任主体
《生成式人工智能服务管理暂行办法》主要规制向境内公众提供的服务。企业需明确自身在AI产业链中的角色是“提供者”还是“使用者”,两者均需承担合规义务。自主研发仅供内部使用、不向境内公众开放的服务,可能被排除在直接规制范围外,但若接入第三方服务则仍需遵守规定。
2. 贯穿AI全生命周期的核心义务
合规要求覆盖AI的研究开发、设计制造、部署应用和用户使用四大环节。核心义务包括:确保训练数据来源合法、质量可靠;在产品设计中嵌入个人信息保护机制;对生成的图片、视频等内容进行显著标识;建立健全用户投诉举报与安全事件响应机制。
3. 分类分级监管与算法备案
我国对生成式AI服务实行“包容审慎和分类分级监管”。提供具有舆论属性或社会动员能力服务的企业,必须按照国家规定进行安全评估,并履行算法备案手续。企业应关注后续具体的分类分级规则,提前进行风险自评。
4. 数据与内容安全双重要求
企业需同时满足数据合规与内容生态管理要求。数据方面,需遵守《网络安全法》《数据安全法》《个人信息保护法》,特别是在数据收集、训练、标注环节保障合法性与个人权益。内容方面,必须建立机制防止生成违法不良信息,并能对违规内容及利用服务从事的违法活动进行有效处置和报告。
实务建议
- 立即开展角色定位:厘清自身是AI服务“提供者”、“使用者”还是兼具双重角色,据此明确对应的法定义务清单。
- 全面审查数据链路:对AI模型训练、优化、推理过程中涉及的数据来源、处理活动、标注流程进行合规审计,确保合法性并留存记录。
- 落实内容标识与过滤:按照《深度合成管理规定》对AI生成内容(如图片、视频)进行显著标识,并部署有效的内容安全过滤与应急处置机制。
- 评估并履行备案义务:判断所提供的AI服务是否“具有舆论属性或社会动员能力”,若是,则需依法在提供服务之日起10个工作日内完成算法备案。
- 完善用户协议与权利响应:与用户签订明确的服务协议,设立便捷的投诉举报入口,并建立高效的个人信息权利(如查阅、删除)响应流程。
- 建立内部AI应用规范:即使仅作为“使用者”内部应用AI技术,也应制定使用规范,明确禁止用途,监督生成内容,防范数据泄露与侵权风险。
风险提示
- 误区:认为仅内部使用AI无需合规。实际上,若使用的技术或数据来源涉及第三方服务,仍需承担“使用者”责任,且生成内容若对外使用(如营销)可能引发风险。
- 误区:忽视“提供者”与“使用者”的双重身份可能。通过API集成第三方AI模型再对外提供服务的模式,很可能被认定为“提供者”,需承担更严格的责任。
- 注意事项:数据标注环节是高风险点,必须制定清晰的标注规则、进行质量评估与人员培训,否则可能导致模型偏见或输出违规内容。
- 注意事项:算法备案有明确时限(提供服务起10个工作日内),且备案信息变更也需及时更新,逾期可能面临监管处罚。
- 注意事项:对违法内容的处置不应设置固定时间限制(如原征求意见稿中的3个月),需建立实时监测与快速处置能力,并向主管部门报告。