适用场景
计划或正在使用生成式人工智能(AIGC)技术进行产品开发、服务提供或内部运营的中国出海企业,尤其是在模型训练、应用部署和优化阶段的企业。
核心要点
1. 构建全生命周期风险管理框架
AIGC业务涉及模型训练、应用运行和模型优化三大阶段,每个阶段的数据处理活动与合规风险点不同。企业需建立覆盖全生命周期的风险管理框架,系统性地识别和管理数据源合法性、个人信息保护、数据安全等核心风险。
2. 聚焦五大典型数据合规挑战
出海企业需重点关注五大挑战:网络爬虫数据收集的合法性、第三方数据源的风险管理、应用运行中的个人信息合规(含跨境传输)、模型优化中的数据使用授权,以及内部使用导致的数据泄露风险。这些是监管关注的重点领域。
3. 明确多方主体责任与权属
在AIGC生态中,开发者、服务提供者(集成方)、使用者角色不同,数据权属与合规责任也不同。尤其在采用MaaS(模型即服务)或私有化部署等合作模式时,必须通过协议清晰界定各方数据处理目的、数据流及责任分配,避免连带风险。
4. 强化透明性、可解释性与公平性
监管要求AIGC服务具备透明性与可解释性。企业需确保数据处理规则(如隐私政策)清晰告知用户,特别是将用户数据用于模型优化的目的。同时,在数据标注、模型训练中需采取措施保证公平性,避免算法偏见与歧视。
实务建议
- 开展数据收集前,进行合法性评估:避免爬取非公开数据、绕过技术措施或影响目标网站正常运行。
- 加强第三方管理:对数据提供方、技术合作方进行合规尽调,并在协议中明确数据来源合法性与安全责任。
- 实施分类告知与同意机制:针对个人信息处理,特别是用于模型优化和跨境传输的场景,采用主动选择加入(opt-in)机制获取用户有效同意。
- 梳理合作模式与数据流:与AIGC技术合作方明确界定业务模式(如MaaS、私有化部署),在协议中约定数据权属、处理目的及各方责任。
- 制定并演练数据泄露应急预案:针对AIGC可能引发的敏感数据泄露风险,提前制定预案,明确内部上报和外部通知流程。
- 对高敏感业务场景进行必要性审查:评估使用AIGC的必要性,对涉及商业秘密、重要数据的场景考虑私有化部署等更安全的方案。
- 建立内部使用规范:通过员工手册等制度,明确禁止员工向公共AIGC工具输入公司未公开的保密信息、商业秘密或个人敏感信息。
风险提示
- 切勿认为爬取公开数据就绝对安全,需警惕违反《反不正当竞争法》、侵犯技术措施或构成不正当竞争的风险。
- 避免模糊处理“将用户数据用于模型优化”的告知,必须取得用户单独、明确的同意,默认勾选或opt-out机制存在合规风险。
- 在集成第三方AIGC技术时,切勿忽视责任划分。若被认定为共同处理者,可能需与开发者承担连带法律责任。
- 内部使用AIGC工具时,严防员工误输入保密信息,此类数据一旦进入公共模型训练库,可能造成无法挽回的泄露。
- 不要完全依赖AIGC的输出结果做出决策,尤其是人事招聘、信贷审批等高风险场景,必须进行人工审查以规避准确性及偏见风险。