适用场景
计划或正在海外市场提供生成式人工智能(AIGC)服务的中国科技企业、互联网公司及AI初创企业,特别是在服务上线前及运营过程中需要满足安全评估要求时。
核心要点
1. 语料安全是合规基石
训练数据的来源、内容和标注过程均需满足严格的安全标准。企业需确保语料来源合法、内容经过过滤、标注流程规范,并特别关注知识产权与个人信息(尤其是敏感信息)的授权与合规使用。
2. 模型安全与内容治理是关键
服务提供者需确保生成内容的安全性、准确性和可靠性。这要求对用户输入进行安全检测,并采取持续监测措施,防止生成违法不良信息,同时提升内容的有用性。
3. 全流程安全措施必须到位
合规要求覆盖服务全生命周期,包括明确服务适用场景与人群(如未成年人保护)、保障服务透明度、尊重用户数据选择权、确保供应链安全、建立投诉举报机制,并实施必要的用户行为管控与服务连续性保障。
4. 安全评估是核心准入环节
根据国内法规,提供具有舆论属性或社会动员能力的AIGC服务需通过安全评估。新出台的《基本要求》为评估提供了具体的技术标准和测试方法,是企业进行自评或第三方评估的实操依据。
实务建议
- 立即对照《生成式人工智能服务安全基本要求》进行差距分析,重点检查语料管理、模型安全机制和各项安全措施是否达标。
- 着手建立并维护规模达标、覆盖全面的关键词库、生成内容测试题库和拒答测试题库,并制定定期更新机制。
- 若服务可能涉及未成年人,必须设计并实施额外的保护措施,如防沉迷系统或有效的年龄验证与使用阻止机制。
- 在服务界面或协议中,以清晰显著的方式告知用户其输入信息是否会被用于训练,并提供便捷的关闭选项。
- 预先规划并建立安全评估流程,可考虑自行组建团队或委托专业第三方机构,按照标准要求准备评估报告及相关证明材料。
风险提示
- 切勿忽视《基本要求》的指导作用。虽然其本身非强制性法律,但已成为监管部门评估服务安全性的重要参考,是事实上的“准入门槛”。
- 避免在语料使用上踩雷。未经授权使用受知识产权保护的内容、违规使用个人信息(特别是未获单独同意的敏感信息)是高风险领域。
- 不要对用户生成内容(UGC)放任不管。必须建立有效的输入检测和生成内容监看机制,对恶意诱导或违规行为采取暂停服务等处置措施。
- 警惕供应链安全风险。需评估并确保训练和推理所依赖的芯片、软件、工具和算力等供应链环节的安全可信。