适用场景
面向所有在业务中开发、使用或提供生成式人工智能(AIGC)服务的中国出海企业,特别是在产品研发、服务上线及算法备案阶段需要重点关注。
核心要点
1. 明确适用范围与合规义务
该《安全要求》虽为技术文件,但为《生成式人工智能服务管理暂行办法》的关键配套指南。对于提供具有舆论属性或社会动员能力AIGC服务、需进行算法备案的企业,其安全评估将以此为主要依据。其他AIGC服务提供者也可参照此文件提升安全水平。
2. 构建全流程算法安全体系
合规要求覆盖AI服务全生命周期,包括语料来源与内容安全、模型训练与生成内容安全、以及运行时的安全措施。企业需从数据源头开始,确保语料合法、内容健康,并对生成内容的准确性、可靠性及适用场景进行管理。
3. 强化数据与个人信息保护
在AI训练和使用中处理个人信息,必须获得合法授权,处理敏感信息需取得单独同意并开展影响评估。企业应为用户提供便捷的选项,允许其关闭输入信息用于模型训练,且操作路径应足够简短。
4. 重视知识产权风险防控
企业需建立专门的知识产权管理策略与负责人制度,对训练语料进行侵权风险识别,并建立投诉渠道。在用户协议中明确告知使用生成内容可能存在的知识产权风险,这些措施也是司法实践中认定企业是否尽到注意义务的关键。
5. 落实网络安全与未成年人保护
需采取技术措施隔离训练与推理环境、防范恶意攻击、定期进行安全审计并建立备份恢复机制。针对未成年人,服务若适用则需设置防沉迷和付费限制;若不适用,则需采取有效措施防止未成年人使用。
实务建议
- 立即开展合规角色评估:根据《AIGC暂行办法》,判断企业属于“服务提供者”还是“使用者”,并确认是否触发算法备案与安全评估义务。
- 对照《安全要求》进行差距分析:逐条比对语料安全、模型安全、安全措施等章节,建立内部合规清单与整改路线图。
- 设立专门管理岗位与策略:任命数据安全、知识产权合规负责人,并制定相应的管理策略、投诉举报流程和用户风险提示文本。
- 优化用户权利设置:确保产品前端为用户提供清晰、便捷(如不超过4次点击)的选项,以关闭其输入信息用于模型训练。
- 建立内容安全抽检机制:按照文件规定的量化比例(如语料抽检合格率不低于96%),定期对训练数据和生成内容进行人工与技术抽检。
- 完善技术防护与备份:实施训练与推理环境隔离,部署输入攻击监测,定期审计代码与框架安全,并建立关键数据与模型的备份恢复预案。
风险提示
- 切勿因《安全要求》是“技术文件”而忽视其效力,对于需备案的企业,它是安全评估的实质性审查标准。
- 避免在未取得合法授权(尤其是个人单独同意)的情况下,将个人信息或明确不可采集的数据用于AI训练。
- 切忌忽视知识产权风险,缺乏内部管理策略、投诉渠道和用户风险提示,可能在侵权诉讼中被认定存在主观过错。
- 注意未成年人保护义务的履行,服务若不适合未成年人,必须有有效的技术或管理措施进行阻隔,否则将构成违规。
- 不要仅满足于定性要求,必须关注文件中的量化评估标准(如各类抽检合格率、拒答率),并将其纳入日常监控体系。