适用场景
所有计划或正在向中国境内公众提供生成式人工智能(如ChatGPT类聊天、文本、图像、声音生成)服务的出海企业,无论其研发或运营实体是否位于中国境内,在产品的研发、部署及服务提供阶段均需重点关注。
核心要点
1. 广泛的适用范围
《办法》适用于所有向中国境内公众提供生成式人工智能服务的主体,无论其研发地或服务器是否在中国。这包括自研自用、利用第三方AI产品提供服务,以及为他人提供AI技术支持(如API接口)等多种商业模式。
2. 严格的前置合规义务
在向公众提供服务前,企业必须完成两项关键程序:一是依据《安全评估规定》向国家网信部门申报安全评估;二是完成算法备案,且备案是服务上线的前置条件,比一般算法推荐服务的要求更为严格。
3. 数据来源的合法性挑战
企业需确保用于训练AI模型的数据(包括预训练和优化训练数据)来源合法,符合数据安全与个人信息保护要求,不侵犯知识产权,并保证数据的真实性、准确性、客观性和多样性。实践中,海量数据的追溯和授权获取是主要难点。
4. 用户信息处理的严格限制
服务提供者对用户的输入信息和使用记录负有保护义务。核心要求是“三个不得”:不得非法留存能推断用户身份的信息,不得根据用户输入进行画像,不得向他人提供用户输入信息。这极大限制了基于用户数据优化模型和商业化的传统路径。
5. 高企的内容生产者责任
AI服务提供者被视为其产品生成内容的“生产者”,需对内容负责。这意味着用户通过输入引导AI生成违规或侵权内容时,企业可能难以用“技术中立”抗辩,而需承担相应的民事、行政甚至刑事责任,风险传导性强。
实务建议
- 在服务上线前,务必完成算法备案并申报安全评估,将其纳入产品发布的核心流程。
- 建立训练数据合规审查机制,尽可能审查数据来源协议、要求供应商提供合法性证明,并设置数据过滤与安全防护措施。
- 设计产品时,严格遵守用户信息处理“三个不得”原则,审慎评估数据留存和使用场景的合法性。
- 建立强大的内容风控与过滤机制,以及高效的用户投诉处理流程,对违规生成内容能快速识别、停止生成并采取措施。
- 若通过API等方式为第三方提供AI技术支持,需在协议中明确双方责任,并关注自身可能被认定为“内容生产者”的风险。
风险提示
- 切勿认为服务器或公司注册在境外即可规避《办法》监管,只要服务面向中国境内公众,即必须合规。
- 不要忽视算法备案的前置性,未完成备案即上线服务将面临违规风险。
- 避免对训练数据来源合法性采取“放任”态度,即使数据来自开源或第三方,企业也需尽到合理的注意义务。
- 不要简单依赖“获得用户同意”来处理用户输入信息,因为《办法》对信息留存、画像和共享有严格限制,同意可能无法作为充分依据。
- 切勿低估作为“内容生产者”的法律风险,需投入资源建立有效的内容安全治理体系,而非仅依赖事后免责声明。