以ChatGPT为代表的生成式人工智能横空出世,混乱与发展并存,亟需立法作出回应,构建稳固的行业秩序。2023年4月11日,国家网信办公布了《生成式人工智能服务管理办法(征求意见稿)》(以下简称《征求意见稿》),体现了中国政府对于生成式人工智能发展的高度关注与重视。《征求意见稿》中提出的相对严格的监管规范,也引起了业界对于监管尺度可能为生成式人工智能的研发与使用带来限制的一定的不安情绪。国家网信办等立法部门积极、准确地捕捉到了反馈建议的主体音量,在广泛征求公众意见的基础上,修改《征求意见稿》的内容,并在短短三个月后公布了正式文本。
7月13日,国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局公布了《生成式人工智能服务管理暂行办法》(以下简称《办法》)。与《征求意见稿》相比,《办法》做出了较大改动,对于一些争议较大的条款做出了正向修改。从《办法》整体来看,反复强调了国家鼓励生成式人工智能发展的态度,对于《征求意见稿》中较为严格的义务做出了不同程度的调整与放宽,整体上为生成式人工智能的提供了较为宽松的发展环境。
01 生成式人工智能
有学者分析生成式人工智能的运行机理后,将生成式人工智能运作的过程分为三个阶段:前置性学习训练及人工标注辅助算法升级的准备阶段、进行自身算法处理输入数据及得出处理后数据产出物的运算阶段、以及数据产出物流入社会并对社会中的各行各业造成影响的生成阶段。[1]将生成式人工智能按照准备阶段、运算阶段和生成阶段规制有助于将整体问题切分,准确定位生成式人工智能的风险点,从更直观的角度观察、理解《办法》的立法目的与每一条规定修改或制定的原因。例如,准备阶段投喂训练的巨量训练数据,涉及到数据的收集、使用,尤其是个人信息的收集与使用规范,涉及是否构成对于已有著作权、商标权等合法权利的侵犯。生成式人工智能的存在逻辑便注定其要与数据合规相伴相生。运算阶段涉及到算法透明度与算法偏见,数据标注的影响可见一斑。生成阶段直接与公众接触,对于公共利益、伦理道德的影响更是不言而喻。
怎么规制,如何规制,在多大程度上规制?这就是《办法》要解决的问题。《办法》共四章、二十四条,带着问题去研读《办法》,其法律逻辑便会展现眼前。
02 立法目的
第一条 为了促进生成式人工智能健康发展和规范应用,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国科学技术进步法》等法律、行政法规,制定本办法。
《办法》补充完善了立法目的,在促进生成式人工智能健康发展和规范应用的基础上,还关切了国家安全、公共利益,以及个人和组织的合法权益,这是所有技术发展的应有之义。
此外,上位法依据补充添加了《中华人民共和国科学技术进步法》。《科学技术进步法》旨在促进科技自立自强,加快科技创新,突破关键核心技术,这是一个很明显的促进生成式人工智能发展的信号。当然,鼓励发展但不能无序发展。生成式人工智能以巨量语料为学习基础,大体量的数据必然导致数据安全、个人信息安全、网络安全风险上升,《网络安全法》、《数据安全法》、《个人信息保护法》划定了监管红线,为生成式人工智能的发展框定了边界。
立法目的总领全篇,基本上奠定了国家鼓励生成式人工智能发展,放宽监管力度但坚守监管红线的基调。
03 适用范围与适用主体
第二条 利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务(以下称生成式人工智能服务),适用本办法。
国家对利用生成式人工智能服务从事新闻出版、影视制作、文艺创作等活动另有规定的,从其规定。
行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等研发、应用生成式人工智能技术,未向境内公众提供生成式人工智能服务的,不适用本办法的规定。
本条规定了《办法》的适用范围。在《征求意见稿》基础上,《办法》提供了三点导向。
首先,明确了《办法》适用的前提是将服务向我国境内公众提供。向公众提供,即向不特定主体公开提供,只有在涉及公共利益时才会落入《办法》的监管范围。换言之,只要不公开向境内公众提供服务,即使存在违反《办法》的行为,也不受《办法》辖制,以此鼓励相关组织、企业、机构在自研自用的范围内加强技术攻关。应当注意的是,非向公众提供服务的情形中,虽然不会受到《办法》的管制,但存在违反《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规时,依然要承担相应法律责任。
还应当注意的一点是,适用范围并没有限定提供服务的主体必须是境内个人或组织。也即是说,OpenAI等境外主体,只要向中国境内公众提供服务,相关部门就有权力监管其境内提供行为。由此,建议国内相关主体在与境外主体合作时,需要以合同厘清双方的权利义务范围,并特别注意是否会涉及数据出境/个人信息出境的问题。《数据出境安全评估办法》第二条将需要接受安全评估的数据出境定义为“向境外提供境内运营中收集和产生的重要数据和个人信息”。这包含两种情形,一是将在境内运营中收集产生的重要数据和个人信息传输、储存至境外,二是境内运营中收集产生的重要数据和个人信息依旧停留在于境内,但境外主体能够以访问、调用等方式接触数据。境内主体将境外服务引入境内时,需要特别注意是否触发了这两种数据出境情形。由于生成式人工智能的服务类型会收集大量个人信息,触发数据出境时几乎必然会承受有关主管部门的安全评估。
其次,本条第二款实际上给新闻出版、影视制作、文艺创作等行业的监管部门留出了较大的自主权。可以预见的是,这几类行业的监管部门未来会陆续出台行业监管规范,并且极大可能会提供比《办法》更为宽松的监管环境。
最后,《办法》将研发主体排除监管范围之外。《征求意见稿》原本的规定为“研发、利用生成式人工智能产品,面向中华人民共和国境内公众提供服务的,适用本办法”,适用主体包括研发主体与使用主体,适用客体包括生成式人工智能产品与生成式人工智能服务。《办法》删除了对研发主体的要求,将研发主体排除在监管范围之外,在第一条立法目的的基础上,进一步为生成式人工智能腾出研发空间,减轻创新型企业的后顾之忧。
第二十条 对来源于中华人民共和国境外向境内提供生成式人工智能服务不符合法律、行政法规和本办法规定的,国家网信部门应当通知有关机构采取技术措施和其他必要措施予以处置。
对于境外向境内提供生成式人工智能服务的,不区分是供研发自用还是向公众提供,一律纳入《办法》的监管范围。
本次《办法》由七部门联合公布,意味着至少七部门对各自领域内的生成式人工智能具有管辖权,也侧面印证了国家鼓励生成式人工智能在多领域中协同发展。当境外提供者不符合法律、行政法规和《办法》规定时,国家网信部门负责通知相关行业的负责部门。虽然此处没有明确何为技术措施与其他必要技术措施,笔者猜测,会根据违法情节的严重程度采取警告、屏蔽链接等措施,保障境内的公共利益。
04 适用原则与治理原则
第三条 国家坚持发展和安全并重、促进创新和依法治理相结合的原则,采取有效措施鼓励生成式人工智能创新发展,对生成式人工智能服务实行包容审慎和分类分级监管。
本条重申了国家对于生成式人工智能发展的态度,整体呈现较为宽松的包容审慎的监管策略。“所谓‘包容’,就是对那些未知大于已知的新业态采取包容态度,只要它不触碰安全底线。所谓‘审慎’有两层含义:一是当新业态刚出现还看不准的时候,不要一上来就‘管死’,而要给它一个‘观察期’;二是严守安全底线,对谋财害命、坑蒙拐骗、假冒伪劣、侵犯知识产权等行为,不管是传统业态还是新业态都要采取严厉监管措施,坚决依法打击。”[2]生成式人工智能是典型的新技术新业态,在蓬勃发展的初期阶段,国家相比强监管更适合给予相对弹性灵活的观察期,以促进行业的技术开发与成果转化。
对于分类分级监管,《办法》仅仅提出了一种概念、一种原则,具体操作需要相应的监管部门出台配套措施给予指引。笔者推测这些措施可能会与数据分类分级制度勾连,区分利用重要数据、个人信息、一般数据的生成式人工智能,对其适用不同的监管等级。这样,一方面在生成式人工智能处于快速起步阶段给予宽松的发展环境,而另一方面,当生成式人工智能的发展走向成熟后,监管策略则趋向严格,引导企业合规经营。
第五条 鼓励生成式人工智能技术在各行业、各领域的创新应用,生成积极健康、向上向善的优质内容,探索优化应用场景,构建应用生态体系。
支持行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等在生成式人工智能技术创新、数据资源建设、转化应用、风险防范等方面开展协作。
本条依旧是原则性条款。到目前为止,除了规范生成式人工智能使用者与提供者的一般义务的第四条外,新规前五条中的四条,均或直接或隐含地强调了国家对于生成式人工智能的鼓励态度,已经足以将监管等级定性在一个审慎的尺度上。这是行业、产业迅速发展的信号,从业者应当抓住时机并自我驱动。
早在2022年7月29日,科技部等六部门关于印发《关于加快场景创新以人工智能高水平应用促进经济高质量发展的指导意见》的通知时,就旨在加快推动人工智能场景创新,鼓励在制造、农业、物流、金融、商务、家居等重点行业深入挖掘人工智能技术应用场景,促进智能经济高端高效发展。[3]生成式人工智能探索优化应用场景,也应当以相关原则为指引。
本条第二款支持行业组织和机构主体在创新与应用等方面开展协作,也是鼓励研发主体在多维度开展协同创新、协同治理,节约创新资源,强化创新主体作用,推动人工智能与多产业深度融合,构筑人工智能创新高地。
第六条 鼓励生成式人工智能算法、框架、芯片及配套软件平台等基础技术的自主创新,平等互利开展国际交流与合作,参与生成式人工智能相关国际规则制定。
推动生成式人工智能基础设施和公共训练数据资源平台建设。促进算力资源协同共享,提升算力资源利用效能。推动公共数据分类分级有序开放,扩展高质量的公共训练数据资源。鼓励采用安全可信的芯片、软件、工具、算力和数据资源。
虽然《办法》第二条与第二十条并未给予境外服务提供者“研发保护”,但鼓励境内主体与境外主体展开平等互利的国际交流与合作,不会限制境内主体在国际范围内开展的合作关系。
数据是生成式人工智能不可或缺的训练材料,算力是支撑算法运行的有价值资源,国家以立法的形式打造一个共享平台,保障数据与算力的协同共享,实际上为中小型研发企业减负,降低研发成本,并最大化利用算力资源。北京市已经做出了公共数据有序开放的尝试。7月18日,北京市经济和信息化局发布了《北京市公共数据专区授权运营管理办法(征求意见稿)》,进一步推进公共数据专区建设、完善公共数据专区运营管理机制,探索公共治理及公益事业相关应用场景按需有条件无偿使用、产业发展及行业发展相关应用场景按需有条件有偿使用相结合,共享数据红利。
很显然,《办法》的快节奏、高效率绝非个例,国家对于人工智能、数据等领域的重视将体现在未来几年中法律的快速落地与配套措施的及时就位中,人工智能法律体系将很快搭建出雏形。
05 提供者的法律义务与法律责任
第四条 提供和使用生成式人工智能服务,应当遵守法律、行政法规,尊重社会公德和伦理道德,遵守以下规定:
(一)坚持社会主义核心价值观,不得生成煽动颠覆国家政权、推翻社会主义制度,危害国家安全和利益、损害国家形象,煽动分裂国家、破坏国家统一和社会稳定,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,暴力、淫秽色情,以及虚假有害信息等法律、行政法规禁止的内容;
(二)在算法设计、训练数据选择、模型生成和优化、提供服务等过程中,采取有效措施防止产生民族、信仰、国别、地域、性别、年龄、职业、健康等歧视;
(三)尊重知识产权、商业道德,保守商业秘密,不得利用算法、数据、平台等优势,实施垄断和不正当竞争行为;
(四)尊重他人合法权益,不得危害他人身心健康,不得侵害他人肖像权、名誉权、荣誉权、隐私权和个人信息权益;
(五)基于服务类型特点,采取有效措施,提升生成式人工智能服务的透明度,提高生成内容的准确性和可靠性。
本条规定了生成式人工智能服务的提供者与使用者应遵守的义务。原《征求意见稿》第四条列明的义务主体仅有提供者,对于使用者不做限制,而修改后的《办法》将使用者列于与提供者等同的义务地位,都应当遵守第四条规定的一般义务。《征求意见稿》第四条是当时争议较大的条款之一,反对意见主要集中在原第四项“利用生成式人工智能生成的内容应当真实准确,采取措施防止生成虚假信息”。生成式人工智能的运行机理已经被专家、学者分析得较为透彻,通过投喂巨量训练数据,抽象出一般规律。理论上,提供者能够控制提供给生成式人工智能的训练数据的真实性与准确性,但由于算法黑箱的存在,提供者不能控制生成内容的真实性,而人工智能本身不能验证生成内容的真实性与准确性。因此,原第四条实质上对提供者提出了较为严苛的标准。
另一个维度上,《办法》将“遵守公序良俗”改为 “遵守伦理道德”,笔者认为提出了更高一级的要求。公序良俗,即公共秩序与善良风俗,指国家社会存在及其发展所必需的一般道德,而“伦理道德”在道德之上额外引入了伦理标尺,关注人工智能引发的诸多伦理问题,例如人类作为唯一道德主体的地位[4],以及科技伦理等。
在此基础上,《办法》对于第四条的修改方向是充分采纳征求意见,第一项中删除对生成式人工智能的生成内容的强制性规定,改为对提供者和使用者提出一般性的义务要求;将原《征求意见稿》中强制性的“生成内容应当真实准确”修改为非强制性的“提高生成内容的准确性和可靠性”,并补充要求提升生成式人工智能服务的透明度。立法者认识到不可能在事前绝对控制生成式人工智能的生成内容后,改变策略,要求披露相关算法,帮助使用者了解生成式人工智能的运行机理与算法逻辑,从源头了解、减少歧视性的算法倾轧,从而提高生成内容的准确性与可靠性。但是,算法披露言易行难,会直接损害研发者的核心利益,且监管层面也缺乏清晰、具体的指引,因此有待进一步的配套措施给出行之有效的建议。
第七条 生成式人工智能服务提供者(以下称提供者)应当依法开展预训练、优化训练等训练数据处理活动,遵守以下规定:
(一)使用具有合法来源的数据和基础模型;
(二)涉及知识产权的,不得侵害他人依法享有的知识产权;
(三)涉及个人信息的,应当取得个人同意或者符合法律、行政法规规定的其他情形;
(四)采取有效措施提高训练数据质量,增强训练数据的真实性、准确性、客观性、多样性;
(五)《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律、行政法规的其他有关规定和有关主管部门的相关监管要求。
本条与第四条保持了监管水平的一致性,修改了绝对性的“保证训练数据的真实性、准确性、客观性、多样性”的监管要求,改为更柔和的“增强训练数据的真实性、准确性、客观性、多样性”。可以看出,无论是训练数据还是生成内容,立法者关注的都是四个维度,即保证合法性、保护知识产权、保护个人信息、提高内容准确性。这四条要求贯穿《办法》始终,其他具体规定都是围绕这四个维度展开、发散。
生成式人工智能在初期阶段,还有赖于数据标注,自主学习能力有限。在此阶段,确保训练数据的四性,是确保生成式人工智能生成内容合规的成本最低的方案。
第八条 在生成式人工智能技术研发过程中进行数据标注的,提供者应当制定符合本办法要求的清晰、具体、可操作的标注规则;开展数据标注质量评估,抽样核验标注内容的准确性;对标注人员进行必要培训,提升尊法守法意识,监督指导标注人员规范开展标注工作。
生成式人工智能依赖于数据学习,但未经标注的数据在初期不易被识别,需要人工辅助标注处理。数据标注的本意是协助、监督人工智能的学习,尤其是生成式人工智能,数据标注对于生成内容的纠偏发挥重要作用,纠正人工智能的自然存在的固有算法偏见,将生成结果引导至所需的正确方向。但是,数据标注过程中,标注人员的个人意识同样会投射至人工智能的算法逻辑中,将个人偏见渗透进算法偏见中,得到差之毫厘谬以千里的结果。因此《办法》规定,对标注人员进行培训,提升尊法守法意识;对标注内容开展标注质量评估,抽样核验标注内容的准确性。与《征求意见稿》相比,《办法》意识到了对于标注人员本身的培训与监督的重要性,尽力减少算法偏见带来的不良影响。
第九条 提供者应当依法承担网络信息内容生产者责任,履行网络信息安全义务。涉及个人信息的,依法承担个人信息处理者责任,履行个人信息保护义务。
提供者应当与注册其服务的生成式人工智能服务使用者(以下称使用者)签订服务协议,明确双方权利义务。
首先应当指出的是,《办法》完全删除了原《征求意见稿》的第九条,不再要求用户提供真实身份信息。本条的改动比较有趣的一点是,现下使用应用程序时,实名制的要求并不罕见,尤其是涉及可能被引导生成具有煽动性内容、违法内容的人工智能,要求使用者实名制具有一定的合理性。笔者认为,之所以删除实名制的要求,并不意味着对于使用者放松了要求,而是可能更多地考虑了对于个人信息的保护,同时考虑了生成式人工智能的应用多为非涉他场景。例如,OpenAI曾于3月20日发生了一次个人信息泄露事件,部分用户可以在自己的主页看到他人的姓名、邮件地址、收件地址、信用卡的后四位数字等个人信息。后续OpenAI更新服务器时再出差错,导致泄露范围进一步扩大,据OpenAI官方披露的数字,受到影响的用户达到1.2%的比例。生成式人工智能处于秩序模糊但高速发展的时刻,数据泄露也是尚未妥善解决的隐患之一。更何况,根据《办法》第十四条,当用户诱导生成式人工智能生成不当内容时,提供者有义务采取处置措施,限制使用者的权利行使边界。
回到《办法》修改后的第九条,本条经修改,新增了提供者应当承担网络信息内容生产者责任、履行网络信息安全义务的规定,与《网络安全法》做出明确勾连。网络信息安全义务,在《网络安全法》第四章“网络信息安全”中以专章做出规定,主要保护个人信息与网络信息安全,是《数据安全法》、《个人信息保护法》实施之前的个人信息保护、数据保护的主要依据。
此外,生成式人工智能服务的提供者承担内容生产者责任,并没有超出其应当承担的责任范围。生成式人工智能的预训练数据、算法都由提供者确定并提供,对数据、算法、算力三大要素中的至少两项具有控制力,能确立、改变生成式人工智能的立场与倾向,对于生成内容的合法性、合理性虽然不能做到绝对控制,但可以达到修改后《办法》要求的“增强”“提高”准确性的标准,因此提供者应当承担内容生产者责任。
第十条 提供者应当明确并公开其服务的适用人群、场合、用途,指导使用者科学理性认识和依法使用生成式人工智能技术,采取有效措施防范未成年人用户过度依赖或者沉迷生成式人工智能服务。
本条为提供者设置了指导义务,笔者认为,此义务在实践中会反映在生成式人工智能的隐私政策中。对于未成年人的防沉迷措施,则有可能借鉴现有的防沉迷措施,限制使用时间、限制使用时长等。
第十一条 提供者对使用者的输入信息和使用记录应当依法履行保护义务,不得收集非必要个人信息,不得非法留存能够识别使用者身份的输入信息和使用记录,不得非法向他人提供使用者的输入信息和使用记录。
提供者应当依法及时受理和处理个人关于查阅、复制、更正、补充、删除其个人信息等的请求。
《办法》对于本条的修改有两个原则,一是与《个人信息保护法》的规定保持一致,二是进一步限制提供者对于个人信息的收集、存储、提供,仅限于收集必要个人信息,必须合法留存使用者。
至于何为“非必要个人信息”,可以参考《常见类型移动互联网应用程序必要个人信息范围规定》,该文件为18种类型的app规定了收集必要个人信息的范围,提供者可以根据所处行业、领域查看,了解近似规定,相应规范所提供服务收集个人信息的范围。
而何为“非法”留存,换言之,何时可以合法留存,笔者认为存在两种情形。其一,取得使用者的同意。能够识别使用者身份的输入信息和使用记录,已经落入了个人信息的范围,提供者应当按照《个人信息保护法》的规定,基于个人同意处理其个人信息。其二,将能够识别使用者身份的输入信息和使用记录做匿名化处理,使其丧失个人信息特征,即可留存。
第十二条 提供者应当按照《互联网信息服务深度合成管理规定》对图片、视频等生成内容进行标识。
第十三条 提供者应当在其服务过程中,提供安全、稳定、持续的服务,保障用户正常使用。
与《征求意见稿》相比,《办法》第十二条、第十三条几乎未作修改,仅调整两处措辞。《互联网信息服务深度合成管理规定》第十六条、第十七条规定了标识义务与显著标识义务。第十六条标识义务要求添加不影响用户使用的标识,通常指水印等溯源标识,适用于所有生成内容;第十七条为显著标识义务,针对可能导致公众混淆或者误认的生成内容,包括文本生成、语音生成、人脸及视频生成、拟真场景生成等。
第二十一条 提供者违反本办法规定的,由有关主管部门依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国科学技术进步法》等法律、行政法规的规定予以处罚;法律、行政法规没有规定的,由有关主管部门依据职责予以警告、通报批评,责令限期改正;拒不改正或者情节严重的,责令暂停提供相关服务。
构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
《办法》对于此条最大的改动是取消了一万元以上十万元以下罚款、终止利用人工智能提供服务这两种处罚方式,对于违法行为的责任承担方式仅限于警告、通报批评、责令限期改正、责令暂停提供相关服务。这一调整极大减轻了违法者的法律责任,实质性的金钱处罚与停业处罚暂时退出舞台,如果说仍有人担心《办法》在立法目的中明确的鼓励态度较为缥缈,本条的改动则是切实为研发企业、尤其为中小研发企业减负,研发进度、研发经费等不会遭受主体违法行为的影响。但是,《办法》依旧保留了责令违法主体暂停服务的权力,有关主体不能因此放纵行为,忽视《办法》相关规定。
06 投诉、举报机制
第十四条 提供者发现违法内容的,应当及时采取停止生成、停止传输、消除等处置措施,采取模型优化训练等措施进行整改,并向有关主管部门报告。
提供者发现使用者利用生成式人工智能服务从事违法活动的,应当依法依约采取警示、限制功能、暂停或者终止向其提供服务等处置措施,保存有关记录,并向有关主管部门报告。
对于生成的违法内容,《办法》提供了停止生成、停止传输、消除等处置措施供提供者选择,并删除了《征求意见稿》中“应在3个月内通过模型优化训练等方式防止再次生成”的不合理义务。
此外,《办法》新增了第二款,规定了使用者利用生成式人工智能从事违法活动时,提供者应当承担限制使用者使用服务的义务,以及报告义务。
第十五条 提供者应当建立健全投诉、举报机制,设置便捷的投诉、举报入口,公布处理流程和反馈时限,及时受理、处理公众投诉举报并反馈处理结果。
第十八条 使用者发现生成式人工智能服务不符合法律、行政法规和本办法规定的,有权向有关主管部门投诉、举报。
举报机制对于生成式人工智能来说,必不可少。生成式人工智能对于训练数据的巨大需求,公开爬取数据的不规范性,以及早期尚未反复强调对于数据、个人信息的重视程度,都导致生成式人工智能的训练数据或多或少地侵犯了个人信息。即使《个人信息保护法》已实施接近两年的现在,提供者在收集海量信息时似乎也难以做到告知每一位个人并取得其同意。面对种种现实,责任后置似乎是迫于无奈的必然选择。作为补偿,提供者应当建立健全投诉、举报机制,及时、有效地处理公众的投诉、举报,并反馈处理结果。
另一个角度而言,生成式人工智能仅靠公权力监管并不足以规范提供者的其每一个违法行为,公众监督是可靠、有效的制衡手段。
07 监管义务
第十六条 网信、发展改革、教育、科技、工业和信息化、公安、广播电视、新闻出版等部门,依据各自职责依法加强对生成式人工智能服务的管理。
国家有关主管部门针对生成式人工智能技术特点及其在有关行业和领域的服务应用,完善与创新发展相适应的科学监管方式,制定相应的分类分级监管规则或者指引。
第十七条 提供具有舆论属性或者社会动员能力的生成式人工智能服务的,应当按照国家有关规定开展安全评估,并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。
第十九条 有关主管部门依据职责对生成式人工智能服务开展监督检查,提供者应当依法予以配合,按要求对训练数据来源、规模、类型、标注规则、算法机制机理等予以说明,并提供必要的技术、数据等支持和协助。
参与生成式人工智能服务安全评估和监督检查的相关机构和人员对在履行职责中知悉的国家秘密、商业秘密、个人隐私和个人信息应当依法予以保密,不得泄露或者非法向他人提供。
《办法》对于监管义务的规定并没有脱离一般的监管水平,在监管部门开展监督检查时,要求提供者积极配合,并按要求展示、说明,提供必要协助。
应当注意的是,《办法》将主管部门增加至七个,难免会遭遇“九龙治水”的难题。此时,国家网信办应当负责协调部门之间的监管范围。
08 外商投资
第二十三条 法律、行政法规规定提供生成式人工智能服务应当取得相关行政许可的,提供者应当依法取得许可。
外商投资生成式人工智能服务,应当符合外商投资相关法律、行政法规的规定。
仅就目前而言,生成式人工智能领域并没有外商投资相关规定,但结合《办法》第六条第一款,国家鼓励平等互利开展国际交流与合作,则该条不能排除是鼓励外商投资的信号之一。
综上所述,《办法》全篇实际上遵循两个基本原则,其一是坚持包容审慎的监管策略,切实降低了提供者的义务标准;其二是提供研发保护,将研发者排除在适用范围之外,为生成式人工智能创造出合理的研发空间与测试环境。但是,监管尺度的放松不意味着提供者可以任意做出无序行为,其仍应遵守其他法律法规规定的义务。新行业发展的初期,法律展现出一定的谦抑性,但当行业进入稳步发展、要素齐备的阶段时,法律应当回归其原本的指引、评价与强制作用。
7月6日,科技部战略规划司司长梁颖达于2023世界人工智能大会科学前沿全体会议上表示,人工智能法草案已被列入国务院2023年立法工作计划,提请全国人大常委会审议。以国家对于人工智能的重视程度来预测,人工智能法的草案将较快与公众见面,《办法》未达之意,相信人工智能法草案将会做出更妥善的规制措施。
参考信息
[1] 刘艳红:《生成式人工智能的三大安全风险及法律规制——以ChatGPT为例》,载《东方法学》,https://doi.org/10.19404/j.cnki.dffx.20230606.003
[2] 《李克强详解为何对新业态实施“包容审慎”监管?》,载中国政府网,http://www.gov.cn/guowuyuan/2018-09/12/content_5321209.htm,最后访问日期:2023年7月19日。
[3] 《科技部等六部门关于印发<关于加快场景创新以人工智能高水平应用促进经济高质量发展的指导意见>的通知》,载中国政府网,https://www.gov.cn/zhengce/zhengceku/2022-08/12/content_5705154.htm,最后访问日期:2023年7月19日
[4] 孙伟平、李扬:《论人工智能发展的伦理原则》,载《哲学分析》2022年第1期,第7-8页。
文章作者
刘佳欣律师于2023年6月加入柳沈律师事务所,主要从事与专利和数据合规相关的知识产权的非诉业务和诉讼业务。刘佳欣律师2023年7月毕业于北京大学,获得法律硕士学位,并具有律师和专利代理师的双执业资格。
刘佳欣律师是柳沈律师事务所数据合规团队的新伙伴。柳沈律师事务所数据合规团队是柳沈知识产权团队中的新成员。针对客户日益广泛的知识产权服务需求,柳沈数据合规团队提供包括合规/安全体系制定、数据合规/安全应急处理、日常咨询和法律培训等服务,尤其擅长数据出境风险评估、涉及数据保护的尽职调查、企业数据权属、数据安全等争议案件。柳沈数据合规团队包括邱军律师、李文洁律师、王冉律师、陈金林律师、张园律师和王潇律师等熟悉汽车、互联网、医药和数据库等各个技术领域的具有丰富知识产权从业经验的律师,能够为客户提供一站式的全方位的知识产权服务。