汇业评论

文 | 史宇航 汇业律师事务所 顾问

一、背景与联动

随着2023年上半年生成式人工智能（“生成式AI”）的爆发，各国（区域）立法机构与执法机构对生成式AI的监管竞赛也随之到来。欧盟的EU AI Act已经箭在弦上，我国也将《人工智能法》纳入立法规划，美国也在快马加鞭抢占监管的制高点。

随着《生成式人工智能服务管理暂行办法》在2023年7月颁布，该暂行办法与《互联网信息服务深度合成管理规定》与《互联网信息服务算法推荐管理规定》形成了AI监管的三足鼎立之势，我国关于人工智能与算法的监管已经初具雏形。这三项法规与更上位的《网络安全法》《数据安全法》《个人信息保护法》《科学技术进步法》共同构成了“前《人工智能法》时代”算法与人工智能的监管框架。因为《科学技术进步法》的存在，意味着科技伦理审查将在生成式AI的监管中扮演重要角色。

《生成式人工智能服务管理暂行办法》在条款中直接与《互联网信息服务深度合成管理规定》中的标识制度、《互联网信息服务算法推荐管理规定》中的算法备案制度形成联动。因为暂行办法本身仅适用于面向公众的场景，因此不可避免具有舆论属性或社会动员能力，需要完成算法备案。

“深度合成技术”“生成式人工智能”与“算法推荐技术”三个概念关系密切，可以对比的区别：

二、适用范围

《生成式人工智能服务管理暂行办法》适用于什么情形非常重要，但不适用于什么场景同样重要。此次暂行办法罕见地规定了“……研发、应用生成式人工智能技术，未向境内公众提供生成式人工智能服务的，不适用本办法的规定。”这充分体现了暂行办法对生成式人工智能服务实行包容审慎的态度。

《生成式人工智能服务管理暂行办法》的适用范围被限制在面向境内公众，即在面向境外公众、面向境外非公众、面向境内非公众的情况下可以不适用暂时办法。具体言之，面向企业内部的生成式人工智能产品不适用，面向特定企业客户的生成式人工智能产品同样不适用该暂行办法。此外，企业面向境外公众提供生成式人工智能产品也同样不适用。如出海电商使用ChatGPT提供客服支持，就不适用该暂行办法。

三、责任主体与合规项

生成式人工智能服务提供者，是指利用生成式人工智能技术提供生成式人工智能服务（包括通过提供可编程接口等方式提供生成式人工智能服务）的组织、个人。

我们通过可视图的形式，简单梳理提供者相关的法律关系：

四、训练数据与数据训练

训练数据的合法性问题饱受关注。算法如果缺少优质训练数据，就会像千里马吃不饱饭一样，导致“食不饱，力不足，才美不外见”。而如何合法合规地获取数据，在个人信息、知识产权角度都面临显著的法律挑战。OpenAI就因为训练数据中的版权与个人信息问题导致需要应对多起诉讼。

在《生成式人工智能服务管理暂行办法》中，讨论了训练数据合法性的标准，笔者觉得很适合对比此前的征求意见稿。

可以看出，每一项训练数据的合法性标准都进行了不小的调整，尤其值得关注的是前两项合法来源于知识产权条款。

首先，如何界定“具有合法来源”？如果某数据集在最初收集时权利存在瑕疵，但买方在购买该数据时得到了卖方的合规承诺和保证，或是在尽职调查时没有发现问题，那么买方能否参照“善意第三人”的原则继续使用或至少保留训练成果？或者说，尽职调查需要做到何种程度买方才能免责？这些问题都有待实践给我们答案。

其次，知识产权条款启动的前提是他人需要首先“依法享有的知识产权”，这就排除了不受知识产权（版权）保护的作品，如：1）法律、法规，国家机关的决议、决定、命令和其他具有立法、行政、司法性质的文件，及其官方正式译文；2）单纯事实消息；3）历法、通用数表、通用表格和公式。即上述数据集并不涉及侵犯知识产权，所以这个条款可以在很大的程度上免除事实类数据集侵权的顾虑。

对于数据训练活动，《生成式人工智能服务管理暂行办法》也要求明确规则、把控质量、培训监督三项要求。这三项内容会成为具体的合规控制点，如果涉及外包第三方来对数据进行训练，也需要在协议中体现上述三项合规控制点。

五、对外协议与渠道

提供者对外提供生成式人工智能服务，在文件和渠道的准备上，至少应当具备：

1.对所提供的生成式人工智能服务进行介绍，介绍中需要至少包括：适用人群、场合、用途三要素。

2.接入防沉迷措施。

3.部署隐私政策，建立自然人个人信息行权处置机制。

4.公开投诉、举报渠道。

六、跨境

产品能否接入以OpenAI为代表的的境外生成式AI来提供服务一直也为各方所关注，《生成式人工智能服务管理暂行办法》也给予屏蔽不合规生成式AI服务的法规基础。

除此以外，从海外引进生成式AI还可能涉及进口管制的问题，需要获得审批。根据商务部2021年11月公布的《中国禁止进口限制进口技术目录》，深度伪造技术属于限制进口技术目录。控制要点为：笔迹伪造技术、语音伪造技术、图片伪造技术、视频伪造技术、生物特征伪造技术以及其他伪造技术，伪造信息与被伪造信息相似度大于70%。

判断技术是否属于进口，需要确认技术处理环节的负责主体。如果是境外主体在境外进行技术处理，再将处理结果传输至境内，则不涉及技术进口，如果技术处理环节发生在境内，则涉及技术授权的技术处理，需要根据技术处理的具体情况判断。

此外，如果直接使用境外的生成式AI，不可避免会存在双向的数据交互，这意味着中国法下的数据出境合规也会是一个难以回避的问题。

七、企业AI的合规治理思路

根据近期笔者为生成式AI提供咨询的经验，企业研发、应用生成式AI，可以从以下角度关注：

1.企业需要在事前进行合规规划，将合规能力嵌入到产品和服务中。生成式AI的合规链条非常长，项目的立项、研发、测试、发布、更新、下架每一个环节都涉及大量的合规控制点以及多个备案、申请的关卡，这涉及不同领域的法律法规，需要企业提前规划。而合规能力也会直接决定生成式AI的产品、服务能走多远。

2.企业需要建立企业层面的AI治理架构。在算法备案的环节中，就要求备案主体首先将企业层面的算法治理机制进行备案，再对具体产品的算法机制进行备案。而在生成式AI的治理中，同样会涉及企业内部不同部门需要协调，因此需要企业能够从较为高的规格对待AI治理。比如成立由企业管理层牵头的治理委员会，发布公司的AI治理理念，等等。此外，公司的治理架构还需要保持足够的兼容性，以对接近期可能会出台的科技伦理相关要求。

3.敏捷治理。《生成式人工智能服务管理暂行办法》被冠以“暂行”之名，意味着我国监管部门面对飞速发展的生成式AI保留了灵活审慎的态度。而企业作为生成式AI的一线使用者，更需要遵循敏捷治理的思路，以适应技术的不断革新以及监管规则与趋势的变化。

生成式AI正在重新塑造这个世界，《生成式人工智能服务管理暂行办法》的颁布是法律对生成式AI的一次有力回应。监管部门包容、促进创新的态度体现在暂行办法的字里行间，我们期待生成式AI的发展能够给我们这个世界带来更多有趣的变革。