作者:王艺 时萧楠 王以玮
观点摘要
01
《暂行办法》生效后,多家应用商店、小程序平台均开始要求AIGC相关APP、小程序、快应用等应用程序开发商根据平台要求提交应用程序的资质文件,同时苹果应用商店对部分AIGC产品下架事件引发了AIGC产品服务提供者的高度关注,AIGC产品上架工作已成为AIGC产品对公众成功提供的重点之一。
02
我国《暂行办法》《深度合成规定》《算法推荐规定》《互联网信息服务管理办法》《安全评估规定》等多项法律法规,全面规定了AIGC产品及其提供者需履行的合规义务,涵盖AIGC产品全生命周期,且各应用商店皆规定了不进行风险排查工作,不满足资质要求,相应AIGC产品将无法完成上架。这要求了AIGC产品提供者开展全面、完整的风险排查工作。
03
若AIGC产品未按规定开展风险排查工作,在信息安全风险、算法备案、安全评估等方面皆会面临严格的法律责任。
04
当前,AIGC产品风险排查工作的完成面临以下难点:AIGC产品风险模块跨领域,全面、完整的梳理难度大;法律法规存在模糊或变化快、不易实现、不易理解的问题,监管部门也对于新生事物在不断调整监管策略;风险排查工作的完成需要企业内部法务、技术、运营等多部门协作,常面临较高的沟通成本。
05
对于上述难点,我们可以采取以下措施予以应对:聘请跨领域、有成功经验的AIGC合规团队;参考AIGC产品合规上架指引,建立符合自身AIGC产品特点的风险排查方案;建立AIGC动态合规体系,关注全球AIGC监管趋势,预测我国趋势。
一、AIGC产品的兴起背景
随着深度学习算法的不断迭代,人工智能生成内容百花齐放,人工智能已进入快速发展阶段。同时,国内应用层面的需求也在推动AI产业的加速发展,国内各大科技行业纷纷入局AI大模型,头部企业基本采取了“模型+工具平台+生态”的三层共建模式,并在应用端推出各具特色的自研AIGC产品,把握AIGC技术和产品催化产生的投资机会。
为推动AIGC产品的风险管理及有效监管,2023年7月13日,由国家互联网信息办公室审议通过、国家发改委、教育部、科技部、工信部、公安部、国家广播电视总局同意的《生成式人工智能服务管理暂行办法》(以下简称“《暂行办法》”)公开发布,于2023年8月15日起实施。其中,明确了“生成式人工智能”(AIGC)的定义,即生成式人工智能是基于算法、模型、规则生成文本、图片、声音、视频、代码等内容的技术,并提出了对于AIGC产品或服务的合规要求等。
AIGC产品向公众提供的一个主要渠道是在各家应用商店中上架,使得用户能够通过各家应用商店下载并使用。因此,在《暂行办法》生效后,多家应用商店、小程序平台均开始要求AIGC相关APP、小程序、快应用等应用程序开发商根据平台要求提交应用程序的资质文件,包括但不限于ICP许可/备案、APP备案文件、算法备案、安全评估报告等。此外,8月1日凌晨,多款AIGC相关APP在苹果应用商店下架,其主要原因是依据8月15日实施的《暂行办法》,下架的APP在数据采集和使用环节等都不够规范,因此苹果应用商店下架了一些存疑产品,需要在整改后再有序恢复上架。
二、AIGC产品上架前的风险排查:为什么要做?
1、 我国法律法规全面规定了AIGC产品服务提供者的合规义务AIGC产品或服务提供者通常会担任互联网信息服务提供者、个人信息处理者、深度合成服务提供者及生成式人工智能服务提供者等四类角色,AIGC产品上架需要同时满足《互联网信息服务管理办法》《互联网信息服务深度合成管理规定》(以下简称“《深度合成规定》”)《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》(以下简称“《安全评估规定》”)《互联网信息服务算法推荐管理规定》(以下简称“《算法推荐规定》”)《生成式人工智能服务管理暂行办法》等法律法规规定的相关合规义务的要求。例如,《深度合成规定》《暂行办法》及《算法推荐规定》皆要求AIGC新产品在上架前或者在上线后一定期限内完成算法备案/安全评估的工作,因为一般的AIGC新产品都面向公众提供,属于提供具有舆论属性或者社会动员能力的新产品、新应用、新功能的范畴。《算法推荐规定》第七条要求AIGC产品服务提供者需建立健全算法机制机理审核、科技伦理审查、用户注册、信息发布审核、数据安全和个人信息保护、反电信网络诈骗、安全评估监测、安全事件应急处置等管理制度和技术措施,制定并公开算法推荐服务相关规则,配备与算法推荐服务规模相适应的专业人员和技术支撑。《深度合成规定》及《暂行办法》还明确提出了提供者应当对图片、视频等生成内容进行标识。由此可见,AIGC产品上架前需履行全面、广泛的合规义务,涵盖了训练数据选择、算法设计及审核、内容合规、知识产权保护、生成内容标识、算法备案、安全评估等AIGC产品的全生命周期。而合规义务是否完全履行,则需要围绕各法律法规的上述要点,进行全面、完整的风险排查工作。2、不做风险排查,就无法上架、无法持续运营上述风险排查工作的要求涵盖合规体系中AIGC产品设计、开发、运营、停运全流程,主要针对“产品/服务上线前评估+定期自检+及时处置”的管理模式中的“产品/服务上线前评估”环节。在《暂行办法》出台后,各家应用商店也更新了对深度合成类小程序或APP产品上架的要求。例如,微信小程序对AI问答、AI换脸和AI绘画分别提出了资质要求,其中共通的是完成算法备案的情况和《安全评估报告》;抖音小程序也要求提供特效生成类产品或服务的也需完成算法备案;小米应用商店、华为应用商店、VIVO应用商店、OPPO应用商店等当前主流应用商店皆要求APP涉及提供深度合成服务的,需提供互联网信息服务算法备案、《安全评估报告》或其在全国互联网安全服务管理平台的提交结果截图、ICP备案或ICP许可等资质证明,以及相应的版权权属证明《计算机软件著作权证书》/《APP电子版权证书》或《软件著作权认证证书》(三选一)。若没有提供上述资质/权属证明,一方面可能面临无法通过上架审核的风险,另一方面,即便当前已经在应用商店上架并运营,也可能像8月初苹果应用商店对部分AIGC产品的做法一样,将不合规的商品做下架处理,影响AIGC产品的持续运营,同时也存在被监管部门下架不合规产品的风险。3、AIGC产品违规运营将面临多元且严格的法律监管上述提到的AIGC产品服务提供者上线AIGC产品需遵循的法律法规皆规定了违规运营AIGC产品可能面临的法律责任。其中,《暂行办法》规定了若AIGC产品存在不合规的情形,将面临的一般法律责任;《深度合成规定》要求提供AIGC服务时,若发现存在较大信息安全风险,应采取暂停信息更新、用户账号注册或其他相关服务等措施和后续的整改要求;《算法推荐规定》和《安全评估规定》分别规定了AIGC产品未按规定进行算法备案和安全评估工作的法律责任,体现了上述两项工作在风险排查中占据了非常重要的比重和作用。各部法规关于AIGC产品具体将面临的法律责任的规定见下表。表1:AIGC产品相关法律责任一览表
法律名称
法律责任
备注
《生成式人工智能服务管理暂行办法》
第二十条对来源于中华人民共和国境外向境内提供生成式人工智能服务不符合法律、行政法规和本办法规定的,国家网信部门应当通知有关机构采取技术措施和其他必要措施予以处置。提供AIGC服务不合规的一般性法律责任
第二十一条提供者违反本办法规定的,由有关主管部门依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国科学技术进步法》等法律、行政法规的规定予以处罚;法律、行政法规没有规定的,由有关主管部门依据职责予以警告、通报批评,责令限期改正;拒不改正或者情节严重的,责令暂停提供相关服务。构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。《互联网信息服务深度合成管理规定》
第二十一条……网信部门和有关主管部门发现深度合成服务存在较大信息安全风险的,可以按照职责依法要求深度合成服务提供者和技术支持者采取暂停信息更新、用户账号注册或者其他相关服务等措施。深度合成服务提供者和技术支持者应当按照要求采取措施,进行整改,消除隐患。提供AIGC服务若存在较大信息安全风险应采取的措施和整改要求
第二十二条深度合成服务提供者和技术支持者违反本规定的,依照有关法律、行政法规的规定处罚;造成严重后果的,依法从重处罚。构成违反治安管理行为的,由公安机关依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。《互联网信息服务算法推荐管理规定》
第三十三条具有舆论属性或者社会动员能力的算法推荐服务提供者通过隐瞒有关情况、提供虚假材料等不正当手段取得备案的,由国家和省、自治区、直辖市网信部门予以撤销备案,给予警告、通报批评;情节严重的,责令暂停信息更新,并处一万元以上十万元以下罚款。具有舆论属性或者社会动员能力的算法推荐服务提供者终止服务未按照本规定第二十四条第三款要求办理注销备案手续,或者发生严重违法情形受到责令关闭网站、吊销相关业务许可证或者吊销营业执照等行政处罚的,由国家和省、自治区、直辖市网信部门予以注销备案。AIGC产品服务提供者未按要求开展算法备案的法律责任
《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》
第十二条网信部门和公安机关应当建立监测管理制度,加强网络安全风险管理,督促互联网信息服务提供者依法履行网络安全义务。发现具有舆论属性或社会动员能力的互联网信息服务提供者未按本规定开展安全评估的,网信部门和公安机关应当通知其按本规定开展安全评估。AIGC产品服务提供者未按要求开展安全评估的法律责任
第十三条网信部门和公安机关发现具有舆论属性或社会动员能力的互联网信息服务提供者拒不按照本规定开展安全评估的,应当通过全国互联网安全管理服务平台向公众提示该互联网信息服务存在安全风险,并依照各自职责对该互联网信息服务实施监督检查,发现存在违法行为的,应当依法处理。三、AIGC产品上架前风险排查的难点与建议
1、 风险排查的难点(1) 风险模块跨领域AIGC产品上架及合规需要考量的风险模块贯穿产品设计、研发、运营、停运全流程。例如,产品设计阶段需进行科技伦理审查和法律风险评估;研发阶段需重点关注训练数据的风险,并完成算法备案和自评估工作;运营上线前应重视应用层的合规问题,包括个人信息与数据全生命周期管理、实名认证要求、《隐私政策》及《用户协议》的设计、用户权益保障机制、内容审核机制、反电信诈骗措施、生成内容标识工作、投诉/举报机制的设计等多个方面;AIGC开发、对外提供过程中,还需履行定期开展个人信息保护合规审计的义务;此外,若涉及数据出境的,需关注数据出境的合规风险。因此,风险模块涵盖范围需要考虑各现有法律法规的合规要求,以及监管层面的态度和趋势,包括法律、技术、审计等多个领域,沟通和实施难度大。(2) 法律规定模糊或者变化快,不易实现、不易理解,监管部门也在对新生事物不断调整监管策略当前,AIGC相关的法律规定和监管要求不断推出新规,且当前现有的法规中仍有较多需要进一步明确的模糊地带,如内测阶段的AIGC产品是否需要完成算法备案和安全评估工作、使用现有作品进行算法模型训练是否构成合理使用、使用境外开源模型进行训练是否会影响算法备案的成功进行等。同时,我国的部分法律法规存在超前性,对于当前发展阶段的AIGC产品应用难度较大;且规定文本使得AIGC开发者难以理解,从而导致无法有效完成内部的自评估工作及其他合规风险排查工作。此外,监管措施也在不断调整。如针对AIGC产品的安全评估工作,也一直在调整。(3) 涉及法务、技术、运营多部门配合,协作仍然是难点由于AIGC涉及的风险模块具有跨领域的特点,需要法务、技术、运营等多部门相互配合,如算法备案工作一般由法务部门牵头,但是其中需要提交的算法机制等材料需要技术部门填写和回答,界面设计等问题需要运营部门协助解决。在我们经手的项目过程中,公司内部各部门的配合和沟通仍是一大难点,特别是由于技术和运营部门对AIGC相关法律法规的理解有限,法务部门则对算法及模型本身训练和机制等的不熟悉,导致产出的算法备案材料存在答非所问的情形,需要多次、反复沟通和修改。2、风险排查的建议(1)聘请跨领域、有成功经验的AIGC合规团队首先,对于一般推出AIGC产品的企业来说,只依靠内部的法务和其他部门很难完美地完成算法备案、安全评估等风险排查中的核心工作。因此,聘请跨领域且有成功经验的AIGC合规团队,有助于快速梳理和评估企业现有的合规风险,提出响应的合规整改建议,并提供后续算法备案、安全评估等工作所需要的材料,从而帮助企业快速上手风险排查工作,同时跨领域的特征将帮助解决风险的跨模块性和内部跨部门过高的沟通成本问题,有效且高效地完成风险排查。(2)参考AIGC产品合规上架指引,建立符合自身AIGC产品特点的风险排查方案每个企业的AIGC产品都具有自身特色,例如在算法功能上,部分AIGC产品在基础的智能生成功能之上包含语音识别功能,或换脸,或图像增强等不同功能;而且,不同的AIGC产品在训练数据的来源上也存在差异性。因此,构建风险排查方案的第一步是针对特定的AIGC产品开展评估工作,了解不同AIGC产品的特点,梳理对应的合规要求,从而建立起符合此AIGC产品特点的风险排查方案。具体风险排查方案的制定方法和流程,可以参考北京植德律师事务所AIGC合规组所即将发布的《AIGC产品合规应用商店上架指引1.0版》。(3)建立AIGC动态合规体系,关注全球AIGC监管趋势,预测我国趋势AIGC产品的风险排查工作不应是单次性的,由于法律法规快速变化的特点,需要企业高度关注AIGC法律法规和行业动向,建立自身的AIGC动态合规体系,参照新规、新动向对自身合规体系及时调整。此外,全球AIGC的监管趋势也对于我国AIGC监管的发布具有引导作用,如2023年3月意大利等国监管机构陆续对OpenAI公司提出了合规整改建议,明确了在训练数据等方面的模型信息披露要求,而我国在5月即出台了生成式人工智能的《征求意见稿》,7月正式出台了《暂行办法》,并于8月正式施行。若企业关注到了此前国外监管机构对训练数据等模型越来越高的监管要求,可以提前布局到内部的合规体系建设,提前梳理企业AIGC产品的训练数据来源,从而在《暂行办法》出台提高对训练数据的收集等合规要求后快速布局和整改,也有助于通过算法备案和安全评估工作。上述AIGC法律法规、行业动态以及全球监管趋势,可以通过北京植德律师事务所AIGC合规组每月推出的人工智能月报长期关注。
LCOUNCIL 活动预告
