《生成式人工智能服务管理暂行办法》(“管理办法”)在其征求意见稿发布后的短短三个月后,于2023年8月15日起施行。
亮点:
1· 作为中国首份生成式人工智能(“AIGC”)监管文件,管理办法体现了现阶段监管机构的态度,即“既要重视发展,也要重视风险”。整体而言,与征求意见稿的“严苛”相比,管理办法更为平衡和合理。
2· 管理办法从<征求意见稿>阶段的国家网信办独家发布,变为由国家网信办与国家发改委、教育部、科技部、工信部、公安部以及广电总局联合发布,一定程度体现了该等“暂行”办法在现阶段防范风险的重点领域。
然而,由于AIGC技术发展一日千里,管理办法在现阶段显然无法做到面面俱到,部分内容有待进一步厘清,比如分类分级监管的具体规则、“舆论属性和社会动员能力”的认定标准、外商投资AIGC行业的具体规定等。这也是为什么管理办法仅为“暂行”办法,相信不久的将来,各监管部门会与时俱进、陆续出台进一步的法律法规。
《生成式人工智能服务管理暂行办法》解析
1、适用范围
根据管理办法第二条的规定:
利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务(以下称生成式人工智能服务),适用本办法。管理办法第二条
这意味着境外AIGC服务提供者(无论是模型层还是应用层),无论是直接向境内提供相关服务,还是通过API接口或其他形式“封装”后提供“间接”服务,都将受限于管理办法的相关规定。
对于国内厂商而言,如果使用境外大模型或相关技术作为底层的技术支持,那么无论是否获得境外AIGC服务提供商的适当授权,都将面临两个主要问题:
· 该等行为是否将使境外服务提供商承担中国法下的连带责任(从而引发双方潜在的责任纠纷);
· 在利用境外技术的过程中,是否涉及数据的出境。
事实上,目前已有通过“封装”境外大模型牟利的创业者因涉嫌非法经营罪而被刑事拘留的案例,我们亦在4月的文章中提醒国内目前AIGC部分业务模式存在潜在的刑事风险。
不过,与征求意见稿不同的是,管理办法引入了一项“安全港”例外,即“行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等研发、应用生成式人工智能技术,未向境内公众提供生成式人工智能服务的,不适用本办法的规定”。因此,如果只是内部研发或者使用相关技术,不对外提供服务,则只要获得技术提供方的合适授权以及遵守网络安全、数据和个人信息保护等相关法律法规的要求,那基本上就是安全的。这一点也与接近正式版本的欧盟《人工智能法案》(Artificial Intelligence Act, 2021/0106)中提及的例外情形类似。
2、分类分级监管规则
根据管理办法第三条的规定:
对生成式人工智能服务实行包容审慎和分类分级监管。管理办法第三条
第十六条进一步规定:
国家有关主管部门针对生成式人工智能技术特点及其在有关行业和领域的服务应用,完善与创新发展相适应的科学监管方式,制定相应的分类分级监管规则或者指引。管理办法第十六条
虽然管理办法并没有进一步展开分级监管的具体规则,但预计相关内容会在即将出台的《人工智能法》中做出规定。
在欧盟的《人工智能法案》中,AIGC技术根据风险评估可分为四类,即“不可接受的风险”(Unacceptable Risk)、“高风险”(High Risk)、“有限风险”(Limited Risk)以及“低风险”(Low and Minimal Risk)。不同风险对应不同的监管措施,如被评估为“不可接受的风险”的人工智能技术将被严格禁止并附加高额处罚,被评估为“高风险”的人工智能技术将遵守完整的全流程风险管理措施并接受全生命周期的评估,被评估为“有限风险”的人工智能技术需要履行公开透明的义务,而对于低风险技术则不施加任何义务。在我国分类分级监管具体规则以及《人工智能法》出台之前,建议AIGC从业者可以参考欧盟标准进行风险评估并提前做好未来的合规准备。
3、服务提供者的义务和责任
在征求意见稿中,AIGC服务提供者被要求承担一项极其高的义务,即“保证数据的真实性、准确性、客观性和多样性”。考虑到AIGC技术开发的实际情况,管理办法做出了合理化的修改,即“采取有效措施提高训练数据质量,增强训练数据的真实性、准确性、客观性、多样性”。管理办法亦不再强制要求服务提供者对用户实行实名制。此外,征求意见稿曾要求服务提供者有义务在三个月内通过模型优化训练等方式防止再次生成不当内容,但考虑到AIGC产生不当内容的天然潜在持续性和不确定性,管理办法删除了该等义务,仅要求服务提供者及时优化模型并向主管部门报告。最后,在罚则部分,删除了“终止提供服务并处一万元以上十万元以下罚款”的规定。
不过,管理办法亦增加了部分新的义务,比如服务提供者应与用户签订服务协议明确双方权利义务,对用户违法活动的监督增加了“警示”、“限制功能”以及“保存记录”和“报告”的义务等。但该等新增义务均较为合理,不会显著增加服务提供者的额外负担。
4、安全评估和算法备案
征求意见稿曾无差别的要求AIGC服务提供者在对外提供服务前,按照《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》向国家网信部门申报安全评估,并按照《互联网信息服务算法推荐管理规定》履行算法备案手续。管理办法做出了显著的修改,明确只有“提供具有舆论属性或者社会动员能力的生成式人工智能服务”的服务提供者,才需开展安全评估和算法备案。虽然缩小了适用范围,但管理办法并没有进一步明确“具有舆论属性或者社会动员能力的生成式人工智能服务”的认定标准。从合理评估的角度来判断,结合《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》,新闻、社交、直播、教育、写作、聊天等AIGC相关技术被认定的可能性比较高。
5、境外服务提供者和外商投资
包括OpenAI在内的AIGC行业的境外厂商,无疑处于技术领先地位,境外投资者在该领域也更为活跃。管理办法首次原则性明确,“对来源于中华人民共和国境外向境内提供生成式人工智能服务不符合法律、行政法规和本办法规定的,国家网信部门应当通知有关机构采取技术措施和其他必要措施予以处置。”结合上述第一条的适用范围相关规定,对于“嵌套”、“封装”类型的境内服务提供者,将面临底层境外技术支持随时中断的风险。此外,管理办法首次指出,“外商投资生成式人工智能服务,应当符合外商投资相关法律、行政法规的规定”。
考虑当下AIGC相关外商投资的规定尚不明确,应当持续关注相关立法动态,且预计根据未来出台的分类分级监管规则,会适用不同的外商投资限制规定。