《生成式人工智能服务管理暂行办法》新规解读

2023年7月13日，国家互联网信息办公室、国家发展和改革委员会、教育部、科学技术部、工业和信息化部、公安部、国家广播电视总局共同发布了《生成式人工智能服务管理暂行办法》（以下简称“《暂行办法》”或“新规”），该办法将于2023年8月15日正式生效。《暂行办法》在2023年4月11日发布的《生成式人工智能服务管理办法》（征求意见稿）的基础上进行了修改，是我国关于生成式人工智能的重要立法之一。该办法与《互联网信息服务算法推荐管理规定》和《互联网信息服务深度合成管理规定》共同构成人工智能和算法领域的重要监管规定。此外，国务院办公厅在2023年5月31日发布的《国务院2023年度立法工作计划》中也明确提到了人工智能法草案。本文将从适用范围、监管路径、监管衔接、内容合规、数据合规、外资准入等多方面对《暂行办法》进行要点解读。

 

 

人工智能产业主要可以分成四类参与者：研究开发者、设计制造者、应用部署者（服务提供者）和用户（服务使用者）。纵观整个新规，本次监管主要集中在应用部署者的层面。

 

新规第2条第1款“利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务（以下称生成式人工智能服务），适用本办法。”明确了适用主体。第3款“行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等研发、应用生成式人工智能技术，未向境内公众提供生成式人工智能服务的，不适用本办法的规定。”对于特定组织机构自行应用但不对外提供服务的做了例外规定。

 

新规在附则部分对“生成式人工智能服务提供者”进行了定义，“是指利用生成式人工智能技术提供生成式人工智能服务（包括通过提供可编程接口等方式提供生成式人工智能服务）的组织、个人”。也就是说服务提供者实际上可以分为两类，第一类是基于特定场景直接提供人工智能服务的提供者，例如ChatGPT、Midjourney等AIGC产品的应用部署者；第二类是利用API等可编程接口间接提供人工智能服务的提供者，这一类目前在市场上更为普遍，例如通过GPT4模型开发各类插件Plugin向用户提供服务的应用部署者。

 

新规第4条为生成式人工智能服务的提供者和使用者同时设定了监管框架，就该两主体应当遵循的原则进行了列举式规定。也就是说新规的监管虽然集中在服务提供者层面，但同时也对使用者进行了约束。其中涉及到对内容进行实质性审查、对敏感信息的预防措施、对知识产权、商业秘密进行保护、防止侵犯他人合法权益等。新规将生成式人工智能服务内容的准确性及可靠性作为监管要点，可见未来生成式信息的内容实质性将作为监管重点，人工智能服务提供者将采取何种手段达到上述要求、如何尽到最大注意义务将会是规制的重点之一。

 

 

新规第3条规定，对生成式人工智能服务实行包容审慎和分类分级监管。第16条进一步对分级分类的适用领域、制度监管方式及出台相应的监管指引标准进行了规定。虽然在目前的新规中未就各领域的规制措施进行详细规定，但值得借鉴的是欧盟《人工智能法案》，根据该法案，AIGC技术根据风险评估可分为四类，即“不可接受的风险”（Unacceptable Risk）、“高风险”（High Risk）、“有限风险”（Limited Risk）以及“低风险”（Low and Minimal Risk）。不同风险对应不同的监管措施：如被评估为“不可接受的风险”的人工智能技术将被严格禁止并附加高额处罚，被评估为“高风险”的人工智能技术将遵守完整的全流程风险管理措施并接受全生命周期的评估，被评估为“有限风险”的人工智能技术需要履行公开透明的义务，而对于低风险技术则不施加任何义务。未来的分类分级监管细则将成为人工智能监管的重要路径之一。

 

 

新规第7条就训练数据处理活动应当遵循的义务进行了列举式规定：“（一）使用具有合法来源的数据和基础模型；（二）涉及知识产权的，不得侵害他人依法享有的知识产权；（三）涉及个人信息的，应当取得个人同意或者符合法律、行政法规规定的其他情形；（四）采取有效措施提高训练数据质量，增强训练数据的真实性、准确性、客观性、多样性；（五）《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律、行政法规的其他有关规定和有关主管部门的相关监管要求。”分别强调了数据来源合法性、知识产权合法性、个人信息保护合法性，此外提出了数据质量的要求，最后以三大上位法（网络安全法、数据安全法、个人信息保护法）进行总括。

 

 

新规第4条就相关主体提供和使用生成式人工智能服务的过程中应尊重知识产权、尊重人格权等其他权益提出要求，第7条要求在数据训练过程中不得侵犯知识产权，第14条对内容违规提供了救济措施。

 

新规承接《互联网信息服务深度合成管理规定》的相关规定，在第12条中提出了服务提供者应对图片、视频等生成内容进行标识的要求。新规再次聚焦网络信息安全监管义务，继续要求服务提供者在相关的人工智能生成内容中，履行添加可识别水印或有效警示信息的义务，从源头上实现人工智能生成内容的可识别性。

 

 

在新规的监管框架下，算法设计、训练数据选择、模型生成和优化、提供服务等算法的全生命周期中均明确应采取措施防止算法歧视，同时在已有法律法规规定的情况下，尊重知识产权、商业道德，保守商业秘密，不得利用算法、数据、平台等优势，实施垄断和不正当竞争行为也是应尽的合规性义务。

 

新规第17条规定，提供具有舆论属性或者社会动员能力的生成式人工智能服务的，除应按照国家规定开展安全评估，还需按照《互联网信息服务算法推荐管理规定》履行算法备案。相关主体在进行算法备案前，就需要落实企业的算法安全机构设置及安全管理制度。

 

 

新规第20条规定，“对来源于中华人民共和国境外向境内提供生成式人工智能服务不符合法律、行政法规和本办法规定的，国家网信部门应当通知有关机构采取技术措施和其他必要措施予以处置。”目前ChatGPT采用了主动屏蔽等措施不向大陆用户提供服务，此外也有境外服务提供者在积极寻求本地化部署的方式，以服务我国的监管框架。

 

新规第23条规定，“法律、行政法规规定提供生成式人工智能服务应当取得相关行政许可的，提供者应当依法取得许可。外商投资生成式人工智能服务，应当符合外商投资相关法律、行政法规的规定。”目前法律法规并未对提供生成式人工智能服务设定行政许可或外商准入限制，建议主管部门尽快根据未来分类分级监管的原则，完善外商准入的规则。

 

 

《生成式人工智能服务管理暂行办法》在促进创新发展与防控风险之间寻求平衡，构建了一套重要的生成式人工智能服务监管规范体系。新规遵循包容审慎、分类分级的原则，明确了服务提供者和使用者的监管边界。在内容合规、数据合规、算法合规等方面提出了详细要求。这为规范生成式人工智能行业发展提供了重要遵循，有助于促进技术健康有序应用。后续还需要进一步完善分类分级和准入管理制度，以适应行业快速发展的需要。总之，《暂行办法》的出台是我国构建人工智能治理规则的重要一步，对引导行业良性发展具有关键作用。

 

---

特别声明：

大成律师事务所严格遵守对客户的信息保护义务，本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考，不代表大成律师事务所任何立场，亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源。未经授权，不得转载或使用该等文章中的任何内容。