7月13日下午,国家网信办联合六部门发布了《生成式人工智能服务管理暂行办法》(以下简称《暂行办法》),并同时发布了关于该暂行办法的答记者问。相较于4月11日发布的《生成式人工智能服务管理办法(征求意见稿)》(以下简称《征求意见稿》),本次正式的《暂行办法》无论是在法规文本措辞、监管侧重、监管方式和灵活性上都体现了一定的变化。本所数据合规和网络安全团队第一时间带来《暂行办法》相较于《征求意见稿》的主要变化解读,希望借以探讨我国目前人工智能领域监管风向的变化和趋势,仅作抛砖引玉。

1. 《暂行办法》出台背景

众所周知,近年来人工智能领域发展迅猛,以ChatGPT为首的大语言模型百花齐放,训练神经网络所需的高端GPU加速芯片市场不断扩大,AI绘图等工具层出不穷,以上人工智能相关领域无不建立在巨量数据的基础之上。而为了应对不断变化的技术发展和市场情况,我国近年来的数据与网络安全监管也同样呈现速度快、针对性强的态势。这种监管策略在本次《暂行办法》的发布中体现地淋漓尽致,即《征求意见稿》和《暂行办法》的发布仅间隔3个月,并且正式规定出现了许多针对性的变化。而这种监管策略同样也体现在我国数据与网络立法监管的其他方面,例如2021年《个人信息保护法》生效时,第三十八条规定的个人信息出境路径还处于“无法可依”的状态,但仅在一年多之后数据出境安全评估、个人信息保护认证、个人信息出境标准合同的具体实施细则便均已生效。

在国家网信办发布的就《暂行办法》的答记者问中,有关负责人提到《暂行办法》出台的考虑之一便是坚持目标导向和问题导向,明确促进生成式人工智能技术发展的具体措施,规定生成式人工智能服务的基本规范。《暂行办法》针对性的监管对于贯彻《网络安全法》、《数据安全法》、《个人信息保护法》等上位法有着重大意义,同时对我国境内的生成式人工智能产品和服务有着深远影响。

2. 《暂行办法》的主要变化

相较于《征求意见稿》,本次《暂行办法》的变化可以归纳为法条文本形式的变化和监管内容的实质性变化。文本形式的变化是显而易见的,抛开法条的顺序安排和条目变化不谈,首先是在《征求意见稿》的基础上增加了章节的划分,使整个规定的逻辑更加清晰,其次是在第二章的“技术发展与治理”部分中新增了对生成式人工智能技术的鼓励性宏观政策,同样有值得关注之处。有关上述宏观性政策的解读请见本文第三部分。

《暂行办法》的重头戏在于监管内容的实质性变化。本文认为,《暂行办法》相较《征求意见稿》,有三个重大变化:

1) 取消生成式人工智能服务的实名要求

《征求意见稿》的第九条规定提供生成式人工智能服务应当按照《网络安全法》的规定,要求用户提供真实身份信息,本文认为该条的立法目的实质上是要求使用生成式人工智能服务需要进行实名认证或保存用户档案方便后续追究用户违法使用生成式人工智能的行为。

但该要求存在诸多不合理之处,首先目前市场上的生成式人工智能服务有大量来自境外,要求境外的服务提供者满足该要求涉及“长臂管辖”的问题,合理性和可执行性存在不确定因素。并且境外服务提供者收集境内用户真实身份信息势必涉及到个人信息出境问题,甚至可能涉及身份证号等敏感个人信息,监管复杂性和难度加大。最后,一刀切式的要求用户提供真实身份信息也会增加生成式人工智能服务提供者的成本,特别是对于一些规模较小的提供者来说,此举将增加合规负担,同时提高了安全保障的技术成本和管理成本。

因此《暂行办法》相较于《征求意见稿》,取消了用户提供真实身份信息的要求,在现阶段更加合理。当然,结合《征求意见稿》所体现的立法思路和近年来数据和网络安全监管态势,不能排除未来会重新要求用户使用生成式人工智能需要提供真实身份信息。

2) 新增针对境外服务提供者的监管手段

《暂行办法》第二十条规定,对来源于境外向境内提供生成式人工智能服务不符合法律、行政法规和本办法规定的,国家网信部门应当通知有关机构采取技术措施和其他必要措施予以处置。本文认为该条是《暂行办法》最重要的变化之一,体现了“中国式”人工智能监管的灵活性和针对性。目前生成式人工智能服务提供者大多来自境外,且通过网络提供服务无需在我国境内设立实体。此前的《征求意见稿》并未针对境外和境内的提供者加以区分,虽然从法规层面同样可行,但在某种程度上这会忽视市场格局,增加法规在实操层面的局限性。

因此,本次《暂行办法》第二十条新增的针对境外提供者的实质监管手段是一大进步。如上所述,大多数境外生成式人工智能提供者都没有境内设立的实体,即使《征求意见稿》根据第二条适用于境外提供者,针对违规的境外提供者也缺乏在实践层面行之有效的监管手段,而《暂行办法》第二十条提供了实质性监管境外提供者的依据。尽管本文认为由国家网信部门“通知有关机构”并未最终的监管方案,但在现阶段无疑是针对以境外提供者为主的市场格局的最优解。同时第二十条在执行层面存在一定灵活性,例如“其他必要措施”的界定,“予以处置”的定义和“通知有关机构”中“通知”的形式等。所以不排除日后随着生成式人工智能市场的变化,针对境外提供者的监管手段会继续发生调整。

3) 罚则的修改

相比《征求意见稿》,《暂行办法》的另一大显著变化则是第二十一条规定的处罚措施的调整。除由有关主管部门按照上位法处罚外,《暂行办法》第二十一条相较《征求意见稿》第二十条取消了罚款,并移除了“责令终止提供服务”的处罚,因此整体处罚力度有所减轻。

本文认为罚则的修改同样在一定程度上反映了我国人工智能领域的监管对于市场环境的适应程度较高。针对境外生成式人工智能服务提供者,整体上目前缺乏行之有效的监管手段,施以罚款和责令终止提供服务更是无从谈起,因此规定较重的罚则无法带来较大的实际监管价值。在这种情况下,《暂行办法》第二十条提供了专门针对境外提供者的执行依据,相当于将部分处罚替换为了更具有实际价值的措施。而针对境内提供者,目前我国境内的生成式人工智能服务仍处于发展阶段,从监管角度考虑也不宜采用较重的罚则从而导致遏制我国人工智能技术发展,而这同样也符合《暂行办法》总体对生成式人工智能发展的鼓励性态度。

3. 《暂行办法》的其他变化

除了以上三个主要变化外,本文认为《暂行办法》某些其他的变化同样值得关注:

1) 生成式人工智能技术的宏观政策

《暂行办法》在第二章“技术发展与治理”中奠定了针对生成式人工智能技术鼓励性的监管基调,相关的答记者问也同样强调了这一点。本文认为除了鼓励生成式人工智能技术发展、生态建设、合法应用等整体宏观规定外,第六条提出的生成式人工智能基础设施和算力资源共享更值得关注。

大多数的生成式人工智能服务作为AI技术的延伸,技术框架与大语言模型类似,都是基于神经网络深度学习,而这全部基于以GPU芯片为主的AI加速芯片构成的人工智能基础设施和其产生的算力。目前AI加速芯片基本由美国芯片巨头所垄断,并且美国政府针对特定的高端芯片对我国实施禁止出口的管制措施。在此背景下,我国急需发展半导体芯片技术,加快人工智能基础设施建设,并进一步提高训练大模型所需的算力。此外第六条还规定了“鼓励采用安全可信的芯片、软件、工具、算力和数据资源”。其中不排除日后可能将国产芯片和境内生成式人工智能技术纳入“安全可信的芯片、软件“,并与《网络安全法》所规定的网络关键设备和网络安全专用产品目录进行结合。

2) 生成式人工智能技术定义发生变化

《暂行办法》重新规定了生成式人工智能技术是指具有文本、图片、音频、视频等内容生成能力的模型及相关技术,定义更加准确。

3) 新增主管部门的监管权力

《暂行办法》第十九条规定,有关主管部门依据职责对生成式人工智能服务开展监督检查,提供者应当依法予以配合,按要求对训练数据来源、规模、类型、标注规则、算法机制机理等予以说明,并提供必要的技术、数据等支持和协助。该规定实际上为监管部门的具体监管活动提供了实质依据,并且规定了提供者的配合义务。

4) 新增了个人信息保护的相关要求

5) 提供和使用生成式人工智能服务所禁止实施的行为中新增了实施垄断与侵害他人肖像权、荣誉权的行为

4. 结语

本文认为,《暂行办法》的出台标志了我国针对性、适应市场的监管模式在人工智能领域监管的一次成功适用,并且自其于2023年8月15日生效之日起将对在我国境内提供服务的生成式人工智能产生较为深远的影响。目前我国的《人工智能法》已经被纳入立法计划,因此随着人工智能相关立法的不断完善,不排除生成式人工智能监管将在《暂行办法》的基础上发生进一步变化,本所数据合规和网络安全团队也将持续关注。

(感谢张旭婷对本文所做的贡献)

Ansprechpartner

上海太平洋负责人,合伙人,知识产权,反垄断及竞争