【专栏】 解读！生成式人工智能新规：明确了平台责任

作者 | 肖飒法律团队 来源 | 零壹财经专栏

近日，国家网信办、国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局等七个部门正式公布了《生成式人工智能服务管理暂行办法》（以下简称“《暂行办法》”），该办法将于2023年8月15日施行。此消息一出，代表着我国生成式人工智能领域的监管和规范框架的形成，对于该行业的发展有着重要的指导和监督作用，能够更好地促进生成式人工智能技术的革新和应用。

事实上，《暂行办法》在今年4月11日便以征求意见稿的身份登台亮相，飒姐团队也对此作出了简要评析。但当时毕竟仅处于征求意见状态，并非最后的成文，因而对于《暂行办法》的正式稿仍有加以说明和强调的必要。飒姐团队今日文章便对《暂行办法》进行解读分析，以供读者朋友们了解其中重点。

本次网信办发布的《生成式人工智能服务管理暂行办法》相较于《生成式人工智能服务管理办法（征求意见稿）》（以下简称《征求意见稿》）虽在整体体例上基本保持一致，但条文内容上作了较大的调整。飒姐团队将针对几个较为重要的改动点进行分析。

《暂行办法》

第二条 研发、利用生成式人工智能产品，面向中华人民共和国境内公众提供服务的，适用本办法。

本办法所称生成式人工智能，是指基于算法、模型、规则生成文本、图片、声音、视频、代码等内容的技术。

《征求意见稿》

第二条 利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务（以下称生成式人工智能服务），适用本办法。

国家对利用生成式人工智能服务从事新闻出版、影视制作、文艺创作等活动另有规定的，从其规定。

行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等研发、应用生成式人工智能技术，未向境内公众提供生成式人工智能服务的，不适用本办法的规定。

本次《暂行办法》相较于《征求意见稿》首先在规制对象上作了调整，规制目标更明确、针对性更强。根据《暂行办法》第二条，本法仅适用于利用生成式人工智能技术向中华人民共和国境内公众提供服务者，而不再适用于研究、应用人工智能技术、未向境内公众提供人工智能服务者。
这体现了国家对于生成式人工智能在研究与应用方面的支持与鼓励，而不以服务提供者的要求限制其发展。

《暂行办法》

第五条 鼓励生成式人工智能技术在各行业、各领域的创新应用，生成积极健康、向上向善的优质内容，探索优化应用场景，构建应用生态体系。

支持行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等在生成式人工智能技术创新、数据资源建设、转化应用、风险防范等方面开展协作。

第六条 鼓励生成式人工智能算法、框架、芯片及配套软件平台等基础技术的自主创新，平等互利开展国际交流与合作，参与生成式人工智能相关国际规则制定。

推动生成式人工智能基础设施和公共训练数据资源平台建设。促进算力资源协同共享，提升算力资源利用效能。推动公共数据分类分级有序开放，扩展高质量的公共训练数据资源。鼓励采用安全可信的芯片、软件、工具、算力和数据资源。

第三条 国家支持人工智能算法、框架等基础技术的自主创新、推广应用、国际合作，鼓励优先采用安全可信的软件、工具、计算和数据资源。

关于生成式人工智能的应用场景问题一直引人争议。本次《暂行办法》强调了人工智能技术的“应用”，即有目的性地发展人工智能，要将研究成果转化为生产成果，鼓励其与实际应用场景相结合，与各行业、各领域的需求相结合，提高人工智能投入的转化输出比。

本次《暂行办法》一方面提出了鼓励行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等应开展协作，在共建的基础上发展人工智能；另一方面提出了“公共数据”与“人工智能基础设施”的结合，在数据分类分级的前提下，扩展高质量的公共训练数据资源。这体现了国家对于生成式人工智能发展持看好的态度。企业之间的数据壁垒以及庞大公共数据的闲置，是生成式人工智能发展路程中的两个关键问题。以上规定若能得到落实，有望大幅扩展人工智能训练的数据库，极大促进我国人工智能的建设与发展。

第九条 提供者应当依法承担网络信息内容生产者责任，履行网络信息安全义务。涉及个人信息的，依法承担个人信息处理者责任，履行个人信息保护义务。

提供者应当与注册其服务的生成式人工智能服务使用者（以下称使用者）签订服务协议，明确双方权利义务。

无相关内容

本次《暂行办法》新增的第九条明确了生成式人工智能服务提供者的主体地位，即网络信息内容生产者。一方面，根据本条，其须承担相关的责任，并履行网络信息安全义务；另一方面，对其主体身份的强调也将其明确纳入了网络平台责任的规制范围内，而无灰色地带可躲。

此外，本条也强调了其个人信息处理者责任，并要求其应当与注册其服务的使用者签订服务协议，明确双方权利义务，以避免发生纠纷时责任不明。

《暂行办法》

第十条提供者应当明确并公开其服务的适用人群、场合、用途，指导使用者科学理性认识和依法使用生成式人工智能技术，采取有效措施防范未成年人用户过度依赖或者沉迷生成式人工智能服务。

第十条 提供者应当明确并公开其服务的适用人群、场合、用途，采取适当措施防范用户过分依赖或沉迷生成内容。

本次《暂行办法》增加了人工智能服务提供者的义务，要求其指导使用者科学理性认识和使用生成式人工智能技术，并将采取有效措施防止沉迷的对象由“用户”改成了“未成年用户”，一方面更具有针对性，响应了我国强调保护未成年人的号召；另一方面也给予了服务提供者更大的自由，对于“成年用户”则无须以强监管手段防止其过度依赖或者沉迷。

（五）处置措施

第十四条 提供者发现违法内容的，应当及时采取停止生成、停止传输、消除等处置措施，采取模型优化训练等措施进行整改，并向有关主管部门报告。

提供者发现使用者利用生成式人工智能服务从事违法活动的，应当依法依约采取警示、限制功能、暂停或者终止向其提供服务等处置措施，保存有关记录，并向有关主管部门报告。

第十五条 对于运行中发现、用户举报的不符合本办法要求的生成内容，除采取内容过滤等措施外，应在3个月内通过模型优化训练等方式防止再次生成。

第十九条 提供者发现用户利用生成式人工智能产品过程中违反法律法规，违背商业道德、社会公德行为时，包括从事网络炒作、恶意发帖跟评、制造垃圾邮件、编写恶意软件，实施不正当的商业营销等，应当暂停或者终止服务。

本次《暂行办法》明确了平台责任，并规定了相应的处置措施。一方面，提供者发现平台存在违法内容的，除原来规定外，还应当向有关主管部门报告；另一方面，提供者发现使用者利用人工智能服务从事违法活动的，除原来规定外，还应当保存有关记录，并向有关主管部门报告。以上规定的补充将报告纳入监管体系中，完善了监管链条，有利于打击违法活动，同时也与其他网络监管相关法律法规保持了体系一致性。

《暂行办法》第三章明确了向境内提供服务的生成式人工智能服务提供者的服务规范。以下归类重点的服务规范：

（一）网络信息安全义务（第九条和第十一条）

提供者应履行的“网络信息安全义务”需与《民法典》、《个人信息保护法》、《网络安全法》、《数据安全法》和《电信和互联网用户个人信息保护规定》中明确的权利、义务及法律责任结合解读。具体而言：

首先，《办法》将使用者的输入信息、使用记录纳入信息保护的范围之中。信息处理的“目的明确”和“最小化处理原则”自然也适用于此，即：（1）有明确且合理的目的、方式、范围，（2）限于实现处理目的的最小范围，不得过度收集个人信息。

其次，敏感个人信息的处理适用更严格的保护措施。我国法律对敏感信息的定义较为宽泛，即关于导致侵犯人格尊严或者危害人身、财产安全的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等，以及不满十四周岁未成年人的个人信息，因而提供者应及时识别敏感个人信息的范畴并予以重视。

另外，海外业已有服务提供者和使用者通过签订服务协议确定权利义务的先例，包括信息处理、知识产权归属等。然而，结合语境，此条应着重在服务协议中明晰信息处理的权责，即确保使用者业已充分知情并同意提供者的信息处理行为。

如前所述，如果提供者未能履行该义务，其将面临《网络安全法》、《数据安全法》、《个人信息保护法》等法律、行政法规下的相关处罚。

（二）标识人工智能生成内容（第十二条）

随着生成式人工智能技术日臻成熟，AIGC的应用不断扩大。然而，利用AIGC传递假新闻、诈骗的风险仍不可小觑。标识人工生成、深度合成的内容以避免误用、滥用及不法行为可以说是成本最低、从根本杜绝的方法。对此《暂行办法》明确规定应按照《互联网信息服务深度合成管理规定》进行标识，这就要求提供者采取技术措施添加不影响用户使用的标识，并依照法律、行政法规和国家有关规定保存日志信息，同时对可能导致公众混淆或者误认的服务，应当在生成或者编辑的信息内容的合理位置、区域进行显著标识，向公众提示深度合成情况。

（三）未成年人防沉迷（第十条）

与《征求意见稿》中圈定“成年人用户”不同的是，《暂行办法》仅要求防范未成年人防沉迷。这与《未成年人保护法》、《预防未成年人犯罪法》及《互联网信息服务算法推荐管理规定》（第十八条）中预防未成年人沉迷网络的要求一致，也放宽了对服务提供者的限制。

（四）反馈机制（第十三、十四、十五条）

设定反馈机制不仅保护了用户的权益，更一定程度地明晰了提供者的法律责任。具体而言，如果提供者未能提供投诉、反馈机制，提供者应负有责任；如果提供者提供该机制却不作为，提供者仍负有责任；如果提供者提供该机制，却因算力限制不能及时回应相关反馈，提供者的责任应不同于“不作为”，在一定程度上予以减轻或免除。

在生成式人工智能行业中存在着提供者、使用者、监管者以及中间机构四个角色。

提供者无疑处于监管的核心地位，其中尤其需要注意的是提供具有舆论属性或者社会动员能力的生成式人工智能服务的提供者。对于此类提供者，根据《暂行办法》第十七条的规定，需要按照国家有关规定开展安全评估，并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。如在此过程中提供者存在弄虚作假或是不按照规定履行程序的行为，则可能面临警告、通报批评、罚款的行政处罚，严重者甚至可能被责令关闭网站、吊销相关业务许可证或吊销营业执照。

此外，对于提供者而言，最应当警惕的是个人信息、数据安全及网络安全方面的法律风险，三者均要求提供者履行相关的安全保护义务，对个人信息、数据及网络予以一定保障，同时在提供服务的过程中确保个人信息和数据的来源合法、处理合法，并对于跨境数据予以重视，在提供者涉及跨境服务的情况下要求其遵守相关法律法规，否则根据《暂行办法》第二十、二十一条的规定，主管机构能够对其进行行政处罚，严重者甚至构成犯罪。

在此基础上，使用者承担了一定的监督责任。《暂行办法》第十八条明确了使用者的投诉、举报的权利，一旦发现生成式人工智能服务不符合相关规定，便能够向有关主管部门进行投诉、举报。

至于监管者和中间机构，其主要负责发挥监管和诸如安全评估等职能，本质上属于协助者的角色，其定位在于帮助行业健康成长。但也正因为其定位，在履行职责过程中必然会知悉一定的国家秘密、商业秘密、个人隐私和个人信息，故而根据《暂行办法》第十九条的规定，其相关机构和人员因而拥有一定的保密义务，不得泄露或者非法向他人提供。

近年来，我国人工智能领域立法密集，已经基本形成了相应的监管体系，但立法只是监管的第一步，行业要想健康稳定发展离不开执法者和诸多参与者的合力，只有各大参与者各司其职，依法而行，我国人工智能技术的应用才能在合法合规的基础上快速发展，走向繁荣。