探寻合规之道,共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。
点击 "合规社" > 点击右上角“···” > 设为星标⭐
嘉宾 |
竞天公诚律师事务所
朱垒律师
责编 | 合规社 Cherry
自2022年末生成式人工智能在全球引发巨大波澜后,以ChatGPT为代表的先进大模型已然引领着科技创新与产业升级的潮流,为全球经济带来了全新动力。我们可以看到,AI 技术正迅速渗透到社会的各个角落,从医疗健康到金融服务,从自动驾驶到智能家居,其应用日益广泛。
AI技术的不断发展与普及,诸多问题也接踵而至。知识产权侵权、数据隐私保护、算法偏见治理、伦理道德冲突等方面的挑战逐渐凸显,给传统监管体系带来了巨大压力。并且,AI 对社会经济、文化伦理乃至国际秩序的影响也越发深远。面对这些情况,加强 AI 立法与监管,构建安全、可信、可持续的 AI 生态系统,已然成为全球共识。
就人工智能安全合规的话题,本期邀请到竞天公诚律师事务所朱垒律师进行
全球人工智能安全合规治理概览与实务分享
。
朱律师持有法学硕士学位、法学学士学位、经济学学士学位,同时持有律师执业资格证、CIPP/E、CIPM、FIP、AIGP、ISO/IEC 27701:2019 Implementation Expert认证。朱律师是IAPP会员及中国区核心志愿者,CSA隐私科技工作组专家成员。朱律师先后在多家头部互联网公司从事隐私保护与数据安全工作,是《网络音视频服务数据安全指南》主要起草人,参与多部行业相关立法研讨与国家标准制定,如《网络安全技术 生成式人工智能安全基本要求》等,团队编著有《生成式人工智能法律合规手册》。
朱律师的执业领域为网络与数据法、TMT合规、科技法律事务,目前已为多家企业提供人工智能法律服务,包括大模型备案、算法备案、科技伦理等相关服务。
朱律师在直播中详细讲解了人工智能全球和中国的监管动态、人工智能合规要点。此外,朱律师还分享了在实务过程中遇到的问题及解决方法。
以下为依据
朱垒
律师《
全球人工智能安全合规治理概览与实务分享
》直播整理的部分回顾。
2023年12月18日,国际标准化组织(ISO) 发布了标准ISO/IEC 42001:2023《信息技术-AI-管理体系》。
该标准旨在为组织内部建立、实施、维护和持续改进AI管理系统提供要求和指导。该标准适用于任何提供或使用AI系统产品和服务的组织。
除此之外,各个相关的国际组织也发布了一些关于AI原则性的内容。
比如,
2023年12月21日,联合国AI咨询机构公开征求公众对其发布的临时报告《为人类治理AI》的意见。
该报告探讨了AI面临的各种风险,包括偏见深伪技术、缺乏透明度、监管工作分散以及效益利用不足等问题。
2024年5月,欧洲委员会发布《Council of Europe Framework Conventionon Artificial Intelligence and Human Rights, Democracy and the Rule of Law》(《人工智能与人权、民主和法治框架公约》(CETS225))。
这是首个具有法律约束力的人工智能国际条约。已经有欧盟、美国、英国、安道尔等11个国家和地区签署了这份公约。该公约从2019年开始启动相关编制工作,是由欧洲委员会,而不是由欧盟委员会制定的。
美国
2
023年1月,经过两次征求意见,美国国家标准与技术研究院NIST正式发布《人工智能风险管理框架》(第一版)。
该框架可由相关机构自愿选择使用旨在提供设计、开发、部署和使用人工智能系统的指南,增强人工智能可信度,降低人工智能技术应用的风险。
2023年10月30日,美国总统拜登签署了《关于安全、可靠和可信赖地开发和使用人工智能的行政命令》。
该行政令为A的安全性和可靠性设立了新的标准,旨在保护个人隐私,促进平等和保障民权,维护消费者和工人的权益,促进创新和竞争,推动美国在全球的领导地位等。
2023年12月22日,美国众议员提出了《AI基础模型透明法案》。
该法案的目的是为AI基础模型的部署者制定透明度标准,保护小型部署者,并提高可解释性,使消费者能够就模型使用和版权问题做出知情决策。
2023年3月16日,美国版权局发布了“包含AI生成元素的作品的《版权注册指南》
,对含AI生成元素作品相关的版权登记问题提供指引。USCO重点强调了只有当作品包含人类创作因素时,该作品才能够受到版权保护。
2024年10月24日,美国总统拜登发布了首份关于人工智能的国家安全备忘录。
该备忘录强调了AI在国家安全和外交政策中的重要性。
在州层面,目前美国有一些州已经正式颁布了跟AI相关的一些法律文件。比如说,
2024年5月17日,美国科罗拉多州参议院24-205号法案《与人工智能系统互动中的消费者保护法》
。由州长签署并成为法律,成为美国第一部监管AI算法歧视的州法。
2024年9月,美国加州也发布了一系列AI 相关法案,涉及到消费者隐私的领域,人工智能领域、医疗保健领域。如,
美国加州发布《生成式AI:训练数据透明度》
:要求开发者在2026年的1月1号以及之后每一次有发布实质性更新人工智能的系统或服务的时候,必须要在网站上明确的公开训练数据详细的文档,包括数据集的来源、用途、版权信息以及是否包含个人信息等。
欧盟
2024年5月21号欧盟理事会正式批准了《人工智能法案》
,7月份正式发布,8月1号正式生效。其中有部分条款有24个月的过渡期。
欧盟《人工智能法案》作为全球的第一部综合性的人工智能立法,有非常显著的特征。采取了风险分级与角色划分的治理路径,将人工智能分为四类七级,并针对不同角色提出对应的合规义务。除此之外,
欧盟《人工智能法案》
还特别提出了通用人工智能模型界定维度及合规要求。
为了推进
《人工智能法案》
实施,欧盟委员会相关机构也在不断的推出AI标准文件,如:
2024年10月24日,欧盟委员会联合研究中心(IRC)发布了关于EUAIA 协调性标准的政策简报。
AI标准以支持EU AIA实施。覆盖10大方面:AI风险管理、数据治理和质量、记录留存透明度、人类监督、准确度、稳健性、网络安全、质量管理、符合性评估。
《人工智能法案》
的适用范围,像GDPR一样适用范围非常广:
-
在欧盟境内将投人工智能系统投放市场或投入服务,或将通用人工智能模型投放市场的提供者,无论这些提供者是设立于还是位于欧盟境内或者第三国;
-
在欧盟境内设立经营场所或位于欧盟境内的人工智能系统部署者:
-
在第三国设立经营场所或位于第三国的人工智能系统提供者和部署者,但其人工智能系统产生的输出在欧盟使用;
-
-
以自己的名称或商标将人工智能系统与其产品一起投放市场或投入服务的产品制造商;
-
-
位于欧盟境内的受影响者。
法国
法国人工智能监管文件侧重于数据保护主题,更多基于 GDPR 的要求落实最小化的原则,透明度的原则,可解释性等要求。
2022年4月,为了平衡法国与欧盟的法律法规,
法国数据监管机构CNIL发布了《人工智能如何遵守通用数据保护条例》指导文件
,基于GDPR指导企业开展人工智能系统成熟度自我评估。文件指出,企业应当遵循数据最小化原则、透明度原则、可解释原则、保障用户权利、规定数据保存期限,并详细列举了企业为了遵循上述原则可以采取的措施及具体业务场景下的最佳实践。
2024年4月,CNIL发布《人工智能系统开发的数据保护指南》。
指南基于人工智能系统开发过程中的个人数据处理问题,适用主体既包括企业也包括公共部门。指南强调,基于个人数据的人工智能系统必须具有明确的目的,开发者应当明确其在数据处理过程中的角色及自身责任,处理个人数据应当具备合法性基础并遵循最小化原则。
新加坡
新加坡目前没有一个统一的人工智能法,只有相关行业机构些等发布的指南或者框架供企业参考。
2019年1月,新加坡个人数据保护委员会与新加坡信息通信媒体发展局正式提出
亚洲首个人工智能模型治理框架
,又于2020年1月更新了
《人工智能模型治理框架(第二版)》
,为人工智能技术管理提供建议涉及内部治理、决策模型、运营管理、客户关系管理等方面。框架的指导原则包括可解释性原则、透明度原则、对消费者公平原则以及以人为本原则。
2024年5月,新加坡AIVerifv基金会和IMDA共同制定了《生成式人工智能治理模型框架》。
该框架从问责、数据、可信开发和部署、事件报告、测试和保证、安全性、内容来源、安全与协调研发、人工智能造福公众等九个方面针对培育可信的生成式人工智能生态系统提出建议。
2024年年10月,新加坡网安局也发布了AI 系统安全指南。
指南更侧重于AI 整个开发生命周期中如何落实安全措施防范相关网络安全的风险,包括整个全生命周期的规划要求。指南文件当中先给出了在AI模型当中训练模型,应用场景,数据,算法,底层基建软件面临数据投毒,脆弱性等等方面的问题如何去解决,指南也给出了详细内容。
香港
2021年8月,香港个人资料私隐专员公署(私隐专员公署)出版了《开发及使用人工智能道德标准指引》
。指引建议开发及使用A系统时,机构应采纳3项数据管理价值和7项AI道德原则。
2024年6月11日,香港个人资料私隐专员公署(私隐专员公署)发布《人工智能 (AI):个人资料保障模范框架》。
该框架基于一般业务流程,向采购、实施及使用任何种类的AI系统的机构,就保障个人资料私隐方面提供有关AI管治的建议及最佳行事常规。
日本
日本无专门的AI法律,部门法中涉及一定的原则性规定,如日本《著作权法》,在自动驾驶、健康医疗领域颁布有对应的开发指引或文件。
2019年3月,日本制定了《以人为本的人工智能社会原则》
,旨在确保在促进AI利用的过程中不被滥用。
2024年1月,日本人工智能战略委员会于2024年1月发布了《人工智能运营商指南(草案)》
,按照不同主体(研发者、提供者、使用者)提出了对应的行为指南。
2024年4月,日本总务省和经济产业省联合发布的《AI业务指南》(AIGuidclincs forBusincss)
,旨在为使用AI的企业提供统一的指导原则,以促进AI的安全和可靠使用。
巴西
2024年12月,巴西人工智能临时委员会积极批准了第七版巴西人工智能法案
,下一步会正式提交到众议院去审议。
巴西会是继欧盟之后的第二个发布统一人工智能立法,整体采取了欧盟统一立法模式。治理思路是基于风险分级或者风险等级的治理进度。
韩国
韩国目前无专门的人工智能立法。
2022年,提出《促进人工智能产业和建立可信人工智能框架法案》
,目前正在审议中。
2023年,韩国个人信息保护法PIPA修正案增加了人工智能公司导致个人信息泄露的责任。
2023年8月,韩国PIPC发布《人工智能时代个人信息安全使用指南》
,旨在为企业提供人工智能领域个人信息保护的指引。
2024年5月,韩国PIPC以检查和纠正令的方式,要求多家人工智能企业(包括OpenAI、Googe、Meta)落实要求。
2024年7月,韩国PIPC正式发布《处理人工智能(AI)开发和服务中使用“公开数据”标准指南》
,说明大模型预处理和AI产品处理公开个人数据的标准,为企业提供参考。
中国人工智能安全监管法律文件
|
2021.9
|
《关于加强互联网信息服务算法综合治理的指导意见》
|
|
2021
.
12
|
《互联网信息服务算法推荐管理规定》
|
|
2023.1
|
《互联网信息服务深度合成管理规定》
|
|
2023.7
|
《生成式人工智能服务管理暂行办法》
|
|
2023.9
|
《科技伦理审查办法(试行)》
|
|
2023.8
|
《网络安全标准实践指南-生成式人工智能服务内容标识方法》
|
|
2023.12
|
《人工智能 面向机器学习的数据标注规程》(GB/T 42755-2023)
|
|
2024.3
|
《生成式人工智能服务安全基本要求》(TC260-003)
|
|
2024.4
|
《网络安全技术 生成式人工智能预训练和优化训练数据安全规范》(征求意见稿)
|
|
2024.4
|
《网络安全技术生成式人工智能数据标注安全规范》(征求意见稿)
|
|
|
《网络安全技术生成式人工智能服务安全基本要求》(征求意见稿)
|
|
2024.9
|
《人工智能生成合成内容标识办法(征求意见稿)》
|
|
2024.11
|
《关于开展“清朗·网络平台算法典型问题治理专项行动的通知》
|
国内AIGC行政处罚三个典型案例
案例1:
开山猴AI写作大师AI行政处罚
2024年5月29日,重庆市九龙坡区网信办发布稿件,称其依法对属地“开山猴”AI写作网站运营主体重庆初唱科技有限公司未尽到审核管理义务、履行主体责任不到位的行为作出行政处罚。经查,该企业运营的“开山猴AI写作大师”网站违规生成法律法规禁止的信息,未尽到主体责任义务,违反了《中华人民共和国网络安全法》《生成式人工智能服务管理暂行办法》等相关法律法规。九龙坡区网信办依据《中华人民共和国网络安全法》第六十八条的规定,给予其行政警告处罚,并责令该公司限期全面整改,加强信息内容审核,健全信息内容安全管理相关制度,暂停网站信息更新及AI算法生成式写作功能15日。
案例2:
“智聊BOT”
接入ChatGPT行政处罚案
2023年,广西桂林市公安局朝阳派出所作出了星公行罚决字[2023]00573号《行政处罚决定书》,认为桂林XX网络科技有限公司开发的“智聊BOT”小程序调用境外ChatGPT程序,未做网安备案公司运维的两个网站未做网安备案,网络安全制度不完善,未履行网络安全义务,根据《中华人民共和国网络安全法》第五十九条第一款对该公司进行警告。
2024年12月,南昌市网信办依法对属地网站“阿水AI”的运营主体南昌阿水科技有限公司存在内容审核管理不严、主体责任落实不到位等问题进行处置。经查,该企业运营的“阿水AI”网站违规生成法律法规禁止的信息,未尽内容审核的主体责任,违反了《中华人民共和国网络安全法》《生成式人工智能服务管理暂行办法》等相关法律法规。
12月2日,南昌市网信办依据《中华人民共和国网络安全法》《生成式人工智能服务管理暂行办法》等法律法规,对南昌阿水科技有限公司下达了《责令限期改正通知书》,责令立即关停相关服务,并对照相关法律法规开展自查整改,加强信息内容审核,健全信息内容安全管理相关制度。
生成式人工智能服务中的两种角色
服务提供者:指利用人工智能技术提供服务的组织、个人。
技术支持者:指为人工智能服务提供技术支持的组织、个人。
生成式人工智能服务监管三大手续
|
服务备案
|
算法备案
|
科技伦理审查登记
|
|
何时履行
|
产品上线前
|
产品上线后10个工作日内
|
科技伦理审查评审完成后30日内
|
|
不履行影响
|
产品无法上线,与下游合作存在障碍,被处罚的风险
|
在架产品可能受影响、新产品上线可能受阻、被处罚风险
|
企业可能被追究民事、行政、刑事责任
|
|
监管部门
|
省级网信部门初审,中央网信部门复审
|
|
|
|
复杂程度
|
复杂(实质审核)
|
适中(偏形式审核)
|
适中(形式审核)
|
|
审核时间
|
3个月左右
|
2个月左右
|
登记即完成
|
生成人工智能服务备案:
需要在产品上线前进行相应的备案手续。开展大模型备案有一定的适用情形,并不是所有的企业都需要办大模型的模型手续,手续整体来说比较复杂。
算法备案:
产品上线后10个工作日内办理,在架产品可能受影响、新产品上线可能受阻、被处罚风险。办理相关手续难度适中。
科技伦理登记:
科技伦理审查评审完成后30日内,
目前头部企业有开展这样的工作,主要是内部建立相应的科技伦理审查委员会,委员会相关的组成人员有相应的要求,科技伦理审查委员会需要在系统上做登记,难度适中
五种不同大模型研发应用模式
|
1
|
自行研发大模型
|
|
2
|
在开源模型或商业模型基础上进行二次开发
|
|
3
|
接入第三方大模型能力或产品
|
|
4
|
购买第三方大模型产品供员工使用
|
|
5
|
员工个人购买第三方大模型产品用于工作
|
|
自研大模型
|
|
1.语料安全:来源合规(知识产权、个人信息、爬虫、违法有害内容等)数据质量、标注规范。
2.模型安全:设计、研发(反歧视)、部署、迭代、废弃。
4.服务安全:服务透明度、服务连续性、内容标识、用户数据保护、输出内容知识产权、
未成年人保护、反馈机制。
|
|
二次开发大模型
|
|
1.不使用未通过服务备案的大模型作为基础模型,如境外的大模型。
2.如使用开源基础模型,需遵守相应开源许可证的要求;如使用商业基础模型,应通过协议
合理约定二开模型知产归属、双方权利义务和责任。
3. 对基础模型进行安全评估,扫描漏洞等安全问题,防范未经授权的访问和恶意攻击。
4.使用特定语料对基础模型进行微调,需遵循语料安全要求,自包括来源合规、数据质量
标注规范等,以及个人信息保护、知识产权的相关要求。
6.遵循政府手续要求,申请服务备案与算法备案,但如仅对模型的关键参数进行微调和优
化,未对训练语料、算法、安全措施等进行调整,则无须重复开展服务备案,但根据不同
地方监管要求,
可能需开展服务登记工作。
|
|
接入第三方大模型
|
|
1.不接入未通过服务备案的大模型作为基础模型,如境外的大模型。
2.接入前对模型进行安全合规测评,核验安全自评报告。
4.第三方大模型产品前端明确展示为“由第三方大模型提供AI能力/提供AI服务。
6.根据情况办理算法备案手续(生成合成类算法服务提供者备案)或要求第三方产品页面显著
展示算法备案号。
7.根据不同地方监管要求,可能需开展服务登记工作。
|
|
员工使用第三方大模型
|
|
1.不宜使用境外的大模型产品,避免因VPN、数据出境等问题导致企业受罚。
2.根据公司内部职能划分与风控策略,明确禁止或限制使用大模型产品的岗位清单与人员.
3.提示员工大模型产品及生成内容的辅助性,要求员工仅将大模型生成内容用于辅助工作,
不可完全依赖模型生成结果,强调员工对工作结果负最终责任。
4.如企业统一购买大模型产品账号用于员工办公之用,应明确账号使用规范,禁止账号转租、
转借等违规操作行为.
5.通过技术管控、制度约束、教育培训等方式,引导、规范、限制、审核员工使用第三方大
模型产品的行为,禁止输入财务、战略以及用户个人信息等敏感数据,重点防范数据出境、
泄露商业秘密或个人信息、生成和传播违法有害信息等风险。
6.如员工将大模型产品生成内容用于工作,应事先得到公司批准,并对具体生成内容进行审
核,防止侵权和违法有害内容传播。
|
注:本文仅呈现了直播分享的部分片段。对于AI安全合规领域的深入探讨和交流,可联系朱垒律师,以获取更详尽的见解和专业建议。
电话:021-2613 6141 手机:135 8595 0801
电邮:[email protected]
📖 推荐阅读:直播精华整理合集
