迈向可信AI：一文读懂《生成式人工智能服务管理暂行办法》

Part 1

生成式人工智能服务的监管框架涵盖了多项法律、行政法规等规范性文件，构成了多层级、多角度的规范治理体系。

《暂行办法》适用于利用生成式人工智能技术，向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务。其中，利用生成式人工智能服务从事新闻出版、影视制作、文艺创作等活动应当依据其专门规定。因此，境外服务提供者在向中国境内直接或通过API接口等形式间接提供服务的，应当受到《暂行办法》的监管。

值得关注的是，《暂行办法》将行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等未向境内公众提供的生成式人工智能技术研发、应用行为排除在适用范围外。如果仅用于内部研发或应用，重点关注获得技术提供方的合法授权以及遵守网络安全、数据安全和个人信息保护等相关法律法规，适当减轻了模型训练阶段与公司内部运营的合规负担。

《暂行办法》提出国家坚持发展和安全并重、促进创新和依法治理相结合的原则，对生成式人工智能服务实行包容审慎和分类分级监管原则。

《暂行办法》充分体现了鼓励生成式人工智能创新发展的价值取向。随着生成式人工智能的迅速发展，其应用场景变得愈发丰富多样。《暂行办法》鼓励各行业深度结合、多方协作，从技术创新、数据资源建设、转化应用、风险防范等方面发挥创新作用。同时，我国在生成式人工智能相关算法、芯片等技术研发方面起步相对较晚。《暂行办法》鼓励生成式人工智能相关基础技术的自主创新，同时倡导平等互利的国际交流与合作，加强与其他国家的合作，共同推动生成式人工智能技术的发展。在资源方面，《暂行办法》鼓励资源共享，推动生成式人工智能基础设施和公共训练数据资源平台建设的措施，促进算力资源协同共享，提升算力资源利用效能。

《暂行办法》明确了生成式人工智能服务提供者（简称“提供者”）的范围，即利用生成式人工智能技术提供生成式人工智能服务（包括通过提供可编程接口等方式提供生成式人工智能服务）的组织、个人。需要注意的是，《暂行办法》不同于《深度合成规定》对于深度合成技术支持者、服务提供者与使用者的三分法，而是主要围绕提供者的行为构建了规范要求，并在责任设置方面进行了一定程度的限缩，更好地支持生成式人工智能服务的发展。

Part 2

《暂行办法》充分体现了包容审慎、鼓励发展的原则，强调国家坚持发展和安全并重、促进创新和依法治理相结合。从发文主体来看，《暂行办法》在征求意见稿的基础上，加入了国家发展和改革委员会、教育部、科学技术部、工业和信息化部、公安部、国家广播电视总局等部门。各行业主管部门的参与，充分体现了对生成式人工智能服务各类应用场景的考量，与当前数据合规“1+N”多元共治的监管架构一脉相承。此外，对于提供者的训练数据义务和模型改进义务的减轻，亦充分体现了包容审慎的原则。

《暂行办法》确定了分类分级监管的原则。一方面，《暂行办法》延续《网络安全法》《数据安全法》中的分类分级保护制度，提出促进公共数据分类分级有序开放，扩展高质量的公共训练数据资源。另一方面，有关主管部门将针对生成式人工智能技术特点及其在有关行业和领域的服务应用，完善与创新发展相适应的科学监管方式，制定相应的分类分级监管规则或者指引。

《暂行办法》限缩了履行算法安全评估和算法备案义务的主体。提供具有舆论属性或者社会动员能力的生成式人工智能服务的主体，应当按照国家有关规定开展安全评估。安全评估和算法备案的具体流程，与《算法规定》《深度合成规定》保持一致。

《暂行办法》明确提出，在内容管理方面，提供者作为网络信息内容生产者，应承担网络信息安全义务；涉及个人信息时，提供者还依法承担个人信息处理者责任，履行个人信息保护义务。

在训练数据方面，提供者具有处理合法性、满足质量要求、进行内容标识及算法纠偏与报告义务，以增强训练数据的真实性、准确性、客观性、多样性。在与使用者的权利义务关系中，提供者具有制定服务协议、构建合理使用与防沉迷机制、服务稳定性义务以及构建投诉举报处理机制的义务，以确保使用者能够有效使用生成式人工智能服务。另外，提供者还具有进行安全评估与算法备案、算法披露等监管义务。

行政法规和《暂行办法》规定，否则国家网信部门应当通知有关机构采取技术措施和其他必要措施予以处置。结合当下部分生成式人工智能服务提供者通过API直接调用境外人工智能模型的实践，企业在应用境外生成式人工智能服务时应当重视该服务可能产生的风险，按照《暂行办法》进行内部合规性评估，内部评估建议关注如下维度：

• 境外AIGC服务使用的业务场景；

• 网络安全和数据安全；

• 数据出境情况；

• 个人信息保护；

• 信息内容合规；

• 安全评估和算法备案。

《暂行办法》新增了关于外商投资的规定，即外商投资生成式人工智能服务，应当符合外商投资相关法律、行政法规的规定。目前，法律法规对于生成式人工智能服务本身并未设置外资准入限制，但若应用于《外商投资准入特别管理措施（负面清单）（2021年版）》中规定禁止进入的领域，则需要遵守相关规定。例如，《网络文化经营许可证》《网络出版服务许可证》《信息网络传播视听节目许可证》等资质存在外资限制或禁止的要求，若在该领域应用生成式人工智能服务可能会受到一定限制。因此，外商投资时应对于细分行业充分调研，了解投资项目应用场景对准入资质的具体要求。

在训练数据义务和模型改进义务上，《暂行办法》与征求意见稿相比更加包容审慎，摒弃了对于提供者“能够保证”训练数据真实性、准确性、客观性、多样性的严苛要求，转向为从训练数据来源方进行监管。其要求训练数据来源的合法性、不侵权以及数据质量，显著提升了合规的可行性。

《暂行办法》取消了征求意见稿对模型修改的时间限制，采取更务实的路径，规定提供者发现违法内容的，应当及时采取停止生成、停止传输、消除等处置措施，采取模型优化训练等措施进行整改，并向有关主管部门报告。

Part 3

当下生成式人工智能技术在各行业、各领域尝试创新应用，进而产生多样化的合作模式。实务中，AIGC的服务提供者可能引入第三方技术，以向服务使用者提供服务。在此情况下，企业应梳理清楚各方合作模式，比如以MaaS模式合作或私有化部署合作，进而对业务场景和数据流向进行明确界定，对应落实不同业务场景之下的主体义务。

除了《暂行办法》明确要求的合规性评估，企业应尽可能避免依据生成式人工智能内容直接进行决策或采取行动，重要事项上建议以对输出内容进行人工审核，并采取有效措施提高生成内容的准确性和可靠性。

提供者应当根据《深度合成规定》对生成的图片、视频等内容进行标识，制定符合要求的清晰、具体、可操作的标注规则；开展数据标注质量评估，抽样核验标注内容的准确性；对标注人员进行必要培训，提升尊法守法意识，监督指导标注人员规范开展标注工作。对使用其服务生成或者编辑的信息内容，应当采取技术措施添加不影响用户使用的标识，并依法依规保存日志信息。提供智能对话、合成人声、人脸生成、沉浸式拟真场景等具有生成或者显著改变信息内容功能服务的，应当在生成或者编辑的信息内容的合理位置、区域进行显著标识；提供非前述深度合成服务的，应当提供显著标识功能，并提示使用者可以进行显著标识。

服务提供者对使用者的输入信息和使用记录应当依法履行保护义务，不得收集非必要个人信息，不得非法留存能够识别使用者身份的输入信息和使用记录，不得非法向他人提供使用者的输入信息和使用记录。依法及时受理和处理个人关于查阅、复制、更正、补充、删除其个人信息等的请求。

提供者应当明确并公开其服务的适用人群、场合、用途，指导使用者科学理性认识和依法使用生成式人工智能技术，采取有效措施防范未成年人用户过度依赖或者沉迷生成式人工智能服务。

应当建立健全投诉、举报机制，设置便捷的投诉、举报入口，公布处理流程和反馈时限，及时受理、处理公众投诉举报并反馈处理结果。

提供具有舆论属性或者社会动员能力的生成式人工智能服务的，应当按照国家有关规定开展安全评估，并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。

提供者发现违法内容的，应当及时采取停止生成、停止传输、消除等处置措施，采取模型优化训练等措施进行整改，并向有关主管部门报告。同时，提供者发现使用者利用生成式人工智能服务从事违法活动的，应当依法依约采取警示、限制功能、暂停或者终止向其提供服务等处置措施，保存有关记录，并向有关主管部门报告。

有关主管部门依据职责对生成式人工智能服务开展监督检查，提供者应当依法予以配合，按要求对训练数据来源、规模、类型、标注规则、算法机制机理等予以说明，并提供必要的技术、数据等支持和协助。

《暂行办法》的颁布，为生成式人工智能服务的健康发展和规范应用提供了法律依据，体现了发展和安全并重、创新和治理结合的理念。随着生成式人工智能的技术不断迭代，可以预见生成式人工智能服务应用场景将更为丰富，后续的监管挑战与合规要求也将更为细化。对此，我们充满期待并持续关注。