《生成式人工智能服务管理暂行办法》要点及影响——人工智能和算法系列文章（五）

2023年7月13日，国家互联网信息办公室（以下简称“网信办”）等七部门联合发布《生成式人工智能服务管理暂行办法》（以下简称“《办法》”）。

《办法》在2023年4月11日发布的《生成式人工智能服务管理办法》（征求意见稿）（以下简称“《征求意见稿》”）的基础上进行了修改，是我国关于生成式人工智能的重要立法，与《互联网信息服务算法推荐管理规定》（以下简称“《算法规定》”）《互联网信息服务深度合成管理规定》（以下简称“《深度合成规定》”）构成人工智能和算法领域的重要监管规定。

本文拟结合《办法》对《征求意见稿》的修改，系统性解读《办法》所提出的监管生成式人工智能的重要要求。

一、确立监管框架和原则

（一）确立包容鼓励、审慎监管的规制原则

中共中央政治局2023年4月28日的会议强调“要重视通用人工智能发展，营造创新生态，重视防范风险”¹ 。上述监管思路也体现在《办法》对生成式人工智能的监管之中。《办法》在第一章总则部分中明确提出，国家对于生成式人工智能技术的发展持开放包容的态度，坚持生成式人工智能技术发展和技术安全的并重，在引导和促进生成式人工智能技术的突破创新的同时，依然需要采取分类分级监管的专门治理体系。《办法》第16条要求国家有关主管部门针对生成式人工智能技术特点及其在有关行业和领域的服务应用，完善与创新发展相适应的科学监管方式，制定相应的分类分级监管规则或者指引。

同时，《办法》新增了一系列鼓励措施，例如鼓励支持行业组织、企业、教育和科研机构等不同主体在生成式人工智能技术的应用、发展的多个方面共同协作；鼓励生成式人工智能算法、框架、芯片及配套软件平台等基础技术的自主创新，平等互利开展国际交流与合作，参与生成式人工智能相关国际规则制定；推动生成式人工智能基础设施和公共训练数据资源平台建设。针对生成式人工智能发展的重要基础，提出促进算力资源协同共享，提升算力资源利用效能；推动公共数据分类分级有序开放，扩展高质量的公共训练数据资源；鼓励采用安全可信的芯片、软件、工具、算力和数据资源。（《办法》第5条、第6条）

《办法》确立的分类分级的监管原则在一定程度上借鉴了欧盟人工智能法案（AI Act）之中根据风险原则分类分级管理的原则。对于不同风险等级的人工智能技术，未来很可能在后续的指引和《人工智能法》之中提出对应的监管要求。企业需要按照自身产品的风险级别，进行相应的合规投入和安排。

（二）初步形成法律监管的思路和框架

在监管体系上，目前我国人工智能与算法相关专门规定仍为分散的立法，主要包含《办法》、《算法规定》及《深度合成规定》。《办法》沿用了现有的监管方式，专门适用于利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务，而暂未涵盖其他的人工智能形式。

同时，《国务院2023年度立法工作计划》已将《人工智能法草案》列为预备提请全国人大常委会审议的法律草案²。待《人工智能法》出台后，上述规定可能将进一步修改或被上位法取代。随着《办法》的实施及执法，其也将为《人工智能法》的起草储备相应的立法和实践落地经验。

另外，在生成式人工智能的利用过程之中涉及个人信息、重要数据、数据安全等方面的问题时，需相应遵守现有《个人信息保护法》、《数据安全法》等法律法规之中的相关要求。

（三）逐渐形成针对人工智能的监管体制

《办法》由国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局联合发布，且第四章也规定：网信、发展改革、教育、科技、工业和信息化、公安、广播电视、新闻出版等部门，依据各自职责依法加强对生成式人工智能服务的管理。（《办法》第16条）

可以预见，对于生成式人工智能在应用过程之中，由于涉及的具体领域、服务形式、涉及群体及风险事项等方面的差异，可能涉及上述一个或多个具有相应监管职责的政府机构的管理要求。

二、明确适用范围

从适用主体上看，根据《办法》第2条的规定，《办法》适用于利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务。

较之于《征求意见稿》，办法新规定了一项例外，即“行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等研发、应用生成式人工智能技术，未向境内公众提供生成式人工智能服务的，不适用本办法的规定。”（《办法》第2条）

同时，《办法》指出国家对利用生成式人工智能服务从事新闻出版、影视制作、文艺创作等活动另有规定的，从其规定。因此，未来上述特定行业从业者仍然需要关注行业内关于生成式人工智能服务的特殊规定。（《办法》第2条）

《办法》对生成式人工智能适用范围的规定较之于《征求意见稿》更加明确：

首先，解决了之前没有特别说明的人工智能技术内部应用问题，明确了如果没有对外提供服务，则不适用《办法》；其次适用范围删除了“研发”场景，也明确了处于内部研发环节的人工智能技术，如果没有提供具体的对外服务，则不适用《办法》。

对于境外实体因向中国境内公众提供生成式人工智能服务，《办法》未做单独规定，但在《办法》第20条明确了国家网信部门对来源于境外向境内提供生成式人工智能服务的违法行为，有权通知有关机构采取技术措施和其他必要措施予以处置。

另外需要注意的是，与之前的《征求意见稿》仅包括“提供”生成式人工智能服务，此次《办法》第4条增加了“使用”生成式人工智能服务应遵守的特定义务，包括不得传播违法信息；尊重知识产权、商业道德，保守商业秘密，不得利用算法、数据、平台等优势，实施垄断和不正当竞争行为；尊重他人合法权益，不得侵害他人权益等。

三、规范具体监管要求

《办法》规定了一系列对于提供者的规范义务：

1．算法安全评估和备案义务

较之于《征求意见稿》对于生成式人工智能服务普遍性的均要求履行算法安全评估和备案义务，《办法》将算法安全评估和备案义务主体明确限定在“提供具有舆论属性或者社会动员能力的生成式人工智能服务”的范围内，与《算法规定》及《深度合成规定》保持了一致。（《办法》第17条）

2．训练数据

首先，《办法》第7条要求生成式人工智能研发利用者对预训练、优化训练数据来源的合法性负责，但对于生成式人工智能研发利用者对用于训练算法的数据来源的审核义务究竟应达到何种程度未作出明确规定，对此《办法》中规定：“采取有效措施提高训练数据质量，增强训练数据的真实性、准确性、客观性、多样性”，而没有直接采用之前“能够保证数据的真实性、准确性、客观性和多样性”。

其次，《办法》第8条基于延续了之前《征求意见稿》中的内容，对产品研制中采用人工标注提出要求，包括（1）制定清晰、具体、可操作的标注规则；（2）对标注人员进行必要培训；（3）确保抽样核验标注内容的正确性。

3．内容管理

针对生成式人工智能可能带来的虚假信息问题，《办法》仍进行了一系列的规制要求，提出不得生成违反法律法规和社会公德、伦理道德的虚假有害信息，并采取有效措施提高生成内容的准确性和可靠性。（《办法》第4条）

《办法》第14条规定了提供者发现违法内容时的义务，包括及时采取停止生成、停止传输、消除等处置措施，采取模型优化训练等措施进行整改，并向有关主管部门报告。同时，提供者发现使用者利用生成式人工智能服务从事违法活动的，应当依法依约采取警示、限制功能、暂停或者终止向其提供服务等处置措施，保存有关记录，并向有关主管部门报告。

《办法》未像《征求意见稿》明确要求服务提供者对用户实行实名验证，但《网络安全法》规定的要求用户提供真实身份信息的一般性义务是否适用可能仍需根据具体情况讨论，不排除服务提供者在特定的情形下仍然需要落实用户身份实名验证的可能性。

4．防止歧视

《办法》将该义务规定保留在第4条，要求在算法设计、训练数据选择、模型生成和优化、提供服务等过程中，采取有效措施防止产生民族、信仰、国别、地域、性别、年龄、职业、健康等歧视。

5．生成内容标识和审核

《办法》保留了要求提供者应当根据《深度合成规定》对生成的图片、视频等内容进行标识的义务。（《办法》第12条）

《办法》删除了《征求意见稿》中服务提供者在3个月内通过模型优化训练等方式防止再次生成不当内容的要求，仅要求服务提供者及时优化模型并向主管部门报告。上述规定在一定程度上考虑了生成人工智能技术研发改进速度的不确定性。（《办法》第14条）

6．用户个人信息（包括输入信息）保护

《办法》第11条要求服务提供者对使用者的输入信息和使用记录应当依法履行保护义务，不得收集非必要个人信息，不得非法留存能够识别使用者身份的输入信息和使用记录，不得非法向他人提供使用者的输入信息和使用记录。而对于使用者个人信息权利的响应机制，在《征求意见稿》原有的“更正、删除、屏蔽”基础上，新增了查阅、复制、补充，从而与《个人信息保护法》实现了有效的衔接。

7．用户权益保护

《办法》第13条要求服务提供者提供安全、稳定、持续的服务，保障用户正常使用的义务。《办法》第10条规定了防沉迷义务，其基本延续了之前《征求意见稿》的规定，要求服务提供者明确并公开其服务的适用人群、场合、用途，指导使用者科学理性认识和依法使用生成式人工智能技术，采取有效措施防范未成年人用户过度依赖或者沉迷生成式人工智能服务。《办法》第15条也规定了建立公众投诉举报机制的义务。

四、规定法律责任

《办法》第9条区分了产品及服务提供者作为“网络信息内容生产者”和“个人信息处理者”应当承担网络信息安全义务。

关于具体的处罚事由及措施，《办法》第21条延续了《征求意见稿》的思路，规定了转致条款，指出处罚措施按照《网络安全法》、《数据安全法》、《个人信息保护法》、《科技进步法》（新增）的要求处理。另一方面，当法律、行政法规存在空白时，由有关主管部门依据职责给予警告、通报批评，责令限期改正；拒不改正或者情节严重的，责令暂停提供相关服务，而删除了“并处一万元以上十万元以下罚款”、以及“终止其利用生成式人工智能提供服务”的处罚措施。对于构成违反治安管理行为的，依法给予治安管理处罚，构成犯罪的，依法追究刑事责任。

五、评价和展望

统观《办法》的各项规定，较之于《征求意见稿》，更加体现了“发展和安全并重、促进创新和依法治理相结合”的原则，既包括了对生成式人工智能在应用过程中可能产生的道德伦理、安全隐私、知识产权、歧视及不当言论等问题的监管，同时也注意到为新技术的发展留下包容开放的空间。除了提出各项鼓励性措施外，具体到对服务提供者的各项要求，也特别调整、修改了此前在《征求意见稿》发布后市场讨论较多的训练数据的准确性承诺义务、避免使用歧视性内容的义务，删除了对用户身份验证义务和限期3个月防止生成不当内容的义务，体现了对实务之中落地难点的考虑。

对于生成式人工智能这一类迅速发展的技术，在将来所可能带来的挑战和问题上，也预留了相应的空间，通过后续分类分级的监管体系，能够在《办法》的原则指导下，根据不同应用场景和技术水平的特点和差异，制定相应的管理标准和监管措施，以确保生成式人工智能的安全和可持续发展。

鉴于目前《人工智能法草案》已被列为预备提请全国人大常委会审议的法律草案，我们可以预见在不远的未来针对人工智能的研究、服务和使用将会有更加全面的监管治理体系形成，而随着技术自身不断的发展，对于风险的识别判断、监管重点，结合《办法》的落地适用，也会更加清晰化。对于积极研发、使用生成式人工智能的企业而言，需要逐渐形成在该领域的合规意识、在数据保护、透明度和可解释性、内容合规、安全风险、用户权益保护等各方面，参照《办法》制定合规制度和流程并能够在这个新的领域创立良好实践。

1.https://www.gov.cn/yaowen/2023-04/28/content_5753652.htm

2.https://www.gov.cn/zhengce/content/202306/content_6884925.htm