《生成式人工智能服务管理暂行办法》自2023年8月15日起施行,是我国生成式人工智能服务面向公众提供时的基础合规框架。它一方面体现包容审慎、鼓励创新,另一方面对训练数据来源、知识产权、个人信息、生成内容标识、违法内容处置、投诉举报、备案和安全评估提出明确要求。律师审查大模型产品时,应先判断是否“向境内公众提供生成式人工智能服务”,再决定适用边界。
律师先看三点
- 第一,本办法重点规制面向境内公众提供的生成式人工智能服务,内部研发、科研应用和未向公众提供的场景不当然适用全部服务规范。
- 第二,训练数据合规是大模型服务的根基,合法来源、知识产权、个人信息、数据质量都要有证据支持。
- 第三,具有舆论属性或者社会动员能力的生成式人工智能服务,应开展安全评估并履行算法备案。
逐条解读
第一条:立法目的
条文原文:
第一条 为了促进生成式人工智能健康发展和规范应用,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国科学技术进步法》等法律、行政法规,制定本办法。
律师解读:本条明确促进发展和规范应用并重。律师不能只从限制角度理解本办法,也要看到其为合规上线、行业应用和监管沟通提供了基础规则。
第二条:适用范围
条文原文:
第二条 利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务(以下称生成式人工智能服务),适用本办法。
国家对利用生成式人工智能服务从事新闻出版、影视制作、文艺创作等活动另有规定的,从其规定。
行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等研发、应用生成式人工智能技术,未向境内公众提供生成式人工智能服务的,不适用本办法的规定。
律师解读:只有利用生成式人工智能技术向境内公众提供生成内容服务,才适用本办法;未向公众提供的研发应用原则上不适用。企业内部知识库、私有化部署和 API 服务仍需结合实际开放对象判断。
第三条:监管原则
条文原文:
第三条 国家坚持发展和安全并重、促进创新和依法治理相结合的原则,采取有效措施鼓励生成式人工智能创新发展,对生成式人工智能服务实行包容审慎和分类分级监管。
律师解读:国家采取包容审慎和分类分级监管。实务上,这意味着不同风险的模型、应用和行业场景,可能适用不同审查强度,企业应主动做风险分级。
第四条:基本义务
条文原文:
第四条 提供和使用生成式人工智能服务,应当遵守法律、行政法规,尊重社会公德和伦理道德,遵守以下规定:
(一)坚持社会主义核心价值观,不得生成煽动颠覆国家政权、推翻社会主义制度,危害国家安全和利益、损害国家形象,煽动分裂国家、破坏国家统一和社会稳定,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,暴力、淫秽色情,以及虚假有害信息等法律、行政法规禁止的内容;
(二)在算法设计、训练数据选择、模型生成和优化、提供服务等过程中,采取有效措施防止产生民族、信仰、国别、地域、性别、年龄、职业、健康等歧视;
(三)尊重知识产权、商业道德,保守商业秘密,不得利用算法、数据、平台等优势,实施垄断和不正当竞争行为;
(四)尊重他人合法权益,不得危害他人身心健康,不得侵害他人肖像权、名誉权、荣誉权、隐私权和个人信息权益;
(五)基于服务类型特点,采取有效措施,提升生成式人工智能服务的透明度,提高生成内容的准确性和可靠性。
律师解读:提供者和使用者都要遵守合法、伦理、公平、知识产权、人格权益、透明度和准确可靠等要求。律师应把本条作为生成式 AI 产品合规评审总清单。
第五条:鼓励创新应用
条文原文:
第五条 鼓励生成式人工智能技术在各行业、各领域的创新应用,生成积极健康、向上向善的优质内容,探索优化应用场景,构建应用生态体系。
支持行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等在生成式人工智能技术创新、数据资源建设、转化应用、风险防范等方面开展协作。
律师解读:本条鼓励各行业创新应用并构建生态。对法律行业而言,合同审查、法律检索、知识库、案件事实整理都属于可探索场景,但应用创新不能突破数据、内容和执业责任边界。
第六条:基础技术创新
条文原文:
第六条 鼓励生成式人工智能算法、框架、芯片及配套软件平台等基础技术的自主创新,平等互利开展国际交流与合作,参与生成式人工智能相关国际规则制定。
推动生成式人工智能基础设施和公共训练数据资源平台建设。促进算力资源协同共享,提升算力资源利用效能。推动公共数据分类分级有序开放,扩展高质量的公共训练数据资源。鼓励采用安全可信的芯片、软件、工具、算力和数据资源。
律师解读:鼓励算法、框架、芯片、算力、数据资源创新和国际合作。律师在技术合作、模型采购、算力服务和数据平台协议中,应关注合规责任、出口管制、数据安全和知识产权归属。
第七条:训练数据处理
条文原文:
第七条 生成式人工智能服务提供者(以下称提供者)应当依法开展预训练、优化训练等训练数据处理活动,遵守以下规定:
(一)使用具有合法来源的数据和基础模型;
(二)涉及知识产权的,不得侵害他人依法享有的知识产权;
(三)涉及个人信息的,应当取得个人同意或者符合法律、行政法规规定的其他情形;
(四)采取有效措施提高训练数据质量,增强训练数据的真实性、准确性、客观性、多样性;
(五)《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律、行政法规的其他有关规定和有关主管部门的相关监管要求。
律师解读:提供者应使用合法来源的数据和基础模型,避免侵害知识产权和个人信息权益,并提高数据质量。实务中应建立数据来源台账、授权文件、清洗规则、个人信息处理依据和数据质量评估记录。
第八条:数据标注
条文原文:
第八条 在生成式人工智能技术研发过程中进行数据标注的,提供者应当制定符合本办法要求的清晰、具体、可操作的标注规则;开展数据标注质量评估,抽样核验标注内容的准确性;对标注人员进行必要培训,提升尊法守法意识,监督指导标注人员规范开展标注工作。
律师解读:数据标注要有清晰规则、质量评估、抽样核验和人员培训。对外包标注而言,合同应约定保密、数据安全、个人信息处理、标注质量、违规责任和审计权。
第九条:内容生产者和个人信息处理者责任
条文原文:
第九条 提供者应当依法承担网络信息内容生产者责任,履行网络信息安全义务。涉及个人信息的,依法承担个人信息处理者责任,履行个人信息保护义务。
提供者应当与注册其服务的生成式人工智能服务使用者(以下称使用者)签订服务协议,明确双方权利义务。
律师解读:提供者既承担网络信息内容生产者责任,也可能承担个人信息处理者责任。服务协议应明确用户输入、输出、账号、日志、训练使用和投诉处理中的权利义务。
第十条:适用人群和用途公开
条文原文:
第十条 提供者应当明确并公开其服务的适用人群、场合、用途,指导使用者科学理性认识和依法使用生成式人工智能技术,采取有效措施防范未成年人用户过度依赖或者沉迷生成式人工智能服务。
律师解读:产品应公开适用人群、场合和用途,并防范未成年人过度依赖或沉迷。法律 AI 产品尤其应标明不能替代律师法律意见,避免用户误认为模型输出具有专业保证。
第十一条:输入信息和使用记录保护
条文原文:
第十一条 提供者对使用者的输入信息和使用记录应当依法履行保护义务,不得收集非必要个人信息,不得非法留存能够识别使用者身份的输入信息和使用记录,不得非法向他人提供使用者的输入信息和使用记录。
提供者应当依法及时受理和处理个人关于查阅、复制、更正、补充、删除其个人信息等的请求。
律师解读:提供者不得收集非必要个人信息,不得非法留存可识别身份的输入和记录,不得非法提供给他人。律师应审查日志留存期限、训练复用、脱敏、删除请求和企业客户保密条款。
第十二条:生成内容标识
条文原文:
第十二条 提供者应当按照《互联网信息服务深度合成管理规定》对图片、视频等生成内容进行标识。
律师解读:图片、视频等生成内容应按深度合成规定进行标识。随着内容标识办法施行,企业还应同步考虑显式标识、隐式标识、下载导出标识和平台传播识别。
第十三条:服务稳定性
条文原文:
第十三条 提供者应当在其服务过程中,提供安全、稳定、持续的服务,保障用户正常使用。
律师解读:提供者应提供安全、稳定、持续的服务。对企业级法律 AI 服务而言,SLA、备份、故障通知、数据恢复、模型降级和服务暂停条款都需要写入合同。
第十四条:违法内容处置
条文原文:
第十四条 提供者发现违法内容的,应当及时采取停止生成、停止传输、消除等处置措施,采取模型优化训练等措施进行整改,并向有关主管部门报告。
提供者发现使用者利用生成式人工智能服务从事违法活动的,应当依法依约采取警示、限制功能、暂停或者终止向其提供服务等处置措施,保存有关记录,并向有关主管部门报告。
律师解读:发现违法内容时,应停止生成、停止传输、消除、整改模型并报告;发现用户违法使用时,应警示、限制、暂停或终止服务并保存记录。企业需要建立内容安全和用户滥用处置闭环。
第十五条:投诉举报机制
条文原文:
第十五条 提供者应当建立健全投诉、举报机制,设置便捷的投诉、举报入口,公布处理流程和反馈时限,及时受理、处理公众投诉举报并反馈处理结果。
律师解读:提供者应设置便捷投诉举报入口,公布流程和时限。法律 AI 产品应特别处理侵权、虚假信息、个人信息、商业秘密和错误法律建议相关投诉。
第十六条:部门监管
条文原文:
第十六条 网信、发展改革、教育、科技、工业和信息化、公安、广播电视、新闻出版等部门,依据各自职责依法加强对生成式人工智能服务的管理。
国家有关主管部门针对生成式人工智能技术特点及其在有关行业和领域的服务应用,完善与创新发展相适应的科学监管方式,制定相应的分类分级监管规则或者指引。
律师解读:多部门按职责监管,行业领域会形成分类分级规则或指引。医疗、教育、金融、法律等专业场景可能面临更高要求,不能只按通用 AI 产品理解监管。
第十七条:安全评估和算法备案
条文原文:
第十七条 提供具有舆论属性或者社会动员能力的生成式人工智能服务的,应当按照国家有关规定开展安全评估,并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。
律师解读:具有舆论属性或者社会动员能力的生成式 AI 服务,应开展安全评估并按算法推荐规定备案。大模型聊天、内容生成、资讯摘要、舆情生成等产品通常需要重点评估。
第十八条:使用者投诉举报权
条文原文:
第十八条 使用者发现生成式人工智能服务不符合法律、行政法规和本办法规定的,有权向有关主管部门投诉、举报。
律师解读:使用者发现服务不合规,有权向主管部门投诉举报。平台不仅要面向监管合规,也要面向用户建立可解释、可反馈、可纠错的产品机制。
第十九条:监督检查配合
条文原文:
第十九条 有关主管部门依据职责对生成式人工智能服务开展监督检查,提供者应当依法予以配合,按要求对训练数据来源、规模、类型、标注规则、算法机制机理等予以说明,并提供必要的技术、数据等支持和协助。
参与生成式人工智能服务安全评估和监督检查的相关机构和人员对在履行职责中知悉的国家秘密、商业秘密、个人隐私和个人信息应当依法予以保密,不得泄露或者非法向他人提供。
律师解读:监管可要求说明训练数据来源、规模、类型、标注规则、算法机制机理等。企业应提前准备监管问询资料,避免因无法说明而被认定管理失控。
第二十条:境外服务处置
条文原文:
第二十条 对来源于中华人民共和国境外向境内提供生成式人工智能服务不符合法律、行政法规和本办法规定的,国家网信部门应当通知有关机构采取技术措施和其他必要措施予以处置。
律师解读:境外向境内提供服务不合规的,国家网信部门可通知采取技术措施和其他必要措施。跨境 AI 服务、境外模型 API 和海外 SaaS 面向中国用户时,应评估本办法适用风险。
第二十一条:法律责任
条文原文:
第二十一条 提供者违反本办法规定的,由有关主管部门依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国科学技术进步法》等法律、行政法规的规定予以处罚;法律、行政法规没有规定的,由有关主管部门依据职责予以警告、通报批评,责令限期改正;拒不改正或者情节严重的,责令暂停提供相关服务。
构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
律师解读:违反本办法可依网络安全、数据安全、个人信息保护、科技进步等法律处理;无明确规定的,也可警告、通报批评、责令改正,严重时暂停服务。刑事和治安责任也可能叠加。
第二十二条:定义条款
条文原文:
第二十二条 本办法下列用语的含义是:
(一)生成式人工智能技术,是指具有文本、图片、音频、视频等内容生成能力的模型及相关技术。
(二)生成式人工智能服务提供者,是指利用生成式人工智能技术提供生成式人工智能服务(包括通过提供可编程接口等方式提供生成式人工智能服务)的组织、个人。
(三)生成式人工智能服务使用者,是指使用生成式人工智能服务生成内容的组织、个人。
律师解读:本条定义生成式人工智能技术、服务提供者和使用者,并明确 API 方式也可能构成服务提供。模型接口、插件、SDK、私有化部署供应商都应结合控制力和服务对象分配责任。
第二十三条:行政许可和外商投资
条文原文:
第二十三条 法律、行政法规规定提供生成式人工智能服务应当取得相关行政许可的,提供者应当依法取得许可。
外商投资生成式人工智能服务,应当符合外商投资相关法律、行政法规的规定。
律师解读:法律法规要求许可的,应依法取得许可;外商投资生成式 AI 服务还要符合外资规定。涉及新闻出版、视听、医疗、教育、金融等行业时,应做牌照和准入审查。
第二十四条:施行日期
条文原文:
第二十四条 本办法自2023年8月15日起施行。
律师解读:本办法自2023年8月15日起施行。已上线生成式 AI 服务应补齐协议、标识、数据台账、投诉举报、内容处置、安全评估和备案等合规材料。
合规落地清单
- 判断产品是否向境内公众提供生成文本、图片、音频、视频等内容的服务。
- 建立训练数据来源、授权、清洗、标注、质量评估和个人信息处理记录。
- 完善服务协议、使用规则、适用场景说明、未成年人保护和用户教育提示。
- 建立违法内容停止生成、停止传输、消除、模型优化整改和主管部门报告机制。
- 对图片、视频等生成内容配置标识机制,并与深度合成和内容标识规则衔接。
- 评估是否需要安全评估、算法备案、模型备案或已备案模型信息公示。
参考来源
本文为一般性法规解读,不替代针对具体产品、业务模式或执法风险的专项法律意见。
