在上一篇《生成式人工智能數據合規研究係列(一)——法律與監管概述篇》中���,我們主要進行了關於國內外生成式人工智能(“生成式AI”)數據合規法律和監管環境的梳理。承接第一篇內容�,我們繼續推出本係列研究的第二篇“網絡安全篇”。在本篇中��,我們將為您梳理和分析企業在開發和運營生成式AI的過程中�����,在網絡安全方麵可能遇到的法律風險�����,並提出具有操作性風險防範建議��,供相關企業參考。
基於此前對我國生成式AI在數據合規方麵的立法和監管環境梳理�����,不難發現我國正在穩步加強對人工智能的治理�,針對生成式AI的監管方式也在有條不紊地探索之中�,在此背景下�,從本期開始我們將進一步分析生成式AI可能遇到的各類法律風險和防範。在網絡安全方麵���,生成式AI服務提供者在開發���、運營生成式AI的過程中��,會具有網絡運營者��、網絡產品/服務提供者的不同身份�����,我們將分別論述企業在不同身份下的風險和防範。
一��、生成式AI服務提供者作為網絡運營者的風險和防範
AI是通過普通計算機程序來呈現人類智能的技術��,需要在網絡環境中運行�,企業在生成式AI提供服務的過程中���,會麵臨諸多網絡安全風險���,譬如由病毒入侵��、黑客非法闖入等因素引起的網絡遭受攻擊���、幹擾��、破壞的風險�;服務器故障���、線路故障引起的網絡硬件設施損壞風險��;軟件漏洞引發的網絡安全風險�����;個人的不當操作引起的網絡操作係統不安全風險等。
根據《中華人民共和國網絡安全法》(“《網絡安全法》”)�,網絡是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集����、存儲�、傳輸��、交換����、處理的係統[1]��;網絡運營者是指網絡的所有者����、管理者和網絡服務提供者[2]��,應當對網絡安全風險的風控承擔相應的合規義務。生成式AI屬於計算機程序�����,必須依托網絡環境運行�����,其開發和運營也需要通過計算機網絡實現���,因此提供生成式AI服務的企業是網絡運營者���,應當履行包括但不限於《網絡安全法》及相關配套製度規定的以下一係列網絡安全合規義務��,以控製法律風險:
1. 落實網絡安全等級保護的相關要求
《網絡安全法》規定網絡運營者應當建立網絡安全等級保護製度����,並按照網絡安全等級保護製度的要求����,履行安全保護義務。作為網絡運營者的生成式AI服fu務wu提ti供gong者zhe����,應ying按an照zhao網wang絡luo安an全quan等deng級ji保bao護hu製zhi度du要yao求qiu��,滿man足zu實shi質zhi性xing法fa定ding要yao求qiu�����,包bao括kuo製zhi定ding內nei部bu安an全quan管guan理li製zhi度du和he操cao作zuo規gui程cheng�����,確que定ding網wang絡luo安an全quan負fu責ze人ren�����,落luo實shi網wang絡luo安an全quan保bao護hu責ze任ren����;采取防範計算機病毒和網絡攻擊�����、網絡侵入等危害網絡安全行為的技術措施保障網絡安全�����;采取監測���、記錄網絡運行狀態��、網絡安全事件的技術措施�����,並按照規定留存相關的網絡日誌不少於六個月����;采取留存網絡日誌��,采取數據分類��、重要數據備份和加密等措施����,以保障網絡免受幹擾���、破壞或者未經授權的訪問�����,防止網絡數據泄露或者被竊取�、篡改。[3] 同時���,作為實施網絡安全等級保護的程序性要求�����,AI服務提供者還應當完成對象係統的定級�����、安全建設與整改����、測評�、備案等相關法定程序。
2. 建立應急處置機製
《網絡安全法》規定了網絡運營者的應急處置義務�����,具體而言�����,網絡運營者應當製定網絡安全事件應急預案���,及時處置係統漏洞����、計算機病毒�����、網絡攻擊�����、網絡侵入等安全風險���;在發生危害網絡安全的事件時��,立即啟動應急預案�����,采取相應的補救措施���,並按照規定向有關主管部門報告。[4]
作為網絡運營者的生成式AI服務提供者應在網絡安全事件應急預案中�,明確網絡安全事件的分級分類�����、職責分工�、組織指揮����、監測預警�����、應急響應流程�����、chuzhifangfahebaozhangcuoshidengneirong。fashengwangluoanquanshijianshi����,lijiqidongyingjiyuan���,caiqugezhongjishucuoshijishikongzhishitaifazhan��,zuidaxiandudifangzhishijianmanyan�、控製事態發展����;盡快分析事件發生原因�����,根據網絡運行和承載業務情況�,初步判斷事件的影響�����、危害和可能波及的範圍����,提出應對措施建議���;同時�,應盡量保留相關證據���,采取手工記錄����、截屏����、文件備份和影像設備記錄等各種手段���,對事件發生��、發展�、處置的過程����、步驟�����、結果進行詳細記錄���,盡可能保存原始證據��,為事件處置����、調查����、處理提供客觀證據。另一方麵��,生成式AI服務提供者在發生網絡安全事件時要按照預案要求�����,及時向上級主管部門�、屬地網絡安全監管部門報告事件信息����,涉及用戶個人信息的����,除非已采取措施能夠有效避免信息泄露����、篡改�、丟失造成危害的���,建議及時通知個人。
3. 在特定情形下通過網絡安全審查
《網絡安全審查辦法》第2條規定����,“關鍵信息基礎設[5]施運營者(以下稱“CIIO”)采購網絡產品和服務�,網絡平台運營者開展數據處理活動�,影響或者可能影響國家安全的��,應當按照本辦法進行網絡安全審查”。特別地�����,部分生成式AI服務提供者的經營活動還可能涉及境外上市���,或掌握大量個人信息����,或本身處於敏感行業����,根據《網絡安全審查辦法》第7條���,“掌握超過100萬用戶個人信息的網絡平台運營者赴國外上市�,必須向網絡安全審查辦公室申報網絡安全審查。” 在我國�,上述情況將導致企業適用網絡安全審查機製。此外��,如果相關監管部門認為生成式AI服務影響或者可能影響國家安全��,還可能會由國家網信辦下設的網絡安全審查辦公室依法對相關生成式AI服務及服務提供者發起網絡安全審查。
因此�,根據生成式AI服務提供者的角色不同��,我們提出下述建議以控製相關風險:
① 生成式AI服務提供者自身作為網絡安全審查對象的情況
生成式AI服務提供者如涉及上述《網絡安全審查辦法》第2條�����、第7條所述的可能觸發網絡安全審查的情形�,則建議應當對自身的供應鏈進行管理�����,具體而言���,包括完善采購協議�����、安全保密協議��、數據處理協議等法律文件���,對供應商的配合義務�、保密義務����、安全義務等作出安排��;對於已經采購的網絡產品和服務�����,如果未能通過網絡安全審查����,則建議及時停止使用並進行更換。同時���,除供應鏈管理外��,還建議按照《網絡安全審查辦法》的相關規定�,根據以下維度���,自查是否存在可能危害網絡安全和數據安全的因素[6]:
i. 產品和服務使用後帶來的關鍵信息基礎設施被非法控製�、遭受幹擾或者破壞的風險��;
ii. 產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害����;
iii. 產品和服務的安全性����、開放性�、透明性���、來源的多樣性�,供應渠道的可靠性以及因為政治�����、外交����、貿易等因素導致供應中斷的風險����;
iv. 產品和服務提供者遵守中國法律�����、行政法規�����、部門規章情況��;
v. 核心數據[7]��、重要數據[8]或者大量個人信息[9]被竊取���、泄露��、毀損以及非法利用��、非法出境的風險��;
vi. 赴境外上市的�����,上市存在關鍵信息基礎設施���、核心數據��、重要數據或者大量個人信息被外國政府影響���、控製���、惡意利用的風險����,以及網絡信息安全風險。
② 生成式AI服務提供者作為網絡安全審查對象(通常為CIIO)供應商的情況
除自身作為網絡安全審查對象外���,生成式AI服務提供者還有可能作為提供網絡產品的供應商��,向應當進行網絡安全審查的CIIO提供網絡產品。這種情況下����,生成式AI服務提供者雖然不直接作為網絡安全審查的對象�,但也應當配合網絡安全審查對象履行相應的合規義務���,包括:配合網絡安全審查����;承諾不利用提供產品和服務的便利條件非法獲取用戶數據�����、非法控製和操縱用戶設備����;無正當理由不中斷產品供應或者必要的技術支持服務 [10]����;遵守中國法律��、行政法規��、部門規章 [11]�;技術支持和安全保密義務等 [12]。
二��、生成式AI服務提供者作為網絡產品/服務提供者的風險和防範
1. 網絡產品安全漏洞管理和維護
網絡產品�����,是網絡條件下物質產品����、信息產品和網絡服務等的總稱����,[13]包含硬件與軟件等�����,生成式AIjiangouyuwangluohuanjingzhizhong��,shuyurengongzhinengleiwangluochanpin。zaiwangluohuanjingxia��,wangluochanpinyidanchanshengloudong��,qiloudongxinxiketongguowangluopingtaikuaisuchuanbo�����,weihaiwangluochanpinzishenanquanxingjiwangluoyonghuquanyi��,yinciyoubiyaocaiqucuoshifangzhifengxiankuodahuozhebimiansunhaifasheng��,erwangluochanpintigongzheshizishenwangluochanpindezerenzhuti。genjuwoguo《網絡安全法》《網絡產品安全漏洞管理規定》等相關規定�����,開發和運營生成式AI的企業作為網絡產品提供者應當履行安全漏洞管理義務��、安全漏洞報送義務���、安全維護義務等合規義務。具體而言��,網絡產品提供者��、wangluoyunyingzhehewangluochanpinanquanloudongshoujipingtaiyingdangjianlijianquanwangluochanpinanquanloudongxinxijieshouqudaobingbaochichangtong�����,liucunwangluochanpinanquanloudongxinxijieshourizhibushaoyu6個月[14]�;網絡產品提供者還應當確保其產品安全漏洞得到及時修補和合理發布����,並指導支持產品用戶采取防範措施��;網絡產品�����、服務的提供者應當為其產品��、服務持續提供安全維護�����;在規定或者當事人約定的期限內�,不得終止提供安全維護[15]��;在修複漏洞前發布漏洞信息應當向有關主管部門(工業和信息化部����、公安部)報告[16]。
2. 生成式AI服務的準入資格
生成式AI根據業務形態的不同��,還涉及需要取得相應準入資格。例如��,如果涉及允許用戶間進行互動(如聊天室�、即時通信等)的服務形態��,則可能需要取得B25類(信息服務業務)增值電信業務經營許可證����;[17] 如果AI生成作品構成網絡出版物�,那麼根據《網絡出版服務管理規定》�����,該生成式AI還需要取得網絡出版服務許可證等。[18]
3. 特定情況下落實用戶實名製的相關要求
如生成式AI的服務範圍包括提供信息發布�、即時通訊�����、深度合成等服務的��,則建議生成式AI服務提供者按照《網絡安全法》《中華人民共和國反電信網絡詐騙法》[19]《移動互聯網應用程序信息服務管理規定》[20]《互聯網信息服務深度合成管理規定》[21]等法律法規�,對用戶進行真實身份信息認證。
4. 加強未成年人保護
《中華人民共和國未成年人保護法》第五章專門規定了未成年人的網絡保護��,明確要求各網絡產品從網絡內容篩查����、身份認定��、時間設置���、功能設置等方麵強化網絡對未成年人身心健康保護。《網絡安全法》第13條也規定�����,“guojiazhichiyanjiukaifayouliyuweichengnianrenjiankangchengchangdewangluochanpinhefuwu�����,yifachengzhiliyongwangluocongshiweihaiweichengnianrenshenxinjiankangdehuodong��,weiweichengnianrentigonganquan�����、健康的網絡環境。”《生成式人工智能服務管理暫行辦法》中也明確要求要采取有效措施防範未成年人用戶過度依賴或沉迷生成式AI。[22]
除網絡安全風險外�,生成式AI服務提供者在數據合規方麵還將麵臨數據安全以及個人信息保護方麵的合規要求和法律風險�����,我們將在下期為您繼續呈現“數據安全篇”�����,嚐試探討提供生成式AI服務的企業作為數據處理者�����,在算法合規����、生成內容合規��、數據來源合規等方麵的風險及應對策略�����,敬請期待。
[1] 《網絡安全法》第76條。
[2] 《網絡安全法》第76條。
[3] 《網絡安全法》第21條。
[4] 《網絡安全法》第25條。
[5] 《關鍵信息基礎設施安全保護條例》第2條:“本條例所稱關鍵信息基礎設施���,是指公共通信和信息服務����、能源���、交通�����、水利����、金融�����、公共服務�、電子政務��、國防科技工業等重要行業和領域的�����,以及其他一旦遭到破壞���、喪失功能或者數據泄露��,可能嚴重危害國家安全�、國計民生��、公共利益的重要網絡設施����、信息係統等。”
[6] 《網絡安全審查辦法(2021)》第10條。
[7] 《數據安全法》第21條第2款:“關係國家安全�、國民經濟命脈��、重要民生�����、重大公共利益等數據屬於國家核心數據�����,實行更加嚴格的管理製度。”
[8] 是指特定領域�����、特定群體�、特定區域或達到一定精度和規模的數據���,一旦被泄露或篡改���、損毀�,可能直接危害國家安全�����、經濟運行���、社會穩定�����、公共健康和安全。
[9] 《個人信息保護法》第4條第1款:“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息��,不包括匿名化處理後的信息。”
[10] 《網絡安全審查辦法(2021)》第6條。
[11] 《網絡安全審查辦法(2021)》第10條第1款第4項。
[12] 《關鍵信息基礎設施安全保護條例》第20條。
[13] 參見MBA智庫·百科釋義�����, https://wiki.mbalib.com/wiki/%E7%BD%91%E7%BB%9C%E4%BA%A7%E5%93%81�����,2023年6月25日最新訪問。
[14] 《網絡產品安全漏洞管理規定》第5條。
[15] 《網絡安全法》第22條第2款。
[16] 《網絡產品安全漏洞管理規定》第9條第(1)項。
[17] 根據《中華人民共和國電信條例》第7條和《互聯網信息服務管理辦法》第7條����,經營電信業務���,必須依照規定取得國務院信息產業主管部門或者省��、自治區����、直轄市電信管理機構頒發的電信業務經營許可證。未取得電信業務經營許可證���,任何組織或個人不得從事電信業務經營活動。
《中華人民共和國電信條例》附錄中規定��,增值電信業務包括:(一)電子郵件���;(二)語音信箱����;(三)在線信息庫存儲和檢索�;(四)電子數據交換���;(五)在線數據處理與交易處理�����;(六)增值傳真����;(七)互聯網接入服務����;(八)互聯網信息服務�;(九)可視電話會議服務。
[18] 《網絡出版服務管理規定》第7條:從事網絡出版服務����,必須依法經過出版行政主管部門批準�����,取得《網絡出版服務許可證》。
[19] 《中華人民共和國反電信網絡詐騙法》第9條。
[20] 《移動互聯網應用程序信息服務管理規定》第6條。
[21] 《互聯網信息服務深度合成管理規定》第9條。
[22] 《生成式人工智能服務管理暫行辦法》第10條。
