在线观看国产精品va_亚洲国产精品久久网午夜_少妇挑战三个黑人惨叫4p国语_欧美人与物videos另

注冊

娛法游理Vol.12

其他分類其他2022-05-30
449
娛法游理Vol.12

內容簡介

書刊名稱:娛法游理Vol.12

發布作者:愷英網絡法務部

發布時間:2022-05-30

閱讀次數:449

書刊簡介:娛法游理Vol.12AIGC專題(上)

其他信息:《娛法游理Vol.12》電子宣傳畫冊作品由愷英網絡法務部于2022-05-30制作并發布于FLBOOK電子雜志制作平臺。FLBOOK是一款HTML5電子雜志、電子書刊、電子畫冊制作平臺,使用FLBOOK可以快速制作和發布電子書刊作品。

閱讀3D版

愷英網絡法務部

二〇二三年五月

??娛法游理

Vol.12

Practical Research

實務研究

目錄

Contents

I

LEGISLATION

立法動向

1

INDUSTRY TRENDS

行業動態

3

AIGC相關法律問題初探
——模型層和應用層

13

對《生成式人工智能服務管理辦法》的思考

21

42

“假作真時真亦假”——數字社會中辨偽存真的挑戰

Monthly Information

本月資訊

從ChatGPT看AIGC的法律風險及合規應對

7

AIGC相關應用及法律問題專題(上)

II

corporate Governance

上市公司治理

corporate Compliance

企業合規

平臺收集、使用個人信息的邊界到底在哪?

61

香港公司印章使用介紹

55

改革重塑獨董生態 上市公司治理將步入新階段

65

立法動向/LEGISLATION

? ? ? ? ?
日前,全國信息安全標準化技術委員會發布《網絡安全標準實踐指南—網絡數據安全風險評估實施指引(征求意見稿)》。《征求意見稿》提出了網絡數據安全風險評估思路、主要工作內容、流程和方法,提出從數據安全管理、數據處理活動、數據安全技術、個人信息保護等方面評估安全風險。其適用于指導數據處理者自行開展風險評估,也可為有關主管監管部門組織開展數據安全檢查評估提供參考。《征求意見稿》進一步明確,數據安全風險評估流程,主要包括評估準備、信息調研、風險評估、綜合分析、評估總結五個階段。

02

? ? ? ? ?
國家網信辦等五部門發布關于調整網絡安全專用產品安全管理有關事項的公告,自2023年7月1日起,列入《網絡關鍵設備和網絡安全專用產品目錄》的網絡安全專用產品應當按照《信息安全技術 網絡安全專用產品安全技術要求》等相關國家標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求后,方可銷售或者提供。具備資格的機構是指列入《承擔網絡關鍵設備和網絡安全專用產品安全認證和安全檢測任務機構名錄》的機構。國家網信辦、工信部、公安部、國家認證認可監督管理委員會發布更新《網絡關鍵設備和網絡安全專用產品目錄》、《承擔網絡關鍵設備和網絡安全專用產品安全認證和安全檢測任務機構名錄》。

01

國家網信辦等五部門發布《關于調整網絡安全專用產品安全管理有關事項的公告》

全國信安標委發布《網絡安全標準實踐指南——網絡數據安全風險評估實施指引(征求意見稿)》

? ? ? ? ?
工信部公布了2023年規章制定工作計劃。工信部年內將提請審議6個項目,完成起草適時提請審議的項目9個,包括《通信短信息服務管理規定(修訂)》、《電信和互聯網用戶個人信息保護規定(修訂)》、電信設備進網管理辦法(修訂)、《電信網碼號資源管理辦法(修訂)》、《規范互聯網信息服務市場秩序若干規定(修訂)》。

03

工信部發布2023年規章制定工作計劃

01

立法動態/INDUSTRY TRENDS

? ? ? ? ?
據北京市委網信辦官方消息,首都互聯網協會、中國科學院信息工程研究所等機構研究編制《北京市互聯網信息服務算法推薦合規指引(2023年版)》。《指引》提出互聯網信息服務算法安全通用要求、特定要求,著力引導算法推薦服務提供者準確把握責任義務、明確工作規范、健全管理制度、完善運行規則、強化技術手段。編制發布《指引》,是北京市推進屬地算法安全治理、幫助企業更好理解管理規定、有效促進平臺企業合規發展的有益探索。

04

? ? ? ? ?
十四屆全國人大常委會第二次會議表決通過新修訂的反間諜法,將于2023年7月1日起施行。全國人大常委會法工委刑法室主任王愛立介紹,新修訂的反間諜法將投靠間諜組織及其代理人,針對國家機關、涉密單位或者關鍵信息基礎設施等實施網絡攻擊等行為明確為間諜行為。根據實踐中的情況,適度擴大相關主體竊密的對象范圍,將其他關系國家安全和利益的文件、數據、資料、物品納入保護。

05

北京發布互聯網信息服務算法推薦合規指引

反間諜法修訂 明確實施網絡攻擊為間諜行為

02

立法動向/LEGISLATION

5月22日晚,國家新聞出版署網站發布2023年5月份國產網絡游戲審批信息,共有86款游戲獲批。截至目前年內累計發放433款游戲版號,接近2022年全年總數(去年過審468款國產網絡游戲)。
市場認為,自2022年12月份起,游戲版號每月的發放數量均超過80款,處于較高水平,預計隨著版號恢復常態化發放,新游戲上線的數量和質量也有望增強,助推游戲行業景氣度持續回暖。具體來看,此次過審的游戲中,網易旗下的《七日世界》以及騰訊旗下的《王牌戰士2》均在列。

  • 5月份共86款國產網絡游戲獲批 業界預計版號常態化發放將助推行業回暖

  • KONAMI起訴Cygames侵權,要求賠償并關停游戲《賽馬娘》

5月17日,日媒報道KONAMI在近日以侵犯專利權的理由起訴了Cygames,要求對方賠償40億日元及滯納金,并關停侵權游戲《賽馬娘》。Cygames對此發表公告,稱雙方就《賽馬娘》的部分系統和程序的專利權進行了協商,但KONAMI并未接受,最終起訴了Cygames。Cygames認為《賽馬娘》并未侵害KONAMI的專利權,游戲會正常運營。目前雙方都未公布爭議的專利具體內容。

  • 《率土之濱》訴《三國志戰略版》侵權一審判賠五千萬

5月23日,《率土之濱》訴《三國志?戰略版》著作權一案(粵0192民初7434號)宣布一審結果。法院一審判決《三國志·戰略版》構成著作權侵權,判令對方需于本判決發生法律效力之日起三十日內刪除或修改侵權內容,并判決靈犀互娛于本判決發生法律效力之日起十日內向網易賠償5000萬元。
與此同時,網易主張《三國志?戰略版》游戲停運的要求被依法駁回。后續《三國志?戰略版》將繼續正常運營。《三國志?戰略版》在官方微博上表示,該判決為一審判決,公司對判決書中的部分內容不予認可,將提起上訴。

03

立法動態/INDUSTRY TRENDS

行業動態/INDUSTRY TRENDS

04

近日,廣州知識產權法院對“同人作品案”作出終審判決,認定被訴侵權行為分別構成著作權侵權和不正當競爭,判令被訴侵權作品《此間的少年》作者立即停止不正當競爭行為,并登報聲明消除影響,賠償經濟損失168萬元及為制止侵權行為的合理開支20萬元,北京聯合出版公司、北京精典博維公司就其中33萬元承擔連帶賠償責任。

  • 同人作品第一案:金庸生前訴江南案終審宣判

  • 《2022年游戲產業輿情生態報告》正式發布

近日,中國音像與數字出版協會常務副理事長兼秘書長敖然在游戲與電競產業學術交流會上發布《2022年游戲產業輿情生態報告》。《報告》顯示,2022 年游戲產業發展面臨一定挑戰,但整體輿情平穩正向、積極向好。在游戲防沉迷取得實效、全球科技競爭加劇、各國紛紛加大對游戲產業投入等背景下,輿論開始逐步發覺并探討游戲的多元社會價值,對游戲進行“再認知”,游戲的正向價值尤其是游戲產業的科技價值和文化價值也被更多看見。未來,我們期待游戲產業的創新發展可以為數字經濟貢獻力量,同時凝聚共識,營造更好的輿論環境使游戲為社會創造更大價值。

  • 歐盟委員會宣布成立算法透明度中心

歐盟委員會在官網宣布將成立歐洲算法透明度中心("ECAT")。ECAT將由數據科學家、人工智能專家、社會科學家和法律專家組成,向歐盟委員會提供內部技術和科學專業知識,以確保超大型網絡平臺和超大型網絡搜索引擎使用的算法系統符合《數字服務法案》中的風險管理、緩解和透明度要求。ECAT的成立旨在協助歐盟委員會對指定公司系統進行檢查,更徹底地分析指定公司提交的透明度報告和風險自我評估。

立法動態/INDUSTRY TRENDS

行業動態/INDUSTRY TRENDS

05

2023年4月中國非游戲廠商及應用出海收入排行榜出爐,廠商收入榜單前五名(按排名先后順序)分別為字節跳動(排名無變化)、歡聚集團(排名無變化)、睿琪軟件(排名上升1位)、騰訊(排名下降1位)以及美圖(排名無變化)。
除了阿里巴巴躍升12位進入榜單的第29位之外,四月份榜單中的其他公司排名并未發生明顯變化。

  • 2023年4月中國非游戲廠商及應用出海收入30強

  • 歐盟委員會宣布成立算法透明度中心

立法動態/INDUSTRY TRENDS

行業動態/INDUSTRY TRENDS

06

越南政府17日發布了關于保護個人數據安全的第13號法令(13/2023/ND-CP),其中規定確保個人數據安全的具體措施和條件。
根據該法令,需要在個人數據處理全過程采取保護個人數據安全的措施。保護個人數據安全的措施主要包括:組織和個人采取與個人數據處理工作有關的管理措施和技術措施,國家管理機構根據該法令及其他相關法律法規實施的措施,國家管理機關實施的調查、訴訟措施以及法律規定的其他措施。
根據該法令,保護個人數據的主管機構為公安部網絡安全和打擊高新技術犯罪局,該部門負責協助公安部做好有關保護個人數據的國家管理工作。國家個人數據保護門戶網站提供黨和國家有關個人數據保護的方針、政策,更新有關保護個人數據的信息和情況,接受有關個人數據保護工作的信息和違反個人數據保護規定的信息,對違法行為作出警告,依法懲治侵犯公民個人信息犯罪等。有關部門、組織和個人加大宣傳力度,提供有關保護個人數據的信息,增強公眾保護個人數據安全的意識,確保個人數據保護機構的基礎設施和運作條件。保護個人數據是指依法預防、發現和處理與個人數據有關的違法行為的活動。
該法令自2023年7月1日起施行。

  • 越南政府發布關于保護個人數據安全的法令

立法動態/INDUSTRY TRENDS

行業動態/INDUSTRY TRENDS

實務研究

Practical Research

07

2022年11月底,由美國OpenAI實驗室研發的新一代生成式人工智能聊天機器人ChatGPT正式上線,在上線兩個月后用戶量便突破了一億,成為歷史上增長最快的消費應用程序。其不僅能夠根據上下文進行自動回復,而且對撰寫文章、代碼、視頻腳本等工作應對自如。從技術原理來看,依靠深度學習和自然語言處理技術的ChatGPT,實際上屬于人工智能生成內容(“AIGC”)的一種新型的商業化應用方式。ChatGPT熱度的飆升也再次引發了人們對AIGC相關法律風險的關注。本文將從AIGC概念及工作原理、具體應用場景及可能帶來的法律風險進行分析,同時為AIGC領域相關企業提供相應的合規應對建議。

一、AIGC的基本概念及原理

從ChatGPT看AIGC的法律風險及合規應對

來源:公眾號“中倫視界”

? ? ? ? AIGC全稱為Artificial Intelligence Generated Content,即“人工智能生產內容”,是一種基于生成對抗網絡GAN、大型預訓練模型等人工智能技術,通過已有數據尋找規律,并通過適當的泛化能力生成相關內容的AI賦能技術。
? ? ? ?早前出現的PGC(Professional Generated Content,專業生成內容)和UGC(User Generated Content,用戶生成內容)的內容生產行為背后的主體是人,而AIGC作為一種自動生成內容的新型生產方式,其內容生產行為背后的主體是人工智能。
? ? ? ?從生成內容來看,AIGC中不僅包含基于線索的部分生成,還包括完全自主生成以及基于底稿的優化生成。也就是說,AIGC所生成的內容中不僅包括常見的圖像、文本、音頻等外顯性內容,同樣也包括策略、劇情、訓練數據等內在邏輯內容。

實務研究

Practical Research

08

? ? ? ?其中,文本生成是目前AIGC應用最廣的場景,近期爆火的ChatGPT即為典型的文本生成式的AIGC。文本生成式AIGC主要包括應用型文本、創作型文本及文本輔助和文本交互四種類型,并在新聞、營銷、客服、游戲等行業有廣泛應用。

二、AIGC的應用場景

? ? ? ? 從AIGC的應用行業來看,AIGC為文化傳媒、商業、教育、金融、醫療、工業、影視等多領域都帶來了顛覆性的創新。
? ? ? ? 從AIGC的具體生成內容分類來看,AIGC可劃分為文本、代碼、圖像、音視頻等類別。

實務研究

Practical Research

三、AIGC涉及的法律風險

? ? ? ? AIGC的發展為各行各業帶來了新的變革與機遇,但與此同時,也應當關注AIGC可能帶來的法律及倫理風險,以此推動這一技術的合法合規發展。
  • 數據安全風險
? ? ? ?作為21世紀的“石油”,數據的戰略重要性逐漸凸顯。為捍衛國家數據安全、保護個人數據權益和規制數據使用行為,我國陸續出臺《中華人民共和國網絡安全法》(《網絡安全法》)、《中華人民共和國數據安全法》(《數據安全法》)《中華人民共和國個人信息保護法》(《個人信息保護法》)等相關法律法規。在AIGC迅速發展的情況下,AIGC所帶來的數據安全風險不容忽視。
? ? ? ? 以ChatGPT為例,根據ChatGPT的運作原理,用戶在輸入端口提出問題后,該問題首先會傳輸到位于美國的OpenAI公司,隨后ChatGPT才會給出相應回答,從而實現輸入到用戶端口對問題的反饋。AIGC的使用者在使用AIGC技術時很有可能會無意中透露有關個人、金融、商業隱私等的敏感信息,從而造成數據的泄露。同時,部分AIGC公司的數據庫中存在著大量未經用戶知情同意的個人照片等隱私數據,容易對用戶的個人隱私安全造成威脅。
? ? ? ? 此外,在ChatGPT類的AIGC工具進行內容生成的過程中,數據的入境與出境作為服務的開端和結尾,都隱藏著法律風險。尤其在數據出境方面,AIGC使用者所提出的問題中極有可能涉及到個人信息、敏感信息甚至有關國家安全、經濟運行、社會穩定、公共健康和安全的重要數據。如前所述,在用戶使用ChatGPT的過程中數據將會被傳輸到其境外母公司,由此可能對境內數據造成數據出境風險。2021年12月國務院印發的《“十四五”數字經濟發展規劃》中明確指出:數據要素是數字經濟深化發展的核心引擎。因此,在當前數據安全保護的語境下,應當更加注重對于數據安全問題的關注。
  • 著作權侵權風險
? ? ? ? AIGC的生成需要依托于海量的文本數據,通過對數據集進行監督學習、強化學習從而優化輸出的內容。而AIGC的生成過程及其生成結果均存在著著作權侵權風險。
? ? ? ?一方面,AIGC使用作品的行為存在著風險。AIGC在生成過程中不可避免會涉及到對他人享有著作權的作品的使用。在當前著作權法的語境下,在使用主體對受著作權法保護的作品進行使用時,必須在獲得權利人許可,支付相應的許可使用費用后方屬于合法使用,而在現行著作權法下AIGC對作品的使用并不能援引法定許可或合理使用條款作為其著作權侵權的例外條款。因此,AIGC未經許可使用作品的行為可能會因為侵犯被使用作品的復制、改編、信息網絡傳播權等權利而落入到侵權困境當中。如2023年1月,全球知名圖片提供商華蓋創意

09

(Getty Images)起訴熱門人工智能(AI)繪畫工具Stable Diffusion的開發者Stability AI,稱其未經許可從網站上竊取了數百萬張圖片。此外,還有3位藝術家對Stable AI和另一個AI繪畫工具Midjourney,以及藝術家作品集平臺DeviantArt提起訴訟,稱這些組織通過在“未經原作者同意的情況下”從網絡上獲取的50億張圖像來訓練其人工智能,侵犯了“數百萬藝術家”的權利。因此,AIGC在生成內容的過程中使用受著作權保護的作品可能會由于未經許可而使用導致相關的侵權訴訟。目前歐盟、英國、日本等國家和地區已嘗試出臺了關于“文本與數據挖掘例外”“計算機分析例外”等與AI使用作品相關的著作權侵權例外制度,一定程度上為AIGC使用作品的行為提供了探索合理使用依據的實踐。而目前我國最新修訂的《中華人民共和國著作權法》(《著作權法》)中對于合理使用仍采取“封閉式”的立法模式,對于人工智能在進行內容生成時使用受著作權保護的相關作品的問題尚未進行回應,類似問題仍有待進一步的立法規范。
? ? ? ? 另一方面,若AIGC通過分析學習后生成的內容與原始作品過于相似,以至于可能會誤導公眾或混淆原始作品的來源,那么可能會因為與他人作品存在“實質性相似”而被認定為侵權,從而導致著作權侵權相關的訴訟。而使用含有侵權內容的AIGC內容的使用者也有可能需要承擔侵權責任。
  • 深度偽造風險
? ? ? ? AIGC還存在著被用于制作虛假的文本、音頻、視頻等深度偽造的內容的風險。深度偽造(Deepfakes)技術是近年來發展的一種基于深度學習的人物圖像合成技術。其主要被運用于AI換臉、語音模擬、人臉合成、視頻生成等場景。深度偽造技術被某些群體的惡意運用,將可能導致該技術被用于生成虛假信息、使用模型來模擬某個人的語言或行為模式、進行政治干預、煽動暴力和犯罪等破壞公共利益的行為。如2022年3月,一則烏克蘭總統澤連斯基宣布投降的深度偽造視頻在社交媒體平臺廣泛傳播,雖然該視頻較為粗糙,但仍造成了人們對媒體的不信任及對社會正常秩序的損害。
  • 商業秘密泄露風險
? ? ? ?在使用AIGC的過程中,為了獲取較明確的AIGC結果,用戶在使用過程中可能需要提供詳細的背景信息。因此,作為公司員工的用戶很有可能會在未察覺的情況下違反了公司保密制度,將公司的營業信息、技術信息或商業秘密(如平臺底層代碼、近期營銷計劃、公司薪酬體系)等信息泄露,從而導致商業秘密泄露風險。以ChatGPT為例,其使用條款明確規定除非用戶要求OpenAI不對其輸入和輸出內容進行使用,否則OpenAI擁有對任何用戶輸入和輸出內容的廣泛使用權,以達成改善ChatGPT的目的。為了防止出現泄露商業秘密的風險,微軟和亞馬遜均對其員工進行了禁止對ChatGPT分享任何機密信息的提醒。因此,AIGC用戶,尤

10

實務研究

Practical Research

實務研究

Practical Research

其是負有保密義務的用戶在使用ChatGPT和類似的人工智能工具時,應當注意采取措施,以免出現泄密行為。
  • 違法信息傳播風險
? ? ? ?AIGC的廣泛使用可能存在著加劇算法歧視與偏見的風險。以ChatGPT為例,根據OpenAI在其官網上的說明,盡管其努力使得ChatGPT拒絕用戶不合理的請求,但ChatGPT生成的內容仍有可能存在著包含種族歧視或性別歧視、暴力、血腥、色情等對法律和公序良俗造成挑戰的內容。因此,若對因算法歧視產生的可能違背法律法規或公序良俗的AIGC進行傳播,則可能存在著違法信息的傳播風險。

四、AIGC相關企業的合規應對

? ? ? ?隨著AIGC的發展,越來越多的科技企業將會加入這一賽道。國內AIGC領域企業在面對AIGC可能帶來的法律風險時,應當做好相應的合規應對,從而更好地助力企業發展及產業進步。
  • 遵循數據安全及個人信息保護相關法律法規
? ? ? ?AIGC相關企業應在遵守《網絡安全法》《數據安全法》及《個人信息保護法》等法律法規中關于數據及個人信息保護的相關規定基礎上,注意遵循2023年1月10日正式施行的《互聯網信息服務深度合成管理規定》(《深度合成管理規定》)中對深度合成服務提供者和技術支持者的相關規定。對于訓練數據包含個人信息的,應當遵守個人信息保護的有關規定。深度合成服務提供者和技術支持者提供人臉、人聲等生物識別信息編輯功能的,應當提示深度合成服務使用者依法告知被編輯的個人,并取得其單獨同意。
? ? ? ? 此外,AIGC相關企業在跨境傳輸數據時,應當按照《數據出境安全評估辦法》《關于實施個人信息保護認證的公告》《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規范V2.0》和《個人信息出境標準合同辦法》等相關法律法規中關于數據出境的規定,通過主動了解相關法律法規和政策,開展數據出境風險自評估,為數據出境獲得必要的授權或許可,并建立完善的數據出境保障措施和數據接收方管理措施,定期評估和審計數據出境的情況,從而遵守各國家和地區關于數據出境的相關規定,維護我國數據安全。
  • 加強企業版權管理

11

實務研究

Practical Research

? ? ? ? 對于AIGC使用受著作權保護的作品的問題,根據我國現行《著作權法》的規定,使用他人作品時應當取得著作權人的授權。因此,AIGC相關企業在進行AIGC生成的過程中,應當注意用以抓取的數據庫中是否存在受著作權保護的作品,若存在相關作品,則應當取得相關著作權人的授權,以避免陷入著作權侵權糾紛。
? ? ? ? 而對于AIGC的著作權歸屬問題,目前學界和實務界對此問題仍然存在著爭議。在此情況下,AIGC的服務提供或技術支持相關企業可嘗試在制定用戶協議時明確AIGC的著作權歸屬,從而避免相關糾紛。
  • 加強內容審查及內容過濾
? ? ? ? AIGC相關企業應當遵守《互聯網信息服務算法推薦管理規定》以及《深度合成管理規定》等相關法律法規對AIGC的相關規定。按照《深度合成管理規定》要求,AIGC相關企業等深度合成服務提供者和技術支持者應當加強技術管理,定期審核、評估、驗證生成合成類算法機制機理。此外,深度合成服務提供者對使用其服務生成或者編輯的信息內容,應當采取技術措施添加不影響用戶使用的標識,并依照法律、行政法規和國家有關規定保存日志信息。在發現不良或違法信息時及時向有關部門進行報告,并將日志信息進行封存。
? ? ? ? 此外,AIGC企業還可以通過限制用戶輸入及通過自建庫或第三方服務等方式,加強對其生成內容審查及內容過濾,以確保AIGC不會違反法律法規或公序良俗,從而推動AIGC企業合法合規發展。
(全文完)

12

實務研究

Practical Research

13

AIGC相關法律問題初探
? ? ? ? ? ? ? ? ? ?——模型層和應用層

引言

? ? ? ?繼正式開放ChatGPT(gpt-3.5-turbo)和Whisper模型的API后,OpenAI公司于2023年3月15日在其官網推出“爆款單品”多模態大模型GPT-4。根據OpenAI公司的說明,GPT-4在高級推理和其他多項能力測試中的表現均明顯優于ChatGPT,并且可對圖像及長篇文本進行識別并生成文字內容。GPT-4發布后約37個小時,百度發布其大語言模型“文心一言”,據稱,該模型具備文學創作、商業文案、數理邏輯、中文理解和多模態生成等多方面的能力。同日,微軟宣布其計劃將ChatGPT相關技術集成至Microsoft Office 365軟件,支持對話式的office文檔生成。此外,谷歌、科大訊飛、騰訊、奇虎360、京東和網易等互聯網公司均于近期透露了其在生成式AI(“AIGC”)技術和產品方面的研發計劃和產品布局,一時間,AIGC領域的科技進步和競爭進入“狂飆”。
? ? ? ?公眾關注的焦點一方面是AIGC帶來的革命性體驗和顛覆性生產力,另一方面則是該項技術可能帶來的風險,包括虛假信息、網絡和數據安全、以及道德和政治風險等。比如,就在GPT-4發布后一周,OpenAI公司的創始人Sam Altman通過其社交媒體宣稱,其團隊剛剛修復了一個ChatGPT的系統漏洞,該漏洞會導致小部分用戶能夠看到其他用戶和ChatGPT的部分對話信息。而就在一天后,其進一步宣布推出ChatGPT插件,使其具有更強大獲取信息的能力,讓這個快速迭代的AIGC產品更強大也更危險。如果打開“潘多拉盒子”是不可避免的,那么如何將危害降至最低,成了各國立法和監管機構亟需解決的問題。
? ? ? ?目前AIGC領域從產業鏈層面主要可以分為基礎設施層、模型層以及應用層。基礎設施層主要解決AI訓練的算力問題,主要參與者包括云計算和芯片公司。模型層主要是基于自然語言處理技術和算法創建的參數和架構組合,OpenAI公司開發的GPT-4以及Stability AI開發的開源模型Stable Diffusion都是模型層的代表。應用層是基于模型層開發的、面向2B和2C的場景化、定制化、個性化的程序,比如目前比較火爆的Notion AI、Midjourney等。由于基礎設施層從法律監管角度相對成熟和傳統,本篇文章擬重點梳理和探討AIGC模型層和應用層在中國現行有效的法律框架下的監管。

來源:公眾號“方達律師事務所”

實務研究

Practical Research

14

01

與模型層和應用層有關的
中國大陸現行主要監管體系

1. 主要監管機構
? ? ? ?自2011年5月網信辦成立以來,針對網絡安全以及互聯網信息服務的相關監管,我國逐步確立了以網信部門統籌協調,國務院及地方其他政府部門在職責范圍內聯合監管的監管架構。對于模型層而言,技術層面可能主要涉及:
  • 模型研發訓練過程中收集、存儲和使用數據,
  • 深度合成服務技術/算法,以及
  • 人工干預和內容生成。
? ? ? ?對于應用層而言,無論是2B還是2C,潛在風險最高的是內容成果(文字、圖片、音頻、視頻等)的交付。鑒于此,結合現行法律法規的規定,部分主要相關的監管部門包括國家和地方網信部門、公安機關、國家安全機關、電信主管機關、市場監督管理機關以及國家數據局等。
2. 主要適用的法律法規
? ? ? ? 近年來,我國以《網絡安全法》《數據安全法》和《個人信息保護法》為基礎,逐步構建和完善網絡安全、數據、算法和內容合規體系,對相關企業的合法運營提出了諸多要求。此外,隨著新技術的迅猛發展,考慮到立法存在的滯后性等問題,有關部門也在根據具體情況及時出臺針對性的規定,以便更及時有效地應對新技術所產生的新問題。對于模型層和應用層而言,主要適用的部分法律和法規包括:

實務研究

Practical Research

15

3. 許可、備案及評估要求
? ? ? ?參照監管機關歷史上對“深度偽造”(deepfake)技術的監管實踐,AIGC模型可能被認定為“深度合成技術”,進而適用《互聯網信息服務深度合成管理規定》。根據該規定,模型開發者可能被認定為“深度合成服務技術支持者”,而AIGC的技術特性又注定了其“具有輿論屬性或者社會動員能力”,因此模型層從業者需要履行相應的算法備案、安全評估等手續。而對于應用層從業者而言,在不同場景下,其可能是基于開放API或開源模型進一步開發應用程序,亦可能同時也是模型開發者,因此建議應用層從業者密切關注上述關于深度合成和算法的規定,以滿足相關合規要求。此外,應用層需特別注意與生成內容相關的安全評估要求。

實務研究

Practical Research

16

? ? ? ?此外,AIGC模型在模型研發訓練階段涉及大量數據的采集、存儲和使用,對于模型開發者而言,需要建立完備的數據安全管理制度,以確保其模型研發活動不違反網絡安全和數據安全的相關規定。而應用層從業者亦應根據其技術和商業模式,滿足用戶信息保護和數據安全合規的要求。我們對相關監管要求總結如下:

02

監管趨勢

實務研究

Practical Research

17

? ? ? ?由上面的立法時間線來看,我國在信息技術領域的立法特點主要是根據新情況、新問題,陸續發布針對性法律法規,并在一定階段制定統一的基礎性和原則性法律,完成法律框架的建立,并在此基礎上進一步完善。截至目前,我國尚未建立起專門針對人工智能技術的法律框架,特別是缺乏針對人工智能技術的研發、模型開發等方面的專門規則。現行規則相對分散,且部分內容所主要針對的技術及場景相較于當前的技術發展程度,已經存在一定的滯后。
? ? ? ?隨著近期人工智能技術的快速發展,以及部分高關注度產品的誕生,基于對我國先前立法監管的觀察,不排除監管部門在近期進一步針對人工智能技術制定針對性的規定,甚至建立類似“1+N”式的規則框架,即在制訂基礎性和原則性的規定的同時,針對部分關鍵問題或具體技術,專門發布相應的規則和指導性文件,最終實現對人工智能技術全周期、全方位的有效監管。我們建議有意從事相關業務的企業和人員及時、主動的關注監管動態,并在必要情況下尋求專業人員的幫助,以確保相關的技術開發和產品運營等活動符合相關規定。

03

境外人工智能監管動態

? ? ? ?對于人工智能技術的快速發展,美國和歐盟的立法機構也在陸續推進相應的立法以及監管落地工作。
? ? ? ?美國白宮辦公室科技政策辦公室于2022年10月發布了The Blueprint for an AI Bill of Rights: Making Automated Systems Work for the American People,其中確立了5項基本原則,用于對人工智能系統的設計、使用以及部署進行規范和指導以保護公眾權益。該文件作為“藍圖”尚不屬于正式法案,但對于業界從業

實務研究

Practical Research

18

者而言具有一定的指導意義。5項基本原則包括安全和有效的系統(Safe &Effective Systems)、算法歧視保護(Algorithmic Discrimination Protections)、數據隱私(Date Privacy)、通知和說明(Notice & Explanation)、人工選擇、人工考慮和退出(Human Alternatives, Consideration, and Fallback),同時,該文件還結合美國當前法律法規以及司法體系的,對這5項原則進行了分析和論述,并在文件的末尾部分列舉了部分涉及人工智能技術的案例,以論證該等原則的適用性。
? ? ? 歐洲議會和歐盟理事會正在制定歐盟的AI法案(Artificial Intelligence Act),并且已經發布了相關草案。歐洲議會的兩名報告人(rapporteur)Drago? Tudorache和Brando Benifei于2023年3月14日針對通用人工智能(General Purpose AI (GPAI))的治理提出了對歐盟AI法案的一系列修訂意見,其中包括要求GPAI模型的設計和開發需要遵循特定的管理要求、用于訓練的數據需要遵循適當的數據管理規則(包括相關性、適當性、潛在偏見等)、全周期的外部算法審計、監管機構應及時出臺專門的指導性文件、自然語言生成模型應遵循數據管控并確保透明性、GPAI的技術提供方應在歐盟數據庫進行注冊等等。
? ? ? ? 與此同時,鑒于AIGC的基礎設置層和模型層對國家競爭力的重大影響,美國繼去年出臺《芯片與科學法案》以及持續更新EAR中AI相關的規則和實體清單后,可能于近期進一步限制高性能AI芯片以及AIGC模型技術和軟件的出口。2023年1月28日,美國國防信息系統局已將AIGC技術加入到觀察清單,認為其有潛力在廣泛的軍事應用中發揮作用。此外,自2021年起,美國國會即提出建議設立類似于CFIUS的美國對外投資審查委員會,重點審查美國對包括AI技術、半導體、量子計算等在內的重點領域的境外投資,如該等機制建立,則將進一步影響中國相關企業的融資和商業發展。

04

對模型層和應用層從業公司和投資者的
初步法律建議

實務研究

Practical Research

19

? ? ? ?基于上述分析,對于模型層和應用層的從業公司,我們建議:
  • 密切關注人工智能合規方面的監管動態,及時與監管進行溝通并依照相關規定履行經營許可/備案、算法備案、安全評估等手續,確保運營合規;
  • 建立健全用戶注冊、算法機制機理審核、科技倫理審查、信息發布審核、數據安全、個人信息保護、反電信網絡詐騙、應急處置、人工干預、用戶自主選擇等管理制度,具備安全可控的技術保障措施;
  • 及時建立規范、有效的網絡安全管理制度和數據隱私保護政策,并指定專人負責相關制度的內部執行及監督,有條件的情況下,應聘請數據法律專業人員進行自查自檢;
  • 在產品發布前,聘請專業人士協助制定周密的產品政策、用戶協議;
  • 在合法合規的前提下,謹慎使用境外模型、技術和軟件。
? ? ? ?對于機構投資者,我們建議,除了在盡職調查的過程中重點關注上述問題之外,還應注意:
  • 公司的外資屬性。考慮到AIGC天然具有輿論屬性和社會動員能力以及其在軍事領域的潛在應用價值,我們預計未來AIGC或者其某些細分領域可能會面臨外商投資的限制;
  • 公司的關鍵技術是否依賴境外的技術輸入。考慮到未來可能出現的境外相關技術的出口限制和投資限制,如果公司在剝離境外技術后無法獨立運營,將嚴重影響公司的估值和投資人的權益;
  • 公司與算力供應商之間的商業安排,特別是模型層的從業公司。比如,應重點關注SLA(即Service Level Agreement)中關于公司持續穩定地使用算力資源、知識產權歸屬、網絡和數據安全等相關約定,以及該等約定對公司業務的潛在影響;
  • 公司核心知識產權以及know how的權屬和保護措施;
  • 核心員工的國籍和勞動合同;以及
  • 公司業務模式的潛在刑事風險。

實務研究

Practical Research

20

結語

OpenAI公司的創始人Sam Altman提出,新的摩爾定律將會開啟,宇宙中的智能數量每18個月翻一番。在AI狂飆的路上,中國企業和投資者如何抓住機遇,而監管機構如何平衡發展和安全,將對我國未來20年的競爭力產生深遠影響。而當AI成為新的全球兵家必爭之地時,我們必須要膽大心細,以長遠的眼光做好基礎設施層、模型層以及應用層的相關部署,不做投機的跟風者,而做務實的創新者。
(全文完)

實務研究

Practical Research

21

對《生成式人工智能服務管理辦法》的思考

來源:公眾號“金杜研究所”

引言

? ? ? ?ChatGPT出現引發全球熱潮,一方面AIGC(AI Generated Content)應用場景更加豐富,能高效地促進經濟和社會的發展,但另一方面AIGC突破性的成果也引發了多方面的危機感。質疑聲從個人隱私泄露、商業秘密保護等,進一步延伸到工作機會減少、文化滲透、以及如何保護人類主體性等大問題。特斯拉首席執行官埃隆·馬斯克(Elon Musk)、蘋果聯合創始人史蒂夫·沃茲尼亞克(Steve Wozniak)以及其他上千名AI研究人員日前簽署公開信,呼吁暫停研究更先進的AI技術。意大利、德國、法國、愛爾蘭等8國相繼不同程度的表達監管態度,一時間不僅人工智能迎來的奇點,仿佛人類作為生物族群的主體性也到了“生死存亡”的轉折點。
? ? ? ?但我們理解, AIGC的發展甚至更先進AI技術出現幾乎已經不可逆轉,當前AI的自主性和普世價值使得它大概率不會如同克隆技術一般被人為的阻止或廢棄。需要客觀的認識到,科技巨頭以及國家之間的AI軍備競賽“開弓沒有回頭箭”,急踩剎車的監管方式將有可能陷入固步自封的困局。因此,如何有效地防范新型人工智能系統的風險,同時加速國家人工智能產業發展將是各個國家當前面臨的“大考”。
? ? ? ?國家互聯網信息辦公室于2023年4月11日發布的《生成式人工智能服務管理辦法(征求意見稿)》(“《辦法》”),是國家針對生成式人工智能監管的第一份“答卷”。其是在對科技倫理風險預警與跟蹤研判的基礎上,及時回應當前生成式人工智能帶來的風險與沖擊的敏捷治理嘗試。本文將在梳理《辦法》的主要規定,以及與我國現有的算法治理框架的銜接與承繼關系的基礎上,嘗試以比較法的視野對《辦法》的算法規制路徑加以解讀,并據此進一步作出立法展望。

01

LEGISLATION

生成式人工智能服務管理框架與責任主體義務

1.《辦法》的規范框架
? ? ? ?就《辦法》的規范框架而言,其首先明確了規定的上位法依據、適用范圍以及國家對生成式人工智能服務的基本立場,隨后規定了責任主體所應履行的義務,并設置相應行政處罰。
? ? ? 《辦法》第二條將生成式人工智能定義為基于算法、模型、規則生成文本、圖片、聲音、視頻、代碼等內容的技術。基于該定義,《辦法》的適用于研發、利用生成式人工智能產品,面向中華人民共和國境內公眾提供服務的行為,明確了《辦法》在世界互聯時代的域外效力。
? ? ? 根據《辦法》第五條的規定,《辦法》的責任主體是“提供者”,即利用生成式人工智能產品提供聊天和文本、圖像、聲音生成等服務的組織和個人。提供者包括組織和個人兩類主體,根據文義解釋,可能不包括僅從事研發的組織和個人。
? ? ? 《辦法》對責任主體設定涵蓋算法、內容、用戶、監管機制等方面的義務,強調與《網絡安全法》(“《網安法》”)等上位法,以及《具有輿論屬性或社會動員能力的互聯網信息服務安全評估規定》(“《安全評估規定》”)《互聯網信息服務算法推薦管理規定》(“《算法推薦管理規定》”)《互聯網信息服務深度合成管理規定》(“《深度合成管理規定》”)等規范構成的算法治理規范框架緊密銜接,形成對生成式人工智能服務的全方位、多維度規制。
2.責任主體主要義務梳理
? ? ? ?以與義務履行最密切的對象為標準,可以大致將《辦法》所規定的主要義務劃分為監管機制相關義務、算法訓練相關義務、內容管理相關義務以及用戶相關義務,具體如下表所示。

實務研究

Practical Research

22

實務研究

Practical Research

23

02

重點內容解讀

實務研究

Practical Research

24

1.與現行算法治理規范框架的對比與銜接
? ? ? (1)生成式人工智能服務與算法推薦、深度合成服務治理思路的“一脈相傳”
? ? ? ?總體而言,《辦法》對生成式人工智能服務提供者延續了此前《算法推薦管理規定》《深度合成管理規定》對算法推薦服務提供者以及深度合成服務提供者相類似的監管態度,延續了此前的監管手段,展示出我國在算法治理領域的一致性和連續性。
? ? ? ? 首先,在監管理念方面《辦法》承繼了 “科技向善”的精神。“科技向善”是我國算法治理領域的基本原則之一。2021年底,《算法推薦管理規定》首次在部門規章層面納入“向善”的目標,要求算法推薦服務提供者不僅應堅持主流價值導向,積極傳播正能量,同時應當采取措施防止和抵御傳播不良信息。2022年, AI換臉的社會事件層出不窮,引發人們對Deepfake等深度合成技術的關注,《深度合成管理規定》出臺后,其也強調深度合成服務應當“向上向善”。目前旨在規制生成式人工智能的《辦法》,雖然其文本并未明確提出“向善”的概念,但明確了提供者遵守社會公德、公序良俗的義務,并強調了防止生成虛假信息、禁止商業炒作和不正當營銷等義務。我們理解,提供者的上述義務對促進生成式人工智能服務的“向上向善”具有積極意義,有助于實現我國算法與人工智能的體系化治理。
? ? ? ? 其次,在監管手段方面,《辦法》延續了此前國家網信辦在《算法推薦管理規定》《深度合成管理規定》中采取的措施,除了個人信息保護的一般性義務,還要求人工智能服務提供者履行安全評估、算法備案、內容標識等義務。
? ? ? ?通過上述措施,一方面,監管部門既能通過算法備案了解相關生成式人工智能服務的算法屬性,例如算法數據、算法策略、算法風險與預防機制等,也能根據安全評估實現對相關生成式人工智能服務的相關信息尤其是安全管理制度及技術措施落實情況等的了解。另一方面,生成式人工智能服務面向的用戶也可通過標識區分通過特定算法技術生成的內容,對相關技術的使用充分知情,從而對相關互聯網信息內容進行理性的篩選與價值判斷。此外,在事后監管方面,為了便利國家網信部門等監管部門的執法能力,從而加強對用戶權益的保護,《辦法》承繼了《算法推薦管理規定》與《深度合成管理規定》賦予相關部門“算法服務檢查”[2]的權力,在此基礎上進一步明確提供者應按要求提供包括訓練數據來源、規模,人工標注規則等可以影響用戶信任、選擇的必要信息,以信息與數據為“抓手”,實現對具有復雜性、模糊性、易變性的人工智能的治理。

實務研究

Practical Research

25

(2)《辦法》亟待厘清與《深度合成管理規定》《算法推薦管理規定》的銜接與適用
? ? ? ?如前所述,雖然《辦法》期待實現與《算法推薦管理規定》《深度合成管理規定》的聯系與互動,但我們理解,具體條款的銜接方式與內容尚待進一步厘清。具體而言,《辦法》與其他算法治理規范,尤其是《深度合成管理規定》的銜接與適用主要存在規制對象、義務適用缺乏充足的確定性等難題。
? ? ? ? 1)《辦法》與《深度合成管理規定》規制對象之辨析
《辦法》
本辦法所稱生成式人工智能,是指基于算法、模型、規則生成文本、圖片、聲音、視頻、代碼等內容的技術。
《深度合成管理規定》
深度合成技術,是指利用深度學習、虛擬現實等生成合成類算法制作文本、圖像、音頻、視頻、虛擬場景等網絡信息的技術,包括但不限于:……
? ? ? ? 根據前述規范定義,深度合成和生成式人工智能均可通過一定的算法生成文本、圖片、聲音等內容,因此《深度合成管理規定》和《辦法》的規制對象可能存在一定程度的重疊。為理解《深度合成管理規定》和《辦法》的適用關系,我們首先需要結合生成式人工智能與深度合成技術的相關性來適用相關規定。
? ? ? ?目前,有觀點認為,《辦法》所稱的生成式人工智能除了算法,還可利用模型、規則生成代碼、視頻等內容,和深度合成相比,生成式人工智能更具適用上的廣泛性。我們理解,《辦法》所稱的生成式人工智能,相較《深度合成管理規定》對深度合成技術的定義,除包括利用算法技術,還可基于模型、規則生成內容。但在人工智能領域中, “模型”是指基于已有數據集,運行機器學習算法所得到的輸出,即模型就是運行算法后得到的產物,因此前述區別并非實質性區別,難以支撐《辦法》的適用范圍必然廣于《深度合成管理規定》的結論。與此同時,學界則傾向于認為生成式人工智能、生成式人工智能內容應用僅是深度合成技術的子集,但是在法律規范層面上,《辦法》與《深度合成管理規定》的適用對象可能確有一定程度的混淆不明。
? ? ? ?無論如何,在僅以文義解釋難以區分《深度合成管理規定》與《辦法》規制對象的背景下,將致使規制對象主體義務履行發生沖突或矛盾的困境。舉例而言,在兩部規范規制對象完全一致的情況下,將會致使所有深度合成服務提供者和深度合成服務提供者

實務研究

Practical Research

26

需要履行生成式人工智能服務提供者的全部義務。以《辦法》第十六條為例,其規定提供者應當按照《深度合成管理規定》對生成的圖片、視頻等內容進行標識。由于規制對象一致,且《辦法》僅設置單一的“提供者”角色,深度合成服務的技術提供者可能同時構成《辦法》下的“提供者”,需履行前述標識義務,但這一義務在《深度合成管理規定》下僅歸屬于深度合成服務提供者,而非技術支持方。基于前述文義解釋對于規制對象一致的推定,原有的深度合成服務技術提供者將在《辦法》生效后承擔過重的義務,二者的規制對象有待進一步澄清。
? ? ? ? 2)生成式人工智能服務提供者義務范圍邊界之探尋
? ? ? ? 如前所述,《辦法》延續了此前算法治理領域的相關監管手段,要求生成式人工智能服務提供者履行安全評估、算法備案、內容標識等義務。但是,生成式人工智能服務提供者履行相關義務的邊界仍處于模糊的地帶,有待進一步說明。
? ? ? ?首先需要明確的是,《深度合成管理規定》和《算法推薦管理規定》與《辦法》的側重點本就存在差異。依據三部規定的立法意旨可知,前兩者側重于對互聯網信息內容的治理。中共中央印發的《法治社會建設實施綱要(2020-2025年)》明確提出需完善網絡信息服務方面的法律法規,其包括了算法推薦、深度偽造等新技術應用的治理。而《辦法》整體上聚焦于生成式人工智能的規范應用與發展,除規制為網絡用戶提供圖片、音視頻生成等服務,應認為其具有更廣泛、更通用性的適用意義。

實務研究

Practical Research

27

? ? ? ?在此背景下,《深度合成管理規定》和《算法推薦管理規定》均明確規定以“提供互聯網信息服務”為適用前提,《辦法》與之存在表述上的顯著差異,加之對《辦法》相關條文的文義解釋和對算法治理規范的體系解釋,生成式人工智能服務提供者就安全評估、算法備案、內容顯著標識的義務履行邊界可能存在疑問。
? ? ? ?就算法備案義務而言,《算法推薦管理規定》并未要求全體算法推薦服務提供者均應履行算法備案義務,備案義務僅約束具有輿論屬性和社會動員能力的算法推薦服務提供者。《深度合成管理規定》同樣承繼了此種規定,明確說明深度合成服務提供者開發上線具有輿論屬性或者社會動員能力的深度合成服務提供者,應履行算法備案義務。據此我們理解,算法備案義務僅限于具有輿論屬性和社會動員能力的特定應用服務提供者。但《辦法》僅規定“利用生成式人工智能產品向公眾提供服務前”,整體上未提及互聯網信息服務。如前所

述,我們理解,算法備案義務的承擔具備一定的條件,而《辦法》的行文表述致使不明確是否所有生成式人工智能服務提供者均應承擔算法備案的義務。對安全評估義務的適用亦與此有相類似的問題。

實務研究

Practical Research

28

? ? ? ? 就內容標識義務而言,《深度合成管理規定》為深度合成服務提供者施加了標識和顯著標識兩類義務。對于顯著標識義務,與算法備案類似,并非需對其生成的全部信息內容進行顯著標識,深度合成服務提供者僅需對特定幾類可能導致公眾混淆或者誤認的信息內容進行顯著標識。然而,《辦法》的行文表述依然缺乏足夠的確定性:一方面,生成式人工智能服務提供者是否僅需對生成的圖片等內容進行標識,即使相應的內容屬于“智能對話、智能寫作等模擬自然人進行文本的生成或者編輯服務”等可能致使公眾混淆或誤認的內容,也僅需履行一般性的標識義務,而無需履行特殊的顯著標識義務。另一方面,如前所述,《深度合成管理規定》側重于互聯網信息服務規制,但《辦法》的適用范圍似乎并不限于互聯網信息服務領域,《辦法》是否要求互聯網信息服務領域以外的生成式人工智能服務提供者均需履行標識義務?
? ? ? ? 與上述問題類似,《辦法》僅使用“按照”一詞銜接其他規范時,并未明確相應的適用條件。事實上,我們理解并非所有算法推薦服務提供者和深度合成服務提供者均需履行國家網信部門規定的安全評估、算法備案及內容顯著標識義務。此外,如前所述,提供者提供的生成式人工智能服務,并非全部屬于互聯網信息服務;在互聯網信息服務領域外的生成式人工智能服務提供者,履行互聯網信息內容管理要求的必要性可能也需進一步明確。再者,如果提供者并不涉及提供互聯網信息服務,其是否還需依據《網安法》履行要求用戶提供真實身份信息等互聯網信息服務義務?
? ? ? ? 總而言之,在算法應用治理領域,《辦法》意圖實現各類治理規范的有機聯動。但是,如何使《辦法》與《算法推薦管理規定》《深度合成管理規定》乃至《網安法》實現有序銜接,提供生成式人工智能服務的企業如何實際履行算法備案、內容標識等義務,義務的履行的邊界又在何處,尚待《辦法》作出明確的界定。

2.比較法觀察:從歐盟《人工智能法案》與美國《人工智能問責政策》看“中國方案”
? ? ? (1)歐盟人工智能治理的路徑選擇:基于風險的規制
? ? ? ?2018年4月發布《歐洲人工智能戰略》、2020年2月發布《人工智能白皮書》、再到2021年4月發布《人工智能法案》(“Artificial Intelligence Act”)提案、數次對《人工智能法案》文本進行修訂并于2022年12月發布《人工智能法案》最新版本,歐盟始終積極探索人工智能治理。在人工智能治理領域,歐盟關注人工智能對基本權利的影響,并意圖打造一個可信的人工智能生態系統。
? ? ? ??

實務研究

Practical Research

29

? ? ? ? 1)人工智能治理框架:通用立法與行業規制? ? ?
? ? ? ? 歐盟《人工智能法案》采取統一通用立法模式,雖然內容上,《人工智能法案》排除了部分人工智能系統應用場景的規制,例如原則上遠程生物識別系統應當被劃入高風險系統當中,但出于執法目的的某些例外情況可在經授權后使用,但整體上,歐盟希望《人工智能法案》具有歐盟人工智能治理領域基本法的地位,并希望通過其域外效力,影響全球的人工智能治理進程。
? ? ? ?歐盟在《人工智能法案》中以橫向監管框架為基礎,以風險為路徑,基于人工智能系統預期使用的用途、場景等,將人工智能系統劃分為不可接受的風險、高風險、有限的風險以及最小風險,并主要規制高風險人工智能技術提供者的行為,要求存在高風險的人工智能技術在投放市場前,甚至在整個生命周期中均需履行提供高質量數據集,建立完備的風險評估系統,向用戶提供清晰、充分的信息等義務,并接受審查。
? ? ? ? 值得一提的是,最新版本的《人工智能法案》已經將通用型人工智能系統(General purpose AI system)納入規制范圍,并明確,通用型人工智能既可能單獨作為高風險人工智能系統,也可能僅是某高風險人工智能系統的組件;如果某通用型人工智能系統提供者確信自己的系統不會用于《人工智能法案》規定的高風險場景,則其無需承擔相應的高風險規制義務。這種以風險為路徑的分級監管方式也能給我國人工智能治理提供一些啟發:是否有必要區分生成式人工智能服務的應用場景,對其進行分類分級,從而進行更針對性的監管?《算法推薦管理規定》已經提出了類似的分級分類監管思路。
? ? ? ? 人工智能領域的通用立法一直飽受爭議,原因在于各個行業應用人工智能的風險差異較大,在沒有廣泛調研和對人工智能技術在各行業差異進行深入了解之前,嘗試用普遍規則來規制多行業人工智能應用有可能掣肘某些特殊行業人工智能的發展。因此有不少國家也會考慮以特殊行業規制出發,以實際效果來摸索人工智能治理的普遍規則。自2021年底,我國陸續深入算法推薦、深度合成領域推出針對性立法,此種立法方式更傾向于行業規制。在作為頂層設計的綜合性人工智能立法尚未出臺的背景下,結合算法及人工智能場景應用的具體場景和目的,深入各領域立法,適時制定某一特定算法應用或服務的規定,有利于我國監管部門迅速回應算法及人工智能在特定領域引發的社會問題。與算法推薦服務、深度合成服務相比,生成式人工智能服務的適用的確具有更廣泛的空間,因為生成式人工智能服務可用于互聯網信息服務、精準醫療、無人駕駛等各行各業,但這不影響《辦法》本身更可能被認定為行業規制的延續。

實務研究

Practical Research

30

? ? ? ?行業規制雖然能深入各具體場景規制算法與人工智能服務的使用,但類似于《人工智能法案》的綜合性立法仍是未來人工智能治理領域不可或缺的內容。據我們了解,多個部委近幾年已經開始研討“可行人工智能的立法規制建設”,我們期待通過專門的中央立法強有力地指導各地、各領域的人工智能發展,并在新形式或新技術出現時提供一般性監管要求。
? ? ? ? 值得一提的是,立法與監管部門也在嘗試關聯目前現有的算法與生成式人工智能治理的監管措施,形成統一的監管態勢。具體而言,互聯網信息服務算法備案系統在此前已經串聯了算法推薦服務提供者、深度合成服務提供者和深度合成技術支持者的備案工作,雖然生成式人工智能服務提供者的算法備案義務尚需進一步討論,但這種銜接的嘗試有利于我國形成體系化的監管路徑。

? ? ? ? 2)人工智能治理措施:風險預防? ? ?
? ? ? ? 以風險為路徑,歐盟《人工智能法案》為高風險人工智能系統提供者施加了諸如符合性評估(Conformity Assessment)、數據治理(Data and Data Governance)等義務。雖然歐盟與我國在人工智能服務領域采取的立法方式與監管思路有所區別,但就監管手段而言存在一定共識,通過這些共識,可以窺見部分全球人工智能治理的方式及路徑,有所裨益。
? ? ? ?安全評估并非算法與人工智能服務領域獨有的監管手段,其旨在評估相關企業等主體的活動是否存在風險、風險程度如何等,從而決定是否允許被評估對象是否能面向公眾或社會等開展服務。訓練數據集管理的要求更具獨特性,算法的研發、優化依托大規模的數據;經過一次又一次的數據喂養和系統運行,算法得以實現研發設計者意圖實現的目標。因此,訓練數據集的管理在人工智能領域具有極其重要的地位;高質量的訓練數據有利于減少算法歧視等問題的發生。《辦法》第七條相較于此前《深度合成管理規定》中簡單提及的“加強訓練數據管理”,更為具體地提出了對訓練數據集的要求,與《人工智能法案》在前言及正文第10條反復提及的訓練數據集管理要求具有相當的一致性。
? ? ? ? 首先,《辦法》與《人工智能法案》以不同形式對數據來源的合法性提出了要求。《辦法》強調了個人信息合法性基礎和尊重知識產權的重要性,而《人工智能法案》側重于對個人信息合法性基礎的說明,除《人工智能法案》明確規定的以外,該法不得作為企業利用人工智能系統處理個人信息的合法性基礎。就個人信息的收集使用的描述而言,可見區別。就《人工智能法案》而言,《人工智能法案》第53、54條規定

實務研究

Practical Research

31

主管部門應建立人工智能監管沙盒(AI Regulatory Sandbox),以在相應的人工智能系統投放市場前對其遵守《人工智能法案》的情況進行驗證;同時,《人工智能法案》允許提供者在監管沙盒里處理基于其他目的合法獲取的個人信息,也即,提供者無需就此再次獲取信息主體的同意。
? ? ? ? 相較之下,由于我國《個人信息保護法》(“《個信法》”)第十三條明確規定了個人信息處理者處理個人信息的合法性依據,僅在第七款中說明“法律、行政法規規定的其他情形”。而因為我國《辦法》將作為部門規章,無法突破《個信法》作為上位法的規定,《辦法》本身無法為個人信息處理的合法性基礎設置例外條款,因此僅是提示性地說明,生成式人工智能服務提供者使用的訓練數據如果包含個人信息,應當征得個人信息主體的同意或符合法律、行政法規規定的其他情形。
? ? ? ? 由于我國在人工智能科學研究發展中并未設置對個人信息處理的例外條款,可以預見的是,其將為我國人工智能的研究與發展增加較高的成本。比如實踐中,企業可能選擇爬取網絡公開數據以進行自我算法訓練、優化,其中不可避免地涉及個人在網絡上自行公開的個人信息。盡管有觀點認為,生成式人工智能服務提供者此時可依據《個信法》第十三條第2款第第6項“在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息”從而利用相關個人信息進行算法訓練、優化等。但問題在于,如何理解“合理的范圍”尚沒有明確的指引,生成式人工智能服務提供者基于自身商業考慮而處理個人公開的個人信息是否屬于“合理的范圍”,將有待立法、司法實踐的進一步厘清。 值得注意的是,上述監管思路的差異不僅將影響我國人工智能研究速度,還將引發對于公共平臺個人信息資源的爭奪。在個人信息權益尚未有定論的當下,對于數據資源的無效爭奪無疑將是科技發展中的“內耗”。我們期待立法、司法實踐能在人工智能服務提供者確保個人信息主體利益的前提下,認清當下中國科技發展的掣肘,盡可能平衡科技發展與個人權益保護的關系。
其次,《辦法》與《人工智能法案》對數據的質量要求有細節上的差異。
《人工智能法案》
訓練、驗證和測試數據集應遵守適當的數據治理和管理規范。其中還應特別關注數據采集,相關的數據準備處理工作如標記。……訓練、驗證和測試的數據集應當是具有關聯性、有代表性的、沒有錯誤且完整的。……訓練、驗證和測試的數據集應特別考慮與使用高風險人工智能系統的人員或人群有關的屬性。

實務研究

Practical Research

32

《辦法》
能夠保證數據的真實性、準確性、客觀性、多樣性
? ? ? ?如前所述,《人工智能法案》以風險分類為治理路徑,將不同場景下的人工智能系統歸類于不同的風險等級;由于人工智能系統的風險等級與提供者的預期用途、目的、場景等密切相關,因此在訓練數據集質量管理方面,《人工智能法案》除了一般性的完整性等要求,還主張相應的提供者在訓練、驗證人工智能系統時應當使用具有關聯性的數據,特別考慮與使用高風險系統相關的人員屬性等。與《人工智能法案》相比,《辦法》注重訓練數據的多樣性,這可能源于《辦法》與《人工智能法案》規制路徑的區別,后者區分場景和用途劃分人工智能系統的風險等級,強調數據與場景的關聯性;前者則未區分生成式人工智能服務應用的具體場景,而是統一規制,強調數據的多樣性。但問題在于,企業應當如何理解訓練數據的多樣性?其含義是否為生成式人工智能服務提供企業應當獲取不同數據來源、不同領域、不同行業、不同年齡、不同性別的數據或個人信息?此外,訓練數據集的客觀性如何保證可能也有待商榷。如果是人類的感受、感悟、情緒等數據,客觀性的要求應當如何銜接?企業如需實踐落地訓練數據管理要求,可能有待立法部門進一步闡述與說明。
? ? ? ?3)人工智能治理原則:公開透明
? ? ? ?算法透明是世界各國公認的算法治理原則,包含從告知義務、向監管報備、向社會公開信息等多種形式。保障用戶知情權是歐盟《人工智能法案》的一大特色,有助于用戶了解與其進行交互或為其服務的人工智能系統的相關信息,實現算法向用戶側的透明。歐盟為了確保高風險人工智能系統的操作足夠透明,從而確保用戶能夠理解系統并更好地使用。《人工智能法案》第13條規定“透明度和向用戶提供信息”,要求高風險人工智能系統提供者以適當的方式在系統中附有可供用戶了解的信息,包括提供者的身份和聯系方式,高風險人工智能系統的性能特征、功能和局限性例如預期目的、可能對個人健康和安全或其他基本權利產生的風險、人為監督措施等。
? ? ? ?此外,《人工智能法案》還要求高風險人工智能系統提供者、授權代表等在歐盟建立的數據庫中進行登記,登記的信息除提供者的基本信息外,還應包括高風險人工智能系統的預期目的描述等,所有公眾均可訪問數據庫中的信息。
? ? ? ?相較而言,就向公眾履行透明度義務維度,《辦法》僅在第十條[4]規定“提供者應當明確并公開其服務的適用人群、場合、用途”。用戶可能無法僅憑上述信息對與其交互的人工智能服務產生清晰明了的認知,也無法了解對其可能產生的影響。值得一提的

實務研究

Practical Research

33

是,《算法推薦管理規定》較為詳盡地規定了向公眾履行透明度義務的要求。其明確算法推薦服務提供者應當向公眾告知其算法推薦服務的基本原理、目的意圖和主要運行機制等。基于此,《辦法》可能需進一步明確,是否應增強生成式人工智能服務向公眾履行透明度義務,以強化可問責性。對于《辦法》向監管履行透明度義務的規定,本文將在第三部分“《辦法》的延伸思考與立法展望”展開論述。
? ? ? ?(2)美國人工智能治理的路徑選擇:問責明確的可信人工智能路徑
? ? ? ? “推進值得信賴的人工智能”是美國聯邦政府的重要目標之一,為推進這一目標,美國白宮制定了《AI權利法案藍圖》,以期為“構建和部署符合民主價值觀、保護公民權利、公民自由和隱私的自動化系統”提供指導。為了充分實現這樣的藍圖,美國計劃建立健全與可信人工智能相關的政策,尤其是人工智能問責政策。
? ? ? ? 基于此,2023年4月,美國商務部下屬國家電信與信息管理局(NTIA)特就人工智能問責政策征求意見(AI Accountability Policy Request for Comment),并希望能獲得公眾就建立人工智能問責制的現狀與障礙的態度與建議。
? ? ? ?從《人工智能問責政策征求意見》可看出,美國在制定政策時,重點關注以下幾方面的問題:首先,如何看待問責目標。如同歐盟、我國要求人工智能服務/系統提供者進行評估,美國也在關注,主體開展評估(包括外部評估、內部評估)和審計的目標是什么,彼此有何交互聯系。其次,問責的對象如何確定。人工智能供應鏈非常復雜,開源軟件與下游的App、客戶端等應用程序可能存在很大不同,下游產品對人工智能的使用可能遠超于人工智能系統開發人員最初的設想,此時應如何平衡與區分各方主體的責任?再者,就具體的責任承擔而言,應當要求人工智能系統的開發人員和部署人員在多大程度上、多長時間內保留何種類型的系統文檔材料,以實現問責判斷。
? ? ? ?這一思路其實與歐盟《人工智能法案》中的技術文檔規定類似,其核心均在于要求相關主體保留一定的系統記錄,以在問責時提供證據。而這種證據既可能證明人工智能系統提供者全面地履行人工智能相關的法律法規,也可能為受到損害的用戶提供支持。我國《個信法》有類似的記錄要求,其第五十五條要求個人信息處理者在處理敏感個人信息、自動化決策等場景時對處理情況進行記錄,記錄應至少保存三年。反觀《辦法》,其并未要求生成式人工智能服務提供者對相關活動情況進行記錄。雖然實踐中,企業基于自證合規的目標或需求,可能實際上會留存相關的生成式人工智能系統的活動記錄,但為了更好地明確相關留存要求如文件類型等,立法對此進行明確仍是值得借鑒

實務研究

Practical Research

的做法。
? ? ? ?總的來說,雖然中美歐所處的人工智能技術發展的環境有所不同,但在“技術-社會-法律”的體系下,各國均已開始嘗試法律規制人工智能的手段。除了法律,各國還可加強科技倫理方面的合作,達成國際層面的共識。我國也需要加強國際合作,積極輸出理念和價值觀,共同參與人工智能治理的進程。
? ? ? ?
?

34

03

《辦法》的延伸思考與立法展望

1.適用范圍與域外效力
? ? ? ?根據《辦法》第二條規定,《辦法》適用于“面向中華人民共和國境內公眾提供服務”。相較于《深度合成規定》等法律法規之“境內應用”“境內運營”的立法語言,《辦法》的域外效力相當明確,我們可以結合《個信法》關于“以向境內自然人提供產品或者服務為目的”的域外適用情形加以解讀,即無論利用生成式人工智能產品提供服務的組織或個人是否在境內設立實體/位于境內,均可能受到《辦法》的管轄。然而,具體在何種情形下將觸發《辦法》的適用可能需在理解以下兩個概念的前提下得以明確。
? ? ? ?其一,對于“面向”的界定。盡管服務的商業模式設計是否以境內公眾為目標受眾,包括在提供服務過程中是否使用中文,是否對于中國用戶提供定制化版本等均可能構成一部分判斷因素。然而,更應考慮到目前ChatGPT、Midjourney等境外產品和服務在境內廣泛使用的熱潮,是亟需規制生成式人工智能服務的直接動因,界定標準宜關注是否對境內用戶產生實質影響,故不排除只要允許境內公眾使用該等服務即可能受到《辦法》的規制。
? ? ? ?其二,“境內公眾”的含義。 一方面,在以《網安法》為上位法的基礎之上,《辦法》特別規定提供者應當履行《網安法》相關規定,包括要求用戶提供真實身份信息,而這一義務在《網安法》中歸屬于提供信息發布、即時通訊等互聯網信息服務的網絡運營者。另一方面,如前所述,《辦法》銜接現行算法治理規范框架,其對于責任主體的具體義務設置與《深度合成管理規定》《算法推薦管理規定》具備相當程度的相似性,包括安全評估申報義務、算法備案義務和標注義務等,而前述兩規定明確將規制對象限于“提供互聯網信息服務”。? ? ? ??

實務研究

Practical Research

35

? ? ? ?將“境內公眾”的含義置于前述語境加以理解,可以合理推斷《辦法》可能傾向于對利用生成式人工智能提供互聯網信息服務的行為加以調整,“境內公眾”更多指境內不特定的公眾,而僅向特定企業提供服務的行為可能并不必然構成“面向中華人民共和國境內公眾提供服務”。? ? ?

2.責任主體及其義務邊界
? ? ? ?如果前述針對企業端服務可能并不必然構成“面向中華人民共和國境內公眾提供服務”,從而可能并未落入《辦法》的適用范圍為前提,利用第三方提供的產品繼而向公眾提供服務的主體方為《辦法》項下義務的責任主體,例如那些調用OpenAI提供的應用程序編程接口(API),將ChatGPT 集成至其應用程序和服務的企業。就此而言,《辦法》可能選取了規制服務提供者而非技術提供者的路徑。
? ? ? ?然而,如此推導出的結論可能與《辦法》的其他規定產生矛盾。首先,《辦法》第五條明確規定,“提供者”,包括通過提供可編程接口等方式支持他人自行生成文本、圖像聲音等。再者,以第四條規定作為切入點,由于提供者的定義置于第五條,第四條規定顯得意味深長,因為條款順序安排使得其并非當然隸屬于“提供者”的義務。尤值得注意的是,第四條第(二)款直接要求算法設計、訓練數據選擇、模型生成和優化等技術研發優化過程中應采取措施防止歧視(在技術與服務提供者相分離的情況下,這在僅提供服務的主體力所不逮之處,僅能由技術提供者履行),且算法設計、訓練數據選擇等與“提供服務”屬于該項規定中的并列成分。如此便得出相反的推論,即《辦法》似乎隱含近似于《深度合成管理規定》之服務提供者和技術支持者的責任分配,有意對技術和服務提供者的義務進行分別規定。但這種理解可能也有失偏頗,因為如我們在“生成式人工智能服務提供者義務范圍邊界之探尋”一節所述,《辦法》第六條要求提供者履行安全評估義務和算法備案義務,但這些義務均以提供互聯網信息服務的主體為規制對象。
? ? ? 事實上,對于責任主體及其義務邊界的劃分反映的是對生成式人工智能服務進行規制的邏輯起點。如歐盟《人工智能法案》為確保公平競爭環境,明確定義人工智能價值鏈上的關鍵參與者,如人工智能系統的提供者和使用者等,以確保公平的競爭環境,這亦是其“技術中立”和“面向未來”的基本立場的體現。? ?
? ? ? 具體而言,如不分畛域地僅以服務提供者作為單一責任主體,盡管符合技術中立原則,對于技術開發積極性可能頗有助益,但由于防范歧視、訓練數據集來源合法性等義務的履行需從算法、模型的訓練階段進行源頭控制,實踐中企業可能傾向于

實務研究

Practical Research

36

利用自身的商業談判地位,將合規義務以合同安排的形式轉嫁到較為弱勢的技術研發者。而若壁壘分明地對服務提供者和技術提供者作義務安排,前提可能需是對現有技術和未來發展趨勢建立足夠深入的理解,技術應用亦具備成熟穩定的實踐。換言之,在人工智能“奇點”時刻試圖以法律規定拉齊技術觀念的水位,恐怕也應再三考量實踐性。
? ? ? ?因此,責任主體及其義務邊界的規制路徑選擇實則是知易行難的立法技術問題,還有待進一步的探討與釋明。

3.規制方案:程序性規制方案與回溯性規制方案的互動
? ? ? ?主流的算法規制方案大致可分為事前的程序性規制方案和事后的回溯性規制方案兩種機制,前者旨在預防算法侵害,后者則是回應性的,在侵害產生后進行追責與救濟。
? ? ? ?程序性規制方案的本質是對于算法黑箱和缺乏透明度的特性致使傳統規制方案失靈的自然回應。例如,若人工智能生成內容產生侵害結果,存在難以界定責任主體、故意與過失認定困難、因果關系界定冗長不清等問題,這便促使以“技術正當程序”理念介入的對算法的程序性規制方案日益受到關注,并在立法實踐中被廣泛采用以增強算法的可問責性。
? ? ?基于前述分類,可以看到《辦法》廣泛納入了程序性規制方案的制度工具。例如,第六條之安全評估和備案要求,第八條之人工標注規則規制及培訓要求,以及第十七條之算法披露義務(算法透明度義務)等,其法理構造均為以技術正當程序理念介入的程序性規制方案。與之相對,在已生成不當內容的情況下,第十五條規定的算法糾偏義務,即要求責任主體“防止不當內容再次生成”,即是采取強調結果正義的回溯性規制方案。鑒于此,我們理解作為回溯性規制方案的《辦法》第十五條規定存在如下探討空間:? ?
? ? ? (1)對《辦法》程序性規制方案的補足
? ? ? 《辦法》集安全評估、算法備案和算法披露(透明度義務)等算法程序性規制方案于一身,構建了較為完整的規制體系,旨在提升生成式人工智能服務的算法設計安全、提供者的算法風險管理能力等,實現算法審查和算法問責,促使提高算法的公平、透明和可問責性。然而,算法程序性規制方案亦存在其局限,由于屬于風險預防性措施,為學者所詬病“不能確定地有效避免某個具體算法損害的發生,也無法

實務研究

Practical Research

37

對已然發生的算法侵害提供符合人類理性與正義要求的規范上可感的修復” 。
? ? ? ?這意味著,在生成式人工智能服務產生不當內容后,前述程序性規制方案可能難以提供有效且令人滿意的解決途徑,而第十五條規定則要求實質的“結果正義”,規定 “除采取內容過濾等措施外,應在3個月內通過模型優化訓練等方式防止再次生成”,與前述程序性規制方案相輔相成。
? ? ? (2)第十五條規定的局限
? ? ? ?其一,在實踐中,責任主體履行“防止不當內容再次生成”的義務可能存在較大障礙。盡管通過列舉“內容過濾”為具體措施,以及設定3個月的期限,使算法糾偏義務的履行方式獲得更多確定性。然而,一方面,由于生成式人工智能多采用基于神經網絡算法的深度學習,即使技術研發者亦難以理解如人腦般復雜的多層神經網絡結構的權值,對算法邏輯進行分解,或是直接從輸出結果倒推應當調整哪一環節。另一方面,“防止不當內容再次生成”需要考慮用戶使用行為的影響,例如倘若以對抗樣本(adversarial examples)攻擊使用深度學習的生成式人工智能服務,攻擊者在如常使用服務的過程中,輸入精心構造的信息并得到欺騙性結果,其對模型的擾動相當難以察覺。退一步而言,即使是普通用戶,其提供的提示(prompt)也可能擾亂對模型的調整。
? ? ? ?因此,如果說對于足夠特定的不當內容,或可在模型輸出層施加限制,以充分履行防止再次生成的義務。但對于涉及價值判斷等復雜內容的防范,即使重新通過人工標注訓練模型,可能也難以確保“防止再次生成”不當內容,至于是否能在3個月內完成,亦值得進一步考量。
? ? ? ?其二,或需檢視將第十五條與第十三條規定并置的合理性。
第十三條規定
提供者應當建立用戶投訴接收處理機制,及時處置個人關于更正、刪除、屏蔽其個人信息的請求;發現、知悉生成的文本、圖片、聲音、視頻等侵害他人肖像權、名譽權、個人隱私、商業秘密,或者不符合本辦法要求時,應當采取措施,停止生成,防止危害持續。
第十五條規定
對于運行中發現、用戶舉報的不符合本辦法要求的生成內容,除采取內容過濾等措施外,應在3個月內通過模型優化訓練等方式防止再次生成

實務研究

Practical Research

38

? ? ? ?經比對可知,同樣在發現不當內容的情況下,第十三條僅要求“應當采取措施,停止生成,防止危害持續”。這可能導致對于提供者的責任認定難題,即其算法糾偏義務止于采取措施,還是應當從結果上杜絕不當內容的再次生成。基于法的確定性要求以及為避免責任主體支出不必要的合規成本,同時考慮到前述第十五條規定對于程序性規制方案的補足意義,對于這一問題的回答即使不是非此即彼的,至少應當區分二者的適用情形。例如規定在特定情形下,提供者方負有防止再次生成不當內容的義務。
? ? ? 此外,在探討算法糾偏義務的邊界時,還應當綜合考量界限設置可能隱含技術是否中立的價值預設,以及企業履行“防止再次生成”的義務可能存在障礙的情況。
? ? ??

4.算法如何透明:從“不可能完成的”解釋到算法披露的合理邊界
? ? ? ?算法透明度是算法規制可欲的目標,也是算法程序性規制強有力的監管工具。就我國算法治理頂層設計而言,《新一代人工智能倫理規范》針對人工智能提出包括透明性、可解釋性在內的多項倫理要求。2021年9月,中國國家互聯網信息辦公室等9個部門聯合發布的《關于加強互聯網信息服務算法綜合治理的指導意見》提出“透明可釋”的基本原則,并多處強調算法應用應當公開透明。就我國算法治理相關立法而言,如前所述,以算法備案為監管工具的《深度合成管理規定》《算法推薦管理規定》已身體力行地嵌入算法透明度要求。
? ? ?我們需要承認,算法的絕對透明可能是一項違反商業倫理、同時技術上“不可能完成”的要求。一方面算法已經逐漸成為企業的核心競爭資產,公開披露其詳盡的運作原理將極大打擊企業的發展動力。另一方面,作為仿生模型的人工神經網絡(Aritificial Neural Network,ANN)在人類尚未理解人類大腦運行機制的當下,其透明性要求可能是人類的“左右互搏”。但這并不妨礙監管敦促企業在保護商業秘密的前提下,基于公共利益完成必要的“透明可釋”要求。盡管從技術上,在我們理解人類大腦機制之前,上述要求可能是徒勞的,但從社會監管機制角度,其仍然是重要的社會治理“抓手”。??
? ? ? 算法透明的立法規制以算法披露制度為核心,其中囊括向監管和社會公眾披露的雙重維度。而《辦法》構建的算法披露制度,在算法備案、算法評估等規定的基礎上,其第十七條還要求提供者應當向監管部門履行額外的算法披露義務,“提供者應當根據國家網信部門和有關主管部門的要求,提供可以影響用戶信任、選擇的必要信息,包括預訓練和優化訓練數據的來源、規模、類型、質量等描述,人工標注規

實務研究

Practical Research

39

規則,人工標注數據的規模和類型,基礎算法和技術體系等。”對此我們理解,基于算法透明度要求與知識產權、商業秘密保護之間的張力等考量,有必要進一步探討此處額外披露義務的程度,包括適用范圍和“必要信息”的范圍。
? ? ? (1)第十七條之額外披露義務的適用主體與適用情形
? ? ? ?在對第十七條之額外披露義務的適用主體進行討論之前,有必要深入理解《辦法》構建的算法披露制度。從《辦法》第六條規定“按照《互聯網信息服務算法推薦管理規定》履行算法備案和變更、注銷備案手續”義務來看,即使對是否所有提供者均應履行算法備案義務的問題存而不論,亦應當考察算法備案制度的內在邏輯,從而確保對額外披露義務的理解與之具備邏輯一致性。
? ? ? ?《算法推薦管理規定》的算法備案制度采取風險進路,對算法進行分級分類,將備案主體限定于“具有輿論屬性或社會動員能力的算法推薦服務提供者”,其邏輯與我國《數據安全法》等數據分級分類的思路一致,即以數據/算法所引發的外部風險為判斷基礎。
? ? ? ?基于這一風險進路,如若在算法備案的基礎上要求服務提供者提供額外的信息,則有必要對于額外披露義務的適用主體作進一步明確,例如是否涉及引發更高外部風險的生成式人工智能服務提供者,方構成這一義務的適用主體。抑或是否在特定情形下方觸發該等義務。
? ? ? (2)“必要信息”的范圍
? ? ? ? 首先,在披露范圍方面,《算法推薦管理規定》逐一列舉服務提供者的名稱、服務形式、應用領域、算法類型、算法自評估報告、擬公示內容等信息作為登記事項,審慎地包含算法應用是否與目的相稱及其可能引致的公共利益、公民權利風險的評估信息,但將算法數據組、算法模型性能、算法設置邏輯等涉及商業秘密、專利權的內容排除在外,從而平衡政府監管與行業自律、信息披露與商業秘密、源頭治理與事后追責的多重訴求。
? ? ? ?遵循這一平衡多方訴求的審慎態度,《辦法》亦應當考慮進一步明確“必要信息”的范圍,包括對“基礎算法和技術體系”做出必要的解釋,抑或以反向列舉的方式排除“非必要信息”。
? ? ? ?僅從文本上理解,第十七條目前采取的表述不排除披露范圍可能包含源代碼、訓練數據集等。然而,一方面,對于使用深度學習技術的生成式人工智能的不透明

實務研究

Practical Research

40

性大多源于目前的認知能力難以破解機器學習的深層邏輯,即“機器學習高維特征的數學優選方法和人類尺度的推理(human scale reasoning)及語義學解釋風格之間的不相匹配”。即使無限制地披露信息,可能對于有效提高算法透明度都無異于緣木求魚,反而可能導致對商業秘密、知識產權保護的失衡。事實上,算法的透明通向可理解性(intelligibility)的必要條件,從而實現算法問責,其自身僅是手段而非最終目的。
? ? ? ?另一方面,在世界范圍內,以監管為披露對象的算法披露制度設計盡管存在披露程度差異,但鮮有強制要求披露訓練數據集和源代碼的立法實踐。同樣以歐盟的《人工智能法案》為例,盡管2021年發布的草案第64條規定,對于高風險人工智能,監管機構有權訪問算法系統數據(包括訓練集、驗證集和測試集)、源代碼,并可以通過技術手段對算法進行分析測試,從而實現算法審查和算法問責,但2022年12月發布的最新版本已刪除該規定,僅保留監管訪問第11條所規定的技術文檔和第12條的日志記錄的權力。?? ??
? ? ? ?總體而言,盡管生成式人工智能的技術壁壘之高、影響之復雜性對立法技術帶來艱巨挑戰,但立法不可裹足不前。“申言之,再復雜、高深的技術程序也不允許從法治國家的規范中逃逸,否則就會形成法治國家的‘蟲洞’,最終造成依法治國只剩下一個‘合法性的空殼’。”
? ? ? ?同時,我們應當清醒地認識到,依法治國仍然需要為“統籌中華民族偉大復興戰略全局和世界百年未有之大變局”所服務。人工智能的監管需要認清當前我國人工智能科技研發領域的現實差距,控制風險但不能“因噎廢食”。如何合理地利用 “技術與服務主體區分”“主體責任邊界”等立法技術以及“技術中立性保護”“前沿技術在社會應用中的避風港”等社會治理智慧,在人工智能技術尚未展現全貌前,將極大影響我國未來在全球智能化社會中地位。
? ? ? ?最后,也有觀點認為,隨著ChatGPT的出現,高度危險的強人工智能已經初現端倪。人類作為一個生物族群的主體性將伴隨強人工智能普及而逐漸喪失,科幻小說家劉慈欣也懷疑“人工智能社會或許前景暗黑暗[13]”,甚至我們正在見證新型主體性的誕生,即 “一種特定類型的人工智能,能夠基于海量數字化數據的處理而感知環境并據此行動”。盡管ChatGPT安慰我們“人工智能是一種有限制的技術,不可能消?

結語

實務研究

Practical Research

41

滅人類文明。人類仍然是人工智能的主宰和控制者,人工智能只是人類的工具和輔助”,人類自我覺醒的文明時代仿佛將走向幽暗。
? ? ? ?但即使眼前幽暗叢生,我們也“不要溫和地走入那良夜”(Do not go gentle into that good night)。我們不需要在前路未明時固步自封地監管,延緩甚至阻礙人工智能技術的發展,也不能聽之任之,毫無戒備地投入到智能化的新歷史階段。我們應當堅持“發展才是硬道理”的原則,以最大的熱情鼓勵和促進技術的發展,同時以最審慎的心態、最大的關注力觀察人工智能的發展動向,秉承技術中立的價值,審慎包容但堅守底線。我們堅信,人類的文明之火不僅終將伴我們走出良夜,還會在人工智能的加持下,更加璀璨。??
? ?
?? (全文完)

“假作真時真亦假” |
? ? ? ? ? ? ? ? ? ? ? ? ? ? ?數字社會中辨偽存真的挑戰

來源:公眾號“金杜研究院”

? ? ? ?數字社會的發展將不可避免地帶來新的社會問題。虛擬空間與物理社會融合發展中的重要挑戰之一在于如何平衡“以假亂真”的技術發展趨勢和“辨偽存真”的社會治理要求。
? ? ? ?2019年,“AI換臉”的風潮將深度合成技術帶入大眾視野。用戶只需要上傳一張自己的照片,便可以在各種影視劇的經典場面中“出鏡”。但除了眾人所熟知的“AI換臉”外,作為一種基礎計算機技術,深度合成技術還包括語音合成、人臉替換、圖像生成等,與近期網絡空間發展的其他概念和技術比如元宇宙、虛擬人、AR/MR/VR/CR/XR等息息相關。然而,不可否認的是,深度合成技術的濫用同時也引發了諸如“以假亂真”、信息泄露等一系列合規風險。
? ? ? ?自黨的十九大報告提出“營造清朗的網絡空間”的總任務要求以來,2020年12月7日,中共中央即在《法治社會建設實施綱要(2020-2025年)》提出了對網絡空間進行依法治理、推動現有法律法規延伸適用到網絡空間的積極號召。其中,針對算法推薦、深度偽造等新技術應用制定相關規范管理辦法,被視為完善網絡法律制度的關鍵步驟之一。
? ? ? ?在此背景下,2022年1月28日,國家互聯網信息辦公室發布《互聯網信息服務深度合成管理規定(征求意見稿)》(下稱“《深度合成服務規定》”)。《深度合成服務規定》旨在規范互聯網信息服務深度合成活動,促進深度合成技術依法、合理、有效利用,并在已經出臺的《網絡信息內容生態治理規定》《互聯網信息服務算法推薦管理規定》《網絡音視頻信息服務管理規定》等相關部門規章和規范性文件的基礎上,進一步厘清、細化了深度合成技術應用場景,明確了深度合成服務提供者與使用者信息安全義務,并以“促進深度合成服務向上向善”為總體要求,提出了一系列具有系統性、針對性和可操作性的要求。本文將結合境內外立法實踐,對《深度合成服務規定》進行深度解讀,并對深度合成服務提供者等主體的合規義務進行釋明。

實務研究

Practical Research

42

01?深度合成技術概述

實務研究

Practical Research

43

? ? ? ?從技術層面看,深度合成技術(Deep Synthesis)即深度偽造(Deepfake),是深度學習(Deep Learning)與偽造(Fake)二者的組合詞,該技術主要依托于“生成式對抗網絡(Generative Adversarial Networks,GAN算法)”及自動編碼機(Autoencoders)。具體而言,GAN算法上同時搭載著兩個神經網絡,即生成器與識別器,前者可基于一個數據庫自動生成模擬該數據庫中數據的樣本,后者可評估生成器生成的數據的真偽,兩者在互相博弈學習中產生大規模和高精確度的輸出。而自動編碼器則是一個人工神經網絡,用于對輸入數據進行重建以實現數據合成。隨著深度合成技術的不斷成熟和日益復雜化,無論是圖像還是聲音、視頻都可以通過深度合成技術進行偽造或自動合成,且達到以假亂真的程度。
? ? ? 《深度合成服務規定》則在法律層面上,明確了深度合成技術的概念,即“以深度學習、虛擬現實為代表的生成合成類算法制作文本、圖像、音頻、視頻、虛擬場景等信息的技術”,并且通過列舉的方式明確了納入規制范圍的技術種類。我們在此對各類深度合成技術在實踐當中的運用場景加以總結:

? ? ? ?從以上定義不難看出,監管機構并未采取窮盡列舉的方式,這是由于深度合成技術處于不斷發展、持續演進的過程中,而《深度合成服務規定》所采取了“概念+分類”的定義方式既能夠概括說明深度合成技術的特點,又能夠通過具體的示例具象化相關技術手段。我們理解,深度合成技術的特點包括:

實務研究

Practical Research

44

  • 高度技術化:高質量、高仿真的深度合成技術需要大量的專業技術人員和專業工具參與;
  • 應用領域廣:高度仿真能力的深度合成技術已經廣泛應用在影視、娛樂、教育、醫療、社交、電商、內容營銷、藝術創作、科研等諸多領域中;
  • 發展潛力大:隨著深度合成技術工具的不斷發展,深度合成內容的應用規模和使用范圍也變得更大,內容的說服力也更強。

02深度合成技術的監管背景

? ? ? ?在數字化社會,以算法為核心、以數據為資源、以平臺為基礎的發展格局逐步形成,這一新型網絡格局涵攝政治、經濟、文化與社會發展的數字化生態,塑造出以數據和算法為基礎的新型法權關系,為法律制度和司法體系帶來極大沖擊和 “破窗性” 挑戰。作為第四次工業革命和數字經濟發展的核心驅動力之一,算法所帶來的變革需要法律予以回應。具體而言,算法的廣泛應用可能引發歧視性風險、責任性風險,以及誤用和濫用風險等極具挑戰性的治理風險。[9] 具體到深度合成領域,對深度合成技術的不當使用可能導致一系列治理風險,最為核心的三種風險是技術異化風險、信息失真風險和數據泄露風險。
? ? ? 技術異化是指對技術的使用脫離了其“以人為本”的初衷。例如,“AI換臉”技術誕生的初衷是出于娛樂目的,但逐漸變成了“色情復仇”的手段。2017年12月,名為“Deepfake”的賬號在社交新聞網站Reddit上發布了一段利用人工智能技術將名人面孔合成的色情視頻,受害者皆為知名女性藝人。即便Reddit隨即禁止未經同意使用人工智能將他人面孔植入色情視頻和圖像,深度合成技術依然引發了社會的強烈關注。此后,隨著深度合成技術在知名開源及私有軟件項目的托管平臺GitHub被開源以及各軟件開發愛好者對其代碼進行不斷迭代與改良,該技術在精準度不斷提升的同時,其造成的惡劣影響也在不斷擴大與加深。2019年12月全網共有14678個深度合成視頻,其中96%屬于色情性的深度合成視頻,主要存在于色情網站。
? ? ? ?信息失真是指深度合成技術可能導致假新聞泛濫,擾亂視聽甚至導致真相終結。由于深度合成技術的核心在于“以假亂真”,因此通過深度合成技術偽造的消息往往不會令人起疑,這使得當真假消息同時出現時,社會公眾往往無法辨認其真實性。美國大法官霍姆斯曾經在Abrams v. United States案中提出“觀念市場”(marketplace of ideas)的概念,即真理和謊言同在自由的信息空間中傳播,通過一系列競爭與辯論,真相終將勝利。然而,在互聯網領域,考慮到網絡傳播的開放

性、匿名性、交互性、復雜性和主觀性,真假難辨的信息可能導致觀念市場的失靈,從而使得真相進一步消弭。尤其是,當公眾長期處于觀念市場失靈的社會環境中,容易導致政府公信力下降,從而引發信任危機。
? ? ? 個人信息等數據泄露是深度合成技術最為直接的風險。以常見的“AI換臉”技術為例,該技術服務自上線起,關于其“侵犯隱私”的質疑便層出不窮。為此,2019年9月,工信部約談了某AI換臉服務提供商,要求其組織開展自查整改,依法依規收集使用用戶個人信息,規范協議條款,強化網絡數據和用戶個人信息安全保護。此外,國家網信辦、公安部于2021年3月18日指導地方網信部門、公安機關依法約談了11家未履行安全評估程序的語音社交軟件和涉深度偽造技術的應用開發企業。此外,考慮到深度合成技術可能帶來的巨大風險,《中華人民共和國民法典》第1019條明確規定,任何組織或者個人不得以丑化、污損,或者利用信息技術手段偽造等方式侵害他人的肖像權。
? ? ? ?綜上所述,綜合考慮深度合成技術的廣泛應用及其可能帶來的一系列治理風險,通過專門的監管文件對其進行規制存在合理性和必要性。

實務研究

Practical Research

45

03? ?境外立法現狀

? ? ? ?美國是對深度偽造技術最早開展治理的國家之一,且相關治理行動也較為積極。總體而言,多項聯邦及州立法就深度合成技術的應用提出了不得制作與發布政治干擾、色情報復等犯罪及侵權內容與信息、對深度合成內容與信息進行披露與標記、鼓勵監測及鑒別技術工具的研發、獲得他人同意等規制要求,違反者或面臨包括罰款、監禁等行政或刑事責任。以下我們就聯邦層面與州層面的部分立法進行分別舉例說明:
  • 《惡意深度偽造禁止法案(Malicious Deep Fake Prohibition Act of 2018)》,該法案規定,為引發聯邦法、各州法或地方法所規定的犯罪和侵權行為而制作深度偽造內容者,以及在明知有關視聽記錄內容為深度偽造的前提下,為引發聯邦法、各州法或地方法所規定的犯罪和侵權行為而分發該視聽記錄內容者,將面臨罰款及高達2年監禁的刑事責任;如果前述行為導致聯邦、各州或地方,包括選舉、外交關系處理在內的任何行政、司法及立法程序遭受影響的,或者出現煽動暴力的情況的,違法者還面臨罰款及高達10年監禁的刑事責任。

1.美國

  • 《深度偽造報告法案(Deepfake Report Act of 2019)》,該法案要求國土安全部以深度合成技術、種類及其演變情況,深度學習技術成果的應用場景、風險及益處,美國非政府組織將如何使用深度偽造技術,外國政府利用深度偽造技術對美國國家安全及個人權益所可能造成損害,以及應對深度偽造技術的策略等內容為主題,在本法案生效后一年內出具報告,并在此后以5年為頻率再度提供報告。
  • 《深度偽造責任法案 (Deep Fakes Accountability Act)》,該法案要求任何創建深度偽造視頻媒體文件的人,必須用“不可刪除的數字水印以及文本描述”,對相關媒體文件屬于篡改或生成的這一情況進行披露,違反者將面臨罰款、最高五年監禁或兩者并用的刑事責任。
  • 《識別生成對抗網絡法案(Identifying Outputs of Generative Adversarial Networks Act))》指示美國國家科學基金會和美國國家標準與技術研究院,為可對生成對抗網絡或其他合成操縱技術所輸出的內容和信息的真實性進行檢查、驗證的技術工具的相關研究進行支持。
  • 《2018-2020財年情報授權法 (Intelligence Authorization Act for Fiscal Years 2018, 2019, and 2020)》指示國家情報總局通過舉辦相關競賽計劃并頒發獎項的方式,刺激與鼓勵那些用于檢測機器學習技術所創建的虛假音視頻的技術的研究、開發及商業化進程。
  • 《2020財年國防授權法案(National Defense Authorization Act For Fiscal Year 2020)》則要求國家情報局負責人在該法案生效后的180日內,就潛在的影響國家安全的深度偽造技術、以及為外國用以實施傳播虛假信息等惡意行為的深度偽造技術的潛在與實際影響,向國會情報委員會進行匯報;此外,該法令還指示以實施技術競賽并提供獎勵的方式,刺激深度偽造技術監測工具的進一步開發與商業化。
? ? ?
? ? ? 在州一級層面,作為美國首批將未經同意的深度合成圖像及視頻分發行為作為刑事犯罪的州之一,弗吉尼亞州2019通過修訂《非同意色情法案(Nonconsensual Pornography Law)》,將制作、分發裸體或性視頻或圖像,以恐嚇、威脅他人的“復仇色情(Revenge Porn)”行為定義為1級輕罪,違反者面臨最高12個月的監禁和2500美元的罰款。美國加州在《AB-602法案(Assembly Bills 602)》中明確禁止未經個人同意對其面部圖像進行編輯的行為,而《AB-730法案(Assembly Bills 730)》則為防止選舉中出現誤導性,將制作、傳播對政客產生負面影響的虛假惡意音視頻的行為視為犯罪。

實務研究

Practical Research

46

? ? ? ?總體而言,歐盟對深度合成技術的治理尚未系統建立,但《人工智能法案(Artificial Intelligence Act)》將深度偽造列為“高風險”人工智能技術,歐洲議會認為該歸類的合理性來自于深度合成技術對個人基本權利及安全的威脅。因此,一方面,深度偽造技術的提供者需要面臨包括但不限于遵守風險評估、記錄、人工監督與確保高質量的數據集等規制要求,另一方面,在鼓勵監測技術開發的基礎上,深度合成技術的應用面仍應當受到限制。歐盟境內有關深度偽造的規定或意見主要為:
  • 《人工智能法案(Artificial Intelligence Act)》,該法案規定,對于生成的或操作的、與真實內容明顯相似的圖像、音頻或視頻內容,提供者應有義務披露該內容是通過自動方式生成的。
  • 《應對線上虛假信息:歐洲方案(Tackling online disinformation: a European Approach)》,該意見總體上提出改進信息來源及提供信息傳播透明性的目標,并強調了假新聞和虛假信息對各級政府構成共同威脅,總體上鼓勵政府開展媒體素養運動,以防止假新聞和虛假信息的傳播。
  • 《歐盟通用數據保護條例(General Data Protection Regulation)》,從原則上禁止處理可以識別自然人的生物數據,除非是獲得個人關于在特定處理目的下的明確同意等其他法定基礎。[27]并且,數據主體有權獲得關于自動化決策所得出決定的解釋性說明。

2.歐盟

實務研究

Practical Research

47

04《深度合成服務規定》主要規定內容

? ? ? ?《深度合成服務規定》第二條規定,中華人民共和國境內應用深度合成技術提供互聯網信息服務,以及為深度合成服務提供技術支持的活動,適用本規定。總體而言,《深度合成服務規定》的治理規則根植于國家此前提出的互聯網信息服務與算法治理的總體思路,但又以深度合成技術及相關互聯網信息服務應用場景的特點為基礎,演化出更加個性化、具象化、細節化的治理規則。
? ? ? ?就深度合成服務中相關主體的義務問題,《深度合成服務規定》作出了明確規定。一方面,鼓勵相關行業組織加強行業自律,建立健全行業標準、行業準則和自律管理制度,督促指導深度合成服務提供者制定完善服務規范、加強信息內容安全管理、依法提供服務并接受社會監督;另一方面,《深度合成服務規定》還分別對深度合成服務提供者、深度合成服務使用者及應用商店服務提供者等主體的義務予以釋明。

? ? ? ?1.深度合成服務提供者義務
根據《深度合成服務規定》規定,深度合成服務提供者作為法定的信息安全責任主體,除了需要滿足遵守法律法規,尊重社會公德和倫理,堅持正確政治方向、輿論導向、價值取向,促進深度合成服務向上向善,以及不得利用深度合成服務從事危害國家安全、破壞社會穩定、擾亂社會秩序、侵犯他人名譽權、肖像權、隱私權、知識產權等合法權益等法律法規禁止的活動。我們理解,深度合成服務提供者需要遵守信息內容治理義務、數據安全保障義務及算法技術合規義務。
? ? ? ?(1)信息內容治理義務
? ? ? ? a.建立深度合成信息內容標識管理制度
? ? ? ?《網絡音視頻信息服務管理規定》提出,網絡音視頻信息服務提供者和網絡音視頻信息服務使用者利用基于深度學習、虛擬現實等的新技術新應用制作、發布、傳播非真實音視頻信息時,應當以顯著方式予以標識的要求;《互聯網信息服務算法推薦管理規定》亦規定,算法推薦服務提供者發現未作顯著標識的算法生成合成信息的,應當作出顯著標識后,方可繼續傳輸。我們理解,前述規定針對生成合成類信息內容僅提出了概括性的標識義務規定。相對而言,此次《深度合成服務規定》則就深度合成服務提供者對深度合成信息的標識義務提出更為具體規定,要點包含:
  • 標識不應當影響用戶使用:深度合成服務提供者對使用其服務所制作的深度合成信息內容,應當通過有效技術措施在信息內容中添加不影響用戶使用的標識,依法保存日志信息,使發布、傳播的深度合成信息內容可被自身識別、追溯。
  • 使用顯著方式進行標識或提供進行標識的功能:首先,對生成或者顯著改變信息內容的深度合成信息內容,如智能對話、智能寫作、合成人聲、仿聲、人臉生成、人臉替換、人臉操控、姿態操控等虛擬人物圖像、視頻、沉浸式擬真場景應當使用顯著方式進行標識,向社會公眾有效提示信息內容的合成情況;其次,對其他深度合成信息內容,應當提供進行顯著標識的功能,并提示使用者可以自行標識。
  • 停止傳輸未標識的信息內容:深度合成服務提供者發現深度合成信息內容未進行顯著標識的,應當立即停止傳輸該信息,按照規定作出顯著標識后,方可繼續傳輸。
? ? ? ?與美國《深度偽造責任法案》類似,《深度合成服務規定》的規定也強調了深度合成內容的標識義務。但值得注意的是,《深度偽造責任法案》中該義務的主體為內容制作者,即深度合成技術的使用者,而《深度合成服務規定》則將該義務聚焦于深度合成服務提供者。考慮到深度合成服務提供者大多數情況可能屬于平臺型企業,《深度合成服務規定》承繼了互聯網平臺監管的思路,通過對平臺責任的設

實務研究

Practical Research

48

置,進一步降低深度合成服務使用的風險。但值得關注的是,與信息內容管理等平臺責任不同的是,視頻、音頻、文字等內容的真實性判斷與鑒別所要求的技術和審查能力可能更高。如何平衡在隱蔽性更強、技術要求更高的深度合成領域平衡平臺責任和新型平臺發展將值得我們進一步思考。
? ? ? ?b.加強深度合成信息內容管理
? ? ? ?就網絡信息內容的治理方案而言,《網絡信息內容生態治理規定》第八條針對所有網絡信息內容服務平臺提出了“履行信息內容管理主體責任,加強本平臺網絡信息內容生態治理,培育積極健康、向上向善的網絡文化”的總體要求,并通過第九條、第三十四條為網絡信息內容的治理工作設置了一套整體生態治理機制,即:信息發布審核、跟帖評論審核、版面頁面生態管理、實時巡查、應急處置和網絡謠言、黑色產業鏈信息處置等制度,并對違規者采取警示整改、限制功能、暫停更新、關閉賬號等處置措施,及時消除違法信息內容,保存記錄并向有關主管部門報告。《深度合成服務規定》再次鞏固了深調深度合成服務提供者的前述管理責任,具體舉措為:
  • 深度合成信息內容審核,即采取技術或者人工方式對深度合成服務使用者的輸入數據和合成結果進行審核。
  • 建立違法內容特征庫,即建立健全用于識別違法和不良深度合成信息內容的特征庫,并完善入庫標準、規則和程序。
  • 采取違規處置措施,即對違法和不良信息依法采取相應處置措施,并對相關深度合成服務使用者依法依約采取警示、限制功能、暫停服務、關閉賬號等處置措施。
? ? ? ? c.建立辟謠、申訴與公眾投訴機制
? ? ? ?當發現深度合成信息服務使用者利用深度合成技術制作、復制、發布、傳播虛假信息的,深度合成服務提供者應當及時采取相應的辟謠措施,并將相關信息報網信等部門備案;另外,還應當設置便捷有效的用戶申訴和公眾投訴、舉報入口,公布處理流程和反饋時限,及時受理、處理并反饋處理結果。前述要求在《移動互聯網應用程序信息服務管理規定》《網絡音視頻信息服務管理規定》《互聯網信息服務算法推薦管理規定》等規定中同樣有跡可循。
? ? ? (2)數據安全保障義務
? ? ? ? a.建立健全信息安全制度
? ? ? 《深度合成服務規定》總體上要求深度合成服務者設立用戶注冊、數據安全與個人信息保護、未成年人保護、從業人員教育培訓等管理制度,并采取具有與新技術新應用發展相適應的安全可控的技術保障措施。前述規定可被視為是我國《網絡安全法》《數據安全法》《個人信息保護法》《網絡信息內容生態治理規定》等網絡安全及數據保護規范的呼應。

實務研究

Practical Research

49

? ? ? ?b.提示深度合成服務使用者獲得個人信息主體的單獨同意
? ? ? ?作為《深度合成服務規定》的亮點之一,深度合成服務提供者被要求在提供人臉、人聲等生物識別信息的顯著編輯功能時,應當提示深度合成服務使用者依法告知并取得被編輯的個人信息主體的單獨同意。《個人信息保護法》第二十九條規定,處理敏感個人信息應當取得個人的單獨同意。而生物識別信息作為敏感個人信息,對該等信息的處理行為應當獲取用戶的單獨同意,而深度合成服務提供者的提示義務則旨在促使使用者獲取被編輯主體的單獨同意。我們理解,該規定不僅是《個人信息保護法》就個人生物識別信息的特殊要求在深度合成服務下所衍生出的應然要求,在實踐層面,此舉也將有效控制此前因攫取與濫用人臉數據而產生的非法獲取個人信息、侵害個人隱私、敲詐勒索、散布虛假消息等社會問題。
? ? ? ?c.加強訓練數據管理
? ? ? 《深度合成服務規定》首次對深度合成服務提供者提出加強訓練數據管理的義務,以確保數據處理合法、正當,采取必要措施保障數據安全。尤其是,該規定強調當訓練數據包含涉及個人信息數據的,還應當遵守個人信息保護有關規定,不得非法處理個人信息。
? ? ? ?此前,工業和信息化部辦公廳發布《新一代人工智能產業創新重點任務揭榜工作方案》,一方面指出到2020年基礎語音、視頻圖像、文本對話等公共訓練數據量大幅提升的趨勢,另一方面鼓勵在工業、醫療、金融、交通等領域匯集一定規模的行業應用數據,用于支持創業創新。在此基礎上,對個人信息在內的大量訓練數據的使用將觸發一系列合規管理義務。因此我們理解,《深度合成服務規定》此處對訓練數據管理的規定,不僅是對國家互聯網信息內容治理及個人信息保護工作所進行響應,也是對前述合規管理義務的回應,從源頭上、最大化避免因訓練數據的大面積使用對個人信息所造成的風險,并減少后期治理的成本。
? ? ? ?d.履行制定與公開管理規則和平臺公約
? ? ? 《網絡信息內容生態治理規定》總體上對所有網絡信息內容服務平臺提出了“制定并公開管理規則和平臺公約,完善用戶協議,明確用戶相關權利義務,并依法依約履行相應管理職責”的要求。此次《深度合成服務規定》第八條,不僅重申“應當制定并公開管理規則和平臺公約,完善服務協議”,還特別提出“以顯著方式提示深度合成服務使用者信息安全義務”的要求。另外,《網絡數據安全管理條例》第四十三條對互聯網平臺運營者提出了建立與數據相關的平臺規則、隱私政策和算法策略披露制度,從而保障平臺規則、隱私政策、算法公平公正的合規要求。我們理解,考慮到當前監管部門對平臺算法治理的重視,不排除前述“公開管理規則與平臺公約”包含算法策略的可能性。
? ? ? ?值得注意的是,我們理解《深度合成服務規定》第二條規定的“深度合成服務提供者”同時包含“提供深度合成服務的主體”以及“為深度合成服務提供技術支持的組織”

實務研究

Practical Research

50

兩種主體。因此,對于僅提供深度合成技術支持的技術提供商而言,考慮到其并不會直接面向用戶,其是否仍屬于“網絡信息內容服務平臺”,以及是否同樣需要根據此第八條的規定以落實公開管理規則和平臺公約的管理職責,或需要相關法律法規作進一步的說明。
? ? ? ? e.認證用戶真實身份
? ? ? 實名認證義務是《網絡安全法》所規定的基本義務。網絡運營者為用戶提供信息發布、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。考慮到深度合成技術與信息發布關系密切,《深度合成服務規定》強調深度合成服務提供者應當依法對深度合成服務使用者進行真實身份信息認證。類似地,《網絡音視頻信息服務管理規定》要求網絡音視頻信息服務提供者基于組織機構代碼、身份證件號碼、移動電話號碼等方式對用戶真實身份信息進行認證,而《互聯網宗教信息服務管理辦法》就互聯網宗教信息傳播平臺與平臺注冊用戶簽訂協議、核驗注冊用戶真實身份信息等義務作出規定。
? ? ? (3)深度合成服務提供者的算法技術合規義務
? ? ? ?a.建立健全算法機制機理審核
? ? ? 2021年9月17日,《關于加強互聯網信息服務算法綜合治理的指導意見》在“積極開展算法安全評估”部分提出了“組織建立專業技術評估隊伍,深入分析算法機制機理”的要求。《互聯網信息服務算法推薦管理規定》也規定了算法推薦服務提供者應當落實算法安全主體責任,建立健全算法機制機理審核、科技倫理審查的義務。此次《深度合成服務規定》就相同義務對深度合成服務提供者進行了重申,這也是“以人為本”的科技施政理念的體現。
? ? ? ?b.安全評估義務
? ? ?《網絡音視頻信息服務管理規定》要求網絡音視頻信息服務提供者基于深度學習、虛擬現實等新技術新應用上線具有媒體屬性或者社會動員功能的音視頻信息服務,或者調整增設相關功能時均需開展安全評估。《網絡數據安全管理條例》也概括性地要求利用人工智能、虛擬現實、深度合成等新技術開展數據處理活動的互聯網平臺運營者,應按照國家有關規定進行安全評估。相比前述規定,《深度合成服務規定》進一步明確需要開展安全評估以預防信息安全風險的觸發情形,即:
  • 提供具有對人臉、人聲等生物識別信息或者可能涉及國家安全、社會公共利益的模型、模板等工具的;
  • 開發上線具有輿論屬性或者社會動員能力的新產品、新應用、新功能的。
? ? ? ?我們理解,由于深度合成技術的概念十分廣泛,若對所有涉及應用深度合成技術的算法與服務開展安全評估,可能對相關服務提供者施加較重的合規義務,《深度合成服務規定》之要求在一定程度上緩解了深度合成服務提供者的合規壓力。

實務研究

Practical Research

51

? ? ? ?c.履行算法備案手續
? ? ? ?此次,《深度合成服務規定》規定,深度合成服務提供者應當按照《互聯網信息服務算法推薦管理規定》的有關規定,在提供服務之日起十個工作日內履行備案手續。而根據《互聯網信息服務算法推薦管理規定》,具有輿論屬性或者社會動員能力的推薦算法服務提供者應當履行備案手續。具體而言,算法服務提供者需要通過算法備案系統填報服務提供者的名稱、服務形式、應用領域、算法類型、算法自評估報告、擬公示內容等信息。然而,我們理解,該規定是否表明深度合成技術算法將被直接歸類于具有輿論屬性或者社會動員能力的算法,可能還具有一定爭議。
? ? ? 自2021年9月,國家發布《關于加強互聯網信息服務算法綜合治理的指導意見》,對開展算法備案工作提出了“建立算法備案制度,梳理算法備案基本情況,健全算法分級分類體系,明確算法備案范圍,有序開展備案工作”的指導方向后,“算法備案”開始成為熱議話題。我們理解,備案制度為監管機構提供了從源頭開展算法治理和監督工作的切入點,是國家所提出的“推動治理原則貫穿人工智能產品和服務全生命周期,對未來更高級人工智能的潛在風險持續開展研究和預判,確保人工智能始終朝著有利于社會的方向發展”的“敏捷治理”方式的重要表現形式。
? ? ? ?2.其他主體
? ? ? ?《深度合成服務規定》還就深度合成服務使用者與應用商店服務者所應當承擔的義務進行了說明。
? ? ? ?對于深度合成服務使用者而言,其仍應當履行遵守法律法規,尊重社會公德和倫理,堅持正確的政治方向、輿論導向、價值取向,促進深度合成服務向上向善的總體義務。同時,使用者還需配合深度合成服務提供者履行真實身份信息認證義務,針對于違規者,深度合成服務提供者將拒絕為其提供信息發布服務。另外,深度合成服務使用者有義務在使用人臉、人聲等生物識別信息的顯著編輯功能前,取得被編輯的個人信息主體的單獨同意。我們理解,雖然該義務屬于服務使用者,但服務使用者往往是以用戶的身份使用具有深度合成功能的應用軟件。因此,在該場景下如何幫助服務使用者合規地獲取他人的單獨同意便成為服務提供者在應用設計和開發過程中需要考慮的問題。
? ? ? ?針對互聯網應用商店服務提供者,其主要義務為履行安全管理責任,即依法依約核驗深度合成應用程序的安全評估、備案等情況,對違反國家有關規定的,應當及時采取不予上架、暫停上架或者下架等處置措施。我們理解,上述規定與《移動互聯網應用程序信息服務管理規定》等文件中規定的“督促應用程序提供者履行信息保護”“發布合法信息及發布合法應用程序”等信息安全的管理責任相呼應,在深度合成技術服務領域強調互聯網應用商店服務提供者的義務。

實務研究

Practical Research

52

? ? ? ?《深度合成服務規定》是我國互聯網信息服務治理、人工智能與算法治理的宏觀版圖中的重要組成部分。面對新技術的挑戰,《深度合成服務規定》一方面表明了政府與監管者所采取的審慎包容的態度,另一方面,也同時展現了在以人為本、有序治理的大前提下,國家對新型技術的支持。總體而言,我們認為《深度合成服務規定》在以下三個方面有著重要意義:
? ? ? ?1.由點及面的立法布局
? ? ? ?當前在數據保護領域,我國已出臺一系列法律法規和國家標準,以全方位規制數據的全生命周期。然而,相較于數據立法,我國在算法層面出臺的文件數量有限。但從目前已出臺的《數據安全法》《個人信息保護法》《深度合成服務規定》以及《互聯網信息服務算法推薦管理規定》等文件,可以管窺監管機構由點及面的立法布局。具體而言,從整體上看,《數據安全法》第28條提出,開展數據處理活動以及研究開發數據新技術,應當有利于促進經濟社會發展,增進人民福祉,符合社會公德和倫理;同時,《個人信息保護法》《電子商務法》等也就自動化決策等算法問題進行規定,上述法律法規構成算法治理的核心要求。而目前針對推薦算法、深度合成技術等新興技術的立法則旨在從具體的應用場景出發,規制特定的算法類型。不同監管文件之間環環相扣,形成緊密的邏輯鏈條。待未來相關法規逐漸豐富,多維譜系的法律法規能夠使監管機構使用多種監管工具全方位、多層次地對算法問題進行規制。
? ? ? ?2.以人為本的監管思路
? ? ? ?為了防止技術的異化風險,算法服務提供者和技術支持者應當始終將技術創新和以人為本作為根本目的。因此,倡導“科技向善”成為推動數字社會福祉最大化的必然要求。2019年,國家新一代人工智能治理專業委員會《新一代人工智能治理原則——發展負責任的人工智能》提出了和諧友好、公平公正、包容共享、尊重隱私等原則。許多科技企業也相繼發布有關人工智能治理方面的白皮書,明確人工智能在安全、 隱私、 公平等方面的倫理原則,還有企業成立了人工智能道德委員會,以期解決人工智能和算法帶來的道德風險。而《深度合成服務規定》對“尊重社會公德和倫理,堅持正確政治方向、輿論導向、價值取向,促進深度合成服務向上向善”的強調,正是以人為本的“科技向善”的體現。
? ? ? ?3.敏捷治理的監管策略
? ? ? ?從監管策略上看,《深度合成服務規定》在一定程度上體現出“敏捷治理”的基本思路。首先,《深度合成服務規定》明確了算法備案、審核、評估等制度,算法備案制度和安全評估制度是實現敏捷治理目標可優先考慮的制度設計,一方面可以讓

實務研究

Practical Research

53

? ? ?05??重要意義

監管機構及時了解算法的具體內容,另一方面能夠提高深度合成服務提供者的責任意識和安全意識。此外,《深度合成服務規定》還規定了深度合成技術的監管機構與相關法則,即:國家網信部門與地方網信部門負責統籌協調全國及各行政區域內的深度合成服務治理和相關監督管理工作,并規定違反相關規定者可能面臨警告,責令限期改正,一萬元以上十萬元以下罰款等處罰方式,或依法承擔民事責任、治安管理處罰及刑事責任。我們理解,上述中央與地方統籌協調、協同治理,多種懲罰手段并用的方式同樣是敏捷治理的體現。
? ? ? ?相較于傳統由政府作為治理主體的單一治理方式,敏捷治理所提倡的多主體參與的多元治理能夠進一步完善算法規制策略。對于將深度合成技術作為驅動商業利益的重要依托的服務提供者而言,在敏捷治理的背景下,除應當注意“慎始而后行”,還可以進一步探討如何在合規前提下盡可能激發深度合成技術的商業潛力。換言之,深度合成服務者除了被動履行《深度合成服務規定》所規定的,包括但不限于信息安全主體責任、深度合成信息內容標識、審核深度合成信息內容、建立健全算法機制機理審核機制、加強訓練數據管理及履行自評估等義務外,還可相應積極推動檢測識別技術的研發、檢測標識和標注工具的開發等配套技術,同監管機構一同促進深度合成技術的妥善運用,在防范風險的同時為對抗性技術和鑒別技術的發展提供計劃。? ?

實務研究

Practical Research

54

? ? ? ?對于深度合成領域的新監管要求是迎接數字社會發展挑戰的一次重要嘗試,可以預見的是,對于數字社會中“虛實”和“真偽”的事實辨別和價值判斷將是動態變化的過程。正所謂 “假作真時真亦假,無為有處有還無”,我們對數字社會治理規則的發展應當抱有積極開放的心態和審慎的精神,在追求社會發展和人性進步的歷程中,恪守本心。
(全文完)

結語

如果從內地法的角度來看,法團印章可以理解為香港公司的“公章”。法團印章,俗稱“鋼印”。
圖一:法團印章形狀? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 圖二:印章印記
法團印章名稱須與公司注冊處登記的一樣,不可將公司中文名稱繁體改為簡體,也不可以縮寫。根據新《公司條例》,香港公司不是必須備有法團印章。實踐中比較少見在簽署一般性合同/文件的程序中使用法團印章,而僅在簽署如契據(Deed)這種非常嚴肅的文件時法團印章才可能被使用,如不動產買賣合同、股權轉讓合同、抵押合同、借款合同、股票和其他證券等法律明確規定須蓋印章的情形:

1.法團印章(Common Seal)

香港公司印章使用介紹

企業合規

CORPORATE COMPLIANCE

55

編輯:愷英網絡法務部? ?何欽

  • 對于備有法團印章的公司,使用法團印章程序必須按照公司章程規定辦理。(例如:部分香港公司的章程會要求須至少兩位董事簽署或一位董事及公司秘書共同簽署或出具董事會決議后,方可加蓋法團印章)。如果對方公司采用法定范本[ 香港以立法形式提供了一份標準章程范本——新公司條例第622H章《公司(章程細則范本)公告》。],使用法團印章時,除蓋章行為外,還需兩名董事簽字,或者一名董事及一名公司秘書[ 公司秘書指的是一個公司的高管職位,如果由個人擔任,則必須經常居住在香港;如果由法人擔任,則必須是一家香港公司。]簽字,或者一名董事及一名董事授權的人簽字。法團印章的使用應記錄在冊。
  • 對于沒有法團印章的公司或有法團印章但未加蓋的,則由兩名董事簽字或一名董事加公司秘書簽字(如果公司有兩名或以上董事),或一名董事代表公司簽字(如果公司只有一名董事),然后在文件中說明是由有關公司簽立的文件具有效力,這樣做就如同已加蓋法團印章一樣。
? ? ? ? 127.公司簽立文件
? ? ? ? (1)公司可藉蓋上其法團印章,簽立文件。
? ? ? ? (2)公司如藉蓋上其法團印章簽立文件,該印章須按照其章程細則的條文蓋上。
? ? ? ? (3)公司亦可藉以下方式,簽立文件——
? ? ? ? (a)(如屬只有一名董事的公司) 由該董事代表該公司簽署該文件;或
? ? ? ? (b)(如屬有2名或多于2名董事的公司) 由以下人士代表該公司簽署該文件:
? ? ? ? ?(i)該2名董事或任何2名該等董事;或
? ? ? ? ?(ii)該公司的任何董事及該公司的公司秘書。

企業合規

CORPORATE COMPLIANCE

56

? ? ? ?正式印章是公司可以選擇擁有的法團印章的復制本(replica),也是一個鋼印,正式印章有兩種用途:
? ? ? (1)在香港以外的地方使用正式印章
? ? ? ?正式印章適用于持有法團印章的公司打算在香港以外的地區使用法團印章,又不方便帶出香港的情況。根據《公司條例》第125條規定,該印章必須同時刻上公司的名稱和使用地點字樣即“僅在XX使用”。
? ? ? (2)在公司發行的證券上使用的正式印章(證券印章)
? ? ? ?證券印章也是法團印章的復制品,但僅用于加蓋股票或其他證券。證券印章必須刻有“securities”或“證券”字樣。實踐中,大部分香港私人公司都會在股票上加蓋法團印章,以致很少使用證券印章?

2.正式印章(Official Seal)(實踐中少見)

企業合規

CORPORATE COMPLIANCE

? ? ? ?簽名印章也稱“長條章”,是一個長條方形的原子印,上面刻有英文字樣“For and on behalf of”(代表),下起一行標注公司中英文名稱,以及簽名線以供簽署,簽名線下方標注“Authorized Signature(s)”(授權的簽署),中間部分專供被授權人簽字。
? ? ? ?簽名印章必須配合被授權人的簽字方能生效,即其上刻的“Authorized Signature(s)”字樣橫線處須由經公司授權的董事或其他人士簽署。注意:如只是蓋上簽名印章,簽名處無被授權人簽名,文件不具法律效力。
? ??
圖三

3.簽名印章(Signature Chop)

57

? ? ? ?新《公司條例》第121條第(3)款規定,香港公司簽訂一份非契據的普通書面合同,只要“由任何獲該公司授權(不論明示或暗示)行事的人簽署(signed by any person acting with the company’ s authority (whether express or implied))”即可。因此,有兩類人可以代表公司簽署普通合同:
? ? ? ?其一,公司的任何一位董事可以作為默示獲授權人簽字;
? ? ? ?其二,任何獲得公司明確書面授權的人可以作為明示獲授權人簽字。這個授權書也是一份契據,需要滿足契據的形式要件(按照公司章程的約定,加蓋法團印章,也可由兩位董事,或一位董事加公司秘書簽署;僅有一位董事的公司,可以由此董事單獨簽署)。
? ? ? ?因此與香港公司簽訂合同,在加蓋簽名印章的過程中,需對下列內容進行審核:
  • 通過公司的“周年申報表(annual return)”核查簽字人是否公司董事,或
  • 核查公司是否有授權該人簽字的董事會決議或授權書。

企業合規

CORPORATE COMPLIANCE

58

圖四
? ? ? ?香港公司的小圓章規格為直徑為21mm的圓形,排版方式通常為雙邊加內圈,外圈為公司英文名稱,加*號,內圈則為公司的中文名稱。小圓章的顏色多為藍色或紫色。
? ? ?

4.小圓章(Company Chop)

? ? ? ?實際上,它在《公司條例》中不具備法律地位,也不需要備案或登記。在香港法律下,加蓋小圓章并不當然約束公司,它的作用僅是作為公司行為的一種證明,公司通過加蓋小圓章表明某個行為是公司做的。在香港一般日常使用圓印章的場合包括:公司的進貨單、對賬單、付款憑證、收據的發出或是已簽署合同的字詞糾錯等,證明公司知悉該等事實;加蓋在合同文本的修改處,證明這個修改是公司所為。(另,還有一種橢圓章作用與小圓章一致。)
? ? ? ?因我國內地企業使用的公章通常為圓形印章,且根據內地法律合同中加蓋印章即可成立并生效,故實踐中當香港公司在內地進行交易、簽訂合同時常會出現僅加蓋小圓章的情形。司法實踐中,此種情形下有法院認為香港公司簽署合同的形式不符合香港《公司條例》的相關要求,合同無效[ 山東融世華租賃有限公司與濟寧港寧紙業有限公司等融資租賃合同糾紛([2014]濟商初字第312號)。]。也有法院認為,如果合同已經實際履行,則即使當事人在合同上的簽字或蓋章不符合相關法律規定,通常也不影響合同有效[ 廣東建滔積層板銷售有限公司與偉碩電子(深圳)有限公司合同糾紛([2018]粵0391民初2255號)。]。一般來說,當雙方過往交易中長期以小圓章作為“公章”使用,根據誠實信用原則,認定為加蓋小圓章即是公司的真實意思表示,對公司具有約束力。
? ? ? ?因此,大陸法院對于香港公司加蓋印章的效力的認定標準并不統一,部分法院的認定標準比較寬松,即使沒有按照香港法律規定加蓋法團印章或沒有適格人員簽字,只要能夠認定是雙方真實意思表示,法庭仍然傾向認定合同有效。盡管如此,出于謹慎,在與香港公司進行交易時,仍應注意其文件簽署的形式,避免因蓋錯印章(且未經適格人員簽字)導致糾紛甚至合同無效的風險。
以上總結如下表:

企業合規

CORPORATE COMPLIANCE

59

企業合規

CORPORATE COMPLIANCE

60

(全文完)

61

平臺收集、使用個人信息的邊界到底在哪?

來源:公眾號“星瀚微法苑"

相信每個人都曾經點開過一份《用戶協議》或《隱私協議》——當你看到平臺內的彈窗向你征詢收集并使用某類個人信息時,你是否會遲疑甚至提出質疑?瀏覽某視頻平臺或購物平臺的時候,你有沒有發現自己喜歡看的視頻、想買的商品鋪滿了平臺首頁?大數據時代下,平臺往往比你自己更懂你,但其中也潛伏著危機。本期我們將跟大家聊聊2022年杭州互聯網法院個人信息保護十大典型案例之一——某購物類APP自動化推薦應用糾紛案。在這個案件中,我們將一窺現行法律如何在個人信息自動化決策與個人信息權益保護之間尋求平衡。

基本案情介紹

原告在注冊某購物類APP過程中發現,注冊成功的前提是勾選“已閱讀并同意《隱私權政策》及《用戶協議》”。點開《隱私權政策》后,原告認為其中關于利用用戶信息提供個性化推薦功能的條款,違反了《個人信息保護法》第16條和第24條的規定,侵犯了原告的個人信息權益,因此將該平臺告上法庭。

企業合規

CORPORATE COMPLIANCE

法院審理后查明,案涉平臺在《隱私權政策》中采取了首次運行時、用戶注冊時均提示用戶是否同意隱私政策的事前概括同意機制,又通過在APP內部設置便捷的拒絕自動化推薦選項,使用戶可以選擇是否開啟個性化廣告和個性化推薦、是否刪除瀏覽記錄或搜索記錄、選擇搜索結果的篩選模式,對用戶個人信息權益保障提供了事后選擇機制。事前概括同意機制與事后選擇機制的組合符合《個人信息保護法》第16條及第24條的規定,案涉購物APP利用個人信息進行自動化決策具有合法性基礎。綜上,被告公司未侵害原告個人信息權益,法院駁回了原告的訴訟請求。
本案中涉及了兩項個人信息處理規則:告知同意規則與自動化決策規則。這兩項規則是作為個人信息處理者的平臺在對用戶的個人信息進行收集、存儲、利用等行為時需要尤其關注的規則。

企業合規

CORPORATE COMPLIANCE

62

告知同意規則

個人信息指的是以電子或者其他方式記錄的、與已識別或者可識別的自然人有關的各種信息(不包括匿名化處理后的信息)。個人信息處理者,即是指對個人信息進行收集、存儲、使用、加工、傳輸、提供、公開、刪除等單個行為或多個行為的主體。本文案例中,購物APP出于提供服務之目的,需要處理注冊用戶的個人信息,因此該購物APP的運營者(也稱平臺)即是法律上的信息處理者。
告知同意規則是個人信息保護的重要規則之一,它來源于美國1977年“惠倫案”(Whalen v. Roe, 429 U.S.589 (1977).)的信息隱私權以及德國1983年“人口普查案”(Volksz?hlungsurteil, BVerfG 65, 1)的個人信息自決權。隨后這一規則逐漸在世界范圍內個人信息保護立法中被采納。我國《民法典》和《個人信息保護法》中也相應規定了處理個人信息的告知同意規則。
我國《個人信息保護法》第13條規定,除了基于履行合同義務、履行法定義務、應對突發公共事件等特定情形,信息處理者應當首先取得個人同意,才可處理個人信息。第14~17條進一步作具體規定,其中就包括個人擁有撤回與拒絕的權利(第16條),要求信息處理者不得以個人不同意或者撤回同意為由,拒絕提供產品或者服務,除非是信息處理者提供產品或服務所必須

例如,購物APP為了提供給用戶網購服務,需要收集并儲存用戶某些信息,包括聯系方式、送貨地址、付款信息等購物所必須的個人信息。但對于用戶的教育信息、工作信息,這些并不是平臺提供網購服務所必須的(除非是學生折扣或者特殊職業福利等促銷活動),對于這些信息,平臺在收集前必須要告知用戶處理信息的目的以及方法,并另行取得用戶的同意。
本文案例中,被告在注冊界面提示用戶閱讀兩份協議的行為,屬于一種事前概括的告知同意,符合《個人信息保護法》的規定。但從實際效果來看,這種類型的告知同意是否可以免除平臺的責任,仍有待商榷。
在真實的使用場景中,這類注冊協議往往會陷入“無人讀、不可讀、讀不懂”的尷尬境地,使得告知同意規則形同虛設。“一刀切”式的同意或不同意,是否是平衡個人信息利用與保護的最優解?目前采用的“注冊前同意”實際上是一種隱性的擇出機制(即默認接受,用戶有選擇拒絕的權利),若是采用針對不同個人信息類型的分項擇入機制(即默認拒絕,用戶有選擇接受的權利),或許更有利于實現個人信息利用與保護的平衡。

企業合規

CORPORATE COMPLIANCE

63

自動化決策規則

所謂“自動化決策”,其實就是我們在各種APP中所享受到的個性化推薦服務,“大數據殺熟”這個叫法或許更為人所了解。顯然,要實現個性化推薦,平臺必須收集用戶使用平臺的各類信息,包括檢索記錄、瀏覽歷史甚至可能希望獲取其他與平臺使用沒有必然關系的用戶個人信息。自動化決策確實能夠優化用戶使用體驗的功能,但另一方面也給用戶制造了“信息繭房”,并且某些平臺還會利用個人信息給予用戶不公平不合理的差別待遇(例如多次使用某項服務后,該服務會莫名開始漲價)。
為了規范信息處理者的自動化決策行為,《個人信息保護法》第24條規定:
第二十四條 個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。
通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

在本文案例中,法院認為平臺在APP內部設置的事后選擇按鈕,在自動化決策信息處理中符合第24條的規定。但需要特別注意的是,事后選擇按鈕的設置既要維護用戶拒絕的權利,也需要符合便捷性的要求;對于搜索結果的呈現,其篩選方式不僅只有“個性化”一種,應當允許用戶可以根據自己的需要選擇如“銷量”、“價格”等標準。

企業合規

CORPORATE COMPLIANCE

64

判決書之外:技術應讓每個人得到公平對待

《個人信息保護法》的出臺顯示出個人信息安全與保護越來越受到重視,但同時也給立法者拋出問題:如何在利用個人信息與保護個人信息權益之間取得平衡。本文案例正是司法在利用個人信息自動化決策與個人信息權益保護之間尋求平衡的一次嘗試。囿于技術路徑等各方面原因,該判決結果或許不是最理想的,但是已是目前所能實現的利用與保護個人信息之間的最佳平衡狀態。
作為信息處理者,平臺方應當熟悉《個人信息保護法》以及相關法律法規,嚴格按照法規制定平臺規則、制定各類協議,合法合規合理處理好用戶的個人信息。切忌耍小聰明,對于應當公示、告知用戶的內容要及時公示告知,對其中關鍵語句通過加粗、下劃線等形式進行顯著標識;不能設置默認勾選“閱讀并同意”選項,不能設置例如“輸入手機號即同意”,上述行為均不被視為用戶的真實意思表示,會給平臺帶來較大的合規風險。
作為平臺服務接受方,用戶可以通過多種途徑,了解有關個人信息及其保護的法律規定,知道什么行為是平臺應該做的,什么行為是平臺不應該做的,什么權益是自己作為平臺用戶應當享有的。用戶個人信息權益保護意識的提高也將在一定程度上促使平臺更加規范地提供服務,由此形成一個行業生態的良性循環。

技術的創新與發展給現行法律帶來了挑戰。一條法律條文的制定與制定都并非易事;從靜態的法律條文到動態的法律事件也困難重重,其中必然牽扯多方利益的權衡與平衡。但無論如何,技術沒有對錯,技術的進步最終應當實現社會上的每一個人、每一個群體都能得到公平公正的對待。
(全文完)

改革重塑獨董生態 上市公司治理將步入新階段

來源:公眾號“證券日報之聲”

上市公司獨董制度改革大幕拉開。為貫徹落實《國務院辦公廳關于上市公司獨立董事制度改革的意見》(以下簡稱《意見》),4月14日,證監會就《上市公司獨立董事管理辦法(征求意見稿)》(以下簡稱《辦法》)公開征求意見,《辦法》從獨董事前聘任、事中履職、事后責任認定等各環節具體要求進行明確。同時,滬深北交易所就相關規則征求意見,為實踐提供詳細的操作性指導。
“隨著全面注冊制的穩步推進,上市公司治理進入精細推進、精準發力的新階段。”清華大學五道口金融學院副院長田軒對《證券日報》記者說,獨董制度改革后,將改變以往獨董獨立性不強、專業性不足、履職不充分等市場形態,在權利意識、責任意識、風險意識的深層次覺醒中,帶領我國上市公司治理走入與經濟發展同頻的高質量新階段。在此基礎上,獨董制度將與多項市場改革政策形成“組合拳”,進一步引導上市公司優化公司治理結構,提升治理水平,促進上市公司長期健康高質量發展。

上市公司治理

CORPORATE GOVERNANCE

65

撕掉“花瓶”標簽
打牢獨立、專業根基

此次改革建立了獨董資格認定制,全鏈條優化獨董選任機制,要求獨董切實具備獨立性和專業性。
田軒表示,《辦法》對獨董資格認定要求更加詳細,限制性條款更多。為保證獨立董事獨立性,增加了重大業務往來、提供實質性服務、原則上最多在三家境內上市公司擔任獨立董事等情況的排除性規定,并要求獨立董事年度獨立性自查。

66

上市公司治理

CORPORATE GOVERNANCE

“同時明確獨董資格的申請、審查、公開等要求,加強資格認定工作,隨著市場變化發展需要,可打牢獨董獨立性的根基,并進一步提升獨董專業素質,徹底撕掉既不獨立、又不‘懂事’的‘花瓶’標簽,切實發揮獨董制度在公司治理中的關鍵作用。”田軒進一步表示。
“獨立董事的任職資格方面,更加強調了獨立董事的履職能力,包括獨立性、專業能力、履職時間等更加明確。特別是《辦法》將獨董的兼職家數由五家縮減為三家。此外,對于獨立董事任職資格進行動態檢查,有助于確保獨立董事的獨立性。”北京國家會計學院教授崔志娟對《證券日報》記者表示。
廣西大學副校長、南開大學金融發展研究院院長田利輝在接受《證券日報》記者采訪時表示,《辦法》提出探索建立獨董信息庫,鼓勵具有豐富的行業經驗、企業經營管理經驗和財務會計、金融、法律等業務專長且具有較高聲譽的人士擔任獨董,這不僅能夠有效拓寬優秀獨董來源,而且可以逐步形成我國獨董職業市場,進而推動獨董管理的中國式現代化。

確保獨董履職“落地”
未來可建立市場評價體系

此次改革明確了獨董的職責定位,要求發揮參與決策、監督制衡、專業咨詢三項功能,并突出監督作用,同時優化獨董履職方式,增強獨董履職保障。
“獨立董事職責定位更加清晰。”崔志娟表示,《辦法》明確了獨立董事參與董事會決策要保護中小股東合法權益。獨立董事履職監督的關鍵領域,包括關聯交易、財務會計報告、重要人事任免、薪酬等,這與注冊制改革相呼應,體現信息披露決策有效性的價值功能。
在獨董履職方式優化方面,崔志娟表示,《辦法》對審計委員會、提名委員會、薪酬與考核委員會的人員構成均要求獨立董事占多數,且對財務報告、關聯交易等重要事項的增加了獨立董事事前認可機制,以便獨立董事能夠有效履行關鍵領域的監督職能。

67

上市公司治理

CORPORATE GOVERNANCE

在事中履職,田利輝認為,《辦法》關鍵在于強調了履職方式的落實。《辦法》提出了公司對于獨董的必要支持措施,強調了獨董的知情權,明確了獨董聘用專業機構的費用問題,為獨董履職提供必要的保障。未來,上市公司獨董履職可以更為有效地獲得必要信息,可以更為有序地獲得必要的辦公條件支持,可以更為有力地聘任第三方專業機構處理自身能力不足的問題。同時,未來的上市公司獨董能夠有效規避非其主觀過錯的責任。
“未來上市公司獨董履職,需要嚴格落實相關規定。在此基礎上,可以探索更加市場化的運作方式,進一步完善獨董制度的激勵相容安排,提升獨董的責權利匹配度。如保障物質激勵,提高獨董待遇和話語權,強化精神激勵,建立市場評價體系,促進獨董職業的標準化和規范化,提高獨董勤勉盡職的能力。”田軒表示。

壓實責任同時精準追責
有效避免“寒蟬效應”

我國首例特別代表人訴訟案中,幾名獨董被判按比例承擔連帶賠償責任,涉及金額過億元,引起市場熱議。《辦法》在強調對獨董不履職不盡責責任追究的同時,明確獨董與非獨董承擔共同而有區別的法律責任。按照責權利匹配原則,針對性細化列舉獨董責任認定考慮因素及不予處罰情形,體現過罰相當、精準追責。
田軒表示,在明確“加大對獨董不履職不盡責的責任追究力度”的前提下,《辦法》也詳細列舉了獨董能夠證明存在相關情形的可以免于處罰。在厘清了獨董監督、管理及行政責任的基礎上,進行了權責平衡,加強了對于獨董履職風險的保護,體現了過罰相當、精準追責,能夠有效避免獨董履職過程中的“寒蟬效應”。在有效降低獨董連帶風險的同時,能夠在信心層面鼓勵更多具備專業認識的人士,加入獨董監督治理的隊伍中,不斷促進獨董制度的成熟與完善。
“明確責任認定考慮因素及不予處罰情形,能夠有效防止將獨董的責任無限擴大化,防止專業獨立人士由于獨董權責不對等而有意規避,因特定事件出現獨董離職潮。”田利輝認為,此次獨董制度改革,不僅具有科學性,而且具有可行性,能夠有效提升我國上市公司的公司治理水平。
(全文完)

掃碼查看往期

往期作品

為您推薦

熱門標簽

 Copyright ? 2024 陜西妙網網絡科技有限責任公司 All Rights Reserved

增值電信業務經營許可證:陜B2-20210327 |