一、Midjourney和ChatGPT等生成式AI在2023年對全球的影響有目共睹,此一新興科技除了帶來劃時代的變革,也同時衍生資訊安全、個資及隱私保護、著作權及基本權侵害、消費者保護等爭議,各國政府目前仍在討論現行法規是否適宜或者足以規範AI。中國大陸在近期也出台數個行政法規,強化對生成式AI的管理。包括《互聯網資訊服務深度合成管理規定(下簡稱「規定」)》、《生成式人工智慧服務管理辦法徵求意見稿(下簡稱「管理辦法徵求意見稿」》、《科技倫理審查辦法(試行),(下簡稱「審查辦法」) 》。從整體觀之,前述法規相互間,以及與原有的「國家網絡安全法」、「個人信息保護法」等法律均密切相關,具有互相補充解釋、共同作為AI相關產品或服務合規性要求的效果,摘要主要規範內容如後。
二、生成式AI的基本定義(規定第23條)
中國大陸將「生成式AI」稱為「深度合成技術」,定義為:利用深度學習、虛擬現實等生成合成類演算法製作文本、圖像、音頻、視頻、虛擬場景等網絡信息的技術。範圍十分廣泛,幾乎包括一切可利用演算技術、模型或規則生成的內容,包括但不限於:
(一) 生成或者編輯文本內容的技術:例如ChatGPT、寫稿機器人等,篇章生成、文本風格轉換、生成問答對話文本內容的技術;
(二) 生成或者編輯語音內容的技術:例如語音合成、語音識別、語音客服等,使文本轉語音、語音轉換、語音屬性編輯的技術;
(三) 生成或者編輯非語音內容的技術:例如自動編曲、即興演奏、自動生成大自然的聲音、音頻增強等,音樂生成、場景聲編輯技術;
(四) 生成或者編輯圖像、視頻內容中生物特徵的技術:例如美顏、深偽技術等,人臉生成、人臉替換、人物屬性編輯、人臉操控、姿態操控技術;
(五) 生成或者編輯圖像、視頻內容中非生物特徵的技術:例如畫質修復、黑白影像配色等,圖像生成、圖像增強、圖像修復技術;
(六) 生成或者編輯數字人物、虛擬場景的技術:例如元宇宙、數位分身、虛擬實境等,三維重建、數字模擬技術。
三、主要規範對象(規定第13條及第23條,管理辦法徵求意見稿第2條)
對應用在中國境內的深度合成服務提供者、技術支持者、互聯網應用商店等應用程式分發平臺和使用者,分別課以行政義務。因此,只要可能對中國境內用戶發生影響的生成式AI服務提供者,都可能被納入監管範圍。
四、主要義務內容
(一) 一般合規性義務:
不得利用深度合成服務製作、複製、發布、傳播法律、行政法規禁止的資訊(例如:算法歧視之禁止),或從事危害國家安全和利益、損害國家形象、侵犯他人肖像、隱私或者個人名譽等合法權益之活動(規定第6條、管理辦法徵求意見稿第4條)。
(二) 深度合成「服務提供者」,為主要的義務主體,具有以下責任
1. 對於深度合成系統建立管理制度的義務(規定第7及第8條):
應建立用戶註冊、演算法機制審查、科技倫理審查、資訊發布審查、數據及個人資訊安全保護、反電信網絡詐騙及應急處理等系統整體管理制度。
2. 對於深度合成的數據來源合法性,以及合成內容負審核義務(規定第9條至第12條,管理辦法徵求意見稿第7條、第9條、第13條):
應當對用戶身分進行實名認證管理制度;並對深度合成的輸入數據來源合法性及其合成結果進行審核,及時對虛假資訊採取闢謠措施;建立用以識別違法和不良資訊的特徵庫、紀錄及留存相關網絡日誌;及時處理違法資訊並建立違規用戶相應處置措施;以及設置便利的申訴管道和發現不法時向主管部門的舉報措施。
3. 對於涉及個資、生物識別資訊等,因過於真實可能導致公眾混淆誤認的生成或編輯服務,負有通知、標示、並獲得個人單獨同意之義務(規定第14條、第17條及18條,管理辦法徵求意見稿第16條):
由於深度合成技術提供的智能對話、合成人聲、人臉生成、人臉替換、人臉或姿態操控、沉浸式擬真場景等生成服務幾可亂真,可能有致公眾混淆誤認並構成侵權等影響,服務提供者對於生成的內容負有向公眾標示義務。並對受影響的個資訊息持有者、或者被編輯生物識別資訊的個人應履行告知其獲其同意之義務。
4. 確保並持續評估深度合成技術之安全可控性(規定第15條及第20條):
(1) 對於涉及人臉、人聲等生物識別資訊的生成或編輯,或涉及國家安全和社會利益的非生物識別資訊的生成或編輯,應對涉及的演算法模組進行安全性評估。
(2) 對於具有公共輿論屬性或社會動員能力的產品或服務,應依國家有關規定進行安全性評估。
5. 進行備案及記錄程式(規定第19條、管理辦法徵求意見稿第6條):
「規定」第19條僅對「具有輿論屬性或者社會動員能力的深度合成服務提供者」規範應履行備案、公示已備案資訊之義務。但「管理辦法」第6條則無前述限制,其規定:「利用生成式人工智慧產品向公眾提供服務前,應當按照《具有輿論屬性或社會動員能力的互聯網信息服務安全評估規定》向國家往信部門申報安全評估,並按照《互聯網信息服務算法推薦管理規定》履行演算法備案和變更、註冊備案手續」。依其文義只要生成式人工智慧的產品或服務可能產生具有公眾輿論性質或者社會動員能力的影響或者可被作為提供此類影響的管道者,都有備案義務,適用的範圍相對廣泛且目前難以特定具體對象。但「管理辦法徵求意見稿」屬於仍在徵求公眾意見的草案階段,因此,此一議題仍有待持續觀察確認。
6. 違反相關規範的處罰
「規定」中未見有違反規範義務的具體罰則,但「管理辦法徵求意見稿」第20條則明確規範,深度生成服務提供者違反該辦法規定時,由網信部和有關係的主管部門按照「國家網絡安全法」、「個人信息保護法」之各該法律規定處刑。法律、行政法未規定的,有關主管部門可依職權及違法程度給予告示、通報批評、責令限期改正、責令暫停或終止服務、處以罰款、治理處分。
(三) 深度合成「技術支持者」的主要義務:
1. 對於AI訓練數據負有加強管理、採取必要措施確保數據安全以及符合個資保護相關規範的義務。特別是對於涉及生物識別資訊生成或編輯的技術,應與深度合成服務提供者共同負提示使用者知悉、告知並獲得被編輯者單獨同意之義務(規定第14條)。
2. 與深度合成服務提供者共同加強技術管理,定期審核、評估、驗證確保生成合成類演算法機制機理具有安全性的義務(規定第15條)。
(四) 互聯網等「應用程式分發平台」的審核管理義務(規定第13條)
由於應用程式(App)需要透過平台進行傳輸或下載,因此對應規範「互聯網應用商店等應用程式分發平台應落實上架審核、日常管理、應急處置等安全管理責任,核驗深度合成類應用程式的安全評估、備案等情況;對違反國家有關規定的,應當及時採取不予上架、警示、暫停服務或者下架等處置措施。」
(五) 「使用者」的義務(規定第6條第2項、第18條,管理辦法徵求意見稿第19條):
1. 課以深度技術合成服務用戶勿自行違法利用深度合成技術影響公共安全的義務。並特別規範服務使用者不得製作、複製、發布、傳播深度合成「假新聞」;亦不得刪除、篡改、隱匿深度「合成標示」。
2. 服務使用者違反相關法律規定者,服務提供者應暫時停止或終止服務。
五、審查單位
(一) 官方審查機構(規定第19條、管理辦法徵求意見稿第6條)
官方將會以特定之監管機構管理生成式AI服務業者的備案以及紀錄作業。
(二) 用戶舉報(管理辦法徵求意見稿第15條)
對於運行中發現不符法規範要求的生成內容,用戶可以向服務提供者進行舉報,服務提供者除採取內容過濾措施外,應在3個月內通過模型優化訓練等方式預防再次生成不符要求的內容。
(三) 企業自行成立「科技倫理審查委員會」(審查辦法第5條、第10條、第14條第(五)項、第32條)
1. 傳統可能涉及倫理議題者為醫療健康領域,但隨著AI生成技術的發展,換臉詐騙、AI合成明星演唱歌曲等爭議不斷發生。中國大陸科技部近日出台「科技倫理審查辦法(試行)」,規定從事人工智能科技活動的單位,研究內容涉及科技倫理敏感領域的,應設立獨立的「科技倫理(審查)委員會」,建設其章程、管理和工作規範,以對所開展的科技活動進行風險評估。其中,與「涉及數據和算法的科技活動」,應重點審查「數據處理方案符合國家有關數據安全的規定,數據安全風險監測及應急處理方案得當,算法和系統研發符合公平、公正、透明、可靠、可控等原則」。其中,「具有輿論社會動員能力和社會意識引導能力的算法模型、應用程序及系統的研發」將再經過所在地方或相關主管部門組織進行「專家複核」,接受更嚴格的監控。
2. 科技倫理(審核)委員會建置之後將有需在國家科技倫理信息登錄平台進行登錄,將委員會組成、章程、工作制度、倫理審查與複核情況提交平台。
六、近期規範的特色:
(一) 生成式AI牽涉多重角度的法律爭議及風險,因此中國大陸也透過行政規範橫向彙整宣導既有的個資、隱私、網路安全等法律架構;且針對中國大陸當地已發生多起人臉辨識侵權、消費詐騙等爭議案件,對應在近期規範中更加強對於深偽技術等涉及生物識別資訊的管理。
(二) 前述規範脈絡也可見中國大陸擬從提高生成式AI服務提供者以及技術支援者協同承擔責任的角度,適度抑制快速蔓延的生成式AI侵權議題:
1. 但具體案例中,實際侵權者(通常是生成式AI的使用者)與前述提供服務、APP平台或者技術支援之人員應如何分擔其等責任,仍有待相關案例發展更明確的細項。但服務提供者及技術支援者在現有技術能力水平上,事前盡合理的防範努力,主動積極檢測訓練數據、生成內容,並於發現侵權之後及時對於侵權用戶採取刪除、屏蔽、斷開連結甚至停權的作為,應是可預期的執法目標。
2. 法規範初步責成生成式AI服務提供者或者技術支持者應確保訓練數據來源的合法性及生成內容的真實性。惟以ChatGPT或者Midjourney生成的文本為例,都是由AI根據訓練數據集的資訊,透過使用者「生成」指令合成的結果,資訊來源有其侷限性,且後續經過不特定的使用者加工「提示」個別的指令「生成」不特定的內容。服務提供者或者技術支持者應如何「及時對虛假資訊採取闢謠措施」或者「保證數據的真實性、準確性、客觀性、多樣性」(規定第10條及管理辦法徵求意見稿第7條(四)項參照),恐仍有待更細部的操作指南。
(三) 發展中的法規範:前述「管理辦法徵求意見稿」仍屬在徵詢公眾意見的草案階段,而「審查辦法」也僅有初步綱要,且可能因其「試行」的性質而變更,我們將持續關注此一發展中的議題,以作為計畫未來持續發展AI相關創新及風險管理的基礎。
◎相關報導
中國大陸首例「虛擬數字人」侵權爭議案
中國大陸「人臉辨識」爭議最新審理規定