導語

2024年，各類AI生成模型如噴泉式涌現，其強大的圖片及影像生成能力將生成式人工智能的發展再次推向了輿論風口，引發了全社會對于AIGC的廣泛討論。與此同時，生成式人工智能平臺由此引發的數據合規風險、知識產權侵權以及各類新型犯罪等法律問題也進一步凸現。2024年6月，歐盟數據保護監管機構（EDPS）發布了關于生成式人工智能數據合規的指南,作為歐盟的第一份關于人工生產智能數據合規的指南，具有一定的指導意義。參考我國《個人信息保護法》中對國家機關處理個人信息的專門規定，以及《生成式人工智能服務管理暫行辦法》的規定，在本篇中，我們將為您梳理和分析企業在開發和運營生成式AI的過程中在數據安全方面可能遇到的法律風險，包括算法風險、訓練數據來源風險、生成內容風險以及其他風險，并提出具有操作性的風險防范建議，供相關企業參考。

AIGC面臨的主要數據合規風險

1. 數據隱私泄露風險及敏感數據處理：

AIGC在生成內容的過程中，往往需要大量的數據作為訓練和學習的基礎。這些數據可能包含用戶的個人隱私信息，如果保護措施不當，很容易導致隱私泄露。同時數據中的圖片影像可能包含大量的特定身份信息、生物識別信息等個人敏感信息，必須遵循特定目的、充分必要、嚴格措施的基本原則取得個人的同意，并在敏感信息數據的收集、儲存、使用、加工傳輸、提供、公開等各個環節采取嚴格的保護措施。

2. 數據來源合法性風險：

AIGC訓練模型需要大量的底層數據，這些使用的數據必須來源于合法渠道，如果使用了非法獲取或未經授權的數據，可能引發不正當競爭糾紛，或因違反個人信息保護義務而受到監管處罰，甚至可能因為侵犯公民個人信息而帶來刑事風險。

3. 數據使用合規性風險：

AIGC在使用數據進行內容生成時，需要遵守相關的數據使用規定和法律法規，如未經用戶同意不得擅自使用用戶數據等。

4. 數據跨境傳輸風險：

若國內用戶主體使用境外AIGC平臺或者AIGC在開發過程中使用了境外的服務器時，境數據傳輸，可能會面臨不同國家和地區的數據保護法律差異，導致合規風險。

AIGC的風險規避策略

針對上述可能出現的問題，筆者根據國內現行法律的規定提出以下風險規避策略以供參考：

1. 數據收集與處理的合規性：

在模型訓練階段，AIGC平臺需要使用合法來源的數據。《生成式人工智能服務管理暫行辦法》要求AIGC服務提供者“使用具有合法來源的數據和基礎模型”。這意味著平臺需要確保數據收集的合法性，避免通過非法手段如網絡爬蟲獲取數據。

數據提供方需具備合法提供數據的法律依據，并與AIGC平臺簽署數據處理協議，明確各方權利義務及責任。

2. 數據清洗與標注的透明度：

AIGC平臺應提高數據標注及清洗、模型訓練階段的透明性、可解釋性及公平性。這包括制定標注準則、開展數據標注質量評估、抽樣核驗等。

3. 用戶隱私保護：

根據《個人信息保護法》，AIGC平臺需要建立用戶個人信息保護制度，確保用戶知情權和選擇權，并明確用戶投訴處理路徑。此外，平臺應避免在未經用戶同意的情況下使用其個人信息進行模型優化。

平臺應建立數據分類分級管理機制，制定隱私政策和用戶服務協議，特別是針對兒童收集個人信息時需增加年齡驗證機制。

需要建立數據安全事件應急響應機制，防范數據泄露、設備故障、網絡攻擊等安全事件。

4. 內容生成的合規性：

AIGC平臺在生成內容時，需確保內容不涉及違法、不良信息。平臺應建立內容審查機制，防止生成虛假信息、侵權內容等。

5. 數據泄露風險管理：

AIGC平臺應制定數據安全應急預案，防止因系統安全事件導致數據泄露。同時，平臺應加強對員工的使用規則管理，避免輸入敏感數據。

6. 第三方合作管理：

在與技術支持方或數據提供方合作時，AIGC平臺應明確數據權屬、處理方式及責任分配。例如，在數據交易協議中，要求數據提供方對數據的合法來源和處理行為進行保證。

7. 技術層面的防護：

利用數字水印技術實現AIGC合成內容的追蹤溯源，防止知識產權剽竊。同時，使用AIGC技術進行詐騙內容識別和解釋，提高內容審核的效率和準確性。

AIGC企業應定期審核、評估算法機制，確保算法推薦服務不誘導用戶沉迷或過度消費，避免設置違背倫理道德的算法模型。

深度合成服務提供者需履行信息安全主體責任，依法添加標識，配合進行安全檢查。

8. 法律與倫理合規：

AIGC平臺應遵守相關法律法規，如《互聯網信息服務算法推薦管理規定》和《生成式人工智能服務管理暫行辦法》等。這些法規為AIGC的應用提供了法律框架，并提出了具體要求。

9. 用戶協議與內容使用限制：

在用戶協議中明確規定用戶輸入內容的權利安排和使用限制，以及生成內容的權利安排和使用限制，避免因內容生成引發法律糾紛。

結語

當前，全球關于AIGC的立法及監管執法日趨活躍, 全球各國各區域正加快推進AIGC的立法，并深化執法監管力度。歐盟數據保護監督機構發布的指南更多的是在追求技術進步與數據合規的平衡。對于企業而言，技術開發迭代帶來的潛在數據合規風險不斷加大，如何同時滿足不同國家和區域的AIGC數據合規要求也將成為企業面臨的重大挑戰。企業要做到數據合規，必須在考慮國內《數據安全法》以及《生成式人工智能服務管理暫行辦法》等其他法律的規定，綜合考慮AIGC在算法設計、訓練數據選擇、模型生成和優化、提供服務等全過程中，可能涉及的數據處理場景及全生命周期流程，依法踐行前述合規義務，優化產品設計。上升到公司合規治理的層面，則更需要搭建企業數據保護合規體系，通過完備的制度、足夠的資源與人力，高效的內部管控流程，將數據合規體系落地。

作者：鄭國慶律師 

（本文及其內容僅代表作者觀點，不視為上海紀年律師事務所正式法律意見或建議。如需轉載或引用請注明出處）