编者按:自1956年“人工智能”的概念首次被提出已过60余年,此间,人工智能从虚化的代码逐渐转化成实践应用,催生出一批批商业故事。不过,人工智能规模化商用并非坦途,概念的火热一直以来未能助推技术突破与商业应用。
时间来到2022年,生成式AI发展为人工智能发展再注入一针强心剂。ChatGPT横空出世,被视为通用人工智能的起点和强人工智能的拐点,引发新一轮人工智能革命。人工智能发展似乎找到了自己的主流叙事。
不过,技术创新的同时也带来了监管难题。如何平衡发展与安全,中国正在摸索自己的AI治理路径。南财合规科技研究院与观韬中茂律师事务所推出《中国AI治理的独立思考——生成式人工智能发展与监管白皮书》,通过分析生成式AI的发展现状、政策导向、实操中面临的风险,以及各国的监管路径,以期为未来的AI治理提供有益思路。
生成式人工智能发展一日千里,与惊喜相伴的是对其引发的安全隐患担忧。生成式AI的模型层是生成式AI得以实现的关键环节,依赖于更高质量、更丰富的训练数据集。如何判断数据收集行为以及留存的数据内容是否合规,已成为当前相关技术发展亟待解决的问题,更是大模型产品未来健康发展的关键。数据安全问题正变得越来越重要,甚至可能成为产品的“阿克琉斯之踵”。
因此,必须关注炼造大模型带来的次生问题,比如数据跨境流动中的难点与困境,再比如个人信息,尤其未成年人信息在模型训练、应用过程中的合规,这些都是生成式AI数据治理过程中需要予以特别关注的问题。
数据跨境:多重不确定性叠加海量数据推动大模型“涌现”功能的出现。数据从何而来?
一是各个厂商历史积累的数据,数据的具体类型和质量取决于厂商的主营业务情况;二是公开渠道爬取的数据,受限于当前各类反爬取技术和规则,此类数据获取将愈加困难;三是各类免费或付费的第三方数据库与数据集,例如GPT数据来源中全球最大的免费网页数据库CommonCrawl,各类高校,以及企业科研机构所搜集和处理的开源数据集如WikiQA(微软研究院发布)、EXEQ-300K(北京大学、宾夕法尼亚大学、中山大学发布)、ArxivPapers(Facebook、伦敦大学学院、DeepMind发布)等。
可以看到,大模型数据获取过程中不可避免涉及数据跨境问题。除此之外,数据跨境问题还可能存在于服务提供等环节。
目前,除少部分自行开发、部署模型的提服务提供者供以外,大部分服务提供者仍需倚赖第三方技术服务商搭建模型或以接入API等方式使用生成式AI服务,而这些技术方的服务器一般部署于境外。例如,一家位于中国大陆的企业,通过API接口的方式接入位于北美的生成式AI技术服务提供商,而该服务商的服务器部署于印度,此时可能面临相关数据出境所带来的风险。
除此之外,在提供生成式AI服务过程中,不仅涉及数据出境问题,还可能涉及数据入境。例如,经过境外模型处理后产生的数据通过AI交互方式返回给中国用户时,也需考虑境外国家关于数据出境的合规要求和限制。
从境内外关于生成式AI技术的法律规制来看,目前,服务提供者在应用生成式AI模型的过程中,可能会面临四方面与数据跨境相关的风险与挑战:
一是大陆地区尚未被列入核心技术供应商开放服务范围之内。
目前,如OpenAI等核心生成式AI技术提供方并未将中国大陆地区列入其服务提供对象范围,在此背景下,如果因为使用相关服务给大陆企业造成了损害后果(如数据泄露等),企业的权利应当如何得到保障?
此外,部分企业通过自行建立或租用专线(含虚拟专用网络VPN)的方式,连接到境外的生成式AI技术模型,这一做法如未经电信主管部门批准,则涉嫌违反工信部《关于清理规范互联网网络接入服务市场的通知》的规定,违规风险极大,尤其是当企业以营利为目的专门向其他企业提供此类服务的,情节严重的情况下,还可能构成非法经营罪,将会面临刑事风险。
二是数据出境方面,情况存在不确定性。
根据《网络安全法》、《个人信息保护法》、《数据出境安全评估办法》等法律法规规定,在进行数据出境前应当履行相应的出境合规义务,例如进行事前安全评估,如涉及个人信息的,还应当进行个人信息保护认证、签署标准合同等,而由于企业使用生成式AI模型服务中涉及的数据出境情况存在不确定性,因此,在履行出境合规义务上可能存在滞后性。
目前,生成式AI模型的应用路径主要分为两种,其一,是企业将其收集的数据提供给生成式AI模型,并向其提出数据处理请求,该情形下,企业在提供数据前可以结合业务需求及合规义务要求对数据进行预处理、筛选,以限定其所提供的数据范围,从而使得相关数据出境风险处于可控范围之内。其二,是用户直接使用企业接入生成式AI模型的服务平台,这种情况下,由于用户是直接向生成式AI模型提供数据的主体,对于企业而言,用户提供哪些数据存在很大不确定性,从而触发相关的数据出境合规义务要求。而且,由于该情形下向境外提供个人信息量级的不确定性,将导致企业难以确定数据出境合规路径。
三是个人信息出境时如何告知并取得个人或其监护人的单
