AIGC的数据合规风险及应对建议

导语

2024年，各类AI生成模型如喷泉式涌现，其强大的图片及影像生成能力将生成式人工智能的发展再次推向了舆论风口，引发了全社会对于AIGC的广泛讨论。与此同时，生成式人工智能平台由此引发的数据合规风险、知识产权侵权以及各类新型犯罪等法律问题也进一步凸现。2024年6月，欧盟数据保护监管机构（EDPS）发布了关于生成式人工智能数据合规的指南,作为欧盟的第一份关于人工生产智能数据合规的指南，具有一定的指导意义。参考我国《个人信息保护法》中对国家机关处理个人信息的专门规定，以及《生成式人工智能服务管理暂行办法》的规定，在本篇中，我们将为您梳理和分析企业在开发和运营生成式AI的过程中在数据安全方面可能遇到的法律风险，包括算法风险、训练数据来源风险、生成内容风险以及其他风险，并提出具有操作性的风险防范建议，供相关企业参考。

AIGC面临的主要数据合规风险

1. 数据隐私泄露风险及敏感数据处理：

AIGC在生成内容的过程中，往往需要大量的数据作为训练和学习的基础。这些数据可能包含用户的个人隐私信息，如果保护措施不当，很容易导致隐私泄露。同时数据中的图片影像可能包含大量的特定身份信息、生物识别信息等个人敏感信息，必须遵循特定目的、充分必要、严格措施的基本原则取得个人的同意，并在敏感信息数据的收集、储存、使用、加工传输、提供、公开等各个环节采取严格的保护措施。

2. 数据来源合法性风险：

AIGC训练模型需要大量的底层数据，这些使用的数据必须来源于合法渠道，如果使用了非法获取或未经授权的数据，可能引发不正当竞争纠纷，或因违反个人信息保护义务而受到监管处罚，甚至可能因为侵犯公民个人信息而带来刑事风险。

3. 数据使用合规性风险：

AIGC在使用数据进行内容生成时，需要遵守相关的数据使用规定和法律法规，如未经用户同意不得擅自使用用户数据等。

4. 数据跨境传输风险：

若国内用户主体使用境外AIGC平台或者AIGC在开发过程中使用了境外的服务器时，境数据传输，可能会面临不同国家和地区的数据保护法律差异，导致合规风险。

AIGC的风险规避策略

针对上述可能出现的问题，笔者根据国内现行法律的规定提出以下风险规避策略以供参考：

1. 数据收集与处理的合规性：

在模型训练阶段，AIGC平台需要使用合法来源的数据。《生成式人工智能服务管理暂行办法》要求AIGC服务提供者“使用具有合法来源的数据和基础模型”。这意味着平台需要确保数据收集的合法性，避免通过非法手段如网络爬虫获取数据。

数据提供方需具备合法提供数据的法律依据，并与AIGC平台签署数据处理协议，明确各方权利义务及责任。

2. 数据清洗与标注的透明度：

AIGC平台应提高数据标注及清洗、模型训练阶段的透明性、可解释性及公平性。这包括制定标注准则、开展数据标注质量评估、抽样核验等。

3. 用户隐私保护：

根据《个人信息保护法》，AIGC平台需要建立用户个人信息保护制度，确保用户知情权和选择权，并明确用户投诉处理路径。此外，平台应避免在未经用户同意的情况下使用其个人信息进行模型优化。

平台应建立数据分类分级管理机制，制定隐私政策和用户服务协议，特别是针对儿童收集个人信息时需增加年龄验证机制。

需要建立数据安全事件应急响应机制，防范数据泄露、设备故障、网络攻击等安全事件。

4. 内容生成的合规性：

AIGC平台在生成内容时，需确保内容不涉及违法、不良信息。平台应建立内容审查机制，防止生成虚假信息、侵权内容等。

5. 数据泄露风险管理：

AIGC平台应制定数据安全应急预案，防止因系统安全事件导致数据泄露。同时，平台应加强对员工的使用规则管理，避免输入敏感数据。

6. 第三方合作管理：

在与技术支持方或数据提供方合作时，AIGC平台应明确数据权属、处理方式及责任分配。例如，在数据交易协议中，要求数据提供方对数据的合法来源和处理行为进行保证。

7. 技术层面的防护：

利用数字水印技术实现AIGC合成内容的追踪溯源，防止知识产权剽窃。同时，使用AIGC技术进行诈骗内容识别和解释，提高内容审核的效率和准确性。

AIGC企业应定期审核、评估算法机制，确保算法推荐服务不诱导用户沉迷或过度消费，避免设置违背伦理道德的算法模型。

深度合成服务提供者需履行信息安全主体责任，依法添加标识，配合进行安全检查。

8. 法律与伦理合规：

AIGC平台应遵守相关法律法规，如《互联网信息服务算法推荐管理规定》和《生成式人工智能服务管理暂行办法》等。这些法规为AIGC的应用提供了法律框架，并提出了具体要求。

9. 用户协议与内容使用限制：

在用户协议中明确规定用户输入内容的权利安排和使用限制，以及生成内容的权利安排和使用限制，避免因内容生成引发法律纠纷。

结语

当前，全球关于AIGC的立法及监管执法日趋活跃, 全球各国各区域正加快推进AIGC的立法，并深化执法监管力度。欧盟数据保护监督机构发布的指南更多的是在追求技术进步与数据合规的平衡。对于企业而言，技术开发迭代带来的潜在数据合规风险不断加大，如何同时满足不同国家和区域的AIGC数据合规要求也将成为企业面临的重大挑战。企业要做到数据合规，必须在考虑国内《数据安全法》以及《生成式人工智能服务管理暂行办法》等其他法律的规定，综合考虑AIGC在算法设计、训练数据选择、模型生成和优化、提供服务等全过程中，可能涉及的数据处理场景及全生命周期流程，依法践行前述合规义务，优化产品设计。上升到公司合规治理的层面，则更需要搭建企业数据保护合规体系，通过完备的制度、足够的资源与人力，高效的内部管控流程，将数据合规体系落地。

作者：郑国庆律师 

（本文及其内容仅代表作者观点，不视为上海纪年律师事务所正式法律意见或建议。如需转载或引用请注明出处）