国务院在2017年发布的《新一代人工智能发展规划》中就特别强调,人工智能发展是国家战略层面的重要一环,预计到2025年,国家会“初步建立人工智能法律法规、伦理规范和政策体系,形成人工智能安全评估和管控能力”。在此背景下,基于《生成式人工智能服务管理办法(征求意见稿)》(以下简称《意见稿》),在修改完善后,国家网信办等七部门发布了《生成式人工智能服务管理暂行办法》(以下简称《办法》),对生成式人工智能进行细化监管,其将于2023年8月15日正式施行。下文将从数据安全角度来对《办法》进行分析解读。
一、
数据安全保护
生成式人工智能提供者视角
(1)提供者应特别注意什么数据安全风险?
因数据提供者未采取有效的安全保护措施而导致生成式人工智能产品自身发生了数据泄露、被篡改等数据安全事件。意大利个人数据保护局曾宣布暂时中止意大利境内的ChatGPT访问途径,因为ChatGPT出现了安全漏洞,部分用户能够看到其他用户的姓名、邮箱、聊天记录标题以及信用卡最后四位数字等信息。在使用生成式人工智能产品或服务的过程中,尤其是问答式、图片生成式的人工智能产品,很多用户甚至会提供敏感个人信息,例如人脸信息,所以提供者在这种情况下更需要关注数据安全保护义务的落实情况。
(2)提供者应采取什么措施来保护数据安全?
《办法》也非常重视数据安全问题,进一步指出提供者可以通过签署协议明确权利义务,并需要对使用者的输入信息和使用记录进行安全保护,提供安全的服务,在有关主管部门检查时积极配合,同时内部也需要注意留存履行安全保护义务的证明文档。与此同时,提供者还需特别关注数据泄露报告的要求,《数据安全法》指出,发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
结合《办法》和《数据安全法》对于数据安全的合规要求,要点汇总如下:
(3)提供者应如何落实安全评估与备案?
评估与备案是监管部门进一步保障数据安全的有利抓手,因为监管部门会实质审核服务提供者的数据安全保护机制。《办法》指出,提供具有舆论属性或者社会动员能力的生成式人工智能服务的,应当按照国家有关规定开展安全评估,并履行算法备案手续。其中相关服务者在申报评估和备案时,需要提供内部数据安全管理机构(负责人)设置情况、数据安全保护的管理和技术措施、数据安全监测及应急处置机制等安全相关文档。
依据《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》以及算法备案系统的相关内容,相关服务提供者需要注意以下合规要求:
生成式人工智能使用者视角
(1)使用者应特别注意什么数据安全风险?
因输入机密数据而造成数据泄露的风险。目前有一类典型的数据安全风险就是因为使用者输入了机密或敏感数据,例如公司商业秘密、重要数据等,从而使得该等数据进入到了生成式人工智能的语料训练库中,所以在生成式人工智能向其他用户提供服务时,可能会输出敏感数据,造成数据泄露的风险。目前的确也存在因使用生成式人工智能而造成企业商业秘密泄露的事件,例如三星半导体部门的工程师曾使用ChatGPT来修复源代码,因为输入了机密数据,而ChatGPT又使用该等数据进一步进行训练学习,所以造成了三星被曝出芯片机密代码遭泄露的安全事件。与此同时,中国支付清算协会也指出,此类智能化工具已暴露出跨境数据泄露等风险,为了维护数据安全,发布《关于支付行业从业人员谨慎使用ChatGPT等工具的倡议》。
(2)使用者应如何保护数据安全?
使用者应依法依规、科学理性使用生成式人工智能产品或服务,遵守公司的保密制度,不上传机密或敏感数据。《办法》也指出提供者应当明确并公开其服务的适用人群、场合、用途,指导使用者科学理性认识和依法使用生成式人工智能技术。相关使用者在使用生成式人工智能产品之前,应了解技术特性和使用方式,不输入涉密数据、公司非公开数据、源代码等机密或敏感数据,提高自身的风险防范和数据保护意识,并建议在使用之后及时删除相关数据记录,在发现提供者出现违规处理行为时,及时按照《办法》的规定进行举报、投诉。
二、
法律责任
1.违反《办法》将导致什么法律责任?
如果现有法律法规有规定的,网信部门和有关主管部门就会按照《网络安全法》《数据安全法》《个人信息保护法》《科学技术进步法》等法律、行政法规的规定予以处罚。例如提供者违反了个人信息安全保护义务,造成了用户输入的个人信息泄露,情节严重的,可能会依据《个人信息保护法》被处以5000万元以下或者上一年度营业额5%以下罚款。
如果法律、行政法规没有规定的,由有关主管部门依据职责予以警告、通报批评,责令限期改正;拒不改正或者情节严重的,责令暂停提供相关服务。构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。《规定》删除了《意见稿》中所创设的1万元以上10万元以下的罚款规定。
三、
总 结
随着各种人工智能模型的快速发展,各国的监管者也纷纷对其进行了回应,美国联邦贸易委员会(FTC)近期也对OpenAI开展调查,向OpenAI发送了一份民事调查要求清单。中国也通过发布《办法》来对生成式人工智能的监管问题进行了回应,相比于《意见稿》,其更强调促进发展,宏观治理基调是“促进生成式人工智能健康发展和规范应用”,并新增提出了“包容审慎和分类分级”的监管思路。
《办法》的确是要促进生成式人工智能发展,但也是在安全的基础上进行探索。《办法》提出的分类分级监管模式与中国《数据安全法》所提出的数据分类分级要求也有一定的相似性,目前《办法》并没有细化分类分级监管的具体要求,但已指出会由国家有关主管部门制定相应的分类分级监管规则或指引,并推动公共数据分类分级有序开放。由此可见,目前相关企业可以先落实好内部的数据分类分级治理机制,此部分也可能是生成式人工智能分类分级监管的重要组成部分。
保障数据安全是生成式人工智能发展的重要基石,毕竟目前已经出现了由生成式人工智能模型引发的数据泄露事件。相关企业需要建立健全内部的数据安全保护机制,《办法》也特别要求提供者要保护使用者的输入信息和使用记录,不得非法留存能够识别使用者身份的输入信息和使用记录,不得非法向他人提供使用者的输入信息和使用记录,保护数据安全。此外,相关企业应提前建立安全事件应急预案,明确数据泄露事件的具体处理流程,并定期进行演练,以确保在发生数据安全事件时,可以及时采取措施,按照法律法规的要求进行上报,尽量缩小损失范围。
(本文作者:北京腾云天下科技有限公司 葛梦莹 南钰彤)
Copyright © 2005-2021 网信安全世界版权所有