人工智能合规建设初议

李志强 杨子安 欧 龙（上海金茂凯德律师事务所）

前言

近年来，人工智能无疑是世界范围内最炙手可热的新兴议题之一。何谓人工智能？人工智能的定义之广，可能难以用列举的方式穷尽。但总的来说，它是一门以计算机科学为基础，由计算机、心理学、哲学等交叉融合的学科，也是模拟、延伸和扩展人类智能的理论、方法、技术及应用的一系列科技成果。这些科技企图探究智能的实质，并生产出一种新的能以人类智能相似的方式作出反应的智能机器或系统。

人工智能成为无可争议的社会热点，不仅是由于技术层面的突飞猛进，也源于人们正在挖掘越来越多的人工智能应用场景，见证着这项技术愈发融入人类的日常生活及社会经济，并开始思考随之而来的伦理问题和运用风险。对世界各国而言，人工智能不仅是一次全球技术革新，也是一次对合规体系的共同挑战。本文旨在分享人工智能合规建设的中国经验，为关注人工智能问题的人们提供一些有益的思路与参考。

一、以信息安全为抓手，综合构建法律与规章相结合的多层次合规体系

人工智能，诸如ChatGPT等，虽然形式上日新月异，但往往都有赖于对信息的收集、检索、分析、处理。其中既涉及网络信息的搜索，也有用户个人信息的采集。因此，网络信息与个人信息的合规管理，是人工智能合规建设的必由之路，也是构建人工智能合规体系的重要抓手。

在网络信息管理方面，2016年11月7日，《中华人民共和国网络安全法》颁布，在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，均适用该法。针对网络安全监管部门职能分工，该法第八条规定：“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定”；该法第二十一条则明确规定国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行“制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任”“采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施”“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月”“采取数据分类、重要数据备份和加密等措施”等安全保护义务。此外，当前人工智能产品往往在与用户交互的过程中大量收集用户信息和需求，该法第四十一条也明确要求网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。人工智能产品的提供者基于网络向社会公众发布产品，都应当遵守上述各项规定，保障人工智能运行规范化、安全化。

在个人信息保护方面，2021年8月20日，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）颁布。该法适用于在中华人民共和国境内处理自然人个人信息的活动，以及虽在境外处理境内自然人个人信息，但目的系向境内自然人提供产品或者服务的活动。该法第二十八条明确界定了敏感个人信息范围，即生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。针对上述信息，当且仅当在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。同时，该法第五十一条明确要求个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取有效措施，防止未经授权的访问以及个人信息泄露、篡改、丢失。该类措施包括：制定内部管理制度和操作规程；对个人信息实行分类管理；采取相应的加密、去标识化等安全技术措施；合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；制定并组织实施个人信息安全事件应急预案。人工智能服务提供者在收取用户数据、需求等个人信息过程中，均需符合《个人信息保护法》相关规定，保障公民个人信息安全，否则将承担相应的法律责任。

以上述法律为基础，2022年11月25日，国家互联网信息办公室、工业和信息化部、公安部联合出台《互联网信息服务深度合成管理规定》并于2023年1月10日正式施行。该规定对人工智能服务提供新闻信息作出了特别规定：“任何组织和个人不得利用深度合成服务制作、复制、发布、传播法律、行政法规禁止的信息，不得利用深度合成服务从事危害国家安全和利益、损害国家形象、侵害社会公共利益、扰乱经济和社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动。深度合成服务提供者和使用者不得利用深度合成服务制作、复制、发布、传播虚假新闻信息。转载基于深度合成服务制作发布的新闻信息的，应当依法转载互联网新闻信息稿源单位发布的新闻信息。”

2023年7月10日，国家互联网信息办公室、国家发展和改革委员会、教育部、科学技术部、工业和信息化部、公安部、国家广播电视总局联合出台《生成式人工智能服务管理暂行办法》（以下简称《办法》）。该《办法》适用于利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务，对人工智能的训练、服务、安全保障等全方位内容均予以规制。其明确要求具有舆论属性或者社会动员能力的生成式人工智能服务应当按照国家有关规定开展安全评估，并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。同时，该《办法》还明确要求生成式人工智能提供者应当配合主管部门依据职责对生成式人工智能服务开展的监督检查，对训练数据来源、规模、类型、标注规则、算法机制机理等予以说明，并提供必要的技术、数据等支持和协助，从而将对社会治理具有重要影响力的人工智能产品服务置于有效监管之下，避免人工智能服务对社会公众的认知与判断产生严重的误导影响。

目前，我国已经形成了法律与规章相结合的多层次人工智能合规体系，并充分运用，严格查处人工智能技术违法违规运作，防止危害社会稳定。2023年4月25日，甘肃省公安机关侦破了利用人工智能技术炮制虚假不实信息的案件。犯罪嫌疑人通过微信好友获知网络赚取流量变现方法，在全网搜索近几年社会热点新闻，并通过近期火爆的ChatGPT人工智能软件将收集到的新闻要素修改编辑后，上传至网络非法获利。经查，犯罪嫌疑人利用现代科技手段编造、散布虚假信息，被大量传播浏览，其行为已涉嫌寻衅滋事罪。公安机关迅速采取措施，对犯罪嫌疑人采取了刑事强制措施，避免不实信息进一步误导社会公众。

二、以关键问题为导向，切实探索开放与严谨相兼顾的多样化合规路径

当前，人工智能技术已成为不可否认、不容忽视的一股生产力量，并逐渐在各行各业中发挥愈发重要的作用。拒绝人工智能技术在行业中的应用，将会错过产业发展的关键契机；纵容人工智能技术在行业中的滥用，则会加剧产业运行的震荡风险。因此，需要各行各业结合各自实际情况，以人工智能技术融入本行业运作中的重大问题为导向，有针对性地探索兼具开发包容与严谨审慎的合规运作路径，将法律与规章的精神落到实处。

在人工智能技术的司法运用方面，2022年12月9日，最高人民法院发布《关于规范和加强人工智能司法应用的意见》（以下简称《意见》）。该《意见》设定了到2025年、2030年两个阶段的人工智能助力司法工作的具体目标，提出建成具有规则引领和应用示范效应的司法人工智能技术应用和理论体系，为司法为民、公正司法提供全流程智能辅助支持。同时，该《意见》也明确强调人工智能技术的“辅助审判原则”，即无论技术发展到何种水平，人工智能都不得代替法官裁判，确保司法裁判始终由审判人员作出，裁判职权始终由审判组织行使，司法责任最终由裁判者承担，从而巩固了在人工智能技术浪潮中司法仍需以人为本的根本底线。

在人工智能技术的金融应用方面，2018年4月27日，中国人民银行、中国银行保险监督管理委员会、中国证券监督管理委员会、国家外汇管理局联合出台《关于规范金融机构资产管理业务的指导意见》，规定有资质的金融机构运用人工智能技术开展资产管理业务应当严格遵守投资者适当性、投资范围、信息披露、风险隔离等合规规定，不得借助人工智能业务夸大宣传资产管理产品或者误导投资者。避免利用普通消费者对技术的信任骗取投资，也提醒金融机构不应过于依赖固定程式展开投资、忽视人工的复查监测。

此外，人工智能技术主要应用领域还包括网络搜索服务。当前，诸多搜索引擎借助人工智能算法，为广大网络用户提供其需求的信息知识。2022年3月1日起施行的《互联网信息服务算法推荐管理规定》要求，算法推荐服务提供者应当定期审核、评估、验证算法机制机理、模型、数据和应用结果等，不得设置诱导用户沉迷、过度消费等违反法律法规或者违背伦理道德的算法模型。发现违法信息的，应当立即停止传输，采取消除等处置措施，防止信息扩散，保存有关记录，并向网信部门和有关部门报告。发现不良信息的，应当按照网络信息内容生态治理有关规定予以处置。

三、以社会平台为依托，广泛开展理论与实践相呼应的多维度学术交流

2017年7月，国务院印发《新一代人工智能发展规划》提出，增强风险意识，重视风险评估和防控，强化前瞻预防和约束引导，近期重点关注对就业的影响，远期重点考虑对社会伦理的影响，确保把人工智能发展规制在安全可控范围内。人工智能技术的规范应用，不仅依赖于政府部门与行业机构的审慎工作，也需借力社会平台、协会组织，为人工智能技术的合规经验交流赋能增效。

早在1981年，我国就已设立中国人工智能学会（Chinese Association for Artificial Intelligence，CAAI）。该学会是一个集人工智能技术学术理论、产业应用、人才培育于一体的高层次、全国性社会组织。目前拥有61个分支机构，包括52个专业委员会和9个工作委员会。其下设的人工智能与安全专业委员会多次组织召开了全国人工智能与安全学术论坛，为国内网络安全与人工智能跨学科交流搭建了学术平台。

除全国性的组织外，各地的地方性人工智能社会组织也力量雄厚。就上海而言，上海市人工智能行业协会（SAIA）是代表上海人工智能行业性质的非营利性社会团体。2022年9月，该协会主办了“数据智能与内容认知高峰论坛”。该论坛邀请到全球数据智能领域知名专家学者及业界专家，围绕数据智能与内容认知领域的技术创新、自然语言发展趋势、多模态内容理解与认知应用实践等多方面进行研讨，并从不同视角、不同维度解析技术变革带给当下社会的机遇与挑战。

历经数十年建设，国家及地方社会平台、协会组织已成为我国人工智能技术合规建设的重要依托，与政府、行业机构的工作形成了有效互补。

四、我国人工智能合规建设之展望

当前我国人工智能领域法制体系建设全面开展，各项监管措施协同推进，综合治理成效逐步显现。而未来我国人工智能合规治理之路将走向何方，也正吸引着法学界及社会人士的热切关注。身为法律人，深感有三点展望值得分享。

（一）分级分类，加快建设宽严并济的行政监管体系

正如上文所述，人工智能是一个相当宽泛的定义。具体的人工智能产品、服务千变万化，功能、属性可能有天壤之别。如以“一刀切”方式予以监管，可能会引发某些不合理的现象，也容易引发监管资源的浪费。因此，分级分类、宽严并济的政府监管体系建设势在必行。

我国《生成式人工智能服务管理暂行办法》对具有舆论属性或者社会动员能力的生成式人工智能服务予以重点关注，要求其应当按照国家有关规定开展安全评估，并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续，已为人工智能分级监管打下了坚实的基础。

放眼国际，2021年4月欧盟委员会提出了《人工智能法案》提案。2023年6月14日，欧洲议会通过《人工智能法案》草案。该草案以人工智能技术的用途为标准，形成了对各类人工智能产品服务的可操作分类监管细则。比如，最基础的以人工智能技术驱动的电子游戏及垃圾邮件过滤器等被认为风险极低，几乎不施加监管措施；对于人工智能聊天机器人，开始要求告知用户相关风险；对于应用于社会公共服务的部分人工智能技术，则属于高风险范围，需要通过审查评定方可实施。

人工智能的分类监管，代表着该领域合规体系建设正从宏观设想转向具体落实，有助于监管部门兼顾全局、抓住重点；有助于一线监管、执法人员有的放矢，获得可参考、可操作的行动准则；更有利于广大产业经营者明确人工智能技术的风险边界，妥善把控规划产品服务的设计使用。因此，可考虑尽快形成适合我国人工智能产业发展的产品服务分级分类监管体系，联合学界、企业等专业力量，明确界定人工智能的不同风险等级判断标准和对应的监管措施，尽快积累一批具有指导性意义的行业监管案例，形成示范效应，推动人工智能合规监管精细化发展。

（二）群策群力，深入培育自查自省的行业自律机制

人工智能合规体系建设离不开政府监管基础，但涉及该技术应用的行业自律机制培育亦不可偏废，应注重发动行业主体群策群力，共同参与我国人工智能合规治理。可以考虑由行业协会向业内单位发出关于人工智能开发、使用、销售等方面的共同倡议，鼓励开展业内机构自检自查活动，组织开展违规违法案例警示工作，培育从业机构人员合规意识，形成良好的行业合规自律风气。

（三）相辅相成，提前布局同舟共济的合规技术市场

在日新月异的科技革新浪潮中，对人工智能产品服务的监管恰恰也离不开人工智能技术。面向社会消费者的人工智能产品服务市场广阔，但监控、检测、防御人工智能违规的相关合规科技市场潜力也不容小觑。因此，可以考虑提前布局、统筹规划，以市场力量促进人工智能合规科技产业发展。以政策扶持、财政补贴、引介投资等方式帮扶合规科技企业发展壮大，从而吸引更多业内优秀科技人才队伍关注这一新兴市场，促进我国人工智能监管科技发展壮大，与人工智能产品服务本身形成相辅相成、同舟共济的良好发展局面，为监管该领域产品服务提供更多更好的先进技术工具，全面赋能我国人工智能合规监管科技力量。

人工智能是当今世界各国共同面临的新挑战、新机遇。我们要高度关注人工智能技术发展，加强对人工智能发展潜在风险的研判和防范，加强人工智能合规建设，确保人工智能安全、可靠、可控。我们相信，化挑战为机遇，在借力人工智能促进社会经济发展的同时避免野蛮生长的乱象，是人们的共同诉求。