恺英网络法务部
二〇二三年五月
娱法游理
Vol.12
Practical Research
实务研究
目录
Contents
I
LEGISLATION
立法动向
1
INDUSTRY TRENDS
行业动态
3
AIGC相关法律问题初探
——模型层和应用层
13
对《生成式人工智能服务管理办法》的思考
21
42
“假作真时真亦假”——数字社会中辨伪存真的挑战
Monthly Information
本月资讯
从ChatGPT看AIGC的法律风险及合规应对
7
AIGC相关应用及法律问题专题(上)
II
corporate Governance
上市公司治理
corporate Compliance
企业合规
平台收集、使用个人信息的边界到底在哪?
61
香港公司印章使用介绍
55
改革重塑独董生态 上市公司治理将步入新阶段
65
立法动向/LEGISLATION
日前,全国信息安全标准化技术委员会发布《网络安全标准实践指南—网络数据安全风险评估实施指引(征求意见稿)》。《征求意见稿》提出了网络数据安全风险评估思路、主要工作内容、流程和方法,提出从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面评估安全风险。其适用于指导数据处理者自行开展风险评估,也可为有关主管监管部门组织开展数据安全检查评估提供参考。《征求意见稿》进一步明确,数据安全风险评估流程,主要包括评估准备、信息调研、风险评估、综合分析、评估总结五个阶段。
02
国家网信办等五部门发布关于调整网络安全专用产品安全管理有关事项的公告,自2023年7月1日起,列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品应当按照《信息安全技术 网络安全专用产品安全技术要求》等相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。具备资格的机构是指列入《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录》的机构。国家网信办、工信部、公安部、国家认证认可监督管理委员会发布更新《网络关键设备和网络安全专用产品目录》、《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录》。
01
国家网信办等五部门发布《关于调整网络安全专用产品安全管理有关事项的公告》
全国信安标委发布《网络安全标准实践指南——网络数据安全风险评估实施指引(征求意见稿)》
工信部公布了2023年规章制定工作计划。工信部年内将提请审议6个项目,完成起草适时提请审议的项目9个,包括《通信短信息服务管理规定(修订)》、《电信和互联网用户个人信息保护规定(修订)》、电信设备进网管理办法(修订)、《电信网码号资源管理办法(修订)》、《规范互联网信息服务市场秩序若干规定(修订)》。
03
工信部发布2023年规章制定工作计划
01
立法动态/INDUSTRY TRENDS
据北京市委网信办官方消息,首都互联网协会、中国科学院信息工程研究所等机构研究编制《北京市互联网信息服务算法推荐合规指引(2023年版)》。《指引》提出互联网信息服务算法安全通用要求、特定要求,着力引导算法推荐服务提供者准确把握责任义务、明确工作规范、健全管理制度、完善运行规则、强化技术手段。编制发布《指引》,是北京市推进属地算法安全治理、帮助企业更好理解管理规定、有效促进平台企业合规发展的有益探索。
04
十四届全国人大常委会第二次会议表决通过新修订的反间谍法,将于2023年7月1日起施行。全国人大常委会法工委刑法室主任王爱立介绍,新修订的反间谍法将投靠间谍组织及其代理人,针对国家机关、涉密单位或者关键信息基础设施等实施网络攻击等行为明确为间谍行为。根据实践中的情况,适度扩大相关主体窃密的对象范围,将其他关系国家安全和利益的文件、数据、资料、物品纳入保护。
05
北京发布互联网信息服务算法推荐合规指引
反间谍法修订 明确实施网络攻击为间谍行为
02
立法动向/LEGISLATION
5月22日晚,国家新闻出版署网站发布2023年5月份国产网络游戏审批信息,共有86款游戏获批。截至目前年内累计发放433款游戏版号,接近2022年全年总数(去年过审468款国产网络游戏)。
市场认为,自2022年12月份起,游戏版号每月的发放数量均超过80款,处于较高水平,预计随着版号恢复常态化发放,新游戏上线的数量和质量也有望增强,助推游戏行业景气度持续回暖。具体来看,此次过审的游戏中,网易旗下的《七日世界》以及腾讯旗下的《王牌战士2》均在列。
- 5月份共86款国产网络游戏获批 业界预计版号常态化发放将助推行业回暖
- KONAMI起诉Cygames侵权,要求赔偿并关停游戏《赛马娘》
5月17日,日媒报道KONAMI在近日以侵犯专利权的理由起诉了Cygames,要求对方赔偿40亿日元及滞纳金,并关停侵权游戏《赛马娘》。Cygames对此发表公告,称双方就《赛马娘》的部分系统和程序的专利权进行了协商,但KONAMI并未接受,最终起诉了Cygames。Cygames认为《赛马娘》并未侵害KONAMI的专利权,游戏会正常运营。目前双方都未公布争议的专利具体内容。
- 《率土之滨》诉《三国志战略版》侵权一审判赔五千万
5月23日,《率土之滨》诉《三国志・战略版》著作权一案(粤0192民初7434号)宣布一审结果。法院一审判决《三国志·战略版》构成著作权侵权,判令对方需于本判决发生法律效力之日起三十日内删除或修改侵权内容,并判决灵犀互娱于本判决发生法律效力之日起十日内向网易赔偿5000万元。
与此同时,网易主张《三国志・战略版》游戏停运的要求被依法驳回。后续《三国志・战略版》将继续正常运营。《三国志・战略版》在官方微博上表示,该判决为一审判决,公司对判决书中的部分内容不予认可,将提起上诉。
03
立法动态/INDUSTRY TRENDS
行业动态/INDUSTRY TRENDS
04
近日,广州知识产权法院对“同人作品案”作出终审判决,认定被诉侵权行为分别构成著作权侵权和不正当竞争,判令被诉侵权作品《此间的少年》作者立即停止不正当竞争行为,并登报声明消除影响,赔偿经济损失168万元及为制止侵权行为的合理开支20万元,北京联合出版公司、北京精典博维公司就其中33万元承担连带赔偿责任。
- 同人作品第一案:金庸生前诉江南案终审宣判
- 《2022年游戏产业舆情生态报告》正式发布
近日,中国音像与数字出版协会常务副理事长兼秘书长敖然在游戏与电竞产业学术交流会上发布《2022年游戏产业舆情生态报告》。《报告》显示,2022 年游戏产业发展面临一定挑战,但整体舆情平稳正向、积极向好。在游戏防沉迷取得实效、全球科技竞争加剧、各国纷纷加大对游戏产业投入等背景下,舆论开始逐步发觉并探讨游戏的多元社会价值,对游戏进行“再认知”,游戏的正向价值尤其是游戏产业的科技价值和文化价值也被更多看见。未来,我们期待游戏产业的创新发展可以为数字经济贡献力量,同时凝聚共识,营造更好的舆论环境使游戏为社会创造更大价值。
- 欧盟委员会宣布成立算法透明度中心
欧盟委员会在官网宣布将成立欧洲算法透明度中心("ECAT")。ECAT将由数据科学家、人工智能专家、社会科学家和法律专家组成,向欧盟委员会提供内部技术和科学专业知识,以确保超大型网络平台和超大型网络搜索引擎使用的算法系统符合《数字服务法案》中的风险管理、缓解和透明度要求。ECAT的成立旨在协助欧盟委员会对指定公司系统进行检查,更彻底地分析指定公司提交的透明度报告和风险自我评估。
立法动态/INDUSTRY TRENDS
行业动态/INDUSTRY TRENDS
05
2023年4月中国非游戏厂商及应用出海收入排行榜出炉,厂商收入榜单前五名(按排名先后顺序)分别为字节跳动(排名无变化)、欢聚集团(排名无变化)、睿琪软件(排名上升1位)、腾讯(排名下降1位)以及美图(排名无变化)。
除了阿里巴巴跃升12位进入榜单的第29位之外,四月份榜单中的其他公司排名并未发生明显变化。
- 2023年4月中国非游戏厂商及应用出海收入30强
- 欧盟委员会宣布成立算法透明度中心
立法动态/INDUSTRY TRENDS
行业动态/INDUSTRY TRENDS
06
越南政府17日发布了关于保护个人数据安全的第13号法令(13/2023/ND-CP),其中规定确保个人数据安全的具体措施和条件。
根据该法令,需要在个人数据处理全过程采取保护个人数据安全的措施。保护个人数据安全的措施主要包括:组织和个人采取与个人数据处理工作有关的管理措施和技术措施,国家管理机构根据该法令及其他相关法律法规实施的措施,国家管理机关实施的调查、诉讼措施以及法律规定的其他措施。
根据该法令,保护个人数据的主管机构为公安部网络安全和打击高新技术犯罪局,该部门负责协助公安部做好有关保护个人数据的国家管理工作。国家个人数据保护门户网站提供党和国家有关个人数据保护的方针、政策,更新有关保护个人数据的信息和情况,接受有关个人数据保护工作的信息和违反个人数据保护规定的信息,对违法行为作出警告,依法惩治侵犯公民个人信息犯罪等。有关部门、组织和个人加大宣传力度,提供有关保护个人数据的信息,增强公众保护个人数据安全的意识,确保个人数据保护机构的基础设施和运作条件。保护个人数据是指依法预防、发现和处理与个人数据有关的违法行为的活动。
该法令自2023年7月1日起施行。
- 越南政府发布关于保护个人数据安全的法令
立法动态/INDUSTRY TRENDS
行业动态/INDUSTRY TRENDS
实务研究
Practical Research
07
2022年11月底,由美国OpenAI实验室研发的新一代生成式人工智能聊天机器人ChatGPT正式上线,在上线两个月后用户量便突破了一亿,成为历史上增长最快的消费应用程序。其不仅能够根据上下文进行自动回复,而且对撰写文章、代码、视频脚本等工作应对自如。从技术原理来看,依靠深度学习和自然语言处理技术的ChatGPT,实际上属于人工智能生成内容(“AIGC”)的一种新型的商业化应用方式。ChatGPT热度的飙升也再次引发了人们对AIGC相关法律风险的关注。本文将从AIGC概念及工作原理、具体应用场景及可能带来的法律风险进行分析,同时为AIGC领域相关企业提供相应的合规应对建议。
“
”
一、AIGC的基本概念及原理
从ChatGPT看AIGC的法律风险及合规应对
来源:公众号“中伦视界”
AIGC全称为Artificial Intelligence Generated Content,即“人工智能生产内容”,是一种基于生成对抗网络GAN、大型预训练模型等人工智能技术,通过已有数据寻找规律,并通过适当的泛化能力生成相关内容的AI赋能技术。
早前出现的PGC(Professional Generated Content,专业生成内容)和UGC(User Generated Content,用户生成内容)的内容生产行为背后的主体是人,而AIGC作为一种自动生成内容的新型生产方式,其内容生产行为背后的主体是人工智能。
从生成内容来看,AIGC中不仅包含基于线索的部分生成,还包括完全自主生成以及基于底稿的优化生成。也就是说,AIGC所生成的内容中不仅包括常见的图像、文本、音频等外显性内容,同样也包括策略、剧情、训练数据等内在逻辑内容。
实务研究
Practical Research
08
其中,文本生成是目前AIGC应用最广的场景,近期爆火的ChatGPT即为典型的文本生成式的AIGC。文本生成式AIGC主要包括应用型文本、创作型文本及文本辅助和文本交互四种类型,并在新闻、营销、客服、游戏等行业有广泛应用。
二、AIGC的应用场景
从AIGC的应用行业来看,AIGC为文化传媒、商业、教育、金融、医疗、工业、影视等多领域都带来了颠覆性的创新。
从AIGC的具体生成内容分类来看,AIGC可划分为文本、代码、图像、音视频等类别。
实务研究
Practical Research
三、AIGC涉及的法律风险
AIGC的发展为各行各业带来了新的变革与机遇,但与此同时,也应当关注AIGC可能带来的法律及伦理风险,以此推动这一技术的合法合规发展。
- 数据安全风险
作为21世纪的“石油”,数据的战略重要性逐渐凸显。为捍卫国家数据安全、保护个人数据权益和规制数据使用行为,我国陆续出台《中华人民共和国网络安全法》(《网络安全法》)、《中华人民共和国数据安全法》(《数据安全法》)《中华人民共和国个人信息保护法》(《个人信息保护法》)等相关法律法规。在AIGC迅速发展的情况下,AIGC所带来的数据安全风险不容忽视。
以ChatGPT为例,根据ChatGPT的运作原理,用户在输入端口提出问题后,该问题首先会传输到位于美国的OpenAI公司,随后ChatGPT才会给出相应回答,从而实现输入到用户端口对问题的反馈。AIGC的使用者在使用AIGC技术时很有可能会无意中透露有关个人、金融、商业隐私等的敏感信息,从而造成数据的泄露。同时,部分AIGC公司的数据库中存在着大量未经用户知情同意的个人照片等隐私数据,容易对用户的个人隐私安全造成威胁。
此外,在ChatGPT类的AIGC工具进行内容生成的过程中,数据的入境与出境作为服务的开端和结尾,都隐藏着法律风险。尤其在数据出境方面,AIGC使用者所提出的问题中极有可能涉及到个人信息、敏感信息甚至有关国家安全、经济运行、社会稳定、公共健康和安全的重要数据。如前所述,在用户使用ChatGPT的过程中数据将会被传输到其境外母公司,由此可能对境内数据造成数据出境风险。2021年12月国务院印发的《“十四五”数字经济发展规划》中明确指出:数据要素是数字经济深化发展的核心引擎。因此,在当前数据安全保护的语境下,应当更加注重对于数据安全问题的关注。
- 著作权侵权风险
AIGC的生成需要依托于海量的文本数据,通过对数据集进行监督学习、强化学习从而优化输出的内容。而AIGC的生成过程及其生成结果均存在着著作权侵权风险。
一方面,AIGC使用作品的行为存在着风险。AIGC在生成过程中不可避免会涉及到对他人享有著作权的作品的使用。在当前著作权法的语境下,在使用主体对受著作权法保护的作品进行使用时,必须在获得权利人许可,支付相应的许可使用费用后方属于合法使用,而在现行著作权法下AIGC对作品的使用并不能援引法定许可或合理使用条款作为其著作权侵权的例外条款。因此,AIGC未经许可使用作品的行为可能会因为侵犯被使用作品的复制、改编、信息网络传播权等权利而落入到侵权困境当中。如2023年1月,全球知名图片提供商华盖创意
09
(Getty Images)起诉热门人工智能(AI)绘画工具Stable Diffusion的开发者Stability AI,称其未经许可从网站上窃取了数百万张图片。此外,还有3位艺术家对Stable AI和另一个AI绘画工具Midjourney,以及艺术家作品集平台DeviantArt提起诉讼,称这些组织通过在“未经原作者同意的情况下”从网络上获取的50亿张图像来训练其人工智能,侵犯了“数百万艺术家”的权利。因此,AIGC在生成内容的过程中使用受著作权保护的作品可能会由于未经许可而使用导致相关的侵权诉讼。目前欧盟、英国、日本等国家和地区已尝试出台了关于“文本与数据挖掘例外”“计算机分析例外”等与AI使用作品相关的著作权侵权例外制度,一定程度上为AIGC使用作品的行为提供了探索合理使用依据的实践。而目前我国最新修订的《中华人民共和国著作权法》(《著作权法》)中对于合理使用仍采取“封闭式”的立法模式,对于人工智能在进行内容生成时使用受著作权保护的相关作品的问题尚未进行回应,类似问题仍有待进一步的立法规范。
另一方面,若AIGC通过分析学习后生成的内容与原始作品过于相似,以至于可能会误导公众或混淆原始作品的来源,那么可能会因为与他人作品存在“实质性相似”而被认定为侵权,从而导致著作权侵权相关的诉讼。而使用含有侵权内容的AIGC内容的使用者也有可能需要承担侵权责任。
- 深度伪造风险
AIGC还存在着被用于制作虚假的文本、音频、视频等深度伪造的内容的风险。深度伪造(Deepfakes)技术是近年来发展的一种基于深度学习的人物图像合成技术。其主要被运用于AI换脸、语音模拟、人脸合成、视频生成等场景。深度伪造技术被某些群体的恶意运用,将可能导致该技术被用于生成虚假信息、使用模型来模拟某个人的语言或行为模式、进行政治干预、煽动暴力和犯罪等破坏公共利益的行为。如2022年3月,一则乌克兰总统泽连斯基宣布投降的深度伪造视频在社交媒体平台广泛传播,虽然该视频较为粗糙,但仍造成了人们对媒体的不信任及对社会正常秩序的损害。
-
商业秘密泄露风险
- 商业秘密泄露风险
在使用AIGC的过程中,为了获取较明确的AIGC结果,用户在使用过程中可能需要提供详细的背景信息。因此,作为公司员工的用户很有可能会在未察觉的情况下违反了公司保密制度,将公司的营业信息、技术信息或商业秘密(如平台底层代码、近期营销计划、公司薪酬体系)等信息泄露,从而导致商业秘密泄露风险。以ChatGPT为例,其使用条款明确规定除非用户要求OpenAI不对其输入和输出内容进行使用,否则OpenAI拥有对任何用户输入和输出内容的广泛使用权,以达成改善ChatGPT的目的。为了防止出现泄露商业秘密的风险,微软和亚马逊均对其员工进行了禁止对ChatGPT分享任何机密信息的提醒。因此,AIGC用户,尤
10
实务研究
Practical Research
实务研究
Practical Research
其是负有保密义务的用户在使用ChatGPT和类似的人工智能工具时,应当注意采取措施,以免出现泄密行为。
- 违法信息传播风险
- 违法信息传播风险
AIGC的广泛使用可能存在着加剧算法歧视与偏见的风险。以ChatGPT为例,根据OpenAI在其官网上的说明,尽管其努力使得ChatGPT拒绝用户不合理的请求,但ChatGPT生成的内容仍有可能存在着包含种族歧视或性别歧视、暴力、血腥、色情等对法律和公序良俗造成挑战的内容。因此,若对因算法歧视产生的可能违背法律法规或公序良俗的AIGC进行传播,则可能存在着违法信息的传播风险。
四、AIGC相关企业的合规应对
随着AIGC的发展,越来越多的科技企业将会加入这一赛道。国内AIGC领域企业在面对AIGC可能带来的法律风险时,应当做好相应的合规应对,从而更好地助力企业发展及产业进步。
- 遵循数据安全及个人信息保护相关法律法规
AIGC相关企业应在遵守《网络安全法》《数据安全法》及《个人信息保护法》等法律法规中关于数据及个人信息保护的相关规定基础上,注意遵循2023年1月10日正式施行的《互联网信息服务深度合成管理规定》(《深度合成管理规定》)中对深度合成服务提供者和技术支持者的相关规定。对于训练数据包含个人信息的,应当遵守个人信息保护的有关规定。深度合成服务提供者和技术支持者提供人脸、人声等生物识别信息编辑功能的,应当提示深度合成服务使用者依法告知被编辑的个人,并取得其单独同意。
此外,AIGC相关企业在跨境传输数据时,应当按照《数据出境安全评估办法》《关于实施个人信息保护认证的公告》《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0》和《个人信息出境标准合同办法》等相关法律法规中关于数据出境的规定,通过主动了解相关法律法规和政策,开展数据出境风险自评估,为数据出境获得必要的授权或许可,并建立完善的数据出境保障措施和数据接收方管理措施,定期评估和审计数据出境的情况,从而遵守各国家和地区关于数据出境的相关规定,维护我国数据安全。
- 加强企业版权管理
- 加强企业版权管理
11
实务研究
Practical Research
对于AIGC使用受著作权保护的作品的问题,根据我国现行《著作权法》的规定,使用他人作品时应当取得著作权人的授权。因此,AIGC相关企业在进行AIGC生成的过程中,应当注意用以抓取的数据库中是否存在受著作权保护的作品,若存在相关作品,则应当取得相关著作权人的授权,以避免陷入著作权侵权纠纷。
而对于AIGC的著作权归属问题,目前学界和实务界对此问题仍然存在着争议。在此情况下,AIGC的服务提供或技术支持相关企业可尝试在制定用户协议时明确AIGC的著作权归属,从而避免相关纠纷。
-
加强内容审查及内容过滤
- 加强内容审查及内容过滤
AIGC相关企业应当遵守《互联网信息服务算法推荐管理规定》以及《深度合成管理规定》等相关法律法规对AIGC的相关规定。按照《深度合成管理规定》要求,AIGC相关企业等深度合成服务提供者和技术支持者应当加强技术管理,定期审核、评估、验证生成合成类算法机制机理。此外,深度合成服务提供者对使用其服务生成或者编辑的信息内容,应当采取技术措施添加不影响用户使用的标识,并依照法律、行政法规和国家有关规定保存日志信息。在发现不良或违法信息时及时向有关部门进行报告,并将日志信息进行封存。
此外,AIGC企业还可以通过限制用户输入及通过自建库或第三方服务等方式,加强对其生成内容审查及内容过滤,以确保AIGC不会违反法律法规或公序良俗,从而推动AIGC企业合法合规发展。
(全文完)
12
实务研究
Practical Research
13
AIGC相关法律问题初探
——模型层和应用层
引言
继正式开放ChatGPT(gpt-3.5-turbo)和Whisper模型的API后,OpenAI公司于2023年3月15日在其官网推出“爆款单品”多模态大模型GPT-4。根据OpenAI公司的说明,GPT-4在高级推理和其他多项能力测试中的表现均明显优于ChatGPT,并且可对图像及长篇文本进行识别并生成文字内容。GPT-4发布后约37个小时,百度发布其大语言模型“文心一言”,据称,该模型具备文学创作、商业文案、数理逻辑、中文理解和多模态生成等多方面的能力。同日,微软宣布其计划将ChatGPT相关技术集成至Microsoft Office 365软件,支持对话式的office文档生成。此外,谷歌、科大讯飞、腾讯、奇虎360、京东和网易等互联网公司均于近期透露了其在生成式AI(“AIGC”)技术和产品方面的研发计划和产品布局,一时间,AIGC领域的科技进步和竞争进入“狂飙”。
公众关注的焦点一方面是AIGC带来的革命性体验和颠覆性生产力,另一方面则是该项技术可能带来的风险,包括虚假信息、网络和数据安全、以及道德和政治风险等。比如,就在GPT-4发布后一周,OpenAI公司的创始人Sam Altman通过其社交媒体宣称,其团队刚刚修复了一个ChatGPT的系统漏洞,该漏洞会导致小部分用户能够看到其他用户和ChatGPT的部分对话信息。而就在一天后,其进一步宣布推出ChatGPT插件,使其具有更强大获取信息的能力,让这个快速迭代的AIGC产品更强大也更危险。如果打开“潘多拉盒子”是不可避免的,那么如何将危害降至最低,成了各国立法和监管机构亟需解决的问题。
目前AIGC领域从产业链层面主要可以分为基础设施层、模型层以及应用层。基础设施层主要解决AI训练的算力问题,主要参与者包括云计算和芯片公司。模型层主要是基于自然语言处理技术和算法创建的参数和架构组合,OpenAI公司开发的GPT-4以及Stability AI开发的开源模型Stable Diffusion都是模型层的代表。应用层是基于模型层开发的、面向2B和2C的场景化、定制化、个性化的程序,比如目前比较火爆的Notion AI、Midjourney等。由于基础设施层从法律监管角度相对成熟和传统,本篇文章拟重点梳理和探讨AIGC模型层和应用层在中国现行有效的法律框架下的监管。
来源:公众号“方达律师事务所”
实务研究
Practical Research
14
01
与模型层和应用层有关的
中国大陆现行主要监管体系
1. 主要监管机构
自2011年5月网信办成立以来,针对网络安全以及互联网信息服务的相关监管,我国逐步确立了以网信部门统筹协调,国务院及地方其他政府部门在职责范围内联合监管的监管架构。对于模型层而言,技术层面可能主要涉及:
- 模型研发训练过程中收集、存储和使用数据,
- 深度合成服务技术/算法,以及
- 人工干预和内容生成。
对于应用层而言,无论是2B还是2C,潜在风险最高的是内容成果(文字、图片、音频、视频等)的交付。鉴于此,结合现行法律法规的规定,部分主要相关的监管部门包括国家和地方网信部门、公安机关、国家安全机关、电信主管机关、市场监督管理机关以及国家数据局等。
2. 主要适用的法律法规
近年来,我国以《网络安全法》《数据安全法》和《个人信息保护法》为基础,逐步构建和完善网络安全、数据、算法和内容合规体系,对相关企业的合法运营提出了诸多要求。此外,随着新技术的迅猛发展,考虑到立法存在的滞后性等问题,有关部门也在根据具体情况及时出台针对性的规定,以便更及时有效地应对新技术所产生的新问题。对于模型层和应用层而言,主要适用的部分法律和法规包括:
实务研究
Practical Research
15
3. 许可、备案及评估要求
参照监管机关历史上对“深度伪造”(deepfake)技术的监管实践,AIGC模型可能被认定为“深度合成技术”,进而适用《互联网信息服务深度合成管理规定》。根据该规定,模型开发者可能被认定为“深度合成服务技术支持者”,而AIGC的技术特性又注定了其“具有舆论属性或者社会动员能力”,因此模型层从业者需要履行相应的算法备案、安全评估等手续。而对于应用层从业者而言,在不同场景下,其可能是基于开放API或开源模型进一步开发应用程序,亦可能同时也是模型开发者,因此建议应用层从业者密切关注上述关于深度合成和算法的规定,以满足相关合规要求。此外,应用层需特别注意与生成内容相关的安全评估要求。
实务研究
Practical Research
16
此外,AIGC模型在模型研发训练阶段涉及大量数据的采集、存储和使用,对于模型开发者而言,需要建立完备的数据安全管理制度,以确保其模型研发活动不违反网络安全和数据安全的相关规定。而应用层从业者亦应根据其技术和商业模式,满足用户信息保护和数据安全合规的要求。我们对相关监管要求总结如下:
02
监管趋势
实务研究
Practical Research
17
由上面的立法时间线来看,我国在信息技术领域的立法特点主要是根据新情况、新问题,陆续发布针对性法律法规,并在一定阶段制定统一的基础性和原则性法律,完成法律框架的建立,并在此基础上进一步完善。截至目前,我国尚未建立起专门针对人工智能技术的法律框架,特别是缺乏针对人工智能技术的研发、模型开发等方面的专门规则。现行规则相对分散,且部分内容所主要针对的技术及场景相较于当前的技术发展程度,已经存在一定的滞后。
随着近期人工智能技术的快速发展,以及部分高关注度产品的诞生,基于对我国先前立法监管的观察,不排除监管部门在近期进一步针对人工智能技术制定针对性的规定,甚至建立类似“1+N”式的规则框架,即在制订基础性和原则性的规定的同时,针对部分关键问题或具体技术,专门发布相应的规则和指导性文件,最终实现对人工智能技术全周期、全方位的有效监管。我们建议有意从事相关业务的企业和人员及时、主动的关注监管动态,并在必要情况下寻求专业人员的帮助,以确保相关的技术开发和产品运营等活动符合相关规定。
03
境外人工智能监管动态
对于人工智能技术的快速发展,美国和欧盟的立法机构也在陆续推进相应的立法以及监管落地工作。
美国白宫办公室科技政策办公室于2022年10月发布了The Blueprint for an AI Bill of Rights: Making Automated Systems Work for the American People,其中确立了5项基本原则,用于对人工智能系统的设计、使用以及部署进行规范和指导以保护公众权益。该文件作为“蓝图”尚不属于正式法案,但对于业界从业
实务研究
Practical Research
18
者而言具有一定的指导意义。5项基本原则包括安全和有效的系统(Safe &Effective Systems)、算法歧视保护(Algorithmic Discrimination Protections)、数据隐私(Date Privacy)、通知和说明(Notice & Explanation)、人工选择、人工考虑和退出(Human Alternatives, Consideration, and Fallback),同时,该文件还结合美国当前法律法规以及司法体系的,对这5项原则进行了分析和论述,并在文件的末尾部分列举了部分涉及人工智能技术的案例,以论证该等原则的适用性。
欧洲议会和欧盟理事会正在制定欧盟的AI法案(Artificial Intelligence Act),并且已经发布了相关草案。欧洲议会的两名报告人(rapporteur)Dragoș Tudorache和Brando Benifei于2023年3月14日针对通用人工智能(General Purpose AI (GPAI))的治理提出了对欧盟AI法案的一系列修订意见,其中包括要求GPAI模型的设计和开发需要遵循特定的管理要求、用于训练的数据需要遵循适当的数据管理规则(包括相关性、适当性、潜在偏见等)、全周期的外部算法审计、监管机构应及时出台专门的指导性文件、自然语言生成模型应遵循数据管控并确保透明性、GPAI的技术提供方应在欧盟数据库进行注册等等。
与此同时,鉴于AIGC的基础设置层和模型层对国家竞争力的重大影响,美国继去年出台《芯片与科学法案》以及持续更新EAR中AI相关的规则和实体清单后,可能于近期进一步限制高性能AI芯片以及AIGC模型技术和软件的出口。2023年1月28日,美国国防信息系统局已将AIGC技术加入到观察清单,认为其有潜力在广泛的军事应用中发挥作用。此外,自2021年起,美国国会即提出建议设立类似于CFIUS的美国对外投资审查委员会,重点审查美国对包括AI技术、半导体、量子计算等在内的重点领域的境外投资,如该等机制建立,则将进一步影响中国相关企业的融资和商业发展。
04
对模型层和应用层从业公司和投资者的
初步法律建议
实务研究
Practical Research
19
基于上述分析,对于模型层和应用层的从业公司,我们建议:
- 密切关注人工智能合规方面的监管动态,及时与监管进行沟通并依照相关规定履行经营许可/备案、算法备案、安全评估等手续,确保运营合规;
- 建立健全用户注册、算法机制机理审核、科技伦理审查、信息发布审核、数据安全、个人信息保护、反电信网络诈骗、应急处置、人工干预、用户自主选择等管理制度,具备安全可控的技术保障措施;
- 及时建立规范、有效的网络安全管理制度和数据隐私保护政策,并指定专人负责相关制度的内部执行及监督,有条件的情况下,应聘请数据法律专业人员进行自查自检;
- 在产品发布前,聘请专业人士协助制定周密的产品政策、用户协议;
- 在合法合规的前提下,谨慎使用境外模型、技术和软件。
对于机构投资者,我们建议,除了在尽职调查的过程中重点关注上述问题之外,还应注意:
- 公司的外资属性。考虑到AIGC天然具有舆论属性和社会动员能力以及其在军事领域的潜在应用价值,我们预计未来AIGC或者其某些细分领域可能会面临外商投资的限制;
- 公司的关键技术是否依赖境外的技术输入。考虑到未来可能出现的境外相关技术的出口限制和投资限制,如果公司在剥离境外技术后无法独立运营,将严重影响公司的估值和投资人的权益;
- 公司与算力供应商之间的商业安排,特别是模型层的从业公司。比如,应重点关注SLA(即Service Level Agreement)中关于公司持续稳定地使用算力资源、知识产权归属、网络和数据安全等相关约定,以及该等约定对公司业务的潜在影响;
- 公司核心知识产权以及know how的权属和保护措施;
- 核心员工的国籍和劳动合同;以及
- 公司业务模式的潜在刑事风险。
实务研究
Practical Research
20
结语
OpenAI公司的创始人Sam Altman提出,新的摩尔定律将会开启,宇宙中的智能数量每18个月翻一番。在AI狂飙的路上,中国企业和投资者如何抓住机遇,而监管机构如何平衡发展和安全,将对我国未来20年的竞争力产生深远影响。而当AI成为新的全球兵家必争之地时,我们必须要胆大心细,以长远的眼光做好基础设施层、模型层以及应用层的相关部署,不做投机的跟风者,而做务实的创新者。
(全文完)
实务研究
Practical Research
21
对《生成式人工智能服务管理办法》的思考
来源:公众号“金杜研究所”
引言
ChatGPT出现引发全球热潮,一方面AIGC(AI Generated Content)应用场景更加丰富,能高效地促进经济和社会的发展,但另一方面AIGC突破性的成果也引发了多方面的危机感。质疑声从个人隐私泄露、商业秘密保护等,进一步延伸到工作机会减少、文化渗透、以及如何保护人类主体性等大问题。特斯拉首席执行官埃隆·马斯克(Elon Musk)、苹果联合创始人史蒂夫·沃兹尼亚克(Steve Wozniak)以及其他上千名AI研究人员日前签署公开信,呼吁暂停研究更先进的AI技术。意大利、德国、法国、爱尔兰等8国相继不同程度的表达监管态度,一时间不仅人工智能迎来的奇点,仿佛人类作为生物族群的主体性也到了“生死存亡”的转折点。
但我们理解, AIGC的发展甚至更先进AI技术出现几乎已经不可逆转,当前AI的自主性和普世价值使得它大概率不会如同克隆技术一般被人为的阻止或废弃。需要客观的认识到,科技巨头以及国家之间的AI军备竞赛“开弓没有回头箭”,急踩刹车的监管方式将有可能陷入固步自封的困局。因此,如何有效地防范新型人工智能系统的风险,同时加速国家人工智能产业发展将是各个国家当前面临的“大考”。
国家互联网信息办公室于2023年4月11日发布的《生成式人工智能服务管理办法(征求意见稿)》(“《办法》”),是国家针对生成式人工智能监管的第一份“答卷”。其是在对科技伦理风险预警与跟踪研判的基础上,及时回应当前生成式人工智能带来的风险与冲击的敏捷治理尝试。本文将在梳理《办法》的主要规定,以及与我国现有的算法治理框架的衔接与承继关系的基础上,尝试以比较法的视野对《办法》的算法规制路径加以解读,并据此进一步作出立法展望。
01
LEGISLATION
生成式人工智能服务管理框架与责任主体义务
1.《办法》的规范框架
就《办法》的规范框架而言,其首先明确了规定的上位法依据、适用范围以及国家对生成式人工智能服务的基本立场,随后规定了责任主体所应履行的义务,并设置相应行政处罚。
《办法》第二条将生成式人工智能定义为基于算法、模型、规则生成文本、图片、声音、视频、代码等内容的技术。基于该定义,《办法》的适用于研发、利用生成式人工智能产品,面向中华人民共和国境内公众提供服务的行为,明确了《办法》在世界互联时代的域外效力。
根据《办法》第五条的规定,《办法》的责任主体是“提供者”,即利用生成式人工智能产品提供聊天和文本、图像、声音生成等服务的组织和个人。提供者包括组织和个人两类主体,根据文义解释,可能不包括仅从事研发的组织和个人。
《办法》对责任主体设定涵盖算法、内容、用户、监管机制等方面的义务,强调与《网络安全法》(“《网安法》”)等上位法,以及《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》(“《安全评估规定》”)《互联网信息服务算法推荐管理规定》(“《算法推荐管理规定》”)《互联网信息服务深度合成管理规定》(“《深度合成管理规定》”)等规范构成的算法治理规范框架紧密衔接,形成对生成式人工智能服务的全方位、多维度规制。
2.责任主体主要义务梳理
以与义务履行最密切的对象为标准,可以大致将《办法》所规定的主要义务划分为监管机制相关义务、算法训练相关义务、内容管理相关义务以及用户相关义务,具体如下表所示。
实务研究
Practical Research
22
实务研究
Practical Research
23
02
重点内容解读
实务研究
Practical Research
24
1.与现行算法治理规范框架的对比与衔接
(1)生成式人工智能服务与算法推荐、深度合成服务治理思路的“一脉相传”
总体而言,《办法》对生成式人工智能服务提供者延续了此前《算法推荐管理规定》《深度合成管理规定》对算法推荐服务提供者以及深度合成服务提供者相类似的监管态度,延续了此前的监管手段,展示出我国在算法治理领域的一致性和连续性。
首先,在监管理念方面《办法》承继了 “科技向善”的精神。“科技向善”是我国算法治理领域的基本原则之一。2021年底,《算法推荐管理规定》首次在部门规章层面纳入“向善”的目标,要求算法推荐服务提供者不仅应坚持主流价值导向,积极传播正能量,同时应当采取措施防止和抵御传播不良信息。2022年, AI换脸的社会事件层出不穷,引发人们对Deepfake等深度合成技术的关注,《深度合成管理规定》出台后,其也强调深度合成服务应当“向上向善”。目前旨在规制生成式人工智能的《办法》,虽然其文本并未明确提出“向善”的概念,但明确了提供者遵守社会公德、公序良俗的义务,并强调了防止生成虚假信息、禁止商业炒作和不正当营销等义务。我们理解,提供者的上述义务对促进生成式人工智能服务的“向上向善”具有积极意义,有助于实现我国算法与人工智能的体系化治理。
其次,在监管手段方面,《办法》延续了此前国家网信办在《算法推荐管理规定》《深度合成管理规定》中采取的措施,除了个人信息保护的一般性义务,还要求人工智能服务提供者履行安全评估、算法备案、内容标识等义务。
通过上述措施,一方面,监管部门既能通过算法备案了解相关生成式人工智能服务的算法属性,例如算法数据、算法策略、算法风险与预防机制等,也能根据安全评估实现对相关生成式人工智能服务的相关信息尤其是安全管理制度及技术措施落实情况等的了解。另一方面,生成式人工智能服务面向的用户也可通过标识区分通过特定算法技术生成的内容,对相关技术的使用充分知情,从而对相关互联网信息内容进行理性的筛选与价值判断。此外,在事后监管方面,为了便利国家网信部门等监管部门的执法能力,从而加强对用户权益的保护,《办法》承继了《算法推荐管理规定》与《深度合成管理规定》赋予相关部门“算法服务检查”[2]的权力,在此基础上进一步明确提供者应按要求提供包括训练数据来源、规模,人工标注规则等可以影响用户信任、选择的必要信息,以信息与数据为“抓手”,实现对具有复杂性、模糊性、易变性的人工智能的治理。
实务研究
Practical Research
25
(2)《办法》亟待厘清与《深度合成管理规定》《算法推荐管理规定》的衔接与适用
如前所述,虽然《办法》期待实现与《算法推荐管理规定》《深度合成管理规定》的联系与互动,但我们理解,具体条款的衔接方式与内容尚待进一步厘清。具体而言,《办法》与其他算法治理规范,尤其是《深度合成管理规定》的衔接与适用主要存在规制对象、义务适用缺乏充足的确定性等难题。
1)《办法》与《深度合成管理规定》规制对象之辨析
《办法》
本办法所称生成式人工智能,是指基于算法、模型、规则生成文本、图片、声音、视频、代码等内容的技术。
《深度合成管理规定》
深度合成技术,是指利用深度学习、虚拟现实等生成合成类算法制作文本、图像、音频、视频、虚拟场景等网络信息的技术,包括但不限于:……
根据前述规范定义,深度合成和生成式人工智能均可通过一定的算法生成文本、图片、声音等内容,因此《深度合成管理规定》和《办法》的规制对象可能存在一定程度的重叠。为理解《深度合成管理规定》和《办法》的适用关系,我们首先需要结合生成式人工智能与深度合成技术的相关性来适用相关规定。
目前,有观点认为,《办法》所称的生成式人工智能除了算法,还可利用模型、规则生成代码、视频等内容,和深度合成相比,生成式人工智能更具适用上的广泛性。我们理解,《办法》所称的生成式人工智能,相较《深度合成管理规定》对深度合成技术的定义,除包括利用算法技术,还可基于模型、规则生成内容。但在人工智能领域中, “模型”是指基于已有数据集,运行机器学习算法所得到的输出,即模型就是运行算法后得到的产物,因此前述区别并非实质性区别,难以支撑《办法》的适用范围必然广于《深度合成管理规定》的结论。与此同时,学界则倾向于认为生成式人工智能、生成式人工智能内容应用仅是深度合成技术的子集,但是在法律规范层面上,《办法》与《深度合成管理规定》的适用对象可能确有一定程度的混淆不明。
无论如何,在仅以文义解释难以区分《深度合成管理规定》与《办法》规制对象的背景下,将致使规制对象主体义务履行发生冲突或矛盾的困境。举例而言,在两部规范规制对象完全一致的情况下,将会致使所有深度合成服务提供者和深度合成服务提供者
实务研究
Practical Research
26
需要履行生成式人工智能服务提供者的全部义务。以《办法》第十六条为例,其规定提供者应当按照《深度合成管理规定》对生成的图片、视频等内容进行标识。由于规制对象一致,且《办法》仅设置单一的“提供者”角色,深度合成服务的技术提供者可能同时构成《办法》下的“提供者”,需履行前述标识义务,但这一义务在《深度合成管理规定》下仅归属于深度合成服务提供者,而非技术支持方。基于前述文义解释对于规制对象一致的推定,原有的深度合成服务技术提供者将在《办法》生效后承担过重的义务,二者的规制对象有待进一步澄清。
2)生成式人工智能服务提供者义务范围边界之探寻
如前所述,《办法》延续了此前算法治理领域的相关监管手段,要求生成式人工智能服务提供者履行安全评估、算法备案、内容标识等义务。但是,生成式人工智能服务提供者履行相关义务的边界仍处于模糊的地带,有待进一步说明。
首先需要明确的是,《深度合成管理规定》和《算法推荐管理规定》与《办法》的侧重点本就存在差异。依据三部规定的立法意旨可知,前两者侧重于对互联网信息内容的治理。中共中央印发的《法治社会建设实施纲要(2020-2025年)》明确提出需完善网络信息服务方面的法律法规,其包括了算法推荐、深度伪造等新技术应用的治理。而《办法》整体上聚焦于生成式人工智能的规范应用与发展,除规制为网络用户提供图片、音视频生成等服务,应认为其具有更广泛、更通用性的适用意义。
实务研究
Practical Research
27
在此背景下,《深度合成管理规定》和《算法推荐管理规定》均明确规定以“提供互联网信息服务”为适用前提,《办法》与之存在表述上的显著差异,加之对《办法》相关条文的文义解释和对算法治理规范的体系解释,生成式人工智能服务提供者就安全评估、算法备案、内容显著标识的义务履行边界可能存在疑问。
就算法备案义务而言,《算法推荐管理规定》并未要求全体算法推荐服务提供者均应履行算法备案义务,备案义务仅约束具有舆论属性和社会动员能力的算法推荐服务提供者。《深度合成管理规定》同样承继了此种规定,明确说明深度合成服务提供者开发上线具有舆论属性或者社会动员能力的深度合成服务提供者,应履行算法备案义务。据此我们理解,算法备案义务仅限于具有舆论属性和社会动员能力的特定应用服务提供者。但《办法》仅规定“利用生成式人工智能产品向公众提供服务前”,整体上未提及互联网信息服务。如前所
述,我们理解,算法备案义务的承担具备一定的条件,而《办法》的行文表述致使不明确是否所有生成式人工智能服务提供者均应承担算法备案的义务。对安全评估义务的适用亦与此有相类似的问题。
实务研究
Practical Research
28
就内容标识义务而言,《深度合成管理规定》为深度合成服务提供者施加了标识和显著标识两类义务。对于显著标识义务,与算法备案类似,并非需对其生成的全部信息内容进行显著标识,深度合成服务提供者仅需对特定几类可能导致公众混淆或者误认的信息内容进行显著标识。然而,《办法》的行文表述依然缺乏足够的确定性:一方面,生成式人工智能服务提供者是否仅需对生成的图片等内容进行标识,即使相应的内容属于“智能对话、智能写作等模拟自然人进行文本的生成或者编辑服务”等可能致使公众混淆或误认的内容,也仅需履行一般性的标识义务,而无需履行特殊的显著标识义务。另一方面,如前所述,《深度合成管理规定》侧重于互联网信息服务规制,但《办法》的适用范围似乎并不限于互联网信息服务领域,《办法》是否要求互联网信息服务领域以外的生成式人工智能服务提供者均需履行标识义务?
与上述问题类似,《办法》仅使用“按照”一词衔接其他规范时,并未明确相应的适用条件。事实上,我们理解并非所有算法推荐服务提供者和深度合成服务提供者均需履行国家网信部门规定的安全评估、算法备案及内容显著标识义务。此外,如前所述,提供者提供的生成式人工智能服务,并非全部属于互联网信息服务;在互联网信息服务领域外的生成式人工智能服务提供者,履行互联网信息内容管理要求的必要性可能也需进一步明确。再者,如果提供者并不涉及提供互联网信息服务,其是否还需依据《网安法》履行要求用户提供真实身份信息等互联网信息服务义务?
总而言之,在算法应用治理领域,《办法》意图实现各类治理规范的有机联动。但是,如何使《办法》与《算法推荐管理规定》《深度合成管理规定》乃至《网安法》实现有序衔接,提供生成式人工智能服务的企业如何实际履行算法备案、内容标识等义务,义务的履行的边界又在何处,尚待《办法》作出明确的界定。
2.比较法观察:从欧盟《人工智能法案》与美国《人工智能问责政策》看“中国方案”
(1)欧盟人工智能治理的路径选择:基于风险的规制
2018年4月发布《欧洲人工智能战略》、2020年2月发布《人工智能白皮书》、再到2021年4月发布《人工智能法案》(“Artificial Intelligence Act”)提案、数次对《人工智能法案》文本进行修订并于2022年12月发布《人工智能法案》最新版本,欧盟始终积极探索人工智能治理。在人工智能治理领域,欧盟关注人工智能对基本权利的影响,并意图打造一个可信的人工智能生态系统。
实务研究
Practical Research
29
1)人工智能治理框架:通用立法与行业规制
欧盟《人工智能法案》采取统一通用立法模式,虽然内容上,《人工智能法案》排除了部分人工智能系统应用场景的规制,例如原则上远程生物识别系统应当被划入高风险系统当中,但出于执法目的的某些例外情况可在经授权后使用,但整体上,欧盟希望《人工智能法案》具有欧盟人工智能治理领域基本法的地位,并希望通过其域外效力,影响全球的人工智能治理进程。
欧盟在《人工智能法案》中以横向监管框架为基础,以风险为路径,基于人工智能系统预期使用的用途、场景等,将人工智能系统划分为不可接受的风险、高风险、有限的风险以及最小风险,并主要规制高风险人工智能技术提供者的行为,要求存在高风险的人工智能技术在投放市场前,甚至在整个生命周期中均需履行提供高质量数据集,建立完备的风险评估系统,向用户提供清晰、充分的信息等义务,并接受审查。
值得一提的是,最新版本的《人工智能法案》已经将通用型人工智能系统(General purpose AI system)纳入规制范围,并明确,通用型人工智能既可能单独作为高风险人工智能系统,也可能仅是某高风险人工智能系统的组件;如果某通用型人工智能系统提供者确信自己的系统不会用于《人工智能法案》规定的高风险场景,则其无需承担相应的高风险规制义务。这种以风险为路径的分级监管方式也能给我国人工智能治理提供一些启发:是否有必要区分生成式人工智能服务的应用场景,对其进行分类分级,从而进行更针对性的监管?《算法推荐管理规定》已经提出了类似的分级分类监管思路。
人工智能领域的通用立法一直饱受争议,原因在于各个行业应用人工智能的风险差异较大,在没有广泛调研和对人工智能技术在各行业差异进行深入了解之前,尝试用普遍规则来规制多行业人工智能应用有可能掣肘某些特殊行业人工智能的发展。因此有不少国家也会考虑以特殊行业规制出发,以实际效果来摸索人工智能治理的普遍规则。自2021年底,我国陆续深入算法推荐、深度合成领域推出针对性立法,此种立法方式更倾向于行业规制。在作为顶层设计的综合性人工智能立法尚未出台的背景下,结合算法及人工智能场景应用的具体场景和目的,深入各领域立法,适时制定某一特定算法应用或服务的规定,有利于我国监管部门迅速回应算法及人工智能在特定领域引发的社会问题。与算法推荐服务、深度合成服务相比,生成式人工智能服务的适用的确具有更广泛的空间,因为生成式人工智能服务可用于互联网信息服务、精准医疗、无人驾驶等各行各业,但这不影响《办法》本身更可能被认定为行业规制的延续。
实务研究
Practical Research
30
行业规制虽然能深入各具体场景规制算法与人工智能服务的使用,但类似于《人工智能法案》的综合性立法仍是未来人工智能治理领域不可或缺的内容。据我们了解,多个部委近几年已经开始研讨“可行人工智能的立法规制建设”,我们期待通过专门的中央立法强有力地指导各地、各领域的人工智能发展,并在新形式或新技术出现时提供一般性监管要求。
值得一提的是,立法与监管部门也在尝试关联目前现有的算法与生成式人工智能治理的监管措施,形成统一的监管态势。具体而言,互联网信息服务算法备案系统在此前已经串联了算法推荐服务提供者、深度合成服务提供者和深度合成技术支持者的备案工作,虽然生成式人工智能服务提供者的算法备案义务尚需进一步讨论,但这种衔接的尝试有利于我国形成体系化的监管路径。
2)人工智能治理措施:风险预防
以风险为路径,欧盟《人工智能法案》为高风险人工智能系统提供者施加了诸如符合性评估(Conformity Assessment)、数据治理(Data and Data Governance)等义务。虽然欧盟与我国在人工智能服务领域采取的立法方式与监管思路有所区别,但就监管手段而言存在一定共识,通过这些共识,可以窥见部分全球人工智能治理的方式及路径,有所裨益。
安全评估并非算法与人工智能服务领域独有的监管手段,其旨在评估相关企业等主体的活动是否存在风险、风险程度如何等,从而决定是否允许被评估对象是否能面向公众或社会等开展服务。训练数据集管理的要求更具独特性,算法的研发、优化依托大规模的数据;经过一次又一次的数据喂养和系统运行,算法得以实现研发设计者意图实现的目标。因此,训练数据集的管理在人工智能领域具有极其重要的地位;高质量的训练数据有利于减少算法歧视等问题的发生。《办法》第七条相较于此前《深度合成管理规定》中简单提及的“加强训练数据管理”,更为具体地提出了对训练数据集的要求,与《人工智能法案》在前言及正文第10条反复提及的训练数据集管理要求具有相当的一致性。
首先,《办法》与《人工智能法案》以不同形式对数据来源的合法性提出了要求。《办法》强调了个人信息合法性基础和尊重知识产权的重要性,而《人工智能法案》侧重于对个人信息合法性基础的说明,除《人工智能法案》明确规定的以外,该法不得作为企业利用人工智能系统处理个人信息的合法性基础。就个人信息的收集使用的描述而言,可见区别。就《人工智能法案》而言,《人工智能法案》第53、54条规定
实务研究
Practical Research
31
主管部门应建立人工智能监管沙盒(AI Regulatory Sandbox),以在相应的人工智能系统投放市场前对其遵守《人工智能法案》的情况进行验证;同时,《人工智能法案》允许提供者在监管沙盒里处理基于其他目的合法获取的个人信息,也即,提供者无需就此再次获取信息主体的同意。
相较之下,由于我国《个人信息保护法》(“《个信法》”)第十三条明确规定了个人信息处理者处理个人信息的合法性依据,仅在第七款中说明“法律、行政法规规定的其他情形”。而因为我国《办法》将作为部门规章,无法突破《个信法》作为上位法的规定,《办法》本身无法为个人信息处理的合法性基础设置例外条款,因此仅是提示性地说明,生成式人工智能服务提供者使用的训练数据如果包含个人信息,应当征得个人信息主体的同意或符合法律、行政法规规定的其他情形。
由于我国在人工智能科学研究发展中并未设置对个人信息处理的例外条款,可以预见的是,其将为我国人工智能的研究与发展增加较高的成本。比如实践中,企业可能选择爬取网络公开数据以进行自我算法训练、优化,其中不可避免地涉及个人在网络上自行公开的个人信息。尽管有观点认为,生成式人工智能服务提供者此时可依据《个信法》第十三条第2款第第6项“在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”从而利用相关个人信息进行算法训练、优化等。但问题在于,如何理解“合理的范围”尚没有明确的指引,生成式人工智能服务提供者基于自身商业考虑而处理个人公开的个人信息是否属于“合理的范围”,将有待立法、司法实践的进一步厘清。 值得注意的是,上述监管思路的差异不仅将影响我国人工智能研究速度,还将引发对于公共平台个人信息资源的争夺。在个人信息权益尚未有定论的当下,对于数据资源的无效争夺无疑将是科技发展中的“内耗”。我们期待立法、司法实践能在人工智能服务提供者确保个人信息主体利益的前提下,认清当下中国科技发展的掣肘,尽可能平衡科技发展与个人权益保护的关系。
其次,《办法》与《人工智能法案》对数据的质量要求有细节上的差异。
《人工智能法案》
训练、验证和测试数据集应遵守适当的数据治理和管理规范。其中还应特别关注数据采集,相关的数据准备处理工作如标记。……训练、验证和测试的数据集应当是具有关联性、有代表性的、没有错误且完整的。……训练、验证和测试的数据集应特别考虑与使用高风险人工智能系统的人员或人群有关的属性。
实务研究
Practical Research
32
《办法》
能够保证数据的真实性、准确性、客观性、多样性。
如前所述,《人工智能法案》以风险分类为治理路径,将不同场景下的人工智能系统归类于不同的风险等级;由于人工智能系统的风险等级与提供者的预期用途、目的、场景等密切相关,因此在训练数据集质量管理方面,《人工智能法案》除了一般性的完整性等要求,还主张相应的提供者在训练、验证人工智能系统时应当使用具有关联性的数据,特别考虑与使用高风险系统相关的人员属性等。与《人工智能法案》相比,《办法》注重训练数据的多样性,这可能源于《办法》与《人工智能法案》规制路径的区别,后者区分场景和用途划分人工智能系统的风险等级,强调数据与场景的关联性;前者则未区分生成式人工智能服务应用的具体场景,而是统一规制,强调数据的多样性。但问题在于,企业应当如何理解训练数据的多样性?其含义是否为生成式人工智能服务提供企业应当获取不同数据来源、不同领域、不同行业、不同年龄、不同性别的数据或个人信息?此外,训练数据集的客观性如何保证可能也有待商榷。如果是人类的感受、感悟、情绪等数据,客观性的要求应当如何衔接?企业如需实践落地训练数据管理要求,可能有待立法部门进一步阐述与说明。
3)人工智能治理原则:公开透明
算法透明是世界各国公认的算法治理原则,包含从告知义务、向监管报备、向社会公开信息等多种形式。保障用户知情权是欧盟《人工智能法案》的一大特色,有助于用户了解与其进行交互或为其服务的人工智能系统的相关信息,实现算法向用户侧的透明。欧盟为了确保高风险人工智能系统的操作足够透明,从而确保用户能够理解系统并更好地使用。《人工智能法案》第13条规定“透明度和向用户提供信息”,要求高风险人工智能系统提供者以适当的方式在系统中附有可供用户了解的信息,包括提供者的身份和联系方式,高风险人工智能系统的性能特征、功能和局限性例如预期目的、可能对个人健康和安全或其他基本权利产生的风险、人为监督措施等。
此外,《人工智能法案》还要求高风险人工智能系统提供者、授权代表等在欧盟建立的数据库中进行登记,登记的信息除提供者的基本信息外,还应包括高风险人工智能系统的预期目的描述等,所有公众均可访问数据库中的信息。
相较而言,就向公众履行透明度义务维度,《办法》仅在第十条[4]规定“提供者应当明确并公开其服务的适用人群、场合、用途”。用户可能无法仅凭上述信息对与其交互的人工智能服务产生清晰明了的认知,也无法了解对其可能产生的影响。值得一提的
实务研究
Practical Research
33
是,《算法推荐管理规定》较为详尽地规定了向公众履行透明度义务的要求。其明确算法推荐服务提供者应当向公众告知其算法推荐服务的基本原理、目的意图和主要运行机制等。基于此,《办法》可能需进一步明确,是否应增强生成式人工智能服务向公众履行透明度义务,以强化可问责性。对于《办法》向监管履行透明度义务的规定,本文将在第三部分“《办法》的延伸思考与立法展望”展开论述。
(2)美国人工智能治理的路径选择:问责明确的可信人工智能路径
“推进值得信赖的人工智能”是美国联邦政府的重要目标之一,为推进这一目标,美国白宫制定了《AI权利法案蓝图》,以期为“构建和部署符合民主价值观、保护公民权利、公民自由和隐私的自动化系统”提供指导。为了充分实现这样的蓝图,美国计划建立健全与可信人工智能相关的政策,尤其是人工智能问责政策。
基于此,2023年4月,美国商务部下属国家电信与信息管理局(NTIA)特就人工智能问责政策征求意见(AI Accountability Policy Request for Comment),并希望能获得公众就建立人工智能问责制的现状与障碍的态度与建议。
从《人工智能问责政策征求意见》可看出,美国在制定政策时,重点关注以下几方面的问题:首先,如何看待问责目标。如同欧盟、我国要求人工智能服务/系统提供者进行评估,美国也在关注,主体开展评估(包括外部评估、内部评估)和审计的目标是什么,彼此有何交互联系。其次,问责的对象如何确定。人工智能供应链非常复杂,开源软件与下游的App、客户端等应用程序可能存在很大不同,下游产品对人工智能的使用可能远超于人工智能系统开发人员最初的设想,此时应如何平衡与区分各方主体的责任?再者,就具体的责任承担而言,应当要求人工智能系统的开发人员和部署人员在多大程度上、多长时间内保留何种类型的系统文档材料,以实现问责判断。
这一思路其实与欧盟《人工智能法案》中的技术文档规定类似,其核心均在于要求相关主体保留一定的系统记录,以在问责时提供证据。而这种证据既可能证明人工智能系统提供者全面地履行人工智能相关的法律法规,也可能为受到损害的用户提供支持。我国《个信法》有类似的记录要求,其第五十五条要求个人信息处理者在处理敏感个人信息、自动化决策等场景时对处理情况进行记录,记录应至少保存三年。反观《办法》,其并未要求生成式人工智能服务提供者对相关活动情况进行记录。虽然实践中,企业基于自证合规的目标或需求,可能实际上会留存相关的生成式人工智能系统的活动记录,但为了更好地明确相关留存要求如文件类型等,立法对此进行明确仍是值得借鉴
实务研究
Practical Research
的做法。
总的来说,虽然中美欧所处的人工智能技术发展的环境有所不同,但在“技术-社会-法律”的体系下,各国均已开始尝试法律规制人工智能的手段。除了法律,各国还可加强科技伦理方面的合作,达成国际层面的共识。我国也需要加强国际合作,积极输出理念和价值观,共同参与人工智能治理的进程。
34
03
《办法》的延伸思考与立法展望
1.适用范围与域外效力
根据《办法》第二条规定,《办法》适用于“面向中华人民共和国境内公众提供服务”。相较于《深度合成规定》等法律法规之“境内应用”“境内运营”的立法语言,《办法》的域外效力相当明确,我们可以结合《个信法》关于“以向境内自然人提供产品或者服务为目的”的域外适用情形加以解读,即无论利用生成式人工智能产品提供服务的组织或个人是否在境内设立实体/位于境内,均可能受到《办法》的管辖。然而,具体在何种情形下将触发《办法》的适用可能需在理解以下两个概念的前提下得以明确。
其一,对于“面向”的界定。尽管服务的商业模式设计是否以境内公众为目标受众,包括在提供服务过程中是否使用中文,是否对于中国用户提供定制化版本等均可能构成一部分判断因素。然而,更应考虑到目前ChatGPT、Midjourney等境外产品和服务在境内广泛使用的热潮,是亟需规制生成式人工智能服务的直接动因,界定标准宜关注是否对境内用户产生实质影响,故不排除只要允许境内公众使用该等服务即可能受到《办法》的规制。
其二,“境内公众”的含义。 一方面,在以《网安法》为上位法的基础之上,《办法》特别规定提供者应当履行《网安法》相关规定,包括要求用户提供真实身份信息,而这一义务在《网安法》中归属于提供信息发布、即时通讯等互联网信息服务的网络运营者。另一方面,如前所述,《办法》衔接现行算法治理规范框架,其对于责任主体的具体义务设置与《深度合成管理规定》《算法推荐管理规定》具备相当程度的相似性,包括安全评估申报义务、算法备案义务和标注义务等,而前述两规定明确将规制对象限于“提供互联网信息服务”。
实务研究
Practical Research
35
将“境内公众”的含义置于前述语境加以理解,可以合理推断《办法》可能倾向于对利用生成式人工智能提供互联网信息服务的行为加以调整,“境内公众”更多指境内不特定的公众,而仅向特定企业提供服务的行为可能并不必然构成“面向中华人民共和国境内公众提供服务”。
2.责任主体及其义务边界
如果前述针对企业端服务可能并不必然构成“面向中华人民共和国境内公众提供服务”,从而可能并未落入《办法》的适用范围为前提,利用第三方提供的产品继而向公众提供服务的主体方为《办法》项下义务的责任主体,例如那些调用OpenAI提供的应用程序编程接口(API),将ChatGPT 集成至其应用程序和服务的企业。就此而言,《办法》可能选取了规制服务提供者而非技术提供者的路径。
然而,如此推导出的结论可能与《办法》的其他规定产生矛盾。首先,《办法》第五条明确规定,“提供者”,包括通过提供可编程接口等方式支持他人自行生成文本、图像声音等。再者,以第四条规定作为切入点,由于提供者的定义置于第五条,第四条规定显得意味深长,因为条款顺序安排使得其并非当然隶属于“提供者”的义务。尤值得注意的是,第四条第(二)款直接要求算法设计、训练数据选择、模型生成和优化等技术研发优化过程中应采取措施防止歧视(在技术与服务提供者相分离的情况下,这在仅提供服务的主体力所不逮之处,仅能由技术提供者履行),且算法设计、训练数据选择等与“提供服务”属于该项规定中的并列成分。如此便得出相反的推论,即《办法》似乎隐含近似于《深度合成管理规定》之服务提供者和技术支持者的责任分配,有意对技术和服务提供者的义务进行分别规定。但这种理解可能也有失偏颇,因为如我们在“生成式人工智能服务提供者义务范围边界之探寻”一节所述,《办法》第六条要求提供者履行安全评估义务和算法备案义务,但这些义务均以提供互联网信息服务的主体为规制对象。
事实上,对于责任主体及其义务边界的划分反映的是对生成式人工智能服务进行规制的逻辑起点。如欧盟《人工智能法案》为确保公平竞争环境,明确定义人工智能价值链上的关键参与者,如人工智能系统的提供者和使用者等,以确保公平的竞争环境,这亦是其“技术中立”和“面向未来”的基本立场的体现。
具体而言,如不分畛域地仅以服务提供者作为单一责任主体,尽管符合技术中立原则,对于技术开发积极性可能颇有助益,但由于防范歧视、训练数据集来源合法性等义务的履行需从算法、模型的训练阶段进行源头控制,实践中企业可能倾向于
实务研究
Practical Research
36
利用自身的商业谈判地位,将合规义务以合同安排的形式转嫁到较为弱势的技术研发者。而若壁垒分明地对服务提供者和技术提供者作义务安排,前提可能需是对现有技术和未来发展趋势建立足够深入的理解,技术应用亦具备成熟稳定的实践。换言之,在人工智能“奇点”时刻试图以法律规定拉齐技术观念的水位,恐怕也应再三考量实践性。
因此,责任主体及其义务边界的规制路径选择实则是知易行难的立法技术问题,还有待进一步的探讨与释明。
3.规制方案:程序性规制方案与回溯性规制方案的互动
主流的算法规制方案大致可分为事前的程序性规制方案和事后的回溯性规制方案两种机制,前者旨在预防算法侵害,后者则是回应性的,在侵害产生后进行追责与救济。
程序性规制方案的本质是对于算法黑箱和缺乏透明度的特性致使传统规制方案失灵的自然回应。例如,若人工智能生成内容产生侵害结果,存在难以界定责任主体、故意与过失认定困难、因果关系界定冗长不清等问题,这便促使以“技术正当程序”理念介入的对算法的程序性规制方案日益受到关注,并在立法实践中被广泛采用以增强算法的可问责性。
基于前述分类,可以看到《办法》广泛纳入了程序性规制方案的制度工具。例如,第六条之安全评估和备案要求,第八条之人工标注规则规制及培训要求,以及第十七条之算法披露义务(算法透明度义务)等,其法理构造均为以技术正当程序理念介入的程序性规制方案。与之相对,在已生成不当内容的情况下,第十五条规定的算法纠偏义务,即要求责任主体“防止不当内容再次生成”,即是采取强调结果正义的回溯性规制方案。鉴于此,我们理解作为回溯性规制方案的《办法》第十五条规定存在如下探讨空间:
(1)对《办法》程序性规制方案的补足
《办法》集安全评估、算法备案和算法披露(透明度义务)等算法程序性规制方案于一身,构建了较为完整的规制体系,旨在提升生成式人工智能服务的算法设计安全、提供者的算法风险管理能力等,实现算法审查和算法问责,促使提高算法的公平、透明和可问责性。然而,算法程序性规制方案亦存在其局限,由于属于风险预防性措施,为学者所诟病“不能确定地有效避免某个具体算法损害的发生,也无法
实务研究
Practical Research
37
对已然发生的算法侵害提供符合人类理性与正义要求的规范上可感的修复” 。
这意味着,在生成式人工智能服务产生不当内容后,前述程序性规制方案可能难以提供有效且令人满意的解决途径,而第十五条规定则要求实质的“结果正义”,规定 “除采取内容过滤等措施外,应在3个月内通过模型优化训练等方式防止再次生成”,与前述程序性规制方案相辅相成。
(2)第十五条规定的局限
其一,在实践中,责任主体履行“防止不当内容再次生成”的义务可能存在较大障碍。尽管通过列举“内容过滤”为具体措施,以及设定3个月的期限,使算法纠偏义务的履行方式获得更多确定性。然而,一方面,由于生成式人工智能多采用基于神经网络算法的深度学习,即使技术研发者亦难以理解如人脑般复杂的多层神经网络结构的权值,对算法逻辑进行分解,或是直接从输出结果倒推应当调整哪一环节。另一方面,“防止不当内容再次生成”需要考虑用户使用行为的影响,例如倘若以对抗样本(adversarial examples)攻击使用深度学习的生成式人工智能服务,攻击者在如常使用服务的过程中,输入精心构造的信息并得到欺骗性结果,其对模型的扰动相当难以察觉。退一步而言,即使是普通用户,其提供的提示(prompt)也可能扰乱对模型的调整。
因此,如果说对于足够特定的不当内容,或可在模型输出层施加限制,以充分履行防止再次生成的义务。但对于涉及价值判断等复杂内容的防范,即使重新通过人工标注训练模型,可能也难以确保“防止再次生成”不当内容,至于是否能在3个月内完成,亦值得进一步考量。
其二,或需检视将第十五条与第十三条规定并置的合理性。
第十三条规定
提供者应当建立用户投诉接收处理机制,及时处置个人关于更正、删除、屏蔽其个人信息的请求;发现、知悉生成的文本、图片、声音、视频等侵害他人肖像权、名誉权、个人隐私、商业秘密,或者不符合本办法要求时,应当采取措施,停止生成,防止危害持续。
第十五条规定
对于运行中发现、用户举报的不符合本办法要求的生成内容,除采取内容过滤等措施外,应在3个月内通过模型优化训练等方式防止再次生成。
实务研究
Practical Research
38
经比对可知,同样在发现不当内容的情况下,第十三条仅要求“应当采取措施,停止生成,防止危害持续”。这可能导致对于提供者的责任认定难题,即其算法纠偏义务止于采取措施,还是应当从结果上杜绝不当内容的再次生成。基于法的确定性要求以及为避免责任主体支出不必要的合规成本,同时考虑到前述第十五条规定对于程序性规制方案的补足意义,对于这一问题的回答即使不是非此即彼的,至少应当区分二者的适用情形。例如规定在特定情形下,提供者方负有防止再次生成不当内容的义务。
此外,在探讨算法纠偏义务的边界时,还应当综合考量界限设置可能隐含技术是否中立的价值预设,以及企业履行“防止再次生成”的义务可能存在障碍的情况。
4.算法如何透明:从“不可能完成的”解释到算法披露的合理边界
算法透明度是算法规制可欲的目标,也是算法程序性规制强有力的监管工具。就我国算法治理顶层设计而言,《新一代人工智能伦理规范》针对人工智能提出包括透明性、可解释性在内的多项伦理要求。2021年9月,中国国家互联网信息办公室等9个部门联合发布的《关于加强互联网信息服务算法综合治理的指导意见》提出“透明可释”的基本原则,并多处强调算法应用应当公开透明。就我国算法治理相关立法而言,如前所述,以算法备案为监管工具的《深度合成管理规定》《算法推荐管理规定》已身体力行地嵌入算法透明度要求。
我们需要承认,算法的绝对透明可能是一项违反商业伦理、同时技术上“不可能完成”的要求。一方面算法已经逐渐成为企业的核心竞争资产,公开披露其详尽的运作原理将极大打击企业的发展动力。另一方面,作为仿生模型的人工神经网络(Aritificial Neural Network,ANN)在人类尚未理解人类大脑运行机制的当下,其透明性要求可能是人类的“左右互搏”。但这并不妨碍监管敦促企业在保护商业秘密的前提下,基于公共利益完成必要的“透明可释”要求。尽管从技术上,在我们理解人类大脑机制之前,上述要求可能是徒劳的,但从社会监管机制角度,其仍然是重要的社会治理“抓手”。
算法透明的立法规制以算法披露制度为核心,其中囊括向监管和社会公众披露的双重维度。而《办法》构建的算法披露制度,在算法备案、算法评估等规定的基础上,其第十七条还要求提供者应当向监管部门履行额外的算法披露义务,“提供者应当根据国家网信部门和有关主管部门的要求,提供可以影响用户信任、选择的必要信息,包括预训练和优化训练数据的来源、规模、类型、质量等描述,人工标注规
实务研究
Practical Research
39
规则,人工标注数据的规模和类型,基础算法和技术体系等。”对此我们理解,基于算法透明度要求与知识产权、商业秘密保护之间的张力等考量,有必要进一步探讨此处额外披露义务的程度,包括适用范围和“必要信息”的范围。
(1)第十七条之额外披露义务的适用主体与适用情形
在对第十七条之额外披露义务的适用主体进行讨论之前,有必要深入理解《办法》构建的算法披露制度。从《办法》第六条规定“按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续”义务来看,即使对是否所有提供者均应履行算法备案义务的问题存而不论,亦应当考察算法备案制度的内在逻辑,从而确保对额外披露义务的理解与之具备逻辑一致性。
《算法推荐管理规定》的算法备案制度采取风险进路,对算法进行分级分类,将备案主体限定于“具有舆论属性或社会动员能力的算法推荐服务提供者”,其逻辑与我国《数据安全法》等数据分级分类的思路一致,即以数据/算法所引发的外部风险为判断基础。
基于这一风险进路,如若在算法备案的基础上要求服务提供者提供额外的信息,则有必要对于额外披露义务的适用主体作进一步明确,例如是否涉及引发更高外部风险的生成式人工智能服务提供者,方构成这一义务的适用主体。抑或是否在特定情形下方触发该等义务。
(2)“必要信息”的范围
首先,在披露范围方面,《算法推荐管理规定》逐一列举服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息作为登记事项,审慎地包含算法应用是否与目的相称及其可能引致的公共利益、公民权利风险的评估信息,但将算法数据组、算法模型性能、算法设置逻辑等涉及商业秘密、专利权的内容排除在外,从而平衡政府监管与行业自律、信息披露与商业秘密、源头治理与事后追责的多重诉求。
遵循这一平衡多方诉求的审慎态度,《办法》亦应当考虑进一步明确“必要信息”的范围,包括对“基础算法和技术体系”做出必要的解释,抑或以反向列举的方式排除“非必要信息”。
仅从文本上理解,第十七条目前采取的表述不排除披露范围可能包含源代码、训练数据集等。然而,一方面,对于使用深度学习技术的生成式人工智能的不透明
实务研究
Practical Research
40
性大多源于目前的认知能力难以破解机器学习的深层逻辑,即“机器学习高维特征的数学优选方法和人类尺度的推理(human scale reasoning)及语义学解释风格之间的不相匹配”。即使无限制地披露信息,可能对于有效提高算法透明度都无异于缘木求鱼,反而可能导致对商业秘密、知识产权保护的失衡。事实上,算法的透明通向可理解性(intelligibility)的必要条件,从而实现算法问责,其自身仅是手段而非最终目的。
另一方面,在世界范围内,以监管为披露对象的算法披露制度设计尽管存在披露程度差异,但鲜有强制要求披露训练数据集和源代码的立法实践。同样以欧盟的《人工智能法案》为例,尽管2021年发布的草案第64条规定,对于高风险人工智能,监管机构有权访问算法系统数据(包括训练集、验证集和测试集)、源代码,并可以通过技术手段对算法进行分析测试,从而实现算法审查和算法问责,但2022年12月发布的最新版本已删除该规定,仅保留监管访问第11条所规定的技术文档和第12条的日志记录的权力。
总体而言,尽管生成式人工智能的技术壁垒之高、影响之复杂性对立法技术带来艰巨挑战,但立法不可裹足不前。“申言之,再复杂、高深的技术程序也不允许从法治国家的规范中逃逸,否则就会形成法治国家的‘虫洞’,最终造成依法治国只剩下一个‘合法性的空壳’。”
同时,我们应当清醒地认识到,依法治国仍然需要为“统筹中华民族伟大复兴战略全局和世界百年未有之大变局”所服务。人工智能的监管需要认清当前我国人工智能科技研发领域的现实差距,控制风险但不能“因噎废食”。如何合理地利用 “技术与服务主体区分”“主体责任边界”等立法技术以及“技术中立性保护”“前沿技术在社会应用中的避风港”等社会治理智慧,在人工智能技术尚未展现全貌前,将极大影响我国未来在全球智能化社会中地位。
最后,也有观点认为,随着ChatGPT的出现,高度危险的强人工智能已经初现端倪。人类作为一个生物族群的主体性将伴随强人工智能普及而逐渐丧失,科幻小说家刘慈欣也怀疑“人工智能社会或许前景暗黑暗[13]”,甚至我们正在见证新型主体性的诞生,即 “一种特定类型的人工智能,能够基于海量数字化数据的处理而感知环境并据此行动”。尽管ChatGPT安慰我们“人工智能是一种有限制的技术,不可能消
结语
实务研究
Practical Research
41
灭人类文明。人类仍然是人工智能的主宰和控制者,人工智能只是人类的工具和辅助”,人类自我觉醒的文明时代仿佛将走向幽暗。
但即使眼前幽暗丛生,我们也“不要温和地走入那良夜”(Do not go gentle into that good night)。我们不需要在前路未明时固步自封地监管,延缓甚至阻碍人工智能技术的发展,也不能听之任之,毫无戒备地投入到智能化的新历史阶段。我们应当坚持“发展才是硬道理”的原则,以最大的热情鼓励和促进技术的发展,同时以最审慎的心态、最大的关注力观察人工智能的发展动向,秉承技术中立的价值,审慎包容但坚守底线。我们坚信,人类的文明之火不仅终将伴我们走出良夜,还会在人工智能的加持下,更加璀璨。
(全文完)
“假作真时真亦假” |
数字社会中辨伪存真的挑战
来源:公众号“金杜研究院”
数字社会的发展将不可避免地带来新的社会问题。虚拟空间与物理社会融合发展中的重要挑战之一在于如何平衡“以假乱真”的技术发展趋势和“辨伪存真”的社会治理要求。
2019年,“AI换脸”的风潮将深度合成技术带入大众视野。用户只需要上传一张自己的照片,便可以在各种影视剧的经典场面中“出镜”。但除了众人所熟知的“AI换脸”外,作为一种基础计算机技术,深度合成技术还包括语音合成、人脸替换、图像生成等,与近期网络空间发展的其他概念和技术比如元宇宙、虚拟人、AR/MR/VR/CR/XR等息息相关。然而,不可否认的是,深度合成技术的滥用同时也引发了诸如“以假乱真”、信息泄露等一系列合规风险。
自党的十九大报告提出“营造清朗的网络空间”的总任务要求以来,2020年12月7日,中共中央即在《法治社会建设实施纲要(2020-2025年)》提出了对网络空间进行依法治理、推动现有法律法规延伸适用到网络空间的积极号召。其中,针对算法推荐、深度伪造等新技术应用制定相关规范管理办法,被视为完善网络法律制度的关键步骤之一。
在此背景下,2022年1月28日,国家互联网信息办公室发布《互联网信息服务深度合成管理规定(征求意见稿)》(下称“《深度合成服务规定》”)。《深度合成服务规定》旨在规范互联网信息服务深度合成活动,促进深度合成技术依法、合理、有效利用,并在已经出台的《网络信息内容生态治理规定》《互联网信息服务算法推荐管理规定》《网络音视频信息服务管理规定》等相关部门规章和规范性文件的基础上,进一步厘清、细化了深度合成技术应用场景,明确了深度合成服务提供者与使用者信息安全义务,并以“促进深度合成服务向上向善”为总体要求,提出了一系列具有系统性、针对性和可操作性的要求。本文将结合境内外立法实践,对《深度合成服务规定》进行深度解读,并对深度合成服务提供者等主体的合规义务进行释明。
实务研究
Practical Research
42
01 深度合成技术概述
实务研究
Practical Research
43
从技术层面看,深度合成技术(Deep Synthesis)即深度伪造(Deepfake),是深度学习(Deep Learning)与伪造(Fake)二者的组合词,该技术主要依托于“生成式对抗网络(Generative Adversarial Networks,GAN算法)”及自动编码机(Autoencoders)。具体而言,GAN算法上同时搭载着两个神经网络,即生成器与识别器,前者可基于一个数据库自动生成模拟该数据库中数据的样本,后者可评估生成器生成的数据的真伪,两者在互相博弈学习中产生大规模和高精确度的输出。而自动编码器则是一个人工神经网络,用于对输入数据进行重建以实现数据合成。随着深度合成技术的不断成熟和日益复杂化,无论是图像还是声音、视频都可以通过深度合成技术进行伪造或自动合成,且达到以假乱真的程度。
《深度合成服务规定》则在法律层面上,明确了深度合成技术的概念,即“以深度学习、虚拟现实为代表的生成合成类算法制作文本、图像、音频、视频、虚拟场景等信息的技术”,并且通过列举的方式明确了纳入规制范围的技术种类。我们在此对各类深度合成技术在实践当中的运用场景加以总结:
从以上定义不难看出,监管机构并未采取穷尽列举的方式,这是由于深度合成技术处于不断发展、持续演进的过程中,而《深度合成服务规定》所采取了“概念+分类”的定义方式既能够概括说明深度合成技术的特点,又能够通过具体的示例具象化相关技术手段。我们理解,深度合成技术的特点包括:
实务研究
Practical Research
44
- 高度技术化:高质量、高仿真的深度合成技术需要大量的专业技术人员和专业工具参与;
- 应用领域广:高度仿真能力的深度合成技术已经广泛应用在影视、娱乐、教育、医疗、社交、电商、内容营销、艺术创作、科研等诸多领域中;
- 发展潜力大:随着深度合成技术工具的不断发展,深度合成内容的应用规模和使用范围也变得更大,内容的说服力也更强。
02深度合成技术的监管背景
在数字化社会,以算法为核心、以数据为资源、以平台为基础的发展格局逐步形成,这一新型网络格局涵摄政治、经济、文化与社会发展的数字化生态,塑造出以数据和算法为基础的新型法权关系,为法律制度和司法体系带来极大冲击和 “破窗性” 挑战。作为第四次工业革命和数字经济发展的核心驱动力之一,算法所带来的变革需要法律予以回应。具体而言,算法的广泛应用可能引发歧视性风险、责任性风险,以及误用和滥用风险等极具挑战性的治理风险。[9] 具体到深度合成领域,对深度合成技术的不当使用可能导致一系列治理风险,最为核心的三种风险是技术异化风险、信息失真风险和数据泄露风险。
技术异化是指对技术的使用脱离了其“以人为本”的初衷。例如,“AI换脸”技术诞生的初衷是出于娱乐目的,但逐渐变成了“色情复仇”的手段。2017年12月,名为“Deepfake”的账号在社交新闻网站Reddit上发布了一段利用人工智能技术将名人面孔合成的色情视频,受害者皆为知名女性艺人。即便Reddit随即禁止未经同意使用人工智能将他人面孔植入色情视频和图像,深度合成技术依然引发了社会的强烈关注。此后,随着深度合成技术在知名开源及私有软件项目的托管平台GitHub被开源以及各软件开发爱好者对其代码进行不断迭代与改良,该技术在精准度不断提升的同时,其造成的恶劣影响也在不断扩大与加深。2019年12月全网共有14678个深度合成视频,其中96%属于色情性的深度合成视频,主要存在于色情网站。
信息失真是指深度合成技术可能导致假新闻泛滥,扰乱视听甚至导致真相终结。由于深度合成技术的核心在于“以假乱真”,因此通过深度合成技术伪造的消息往往不会令人起疑,这使得当真假消息同时出现时,社会公众往往无法辨认其真实性。美国大法官霍姆斯曾经在Abrams v. United States案中提出“观念市场”(marketplace of ideas)的概念,即真理和谎言同在自由的信息空间中传播,通过一系列竞争与辩论,真相终将胜利。然而,在互联网领域,考虑到网络传播的开放
性、匿名性、交互性、复杂性和主观性,真假难辨的信息可能导致观念市场的失灵,从而使得真相进一步消弭。尤其是,当公众长期处于观念市场失灵的社会环境中,容易导致政府公信力下降,从而引发信任危机。
个人信息等数据泄露是深度合成技术最为直接的风险。以常见的“AI换脸”技术为例,该技术服务自上线起,关于其“侵犯隐私”的质疑便层出不穷。为此,2019年9月,工信部约谈了某AI换脸服务提供商,要求其组织开展自查整改,依法依规收集使用用户个人信息,规范协议条款,强化网络数据和用户个人信息安全保护。此外,国家网信办、公安部于2021年3月18日指导地方网信部门、公安机关依法约谈了11家未履行安全评估程序的语音社交软件和涉深度伪造技术的应用开发企业。此外,考虑到深度合成技术可能带来的巨大风险,《中华人民共和国民法典》第1019条明确规定,任何组织或者个人不得以丑化、污损,或者利用信息技术手段伪造等方式侵害他人的肖像权。
综上所述,综合考虑深度合成技术的广泛应用及其可能带来的一系列治理风险,通过专门的监管文件对其进行规制存在合理性和必要性。
实务研究
Practical Research
45
03 境外立法现状
美国是对深度伪造技术最早开展治理的国家之一,且相关治理行动也较为积极。总体而言,多项联邦及州立法就深度合成技术的应用提出了不得制作与发布政治干扰、色情报复等犯罪及侵权内容与信息、对深度合成内容与信息进行披露与标记、鼓励监测及鉴别技术工具的研发、获得他人同意等规制要求,违反者或面临包括罚款、监禁等行政或刑事责任。以下我们就联邦层面与州层面的部分立法进行分别举例说明:
- 《恶意深度伪造禁止法案(Malicious Deep Fake Prohibition Act of 2018)》,该法案规定,为引发联邦法、各州法或地方法所规定的犯罪和侵权行为而制作深度伪造内容者,以及在明知有关视听记录内容为深度伪造的前提下,为引发联邦法、各州法或地方法所规定的犯罪和侵权行为而分发该视听记录内容者,将面临罚款及高达2年监禁的刑事责任;如果前述行为导致联邦、各州或地方,包括选举、外交关系处理在内的任何行政、司法及立法程序遭受影响的,或者出现煽动暴力的情况的,违法者还面临罚款及高达10年监禁的刑事责任。
1.美国
- 《深度伪造报告法案(Deepfake Report Act of 2019)》,该法案要求国土安全部以深度合成技术、种类及其演变情况,深度学习技术成果的应用场景、风险及益处,美国非政府组织将如何使用深度伪造技术,外国政府利用深度伪造技术对美国国家安全及个人权益所可能造成损害,以及应对深度伪造技术的策略等内容为主题,在本法案生效后一年内出具报告,并在此后以5年为频率再度提供报告。
- 《深度伪造责任法案 (Deep Fakes Accountability Act)》,该法案要求任何创建深度伪造视频媒体文件的人,必须用“不可删除的数字水印以及文本描述”,对相关媒体文件属于篡改或生成的这一情况进行披露,违反者将面临罚款、最高五年监禁或两者并用的刑事责任。
- 《识别生成对抗网络法案(Identifying Outputs of Generative Adversarial Networks Act))》指示美国国家科学基金会和美国国家标准与技术研究院,为可对生成对抗网络或其他合成操纵技术所输出的内容和信息的真实性进行检查、验证的技术工具的相关研究进行支持。
- 《2018-2020财年情报授权法 (Intelligence Authorization Act for Fiscal Years 2018, 2019, and 2020)》指示国家情报总局通过举办相关竞赛计划并颁发奖项的方式,刺激与鼓励那些用于检测机器学习技术所创建的虚假音视频的技术的研究、开发及商业化进程。
- 《2020财年国防授权法案(National Defense Authorization Act For Fiscal Year 2020)》则要求国家情报局负责人在该法案生效后的180日内,就潜在的影响国家安全的深度伪造技术、以及为外国用以实施传播虚假信息等恶意行为的深度伪造技术的潜在与实际影响,向国会情报委员会进行汇报;此外,该法令还指示以实施技术竞赛并提供奖励的方式,刺激深度伪造技术监测工具的进一步开发与商业化。
在州一级层面,作为美国首批将未经同意的深度合成图像及视频分发行为作为刑事犯罪的州之一,弗吉尼亚州2019通过修订《非同意色情法案(Nonconsensual Pornography Law)》,将制作、分发裸体或性视频或图像,以恐吓、威胁他人的“复仇色情(Revenge Porn)”行为定义为1级轻罪,违反者面临最高12个月的监禁和2500美元的罚款。美国加州在《AB-602法案(Assembly Bills 602)》中明确禁止未经个人同意对其面部图像进行编辑的行为,而《AB-730法案(Assembly Bills 730)》则为防止选举中出现误导性,将制作、传播对政客产生负面影响的虚假恶意音视频的行为视为犯罪。
实务研究
Practical Research
46
总体而言,欧盟对深度合成技术的治理尚未系统建立,但《人工智能法案(Artificial Intelligence Act)》将深度伪造列为“高风险”人工智能技术,欧洲议会认为该归类的合理性来自于深度合成技术对个人基本权利及安全的威胁。因此,一方面,深度伪造技术的提供者需要面临包括但不限于遵守风险评估、记录、人工监督与确保高质量的数据集等规制要求,另一方面,在鼓励监测技术开发的基础上,深度合成技术的应用面仍应当受到限制。欧盟境内有关深度伪造的规定或意见主要为:
- 《人工智能法案(Artificial Intelligence Act)》,该法案规定,对于生成的或操作的、与真实内容明显相似的图像、音频或视频内容,提供者应有义务披露该内容是通过自动方式生成的。
- 《应对线上虚假信息:欧洲方案(Tackling online disinformation: a European Approach)》,该意见总体上提出改进信息来源及提供信息传播透明性的目标,并强调了假新闻和虚假信息对各级政府构成共同威胁,总体上鼓励政府开展媒体素养运动,以防止假新闻和虚假信息的传播。
- 《欧盟通用数据保护条例(General Data Protection Regulation)》,从原则上禁止处理可以识别自然人的生物数据,除非是获得个人关于在特定处理目的下的明确同意等其他法定基础。[27]并且,数据主体有权获得关于自动化决策所得出决定的解释性说明。
2.欧盟
实务研究
Practical Research
47
04《深度合成服务规定》主要规定内容
《深度合成服务规定》第二条规定,中华人民共和国境内应用深度合成技术提供互联网信息服务,以及为深度合成服务提供技术支持的活动,适用本规定。总体而言,《深度合成服务规定》的治理规则根植于国家此前提出的互联网信息服务与算法治理的总体思路,但又以深度合成技术及相关互联网信息服务应用场景的特点为基础,演化出更加个性化、具象化、细节化的治理规则。
就深度合成服务中相关主体的义务问题,《深度合成服务规定》作出了明确规定。一方面,鼓励相关行业组织加强行业自律,建立健全行业标准、行业准则和自律管理制度,督促指导深度合成服务提供者制定完善服务规范、加强信息内容安全管理、依法提供服务并接受社会监督;另一方面,《深度合成服务规定》还分别对深度合成服务提供者、深度合成服务使用者及应用商店服务提供者等主体的义务予以释明。
1.深度合成服务提供者义务
根据《深度合成服务规定》规定,深度合成服务提供者作为法定的信息安全责任主体,除了需要满足遵守法律法规,尊重社会公德和伦理,坚持正确政治方向、舆论导向、价值取向,促进深度合成服务向上向善,以及不得利用深度合成服务从事危害国家安全、破坏社会稳定、扰乱社会秩序、侵犯他人名誉权、肖像权、隐私权、知识产权等合法权益等法律法规禁止的活动。我们理解,深度合成服务提供者需要遵守信息内容治理义务、数据安全保障义务及算法技术合规义务。
(1)信息内容治理义务
a.建立深度合成信息内容标识管理制度
《网络音视频信息服务管理规定》提出,网络音视频信息服务提供者和网络音视频信息服务使用者利用基于深度学习、虚拟现实等的新技术新应用制作、发布、传播非真实音视频信息时,应当以显著方式予以标识的要求;《互联网信息服务算法推荐管理规定》亦规定,算法推荐服务提供者发现未作显著标识的算法生成合成信息的,应当作出显著标识后,方可继续传输。我们理解,前述规定针对生成合成类信息内容仅提出了概括性的标识义务规定。相对而言,此次《深度合成服务规定》则就深度合成服务提供者对深度合成信息的标识义务提出更为具体规定,要点包含:
- 标识不应当影响用户使用:深度合成服务提供者对使用其服务所制作的深度合成信息内容,应当通过有效技术措施在信息内容中添加不影响用户使用的标识,依法保存日志信息,使发布、传播的深度合成信息内容可被自身识别、追溯。
- 使用显著方式进行标识或提供进行标识的功能:首先,对生成或者显著改变信息内容的深度合成信息内容,如智能对话、智能写作、合成人声、仿声、人脸生成、人脸替换、人脸操控、姿态操控等虚拟人物图像、视频、沉浸式拟真场景应当使用显著方式进行标识,向社会公众有效提示信息内容的合成情况;其次,对其他深度合成信息内容,应当提供进行显著标识的功能,并提示使用者可以自行标识。
- 停止传输未标识的信息内容:深度合成服务提供者发现深度合成信息内容未进行显著标识的,应当立即停止传输该信息,按照规定作出显著标识后,方可继续传输。
与美国《深度伪造责任法案》类似,《深度合成服务规定》的规定也强调了深度合成内容的标识义务。但值得注意的是,《深度伪造责任法案》中该义务的主体为内容制作者,即深度合成技术的使用者,而《深度合成服务规定》则将该义务聚焦于深度合成服务提供者。考虑到深度合成服务提供者大多数情况可能属于平台型企业,《深度合成服务规定》承继了互联网平台监管的思路,通过对平台责任的设
实务研究
Practical Research
48
置,进一步降低深度合成服务使用的风险。但值得关注的是,与信息内容管理等平台责任不同的是,视频、音频、文字等内容的真实性判断与鉴别所要求的技术和审查能力可能更高。如何平衡在隐蔽性更强、技术要求更高的深度合成领域平衡平台责任和新型平台发展将值得我们进一步思考。
b.加强深度合成信息内容管理
就网络信息内容的治理方案而言,《网络信息内容生态治理规定》第八条针对所有网络信息内容服务平台提出了“履行信息内容管理主体责任,加强本平台网络信息内容生态治理,培育积极健康、向上向善的网络文化”的总体要求,并通过第九条、第三十四条为网络信息内容的治理工作设置了一套整体生态治理机制,即:信息发布审核、跟帖评论审核、版面页面生态管理、实时巡查、应急处置和网络谣言、黑色产业链信息处置等制度,并对违规者采取警示整改、限制功能、暂停更新、关闭账号等处置措施,及时消除违法信息内容,保存记录并向有关主管部门报告。《深度合成服务规定》再次巩固了深调深度合成服务提供者的前述管理责任,具体举措为:
- 深度合成信息内容审核,即采取技术或者人工方式对深度合成服务使用者的输入数据和合成结果进行审核。
- 建立违法内容特征库,即建立健全用于识别违法和不良深度合成信息内容的特征库,并完善入库标准、规则和程序。
- 采取违规处置措施,即对违法和不良信息依法采取相应处置措施,并对相关深度合成服务使用者依法依约采取警示、限制功能、暂停服务、关闭账号等处置措施。
c.建立辟谣、申诉与公众投诉机制
当发现深度合成信息服务使用者利用深度合成技术制作、复制、发布、传播虚假信息的,深度合成服务提供者应当及时采取相应的辟谣措施,并将相关信息报网信等部门备案;另外,还应当设置便捷有效的用户申诉和公众投诉、举报入口,公布处理流程和反馈时限,及时受理、处理并反馈处理结果。前述要求在《移动互联网应用程序信息服务管理规定》《网络音视频信息服务管理规定》《互联网信息服务算法推荐管理规定》等规定中同样有迹可循。
(2)数据安全保障义务
a.建立健全信息安全制度
《深度合成服务规定》总体上要求深度合成服务者设立用户注册、数据安全与个人信息保护、未成年人保护、从业人员教育培训等管理制度,并采取具有与新技术新应用发展相适应的安全可控的技术保障措施。前述规定可被视为是我国《网络安全法》《数据安全法》《个人信息保护法》《网络信息内容生态治理规定》等网络安全及数据保护规范的呼应。
实务研究
Practical Research
49
b.提示深度合成服务使用者获得个人信息主体的单独同意
作为《深度合成服务规定》的亮点之一,深度合成服务提供者被要求在提供人脸、人声等生物识别信息的显著编辑功能时,应当提示深度合成服务使用者依法告知并取得被编辑的个人信息主体的单独同意。《个人信息保护法》第二十九条规定,处理敏感个人信息应当取得个人的单独同意。而生物识别信息作为敏感个人信息,对该等信息的处理行为应当获取用户的单独同意,而深度合成服务提供者的提示义务则旨在促使使用者获取被编辑主体的单独同意。我们理解,该规定不仅是《个人信息保护法》就个人生物识别信息的特殊要求在深度合成服务下所衍生出的应然要求,在实践层面,此举也将有效控制此前因攫取与滥用人脸数据而产生的非法获取个人信息、侵害个人隐私、敲诈勒索、散布虚假消息等社会问题。
c.加强训练数据管理
《深度合成服务规定》首次对深度合成服务提供者提出加强训练数据管理的义务,以确保数据处理合法、正当,采取必要措施保障数据安全。尤其是,该规定强调当训练数据包含涉及个人信息数据的,还应当遵守个人信息保护有关规定,不得非法处理个人信息。
此前,工业和信息化部办公厅发布《新一代人工智能产业创新重点任务揭榜工作方案》,一方面指出到2020年基础语音、视频图像、文本对话等公共训练数据量大幅提升的趋势,另一方面鼓励在工业、医疗、金融、交通等领域汇集一定规模的行业应用数据,用于支持创业创新。在此基础上,对个人信息在内的大量训练数据的使用将触发一系列合规管理义务。因此我们理解,《深度合成服务规定》此处对训练数据管理的规定,不仅是对国家互联网信息内容治理及个人信息保护工作所进行响应,也是对前述合规管理义务的回应,从源头上、最大化避免因训练数据的大面积使用对个人信息所造成的风险,并减少后期治理的成本。
d.履行制定与公开管理规则和平台公约
《网络信息内容生态治理规定》总体上对所有网络信息内容服务平台提出了“制定并公开管理规则和平台公约,完善用户协议,明确用户相关权利义务,并依法依约履行相应管理职责”的要求。此次《深度合成服务规定》第八条,不仅重申“应当制定并公开管理规则和平台公约,完善服务协议”,还特别提出“以显著方式提示深度合成服务使用者信息安全义务”的要求。另外,《网络数据安全管理条例》第四十三条对互联网平台运营者提出了建立与数据相关的平台规则、隐私政策和算法策略披露制度,从而保障平台规则、隐私政策、算法公平公正的合规要求。我们理解,考虑到当前监管部门对平台算法治理的重视,不排除前述“公开管理规则与平台公约”包含算法策略的可能性。
值得注意的是,我们理解《深度合成服务规定》第二条规定的“深度合成服务提供者”同时包含“提供深度合成服务的主体”以及“为深度合成服务提供技术支持的组织”
实务研究
Practical Research
50
两种主体。因此,对于仅提供深度合成技术支持的技术提供商而言,考虑到其并不会直接面向用户,其是否仍属于“网络信息内容服务平台”,以及是否同样需要根据此第八条的规定以落实公开管理规则和平台公约的管理职责,或需要相关法律法规作进一步的说明。
e.认证用户真实身份
实名认证义务是《网络安全法》所规定的基本义务。网络运营者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。考虑到深度合成技术与信息发布关系密切,《深度合成服务规定》强调深度合成服务提供者应当依法对深度合成服务使用者进行真实身份信息认证。类似地,《网络音视频信息服务管理规定》要求网络音视频信息服务提供者基于组织机构代码、身份证件号码、移动电话号码等方式对用户真实身份信息进行认证,而《互联网宗教信息服务管理办法》就互联网宗教信息传播平台与平台注册用户签订协议、核验注册用户真实身份信息等义务作出规定。
(3)深度合成服务提供者的算法技术合规义务
a.建立健全算法机制机理审核
2021年9月17日,《关于加强互联网信息服务算法综合治理的指导意见》在“积极开展算法安全评估”部分提出了“组织建立专业技术评估队伍,深入分析算法机制机理”的要求。《互联网信息服务算法推荐管理规定》也规定了算法推荐服务提供者应当落实算法安全主体责任,建立健全算法机制机理审核、科技伦理审查的义务。此次《深度合成服务规定》就相同义务对深度合成服务提供者进行了重申,这也是“以人为本”的科技施政理念的体现。
b.安全评估义务
《网络音视频信息服务管理规定》要求网络音视频信息服务提供者基于深度学习、虚拟现实等新技术新应用上线具有媒体属性或者社会动员功能的音视频信息服务,或者调整增设相关功能时均需开展安全评估。《网络数据安全管理条例》也概括性地要求利用人工智能、虚拟现实、深度合成等新技术开展数据处理活动的互联网平台运营者,应按照国家有关规定进行安全评估。相比前述规定,《深度合成服务规定》进一步明确需要开展安全评估以预防信息安全风险的触发情形,即:
- 提供具有对人脸、人声等生物识别信息或者可能涉及国家安全、社会公共利益的模型、模板等工具的;
- 开发上线具有舆论属性或者社会动员能力的新产品、新应用、新功能的。
我们理解,由于深度合成技术的概念十分广泛,若对所有涉及应用深度合成技术的算法与服务开展安全评估,可能对相关服务提供者施加较重的合规义务,《深度合成服务规定》之要求在一定程度上缓解了深度合成服务提供者的合规压力。
实务研究
Practical Research
51
c.履行算法备案手续
此次,《深度合成服务规定》规定,深度合成服务提供者应当按照《互联网信息服务算法推荐管理规定》的有关规定,在提供服务之日起十个工作日内履行备案手续。而根据《互联网信息服务算法推荐管理规定》,具有舆论属性或者社会动员能力的推荐算法服务提供者应当履行备案手续。具体而言,算法服务提供者需要通过算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息。然而,我们理解,该规定是否表明深度合成技术算法将被直接归类于具有舆论属性或者社会动员能力的算法,可能还具有一定争议。
自2021年9月,国家发布《关于加强互联网信息服务算法综合治理的指导意见》,对开展算法备案工作提出了“建立算法备案制度,梳理算法备案基本情况,健全算法分级分类体系,明确算法备案范围,有序开展备案工作”的指导方向后,“算法备案”开始成为热议话题。我们理解,备案制度为监管机构提供了从源头开展算法治理和监督工作的切入点,是国家所提出的“推动治理原则贯穿人工智能产品和服务全生命周期,对未来更高级人工智能的潜在风险持续开展研究和预判,确保人工智能始终朝着有利于社会的方向发展”的“敏捷治理”方式的重要表现形式。
2.其他主体
《深度合成服务规定》还就深度合成服务使用者与应用商店服务者所应当承担的义务进行了说明。
对于深度合成服务使用者而言,其仍应当履行遵守法律法规,尊重社会公德和伦理,坚持正确的政治方向、舆论导向、价值取向,促进深度合成服务向上向善的总体义务。同时,使用者还需配合深度合成服务提供者履行真实身份信息认证义务,针对于违规者,深度合成服务提供者将拒绝为其提供信息发布服务。另外,深度合成服务使用者有义务在使用人脸、人声等生物识别信息的显著编辑功能前,取得被编辑的个人信息主体的单独同意。我们理解,虽然该义务属于服务使用者,但服务使用者往往是以用户的身份使用具有深度合成功能的应用软件。因此,在该场景下如何帮助服务使用者合规地获取他人的单独同意便成为服务提供者在应用设计和开发过程中需要考虑的问题。
针对互联网应用商店服务提供者,其主要义务为履行安全管理责任,即依法依约核验深度合成应用程序的安全评估、备案等情况,对违反国家有关规定的,应当及时采取不予上架、暂停上架或者下架等处置措施。我们理解,上述规定与《移动互联网应用程序信息服务管理规定》等文件中规定的“督促应用程序提供者履行信息保护”“发布合法信息及发布合法应用程序”等信息安全的管理责任相呼应,在深度合成技术服务领域强调互联网应用商店服务提供者的义务。
实务研究
Practical Research
52
《深度合成服务规定》是我国互联网信息服务治理、人工智能与算法治理的宏观版图中的重要组成部分。面对新技术的挑战,《深度合成服务规定》一方面表明了政府与监管者所采取的审慎包容的态度,另一方面,也同时展现了在以人为本、有序治理的大前提下,国家对新型技术的支持。总体而言,我们认为《深度合成服务规定》在以下三个方面有着重要意义:
1.由点及面的立法布局
当前在数据保护领域,我国已出台一系列法律法规和国家标准,以全方位规制数据的全生命周期。然而,相较于数据立法,我国在算法层面出台的文件数量有限。但从目前已出台的《数据安全法》《个人信息保护法》《深度合成服务规定》以及《互联网信息服务算法推荐管理规定》等文件,可以管窥监管机构由点及面的立法布局。具体而言,从整体上看,《数据安全法》第28条提出,开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理;同时,《个人信息保护法》《电子商务法》等也就自动化决策等算法问题进行规定,上述法律法规构成算法治理的核心要求。而目前针对推荐算法、深度合成技术等新兴技术的立法则旨在从具体的应用场景出发,规制特定的算法类型。不同监管文件之间环环相扣,形成紧密的逻辑链条。待未来相关法规逐渐丰富,多维谱系的法律法规能够使监管机构使用多种监管工具全方位、多层次地对算法问题进行规制。
2.以人为本的监管思路
为了防止技术的异化风险,算法服务提供者和技术支持者应当始终将技术创新和以人为本作为根本目的。因此,倡导“科技向善”成为推动数字社会福祉最大化的必然要求。2019年,国家新一代人工智能治理专业委员会《新一代人工智能治理原则——发展负责任的人工智能》提出了和谐友好、公平公正、包容共享、尊重隐私等原则。许多科技企业也相继发布有关人工智能治理方面的白皮书,明确人工智能在安全、 隐私、 公平等方面的伦理原则,还有企业成立了人工智能道德委员会,以期解决人工智能和算法带来的道德风险。而《深度合成服务规定》对“尊重社会公德和伦理,坚持正确政治方向、舆论导向、价值取向,促进深度合成服务向上向善”的强调,正是以人为本的“科技向善”的体现。
3.敏捷治理的监管策略
从监管策略上看,《深度合成服务规定》在一定程度上体现出“敏捷治理”的基本思路。首先,《深度合成服务规定》明确了算法备案、审核、评估等制度,算法备案制度和安全评估制度是实现敏捷治理目标可优先考虑的制度设计,一方面可以让
实务研究
Practical Research
53
05 重要意义
监管机构及时了解算法的具体内容,另一方面能够提高深度合成服务提供者的责任意识和安全意识。此外,《深度合成服务规定》还规定了深度合成技术的监管机构与相关法则,即:国家网信部门与地方网信部门负责统筹协调全国及各行政区域内的深度合成服务治理和相关监督管理工作,并规定违反相关规定者可能面临警告,责令限期改正,一万元以上十万元以下罚款等处罚方式,或依法承担民事责任、治安管理处罚及刑事责任。我们理解,上述中央与地方统筹协调、协同治理,多种惩罚手段并用的方式同样是敏捷治理的体现。
相较于传统由政府作为治理主体的单一治理方式,敏捷治理所提倡的多主体参与的多元治理能够进一步完善算法规制策略。对于将深度合成技术作为驱动商业利益的重要依托的服务提供者而言,在敏捷治理的背景下,除应当注意“慎始而后行”,还可以进一步探讨如何在合规前提下尽可能激发深度合成技术的商业潜力。换言之,深度合成服务者除了被动履行《深度合成服务规定》所规定的,包括但不限于信息安全主体责任、深度合成信息内容标识、审核深度合成信息内容、建立健全算法机制机理审核机制、加强训练数据管理及履行自评估等义务外,还可相应积极推动检测识别技术的研发、检测标识和标注工具的开发等配套技术,同监管机构一同促进深度合成技术的妥善运用,在防范风险的同时为对抗性技术和鉴别技术的发展提供计划。
实务研究
Practical Research
54
对于深度合成领域的新监管要求是迎接数字社会发展挑战的一次重要尝试,可以预见的是,对于数字社会中“虚实”和“真伪”的事实辨别和价值判断将是动态变化的过程。正所谓 “假作真时真亦假,无为有处有还无”,我们对数字社会治理规则的发展应当抱有积极开放的心态和审慎的精神,在追求社会发展和人性进步的历程中,恪守本心。
(全文完)
结语
如果从内地法的角度来看,法团印章可以理解为香港公司的“公章”。法团印章,俗称“钢印”。
图一:法团印章形状 图二:印章印记
法团印章名称须与公司注册处登记的一样,不可将公司中文名称繁体改为简体,也不可以缩写。根据新《公司条例》,香港公司不是必须备有法团印章。实践中比较少见在签署一般性合同/文件的程序中使用法团印章,而仅在签署如契据(Deed)这种非常严肃的文件时法团印章才可能被使用,如不动产买卖合同、股权转让合同、抵押合同、借款合同、股票和其他证券等法律明确规定须盖印章的情形:
1.法团印章(Common Seal)
香港公司印章使用介绍
企业合规
CORPORATE COMPLIANCE
55
编辑:恺英网络法务部 何钦
- 对于备有法团印章的公司,使用法团印章程序必须按照公司章程规定办理。(例如:部分香港公司的章程会要求须至少两位董事签署或一位董事及公司秘书共同签署或出具董事会决议后,方可加盖法团印章)。如果对方公司采用法定范本[ 香港以立法形式提供了一份标准章程范本——新公司条例第622H章《公司(章程细则范本)公告》。],使用法团印章时,除盖章行为外,还需两名董事签字,或者一名董事及一名公司秘书[ 公司秘书指的是一个公司的高管职位,如果由个人担任,则必须经常居住在香港;如果由法人担任,则必须是一家香港公司。]签字,或者一名董事及一名董事授权的人签字。法团印章的使用应记录在册。
- 对于没有法团印章的公司或有法团印章但未加盖的,则由两名董事签字或一名董事加公司秘书签字(如果公司有两名或以上董事),或一名董事代表公司签字(如果公司只有一名董事),然后在文件中说明是由有关公司签立的文件具有效力,这样做就如同已加盖法团印章一样。
127.公司签立文件
(1)公司可藉盖上其法团印章,签立文件。
(2)公司如藉盖上其法团印章签立文件,该印章须按照其章程细则的条文盖上。
(3)公司亦可藉以下方式,签立文件——
(a)(如属只有一名董事的公司) 由该董事代表该公司签署该文件;或
(b)(如属有2名或多于2名董事的公司) 由以下人士代表该公司签署该文件:
(i)该2名董事或任何2名该等董事;或
(ii)该公司的任何董事及该公司的公司秘书。
企业合规
CORPORATE COMPLIANCE
56
正式印章是公司可以选择拥有的法团印章的复制本(replica),也是一个钢印,正式印章有两种用途:
(1)在香港以外的地方使用正式印章
正式印章适用于持有法团印章的公司打算在香港以外的地区使用法团印章,又不方便带出香港的情况。根据《公司条例》第125条规定,该印章必须同时刻上公司的名称和使用地点字样即“仅在XX使用”。
(2)在公司发行的证券上使用的正式印章(证券印章)
证券印章也是法团印章的复制品,但仅用于加盖股票或其他证券。证券印章必须刻有“securities”或“证券”字样。实践中,大部分香港私人公司都会在股票上加盖法团印章,以致很少使用证券印章
2.正式印章(Official Seal)(实践中少见)
企业合规
CORPORATE COMPLIANCE
签名印章也称“长条章”,是一个长条方形的原子印,上面刻有英文字样“For and on behalf of”(代表),下起一行标注公司中英文名称,以及签名线以供签署,签名线下方标注“Authorized Signature(s)”(授权的签署),中间部分专供被授权人签字。
签名印章必须配合被授权人的签字方能生效,即其上刻的“Authorized Signature(s)”字样横线处须由经公司授权的董事或其他人士签署。注意:如只是盖上签名印章,签名处无被授权人签名,文件不具法律效力。
图三
3.签名印章(Signature Chop)
57
新《公司条例》第121条第(3)款规定,香港公司签订一份非契据的普通书面合同,只要“由任何获该公司授权(不论明示或暗示)行事的人签署(signed by any person acting with the company’ s authority (whether express or implied))”即可。因此,有两类人可以代表公司签署普通合同:
其一,公司的任何一位董事可以作为默示获授权人签字;
其二,任何获得公司明确书面授权的人可以作为明示获授权人签字。这个授权书也是一份契据,需要满足契据的形式要件(按照公司章程的约定,加盖法团印章,也可由两位董事,或一位董事加公司秘书签署;仅有一位董事的公司,可以由此董事单独签署)。
因此与香港公司签订合同,在加盖签名印章的过程中,需对下列内容进行审核:
- 通过公司的“周年申报表(annual return)”核查签字人是否公司董事,或
- 核查公司是否有授权该人签字的董事会决议或授权书。
企业合规
CORPORATE COMPLIANCE
58
图四
香港公司的小圆章规格为直径为21mm的圆形,排版方式通常为双边加内圈,外圈为公司英文名称,加*号,内圈则为公司的中文名称。小圆章的颜色多为蓝色或紫色。
4.小圆章(Company Chop)
实际上,它在《公司条例》中不具备法律地位,也不需要备案或登记。在香港法律下,加盖小圆章并不当然约束公司,它的作用仅是作为公司行为的一种证明,公司通过加盖小圆章表明某个行为是公司做的。在香港一般日常使用圆印章的场合包括:公司的进货单、对账单、付款凭证、收据的发出或是已签署合同的字词纠错等,证明公司知悉该等事实;加盖在合同文本的修改处,证明这个修改是公司所为。(另,还有一种椭圆章作用与小圆章一致。)
因我国内地企业使用的公章通常为圆形印章,且根据内地法律合同中加盖印章即可成立并生效,故实践中当香港公司在内地进行交易、签订合同时常会出现仅加盖小圆章的情形。司法实践中,此种情形下有法院认为香港公司签署合同的形式不符合香港《公司条例》的相关要求,合同无效[ 山东融世华租赁有限公司与济宁港宁纸业有限公司等融资租赁合同纠纷([2014]济商初字第312号)。]。也有法院认为,如果合同已经实际履行,则即使当事人在合同上的签字或盖章不符合相关法律规定,通常也不影响合同有效[ 广东建滔积层板销售有限公司与伟硕电子(深圳)有限公司合同纠纷([2018]粤0391民初2255号)。]。一般来说,当双方过往交易中长期以小圆章作为“公章”使用,根据诚实信用原则,认定为加盖小圆章即是公司的真实意思表示,对公司具有约束力。
因此,大陆法院对于香港公司加盖印章的效力的认定标准并不统一,部分法院的认定标准比较宽松,即使没有按照香港法律规定加盖法团印章或没有适格人员签字,只要能够认定是双方真实意思表示,法庭仍然倾向认定合同有效。尽管如此,出于谨慎,在与香港公司进行交易时,仍应注意其文件签署的形式,避免因盖错印章(且未经适格人员签字)导致纠纷甚至合同无效的风险。
以上总结如下表:
企业合规
CORPORATE COMPLIANCE
59
企业合规
CORPORATE COMPLIANCE
60
(全文完)
61
平台收集、使用个人信息的边界到底在哪?
来源:公众号“星瀚微法苑"
相信每个人都曾经点开过一份《用户协议》或《隐私协议》——当你看到平台内的弹窗向你征询收集并使用某类个人信息时,你是否会迟疑甚至提出质疑?浏览某视频平台或购物平台的时候,你有没有发现自己喜欢看的视频、想买的商品铺满了平台首页?大数据时代下,平台往往比你自己更懂你,但其中也潜伏着危机。本期我们将跟大家聊聊2022年杭州互联网法院个人信息保护十大典型案例之一——某购物类APP自动化推荐应用纠纷案。在这个案件中,我们将一窥现行法律如何在个人信息自动化决策与个人信息权益保护之间寻求平衡。
基本案情介绍
原告在注册某购物类APP过程中发现,注册成功的前提是勾选“已阅读并同意《隐私权政策》及《用户协议》”。点开《隐私权政策》后,原告认为其中关于利用用户信息提供个性化推荐功能的条款,违反了《个人信息保护法》第16条和第24条的规定,侵犯了原告的个人信息权益,因此将该平台告上法庭。
企业合规
CORPORATE COMPLIANCE
法院审理后查明,案涉平台在《隐私权政策》中采取了首次运行时、用户注册时均提示用户是否同意隐私政策的事前概括同意机制,又通过在APP内部设置便捷的拒绝自动化推荐选项,使用户可以选择是否开启个性化广告和个性化推荐、是否删除浏览记录或搜索记录、选择搜索结果的筛选模式,对用户个人信息权益保障提供了事后选择机制。事前概括同意机制与事后选择机制的组合符合《个人信息保护法》第16条及第24条的规定,案涉购物APP利用个人信息进行自动化决策具有合法性基础。综上,被告公司未侵害原告个人信息权益,法院驳回了原告的诉讼请求。
本案中涉及了两项个人信息处理规则:告知同意规则与自动化决策规则。这两项规则是作为个人信息处理者的平台在对用户的个人信息进行收集、存储、利用等行为时需要尤其关注的规则。
企业合规
CORPORATE COMPLIANCE
62
告知同意规则
个人信息指的是以电子或者其他方式记录的、与已识别或者可识别的自然人有关的各种信息(不包括匿名化处理后的信息)。个人信息处理者,即是指对个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等单个行为或多个行为的主体。本文案例中,购物APP出于提供服务之目的,需要处理注册用户的个人信息,因此该购物APP的运营者(也称平台)即是法律上的信息处理者。
告知同意规则是个人信息保护的重要规则之一,它来源于美国1977年“惠伦案”(Whalen v. Roe, 429 U.S.589 (1977).)的信息隐私权以及德国1983年“人口普查案”(Volkszählungsurteil, BVerfG 65, 1)的个人信息自决权。随后这一规则逐渐在世界范围内个人信息保护立法中被采纳。我国《民法典》和《个人信息保护法》中也相应规定了处理个人信息的告知同意规则。
我国《个人信息保护法》第13条规定,除了基于履行合同义务、履行法定义务、应对突发公共事件等特定情形,信息处理者应当首先取得个人同意,才可处理个人信息。第14~17条进一步作具体规定,其中就包括个人拥有撤回与拒绝的权利(第16条),要求信息处理者不得以个人不同意或者撤回同意为由,拒绝提供产品或者服务,除非是信息处理者提供产品或服务所必须。
例如,购物APP为了提供给用户网购服务,需要收集并储存用户某些信息,包括联系方式、送货地址、付款信息等购物所必须的个人信息。但对于用户的教育信息、工作信息,这些并不是平台提供网购服务所必须的(除非是学生折扣或者特殊职业福利等促销活动),对于这些信息,平台在收集前必须要告知用户处理信息的目的以及方法,并另行取得用户的同意。
本文案例中,被告在注册界面提示用户阅读两份协议的行为,属于一种事前概括的告知同意,符合《个人信息保护法》的规定。但从实际效果来看,这种类型的告知同意是否可以免除平台的责任,仍有待商榷。
在真实的使用场景中,这类注册协议往往会陷入“无人读、不可读、读不懂”的尴尬境地,使得告知同意规则形同虚设。“一刀切”式的同意或不同意,是否是平衡个人信息利用与保护的最优解?目前采用的“注册前同意”实际上是一种隐性的择出机制(即默认接受,用户有选择拒绝的权利),若是采用针对不同个人信息类型的分项择入机制(即默认拒绝,用户有选择接受的权利),或许更有利于实现个人信息利用与保护的平衡。
企业合规
CORPORATE COMPLIANCE
63
自动化决策规则
所谓“自动化决策”,其实就是我们在各种APP中所享受到的个性化推荐服务,“大数据杀熟”这个叫法或许更为人所了解。显然,要实现个性化推荐,平台必须收集用户使用平台的各类信息,包括检索记录、浏览历史甚至可能希望获取其他与平台使用没有必然关系的用户个人信息。自动化决策确实能够优化用户使用体验的功能,但另一方面也给用户制造了“信息茧房”,并且某些平台还会利用个人信息给予用户不公平不合理的差别待遇(例如多次使用某项服务后,该服务会莫名开始涨价)。
为了规范信息处理者的自动化决策行为,《个人信息保护法》第24条规定:
第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
在本文案例中,法院认为平台在APP内部设置的事后选择按钮,在自动化决策信息处理中符合第24条的规定。但需要特别注意的是,事后选择按钮的设置既要维护用户拒绝的权利,也需要符合便捷性的要求;对于搜索结果的呈现,其筛选方式不仅只有“个性化”一种,应当允许用户可以根据自己的需要选择如“销量”、“价格”等标准。
企业合规
CORPORATE COMPLIANCE
64
判决书之外:技术应让每个人得到公平对待
《个人信息保护法》的出台显示出个人信息安全与保护越来越受到重视,但同时也给立法者抛出问题:如何在利用个人信息与保护个人信息权益之间取得平衡。本文案例正是司法在利用个人信息自动化决策与个人信息权益保护之间寻求平衡的一次尝试。囿于技术路径等各方面原因,该判决结果或许不是最理想的,但是已是目前所能实现的利用与保护个人信息之间的最佳平衡状态。
作为信息处理者,平台方应当熟悉《个人信息保护法》以及相关法律法规,严格按照法规制定平台规则、制定各类协议,合法合规合理处理好用户的个人信息。切忌耍小聪明,对于应当公示、告知用户的内容要及时公示告知,对其中关键语句通过加粗、下划线等形式进行显著标识;不能设置默认勾选“阅读并同意”选项,不能设置例如“输入手机号即同意”,上述行为均不被视为用户的真实意思表示,会给平台带来较大的合规风险。
作为平台服务接受方,用户可以通过多种途径,了解有关个人信息及其保护的法律规定,知道什么行为是平台应该做的,什么行为是平台不应该做的,什么权益是自己作为平台用户应当享有的。用户个人信息权益保护意识的提高也将在一定程度上促使平台更加规范地提供服务,由此形成一个行业生态的良性循环。
技术的创新与发展给现行法律带来了挑战。一条法律条文的制定与制定都并非易事;从静态的法律条文到动态的法律事件也困难重重,其中必然牵扯多方利益的权衡与平衡。但无论如何,技术没有对错,技术的进步最终应当实现社会上的每一个人、每一个群体都能得到公平公正的对待。
(全文完)
改革重塑独董生态 上市公司治理将步入新阶段
来源:公众号“证券日报之声”
上市公司独董制度改革大幕拉开。为贯彻落实《国务院办公厅关于上市公司独立董事制度改革的意见》(以下简称《意见》),4月14日,证监会就《上市公司独立董事管理办法(征求意见稿)》(以下简称《办法》)公开征求意见,《办法》从独董事前聘任、事中履职、事后责任认定等各环节具体要求进行明确。同时,沪深北交易所就相关规则征求意见,为实践提供详细的操作性指导。
“随着全面注册制的稳步推进,上市公司治理进入精细推进、精准发力的新阶段。”清华大学五道口金融学院副院长田轩对《证券日报》记者说,独董制度改革后,将改变以往独董独立性不强、专业性不足、履职不充分等市场形态,在权利意识、责任意识、风险意识的深层次觉醒中,带领我国上市公司治理走入与经济发展同频的高质量新阶段。在此基础上,独董制度将与多项市场改革政策形成“组合拳”,进一步引导上市公司优化公司治理结构,提升治理水平,促进上市公司长期健康高质量发展。
上市公司治理
CORPORATE GOVERNANCE
65
撕掉“花瓶”标签
打牢独立、专业根基
此次改革建立了独董资格认定制,全链条优化独董选任机制,要求独董切实具备独立性和专业性。
田轩表示,《办法》对独董资格认定要求更加详细,限制性条款更多。为保证独立董事独立性,增加了重大业务往来、提供实质性服务、原则上最多在三家境内上市公司担任独立董事等情况的排除性规定,并要求独立董事年度独立性自查。
66
上市公司治理
CORPORATE GOVERNANCE
“同时明确独董资格的申请、审查、公开等要求,加强资格认定工作,随着市场变化发展需要,可打牢独董独立性的根基,并进一步提升独董专业素质,彻底撕掉既不独立、又不‘懂事’的‘花瓶’标签,切实发挥独董制度在公司治理中的关键作用。”田轩进一步表示。
“独立董事的任职资格方面,更加强调了独立董事的履职能力,包括独立性、专业能力、履职时间等更加明确。特别是《办法》将独董的兼职家数由五家缩减为三家。此外,对于独立董事任职资格进行动态检查,有助于确保独立董事的独立性。”北京国家会计学院教授崔志娟对《证券日报》记者表示。
广西大学副校长、南开大学金融发展研究院院长田利辉在接受《证券日报》记者采访时表示,《办法》提出探索建立独董信息库,鼓励具有丰富的行业经验、企业经营管理经验和财务会计、金融、法律等业务专长且具有较高声誉的人士担任独董,这不仅能够有效拓宽优秀独董来源,而且可以逐步形成我国独董职业市场,进而推动独董管理的中国式现代化。
确保独董履职“落地”
未来可建立市场评价体系
此次改革明确了独董的职责定位,要求发挥参与决策、监督制衡、专业咨询三项功能,并突出监督作用,同时优化独董履职方式,增强独董履职保障。
“独立董事职责定位更加清晰。”崔志娟表示,《办法》明确了独立董事参与董事会决策要保护中小股东合法权益。独立董事履职监督的关键领域,包括关联交易、财务会计报告、重要人事任免、薪酬等,这与注册制改革相呼应,体现信息披露决策有效性的价值功能。
在独董履职方式优化方面,崔志娟表示,《办法》对审计委员会、提名委员会、薪酬与考核委员会的人员构成均要求独立董事占多数,且对财务报告、关联交易等重要事项的增加了独立董事事前认可机制,以便独立董事能够有效履行关键领域的监督职能。
67
上市公司治理
CORPORATE GOVERNANCE
在事中履职,田利辉认为,《办法》关键在于强调了履职方式的落实。《办法》提出了公司对于独董的必要支持措施,强调了独董的知情权,明确了独董聘用专业机构的费用问题,为独董履职提供必要的保障。未来,上市公司独董履职可以更为有效地获得必要信息,可以更为有序地获得必要的办公条件支持,可以更为有力地聘任第三方专业机构处理自身能力不足的问题。同时,未来的上市公司独董能够有效规避非其主观过错的责任。
“未来上市公司独董履职,需要严格落实相关规定。在此基础上,可以探索更加市场化的运作方式,进一步完善独董制度的激励相容安排,提升独董的责权利匹配度。如保障物质激励,提高独董待遇和话语权,强化精神激励,建立市场评价体系,促进独董职业的标准化和规范化,提高独董勤勉尽职的能力。”田轩表示。
压实责任同时精准追责
有效避免“寒蝉效应”
我国首例特别代表人诉讼案中,几名独董被判按比例承担连带赔偿责任,涉及金额过亿元,引起市场热议。《办法》在强调对独董不履职不尽责责任追究的同时,明确独董与非独董承担共同而有区别的法律责任。按照责权利匹配原则,针对性细化列举独董责任认定考虑因素及不予处罚情形,体现过罚相当、精准追责。
田轩表示,在明确“加大对独董不履职不尽责的责任追究力度”的前提下,《办法》也详细列举了独董能够证明存在相关情形的可以免于处罚。在厘清了独董监督、管理及行政责任的基础上,进行了权责平衡,加强了对于独董履职风险的保护,体现了过罚相当、精准追责,能够有效避免独董履职过程中的“寒蝉效应”。在有效降低独董连带风险的同时,能够在信心层面鼓励更多具备专业认识的人士,加入独董监督治理的队伍中,不断促进独董制度的成熟与完善。
“明确责任认定考虑因素及不予处罚情形,能够有效防止将独董的责任无限扩大化,防止专业独立人士由于独董权责不对等而有意规避,因特定事件出现独董离职潮。”田利辉认为,此次独董制度改革,不仅具有科学性,而且具有可行性,能够有效提升我国上市公司的公司治理水平。
(全文完)
扫码查看往期
增值电信业务经营许可证:陕B2-20210327 | 
陕公网安备 61102302611033号