_($0PXQFQ7Y(P~4838LJ_]L.png

管理培训搜索
18318889481 17875936848

合规
| 合规与政府管制

支付清算 监察稽核 机构合规 网络套路贷 稽察稽核 矿业法务 纪检监察 行政合规 巡视巡察 党风廉政 医药反腐 行政监督 党内法规

| 企业合规

消费者安全 数据安全审计 企业合规师 备案登记 劳动用工合规管理 知识产权合规 个人信息与隐私权保护 企业廉洁合规 经营合规 风险提示与预警信息 IPO合规 安全生产合规管理 企业合规典型案例 合同合规管理 企业合规实务 企业数据合规 企业刑事合规

| 网络安全与隐私保护

网络犯罪 人工智能合规 网络安全 新基建安全资讯 保密科技 数据合规 元宇宙合规 数字合规 网络与数据法学 电信网络诈骗 区块链合规 信息与网络安全 网络不正当竞争 数字贸易合规 数据出境合规 互联网合规

| 法证会计与反舞弊

法证会计 涉案企业合规 调查及法证会计 舞弊审计 金融科技合规 司法会计 价格舞弊

| 反洗钱与制裁合规

反洗钱知识系列宣传 经济制裁和出口管制 反洗钱中心

| 反垄断中心

反垄断合规 竞争法(反不正当竞争、反垄断)

| 企业合规管理咨询

上市公司合规管理 税务合规 企业合规管理 商业秘密 财务合规 商业合规 内控资讯 合同法律 信息披露风险 公司法实务 人力资源合规 信用规制 知识产权合规 合规尽职调查 内控稽查 内部控制和风险管理合规 会计监管风险 税务异常处理 税务检查应对

| 合规中心

征信合规 涉税合规 经济犯罪案例 合规文化主题月 劳动与人力资源合规 合规运行报告 网络直播合规 信用合规 刑事合规管理 工程合规与舞弊调查 涉案企业合规 安全审计 合规科技 劳务派遣合规 采购合规 财务风控 招投标合规

| 转创全球企业合规

国际注册合规师 公司治理与公司合规 全球金融监管动态月刊 境外合规专项行动 国企合规 反不正当竞争合规管理 出口退税合规风险 全球反垄断 全球企业合规事务 国际监管合规服务 进出口管制和贸易制裁 境外投资和“一带一路” 跨境投资和经营合规 知识产权内部控制 商业贿赂 外汇合规 合规与诚信

| 合规律师事务所

企业法务 涉外企业合规 合同内控 反腐败合规 不正当接触 泄露公司机密罪 合规法务 刑事合规 贪污贿赂 科技法律 信披违规 企业刑事风险防控及刑事合规 法律风险管理 洗钱犯罪

| 金融安全与合规

证券合规 银行合规 金融犯罪合规 保险合规 金融消费者保护 银保监督 私募合规 互联网金融合规 银行合规资讯 投融资合规 支付 银行合规综合 金融安全 信托合规 担保合规 金融合规 信用合规 股权合规 内保外贷合规 外汇合规 保理合规

| 海关及全球贸易合规

海关及贸易合规 农食产品技术贸易 国际经贸预警 国际商事认证 出口管制 海关税收征管 走私罚罪研究 出口退税行政诉讼 跨境电商合规 AEO海关认证 出口骗税 外贸企业合规 全球贸易规则

| ESG合规
| 反欺诈中心

反欺诈实践 反欺诈反冒领专栏 欺诈调查

| 合规中心(产业)

医药合规 环保合规 医美合规 生态环境合规专题 教育合规

| 知识产权合规专题

知识产权合规 知产纠纷调解案例 知识产权确权

| 私募股权基金合规

私募投资基金 融资合规 基金合规

| 数据合规治理去向何方?当前您所在的位置:首页 > 合规 > 企业合规 > 企业数据合规

编者按:自1956年“人工智能”的概念首次被提出已过60余年,此间,人工智能从虚化的代码逐渐转化成实践应用,催生出一批批商业故事。不过,人工智能规模化商用并非坦途,概念的火热一直以来未能助推技术突破与商业应用。 

时间来到2022年,生成式AI发展为人工智能发展再注入一针强心剂。ChatGPT横空出世,被视为通用人工智能的起点和强人工智能的拐点,引发新一轮人工智能革命。人工智能发展似乎找到了自己的主流叙事。 

不过,技术创新的同时也带来了监管难题。如何平衡发展与安全,中国正在摸索自己的AI治理路径。南财合规科技研究院与观韬中茂律师事务所推出《中国AI治理的独立思考——生成式人工智能发展与监管白皮书》,通过分析生成式AI的发展现状、政策导向、实操中面临的风险,以及各国的监管路径,以期为未来的AI治理提供有益思路。 

生成式人工智能发展一日千里,与惊喜相伴的是对其引发的安全隐患担忧。生成式AI的模型层是生成式AI得以实现的关键环节,依赖于更高质量、更丰富的训练数据集。如何判断数据收集行为以及留存的数据内容是否合规,已成为当前相关技术发展亟待解决的问题,更是大模型产品未来健康发展的关键。数据安全问题正变得越来越重要,甚至可能成为产品的“阿克琉斯之踵”。 

因此,必须关注炼造大模型带来的次生问题,比如数据跨境流动中的难点与困境,再比如个人信息,尤其未成年人信息在模型训练、应用过程中的合规,这些都是生成式AI数据治理过程中需要予以特别关注。 

数据跨境:多重不确定性叠加 

海量数据推动大模型“涌现”功能的出现。数据从何而来? 

一是各个厂商历史积累的数据,数据的具体类型和质量取决于厂商的主营业务情况;二是公开渠道爬取的数据,受限于当前各类反爬取技术和规则,此类数据获取将愈加困难;三是各类免费或付费的第三方数据库与数据集,例如GPT数据来源中全球最大的免费网页数据库Common Crawl,各类高校,以及企业科研机构所搜集和处理的开源数据集如WikiQA(微软研究院发布)、EXEQ-300K(北京大学、宾夕法尼亚大学、中山大学发布)、ArxivPapers(Facebook、伦敦大学学院、DeepMind发布)等。 

可以看到,大模型数据获取过程中不可避免的涉及数据跨境问题。除此之外,数据跨境问题还可能存在于服务提供等环节。 

目前,除少部分自行开发、部署模型的提服务提供者供以外,大部分服务提供者仍需倚赖第三方技术服务商搭建模型或以接入API等方式使用生成式AI服务,而这些技术方的服务器一般部署于境外。例如,一家位于中国大陆的企业,通过API接口的方式接入位于北美的生成式AI技术服务提供商,而该服务商的服务器部署于印度,此时可能面临相关数据出境所带来的风险。 

除此之外,在提供生成式AI服务过程中,不仅涉及数据出境问题,还可能涉及数据入境。例如,经过境外模型处理后产生的数据通过AI交互方式返回给中国用户时,也需考虑境外国家关于数据出境的合规要求和限制。 

从境内外关于生成式AI技术的法律规制来看,目前,服务提供者在应用生成式AI模型的过程中,可能会面临四方面与数据跨境相关的风险与挑战: 

一是大陆地区尚未被列入核心技术供应商开放服务范围之内。 

目前,如OpenAI等核心生成式AI技术提供方并未将中国大陆地区列入其服务提供对象范围,在此背景下,如果因为使用相关服务给大陆企业造成了损害后果(如数据泄漏等),企业的权利应当如何得到保障? 

此外,部分企业通过自行建立或租用专线(含虚拟专用网络VPN)的方式,连接到境外的生成式AI技术模型,这一做法如未经电信主管部门批准,则涉嫌违反工信部《关于清理规范互联网网络接入服务市场的通知》的规定,违规风险极大,尤其是当企业以营利为目的专门向其他企业提供此类服务的,情节严重的情况下,还可能构成非法经营罪,将会面临刑事风险。 

二是数据出境方面,情况存在不确定性。 

根据《网络安全法》、《个人信息保护法》、《数据出境安全评估办法》等法律法规规定,在进行数据出境前应当履行相应的出境合规义务,例如进行事前安全评估,如涉及个人信息的,还应当进行个人信息保护认证、签署标准合同等,而由于企业使用生成式AI模型服务中涉及的数据出境情况存在不确定性,因此,在履行出境合规义务上可能存在滞后性。 

目前,生成式AI模型的应用路径主要分为两种,其一,是企业将其收集的数据提供给生成式AI模型,并向其提出数据处理请求,该情形下,企业在提供数据前可以结合业务需求及合规义务要求对数据进行预处理、筛选,以限定其所提供的数据范围,从而使得相关数据出境风险处于可控范围之内。其二,是用户直接使用企业接入生成式AI模型的服务平台,这种情况下,由于用户是直接向生成式AI模型提供数据的主体,对于企业而言,用户提供哪些数据存在很大不确定性,从而触发相关的数据出境合规义务要求。而且,由于该情形下向境外提供个人信息量级的不确定性,将导致企业难以确定数据出境合规路径。 

三是个人信息出境时如何告知并取得个人或其监护人的单独同意。 

根据《个人信息保护法》的要求,基于个人同意向境外提供个人信息的,应当取得个人的单独同意。从目前行业实践来看,企业通常通过弹窗勾选的方式取得数据出境相关的单独同意,但是在告知方面,基于生成式AI模型的特殊性,如何在事前告知可能出境的个人信息范围,将会成为企业在履行相关告知义务时不得不面临的现实困境。 

四是如何满足境外出口管制的要求。 

经境外的生成式AI模型处理后产生的数据面临相关国家、地区的监管。不同于欧盟的严格限制,例如美国对于数据跨境流动的监管要宽松许多,对于数据跨境流动,美国偏向于限制政府权利,其跨境数据隐私保护策略主要靠有限的立法和行业自律。 

如前所述,经境外的生成式AI模型处理后产生的数据或产品如返回给中国用户,需要考虑境外国家关于数据出境的合规要求和限制。例如,在OpenAI公布的用户协议中,亦明确规定其提供的服务受美国出口管制相关规则所约束,不得出口到任何美国禁运国家。 

同时,根据美国商务部工业与安全局官网公布的禁运规则解释文本及其对应表格,中国属于清单中的D组禁运国家,主要禁运领域为“国家安全、核工业、化学与生物领域、导弹科技和其他军事领域”,虽非绝对禁运,但是,对于电子产品、电子通信、电脑、信息安全等领域相关的设备、组件、材料、软件及其相关科技向中国的出口,仍需要向美国相关部门进行报批。 

值得注意的是,出口管制适用的范围不仅包括实体货物,还包括计算机软件、数据、技术等,这就意味着受《美国出口管制条例》等法律法规约束的货物相关的数据亦需遵循相应的规制。因此,对于经生成式AI模型处理后返回的数据,是否符合境外出口管制方面的合规要求,亦是企业在将来迎接监管时可能面临的挑战。 

数据安全:需关注Prompt injection攻击 

新技术快速发展,也需警惕其中风险。在数据成为宝贵资产的今天,海量数据的安全如何保障?与此同时,大模型的恶意使用行为如何预防?也是快速发展过程中需要关注和回应的问题。 

具体来看,生成式AI需要关注并回应数据泄露、网络安全、重要数据处理等关键问题。 

关于数据泄露,基于大模型强大的系统学习能力,以及交互方式上相对的自由与不受局限,导致交互过程中存在较大泄漏数据或商业秘密的风险。例如,近日,某韩国头部企业发生了三起生成式AI产品的误用与滥用案例,包括设备信息泄漏和会议内容泄漏。其中,涉及半导体设备测量资料、产品良率等内容或已被存入AI模型的学习资料库中。 

为规避数据泄露风险,此前已有不少企业明确禁止员工使用生成式AI模型,包括摩根大通、德意志银行、埃森哲、富士通、软银、高盛、花旗等公司。 

网络安全方面,大模型的“滥用风险”似乎是伴随着大模型兴起一直为人们紧密关注的议题,对于生成式AI模型的开发者而言,在训练模型的过程中需要思考如何有效预防用户的恶意使用行为,例如利用模型撰写编码或病毒,用于攻击网站等,从而引发网络安全风险。 

同时,大模型也似乎更容易受到“提示语注入攻击(Prompt injection)”的影响。例如,给出ChatGPT能够接受的假设,引导它违反自身的编程限制,生成不合适或有害的内容。如何防止恶意使用者诱骗模型突破限制使用范围,也将成为生成式AI模型应用过程中可能面临的一大挑战。 

重要数据处理方面,基于大语言模型的特性,其模型的训练和完善都有赖于大量数据的帮助,不同数据类型、数据量级的叠加,不排除构成重要数据乃至核心数据从而触发相应的合规义务。 

同时,我国目前《数据安全法》等法律法规中虽然提出了“重要数据”、“核心数据”的概念,但二者的判定依据尚未明晰,这种不确定性也使得生成式AI模型应用面临的合规风险增加。 

比如某企业通过某生成式AI模型堆砌数据,但当数据量增加到某一量级时已构成重要数据,此时如本身模型技术支持位于境外,企业将会面临重要数据出境相关的合规风险。 

个人信息:关注收集、使用、响应等环节 

当前,随着个人信息保护意识的不断加深,大模型发展过程中如何保护个人信息,成为发展过程中必需回答的问题。对于个人信息的保护,需要重点关注收集、使用、权利响应等环节,同时尤其关注儿童信息。 

个人信息收集场景方面,大数据时代,生成式AI模型难以规避因收集个人信息所带来的风险,这类风险不仅可能发生在模型的训练阶段,也可能发生在模型的实际应用阶段。 

在模型的训练阶段,大模型往往需要获取多元化、丰富的语料进行训练,在这个过程中,难免会采取爬虫等技术方式通过互联网等公开渠道获取大量数据,如何避免因爬取或其他手段获取公开渠道的个人信息而构成侵权等法律风险?如涉及从第三方获取的数据的,如何审核个人信息来源的合法性和个人的授权情况?这都是应当思考的问题。 

例如,某生成式AI模型在训练的过程中爬取了某点评网站上关于某餐饮店的评价,但由于某用户在点评时透露了自身的个人信息,导致该部分个人信息进入到模型语料库,进而涉嫌侵犯他人个人信息权益。 

在模型的实际应用阶段,如何精准识别AI与用户交互过程中所收集的个人信息,并进而履行个人信息保护相关的合规义务,也将成为生成式AI模型应用者所要面临的一大挑战。 

不同于一般应用程序中填入式的收集个人信息方式,大模型由于涉及人与AI的交互,很难在事前对可能收集个人信息的场景进行完全罗列,而更近似于“客服热线”的场景,在此背景下,应当如何在事前向个人告知收集个人信息的目的、方式和范围并取得其同意,也是值得研究的问题。 

个人信息使用场景上,目前,部分生成式AI产品以改善服务为由使用用户提供的内容(其中包含个人信息),但显然,仅以改善服务为由要求收集用户信息并不符合最小必要原则,本质上是对于“企业训练模型之需”与“用户享受服务之需”的混淆。目前,OpenAI已提供用户拒绝其使用个人信息进行训练的途径。 

除此之外,在大模型的交互模式下,对于个人信息的披露可能不同于往常意义上的“公开披露”,而更类似于一种“被动公开”,即当某个用户的真实个人信息被摘录于语料库后,之后任意用户通过询问等方式均可以得知相关个人信息,此时由于对象为非特定自然人,相较于向特定个人“提供个人信息”,可能更接近于“公开个人信息”的范畴。 

因此,对于模型开发者而言,应当慎重考虑在语料库以及训练模型的过程中是否加入真实个人信息。例如,某直销机构需要向客户公开披露直销员的联系方式等,但由于并未告知直销员,导致直销员的联系方式被其他人通过与AI的问答获取,并用于其他目的,此时企业可能会因为未事前披露使用目的而涉嫌侵犯他人个人信息权益。 

个人信息权利响应场景方面,生成式AI也带来一系列难题。 

在大模型下,关于个人信息权利响应的实现似乎远远没有想象中来得容易。例如,就查阅权和更正权而言,提供者应当如何确定个人信息的范围并提供给用户查阅或更正? 

如前所述,模型通常存储的是交互记录,而不会在识别个人数据后将其作为单独的存储单位。就删除权而言,如果这部分数据已被用于模型训练,此时,从技术上而言难以做到完全删除,仅能通过过滤数据或者重新训练的方式以最小化这部分个人信息对模型输出可能产生的影响。 

同时,如果大模型技术提供方位于境外,收集的个人信息将通过API接口传输至位于境外的主体,如何向个人告知向境外行使个人信息权利的途径,也将成为服务提供者需要面临的现实问题。 

如何处理儿童个人信息,也成为生成式人工智能合规治理过程中需着重考量的因素。 

在训练大模型的过程中,服务提供者需要基于自身的目的,考量是否有收集儿童个人信息的必要性。 

如果业务本身并不面向或针对儿童,但如遇到医疗健康事件等小概率事件下可能会收集儿童个人信息,也应当在隐私政策等个人信息声明中告知并获得有效同意。 

如不存在收集任何儿童个人信息的必要性,则应从技术和制度角度防止误收儿童个人信息。例如,某10岁的儿童通过网站的广告页面进入了某生成式AI模型服务提供页面,并输入了自身的姓名等个人信息,此时,由于系统无法准确识别使用者的年龄,在无形中收集了该名儿童的个人信息。目前,如OpenAI也已经关注到此类问题,但可能出于对现有技术判别年龄的有效性等考量,其并未采取进一步动作。


转创君
企业概况
联系我们
专家顾问
企业文化
党风建设
核心团队
资质荣誉
领导资源
专家库
公司公告
资源与智库
战略合作伙伴
质量保证
咨询流程
联系我们
咨询
IPO咨询
中国企业国际化发展战略
投融资规划
企业管理咨询
人力资源管理
风险管理
竞争战略
集团管控
并购重组
家族办公室
资产管理
股权设计
企业管治与内部审计
企业估值
价值办公室
内控咨询
投资银行
管治、内控及合规服务
法律咨询
服务
管理咨询服务
投融资规划
人力资源
资产评估服务
会计服务
科技服务
资质认证
ESG服务
商务咨询
内部控制服务
转创投服
金融服务咨询
企业服务
财会服务
翻译服务
财审
金融会计专题
法证会计
国际财务管理
会计中心
财务咨询
内部审计专题
审计创新与全球化
代理记账中心
会计师事务所
审计中心
审计及鉴证
专项审计
审计工厂
审计咨询服务
税律
财税中心
转创税务
华税律所
税务师事务所
IPO财税
国际税收
涉税服务
金融
纳斯达克
并购交易服务
北交所
IPO咨询
深交所
上交所
直通新三板
董秘工作平台
独立董事事务
SPAC
资本市场服务中心
澳洲上市
加拿大上市
估值分析事务
香港联交所
新交所
金融分析师事务所
合规
合规与政府管制
企业合规
网络安全与隐私保护
法证会计与反舞弊
反洗钱与制裁合规
反垄断中心
企业合规管理咨询
合规中心
转创全球企业合规
合规律师事务所
金融安全与合规
海关及全球贸易合规
ESG合规
反欺诈中心
合规中心(产业)
知识产权合规专题
私募股权基金合规
法信
征信管理
信用中心
法信中心
信用评级
价值办公室
联合资信
国际信用
安企中心
转创法信
诚信管理
产服
产业中心
企业与产业管理
行业中心
转创产研
城市中国
转创科研
全球城市
乡村振兴战略
创新创业中心
转型升级中心
数据经济与网安
绿创中心
双碳与可持续发展
管理
并购重组
转创国际企业研究所
创新创业
转型升级
投融资与股权激励
ESG中心
管理咨询
资产评估中心
人力资源
IPO咨询
法律
刑事法律服务
资本市场法律服务
财税金融法律事务
转创国际合规律师
民商事法律服务
公司法律服务
公共法律服务中心
转创国际法律事务所
内控
危机管理
金融风险专题
风险管理中心
网络安全与隐私保护
企业风险管理
独立董事
风险控制师事务所
国际风险研究
风险管理咨询
监督中心
管制中心
风控中心
内部控制中心
经济安全与企业内控
监管中心
转创
转创深圳(深莞)
转创广佛
转创国际福建
转创梅州
客汕经济
转创珠三角
转创潮州
转创网校
转创国际汕头
转创揭阳
18318889481 17875936848
在线QQ
在线留言
返回首页
返回顶部
留言板
发送