作者:宇文沛、俞琳、王旖璞
引言
承接本系列第二篇文章《AI大模型实务系列问答二:知识产权保护及开源合规》,本文旨在通过实务案例继续探讨AI大模型上线后的合规要点。
场景化案例分析
LL系正在自主研发一款AI大模型的初创公司,小礼是该公司研发团队的一名算法工程师,小丰则就职于该公司法律合规部。AI大模型产品在上线前进行了内测,公司业务与研发部门就大模型上线合规问题进行讨论。小礼整理了其中的主要问题向小丰提出,寻求相关合规意见:
小礼:我们面对一般用户的通用大模型平台要上线了,请问我们需要撰写什么上线协议文本?具体需要注意些什么呢?
小丰:通常情形下,大模型服务提供者需要与使用者签订专门的服务协议(“《用户协议》”),还需提供专门的个人信息处理规则(“《隐私政策》”)。
《用户协议》应当尽可能简明清晰、便于一般用户理解,同时易于访问和获取;在内容方面,应当确保透明度、披露依法律所要求的必要信息,更重要的是确保用户能够据此了解与大模型服务相关的具体使用规则、明确双方的权利义务。[1]
结合MaaS(模型即服务)的特点,其《用户协议》应至少涵盖如下内容:
小礼:大模型上线后模型所生成一些内容(例如图片、音乐及视频),那这些内容是属于平台还是用户的呢?我们是否需要条款明确?
小丰:尽管当前就大模型生成合成内容(以下简称“AIGC”)的可版权性存在争议,但这不妨碍平台通过事先协议方式对AIGC的权属及后续使用限制等进行约定,以维护潜在商业利益。
实务层面,目前国内主流平台《用户协议》中对于AIGC的权属及使用情形约定不一。在响应法律要求的基础上,平台可以根据自身情况,出于不同商业诉求来设计条款,部分常见的模式如下:
小礼:大模型上线后,我们是否可以使用用户输入内容进行训练?
小丰:《生成式人工智能服务管理暂行办法》第11条要求服务提供者“对使用者的输入信息和使用记录依法履行保护义务,…不得非法留存能够识别使用者身份的输入信息和使用记录”。该规定没有严格禁止平台对用户的输入信息的留存或使用,而是强调了应当在具备“合法性”的前提下进行,尤其是当其中包含用户的个人信息时。
关于使用用户输入信息进行再训练的需求,结合相关国家标准的安全要求以及我们对当前行业主流实践的观察,至少有如下合规要点应满足:
获得用户对输入内容的不侵权保证和相关授权并保留授权记录;
用户输入内容可能包含他人个人信息或属于他人享有知识产权的客体,因此有必要要求用户对输入内容进行不侵权保证。主流平台往往进一步约定如果平台因用户输入侵权而遭受损失的,可向用户追偿。
除不侵权保证外,主流平台往往会在《用户协议》中纳入相关的授权条款,确保用户授权平台使用其输入的内容进行进一步的开发训练。
鉴于用户输入内容通常与账户等信息关联而落入个人信息范畴,许多平台会在《隐私政策》中进行相应告知,并据此获得用户的授权同意。
提供便捷的Opt-out方式(不超过4次点击);
一般而言,用户有权选择不可撤销地删除相关历史会话或使用记录(如下图),且这一权利通常在《隐私政策》中进行告知。实务中,也有少数平台在用户交互界面或设置等选项中提供了明确的关闭或退出机制。
3. 明确告知用户上述信息(包括使用其输入内容的情况以及opt-out的具体方式);
4. 加强训练数据和数据处理活动的安全管理,采取有效措施以防范和处置网络数据安全风险。[9]
结语
通过这次讨论,小礼理解了大模型上线后仍要遵守较多的合规要求,未来将继续与小丰会议沟通相关细节。但最近小礼接到新的任务,公司计划将大模型应用至多个公司内部及客户公司的服务场景中,小礼为此又犯难了,将与小丰讨论实际应用中的合规问题。
注:
[1] 《生成式人工智能服务管理暂行办法》第9条第2款。
[2] 例如,《儿童个人信息网络保护规定》;《网络数据安全管理条例》(将于2025年1月1日起施行)第21条及22条项下相关规则等。
[3] 《人工智能生成合成内容标识办法(征求意见稿)》第8条。
[4] 2024年9月14日,中央网信办发布关于征求《网络安全技术人工智能生成合成内容标识方法》强制性国家标准(征求意见稿)意见的通知。
[5] 例如,《网络数据安全管理条例》第24条对于“因使用自动化采集技术等无法避免采集到非必要个人信息的网络数据处理者”,设置了明确的删除、匿名化等相关义务;第42条则针对“通过自动化决策方式向个人信息进行推送的网络平台服务提供者”,要求向用户提供退出机制、用户标签删除等功能。
[6] https://www.doubao.com/legal/terms
[7] https://kimi.moonshot.cn/user/agreement/modelUse
[9] 《网络数据安全管理条例》第19条:提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理,采取有效措施防范和处置网络数据安全风险。
