2023年7月13日,国家互联网信息办公室(以下简称“国家网信办”)等七部委联合发布《生成式人工智能服务管理暂行办法》(以下简称“《办法》”),《办法》将于2023年8月15日起施行。《办法》坚持目标导向和问题导向,明确了促进生成式人工智能技术发展的具体措施,规定生成式人工智能服务的基本规范。[1]考虑到生成式人工智能是由大型的语言模型支撑的,需要海量数据,包括海量个人信息进行训练和改进。[2]而在训练和改进的过程中,如果生成式人工智能服务提供者对个人信息处理不当,将损害众多个人的合法权益,并带来较大的个人信息保护风险。为此,《办法》从多个角度出发,对生成式人工智能服务中的个人信息保护规则作出了明确的规定。本文拟对这些规定进行浅析,并对如何遵守这些规定提出相关建议。
(一)生成式人工智能服务提供者应尊重他人合法权益,不得侵害他人的个人信息权益《办法》第4条规定, 提供生成式人工智能服务,应当遵守法律、行政法规,尊重社会公德和伦理道德,尊重他人合法权益,不得危害他人的个人信息权益。关于个人信息权益的保护,《个人信息保护法》第2条规定,自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。考虑到生成式人工智能服务使用的人工智能技术虽然是新技术,但个人数据保护法的原则并未因此而改变。[3]因此,《办法》遵照《个人信息保护法》的规定,明确要求生成式人工智能服务提供者在提供服务时应尊重他人合法权益,不得侵害他人的个人信息权益。(二)生成式人工智能服务提供者在数据训练中处理个人信息应当具备合法性基础,遵守《个人信息保护法》规定的正当原则、公开透明原则以及利用个人信息进行自动化决策的规则首先,根据《办法》第7条的规定,生成式人工智能服务提供者依法开展预训练、优化训练等训练数据处理活动,涉及个人信息的,应当具备合法性基础,包括取得个人同意或者符合法律、行政法规规定的其他情形。根据《个人信息保护法》的规定,此处的“其他情形”通常包括处理个人信息为履行法定义务所必需、在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息等。其次,《办法》第7条规定,生成式人工智能服务提供者开展训练数据处理活动,应当遵守《个人信息保护法》的其他有关规定。在数据训练的场景下,生成式人工智能服务提供者应当遵守的《个人信息保护法》的其他有关规定,主要包括《个人信息保护法》第5条和第7条有关处理个人信息应当遵循正当原则和透明原则的规定,以及第24条有关利用个人信息进行自动化决策的规定。具体而言,第一,《个人信息保护法》第5条规定,处理个人信息应当遵循正当原则。正当原则也称公正原则(Fairness),是指个人信息处理活动必须是正当的,个人信息处理者不得采取不正当的手段或者误导、欺诈、胁迫等不公正方法处理个人信息。[4]正当原则意味着生成式人工智能服务提供者只能以相关个人能够合理预期的方式处理其个人信息,而不能采用可能对相关个人产生缺乏正当依据的不利影响的方式对其个人信息进行处理。[5]在数据训练的场景下,正当原则要求生成式人工智能服务提供者收集和使用的个人信息是准确的、完整的、反映了个人信息处理目的的,并且,收集和使用这些个人信息不会导致直接或间接的歧视。[6]第二,《个人信息保护法》第7条规定,处理个人信息应当遵循公开透明原则。公开透明原则是个人信息处理者应当遵循的基本原则之一。要求处理个人信息应当遵循公开透明原则,主要目的就是保障个人的知情权,让个人可以有效维护自己的个人信息权益;同时,也让个人信息处理行为处于监管部门、社会的监督之下,督促个人信息处理者遵守法律法规、履行法定义务。[7]在数据训练的场景下,公开透明原则一是要求生成式人工智能服务提供者向相关个人公开个人信息处理规则;二是要求生成式人工智能服务提供者履行告知义务,明示个人信息处理的有关情况。第三,《个人信息保护法》第24条规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正;通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。在数据训练的场景下践行上述规定,要求生成式人工智能服务提供者在进行个人信息处理之前,向相关个人告知自动化决策使用的个人信息种类、自动化决策的基本原理和逻辑机制、可能对个人产生的不利影响等事项并进行个人信息保护影响评估;同时还要求生成式人工智能服务提供者赋予相关个人对自动化决策的要求解释权和干预权。(三)生成式人工智能服务提供者对使用者的输入信息和使用记录等个人信息的处理,应当遵守最小必要原则以及禁止非法处理个人信息的要求《办法》第11条第1款规定,生成式人工智能服务提供者对使用者的输入信息和使用记录应当依法履行保护义务,不得收集非必要个人信息,不得非法留存能够识别使用者身份的输入信息和使用记录,不得非法向他人提供使用者的输入信息和使用记录。上述规定首先体现了《个人信息保护法》确立的最小必要原则,即处理个人信息应具有明确、合理的目的,并应与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。具体而言,生成式人工智能服务提供者处理使用者的输入信息和使用记录等个人信息的,应明确并向相关使用者告知处理目的、处理方式及保存期限等,在必要范围内基于明确、合理目的,以对使用者权益影响最小的方式、期限进行个人信息处理及保存,不得过度收集个人信息。其次,上述规定还基于《个人信息保护法》第10条有关“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”的规定,针对生成式人工智能服务使用者的输入信息和使用记录等个人信息,对该条提出的禁止非法处理个人信息的要求进行了细化,即生成式人工智能服务提供者不得非法留存这些个人信息,也不得非法向他人提供这些个人信息。(四)生成式人工智能服务提供者应保障个人在个人信息处理活动中享有的相关权利考虑到《个人信息保护法》对个人在个人信息处理活动中的权利,包括查阅、复制权、更正、补充权、删除权等作出了明确的规定,而在人工智能的语境下,若相关个人信息在人工智能系统开发和部署的生命周期的任何时点被使用,则这些权利应予适用。[8]因此,《办法》第11条第2款对生成式人工智能服务场景下这些权利的保障作出了规定,即生成式人工智能提供者应当依法及时受理和处理个人关于查阅、复制、更正、补充、删除其个人信息等的请求。《办法》关于个人信息保护的前述规定,为提供生成式人工智能服务的企业定规立矩,提出了明确的合规要求。对此,建议提供生成式人工智能服务的企业遵照这些要求,秉持现代科学技术的使用不能以牺牲个人信息保护为代价的正念,采取以下措施对服务过程中涉及的个人信息进行保护,在依法合规的前提下提供高质量的服务,实现企业的高质量发展。(一)建议提供生成式人工智能服务的企业在处理个人信息之前核对以下6个问题:4.如何遵守最小必要原则,限制不必要的个人信息处理?5.如何处理个人要求查阅、复制、更正、补充、删除其个人信息等的请求?(二)基于生成式人工智能服务的特殊性,提供生成式人工智能服务的企业处理个人信息的合法性基础应从严适用,即应从相关合法性基础中选取最为合理、明确的合法性基础。考虑到生成式人工智能系统的全生命周期可能涉及基于不同目的、通过不同方式进行的个人信息处理,为此,建议合理划分人工智能系统全生命周期中的具体操作,并针对每个操作涉及的个人信息处理取得合法性基础。提供生成式人工智能服务的企业进行个人信息处理的,应当通过隐私政策等形式向个人告知个人信息处理的合法性基础,并在合法性基础允许的范围内进行处理。(三)考虑到正当原则、公开透明原则和最小必要原则在生成式人工智能场景下具有重要意义,因此,建议提供生成式人工智能服务的企业通过以下方式,对这些原则予以恪守。1.就正当原则而言,一方面,提供生成式人工智能服务的企业可以采取以下组织措施:一是采用“自设计着手的和默认的数据保护原则”(Data Protection by Design and by Default),在服务的设计阶段即对个人信息保护予以考量;二是进行个人信息保护影响评估;三是在服务过程中采取恰当的治理措施,以避免出现不公正的情形。[10]另一方面,提供生成式人工智能服务的企业可以根据个人信息处理的性质、范围、具体场景和目的,采取相关的技术措施。同时,对于其使用的技术,提供生成式人工智能服务的企业应基于以下因素进行评估:一是该技术的运行情况是否符合预期;二是该技术是否与整个决策过程相互作用,或者影响整个决策过程;三是该技术是否加强或重复了不公平的歧视;四是该技术可能导致的任何有害的超出预期的结果。[11]2.就公开透明原则而言,提供生成式人工智能服务的企业应特别注意依照《个人信息保护法》的规定,完整准确地履行告知义务。详言之,若提供生成式人工智能服务的企业从相关个人处收集个人信息,则其应向相关个人告知其名称或姓名和联系方式、个人信息的处理目的、处理方式、处理的个人信息种类、保存期限、个人行使《个人信息保护法》规定权利的方式和程序等事项。若提供生成式人工智能服务的企业与第三方共享其收集到的个人信息,则其应向相关个人告知第三方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类等事项,并取得个人的单独同意。同时,若提供生成式人工智能服务的企业从第三方获取个人信息,则其应在第三方已告知的处理目的、处理方式和个人信息种类等范围内处理个人信息。此外,提供生成式人工智能服务的企业还应在相关个人的个人信息被用于训练和测试人工智能系统的情况下,及时告知相关个人。[12]3.就最小必要原则而言,建议提供生成式人工智能服务的企业在设计、训练和运营等阶段,均秉持最小必要原则,在斟酌相关个人信息是否为处理目的所需的基础上,对收集和使用的个人信息予以最小化。同时,提供生成式人工智能服务的企业还可以使用隐私增强等技术,协助最小必要原则的实现。(四)考虑到查阅、复制权、更正、补充权、删除权等个人在个人信息处理活动中享有的权利,能够促使提供生成式人工智能服务的企业依法处理个人信息,从而为相关企业正确履行其个人信息保护义务提供助力。因此,提供生成式人工智能服务的企业应当采取有效措施,来保障上述权利的实现。尽管在人工智能中使用个人信息,有时有可能导致提供相关服务的企业更难对个人提出的行使上述权利的请求作出回应。[13]但提供生成式人工智能服务的企业在此情形下,仍应遵照《办法》的规定及时受理和处理此类请求,而不能以存在困难为由,对此类请求置之不理、束之高阁。此外,考虑到在生成式人工智能服务利用个人信息进行自动化决策的情况下,相关系统的类型和复杂性有可能加大上述权利所面临的风险。因此,提供生成式人工智能服务的企业应特别注意自动化决策场景下上述权利的维护和保障。对此,提供生成式人工智能服务的企业可以考虑采取以下措施:1.从设计阶段开始,即对支持有效人工审查的系统要求予以充分考虑。3.给予相关人员恰当的授权、鼓励和支持,以解决个人关注的问题或将这些问题予以升级解决,并在必要的情况下,对人工智能系统作出的决定予以推翻。[14]参考文献:
[1]国家互联网信息办公室有关负责人就《生成式人工智能服务管理暂行办法》答记者问,http://www.cac.gov.cn/2023-07/13/c_1690898326863363.htm,2023年7月25日访问。
[2]参见程乐:《生成式人工智能的法律规制——以ChatGPT为视角》,载《政法论丛》2023年第4期。
[3]ICO, Generative AI: eight questions that developers and users need to ask, https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/04/generative-ai-eight-questions-that-developers-and-users-need-to-ask/, last visited July 25, 2023.
[4]程啸、王苑著:《个人信息保护法教程》,中国人民大学出版社2023年版,第47页。
[5]ICO, Guidance on AI and Data Protection, https://ico.org.uk/media/for-organisations/uk-gdpr-guidance-and-resources/artificial-intelligence/guidance-on-ai-and-data-protection-2-0.pdf, last visited July 25, 2023.
[6]Ibid.
[7]杨合庆主编:《中华人民共和国个人信息保护法释义》,法律出版社2022年版,第29页。
[8]ICO, Guidance on AI and Data Protection, https://ico.org.uk/media/for-organisations/uk-gdpr-guidance-and-resources/artificial-intelligence/guidance-on-ai-and-data-protection-2-0.pdf, last visited July 25, 2023.
[9]参见ICO, Generative AI: eight questions that developers and users need to ask, https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/04/generative-ai-eight-questions-that-developers-and-users-need-to-ask/, last visited July 25, 2023.
[10]ICO, Guidance on AI and Data Protection, https://ico.org.uk/media/for-organisations/uk-gdpr-guidance-and-resources/artificial-intelligence/guidance-on-ai-and-data-protection-2-0.pdf, last visited July 25, 2023.
[11]Ibid.
[12]Ibid.
[13]Ibid.
[14]Ibid.