随着ChatGPT、Bard、Midjourney、Stable Diffusion、文心一言等产品的全球风靡,越来越多的企业开始在内部使用AIGC相关产品/接口,旨在提升员工生产力,实现降本增效。

近期,中国开世界之先河,发布了AIGC监管的首部法规——《生成式人工智能服务管理暂行办法》(下称“AIGC办法”),将于2023年8月15日正式施行。《AIGC办法》发布后,企业普遍有一个误区,即:员工在企业内部使用AIGC技术没有法律风险。诚然,如《AIGC办法》第二条规定,企业未向境内公众提供AIGC服务,仅在内部使用的,“不适用本办法的规定”。但是,“不适用本办法的规定”不代表不适用其他法律规定,例如《网络安全法》、《数据安全法》、《个人信息保护法》、《电信条例》以及《互联网信息服务管理办法》等等。

因此,汇业律师事务所黄春林律师团队提醒,企业为内部员工提供AIGC技术,供员工用于设计、创意、营销、直播、客服、培训等工作场景的,仍应当关注包括但不限于如下法律风险:

一、加强供应商资质审查

尽管境外AIGC产品性能暂时优于国内产品,但是,企业还应当关注境外供应商产品的合规风险及业务连续性风险,加强供应商资质审查,确保采购合法合规的AIGC产品、服务或接口。

境外的AIGC产品向境内企业提供服务的,属于《AIGC办法》规制范围,同时还要遵守中国《网络安全法》、《电信条例》等规定。未在境内依法取得与其业务相适应的资质,未遵守中国法规定的合规义务的,存在无证经营及违规经营的法律风险。

同时,企业还应当关注采购境外AIGC产品可能涉及的技术进出口合规问题,严格遵守出口地有关规定,依法履行进口地相关的备案义务。

此外,境内供应商封装、集成境外的AIGC产品或接口向境内企业提供服务的,亦应当遵守《AIGC办法》及相关法律法规之规定。

二、关注AIGC用户协议

企业采购供应商的AIGC服务的,除了应当重点关注采购协议/服务协议相关的线下协议外,还应当关注供应商产品的线上协议/规则/政策(统称“线上协议”)等,确保线上线下协议的一致性,并确保合作内容、使用范围、使用目的等不会违反这些不时更新的、并经企业员工点击确认的线上协议,确保输入信息、使用记录及生成内容等的数据权益有利于己方。

三、严格限于内部使用

企业应当严格限制采购的AIGC服务仅用于内部事务,不得用于直接向公众提供服务。这里的“公众”不限于C端自然人,也包括B端企业用户。因此,企业应当尽量避免采购的AIGC服务、接口及账号等转租、转借给他人,严格加强员工账号管理,等等。

四、保护商业秘密与个人信息

企业应当采取适当的措施(包括过滤技术、制度、培训等),限制员工在使用AIGC时,通过输入信息、提示词等方式泄露企业或企业之客户的商业秘密,包括但不限于商业计划、工艺流程、产品配方、市场活动方案、财务及业务数据等等。企业宜要求AIGC供应商隔离存储企业的输入信息、提示词及生成物,避免该等数据用于算法训练、语料库或向其他用户生成内容。

企业应当通过采购协议及其附件等形式,要求供应商加强企业员工在使用AIGC过程中的个人信息保护,不得收集非必要个人信息,不得非法留存能够识别员工身份的输入信息和使用记录,不得非法向他人提供员工的输入信息和使用记录。

五、保障数据安全与合规

企业在使用AIGC的过程中输入及产生的数据信息具有极高的商业价值,是企业的重要数据资产,企业应当保障数据安全,尽量要求供应商隔离存储并采取与资产价值相适应的安全措施,重视竞争对手基于AIGC的定向网络攻击。必要时,还应当要求供应商私有化部署相关数据服务器,确保数据资源的物理安全。

此外,员工账号、员工使用记录及输入信息可能含有个人信息,部分输入内容还可能含有重要数据。因此,企业内部使用AIGC技术还应当遵守中国数据出境相关的规定。

除非具有充分的合法性,企业不得将一方数据(尤其是用户个人信息及UGC内容),亦不得违规爬取三方数据,用于AIGC的算法训练。

六、避免违法、虚假及有害信息

AIGC生成内容的准确性、可靠性及合法性,一直是立法者、监管机构及业界的重点关注问题。AIGC生成内容违法、虚假的,不仅会影响企业的正常经营秩序,还可能会增加企业的合规风险。例如,企业的市场部门利用AIGC生成产品文案内容的,或者客服部门利用AIGC生成客户回复内容的,应当确保内容符合广告法、价格法、产品质量法、消法等法规规定。

同时,企业利用AIGC生成内容对外公开发布的,企业作为AIGC的使用者,还应当遵守《AIGC办法》第四条等规定,加强内容人工审查,确保输入内容及生成内容不含违规及不良内容。AIGC不是法外之地,人工智能也不是免责的挡箭牌。

七、确保多元化,建立健全伦理审查机制

企业利用AIGC技术能够提高生产力,但同时也容易造成同质化。因此,企业在推动内部员工使用AIGC技术的同时,应当采取切实有效的措施确保创意、视角及价值观的多元化,增强产品及服务过程中的人文视角,避免所有员工过度依赖单一AIGC产品形成信息、价值及人文“茧房”。

同时,多元化也有利于防范竞争对手发起的基于AIGC的数据污染攻击,提高产品及服务的可靠性。

此外,企业在特殊部门,或特殊产品的研发、设计或生产中,例如面向儿童等特殊人群、涉及人的生命健康或基本民事权益的,使用AIGC技术的,宜建立健全伦理审查机制,确保最终产品或服务不得含有歧视性,不得损害社会公平,不得危害他人健康及隐私,等等。

八、确保网络接入方式合规

企业接入境外供应商的AIGC产品或接口,需要使用VPN等类似网络接入方式的,应当确保网络接入方式不得违反工信部的有关规定;利用内部网络或系统集成AIGC接口的,应当确保相关域名依法办理了ICP备案、公安联网备案等。

九、关注特殊业务资质

尽管是内部使用AIGC技术,但是相关应用场景一旦触发业务准入资质的(例如利用AIGC开展广播电视节目制作、辅助诊断、投资顾问等,或者将相关生成物出版发行等),企业还应当依法办理与其业务相适应的资质证照。

十、制定AIGC安全管理制度与合规指引

企业应当制定AIGC安全管理制度,明确AIGC的安全管理岗位及职责,明确安全事件的应急处理机制,等等;企业还应为员工合规使用AIGC提供合规指引或提示,避免员工因不了解法律规定而误触违法地带,切实履行企业的审慎注意义务及管理责任。(黄春林、冯莉

声明:本文来自网络与数据法律实务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。