■胡琳

随着ChatGPT的火爆，生成式人工智能(GenerativeAI，以下简称“生成式AI”)成为科技领域的一大风口。国内外多家科技巨头(包括谷歌、百度、字节跳动、阿里、华为、腾讯等)纷纷入局，国内银行业也不例外：平安银行发布AIBank计划、网商银行发布“百灵”交互式风控系统、工商银行发布三维数字虚拟营业厅、农业银行推出金融行业首个自主创新的金融AI大模型应用ChatABC。以ChatGPT为代表的生成式AI的迅猛发展为各行各业数字化转型带来全新机遇，但同时也带来了一系列法律风险。在此背景下，国家互联网信息办公室近期发布《生成式人工智能服务管理办法(征求意见稿)》(以下简称《办法》)，标志着我国生成式AI进入规范发展阶段。

筑牢个人信息防护墙

《办法》多处强调对个人信息的保护，积极回应了用户在使用新兴互联网服务过程中对隐私安全和个人信息保护的关切。

在个人信息获取方面，《办法》第七条第(三)款规定，“数据来源包含个人信息的，应当征得个人信息主体同意或者符合法律、行政法规规定的其他情形”。结合《办法》的上位法《个人信息保护法》来理解，生成式AI服务提供者(以下简称“提供者”)获取个人信息需具有合法性基础，包括用户同意、订立合同所必需、人力资源管理所必需、履行法定职责/义务、紧急保护、新闻报道或舆论监督、合理处理公开信息等。

在个人信息安全保障方面，《办法》第十一条明确了提供者对用户的输入信息和使用记录承担保护义务，通过“三个不得”的规定，为用户输入信息的使用划定了红线。

不得非法留存能够推断出用户身份的输入信息。个人信息的留存应当符合《个人信息保护法》规定的“最小必要”原则，且在符合《个人信息保护法》列举的应主动删除个人信息的五种情形时，提供者应及时删除个人信息。

不得根据用户输入信息和使用情况进行画像。用户画像是指通过收集、汇聚、分析个人信息，对某特定自然人的个人特征，如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测，形成其个人特征模型的过程。用户画像属于对个人信息的处理行为，应受《个人信息保护法》第十三条关于个人信息处理的合法性基础条款的约束。《办法》虽规定“不得根据用户输入信息和使用情况进行画像”，但鉴于“法律法规另有规定的，从其规定”这一规定，笔者认为，在满足《个人信息保护法》相关规定的基础上，提供者可对用户进行画像。

不得向他人提供用户输入信息。《办法》规定“不得向他人提供用户输入信息”，但同时也规定了“法律法规另有规定的，从其规定”这一除外情形，因《个人信息保护法》第二十三条并未禁止向他人提供个人信息，只是设置了严格的规范——个人信息处理者在履行告知义务并征得信息主体单独同意后可向第三方提供个人信息。由此，笔者认为，提供者可在满足该要件后向他人提供用户输入信息。

尊重和保护知识产权

生成式AI火爆的背后隐藏着知识产权侵权风险。一方面，生成内容存在被他人侵权的风险。人工智能生成内容是否构成《著作权法》中的作品以及著作权的归属主体问题，目前在理论和实务界尚无统一观点。因此，基于现行法律框架，难以认定提供者为生成内容的作者，因而生成内容可能无法得到法律保护。另一方面，数据训练和内容生成阶段存在侵犯他人知识产权的风险。

首先，在数据输入、优化训练过程中涉及对海量数据的挖掘，若所用到的素材是具有著作权的作品，而又未获得许可或支付报酬，由此可能引发知识产权侵权风险(主要表现为侵犯复制权)。

其次，在内容生成阶段，尽管生成式AI背后的技术机理并非整段复制他人作品，但也不排除生成侵犯他人著作权的内容，加之过程中同时伴有将生成内容通过互联网传输，由此可能侵犯复制权和信息网络传播权。

针对生成式AI潜在的知识产权侵权问题，英国、美国等国家将数据挖掘行为列入合理使用范围中，为数据挖掘行为提供了合法性依据。而在我国，数据挖掘行为尚未被涵盖在我国《著作权法》列举的十二种合理使用情形之中。《办法》也与此呼应，对生成式AI产品/服务的数据来源作出规制，明确规定提供者应当对生成式AI产品/服务的预训练数据、优化训练数据来源的合法性负责，不应含有侵犯知识产权的内容。此外，《办法》亦提到了“尊重知识产权”“防止侵犯知识产权”的原则性要求，对知识产权的尊重和保护可见一斑。

明晰内容生产者责任

《办法》第五条为提供者规定了内容生产者责任。仅从第五条文义理解，《办法》只规定了提供者的责任，并未提及服务使用者。而根据《互联网信息服务深度合成管理规定》第六条和第十条的规定，对于利用深度合成技术生成的内容，深度合成提供者和深度合成服务使用者都应当承担责任。在生成内容的责任承担机制上，相较于《互联网信息服务深度合成管理规定》，《办法》对提供者赋予了较重责任。

《办法》第十三条赋予了提供者内容管理的义务。第十三条规定“发现、知悉生成的文本、图片、声音、视频等侵害他人肖像权、名誉权、个人隐私、商业秘密，或者不符合本办法要求时，应当采取措施，停止生成，防止危害持续。”笔者认为，这里的“发现、知悉”既包括提供者主动发现、知道侵权行为，也包括接到通知或投诉而知道。就前者而言，赋予了提供者对生成内容的实时审核注意义务;于后者而言，实际上为提供者设置了一定程度上的“避风港”规则保护。提供者应设置相应的投诉处理机制，及时处理删除相应的侵权信息，避免承担侵权责任。