文|IT时报记者  范昕茹

编辑|钱立富  孙妍

任何一项科技都有两面性，在生成式AI快速发展的同时，对于其安全性的担忧如影随形，倒逼相关国家和地区加快立法进程，为生成式AI健康发展筑起“护栏”。

今年6月，欧洲议会高票通过《人工智能法案》草案，意味着欧洲议会、欧盟成员国和欧盟委员会将开始“三方谈判”，以确定法案的最终条款。美国也在积极探讨AI监管相关事宜。

视线回到国内。今年4月，国家互联网信息办公室起草了《生成式人工智能服务管理办法（征求意见稿）》。今年7月，完成修订后的《生成式人工智能服务管理暂行办法》（简称《办法》）正式出台，将于2023年8月15日起施行，这被认为是全球首部生成式AI立法。《办法》从技术发展与治理、服务规范、监督检查和法律责任等方面对生成式人工智能做出具体规定，为我国生成式AI今后发展定下基调。

业内人士认为，《办法》出台后，合规已经成为大模型厂商的必选项。《办法》会给大模型厂商带来哪些变化？《IT时报》记者询问了腾讯、阿里云、百度等近十家大模型厂商，但他们都没有给出正面回应。

01、生成式AI有法可依

7月13日，完成修订后的《生成式人工智能服务管理暂行办法》正式出台，将于2023年8月15日起施行。

对比3个月前发布的《生成式人工智能服务管理办法(征求意见稿)》就可以发现，《办法》做了较大改动。

比如，《办法》新提出“坚持发展和安全并重、促进创新和依法治理相结合”的原则，主张包容审慎和分类分级监管，将鼓励条款从征求意见稿的一条扩展到三条。

再比如，《办法》不再强调利用生成式人工智能生成的内容应当真实准确，仅指出要提高生成内容的准确性和可靠性，尊重了大模型技术的新特点。

同时，《办法》将必须要求用户提供真实身份信息的要求变更为“生成式人工智能服务提供者应当与注册其服务的服务使用者签订服务协议，明确双方权利义务”，扩大了服务空间等。

在不少行业人士看来，对互联网行业来说，《办法》相比4月份公布的征求意见稿有了很大的进步。“这在一般的法规制定上，是不太常见的。”汇业律师事务所律师史宇航认为，《办法》的改动，吸纳了相关从业者的意见，表明国家在推动生成式AI发展方面的积极态度。

不过，《办法》并没有完全解释行业关心的问题。史宇航指出，针对数据来源合法性如何认定，对不得侵害他人依法享有的知识产权如何理解等问题，《办法》并没有给出详细解释，只能在后续司法、执法实践中去摸索，通过相关判例去明确方向。但在史宇航看来，《办法》的出台，至少让国内生成式AI厂商“有法可依”。

02、合规成为“必选项”

《办法》的出台，对于大模型厂商而言，将带来哪些实际影响？

在史宇航看来，《办法》的出台，意味着技术将不再是决定大模型厂商发展的唯一因素，合规也将影响到企业的发展速度。而合规能力将直接决定生成式AI的产品、服务能走多远。

在最新出台的《办法》中，第十七条明确指出，提供具有舆论属性或者社会动员能力的生成式人工智能服务，应当按照国家有关规定开展安全评估，并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。也就是说，面向公众的生成式AI想要投入使用，在绝大多数情况下都需要先过备案和安全评估关。

“这就要求企业提前考虑合规的问题。”史宇航解释说，因为生成式AI的合规链条非常长，项目的立项、研发、测试、发布、更新、下架每一个环节都涉及大量的合规控制点以及多个备案、申请的关卡，涉及不同领域的法律法规。而在备案阶段，企业就需要针对生成式AI涉及的各个流程提交合规证明。一家大模型初创团队人士就告诉记者，他们最近正是在研究《办法》，并融入进自家产品的设计中。

具体到企业内部，合规带来的改变将不仅仅停留在理论层面，而是涉及企业的方方面面。在史宇航看来，合规性的部署必然会触动到企业底层机制和内容的变化。从企业内部的体系变革、岗位的设置到组织架构的搭建，从产品设计、测试到研发布局，各环节都需要根据合规要求进行调整。“公司的流程架构必须做到健全，至少不能只单纯考虑技术研发投入的问题。”史宇航说道。

但对一些企业而言，合规事宜可能会带来新的问题。由于合规本身需要成本投入，对于一些资金并不充裕的公司而言，需要在研发和合规之间进行权衡。史宇航说：“这可能会拖累企业研发的进度。”

03、落地执行面临挑战

对大部分大模型厂商而言，合规是他们最关心的一个问题，但目前来看，想要将新规落地仍然困难重重。

林晖（化名）最近就接到了几家公司的合规方案订单。

“我们也是被几个客户逼着做的。”新规发布后，应客户要求，林晖和团队开始拆解新规，根据客户产品打造定制化的合规方案。

“指导意见并不代表标准答案。”林晖告诉记者，目前厂商在合规问题上遇到的最大困难就是缺乏具体的应用场景细则。《办法》虽然搭好了框架，但仍属于指导性的意见，无法涵盖所有应用场景，具体的边界、尺度的把握仍需要企业根据自身的应用场景去摸索。“这是一件微妙的事，比如你根据《办法》制定了10条合规要求，那超出的部分如果出了问题，算不算违规？”林晖表示。

由于生成式AI合规不仅涉及法律法规，还涉及技术层面的操作，这也给合规方案的落地带来了难度。在林晖看来，想要根据现有的法律法规推演出合适的方案，方案制定人需要在懂法、懂安全、懂技术架构的同时，对公安、网安、网信、金融等所有监管条例都特别清楚。只有如此，才能基于相关机构的监管习惯，去制定方案。“即便如此，也不能保证制定的合规方案是正确的。”林晖说。

而在具体的操作中，一个合规方案往往要包括产品合规、业务整改、隐私条款说明等内容，定制化程度非常高，通常需要做到一企一案。

备案环节同样存在模糊地带。史宇航认为，由于算法本身难以描述，在备案过程中，企业需要自行摸索描述算法及其安全性的边界。而在合规性的审核上，往往采取企业自证的方式进行，企业也需要根据自己的实际情况准备材料。他说：“目前还没有统一的标准，仍然需要企业自己去摸索。”

今年6月，国家互联网信息办公室发布《关于发布深度合成服务算法备案信息的公告》，共有41个生成式AI完成备案，包括钉钉智能客服算法、达摩院开放域自然对话合成算法、百度文生图内容生成算法、腾讯会议虚拟背景算法、讯飞语音识别算法等。

不过，大多数大模型厂商对备案和合规的内容仍讳莫如深。《IT时报》记者尝试采访了腾讯、阿里云、百度等近十家大模型厂商，都没有给出正面回应。即便已经通过相关备案，某大厂回应称，报备流程等方面还处于一个不可描述的阶段，无法做正面回应。

排版／ 季嘉颖

图片／ 中国网信网 

来源／《IT时报》公众号vittimes