文:上海君倫律師事務所
前情提要:
上文旨在探討中國大模型領域的合規要素,首先解釋了大模型的概念,重點分析了大模型在訓練和應用過程中的主要合規風險以及科技方在資料處理時涉及到的風險。 本篇內容將詳細分析關於大模型的生成合規風險以及數據安全保護的內容,從運營方的角度進行風險分析,並進行上下篇全文的總結,梳理更清晰脈絡方便讀者理解。
一、大模型的生成合規風險以及資料安全風險(運營方風險)
根據《AIGC暫行辦法》第四條,大模型的生成內容合規包含以下幾個方面:
(一)生成合規風險
大模型可能會生成虛假資訊與誤導性內容,也可能會輸出偏見和歧視性言論,此類資訊可能會對引發社會爭議或風險。 並且,大模型生成內容中很可能包含隱私推斷的內容,即大模型可能會根據輸入的資訊和已有的知識,生成包含個人隱私的內容,即使訓練數據中未明確包含這些隱私資訊,也可能通過推理和聯想得出,進而造成隱私風險。
(二)資料安全風險
1
數據洩露風險
大模型的訓練數據往往包含海量的用戶資訊、企業數據以及各類敏感內容。 一旦資料存儲系統遭受駭客攻擊,如網絡犯罪分子利用軟件漏洞突破防線,就可能導致這些數據被竊取並洩露到外部。 例如,2015年網易郵箱服務曾被曝出存在安全性漏洞,導致部分用戶郵箱帳號被盜用,發送垃圾郵件等。 駭客可能是通過利用郵箱系統的漏洞,獲取了用戶的帳號許可權,進而導致用戶的郵件內容等隱私數據被洩露,給用戶帶來了諸多困擾,如個人隱私曝光、商業機密洩露等風險,也反映出網易在郵箱安全防護體系方面存在被新型攻擊手段攻破的情况。 還有2017年,Equifax資料庫被駭客入侵,暴露了超過1.43億美國人的個人資訊。 該公司被控未能實施足够的資料安全措施,包括未能及時修補系統中已知的漏洞。 2019年,Equifax被聯邦貿易委員會(FTC)處以7億美元罰款。
此外,運營方內部管理不善也是數據洩露的重要隱患。 若內部人員許可權管理混亂,個別違規員工可能會出於私利故意竊取數據,或者因操作失誤導致數據意外洩露。
2
數據篡改風險
在資料傳輸或存儲過程中,大模型的數據可能面臨被惡意篡改的風險。 網絡攻擊者可能會攔截資料傳輸通道,對數據進行修改,從而使大模型基於錯誤的數據進行學習和決策。 比如在金融領域的大模型應用中,如果交易數據被篡改,可能會導致錯誤的交易指令生成,引發金融市場的混亂和用戶資產的損失。 而且,一些惡意軟件也可能入侵資料存儲設施,悄無聲息地對數據進行篡改,而這種篡改在未被發現前可能會持續影響大模型的準確性和可靠性,使其輸出錯誤的結果或預測。
3
數據濫用風險
大模型的數據可能被用於非法或不當的目的。 一方面,運營方可能違反數據使用協定,將數據用於未經授權的商業用途或與協力廠商共亯以謀取利益。 例如,某些醫療大模型所收集的患者健康數據,若被不法企業獲取並用於精准行銷或出售給其他商業機构,將嚴重侵犯患者的隱私權和權益。 另一方面,數據也可能被用於惡意的社會工程攻擊,如通過分析大量用戶數據來製定針對性的詐騙策略,使詐騙分子能够更精准地欺騙用戶,導致用戶遭受經濟損失或個人資訊進一步被洩露。
二、運營方的合規義務
1
資質證照
運營方需要取得增值電信業務經營許可證(ICP證),並進行安全評估和算灋備案。
2
內容合規
用戶輸入數據合規:需對用戶輸入數據進行稽核,識別違法和不良資訊。
3
服務生成內容合規
需保證服務生成內容合規,承擔稽核義務,建立健全內容治理機制,設立闢謠機制和違法不良資訊識別特徵庫。
4
智慧財產權保護
需履行“通知-删除”義務,防止知識產權侵權。
5
平臺管理合規
包括指導、保護用戶義務,穩定服務義務,違法整改義務,建立健全投訴舉報機制義務。
6
數據來源合規
需對模型的數據來源合法性進行審查,對技術支援方數據安全保護能力開展盡職調查。
7
網路安全
需遵守網路安全相關法律法規。
8
資料安全
需履行數據安全保護義務,包括數據分類分級、安全管理制度、風險監測、風險評估等。
9
個人資訊保護
需遵守《個人信息保護法》等法律法規,保護個人資訊安全,特別是跨境傳輸問題。
10
國際聯網合規
需租賃使用合規的國際專線。
結語
《暫行辦法》實施背景下,大模型合規要素繁多攏雜。 大模型是基於深度學習科技的複雜模型,其應用廣泛且涉及大量資料處理。 囙此,數據合規成為關鍵問題。 在大模型的訓練階段,合規風險主要集中在知識產權侵權和數據來源合法性方面。 此外,大模型在生成內容時需確保數據的真實性和多樣性,以避免誤導用戶。
為了確保合規,企業需要進行大模型備案,並提交安全評估報告等資料。 這一過程不僅涉及科技合規,還包括內容、平臺運營和網路安全等多個方面的合規要求。
從現狀來看,大模型的發展雖然帶來了技術進步和應用便利,但也引發了隱私洩露、資料安全等法律和倫理問題。 囙此,建立完善的法律監管框架和加強行業自律是推動大模型健康發展的必要條件。
