2022年底ChatGPT的上线掀起了全球热潮，彻底引爆了关于AIGC（生成式人工智能）发展的讨论。数字化、智能化发展道路已势不可挡，正在推动生产方式和治理方式的深刻变革，也逐渐成为重组要素资源、改变竞争格局的关键力量。

2022年底ChatGPT的上线掀起了全球热潮，彻底引爆了关于AIGC（生成式人工智能）发展的讨论。数字化、智能化发展道路已势不可挡，正在推动生产方式和治理方式的深刻变革，也逐渐成为重组要素资源、改变竞争格局的关键力量。AIGC的发展在为企业提供多种解决方案的同时也带来了诸如数据安全、隐私安全、生成内容滥用等诸多风险，给治理端带来了前所未有的挑战。为应对这些潜在风险，先进国家监管机构亦出台了相应的监管政策，而企业如何准确把握法律法规要求，以合规为基准防线，强化AIGC相关的合规治理能力则成为了长足发展的关键。为此，普华永道将对中国现有AIGC相关的法律法规进行全盘扫描，分析总结一套广泛适用于中国企业的AIGC合规治理要求关键控制领域，为企业制定AIGC服务的合规管理策略提供框架性参考。

普华永道全面分析了全球范围内AIGC的立法进度和监管现状。目前首部针对AIGC行政立法《生成式人工智能服务管理暂行办法》（简称《暂行办法》）由中国发布，并将于本年8月15日生效。

《暂行办法》与此前颁布的规范算法治理层面的《互联网+信息服务算法推荐管理规定》和规范深度合成治理层面的《互联网+信息服务深度合成管理规定》这两部部门规章，以及作为《暂行办法》制定依据的《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》和《中华人民共和国科学技术进步法》这四部上位法，共同构成了我国AIGC“1+2+4”的监管治理格局，成为我国人工智能行业的主要合规法律依据和监管抓手，推动中国AIGC的规范化管理及稳健发展。

普华永道十分关注各国法案中对AIGC提供商的潜在影响，并以更具规范性且针对AIGC监管的中国法规《暂行办法》为基础，全面剖析并总结AIGC合规领域，同时参考中国人工智能监管其他相关法规的AIGC合规控制点，形成一套基于现行法律法规下适合于面向中国境内提供生成式人工智能服务企业的合规控制领域分析框架。而从《生成式人工智能服务管理暂行办法》相较《生成式人工智能服务管理办法（征求意见稿）》的差异分析中，普华永道发现，法规的思路从“强监管、御风险” ，转变为“包容审慎”、“鼓励”发展，这为AIGC应用释放了利好信号，AIGC提供企业应做好审慎合规性经营，确保AIGC应用业务稳健发展。

基于对“1+2+4”AIGC监管政策的全面解读，结合对欧盟AI法案相关内容的借鉴补充，普华永道认为，当前AIGC服务监管重点主要体现在数据合规、算法合规、内容安全、网络安全和知识产权保护合规等方面，本文将分别展开梳理对应的控制领域，基于政策全面解读，明晰对企业提供AIGC服务的相关合规要求。

大规模、高质量、多样性数据是AIGC应用领域的关键要素，如何确保数据处理过程中的数据安全、数据质量则成为了监管关键。普华永道分析认为，我国监管政策主要从强调数据来源合法性和最小化数据采集原则、数据标注、数据质量保障、获取用户同意、建立投诉处理机制、明确数据保留要求和潜在数据出境监管等八个方面明确数据合规控制领域。

数据来源合法性

AIGC大模型预训练与优化训练都需要依赖庞大的数据源，包括文本、图像、音视频等多模态数据，其中可能涉及商业机密或个人信息，如果不加以保护，可能导致商业机密、个人身份信息等敏感信息数据泄露，侵害公司或个人的合法权益。因此《暂行办法》规定了提供者应使用具有合法来源的数据和基础模型，由此服务提供者需采取措施确保数据收集程序合法性、加强审核监督等保障数据来源的合法合规。

最小化采集

提供者在提供服务过程中，对于用户输入的信息和过程中的使用记录应当履行个人信息保护义务，且数据采集应坚持最小化原则，即应采集与处理目的直接相关的信息，且采取对个人权益影响最小的方式展开数据采集，不得采集非必要个人信息。

提升数据标注质量

在AIGC技术研发过程中进行数据标注的，应制定清晰、具体、可执行的规则指引，并对标注人员开展专项培训，通过建立监督和数据抽检、数据质量评估等方式确保数据标注的质量和合规性。

保障训练数据质量

大模型生成内容的质量高度依赖前期预训练的数据，若训练数据中存在不准确或虚假的信息，那么模型在生成文本时就可能会输出错误的信息，因此需在数据工程阶段采取有效措施提高训练数据质量，以增强训练数据的真实性、准确性、客观性、多样性，如实施数据集相关设计，包括准确性、多样性、公平性、相关性、代表性、真实性、完整性、及时性与精确性等；以及制定数据质量标准与预处理操作指引等。而在保证数据的多样性上，可针对数据集中不同的类别群体进行分析测试，相应地调整数据集的结构。

获取用户同意

在开展预训练、优化训练等数据处理活动中，假设数据涉及个人信息的，应征得个人信息主体同意，且个人信息处理目的、处理方式和种类发生变更的，应当重新取得个人同意。由此建议服务提供者在面向用户提供服务前，应做好隐私政策声明和告知，明确数据收集的范围和使用目的、隐私保护机制等，并获取用户的同意。

建立投诉处理机制

在提供服务的过程中，应充分维护、保障用户权益，为此应建立个人信息滥用投诉等机制。通过建立投诉、举报机制，明确便捷的投诉入口、公布处理流程及反馈时限，并及时进行处理及反馈，以快速响应用户诉求，保障用户权益。

数据保留要求

提供者不得非法留存能识别用户身份的信息，包括用户输入信息及使用记录中的能识别身份的信息，且其他个人信息的保存期限应为实现处理目的所需的最短时间。因此，可以通过技术手段对用户输入信息中的敏感字段进行匿名化或脱敏处理，并建立独立的日志监控，且需对日志进行严格保密。

数据出境

境外向境内提供AIGC服务的机构同样需遵守《暂行办法》等相关规定，且应注意敏感信息的出境限制。

算法合规方面，现行法律法规主要从禁止算法歧视、模型安全评估、算法备案与透明性要求和用户交互内容告知标识等方面明确合规控制。

禁止算法歧视

明确了开展AIGC的全过程，包括算法设计、训练数据选择、模型生成和优化及提供服务等过程中，提供者应采取有效措施防止产生民族、信仰、国别、地域、性别、年龄、职业、健康等歧视，如将公平性度量纳入算法评价，设计公平的损失函数，算法公平性测试验证等以提高算法公平性。

模型安全评估

对于那些提供具有舆论等影响力的AIGC服务的企业，应当开展服务和产品安全评估，重点评估如组织机构、用户真实身份核验、安全日志、个人信息保护及违法信息防范机制、投诉机制等方面。而根据过往经验，可认为关于“具有舆论属性或者社会动员能力”并非以效果论，而是以渠道的可能性做为判定标准。因此对于AIGC服务提供者而言，无论其是否属于“具有舆论属性或者社会动员能力”的情形，均需要完成安全评估申报。

算法备案与透明性要求

算法备案应按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。算法备案主要内容包括服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息。2023年6月，国家互联网信息办公室发布了《境内深度合成服务算法备案清单》，包括百度、阿里、腾讯、抖音、科大讯飞等科技巨头的41个算法入选，这也是国内首批公开的大模型算法备案清单。此外，提供者应当依法予以配合有关主管部门开展的相关监督检查，按要求对训练数据来源、规模、类型、标注规则、算法机制机理等予以说明，并提供必要的技术、数据等支持和协助。

用户交互内容告知标识

提供者应当对生成的图片、视频等内容进行显著标识，如人脸生成、人脸替换、人脸操控、姿态操控等人物图像、视频生成或者显著改变个人身份特征的编辑服务等，显著标识即需达到一般公众显著提示的程度，且任何组织和个人不得采用技术手段删除、篡改、隐匿标识，避免公众混淆或者误认。

AIGC服务监管的另一重点是确保内容安全，我国目前现行的监管政策主要从强调生成内容应符合社会主义价值观等的大原则出发，并从建立违法不良信息识别库、建立健全内容审核机制、提高生成内容的真实可靠性和对违法信息进行模型优化训练等方面明确合规控制领域。

符合社会主义核心价值观等

《暂行办法》要求提供的产品或服务应当体现社会主义核心价值观，不得生成颠覆国家政权、推翻社会主义制度，危害国家安全和利益、损害国家形象，煽动分裂国家、破坏国家统一和社会稳定，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，暴力、淫秽色情，以及虚假有害信息等法律、行政法规禁止的内容。这与此前的《征求意见稿》相比，“坚持社会主义核心价值观”的条款下，增加了“社会稳定”和“有害信息”。

建立违法不良信息识别库

本条控制域主要为《互联网信息服务算法推荐管理规定》中的要求，经分析认为同样适用于AIGC。提供者应建立健全用于识别违法和不良信息的特征库，完善入库标准、规则和程序，记录并留存相关网络日志。为此，企业应对照监管要求，通过确定特征库的范围、入库标准、规则及程序体系构建，加强对不良信息内容的识别能力。

技术和人工内容审核机制

本条控制领域主要为《互联网信息服务深度合成管理规定》中提出的要求，提供者应通过技术或人工方式对生成的内容和提供的服务中的输入数据和生成结果进行审核。实操上，企业可通过建立“系统自动审核+人工复审”的双重审核机制，加强对前端输入数据及生成内容的审核过滤。

真实可靠性

针对目前AIGC经常“胡编乱造”的现状，我国监管明确提出利用AIGC生成的内容应当基于服务类型特点，采取有效措施，提高生成内容的准确性和可靠性，尽量防止生成、发布、传播虚假信息，尤其是处理个人信息时应保证个人信息质量，避免因信息不准确、不完整对个人权益造成不利影响。

违法信息整改及模型优化

发现违法信息的，一是应当立即停止传输，采取消除等处置措施，比如建立健全辟谣机制，防止信息扩散；二是采取模型优化训练等整改措施。通过持续的模型优化，提升生成内容的合规度。

网络安全方面，我国目前现行的监管政策主要为要求制定管理制度和技术措施、明确需与用户签订服务协议及确保全周期安全运营等方面进行安全合规控制。

管理制度和技术措施

提供者应当落实安全主体责任，建立健全算法机制机理审核、科技伦理审查、用户注册、信息发布审核、数据安全和个人信息保护、反电信网络诈骗、安全评估监测、安全事件应急处置等管理制度和技术措施。

签订服务协议

提供者应与使用者签订服务协议，明确双方权利义务，做好信息管理。

安全运营

提供者应当提供安全、稳定、持续的服务，保障用户正常使用。通过实施安全控制措施，如通过技术手段实施访问控制和建立身份验证机制，以防止未经授权的访问和操作，同时定期评估系统的安全性，包括漏洞扫描、安全审计和渗透测试等，及时发现和修复模型等潜在的漏洞。而针对第三方利用漏洞操纵训练数据集等网络攻击，应建立网络应急响应计划，及时采取相关的网络安全技术予以应对，并及时修复模型、系统缺陷。

除以上四大安全合规领域外，现行的监管政策还从知识产权保护和用户引导及未成年人保护等方面明确了安全合规控制领域。

知识产权保护

一是对于提供者开展数据收集、数据用于大模型训练、数据应用等全周期数据处理中，应充分尊重知识产权，不得对他人的知识产权造成侵害，如训练数据中包括他人已发表并享有著作权的作品，可能给知识产权造成侵害。为此企业应建立审核过滤机制，充分排除对侵权数据的使用；二是对于用户使用AIGC服务，监管也明确强调应尊重知识产权，目前关于生成式内容的版权问题具体细节仍有待厘清，但尊重他人知识产权的大原则已明确。

用户引导及未成年人保护

通过开展用户教育、科普讲座和使用手册说明等方式指导用户科学合法合规使用AIGC技术及内容，减少用户对生成内容的滥用；同时应针对未成年人采取如加载监控机制、未成年人认证及模式开启等措施，防止用户过度依赖或沉迷，为未成年人营造健康的网络环境。

AIGC发展新纪元已到来，在政策鼓励与审慎规范发展的大原则下，企业应乘政策东风，积极发展AIGC应用，同时坚持准确把握监管红线，依照监管合规控制领域，明确治理清单，将控制点落实到业务中的关键流程环节，做好审慎合规经营，确保AIGC应用业务的稳健发展。普华永道也将持续跟踪最新的监管动态，陪伴企业精准及时掌控监管趋势及合规要求，与企业共同推动AIGC应用业务的发展。

|普华永道最新咨询报告（下载）|行业最新研究报告（下载）|最新热点报告（下载）|

【腾讯云】云服务器等爆品抢先购，低至4.2元/月