網(wǎng)上投稿
通過本文,你將至少了解使用GenAI產(chǎn)品的法律風(fēng)險(xiǎn)以及構(gòu)建完善的內(nèi)部管理制度的必要性。
使用篇
企業(yè)在采購(gòu)GenAI產(chǎn)品后,在使用過程中仍存在商業(yè)秘密、個(gè)人信息以及知識(shí)產(chǎn)權(quán)相關(guān)合規(guī)風(fēng)險(xiǎn)。為降低前述風(fēng)險(xiǎn),企業(yè)應(yīng)采取相應(yīng)的防護(hù)措施,包括構(gòu)建完善的內(nèi)部管理制度,確保安全、合規(guī)地使用GenAI產(chǎn)品。
1 使用GenAI產(chǎn)品是否會(huì)導(dǎo)致商業(yè)秘密侵權(quán)與泄露?
企業(yè)使用GenAI產(chǎn)品的過程中,既存在侵犯他人商業(yè)秘密的風(fēng)險(xiǎn),亦存在自身商業(yè)秘密泄露的風(fēng)險(xiǎn)。一方面,由于企業(yè)通過互聯(lián)網(wǎng)渠道收集的內(nèi)容來(lái)源多樣,例如因企業(yè)享有特定訪問權(quán)限,其收集的內(nèi)容可能包含未經(jīng)公眾知悉、具有商業(yè)價(jià)值并受到權(quán)利人保密措施保護(hù)的技術(shù)信息、經(jīng)營(yíng)信息等商業(yè)秘密。如果企業(yè)未能有效識(shí)別其中的保密信息,并在未經(jīng)授權(quán)的情況下將相關(guān)內(nèi)容用于GenAI產(chǎn)品的優(yōu)化和內(nèi)容生成,可能構(gòu)成對(duì)商業(yè)秘密權(quán)利人的侵權(quán),從而需承擔(dān)相應(yīng)的法律責(zé)任。另一方面,當(dāng)企業(yè)將自有內(nèi)容用于GenAI產(chǎn)品的優(yōu)化和內(nèi)容生成時(shí),若其中部分內(nèi)容未公開,并具有實(shí)際或潛在的商業(yè)價(jià)值,同時(shí)企業(yè)已通過保密協(xié)議、訪問控制、保密培訓(xùn)等合理措施積極保護(hù)其不被公開,則該內(nèi)容可構(gòu)成商業(yè)秘密。例如,企業(yè)的專有技術(shù)、獨(dú)特工藝、運(yùn)營(yíng)策略或其他未公開的創(chuàng)意和信息等均可能屬于商業(yè)秘密。若企業(yè)未能有效識(shí)別這些保密信息,則相關(guān)商業(yè)秘密可能面臨泄露風(fēng)險(xiǎn),最終損害企業(yè)的商業(yè)利益。
TIPS:企業(yè)在優(yōu)化和使用GenAI產(chǎn)品時(shí),應(yīng)對(duì)用于優(yōu)化和使用GenAI產(chǎn)品的內(nèi)容(包括訓(xùn)練數(shù)據(jù)、提示詞等)先進(jìn)行必要的審查,判斷是否涉及外部第三方商業(yè)秘密、企業(yè)自身商業(yè)秘密。如確實(shí)涉及,企業(yè)應(yīng)采取適當(dāng)?shù)谋C艽胧ㄈ鐢?shù)據(jù)脫敏、訪問控制、私有化部署、加密存儲(chǔ)、加密傳輸?shù)龋┐_保相關(guān)商業(yè)秘密的安全,同時(shí)也應(yīng)在內(nèi)部建立明確的管理規(guī)范,要求員工嚴(yán)格遵守對(duì)商業(yè)秘密的保密義務(wù)。
2 使用GenAI產(chǎn)品是否需要履行個(gè)人信息保護(hù)義務(wù)?
若企業(yè)構(gòu)成個(gè)人信息處理者,則需要履行法定的個(gè)人信息保護(hù)義務(wù)。根據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》(“《個(gè)人信息保護(hù)法》”)第73條,個(gè)人信息處理者是指自主決定處理個(gè)人信息目的和方式的組織或個(gè)人。如我們?cè)?/span>《AI開拓者指南:AIGC應(yīng)用協(xié)議——怎么寫怎么看》一文中所述,GenAI產(chǎn)品提供者向企業(yè)提供GenAI產(chǎn)品時(shí),通常存在三種模式,分別是提供API接口、云部署以及本地化部署。在提供API接口的模式下,在企業(yè)使用GenAI產(chǎn)品的過程中,數(shù)據(jù)的流向?yàn)槠髽I(yè)輸入并接受GenAI產(chǎn)品生成的輸出,數(shù)據(jù)的存儲(chǔ)、計(jì)算、處理方式均由GenAI產(chǎn)品提供者決定,而企業(yè)無(wú)法控制GenAI產(chǎn)品的內(nèi)部處理機(jī)制,也不決定數(shù)據(jù)的最終存儲(chǔ)或用途。因此,在提供API接口的模式下,企業(yè)僅作為數(shù)據(jù)輸入方,不直接決定數(shù)據(jù)的處理流程,通常不被視為個(gè)人信息處理者。而在云部署和本地部署的模式下,企業(yè)將GenAI產(chǎn)品部署在云資源或本地,所有數(shù)據(jù)均在企業(yè)可以控制的云資源或IT設(shè)施上進(jìn)行處理和存儲(chǔ),企業(yè)決定數(shù)據(jù)的存儲(chǔ)、處理等模式,包括是否對(duì)數(shù)據(jù)進(jìn)行再利用、優(yōu)化訓(xùn)練等,GenAI產(chǎn)品的提供者反而僅僅提供模型或工具,而不直接接觸或處理數(shù)據(jù)。因此,在云部署和本地化部署的模式下,如員工等享有企業(yè)所采購(gòu)的GenAI產(chǎn)品的使用權(quán)限的用戶(“授權(quán)用戶”)涉及向GenAI產(chǎn)品輸入個(gè)人信息,企業(yè)將成為個(gè)人信息處理者。
TIPS:企業(yè)應(yīng)結(jié)合GenAI產(chǎn)品提供者向企業(yè)提供GenAI產(chǎn)品的模式,判斷自身是否屬于個(gè)人信息處理者。如企業(yè)構(gòu)成個(gè)人信息處理者,根據(jù)《個(gè)人信息保護(hù)法》的相關(guān)規(guī)定,企業(yè)在處理個(gè)人信息時(shí)需要履行一系列法定義務(wù),以確保個(gè)人信息得到有效保護(hù),包括:
? 在收集個(gè)人信息時(shí),需清楚告知用戶信息的用途、方式以及保存期限,并在必要時(shí)征得明確同意;
? 企業(yè)應(yīng)當(dāng)采取安全技術(shù)和管理手段,防止個(gè)人信息泄露、篡改或丟失,特別是當(dāng)信息涉及敏感內(nèi)容時(shí),更需要加強(qiáng)保護(hù)措施;
? 如果企業(yè)將個(gè)人信息交由第三方處理或與其他機(jī)構(gòu)共享,必須確保信息的使用符合規(guī)定,不會(huì)被濫用或非法傳播;
? 企業(yè)還需要為個(gè)人提供便利的渠道,讓個(gè)人可以查詢、更正或刪除自己的信息;
? 企業(yè)應(yīng)當(dāng)建立完善的內(nèi)部管理制度,定期檢查個(gè)人信息保護(hù)情況;
? 對(duì)于涉及特殊群體的個(gè)人信息,企業(yè)還需要提供額外的保護(hù),以確保這些信息不會(huì)被隨意使用或泄露。
3 若將用戶個(gè)人信息用于GenAI產(chǎn)品優(yōu)化,企業(yè)還需要履行哪些個(gè)人信息保護(hù)義務(wù)?
在《個(gè)人信息保護(hù)法》的框架下,企業(yè)在處理個(gè)人信息時(shí),原則上應(yīng)當(dāng)以個(gè)人的同意作為合法性基礎(chǔ)。《個(gè)人信息保護(hù)法》第13條明確規(guī)定,處理個(gè)人信息應(yīng)當(dāng)基于個(gè)人同意,除非符合特定的法定情形,例如履行法定義務(wù)、公共利益需求或應(yīng)對(duì)突發(fā)公共事件等。《個(gè)人信息保護(hù)法》第14條進(jìn)一步強(qiáng)調(diào),個(gè)人的同意必須是“自愿、明確、知情”的意思表示,不得以“默認(rèn)勾選、強(qiáng)制同意或捆綁授權(quán)的方式”獲取。
TIPS:在實(shí)踐中,企業(yè)不能默認(rèn)收集或使用個(gè)人信息,而是必須在明確告知的前提下,獲取個(gè)人的主動(dòng)授權(quán)。若企業(yè)將授權(quán)用戶的個(gè)人信息用于以精調(diào)、LoRA等方式對(duì)于GenAI產(chǎn)品進(jìn)行優(yōu)化,必須事先獲得個(gè)人的明示同意。企業(yè)不能將“授權(quán)用戶數(shù)據(jù)用于GenAI產(chǎn)品優(yōu)化”作為默認(rèn)選項(xiàng),而應(yīng)當(dāng)在授權(quán)用戶主動(dòng)授權(quán)后,才可以進(jìn)行相關(guān)處理。
4 如何避免數(shù)據(jù)泄露?
企業(yè)在使用GenAI產(chǎn)品時(shí),可能面臨多種數(shù)據(jù)泄露風(fēng)險(xiǎn)。GenAI產(chǎn)品的數(shù)據(jù)安全事件是數(shù)據(jù)泄露的重要來(lái)源之一。如果AI產(chǎn)品本身存在安全漏洞,攻擊者可能利用這些漏洞訪問存儲(chǔ)數(shù)據(jù),導(dǎo)致企業(yè)輸入的信息被竊取或泄露。2023年,Open AI發(fā)現(xiàn)ChatGPT存在一處漏洞,導(dǎo)致部分用戶能夠看到其他用戶的聊天記錄標(biāo)題。 [1] 盡管該問題迅速被修復(fù),但是仍然暴露了一個(gè)問題:一旦GenAI產(chǎn)品出現(xiàn)數(shù)據(jù)安全問題,將造成不可控制的數(shù)據(jù)泄露風(fēng)險(xiǎn)。除了GenAI產(chǎn)品本身發(fā)生數(shù)據(jù)安全事件可能帶來(lái)的數(shù)據(jù)泄露風(fēng)險(xiǎn),企業(yè)在使用這些產(chǎn)品時(shí),也可能因?yàn)槿狈Ρ匾陌踩刂拼胧瑢?dǎo)致自身的敏感信息意外泄露。在許多企業(yè)環(huán)境中,員工可能將內(nèi)部的商業(yè)機(jī)密、未公開的研發(fā)成果或客戶信息輸入到GenAI產(chǎn)品中。然而,許多GenAI產(chǎn)品的運(yùn)行機(jī)制決定了用戶輸入的數(shù)據(jù)將被記錄,甚至可能被用于訓(xùn)練后續(xù)版本的模型。如果企業(yè)沒有建立明確的使用規(guī)范,員工的不當(dāng)輸入行為可能會(huì)導(dǎo)致企業(yè)的核心數(shù)據(jù)被GenAI產(chǎn)品存儲(chǔ),在未來(lái)被GenAI產(chǎn)品向其他用戶輸出,進(jìn)而造成數(shù)據(jù)泄露。
TIPS:面對(duì)數(shù)據(jù)泄露的風(fēng)險(xiǎn),企業(yè)需要采取系統(tǒng)性措施來(lái)加強(qiáng)數(shù)據(jù)保護(hù),以降低因GenAI產(chǎn)品安全漏洞或員工使用不當(dāng)而導(dǎo)致的數(shù)據(jù)泄露問題,包括:
? 企業(yè)應(yīng)建立嚴(yán)格的數(shù)據(jù)分級(jí)管理制度,明確哪些數(shù)據(jù)可以用于GenAI產(chǎn)品,哪些數(shù)據(jù)必須嚴(yán)格限制輸入GenAI產(chǎn)品;
? 企業(yè)需落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,對(duì)信息系統(tǒng)進(jìn)行分級(jí)防護(hù),確保網(wǎng)絡(luò)環(huán)境的安全性和穩(wěn)定性;
? 企業(yè)應(yīng)制定完善的數(shù)據(jù)安全事件應(yīng)急預(yù)案,以確保在突發(fā)安全事件時(shí)夠迅速響應(yīng),降低損失和影響;
? 企業(yè)或相關(guān)組織應(yīng)當(dāng)明確數(shù)據(jù)安全管理的職責(zé)分工,確保各項(xiàng)安全措施真正落地執(zhí)行;
? 企業(yè)還可能需要履行其他適用數(shù)據(jù)保護(hù)的義務(wù),例如定期開展重要數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估,識(shí)別并消除潛在安全隱患,以進(jìn)一步提升數(shù)據(jù)安全管理水平。
5 如何避免GenAI產(chǎn)品生成內(nèi)容(“AIGC”)侵權(quán)?
AIGC侵權(quán)的風(fēng)險(xiǎn)來(lái)源包括企業(yè)未經(jīng)授權(quán)使用他人享有合法權(quán)益的內(nèi)容和GenAI產(chǎn)品提供者未經(jīng)授權(quán)使用他人享有合法權(quán)益的內(nèi)容。在企業(yè)使用GenAI產(chǎn)品的過程中,其很有可能會(huì)向GenAI產(chǎn)品輸入受他人享有著作權(quán)、商標(biāo)權(quán)、肖像權(quán)、聲音權(quán)等合法權(quán)益的內(nèi)容。以著作權(quán)為例,在企業(yè)使用訓(xùn)練數(shù)據(jù)對(duì)于GenAI產(chǎn)品進(jìn)行優(yōu)化訓(xùn)練的過程中,如果企業(yè)無(wú)法確保對(duì)訓(xùn)練數(shù)據(jù)享有充分的著作權(quán)或著作權(quán)授權(quán),在優(yōu)化訓(xùn)練后的GenAI產(chǎn)品生成的AIGC與該等訓(xùn)練數(shù)據(jù)存在實(shí)質(zhì)性相似的情形下,企業(yè)很可能侵犯訓(xùn)練數(shù)據(jù)所包含作品的著作權(quán)人的著作權(quán)。除了企業(yè)使用階段的風(fēng)險(xiǎn)以外,GenAI產(chǎn)品提供者如果在未經(jīng)授權(quán)的情況下,將他人享有合法權(quán)益的內(nèi)容作為訓(xùn)練數(shù)據(jù)用于GenAI產(chǎn)品所依托的模型的訓(xùn)練,就可能在模型訓(xùn)練階段侵犯權(quán)利人的合法權(quán)益。更重要的是,這種侵權(quán)風(fēng)險(xiǎn)不僅存在于模型訓(xùn)練階段。如果模型在訓(xùn)練中學(xué)習(xí)了他人享有合法權(quán)益的內(nèi)容,AIGC可能與該等內(nèi)容存在實(shí)質(zhì)性相似,甚至直接復(fù)現(xiàn)部分內(nèi)容,這將導(dǎo)致企業(yè)在后續(xù)使用這些AIGC進(jìn)行商業(yè)化應(yīng)用時(shí)面臨侵權(quán)風(fēng)險(xiǎn)。
TIPS:企業(yè)應(yīng)確保自身享有向GenAI產(chǎn)品輸入的內(nèi)容的全部權(quán)利或者獲得該等內(nèi)容所涉權(quán)利人充分的許可。在取得許可的過程中,企業(yè)應(yīng)當(dāng)結(jié)合使用GenAI產(chǎn)品的場(chǎng)景和目的、使用AIGC的場(chǎng)景和目的,在許可目的、許可行為、許可權(quán)利、許可性質(zhì)、許可期限等方面進(jìn)行全面的考量。企業(yè)還可以通過要求GenAI產(chǎn)品提供者披露GenAI產(chǎn)品訓(xùn)練數(shù)據(jù)的基本信息、提供權(quán)利人的許可證明等方式,核查GenAI產(chǎn)品提供者是否已取得相應(yīng)許可,進(jìn)而降低相應(yīng)風(fēng)險(xiǎn);同時(shí),可以在采購(gòu)協(xié)議中約定,如由于GenAI產(chǎn)品提供者未經(jīng)授權(quán)將他人享有合法權(quán)益的內(nèi)容用于模型訓(xùn)練導(dǎo)致企業(yè)生成的AIGC侵權(quán),GenAI產(chǎn)品提供者應(yīng)通過損害賠償、支付違約金等方式向企業(yè)承擔(dān)違約責(zé)任,以彌補(bǔ)企業(yè)可能遭受的損失。
6 AIGC的權(quán)利歸屬于企業(yè)嗎?
目前,企業(yè)可能對(duì)于AIGC享有的權(quán)利主要為著作權(quán);而根據(jù)我國(guó)著作權(quán)法,在AIGC是否構(gòu)成作品仍懸而未決的前提下,企業(yè)是否對(duì)于AIGC享有著作權(quán)也尚無(wú)定論。在2023年的“AIGC可版權(quán)性第一案中”,北京互聯(lián)網(wǎng)法院在強(qiáng)調(diào)AI畫圖工具生成的圖片體現(xiàn)的是原告而非AI的智力貢獻(xiàn)的基礎(chǔ)之上,認(rèn)為原告是AICG所生成圖片的作者,從而享有生成圖片的著作權(quán)。這一判決為認(rèn)定GenAI產(chǎn)品使用者享有AIGC的著作權(quán)創(chuàng)設(shè)了先例。盡管如此,我們無(wú)法基于此判例直接推導(dǎo)出在企業(yè)采購(gòu)GenAI產(chǎn)品的情形下,企業(yè)就享有GenAI產(chǎn)品生成的AIGC的著作權(quán)的結(jié)論,這是因?yàn)?/span>AIGC的著作權(quán)歸屬還受企業(yè)和GenAI產(chǎn)品提供者之間協(xié)議約定的影響。目前,多數(shù)GenAI產(chǎn)品協(xié)議賦予用戶AIGC的著作權(quán),但GenAI產(chǎn)品提供者通常保留免費(fèi)、永久、可分許可的使用權(quán)。有些GenAI產(chǎn)品則直接規(guī)定AIGC版權(quán)歸屬開發(fā)者,或采用CC01.0協(xié)議放棄所有權(quán)利。因此,即便企業(yè)被認(rèn)定為AIGC的作者,若企業(yè)與GenAI產(chǎn)品提供者在采購(gòu)協(xié)議中約定AIGC歸屬于GenAI產(chǎn)品提供者,可能被視為企業(yè)向GenAI產(chǎn)品提供者轉(zhuǎn)讓著作權(quán),影響企業(yè)后續(xù)對(duì)于AIGC進(jìn)行商業(yè)使用。
TIPS:為保障企業(yè)后續(xù)對(duì)于AIGC進(jìn)行商業(yè)使用的權(quán)利,避免潛在的權(quán)屬糾紛,企業(yè)應(yīng)在和GenAI產(chǎn)品提供者之間的采購(gòu)協(xié)議中明確約定企業(yè)使用GenAI產(chǎn)品產(chǎn)生的AIGC的全部權(quán)利(包括著作權(quán))在法律法規(guī)允許的范圍內(nèi)最大程度上歸屬于企業(yè)所有,GenAI產(chǎn)品提供者未經(jīng)企業(yè)許可不得擅自使用該等AIGC。同時(shí),企業(yè)也可以考慮在對(duì)外使用的AIGC中嵌入權(quán)利主張,例如標(biāo)注“未經(jīng)企業(yè)許可不得擅自使用”。
7 企業(yè)使用AIGC時(shí),是否需要履行AIGC標(biāo)識(shí)義務(wù)?
目前,盡管我國(guó)現(xiàn)行有效的法律法規(guī)尚未對(duì)GenAI產(chǎn)品使用者提出強(qiáng)制性標(biāo)識(shí)要求,如果企業(yè)在境外使用AIGC,可能仍然需要履行AIGC標(biāo)識(shí)義務(wù)。以歐盟為例,根據(jù)歐盟《人工智能法案》第50條的規(guī)定,如果企業(yè)面在面向歐盟公眾開展網(wǎng)絡(luò)營(yíng)銷活動(dòng)中使用GenAI產(chǎn)品生成的圖像、音頻或者視頻內(nèi)容,企業(yè)將構(gòu)成《人工智能法案》項(xiàng)下的AI系統(tǒng)部署者,需要遵守AI系統(tǒng)部署者的合規(guī)要求,包括履行透明度義務(wù),向公眾披露該等內(nèi)容是人為生成或者操縱的。此外,隨著我國(guó)對(duì)于AI的監(jiān)管體系日益完善,未來(lái)我國(guó)可能會(huì)出臺(tái)規(guī)定要求GenAI產(chǎn)品使用者通過網(wǎng)絡(luò)平臺(tái)發(fā)布AIGC時(shí)主動(dòng)聲明并使用網(wǎng)絡(luò)平臺(tái)提供的標(biāo)識(shí)功能進(jìn)行標(biāo)識(shí)。
TIPS:建議企業(yè)持續(xù)關(guān)注我國(guó)在內(nèi)的所涉國(guó)家和地區(qū)的立法動(dòng)向,在相關(guān)規(guī)定強(qiáng)制要求的情況下在AIGC上明確標(biāo)注為由AI生成。
8 若企業(yè)使用境外GenAI產(chǎn)品,需要額外關(guān)注哪些問題?
企業(yè)在使用境外GenAI產(chǎn)品時(shí),需要尤其關(guān)注跨境場(chǎng)景所涉及的數(shù)據(jù)安全、個(gè)人信息保護(hù)以及資質(zhì)要求等問題。在數(shù)據(jù)安全方面,根據(jù)《數(shù)據(jù)出境安全評(píng)估辦法》,涉及重要數(shù)據(jù)或大規(guī)模個(gè)人信息的數(shù)據(jù)出境,需進(jìn)行數(shù)據(jù)出境安全評(píng)估,并采取適當(dāng)?shù)臄?shù)據(jù)保護(hù)措施,例如數(shù)據(jù)去敏、匿名化處理、加密存儲(chǔ)及訪問權(quán)限控制等,以防止數(shù)據(jù)泄露或未經(jīng)授權(quán)的使用。如果企業(yè)的數(shù)據(jù)涉及國(guó)家安全、關(guān)鍵信息基礎(chǔ)設(shè)施、金融、醫(yī)療等重點(diǎn)行業(yè),數(shù)據(jù)出境的要求可能更加嚴(yán)格,需要額外的備案或?qū)徟鞒獭T趥€(gè)人信息保護(hù)方面,根據(jù)《個(gè)人信息保護(hù)法》第38條、第39條,在企業(yè)使用境外GenAI產(chǎn)品的過程中,如境外GenAI產(chǎn)品提供者涉及收集、存儲(chǔ)、處理中國(guó)用戶的個(gè)人信息,企業(yè)需確保已取得個(gè)人信息主體的明確同意,或基于其他合法性基礎(chǔ)進(jìn)行跨境數(shù)據(jù)傳輸。企業(yè)可能還需要通過個(gè)人信息保護(hù)認(rèn)證、與境外數(shù)據(jù)接收方簽署標(biāo)準(zhǔn)合同,或滿足其他必要的合規(guī)要求,以確保個(gè)人信息在跨境流轉(zhuǎn)過程中符合對(duì)個(gè)人信息保護(hù)的標(biāo)準(zhǔn)。在資質(zhì)要求方面,根據(jù)我們與監(jiān)管部門的溝通,境外GenAI產(chǎn)品通常無(wú)法完成算法備案及生成式人工智能服務(wù)備案等我國(guó)法律法規(guī)要求GenAI產(chǎn)品提供者取得的合法資質(zhì),這就意味著如果境外GenAI產(chǎn)品向境內(nèi)公眾提供生成式人工智能服務(wù),存在較高違規(guī)風(fēng)險(xiǎn)。
TIPS:如企業(yè)在使用境外GenAI產(chǎn)品中涉及與境外機(jī)構(gòu)進(jìn)行數(shù)據(jù)交互,則需要遵循我國(guó)或境外司法轄區(qū)對(duì)于數(shù)據(jù)(包括個(gè)人信息)跨境傳輸?shù)暮弦?guī)要求。此外,如企業(yè)擬采購(gòu)境外GenAI產(chǎn)品,需確保僅限于企業(yè)內(nèi)部使用,采取限制訪問權(quán)限等方式避免一般用戶獲得企業(yè)所采購(gòu)的境外GenAI產(chǎn)品的使用權(quán)限。
[1] https://www.nytimes.com/interactive/2023/12/22/technology/openai-chatgpt-privacy-exploit.html