50

实的开始而非结束，而要保障策略的落地实施，还

需要企业具备完善的安全和合规管理体系，包括完

善的管理组织、高效的管理流程和可行的管理制度

规范，使得企业内部做到权责清晰、分工明确、流程

闭环等合规要求。

就 AIGC 的数据安全和合规管理而言，首先，企

业应当建立由第一负责人直接领导和负责的管理组

织，并通过管理层次和管理角色进行分工，保证岗

位明确、权责一致、关键岗位人员具备履职能力和

相应素质、分工合理、协同高效。其次，企业应当梳

理各岗位的工作流程，将前述合规义务嵌入业务流

程之中，以高效、安全、可实施的方式重塑企业合规

流程。再次，企业应当就相应流程和岗位确定具体

的管理制度，包括欧盟、美国和中国等主要国家和

地区的法律法规等要求的数据安全管理、网络和数

据安全应急管理、人工智能服务安全管理、人工智

能数据标准管理、科技伦理审查等相关的管理制度，

让内部相关岗位人员做到有制可依、有据可依且能

够落地实施。

（三）强化数据合规管理措施

如前所述，AIGC 涉及海量数据的全生命周期处

理活动，在每个环节，都可能存在数据泄露、篡改、

丢失等安全风险和被非法获取、利用、滥用等合规

风险，对 AIGC 企业而言，采取相应的安全和合规措

施也是欧盟、美国和中国等主要国家和地区监管部

门的普遍要求。

具体而言，AIGC 企业应当采取的相应措施包括

针对数据全生命周期处理的安全技术措施、安全管

理措施以及其他措施，其中技术措施包括采取加密、

脱敏、访问控制等技术措施，安全管理措施包括建

立前述安全管理体系并具体细化相应的管理、监督、

评估和审计措施。企业应当定期对前述相应措施予

以宣贯、培训、检查、修正和调整，确保相关措施的

有效性和可用性，并覆盖数据安全和合规管理的事

前预防、事中监控和事后处置等各个阶段。

（四）规范数据获取方式

如本报告前述，生成式人工智能的素材即是海

量的数据，可以说，没有海量的数据，生成式人工智

能的开发及运行将难以进行。因此，保障数据可合

法合规地持续获取即是重中之重。结合报告前述内

容和引发的风险，在全球主要国家和地区，均形成

普遍共识，即在 AI 预训练、优化训练等数据处理活

动中，服务提供者有义务保障使用的数据及基础模

型具有合法来源、不侵害他人知识产权及保障个人

隐私数据安全。这就要求 AIGC 企业需要规范数据获

取方式。

从行业现状来看，按照数据的内容是否来源外

部而分为外部数据及非外部数据。而外部数据获取

又可分为授权、非授权两种模式。所谓授权获取，系

指征得数据主体授权同意的获取方式，包括个人同

意、企业授权、数据出售、公共数据授权等形式。其

合规重点在于把握该类数据本身的合法性、真实性

以及授权链条的合法性、真实性、完整性。所谓非授

权获取，系指基于法定许可或自主获取等非基于同

51

意的方式收集个人信息，比如通过爬虫工具获取公

开信息，企业至少应确保爬虫遵守网站 Robots 协议、

不干扰会或破坏网站或系统的正常运营及功能以及

主动限制爬虫访问频率并对获取的数据及时进行分

类分级管理并尽量不运用于与来源网站运营者直接

竞争的场景（如提供替代性服务）。

策略二：加强算法治理

（一）作为 AIGC 服务提供者

如前所述，数据作为 AIGC 的原料，算法、模型

作为 AIGC 的驱动，与数据层面的合规应对策略相似，

在算法层面，企业也应梳理算法治理相关法律、法

规和监管政策等合规要求，结合自身算法所适用的

领域、场景梳理算法治理合规义务，明确算法的合

规要求，并形成流程化、制度化的可行落地合规方

案，并定期审核、评估、验证算法机制机理、模型、

数据和应用结果等，持续对算法及其运行进行监督

管理。

其次，针对国内的 AIGC 服务提供者、技术提供

者和服务使用者，AIGC 具有舆论属性或者社会动员

能力的，则提供者应当按照国家有关规定开展安全

评估，并按照监管要求履行算法备案和变更、注销

备案手续，落实算法安全主体责任，建立健全算法

机制机理审核、科技伦理审查、网络信息审核和过

滤、数据安全和个人信息保护、反电信网络诈骗、安

全评估监测、安全事件应急处置等管理制度和技术

措施，

最后，服务提供者应不断完善算法透明度的公

示情况，以显著方式告知用户其提供算法服务的情

况，并以适当方式公示算法的基本原理、目的意图

和主要运行机制等。若按照监管要求需要完成算法

备案的，应当依法完成备案，并公示备案信息。

（二）作为 AIGC 服务使用者

基于我们的观察，很大一部分生成式人工智能

的服务使用者均为企业或希望进一步向用户或企业

提供服务的专业人士。但法律法规赋予前述服务提

供者义务并不因此豁免使用者的责任。譬如，当因

算法透明度不足、错误内容被生成，相应的损失首

先将由使用者直接承担。如在版权侵权领域，作为

AIGC 使用者及生成内容的使用者，企业首先需要承

担侵权责任。又如生成内容涉及黄赌毒等违法有害

信息，AIGC 使用者将承担阻止该等信息传播的义务，

并可能因未尽义务而承担行政处罚、侵权赔偿等方

面的法律责任。因此，AIGC 使用者在使用算法或模

型前，应当对算法供应商的算法透明度、数据处理

规则、内容生成规则、权利和责任约定作充分调研

和了解。

此外，如特定生成式人工智能服务系与其他服

务组合提供，使用者应尤其关注服务的提供方式，

并对算法供应商的资质予以审核。例如采用的 AIGC

生成内容涉及互联网新闻信息服务的，应当依法取

得互联网新闻信息服务许可。同样，作为信息传播

者的 AIGC 使用企业，同样应当取得相应的许可资质。

52

策略三：加强内容治理

AIGC 内容的输出端，是引发违法违约、侵权以

及危害国家安全和社会公共利益的高风险之地，也

是各主要国家和地区监管部门最为关切的环节，相

应地，也是 AIGC 的服务提供、使用者应当高度重视

的地方。

在内容治理层面，AIGC 服务提供者和使用者，

均应当加强内容生成环节的版权保护和内容治理。

具体而言，包括：

第一，针对 AIGC 的算法、模型和生成结果，建

立完善的版权管理制度、版权确权和保护机制、侵

权规避的管理措施和技术检查措施、侵权投诉受理

和处理机制等内容版权管理制度。

第二，完善 AIGC 生成过程的管控，加强数据标

注的管理工作，建立健全用于识别违法和不良信息

的特征库，建立完善入库标准、规则和程序以及相

应的管理制度，确保内容生成安全、可信。

第三，完善生成内容的网络信息生态治理，落

实网络信息安全主体责任，建立网络信息安全治理

体系，建立网络信息审查和过滤机制，采取技术措

施和管理措施防范违法有害信息和欺诈信息传播。

发现违法内容的，应及时采取处置措施，对模型予

以整改，并向主管部门报告。

附：法律法规及监管政策

一、国内法律法规及政策

近年来，我国积极推进人工智能领域的相关立

法工作。2023 年 7 月，国家网信办、国家发改委、

科技部等其七部门正式发布《生成式人工智能服务

管理暂行办法》。除了这部专门的监管法规外，我国

在科技发展、网络安全、个人信息保护、互联网信息

等多个方面已发布了多项法律、行政法规等规范性

文件，形成了多层级、多维度、软法和硬法相结合的

综合治理体系。

1.法律

（1）《中华人民共和国网络安全法》

2017 年 6 月施行，国家意在对人工智能应用数

据加以规制，保障网络安全。该法基于国家总体安

全观的理念进行统筹规划。针对生成式人工智能中

可能存在的攫取数据的路径方式进行监管。

（2）《中华人民共和国数据安全法》

2021 年 9 月施行，其中包括了一些关于人工智

能的规定，如要求加强对人工智能相关数据的安全

保护和管理等，同样适用于 AIGC。

（3）《中华人民共和国个人信息保护法》

2021 年 11 月施行，其从个人信息保护的角度

对生成式人工智能提出要求，如禁止将个人信息用

于违法活动和侵害个人权益，要求人工智能决策的

透明性等。

（4）《中华人民共和国科学技术进步法》

2022 年 1 月施行，我国科技领域的基本法。《生

成式人工智能服务管理办法（征求意见稿）》单独列

明的上位法是《网络安全法》《数据安全法》《个人信

息保护法》，正式稿新增了《科技进步法》。《科技进

53

步法》主要强调生成式人工智能的科技伦理性，其

中主要涉及科技伦理审查对生成式人工智能类技术

开发者和服务提供者的合规要求。

2.部门规章

（1）《生成式人工智能服务管理暂行办法》

国家互联网信息办公室与国家发改委、教育部、

科技部、工信部、公安部以及广电总局于 2023 年 7

月 10 日发布，该《暂行办法》系全世界范围内首部

直接针对生成式人工智能进行规制的国家层面法律

文件，《暂行办法》于 2023 年 8 月 15 日正式施行。

（2）《互联网信息服务算法推荐管理规定》

国家互联网信息办公室、工业和信息化部、公

安部、国家市场监督管理总局联合发布。《算法推荐

规定》要求算法推荐服务提供者应当建立健全算法

机制机理审核，应当定期审核、评估、验证算法机制

机理、模型、数据和应用结果等，不得设置诱导用户

沉迷、过度消费等违反法律法规或者违背伦理道德

的算法模型。

（3）《互联网信息服务深度合成管理规定》

国家互联网信息办公室、工业和信息化部、公

安部联合发布《互联网信息服务深度合成管理规定》

（以下简称《深度合成规定》）是生成式人工智能服

务领域最为核心的监管规定。《深度合成规定》是指

利用以深度学习、虚拟现实为代表的生成合成类算

法制作文本、图像、音频、视频、虚拟场景等信息的

技术，包括文本转语音、音乐生成、人脸生成、人脸

替换、图像增强等技术。因此，生成式人工智能服务

属于《深度合成规定》的监管范围。

3.部门规范性文件

（1）《新一代人工智能伦理规范》

2021 年 9 月，国家新一代人工智能治理专业委

员会发布了《新一代人工智能伦理规范》（以下简称

《伦理规范》），旨在将伦理道德融入人工智能全生

命周期，为从事人工智能相关活动的自然人、法人

和其他相关机构等提供伦理指引。《伦理规范》提出

了增进人类福祉、促进公平公正、保护隐私安全、确

保可控可信、强化责任担当、提升伦理素养等 6 项

基本伦理要求。同时，提出人工智能管理、研发、供

应、使用等特定活动的 18 项具体伦理要求。

（2）《网络安全标准实践指南-人工智能伦理安

全风险防范指引》

2021 年 1 月，全国信息安全标准化技术委员会

就防范人工智能伦理安全风险组织编制了《网络安

全标准实践指南—人工智能伦理安全风险防范指

引》，为组织或个人开展人工智能研究开发、设计制

造、部署应用等相关活动提供指引。

4.行业标准、指导文件

（1）《人工智能医疗器械注册审查指导原则》

2022 年 3 月，国家药品监督管理局发布《人工

智能医疗器械注册审查指导原则》，进一步规范人工

智能医疗器械全生命周期过程质控要求和注册申报

资料要求，同时提出第三方数据库也可开展算法性

能评估，并明确了第三方数据库在权威性、科学性、

规范性、多样性、封闭性、动态性方面的专用要求。

（2）《人工智能医用软件产品分类界定指导原

则》

54

2021 年 7 月，为进一步加强人工智能医用软件

类产品监督管理，推动产业高质量发展，国家药品

监督管理局组织制定并正式发布《人工智能医用软

件产品分类界定指导原则》

（3）《深度学习辅助决策医疗器械软件审评要

点》

2019 年 7 月，国家药品监督管理局发布，明确

通用深度学习辅助决策医疗器械软件的审评范围，

并提出基于风险的全生命周期监管方式。

5.地方性法规

（1）《上海市促进人工智能产业发展条例》

2022 年 9 月，上海市十五届人大常委会第四十

四次会议表决通过《上海市促进人工智能产业发展

条例》，于 2022 年 10 月 1 日起施行。

（2）《深圳经济特区人工智能产业促进条例》

2022 年 9 月，深圳公布了全国首部人工智能产

业专项立法《深圳经济特区人工智能产业促进条例》。

自 2022 年 11 月 1 日起实施。

（3）《上海市数据条例》

2021 年 11 月，上海市第十五届人民代表大会

常务委员会第三十七次会议通过，2022 年 1 月 1 日

起施行。

67 胡捷、樊晓娟课题组，《生成式人工智能服务合规发展白

皮书》

68 https：//trumpwhitehouse.archives.gov/articles/ac

celerating-americas-leadership-in-artificial-intell

igence/

二、海外法律法规及政策

人工智能作为当下主要发展的科技领域，其法

律规制体系建设是一项全球关注的议题。各国在人

工智能领域的立法具有其独特性，而这通常受其国

家特性、科技发展情况以及伦理价值观的影响。67

1.美国 AIGC 监管主要政策

（1）《为人工智能的未来做好准备》

美国的人工智能相关政策，旨在维持美国在人

工智能领域的领先优势。美国自 2016 年起就开始关

注人工智能的风险和监管问题。奥巴马政府在报告

《为人工智能的未来做好准备》中提出“如果对人

工智能的监管反应可能会增加合规成本，或减缓有

益创新的开发或采用，政策制定者应考虑如何调整

这些反应，以降低成本和创新障碍，而不会对安全

或市场公平产生不利影响”。

（2）《美国人工智能倡议》

特朗普政府在 2019 年通过行政命令形式颁布

的《美国人工智能倡议（America AI Initiative）》。

该倡议要求在以下五个方面支持人工智能发展 68

：

（1）研发。该倡议通过指导联邦机构在其研发任务

中优先考虑人工智能投资，保持对高回报的基础研

发的重点和长期重视。（2）数据和计算资源。该倡议

指示联邦机构优化的人工智能研究人员和开发人员

55

对高质量数据和计算资源的访问，同时确保隐私和

安全。（3）标准。联邦机构将通过为不同类型的技术

和工业部门的人工智能开发和使用建立标准，促进

公众对人工智能系统的信任。（4）劳动力：为了帮助

教育人工智能研发所需劳动力，该倡议呼吁各机构

优先考虑奖学金和培训计划，该倡议指示联邦机构

通过学徒、技能计划、奖学金以及计算机科学和加

强 STEM 教育、提供培训机会和提高公众对人工智能

的认识、获得人工智能相关技能，并支持跨政府、行

业和学术界开发 AI 就绪人才管道。（5）国际参与：

该倡议旨在促进一个支持人工智能研发的国际环境，

并为美国人工智能产业打开市场，同时也确保人工

智能技术的开发方式符合美国的价值观和利益。

（3）《人工智能权利法案蓝图》

2022 年 10 月，拜登政府公布了《人工智能权利

法案蓝图》，概述了美国在人工智能时代应满足的五

项原则，包括安全有效的系统，算法歧视保护，数据

隐私，通知和解释，以及人工替代、考虑和后备。虽

然该法案不具备强制性，但却从科技、经济以及军

事等方面为美国人工智能发展提供指引。

（4）《人工智能风险管理框架》（AI RMF）1.0

版

美国国家标准与技术研究院于 2023 年 1 月发

布了《人工智能风险管理框架》（AI RMF）1.0 版，

旨在指导机构组织在开发和部署人工智能系统时降

低安全风险，避免产生偏见和其他负面后果，提高

人工智能可信度。

（5）《关于安全、可靠、可信地开发和使用人

工智能的行政命令》

美国白宫于 2023 年 10 月 30 日发布《关于安

全、可靠、可信地开发和使用人工智能的行政命

令》，旨在促进安全、负责任地管理人工智能的开

发和使用。该行政命令为人工智能安全和保障制定

了新标准，保护美国人的隐私，促进公平和公民权

利，维护消费者和工人的利益，促进创新和竞争

等。

2.欧盟 AIGC 监管主要政策

（1）《通用数据保护条例》（General Data

Protection Regulation）

该条例于 2018 年 5 月 25 日生效，目的是解决

收集和利用用户数据的问题。它将替代 1995 年欧盟

颁布的《数据保护指令》，以适应云计算、因特网和

大数据的发展。《通用数据保护条例》的目的是约束

互联网和大数据公司对个人和敏感数据的处理，保

障数据主体的合法权益。与它的前任《数据保护指

令》相比，《通用数据保护条例》可以直接对所有的

欧盟成员国生效，而不需要任何国家将其转换为本

国法律。

（2）《可信赖的人工智能伦理准则》

《可信赖的人工智能伦理准则》系软法，于 2019

年发布，明确阐释了建立“可信赖的人工智能”包

含七个方面：（1）人类代理和监督；（2）技术稳健性

和安全性；（3）隐私和数据管理；（4）透明度；（5）

多样性、无歧视、公平；（6）环境和社会福祉；（7）

问责制。

（3）《人工智能法案》

56

《人工智能法案》草案是欧盟关于人工智能的

立法核心，该法案的推出被视为是欧盟在人工智能

以及更广泛的欧盟数字战略领域的里程碑事件。该

法案由欧盟委员会于 2021 年 4 月提出，目前正在由

欧洲议会和理事会进行讨论。该法案试图根据不同

类型的人工智能应用程序的风险级别，制定不同级

别的规则和义务。《人工智能法案》旨在实现四个目

标：（1）确保投放到欧盟市场和使用的人工智能系

统是安全的，并尊重关于基本权利和欧盟价值观的

现有法律；（2）确保法律的确定性，以促进人工智能

的投资和创新；（3）加强对适用于人工智能系统的

基本权利和安全要求的现有法律的管理和有效执行。

（4）促进合法、安全和可信的人工智能应用的单一

市场的发展，防止市场分裂。

（4）《数据治理法案》

2022 年 6 月施行。该法案是在《欧洲数据战略》

的框架下首先提交的一项法律草案。《数据治理法案》

整体而言，以制度创新为重点，以鼓励数据共享，提

升数据使用效率，使数据资源的流动和使用，以达

到更高的公共政策目的。一是要构建公共部门对数

据进行重新使用的制度。二是构建一个有利于数据

中介发展的架构。三是对数据的利他行为进行规范

指导。

3.英国 AIGC 监管主要政策

2023 年 3 月，英国发布《促进创新的人工智能

监管方法》白皮书。在本白皮书中，英国提出了人工

智能在各部门的开发和使用中都应遵守的五项原则，

日后将由各监管部门根据具体情况在该五项原则的

基础上对各领域的最佳实践发布指南。同时白皮书

指出，为鼓励人工智能的创新，并确保能够对日后

产生的各项挑战作出及时回应，将不会在当下就对

人工智能行业进行严格立法规制。

4.加拿大 AIGC 监管主要政策

2022 年 6 月，加拿大发布《人工智能和数据法

案》，该法案旨在规范国际及省级之间的人工智能系

统交易。其认为应当采取措施，降低由高影响人工

智能所引起的伤害和输出偏差；公开有关人工智能

的公共信息；授权创新、科技和工业部长制定与人

工智能系统相关的政策，并对“持有或使用非法获

取的个人信息”作出相应的禁止，以保护数据的隐

私，以达到设计、开发、使用或提供人工智能系统的

目的。

5.德国 AIGC 监管主要政策

德国 2021 年 7 月发布《自动驾驶法案》。该议

案的目的是为无人驾驶技术的商业应用提供法律基

础和管理框架。该议案的最大亮点之一，就是为 L4

级别的无人驾驶车辆，在高速公路上的特定路段正

常运行，提供了合法依据，并对相关的技术要求，行

驶条件，数据处理等作出了明确的规定。德国也因

此成为世界上第一个让无人汽车加入到每天的交通

中，并将其推广到整个国家。

57