“面對技術發展帶來的機遇與挑戰，《生成式人工智能服務管理暫行辦法》既有制度創新，又保持一貫的監管體系，既重視信息內容安全，也多方推進技術產業發展，不僅引領國際人工智能治理實踐，也為中國人工智能立法做出了有益探索，“暫行”二字更為未來統一的人工智能法留下無限的遐想空間。

社會廣泛關注的《生成式人工智能服務管理暫行辦法》（下稱《暫行辦法》）于2023年7月13日公開發布，將自8月15日起施行。

在三個月的時間里，《暫行辦法》經歷了向社會征求意見、組織研討與修改、審議出臺等一系列流程。最終，七部門拿出的最終版本與《征求意見稿》相比，規章體例和幾乎所有條款均有形式或實質改動。

安全和發展是網絡立法的永恒命題。在全球激烈競爭格局下，不發展是最大的不安全。總體來說，《暫行辦法》的最終版本相較《征求意見稿》，在發展與安全的利益平衡中，更多傾斜向了發展一側。這不僅體現在增加了有關技術產業發展的四個條款，也體現在適用范圍、規制對象、法律地位、合規要求、監管工具等諸多方面。但也需要看到，仍存在一些需要在立法與實踐中進一步明確之處。

本文嘗試對諸多改動之處進行不盡完全的述評。

01、精準調整適用范圍

《暫行辦法》變動最大的是適用范圍條款。與《征求意見稿》相比，第二條的改動從縱向的產業分層和橫向的流程上，均限縮了《暫行辦法》的適用范圍。

第三條在適用范圍上，不僅明確了“對境內公眾提供服務”適用，還明確排除了不適用的場景，即“行業組織、企業、教育和科研機構、公共文化機構、有關專業機構，未向境內公眾提供生成式人工智能服務”。這意味著，只有對“公眾”提供的生成式人工智能服務適用《暫行辦法》，對大量垂直領域，如支持科研、工業應用等場景則排除適用。

此外，將《征求意見稿》中的“研發和提供服務”改為了“提供服務”，這體現出《暫行辦法》的規制重點在于服務應用層的信息內容安全，對模型及其相關技術作為基礎設施的功能研發活動并不適用，意在鼓勵生成式人工智能在多領域的探索應用。

第二條的顯著改動回應了生成式人工智能功能的“基礎模型-專業模型-服務應用”的分層業態，明確其作為數字基礎設施的地位。《暫行辦法》在第七條也提出了“基礎模型”的概念，與“提供服務”一起，在規章層面承認了分層業態。因為生成式人工智能的功能遠不止于提供信息內容服務，其可以作為“技術基座”，為金融、醫療、自動駕駛等多個領域賦能。

根據生成式人工智能的技術特點，在產業分層中，首先要通過海量數據使底層大模型“見多識廣”，具有強大能力；其次通過“術業有專攻”的專業優化訓練，讓其適配不同行業和場景；最后再向C端用戶直接提供服務應用。

按照《暫行辦法》目前的適用范圍，把握的節點在于“對境內公眾提供服務”。如果基礎模型不直接向公眾（C端）提供服務，僅僅向垂直領域的B端提供服務，如生物醫藥研發、工業建模設計等，則并不落入其規制范圍。同樣，如果優化訓練和二次開發的專業模型（B端）僅限于科研和工業應用等場景，并不向社會公眾提供服務，也不在《暫行辦法》的適用范圍內。

因此，適用范圍條款的改動直接回應了生成式人工智能的分層業態，僅對可能產生信息內容安全風險的服務應用層——向境內公眾提供服務提出要求，實現了分層的精準治理。當然，在實踐中B端與C端的界定有待進一步明確。如有企業使用專業模型生成的內容直接向用戶提供服務，又或有企業進行基礎模型的初步訓練，形成具有僅限一定范圍內生成功能的服務應用（如點菜、專業咨詢），但C端用戶并不與模型在線互動等。這些特殊情形是否落入適用范圍，仍有待實踐的進一步明確。

02、首次提出模型治理

模型首次成為了規制對象進入立法，這一改變可以說迅速回應了技術發展，也標志著技術治理進入到新的發展階段。《暫行辦法》圍繞模型治理，建立了覆蓋生成式人工智能生命周期的監管制度。

首先，在《暫行辦法》的術語定義中，第二十二條的定義就落在了模型上，即“生成式人工智能技術，是指具有文本、圖片、音頻、視頻等內容生成能力的模型及相關技術”。模型既是生成式人工智能應用前的技術工程，又直接影響到最終生成的內容，它在技術層面將技術支持者、服務提供者與內容生產者融為了一體，因此有必要專門將其作為治理對象。這也體現出《暫行辦法》與《互聯網信息服務深度合成管理規定》的區別：針對的底層技術邏輯不同。《暫行辦法》基于海量數據訓練大模型的技術邏輯來設計監管制度，與深度合成服務以生成合成類算法作為規制對象有所差別，體現近年來中國“算法—深度合成—生成式人工智能”的制度體系迭代路徑。

其次，模型是生成式人工智能服務監管的抓手。模型通過訓練成為融合了數據、算法、算力的新型治理對象。《暫行辦法》第四條將“算法設計、訓練數據選擇、模型生成和優化、提供服務”作為生成式人工智能服務的流程，而無論哪個流程環節，模型均可成為治理抓手。在第十四條也在違法內容的處置方式中新增了“模型優化訓練”等措施。可以說，這充分抓住了技術產業發展的最新變化。

再次，《暫行辦法》首次提出了“基礎模型”的概念。第七條提出要求“適用具有合法來源的數據和基礎模型”。然而，在基礎模型的層面如何定義“合法來源”有待明確。目前LLaMA等開源基礎模型已為業界所用，盡管這些模型公布了訓練數據集，但對數據合法合規情況并不明晰，這有待后續《暫行辦法》適用中的進一步明確。

目前，中國與歐盟均對生成式人工智能做出了相應立法。歐盟的《人工智能法案》將“人工智能系統或基礎模型”作為調整對象，第28b條專門規定了基礎模型提供者的義務。不同的是，歐盟在2023年初緊急調整了整部法案，中國則采用了小切口立法、急用現行的方案。

但是，如何實現模型的分類分級監管仍有待進一步明確。《暫行辦法》的第三條與第十六條均提出，進行審慎包容與分級分類監管，制定相應的規則與指引。目前中國的分類分級體系中包括數據、算法、主體、場景四類標準。而模型已經將這四類標準有機融合，建議未來應考慮將模型生成能力作為分類分級的考量，同時包含了數據處理量級和應用場景等因素。

03、優化調整責任機制

《暫行辦法》將《征求意見稿》第五條的“內容生產者責任”改為了“網絡信息內容生產者責任”，要求生成式人工智能服務提供者履行網絡信息安全義務。這不僅從法律地位上發生了較大改變，同時在第四條減輕了服務提供者的合規義務。

將“內容生產者責任”改為“網絡信息內容生產者責任”，實際上限縮了服務提供者可能的法律責任。生成式人工智能如果被界定為內容生產者，則意味著服務提供者成為了AIGC內容生產者。目前國外實踐中，相關方一般通過協議等方式對AIGC生成內容的歸屬作出明確規定，主要的路徑即約定權益歸屬于最終用戶，AIGC技術提供方獲得相應的使用授權。如果規章明確將服務提供者界定為內容生產者，則其可能需要基于“內容生產者”的法律地位，承擔起AIGC的知識產權侵權、人格權侵權、個人信息侵權等一系列責任。

而“網絡信息內容生產者責任”則將服務提供者的責任范圍限縮到了“網絡信息安全責任”上。《網絡信息內容生態治理規定》規范了網絡信息內容生產者的相應義務，包括鼓勵積極信息、不得制作復制發布違法信息、防范和抵制不良信息。這一修改明確將生成內容的監管目標設置在了網絡信息內容安全上。

除此之外，服務提供者的信息內容合規義務也有所減輕。第四條將《征求意見稿》第四條的表述從“……不得含有暴力、淫穢色情信息，虛假信息，以及可能擾亂經濟秩序和社會秩序的內容”，改為“不得生成暴力、淫穢色情，以及虛假有害信息等法律、行政法規禁止的內容”。從“虛假信息”更改為了“虛假有害信息”的改變，增加了對于虛假信息危害后果的要求。同時也解除了業界關于生成“虛構（fiction）信息”是否屬于“虛假信息”的困惑。同時，第四條第五款也將《征求意見稿》對生成內容“真實準確”的要求，改為“基于服務類型特點，采取有效措施，提升生成式人工智能服務的透明度，提高生成內容的準確性和可靠性”，這種柔性要求，進一步減輕了企業的內容合規義務。

04、完善訓練數據要求

《暫行辦法》第七條有關訓練數據要求的修改，大大減輕了企業在研發和訓練過程中的負擔，第八條則明確了對于數據標注這一重要環節的規則要求。

由于模型的訓練數據直接關系到生成結果，因此成為規制對象，并被提出合規要求。中國首次對訓練數據提出合規要求是在《互聯網信息服務深度合成管理規定》第十四條，“深度合成服務提供者和技術支持者應當加強訓練數據管理，采取必要措施保障訓練數據安全；訓練數據包含個人信息的，應當遵守個人信息保護的有關規定。”

深度合成的技術形態與生成式人工智能并不相同，所以此前并未對深度合成的訓練數據做除了數據安全和個人信息保護之外的其他要求。但是生成式人工智能模型的訓練數據與生成結果之間的關系并不相同，其超越了“算法黑箱”的復雜性，數據規模產生“涌現”現象，更類似于食物被消化后長成了骨骼肌肉。因此，《暫行辦法》第七條既提出了來源合法、形式合法和數據質量要求三個訓練數據的合規向度，又相較《征求意見稿》降低了對企業的合規要求。

首先，將《征求意見稿》中“服務提供者對來源合法性負責”改為“使用具有合法來源”的訓練數據。這一改變明確了訓練數據只要“具有合法來源”即可，即符合《數據安全法》第三十二條規定：“任何組織、個人收集數據，應當采取合法、正當的方式，不得竊取或者以其他非法方式獲取數據。”

其次，對于涉及知識產權、個人信息的訓練數據，要求符合相關法律的規定。這為未來知識產權相關制度做出“合理使用”的制度安排或創新預留了空間，也強調了有關個人信息的訓練數據獲取需符合《個人信息保護法》規定，以滿足處理個人信息的合法性基礎。

最后，也是最重要的，《暫行辦法》將對訓練數據“真實性、準確性、客觀性、多樣性”的強制性要求改為了鼓勵性要求，即“采取有效措施提高訓練數據質量，增強訓練數據的真實性、準確性、客觀性、多樣性”。這體現了“讓產業向高質量方向發展”的政策導向，但現階段限于產業實踐并不做出強制性要求。

第八條則針對數據標注做出明確規定，提出制定“清晰、具體、可操作的標注規則；開展數據標注質量評估，抽樣核驗標注內容的準確性”。這些具體制度充分考量了生成式人工智能的技術特點，相比《征求意見稿》第十七條有關數據標注的規定，也做出了細化的制度安排。

05、充分重視要素供給

《暫行辦法》增加了系列條款，從基礎技術與制度層面，鼓勵數據、算法、算力要素的發展與供給。有關人工智能三要素的各項具體制度開啟了通用人工智能立法的序幕。

中國既有的人工智能治理制度，主要是分領域分場景出臺的相關規范。如對算法基于功能領域分類的監管，對自動駕駛、未成年人保護等基于場景和主體的分類治理等。《暫行辦法》則創造性地將數據、算力、模型等人工智能要素作為抓手。在算力方面，提出“促進算力資源協同共享、提升算力資源利用效能”；在數據方面，提出“推動公共數據分類分級有序開放，擴展高質量的公共訓練數據資源、對公共訓練數據資源平臺建設”。

與此同時，考慮到基礎模型可接入千行百業，從而具有通用性，可能成為人工智能時代的新型基礎設施，《暫行辦法》提出“推進生成式人工智能基礎設施建設”，鼓勵算法、框架、芯片及配套軟件平臺等基礎技術的自主創新，并鼓勵采用安全可信的芯片、軟件、工具、算力和數據資源。

在生成式人工智能要素的制度供給之外，《暫行辦法》致力營造多方協同促進中國生成式人工智能發展的制度環境。具體體現在第五條，“支持行業組織、企業、教育和科研機構、公共文化機構、有關專業機構等在生成式人工智能技術創新、數據資源建設、轉化應用、風險防范等方面開展協作。”?并在第十六條作出了網信、發改等多部門協同的生成式人工智能服務的管理安排。

《暫行辦法》協調多個監管部門對人工智能的多要素治理，提出完善與創新發展相適應的科學監管方式，邁向了通用人工智能時代的基礎性治理，拉開了中國通用人工智能治理的序幕。

06、積極增進制度協調

第一，有關個人信息保護的制度更加協調。作為可能的個人信息處理者，大模型的技術業態與個人信息處理的“最小必要”原則的不協調、更正刪除權履行困難等問題，一直是學界和業界關注的焦點。

《暫行辦法》延續了《征求意見稿》對于服務提供者可能成為“個人信息處理者”的法律責任，要求其履行個人信息保護義務。但在具體規則上，《辦法》第十一條增加了 “提供者應當依法及時受理和處理個人關于查閱、復制、更正、補充、刪除其個人信息等的請求”，回應了社會的擔憂。同時，保留了“不得非法留存能夠識別使用者身份的輸入信息和使用記錄，不得非法向他人提供使用者的輸入信息和使用記錄”，給用戶提供了更為周延的個人信息保護。

第二，《暫行辦法》第三章“服務規范”沿用了中國以往的監管制度，以保障信息內容安全，體現了監管的體系性和穩定性。如第十七條要求，提供具有輿論屬性或者社會動員能力的生成式人工智能服務的，應當開展安全評估并履行算法備案、變更、注銷備案手續。第十二條則要求服務提供者按照《互聯網信息服務深度合成管理規定》的要求，對圖片、視頻等生成內容進行標識，延續了對于生成內容的標識要求。由此可見，《暫行辦法》與中國既有的信息內容監管制度保持一致。

生成式人工智能的發展，標志著人工智能正在從專用智能邁向通用智能，進入了全新的發展階段。中央政治局4月28日召開會議指出，要重視通用人工智能發展，營造創新生態，重視防范風險。面對技術發展帶來的機遇與挑戰，《暫行辦法》既有制度創新，又保持一貫的監管體系，既重視信息內容安全，也多方推進技術產業發展，不僅引領國際人工智能治理實踐，也為中國人工智能立法做出了有益探索，“暫行”二字更為未來統一的人工智能法留下無限的遐想空間。