摘要:本文系统解析生成式人工智能服务提供者的法律监管框架与合规路径,从生成式人工智能服务作为“信息服务”的法律定位出发,梳理核心监管规则及服务提供者的认定逻辑。详细梳理了服务提供者需履行的资质证照要求(包括ICP备案、算法备案、大模型备案及安全评估等),并深入剖析相关合规义务,涵盖数据合规、生成内容管理、标识义务等关键领域。全文旨在为企业提供清晰的合规指引,助力生成式人工智能服务提供者合法、安全、可持续发展。

关键词:生成式AI;服务提供者;数据来源;生成内容;算法

一、引言

        2025年5月6日,中央网信办启动“清朗·整治AI技术滥用”专项行动,重点整治违规AI产品、安全管理措施薄弱、为落实内容标识要求内容未标识等行为,强化落实生成式人工智能服务提供者责任。5月20日,公安部计算机信息系统安全产品质量监督检验中心检测发现35款违法违规收集使用个人信息的移动应用,AI大模型六小龙中的智谱(智谱清言[版本2.9.6])、月之暗面(Kimi)均在被通报之列。

        如上所述,随着生成式人工智能(以下简称“生成式AI”)技术的迅猛发展,一系列相关问题也逐渐凸显,国家相关部门针对生成式AI的监管要求愈发明确且严格。在此背景下,作为生成式AI的服务提供者,必须强化合规意识。本文将着重对生成式AI服务提供者的认定标准及其应履行的主要义务进行系统梳理与深入分析。 

二、生成式AI之主要监管规则

        《生成式人工智能服务管理暂行办法》(下称“暂行办法》”)第九条明确规定,生成式AI服务提供者应当依法承担网络信息内容生产者责任,履行网络信息安全义务;涉及个人信息的,依法承担个人信息处理者责任,履行个人信息保护义务。此外,《暂行办法》的规制范围聚焦文本、图片等内容生成(即信息服务场景),未涉及自动驾驶、机器人等非信息服务场景。基于上述,法研社认为,生成式人工智能服务属于互联网信息服务的范畴,因此需遵守《网络安全法》《互联网信息服务管理办法》等基础性法规。

        同时,依据生成式AI服务提供者所提供服务内容,其可能同时包含:生成式AI服务、算法推荐服务、深度合成服务及互联网信息服务等,即存在服务竞合情形,因此须依据实际提供的服务内容遵守相关法律法规。

        综上,经法研社汇总整理,截至本文发布之日,涉及生成式AI服务提供者合规要求的主要监管规则包括:

序号

类别

发文部门

实施日期

文件名称

1

AI

国家互联网信息办公室

2023-08-15

《生成式人工智能服务管理暂行办法》

2

全国网络安全标准化技术委员会

2024-02-29

《生成式人工智能服务安全基本要求》

3

国家互联网信息办公室

2025-09-01

《人工智能生成合成内容标识办法》

4

互联网信息服务

国家互联网信息办公室

2018-11-30

《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

5

国家互联网信息办公室

2020-03-01

《网络信息内容生态治理规定》

6

国家互联网信息办公室

2022-03-01

《互联网信息服务算法推荐管理规定》

7

国家互联网信息办公室

2023-01-10

《互联网信息服务深度合成管理规定》

8

国务院

2025-01-20

《互联网信息服务管理办法》

9

网络安全

全国人民代表大会常务委员会

2017-06-01

《中华人民共和国网络安全法》

10

数据合规

全国人民代表大会常务委员会

2021-09-01

《中华人民共和国数据安全法》

11

国务院

2025-01-01

《网络数据安全管理条例》

12

其他

全国人民代表大会常务委员会

2021-11-01

《中华人民共和国个人信息保护法》

13

全国人民代表大会常务委员会

2022-01-01

《中华人民共和国科学技术进步法(2021年修订)》

14

科技部等十部门

2023-12-01

《科技伦理审查办法(试行)》

三、生成式AI服务提供者之认定规则

        在探讨生成式AI服务提供者的合规义务之前,需先明确两个关键问题:一、如何界定“生成式AI服务提供者”,即分辨出哪些主体属于此类;二、“生成式AI服务提供者”的认定标准究竟包含哪些内容呢?

(一)“生成式AI服务提供者”的定义及类型

        根据《暂行办法》第二条及第二十二条规定,生成式人工智能服务是指利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务。行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等研发、应用生成式人工智能技术,未向境内公众提供生成式人工智能服务的,不适用本办法的规定。其中,生成式人工智能技术,是指具有文本、图片、音频、视频等内容生成能力的模型及相关技术。

        根据《暂行办法》第二十二条规定,生成式人工智能服务提供者(以下简称“提供者”),是指利用生成式人工智能技术提供生成式人工智能服务(包括通过提供可编程接口等方式提供生成式人工智能服务)的组织、个人。《生成式人工智能服务安全基本要求》(下称“《安全基本要求》”)规定,以交互界面、可编程接口等形式提供生成式人工智能服务的组织或个人应认定为生成式人工智能服务提供者。

        基于上述,凡通过交互界面、应用程序、可编程接口(API)等方式,向境内公众提供生成文本、图片、音频、视频等各类内容服务的组织或个人,均应被认定为生成式AI服务提供者。具体而言,法研社认为,生成式AI服务提供者涵盖以下两大类主体:

        其一,生成式AI模型研发者。若大模型研发者主动开放模型接口供公众直接使用,使公众能够基于该接口生成相应内容,其行为已构成向公众提供生成式AI服务,理所当然属于生成式AI服务提供者的范畴。

        其二,生成式AI部署者,典型如中间平台型服务商,包括但不限于:API提供商、内容分发平台、行业解决方案提供商、Agent运营主体等。此类服务商虽未直接研发生成式AI模型,但通过API等方式将上游的生成能力整合后,向下游应用输出内容,为下游应用的用户提供个性化内容生成服务,从而间接实现了向公众提供生成式AI服务的目的,因此也应纳入生成式AI服务提供者的范围。

(二)“生成式AI服务提供者”的认定标准

        根据上述定义,判断是否属于“生成式AI服务提供者”,核心在于如何明确“向公众提供服务”的界定标准。经咨询相关主管部门并结合实践经验,法研社认为可依据以下特征进行“向公众提供服务”的认定:

        1、用户范围

        用户是否面对不特定对象,无需特定身份或权限即可使用?若是,则其服务对象具有不确定性,符合向公众提供服务的特征;若否,则不符合向公众提供服务特征,如企业内部工具、定向邀请测试(如内测邀请码)等。

        2、传播渠道

        传播渠道是否通过互联网、移动应用、API接口等开放平台提供服务。若是,则符合向公众提供服务的特征;若否,则不符合向公众提供服务特征,如本地部署的开源模型等。

        3、内容扩散性

        生成内容是否可能被公开发布或二次传播?若是,则符合向公众提供服务的特征,如虽为企业内部工具,但生成的内容被允许直接转发给不特定对象的客户或者公众,应属于“向公众提供服务”;若否,则不符合向公众提供服务特征。

        此处,还需进一步辨析的是,若为企业内部工具且企业要求不得对外直接提供,企业仅将生成式AI的生成内容作为部分来源参考,经过进一步加工并修改后提供给客户的行为可能不构成“向公众提供服务”。具体取决于企业是否对生成式AI的生成内容进行了实质性的审查和修改,若进行了实质性的审查和修改后再对外提供,由于对外传播的内容已经不属于AI生成内容,因此可认定为不属于“向公众提供服务”;如果对外传播的内容,仍大量依赖AI生成内容仅做形式修改,仍可能被视为“向公众提供服务”。

        综上,应根据所提供的服务是否实际面向公众而判断是否属于生成式AI服务提供者。法研社认为,若符合上述任何一项或多项特征的,原则上应属于“向公众提供服务”。

四、生成式AI服务提供者之资质证照

        根据《网络安全法》《互联网信息服务管理办法》《互联网信息服务算法推荐管理规定》《暂行办法》等相关法律法规的规定,生成式AI服务提供者可能涉及的资质证照,具体包括:

证照类型

法律依据

适用条件

证照用途

ICP备案/许可证

《互联网信息服务管理办法》第四条

所有通过互联网向公众提供生成式人工智能服务的主体(如网站、App、小程序等),无论是否收费,均需完成ICP备案或申请ICP许可证

互联网信息服务准入门槛,确保主体经营合法性

算法备案

《互联网信息服务算法推荐管理规定》第二十四条

具有舆论属性或社会动员能力的算法推荐服务

监管算法逻辑,防范偏见、虚假信息风险

大模型上线备案

《暂行办法》第十七

具有舆论属性或社会动员能力的生成式AI服务(如文本、图片、视频生成工具)

强化对高风险AI服务的源头监管,确保内容生成的合法性和可控性

大模型上线登记

网信部门及相关部门按照《暂行办法》第十七条及相关要求确定

对通过API方式或其他方式直接调用已备案大模型能力,且面向境内公众提供具有舆论属性或社会动员能力的生成式AI服务

同上

安全评估

《暂行办法》第十七条、《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

具有舆论属性或社会动员能力的生成式AI服务

评估服务对国家安全、社会秩序的影响

公安联网备案

《计算机信息网络国际联网安全保护管理办法》第十二条

国内从事互联网信息服务的企业或个人

加强互联网安全监管,预防和打击网络违法犯罪活动

信息安全等级保护备案

《网络安全法》第二十一条

处理用户数据或涉及网络服务的AI系统

确保系统符合国家网络安全等级保护标准

伦理审查

《科技伦理审查办法(试行)》

涉及《科技伦理审查办法(试行)》第二条规定的科技活动的生成式AI服务需设立伦理委员会,进行科学伦理审查

审查模型应用的潜在社会风险

行业资质

各行业专项法规(如涉及《互联网药品信息服务资格证》《网络文化经营许可证》信息网络传播视听节目许可证》等相关专项法规

涉及特殊行业的垂直领域AI服务(如医疗、金融、新闻传播

满足行业监管要求,避免违规

五、生成式AI服务提供者之合规义务

        根据《网络安全法》《互联网信息服务管理办法》《互联网信息服务算法推荐管理规定》《暂行办法》和《生成式人工智能服务安全基本要求》等相关法律法规及相关要求的规定,生成式AI服务提供者应当履行的合规义务,包括:

合规义务类型

合规义务主要内容

法律依据

数据合规义务

  1. 数据来源合规:依法开展预训练、优化训练等训练数据处理活动,使⽤具有合法来源的数据和基础模型;
  2. 数据内容合规:数据内容不可包含违法有害信息,不得侵害他⼈依法享有的知识产权;包含个人信息的,应当取得个⼈同意或者符合法律、⾏政法规规定的其他情形;训练数据真实、准确、客观、多样。

1、《中华人民共和国个人信息保护法》第十三条、第十七条、第二十一条、第二十九条、第三十条;

2、《中华人民共和国数据安全法》第三十二条、第三十三条;3、《生成式人工智能服务暂行管理办法》第四条、第七条、第八条、第九条、第十一条;

4、《中华人民共和国网络安全法》第四十一条、第四十二条;

5、《网络数据安全管理条例》第八条;

6、《互联网信息服务深度合成管理规定》第十四条条;

7、《生成式人工智能基本安全要求》第5章语料安全要求。

生成内容管理义务

1、生成内容真实准确,提供者应提高生成内容的准确性和可靠性;

2、生成内容合法,对输入内容进行审查引导、对输出内容进行实时监控、发现违法信息及时处置;

3、生成内容标识,根据文本、音频、视频等不同生成内容类型,在起始、末尾或其他适当位置添加显式标识或数字水印等隐式标识;提供生成合成内容的下载、复制、导出等功能时,确保文件中含有满足要求的标识。

1、《互联网信息服务管理办法》第十五条、第十六条;

2、《生成式人工智能服务暂行管理办法》第十二条;

3、《人工智能生成合成内容标识办法》第三条至第十一条;

4、《互联网信息服务深度合成管理规定》第六条、第十条、十六条、十七条;

5、《网络信息内容生态治理规定》第四条、第六条、第七条、第八条;

6、《生成式人工智能服务管理暂行办法》第第十二条、十四条;

7、《生成式人工智能基本安全要求》第6章模型安全要求c)生成内容准确性方面、第7章安全措施要求g)向使用者提供服务方面、第9章生成内容安全评估。

违法处置义务

1、违法内容处置义务,发现生成的内容存在违法信息时,应当立即停止生成、停止传输,并消除相关违法内容,并对模型进行优化训练,防止类似违法内容再次生成,同时向有关主管部门及时报告;

2、用户违法行为处置义务,发现用户从事违法活动时,应对用户进行警示,限制其功能,必要时暂停或终止向其提供服务,并记录用户的违法行为及处理情况,同时向有关主管部门及时报告。

1、《互联网信息服务深度合成管理规定》第十条;

2、《生成式人工智能服务暂行管理办法》第十四条;

3、《中华人民共和国网络安全法》第四十八条。

投诉机制和及时反馈义务

建立健全投诉、举报机制,设置便捷的投诉、举报入口,公布处理流程和反馈时限,及时受理、处理公众投诉举报并反馈处理结果。

1、《网络数据安全管理条例》第二十条;

2、《互联网信息服务深度合成管理规定》第十二条;

3、《生成式人工智能服务暂行管理办法》第十五条;

4、《中华人民共和国网络安全法》第四十九条;

5、《网络信息内容生态治理规定》第十六条;

6、《生成式人工智能基本安全要求》第7章安全措施要求f)接受公众或使用者投诉举报方面。

安全管理义务

1、数据安全管理。建立健全网络数据安全管理制度,制定内部安全管理制度和操作规程,明确安全负责人,落实安全保护责任,采取防范危害网络安全行为的技术措施,按照国家有关规定识别、申报重要数据;

2、提供的服务安全稳定。在其服务过程,提供安全、稳定、持续的服务,保障户正常使⽤。

1、《网络数据安全管理条例》第九条、第十九条、第二十九条至第三十三条、第四十一条、四十二条、四十五条、四十六条;

2、《中华人民共和国网络安全法》第十条、二十一条、第二十二条、第二十五、第四十六条、第四十七条;

3、《生成式人工智能服务管理暂行办法》第十三条

个人信息保护义务

1、个人信息收集时,有明确、合理的目的,且限于实现处理目的的最小范围,遵循合法、正当、必要的原则,履行告知义务;收集敏感个人信息应取得个人的单独同意,并告知必要性及对个人权益的影响;

2、个人信息处理时,应确保信息的安全性和准确性,制定并公开个人信息处理规则,便于个人查阅和保存,采取措施确保所处理的个人信息准确、完整;

3、个人信息跨境传输时,应通过数据出境安全评估,确保境外接收方的个人信息保护水平符合标准,并告知个人,取得单独同意;

4、保障个人在个人信息处理活动中查询、复制、更正、补充、删除、撤回同意等权利;

5、建立健全个人信息安全管理制度,对个人信息进行分类分级管理,采取相应的保护措施,并制定安全事件应急预案,及时应对和处置个人信息泄露、篡改、丢失等安全事件。

1、《中华人民共和国个人信息保护法》第五条至第十条、第十三条、第十四条、第十七条、第十九条、第二十九条、第三十一条、第三十八条至第四十八条、第五十一、第五十五条至五十八条;

2、《网络数据安全管理条例》第二十一条至第二十五条、第三十五条至第三十八条;

3、《生成式人工智能服务暂行管理办法》第九条、第十一条;

4、《中华人民共和国网络安全法》第二十二条、第四十条、第四十一条至第四十五条;

5、《生成式人工智能基本安全要求》第5章语料安全要求c)个人信息方面。

未成年人特殊保护义务

1、处理个人信息,应取得未成年人的父母或者其他监护人的同意。处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。

2、采取有效措施防范未成年人用户过度依赖或者沉迷。

3、开发适合未成年人使⽤的模式,提供适合未成年人使用的网络产品和服务。

1、《中华人民共和国个人信息保护法》第三十一条;

2、《网络数据安全管理条例》第二十二条;

3、《生成式人工智能服务暂行管理办法》第十条;

4、《网络信息内容生态治理规定》第十三条。

        目前,生成式AI服务提供者的私法义务在法律法规中尚未有明文规定。根据姚志伟教授的理论观点,生成式AI服务提供者在物理层面虽“提供”生成内容,但对海量生成内容的控制能力十分有限。其角色定位较为特殊,既非传统意义上的内容生产者,也非单纯的技术服务者。基于此,亟需构建新的法律主体规范,针对其特殊侵权责任认定规则进行明确和完善。

六、结语

        生产式AI服务提供者的合规是一项长期且持续进化的任务。政策法规为企业划定了基本要求,政策法规虽为企业设置了基本的合规框架,但真正的合规建设不应仅仅局限于满足法规底线,企业更需从自身实际情况出发,积极构建符合企业发展的合规体系。企业管理层应把合规视为一项具有战略价值的投资,通过有效实施合规战略,增强用户对企业的信任度,从而为企业赢得更广阔的市场和更坚实的竞争优势。

Logo

DAMO开发者矩阵,由阿里巴巴达摩院和中国互联网协会联合发起,致力于探讨最前沿的技术趋势与应用成果,搭建高质量的交流与分享平台,推动技术创新与产业应用链接,围绕“人工智能与新型计算”构建开放共享的开发者生态。

更多推荐