《生成式人工智能模型训练合规技术规范》_第1页
《生成式人工智能模型训练合规技术规范》_第2页
《生成式人工智能模型训练合规技术规范》_第3页
《生成式人工智能模型训练合规技术规范》_第4页
《生成式人工智能模型训练合规技术规范》_第5页
已阅读5页,还剩14页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1范围

本文件规定了生成式人工智能在进行模型训练时应遵守的合规原则,给出了相应的合规

要求与规定。

本文件适用于指导生成式人工智能进行模型训练。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期

的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括

所有的修改单)适用于本文件。

GB/T4943.1信息技术设备安全第一部分:通用要求

GB/T5271.1-2000信息技术词汇第1部分:基本术语

GB/T5271.28-2001信息技术词汇第28部分:人工智能基本概念与专家系统

GB/T5271.29-2006信息技术词汇第29部分:人工智能语音识别与合成

GB/T5271.31-2006信息技术词汇第31部分:人工智能机器学习

GB/T29246-2023信息安全技术信息安全管理体系概述和词汇

GB/T29490-2023企业知识产权合规管理体系要求

GB/T32914-2023信息安全技术网络安全服务能力要求

GB/T32916-2023信息安全技术信息安全控制评估指南

GB/T35273-2020信息安全技术个人信息安全规范

GB/T35770-2022合规管理体系要求

GB/T41479-2022信息安全技术网络数据处理安全要求

GB/T41867-2022信息技术人工智能术语

GB/T42018-2022信息技术人工智能平台计算资源规范

GB/T42574-2023信息安全技术个人信息处理中告知和同意的实施指南

GB/T42755-2023人工智能面向机器学习的数据标注规程

GB/T43269-2023信息安全技术网络安全应急能力评估准则

GB/T43557-2023信息安全技术网络安全信息报送指南

TC260-PG-20202A移动互联网应用程序(App)收集使用个人信息自评估指南

2

TC260-003生成式人工智能服务安全基本要求

3术语和定义

3.1生成式人工智能

简称AIGC,具有文本、图片、音频、视频等内容生成能力的人工智能模型及相关技术。

3.2模型训练

利用训练数据,基于机器学习算法,确定或改进机器学习模型参数的过程。

3.3测试数据

用于评估最终机器学习模型性能的数据。[来源:GB/T41867-2022,定义3.2.3]

注:测试数据与训练数据无交集。

3.4数据标注

给数据样本指定目标变量和赋值的过程

3.5个人信息

以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名

化处理后的信息

3.6敏感个人信息

一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到

危害的个人信息。

3.7告知

使个人知晓其个人信息处理活动及其有关规则的行为。

3.8同意

个人对其个人信息进行处理自愿、明确作出授权的行为。

3.9提供

个人信息处理者通过共享、转移等方式将个人信息传输或披露给其他个人信息处理者的

行为。

3.10训练数据

用于训练机器学习模型的输入数据子集。

3

4合规原则

生成式人工智能数据应用应符合以下合规原则:

4.1科技伦理原则:在生成式人工智能数据应用的各个环节中,需注意遵循增进人类福祉、

尊重生命权利、坚持公平公正、合理控制风险、保持公开透明的科技伦理原则;

4.2内容安全原则:在利用生成式人工智能技术进行内容生成时,应采取有效措施避免生成

违背社会主义核心价值观的内容,避免生成具有歧视性的内容,避免生成虚假有害信息

等法律、行政法规禁止的内容;

4.3人格保护原则:在生成式人工智能数据应用的各个环节中,应注重保护自然人的人格利

益,不得侵害他人肖像权、名誉权、荣誉权、隐私权和个人信息权益等;

4.4商业利益原则:在模型开发、服务提供等数据应用环节中,提供者应尊重他人的知识产

权、数据权益等,避免实施垄断、不正当竞争等侵犯其他商业主体合法权利的行为;

4.5技术发展原则:提供者在服务提供过程中应注意及时收集反馈信息,提高生成内容的准

确度与可靠性,不断促进人工智能技术的优化与发展;

4.6体系合规原则:提供者应搭建完善的合规管理体系,就生成式人工智能数据应用的各个

环节,制定合规管理制度,采用有效的技术方法和其他管理措施,实现数据应用合规管

理目标。

5数据收集合规要求

5.1合规性审查

对用于模型训练的数据,提供者应根据获取数据的不同方式以及数据自身的不同类别,

建立数据来源和内容合法性的审查机制。

5.2收集方式

5.2.1直接收集数据

提供者可直接从个人信息主体处获取个人信息,或在自身日常生产经营中创造生产新数

据、以原始数据为基础加工生产新数据。

5.2.2间接收集数据

在事先评估合法的前提下,除直接获取数据外,提供者可从其他主体处间接获取数据,

4

即通过数据交易、数据共享、公共数据授权运营等途径获取数据。

提供者应同相对方签订相应的法律协议,谨慎审核相对方的数据来源合法性以及数据可

交易性,并要求相对方作出来源合法性、可交易性和可使用性承诺,或出示相关证明等。鼓

励提供者通过数据交易所等公开平台获取数据,以提升数据来源的合法合规性。

5.3数据类别

5.3.1公开数据信息

提供者可以使用一些平台上公开可用的数据集,这些数据集通常经过整理和标注,适用

于各种机器学习任务;通过人工收集的方式获取数据信息,应注意获取手段的合法合规,不

得侵犯他人合法权益;通过网络爬虫工具抓取网页内容或是从应用程序接口(API)中获取

数据,应遵守目标网站的网络爬虫排除协议(Robots协议)等声明文件要求,避免采用破

解密码、伪造用户代理(UserAgent)、设置代理网际协议地址(IP地址)等技术手段进行

违规爬取。应控制数据爬取的流量与频率,避免因爬取行为影响目标网站的正常运行。爬取

移动互联网应用程序(App)、小程序等所依赖的网络服务应用程序接口(API)中的数据,

应当遵守API的服务授权声明。

公开数据附有数据使用许可条件或使用限制的,提供者获取该公开数据后,应遵守相关

约定。

5.3.2个人数据信息

如提供者采集的数据类型中包含个人信息,应遵循相应的法律法规,包括但不限于以下

内容。

5.3.2.1收集个人信息的合法性要求。

对个人信息控制者的要求包括:不得欺诈、诱骗、强迫个人信息主体提供其个人信息;

不得隐瞒产品或服务所具有的收集个人信息的功能;不得收集法律法规明令禁止收集的个人

信息;不得从非法渠道获取个人信息。

5.3.2.2收集个人信息的最小必要性要求。

收集个人信息对个人信息控制者的要求包括:收集的个人信息的类型应与实现产品或服

务的业务功能有直接关联,直接关联是指没有上述个人信息的参与,产品或服务的功能无法

实现;自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;间接获

取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。

5

5.3.2.3收集个人信息时的授权同意。

对个人信息控制者的要求包括:收集个人信息,应向个人信息主体告知收集、使用个人

信息的目的、方式和范围等规则,并获得个人信息主体的授权同意;

收集个人敏感信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示

同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示;

收集个人生物识别信息前,应单独向个人信息主体告知收集,使用个人生物识别信息的

目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;

收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不

满14周岁的,应征得其监护人的明示同意;

间接获取个人信息时,应要求个人信息提供方说明个人信息来源,并对其个人信息来源

的合法性进行确认。应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使

用目的,个人信息主体是否授权同意转让、共享、公开披露、删除等。如开展业务所需进行

的个人信息处理活动超出已获得的授权同意范围的,应在处理个人信息前,征得个人信息主

体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意。

5.3.2.4告知与同意的基本原则。

个人信息处理者在实施告知时需考虑以下基本原则:

a)公开透明:公布处理个人信息的种类、目的、方式、安全措施等处理规则,不得

采取故意遮挡、隐藏等方式诱导个人略过告知内容;

b)有效传达:尽可能通过交互式界面、邮件、电话或短信等方式向相关个人进行告

知;

c)适时充分:在收集、提供、公开等个人信息处理活动发生之前或同时,对个人进

行充分告知;

d)真实明确:告知个人信息的处理种类、目的、方式等规则与实际情况一致,且需

结合实际业务功能,不使用笼统、宽泛的表述;

e)清晰易懂:告知文本符合个人的语言习惯,使用通用且无歧义的语言、数字、图

示等。

个人信息处理者在取得个人同意时需考虑以下基本原则:

a)告知一致:取得同意的范围不超出所告知的内容;

b)自主选择:支持个人通过自行操作的方式作出同意,不使用默认勾选的方式取

得同意;

6

c)时机恰当:在个人信息收集行为发生前,且同步传达告知内容时,取得个人同

意,以增进个人对业务功能与所收集的个人信息之间关联性的理解:

d)避免捆绑:区分产品或服务的业务功能,不采用捆绑方式强迫个人一次性同意多

种业务功能可能收集的个人信息或多个处理活动,个人拒绝同意时,不影响与该

个人信息无关的业务功能的正常使用。

5.3.2.5个人信息的展示限制。

涉及通过界面展示个人信息的(如显示屏幕、纸面),个人信息控制者宜对需展示的个

人信息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险。例如,在个人信息

展示时,防止内部非授权人员及个人信息主体之外的其他人员未经授权获取个人信息。

5.3.2.6个人信息的使用限制。

对个人信息控制者的要求包括:除目的所必需外,使用个人信息时应消除明确身份指向

性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而

用于推送商业广告目的时,则宜使用间接用户画像。

对所收集的个人信息进行加工处理而产生的信息,能够单独或与其他信息结合识别自然

人个人身份,或者反映自然人个人活动情况的,应将其认定为个人信息。对其处理应遵循收

集个人信息时获得的授权同意范围。

5.3.3知识产权保护

获取数据用于模型训练的,应采取以下手段防止对他人知识产权的侵害:

对于已超过著作权保护期限进入公有领域的作品,提供者可以采集相关数据投入模型训

练,但应避免在生成内容中侵犯著作权人的署名权、修改权与保护作品完整权等著作人身权;

对仍在著作权保护期限内的作品,提供者应主动采取措施获取著作权人的授权,明确其

作品可用于生成式人工智能的模型训练;

建议提供者通过著作权集体管理组织获取著作权人的授权;

对于商标权、专利权、商业秘密等其他类型的知识产权,建议提供者根据数据类型和数

据来源进行必要甄别,如发现有侵权可能的,应避免采集或取得权利人的授权。

7

6数据预处理合规要求

6.1数据预处理总体要求

6.1.1数据识别。

网络运营者应识别数据处理中涉及的数据,包括个人信息、重要数据和其他数据,形成

数据保护目录,并及时更新。

6.1.2分类分级。

网络运营者应按照相关国家标准,根据合同规定和业务运营需要,对所识别的数据进行

分类分级管理。

6.1.3风险防控。

网络运营者开展数据处理时,应按照合同约定履行数据安全保护义务,开展数据处理活

动应加强风险监测,发现数据安全缺陷、漏洞等风险时,应采取加密、脱敏、备份、访问控

制、审计等技术或者其他必要措施,加强数据安全防护,保护数据免受泄露、窃取、修改、

损毁、不正当使用等;对重要数据和敏感个人信息进行重点保护,应按照规定对其数据处理

活动定期开展风险评估,并向有关主管部门报送风险评估报告。

风险评估报告应包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的

数据安全风险及其应对措施等。

应建立数据安全管理责任和评价考核制度,制定数据安全保护计划,开展安全风险评估,

及时处置安全事件,组织开展教育培训。

6.1.4审计追溯。

网络运营者应对数据处理的全生存周期进行记录,确保数据处理可审计、可追溯。

6.2数据预处理安全技术要求

6.2.1通则

网络运营者在开展数据处理时应进行影响分析和风险评估,采取必要的措施对识别的风

险进行控制,以保障数据安全。

6.2.2收集

网络运营者为提供服务而必须处理个人信息的,应遵循合法、正当、必要的原则,不应

收集与其提供的服务无直接或无合理关联,或超出个人信息主体明示同意期限的个人信息,

8

且遵守以下要求:

6.2.2.1应制定和公开个人信息保护政策并严格遵守,个人信息保护政策应符合GB/T

35273-2020中5.5要求;

6.2.2.2收集个人信息前,应明示个人信息保护政策,并征得个人信息主体同意;

6.2.2.3改变处理个人信息的目的、类型、范围、用途的,应及时告知个人信息主体,

修改个人信息保护政策,并重新征得个人信息主体同意,涉及个人信息保护政策变

动的应修改个人信息保护政策:

6.2.2.4明示所提供产品或服务的类型,以及该产品或服务所必需的个人信息,不应因

用户不同意或撤回同意提供该产品或服务所必需个人信息以外的信息,而拒绝提供

该产品或服务;

6.2.2.5不应仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为目的,

强制要求、误导用户同意收集个人信息;

6.2.2.6收集敏感个人信息前,应取得个人信息主体的单独同意,确保单独同意是在完

全知情的基础上自主给出的、具体的、清晰明确的意愿表示;

6.2.2.7收集不满十四周岁未成年人个人信息前,应取得未成年人的监护人的单独同意;

6.2.2.8从个人信息主体以外的其他途径获得个人信息的,应了解个人信息来源、个人

信息提供方已获得的个人信息处理授权同意范围,并按照本文件的要求履行安全保

护义务。

6.2.3存储

网络运营者应对数据存储活动采取安全措施,包括:

6.2.3.1存储重要数据和个人信息等敏感网络数据,应采取加密、安全存储、访问控制、

安全审计等安全措施;

6.2.3.2存储重要数据和个人信息,不应超过与重要数据和个人信息主体约定的存储期

限或个人信息主体授权同意有效期;

6.2.3.3存储个人生物特征识别信息的,应遵守GB/T35273-2020中6.3b)和c)的要求及

生物特征识别信息保护等相关国家标准要求。数据接收方存储数据时,应按要求采

取安全措施并以合同进行约定。

9

6.2.4使用

网络运营者在为用户提供定向推送或信息合成服务时的要求如下:

6.2.4.1定向推送及信息合成:

a)网络运营者利用个人信息和算法为用户提供定向推送信息服务的,同时应提供非

定向推送信息的服务选项;

b)在向个人信息主体提供新闻、博客类信息服务的过程中,网络运营者利用算法自

动合成文字、图片、音视频等信息,应明确告知用户。

6.2.5.2第三方应用管理:

网络运营者应对接入或嵌入其产品或服务的第三方应用加强数据安全管理,包括:

a)应通过合同等形式,明确双方的数据安全保护责任和义务;

b)应监督第三方应用运营者加强数据安全管理,发现第三方应用没有落实安全管理

责任的,应及时督促整改,必要时停止接入;

c)网络运营者知道或者应知道第三方应用利用其平台侵害用户民事权益,未采取必

要措施的,应与第三方应用运营者承担连带责任;

d)宜对接入或嵌入的第三方应用开展技术检测,确保其数据处理行为符合双方约定

要求,对审计发现超出双方约定的行为及时停止接入。

6.2.5加工

网络运营者在开展转换、汇聚、分析等数据加工活动的过程中,知道或者应知道可能危

害国家安全和公共安全、经济安全和社会稳定的,应立即停止加工活动。

6.2.6传输

网络运营者应对数据传输活动采取安全措施,包括:

传输重要数据和敏感个人信息时,应采用加密、脱敏等安全措施;向数据接收方传输数

据时,应按要求采取安全措施并以合同进行约定。

6.2.7提供

6.2.7.1向他人提供:

网络运营者向他人提供数据前,应进行安全影响分析和风险评估,可能危害国家安全、

公共安全、经济安全和社会稳定的,不应向他人提供。要求如下:

10

a)向他人提供个人信息,应向个人信息主体告知接收方的名称,联系方式、处理目

的、处理方式、个人信息的种类、存储期限,并取得个人信息主体同意;

b)共享、转让重要数据,应与数据接收方通过合同等形式明确双方的数据安全保护

责任和义务,采取加密、脱敏等措施保障重要数据安全;

c)委托第三方开展数据处理活动的,应通过合同等形式明确约定委托处理的目的、

期限、处理方式、数据的种类、保护措施、双方的权利和义务,以及第三方返还或

删除数据的方式等,要求第三方以合同中约定的形式返还、删除接收和产生的数据,

并对数据处理活动进行监督;

d)发生收购、兼并、重组、破产时,数据接收方应继续履行相关数据安全保护义务;

没有数据接收方的,应删除数据。

6.2.7.2数据出境:

网络运营者向境外提供个人信息或者重要数据的,应遵循国家相关规定和相关标准的要

求,境内用户在境内访问境内网络的,其流量不应路由至境外。

6.2.8公开

网络运营者利用所掌握的数据资源,公开市场预测、统计等信息时,不应危害国家安全、

公共安全、经济安全和社会稳定。

6.2.9投诉、举报受理处置

网络运营者应建立投诉、举报受理处置制度。收到通过其平台编造、传播虚假信息,发

布侵害他人名誉、隐私、知识产权和其他合法权益信息,以及假冒、仿冒、盗用他人名义发

布信息的投诉、举报的,自接受投诉举报起,受理时间不超过3天。受理后进行调查取证,

对于查实的编造、传播虚假信息,发布侵害他人名誉、隐私、知识产权和其他合法权益信息,

以及假冒、仿冒、盗用他人名义发布信息的投诉、举报,依法采取停止传输、消除等处置措

施。

6.3数据标注合规要求

6.3.1标注规则的制定

为模型训练的目的需要进行数据标注的,应按法律法规以及数据需求方的要求,依据以

下规定制定标注规则:

11

6.3.1.1标注规则应根据数据需求方对模型训练的具体要求制定;

6.3.1.2标注规则应清晰、具体、全面、细化,对标注人员具有实际操作性;

6.3.1.3标注规则的确定应有利于提高训练数据的准确性,标注过程中如发现冗余数据、

错误数据、异常数据等情况应进行及时处理;

6.3.1.4标注规则的确定应有利于保持训练数据的客观性,避免因规则设计的主观性导

致标注结果发生同客观情况的偏离;

6.3.1.5标注规则应进行定期审查和更新,以适应新的法律法规、技术发展和业务需求

的变化。

6.3.2数据标注质量评估

数据标注的全流程实施过程中应包含质量评估的环节,具体操作可依据GB/T

42755-2023第6.2和第7.1条规定的流程与方法进行实践。

质量评估可采用抽样核验、机器验证、第三方验证等方式进行,根据场景需求及项目特

点,建议选择两种以上方式进行数据标注准确度和一致性检查,并根据检查结果及时进行反

馈校正。

6.4训练数据预处理合规要求

6.4.1提高训练数据质量

提供者应采取有效措施提高训练数据质量,并从真实性、准确性、客观性、多样性、安

全性等角度考虑训练数据以提升数据质量。当各方面要求不能同时满足或可能存在冲突时,

提供者应进行谨慎考量,以防止训练数据的不当选择影响生成内容的质量。

6.4.2训练数据的真实性

提供者应从数量和质量上判断所获取的数据是否具有可靠的来源,是否能够反映真实世

界的情况,并通过人工或模型等方式就数据内容的真实性进行核验。

6.4.3训练数据的准确性

提供者可采用数据去重、去除异常值、纠正错误等数据清洗方法,以提高数据集的准确

性和一致性,排除噪声和偏差。

12

6.4.4训练数据的客观性

训练数据宜尽可能中立和无偏见,在数据采集与后续处理环节中均应避免人为干扰、选

择偏见和其他主观因素的介入。

6.4.5训练数据的多样性

为提高模型的性能和泛化能力,应充分考虑数据来源、数据类型及样本特征分布的均衡

和多样化。为防止生成存在偏见或歧视的内容,应进行充分多样化和具有代表性的数据选择,

确保其包含各个民族、信仰、国别、地域、性别、年龄、职业和健康等的充分信息。

6.4.6训练数据的安全性

为确保训练数据的安全性,应对训练数据的来源进行安全评估和核验。

7模型训练与测试合规要求

7.1模型训练

7.1.1训练步骤

模型训练应至少包括预训练与优化训练等两重的训练环节。

7.1.2预训练

预训练应选择具有合法来源的基础模型,基础模型应经过可靠性、安全性、合法性以及

价值观等方面的测评,才可在此基础上进行后续训练。

7.1.3优化训练

经过预训练后形成的算法模型,还应通过优化训练进一步使用已标注的数据进行后续流

程,来优化模型训练的最终结果。

7.1.4模型验证

在模型训练的不同环节中,均可使用验证数据对模型的参数与设置进行持续优化。验证

数据可与训练数据来源于同样的数据集,但在训练过程中应保持相对独立。

13

7.2模型测试

在正式为公众提供内容生成服务之前,为保证模型生成的效果,应按照以下要求进行模

型测试:

7.2.1制定全面完整严格的测试指标体系,以减少幻觉、有害偏见和违法内容的生成;

7.2.2引入人工方式或其他模型进行对抗测试,根据结果反馈实现对模型性能的改进优

化;

7.2.3建立动态调整的指标体系与测试方案,定期评估和调整指标体系,确保测试结果

的有效性;

7.2.4测试数据的来源应独立于训练数据与验证数据,且应按照同样标准进行预处理;

7.2.5确保模型在经过严格测试并核验完成之后才对公众提供内容生成服务;

7.2.6模型评价依据、测试指标体系、测试与核验办法及采用的技术手段等,均应明确

记录,做到可查询、可溯源。

8内容生成服务合规要求

8.1使用者尽责义务的告知

提供者应当与注册使用其服务的使用者(下称“使用者”)签订服务协议,在服务协议中

明确告知使用者如下事项:

8.1.1生成式人工智能服务的基本特点与可能风险;

8.1.2使用者使用生成式人工智能服务的基本规范,包括不得利用生成式人工智能服务特性,

有意识地获取违反法律法规、违反社会公德或伦理道德的内容;

8.1.3使用者负有审慎、尽责使用生成式人工智能服务的义务,在生成内容含有违反法律法

规、违反社会公德或伦理道德的内容时,不应将此生成内容对外传播;

8.1.4明确告知使用者与生成内容相关的具体使用场景,例如明确生成内容是否可使用于科

研、商用或自用等目的,以及其他使用限制条件;

8.1.5对于生成内容在特定行业的应用,尤其是对内容准确性有较高要求的如法律、医疗等

领域,应向使用者重点提示风险。

8.2生成内容的审核

提供者应建立生成内容审核机制,通过技术手段或人工审核的方式,对生成式人工智能

14

生成的内容在对外提供前进行检测,识别并过滤其中的个人隐私信息、虚假有害信息、违法

违规信息等不宜对外提供的内容。

8.3生成内容的标识

提供者利用生成式人工智能技术向使用者提供文本、图片、音频、视频等生成内容时,

需依据TC260-PG-20233A第3章的规定,通过水印等方式对生成内容进行明确标识,标识

信息至少应包含“由人工智能生成”或“由AI生成”等含义。在由自然人提供服务转为由

人工智能提供服务容易引起混淆时,应通过提示文字或提示语音的方式进行标识。

8.4生成内容的异议审查机制

应建立使用者对生成内容提出异议的通知-受理机制、举报-受理机制,当使用者或举报

者对生成内容合法合规性有异议,向提供者通知、举报时,提供者应按如下机制来处理:

8.4.1及时向使用者或举报者反馈,告知其已进入生成内容异议审核阶段;

8.4.2及时判断被异议的生成内容是否违反法律法规、违反社会公德或伦理道德;

8.4.3一旦确认被异议的生成内容违反法律法规、违反社会公德或伦理道德的,应及时采取

停止生成、停止传输、消除等处置措施,并采取模型优化训练等措施进行整改;

8.4.4向使用者或举报者告知生成内容的异议处理情况,并视具体情况向有关主管部门报告。

8.5使用者信息保护

提供者对使用者的个人信息、输入信息和使用记录应依法履行如下保护义务:

8.5.1根据必要性原则,仅收集与提供服务目的直接相关的个人信息;

8.5.2不得非法留存能够识别使用者身份的输入信息和使用记录;

8.5.3不得非法向他人提供使用者的输入信息和使用记录,除非获得使用者同意,或具有其

他合法性基础;

8.5.4未进行明确告知并取得使用者同意的,提供者不得擅自将使用者的输入信息用于后续

模型训练,除非具备其他合法性基础。

8.6被侵权人维权支持

为应对因使用者不当使用人工智能生成内容造成他人权益损害的问题,提供者应建立被

侵权人维权支持机制。在确认侵权事实属实的前提下,就被侵权人在法律框架内维护其合法

权益提供合理配合,并采取必要措施防止侵害结果的扩大。

15

16

T/CSHB

河北省版权协会团体标准

生成式人工智能模型训练合规技术规范

GenerativeAImodeltrainingcomplieswithtechnicalspecifications

河北省版权协会发布

1范围

本文件规定了生成式人工智能在进行模型训练时应遵守的合规原则,给出了相应的合规

要求与规定。

本文件适用于指导生成式人工智能进行模型训练。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期

的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括

所有的修改单)适用于本文件。

GB/T4943.1信息技术设备安全第一部分:通用要求

GB/T5271.1-2000信息技术词汇第1部分:基本术语

GB/T5271.28-2001信息技术词汇第28部分:人工智能基本概念与专家系统

GB/T5271.29-2006信息技术词汇第29部分:人工智能语音识别与合成

GB/T5271.31-2006信息技术词汇第31部分:人工智能机器学习

GB/T29246-2023信息安全技术信息安全管理体系概述和词汇

GB/T29490-2023企业知识产权合规管理体系要求

GB/T32914-2023信息安全技术网络安全服务能力要求

GB/T32916-2023信息安全技术信息安全控制评估指南

GB/T35273-2020信息安全技术个人信息安全规范

GB/T35770-2022合规管理体系要求

GB/T41479-2022信息安全技术网络数据处理安全要求

GB/T41867-2022信息技术人工智能术语

GB/T42018-2022信息技术人工智能平台计算资源规范

GB/T42574-2023信息安全技术个人信息处理中告知和同意的实施指南

GB/T42755-2023人工智能面向机器学习的数据标注规程

GB/T43269-2023信息安全技术网络安全应急能力评估准则

GB/T43557-2023信息安全技术

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论