企业内部使用AIGC技术的主要法律风险及建议

随着ChatGPT、Bard、Midjourney、Stable Diffusion、文心一言等产品的全球风靡，越来越多的企业开始在内部使用AIGC相关产品/接口，旨在提升员工生产力，实现降本增效。

近期，中国开世界之先河，发布了AIGC监管的首部法规——《生成式人工智能服务管理暂行办法》（下称“AIGC办法”），将于2023年8月15日正式施行。《AIGC办法》发布后，企业普遍有一个误区，即：员工在企业内部使用AIGC技术没有法律风险。诚然，如《AIGC办法》第二条规定，企业未向境内公众提供AIGC服务，仅在内部使用的，“不适用本办法的规定”。但是，“不适用本办法的规定”不代表不适用其他法律规定，例如《网络安全法》、《数据安全法》、《个人信息保护法》、《电信条例》以及《互联网信息服务管理办法》等等。

因此，汇业律师事务所黄春林律师团队提醒，企业为内部员工提供AIGC技术，供员工用于设计、创意、营销、直播、客服、培训等工作场景的，仍应当关注包括但不限于如下法律风险：

【资料图】

一、加强供应商资质审查

尽管境外AIGC产品性能暂时优于国内产品，但是，企业还应当关注境外供应商产品的合规风险及业务连续性风险，加强供应商资质审查，确保采购合法合规的AIGC产品、服务或接口。

境外的AIGC产品向境内企业提供服务的，属于《AIGC办法》规制范围，同时还要遵守中国《网络安全法》、《电信条例》等规定。未在境内依法取得与其业务相适应的资质，未遵守中国法规定的合规义务的，存在无证经营及违规经营的法律风险。

同时，企业还应当关注采购境外AIGC产品可能涉及的技术进出口合规问题，严格遵守出口地有关规定，依法履行进口地相关的备案义务。

此外，境内供应商封装、集成境外的AIGC产品或接口向境内企业提供服务的，亦应当遵守《AIGC办法》及相关法律法规之规定。

二、关注AIGC用户协议

企业采购供应商的AIGC服务的，除了应当重点关注采购协议/服务协议相关的线下协议外，还应当关注供应商产品的线上协议/规则/政策（统称“线上协议”）等，确保线上线下协议的一致性，并确保合作内容、使用范围、使用目的等不会违反这些不时更新的、并经企业员工点击确认的线上协议，确保输入信息、使用记录及生成内容等的数据权益有利于己方。

三、严格限于内部使用

企业应当严格限制采购的AIGC服务仅用于内部事务，不得用于直接向公众提供服务。这里的“公众”不限于C端自然人，也包括B端企业用户。因此，企业应当尽量避免采购的AIGC服务、接口及账号等转租、转借给他人，严格加强员工账号管理，等等。

四、保护商业秘密与个人信息

企业应当采取适当的措施（包括过滤技术、制度、培训等），限制员工在使用AIGC时，通过输入信息、提示词等方式泄露企业或企业之客户的商业秘密，包括但不限于商业计划、工艺流程、产品配方、市场活动方案、财务及业务数据等等。企业宜要求AIGC供应商隔离存储企业的输入信息、提示词及生成物，避免该等数据用于算法训练、语料库或向其他用户生成内容。

企业应当通过采购协议及其附件等形式，要求供应商加强企业员工在使用AIGC过程中的个人信息保护，不得收集非必要个人信息，不得非法留存能够识别员工身份的输入信息和使用记录，不得非法向他人提供员工的输入信息和使用记录。

五、保障数据安全与合规

企业在使用AIGC的过程中输入及产生的数据信息具有极高的商业价值，是企业的重要数据资产，企业应当保障数据安全，尽量要求供应商隔离存储并采取与资产价值相适应的安全措施，重视竞争对手基于AIGC的定向网络攻击。必要时，还应当要求供应商私有化部署相关数据服务器，确保数据资源的物理安全。

此外，员工账号、员工使用记录及输入信息可能含有个人信息，部分输入内容还可能含有重要数据。因此，企业内部使用AIGC技术还应当遵守中国数据出境相关的规定。

除非具有充分的合法性，企业不得将一方数据（尤其是用户个人信息及UGC内容），亦不得违规爬取三方数据，用于AIGC的算法训练。

六、避免违法、虚假及有害信息

AIGC生成内容的准确性、可靠性及合法性，一直是立法者、监管机构及业界的重点关注问题。AIGC生成内容违法、虚假的，不仅会影响企业的正常经营秩序，还可能会增加企业的合规风险。例如，企业的市场部门利用AIGC生成产品文案内容的，或者客服部门利用AIGC生成客户回复内容的，应当确保内容符合广告法、价格法、产品质量法、消法等法规规定。

同时，企业利用AIGC生成内容对外公开发布的，企业作为AIGC的使用者，还应当遵守《AIGC办法》第四条等规定，加强内容人工审查，确保输入内容及生成内容不含违规及不良内容。AIGC不是法外之地，人工智能也不是免责的挡箭牌。

七、确保多元化，建立健全伦理审查机制

企业利用AIGC技术能够提高生产力，但同时也容易造成同质化。因此，企业在推动内部员工使用AIGC技术的同时，应当采取切实有效的措施确保创意、视角及价值观的多元化，增强产品及服务过程中的人文视角，避免所有员工过度依赖单一AIGC产品形成信息、价值及人文“茧房”。

同时，多元化也有利于防范竞争对手发起的基于AIGC的数据污染攻击，提高产品及服务的可靠性。

此外，企业在特殊部门，或特殊产品的研发、设计或生产中，例如面向儿童等特殊人群、涉及人的生命健康或基本民事权益的，使用AIGC技术的，宜建立健全伦理审查机制，确保最终产品或服务不得含有歧视性，不得损害社会公平，不得危害他人健康及隐私，等等。

八、确保网络接入方式合规

企业接入境外供应商的AIGC产品或接口，需要使用VPN等类似网络接入方式的，应当确保网络接入方式不得违反工信部的有关规定；利用内部网络或系统集成AIGC接口的，应当确保相关域名依法办理了ICP备案、公安联网备案等。

九、关注特殊业务资质

尽管是内部使用AIGC技术，但是相关应用场景一旦触发业务准入资质的（例如利用AIGC开展广播电视节目制作、辅助诊断、投资顾问等，或者将相关生成物出版发行等），企业还应当依法办理与其业务相适应的资质证照。

十、制定AIGC安全管理制度与合规指引

企业应当制定AIGC安全管理制度，明确AIGC的安全管理岗位及职责，明确安全事件的应急处理机制，等等；企业还应为员工合规使用AIGC提供合规指引或提示，避免员工因不了解法律规定而误触违法地带，切实履行企业的审慎注意义务及管理责任。（黄春林、冯莉）

标签：