目次

一、GenAI应用可能涉及到哪些现实风险？

二、AI生成物本身是否可以获得相应权利保护？

三、从欧盟《人工智能法案》看我国GenAI的管理

2024年被网友称为AI视频元年。本以为自去年阿尔特曼与OPEN AI的宫斗大戏落幕以后，生成式人工智能的热度会有所退减，但自今年2月SORA的推出，到LTX Studio的发布，再到各类国产AI视频大模型的涌现，人们的目光似乎又被拉了回来。在焦虑自己的工作会不会被取代的同时，生成式人工智能如何监管、如何合规的问题再次跃入大众视野。

目前我国明确针对GenAI（Generative Artificial Intelligence）管理的法律法规有2022年11月25日发布的《互联网信息服务深度合成管理规定》及2023年7月10日发布的《生成式人工智能服务管理暂行办法》。其中对于GenAI服务提供者的责任、数据和技术管理、监督检查和法律责任等方面进行了规定。目前规定的内容多为原则性，其实并不能对应解决GenAI带来的全部现实风险。那么GenAI可能面临哪些现实风险呢？AI生成物本身又是否可以获得相应权利保护呢？2024年3月刚刚通过的欧盟《人工智能法案》对我国GenAI管理有何借鉴意义呢？笔者将以时下国内外热门的GenAI案例，结合国内外的法律法规，浅析生成式人工智能的前述合规问题。

一、GenAI应用可能涉及到哪些现实风险？

在上一篇文章中，我们分析过GenAI的工作原理，通用大模型需要依托大量的训练数据，而GenAI应用与用户互动的过程中也会实际采集到用户信息。如此我们不难分析出，GenAI的风险主要涉及到数据合规、知识产权、个人信息、他人的合法权益四个主要方面。

1.生成式人工智能服务平台的合规

在具体分析这四个方面前，我们先来看今年2月广州互联网法院审结的全球首例AIGC侵权案件。该案中，被告利用平台生成了与日本“奥特曼”动漫形象实质性相似的图片，并向客户提供。而平台的AI绘画功能每次生成图片需要消耗算力，所以需要额外进行充值。原告认为，被告未经授权，擅自利用原告享有权利的作品训练其大模型并生成实质性相似的图片，且通过销售会员充值及算力购买等增值服务非法获利的行为构成著作权侵权。那么，本案中平台是否应该承担责任呢？

首先，法院肯定了生成图片确实与原作品构成实质性相似，侵犯了原作的复制权和改编权，其次，判定平台作为服务提供者，没有尽到合理的注意义务，应承担赔偿责任。法院在分析平台合理义务时主要提到三个方面：（1）平台欠缺投诉举报机制（2）平台欠缺风险提示。作为服务提供商，平台没有通过协议形式提醒用户不得侵害他人著作权（3）生成物欠缺显著标识。

我们结合该案判决来看我国的相关法律规定。

（1）数据合规。人工智能的合规，离不开数据合规，而其中又分为训练数据、采集数据和输出数据这三个方面。在本案中，原告主张被告平台未经授权使用“奥特曼”相关形象用于其大模型训练。从训练数据方面来看，在《生成式人工智能服务管理暂行办法》（以下简称“《办法》”）第七条确实规定，“要使用有合法来源的数据”，这也与我国《数据安全法》第三十二条相映照。

但笔者发现，在本案中被告平台方并不是通用大模型的所有方，而是通过可编程接口的方式接入系统的第三方服务商。所以训练大模型的数据来源不合法的责任是无法归咎于被告平台的。但我国《办法》对于“生成式人工智能服务提供者”的定义是“利用生成式人工智能技术提供生成式人工智能服务，包括通过提供可编程接口等方式提供生成式人工智能服务的组织、个人。”而《办法》对于服务提供者的义务和要求又是统一，未细分的，包括了训练数据来源合法、不得侵犯他人知识产权、生成显著标识等方面。显然，规定的出发点是好的，但企业在实践中确实容易产生诸多问题。

（2）知识产权。本案中的AI生成物就与原作构成了实质性相似，不仅是国内，国外的GenAI也出现过类似案例。一位与DC和漫威等电影工作室有过多次合作的插画师Reid Southen 在测试MidjourneyV6版本时，就发现其生成的图像与很多电影游戏中的场景几乎一模一样。我国《办法》第七条虽然规定了生成物“不得侵害他人依法享有的知识产权”，但落到实际合规中仍有很多路要走。欧盟《人工智能法案》中对于通用大模型定义，其训练数据应达到10亿的数量级。如果以此要求来看通用大模型，恐怕这其中难免不少是未获得授权的素材。而依托于训练素材产生的生成内容，恐怕还是多多少少会具有原作的影子。要求服务提供商对用户从事违法活动采取警示、限制功能；建立投诉举报机制，并逐一筛查和删除，笔者认为，这种在技术上是否能够实现尚不得而知，但对于像本案中的第三方服务提供商而言，确实注意义务过高。

（3）个人信息。则属于采集数据的范畴，《办法》要求不得违反《中华人民共和国个人信息保护法》的规定，不得收集他人非必要的个人信息。

（4）他人合法权益。更多涉及输出数据的合规，《办法》要求应防止产生民族、信仰、国别、地域、性别、年龄、职业、健康等歧视；不得危害他人身心健康、肖像权、名誉权、隐私权、财产权、个人信息权益。

2.生成式人工智能服务使用者的合规

我们依然结合上述提到的案件，在该案中，利用平台生成图片的用户是否涉嫌侵权呢？笔者认为，用户有侵权的故意。其在输入指令词“奥特曼”的时候，就对生成物可能出现侵犯他人著作权的结果有了一定预期。《办法》第四条要求使用者“应当尊重他人知识产权”，做了原则性的规定，但对于使用者明知可能侵权，却依然利用AI生成侵权内容应承担何种责任未有明确条款。这就将注意义务更多分配给了平台，对平台的合规措施提出了更高要求。

二、AI生成物本身是否可以获得相应权利保护？

AI生成物本身是否享有知识产权我国立法没有明确规定，但目前已经有了一些AI生成物权利相关的案例，例如AI生成图片著作权侵权第一案，北京互联网法院针对人工智能生成图片（AI绘画图片）著作权侵权纠纷作出一审判决，原告系使用AI生成涉案图片后发布的小红书平台博主，被告发布文章配图未经原告许可使用了原告利用AI生成发布在小红书上的图片，原告以被告侵犯其著作权为由起诉。北京互联网法院审理认为涉案人工智能生成图片（AI绘画图片）具备“独创性”要件，体现了人的独创性智力投入，应当被认定为作品，受到著作权法保护。这符合《著作权法》第三条的规定，著作权保护的客体是作品，而《著作权法》所称的作品，是指文学、艺术和科学领域内具有独创性并能以一定形式表现的智力成果。所以北京互联网法院认为能体现人的“独创性”及智力投入的AI生成图片也可以作为作品受《著作权法》的保护。

再如近期一起涉及数字人视频著作权的案件中，涉及到与著作权相关的权利。该案件争议焦点为数字人视频是否为作品？如果是作品享有著作权，那著作权归属于谁？数字人是否享有表演权？最终判决案涉数字人视频具有独创性构成作品受著作权法保护，但数字人是真人的投射，并不享有著作权，也不享有表演权，但数字人视频的制作者作为录像制作者享有相应的权利，依据《著作权法》第四十四条规定，录音录像制作者对其制作的录音录像制品，享有许可他人复制、发行、出租、通过信息网络向公众传播并获得报酬的权利，因此数字人视频的制作者对该数字人视频享有法律规定的相应权利。

综合这些案例，笔者认为AI生成物具体享有哪些权利要结合AI生成物本身的特征，其符合哪个具体权利构成要件便可享有相应的权利，给予不同类型智力成果不同的合理的权利保障。

三、从欧盟《人工智能法案》看我国GenAI的管理

不论是我国的《数据安全法》《生成式人工智能服务管理暂行办法》还是《互联网信息服务算法推荐管理规定》中都明确了“分级分类安全管理制度”。虽然《办法》以列举方式做了诸如个人信息保护，版权保护，非歧视和公平等部分规定，但遵循何种分级原则，如何进行管理，却较为分散和模糊。而笔者在上文对AIGC侵权第一案的分析中，也发现一些规定在实践中欠缺较为细致的指引。今年的3月13日，欧洲议会通过欧盟的《人工智能法案》，或对细化我国GenAI的监管及合规、数据出海有一定的借鉴作用。

欧盟《人工智能法案》的首先以“风险的强度和范围”为对人工智能进行了风险层级的划分，基于《值得信赖的人工智能的伦理准则》的七项伦理原则（包括人类主体和监督；技术稳健性和安全性；隐私和数据治理；透明度；多样性、非歧视和公平；社会和环境福祉以及问责制）对人工智能的“禁止性行为”和“高风险行为”进行了定义和区分。

1.“禁止性行为”

欧盟《人工智能法案》规定的“禁止性行为”可以概括为对人类的健康、安全和基本权利构重大风险的行为。第一类为采用潜意识技术或其他欺骗技术，明显损害人类知情决定的能力，扭曲人类行为，从而导致对人类造成重大伤害，在此特别例举了脑机界面及虚拟现实对人的刺激及控制可能造成的损害影响；第二类为利用特定人群的年龄、残疾或特定社会或经济状况而具有的任何弱点，以实质性扭曲该人群的行为；第三类为根据生物识别数据对个体层面进行分类，以推导或推断其种族、政治观点、工会成员身份、宗教或哲学信仰、性生活或性取向；第四类为通过个人及群体的已知行为，推断或预测的其特征，对其分类或打分，导致个体及人群在社会背景下遭受不公平、不合理待遇的行为。同时，本条还排除了几类国防、执法、医疗情境中需要合理利用数据及进行推测的情况，通过详细的分类阐述，最大程度的平衡了公民隐私及国家利益。

我国的《生成式人工智能服务管理暂行规定》第四条，也详细规定了禁止情形，包括对于民族、信仰、国别、地域、性别、年龄、职业、健康的非歧视；版权保护、商业秘密保护和防止不正当竞争；肖像、隐私等个人信息权益的保护等等。

2.“高风险行为”

（1）何为“高风险人工智能”

欧盟《人工智能法案》第6条对高风险人工智能系统做出了分类。具体包括两类：一是作为产品安全组成部分或属于欧盟卫生与安全协调立法（如玩具、航空、汽车、医疗器械、升降机等）的系统；二是在附件三确定的8个特定领域部署的系统，委员会可以通过授权法案进行必要的更新。[1]

（2）如何规范“高风险人工智能”

欧盟《人工智能法案》针对高风险行为，在风险管理系统、数据治理、技术文件、记录留存、透明度、人类监督、准确稳定和网络安全等方面做了详细阐述。同时，明确了高风险人工智能提供者的义务，对质量管理体系提出了具体要求。值得注意的是，“对自然人进行人工画像”的人工智能系统欧盟认为应始终列为高风险，原因是生物识别数据（如人脸和指纹）属于特殊的敏感个人数据。这让笔者联想到市面上采集人脸信息利用AI技术合成“最美证件照”的类似应用，虽然看似是娱乐软件，却实则获取了用户的重要敏感信息。

其中，欧盟《人工智能法案》对“通用型人工大模型”、“包含大模型的组件”及“人工智能应用”也分别做了详细定义，罗列了不同的披露义务。不过上述应用和模型均需遵守法案关于“透明度”的要求。即便模型是开源的，也应对训练数据的来源进行披露，充分保护版权。相较于我国统一定义为“生成式人工智能服务提供者”，欧盟的划分则更为细致，对披露的内容做了详细要求。

而在标识方面，欧盟《人工智能法案》规定高风险人工智能系统应带有CE标志。对于嵌入产品中的高风险人工智能系统，应贴上物理CE标志，并可辅以数字CE标志。对于仅以数字方式提供的高风险人工智能系统，应使用数字CE标志。相较于我国法律对于“标识”也有相应规定，要求生成式人工智能提供者按照《互联网信息服务深度合成管理规定》对图片、视频等生成内容进行标识。但我国的标识主要是为了方便公众区分人工智能生成物和真实事物，而欧盟的做法则更关乎于源头监管及事后追责。考虑到人工智能产品的背后是应用，应用的背后是通用大模型，如发生侵权，标识则能帮助更好划定责任方。

综合上述对比分析，在事前、事中、事后的层层监管上，欧盟的强制性规定更加具体和严格。高风险人工智在投放市场前必须编制详细的技术文件，向国家机关提供必要信息以供评估是否符合监管要求。通过设立质量监督体系，不断检查和测验人工智能运转的稳定性；通过人类监督体系帮助人工智能纠偏，减少风险；通过给系统设置自动记录日志，确保人工智能系统功能的可追溯并要求保存10年备查。我国虽然在《生成式人工智能服务管理暂行规定》第十四、十五条也做了关于“保存有关记录”“报告主管部门”“建立健全投诉、举报机制”等原则性规定，但在具体措施上，仍需进一步细化。

结语：从裁判态度来看，我国对于生成式人工智能是保持接受和开放心态的。而关于其新兴的法律问题也确实是复杂且多变的，我国立法上确有一定程度的不足，企业遵照我国现行法律法规，在合规问题的具体实践上仍有很多现实问题亟待解决。

注释

【1】“分级分类”与“契约”风险治理并行的人工智能监管制度构建——以欧盟《人工智能法案》为分析对象，《海南金融》2024年第2期，黄静怡 中国政法大学民商经济法学院

参考文献

【1】“分级分类”与“契约”风险治理并行的人工智能监管制度构建——以欧盟《人工智能法案》为分析对象，《海南金融》2024年第2期，黄静怡 中国政法大学民商经济法学院

【2】关于欧洲议会和欧盟理事会制定有关人工智能的统一规则（《人工智能法》）以及修订若干联盟立法的建议，朱悦（译），同济大学法学院 上海市人工智能社会治理协同创新中心

【3】全球首例AIGC侵权案件评析，《知产前沿》2024.3.19，孙那，西安交通大学法学院

作者：赵婧 田自飞

编辑：Eleven