《深度合成管理规定》学习笔记(附逐条对比)
每天两块钱,实时获取全球数据合规风险预警
👇
(全文2743字,认真看大概要10分钟)
作者:何琛、洪松
2022年12月11日(周日)晚21点18分,网信办、工信部、公安部三部门联合发布《互联网信息服务深度合成管理规定》(点击阅读全文),相比于征求意见时只有网信办一家单位,此次把工信部和公安部也拉上了,监管力量更加强大了 。
监管这么勤奋,咱也不能歇着,对比着征求意见稿,火速学习一番。对于深度合成类的APP而言,若未落实算法备案、安全评估等义务,则可能有应用商店被下架的风险。《规定》还是要好好学习呀。
一、适用范围一增一减
(一)深度合成技术定义新增“数字人物”
《规定》在深度合成技术类型上与征求意见稿并无变化,还是六个大类,只不过在第六类中还新增了近期比较火爆的“数字人物”,将其明确列入监管重点。
(二)适用主体减少“技术支持者”
监管主体在征求意见稿中原本有两类,一类是服务提供方,另一类是技术支持方,现在把后者删去了,是否可以理解为:只要不对自然人客户提供服务,仅为服务商提供技术支持的厂商,就不适用《规定》呢?
好像也不是,《规定》对技术支持者还是赋予了一些义务,如参照适用备案、进行安全评估等。
不过也有观点认为:不是监管主体的减少,而是予以区别,《规定》的监管要求较征求意见稿并无太大的变化,其实应用深度合成技术提供互联网信息服务可能包括服务提供者和技术支持者,聚焦立法对象。
二、责任及义务
(一)内容安全义务
《规定》对于内容安全的要求,不但适用于服务提供者,也适用于使用者。
二者均不得利用深度合成服务制作、复制、发布、传播法律、行政法规禁止的信息,或从事法律、行政法规禁止的活动。
《规定》将征求意见稿中“不得制作、复制、发布、传播含有煽动颠覆国家政权、危害国家安全和社会稳定、淫秽色情、虚假信息,以及侵害他人名誉权、肖像权、隐私权、知识产权和其他合法权益”的禁止性行为列举予以删除,保障行文简洁。
此外,《规定》在征求意见稿,“不得发布虚假信息”的基础上,单独新增一款强调不得发布虚假新闻信息。若使用深度合成服务发布新闻信息的,信息源必须具备具备新闻资质。
(二)服务提供者主体安全责任
《规定》第7条至第12条都是服务提供者的义务,分别是:
一是建立健全用户注册、算法机制机理审核、科技伦理审查、信息发布审核、数据安全、个人信息保护、反电信网络诈骗、应急处置等管理制度,具有安全可控的技术保障措施。
二是制定和公开管理规则、平台公约,完善服务协议,落实真实身份信息认证制度。
三是加强深度合成内容管理,采取技术或者人工方式对输入数据和合成结果进行审核,建立健全用于识别违法和不良信息的特征库,记录并留存相关网络日志。
四是建立健全辟谣机制,发现利用深度合成服务制作、复制、发布、传播虚假信息的,应当及时采取辟谣措施,保存有关记录,并向网信部门和有关主管部门报告。
公众号:网信中国《互联网信息服务深度合成管理规定》答记者问
记录并留存网络日志较征求意见稿是新要求。
第13条还对应用商店也提了要求也是赋权,落实安全管理责任,核验深度合成应用的安全评估、备案情况,违反国家规定的,可以“不予上架、警示、暂停服务或者下架”。这条很重要,给了应用商店“执法权”,如果未来深度合成APP没有做算法备案或者安全评估,可能有被下架的风险!
(三)数据和技术管理要求
1.加强训练数据管理(第14条)
采取必要措施保障训练数据安全;训练数据包含个人信息的,应当遵守个人信息保护的有关规定;提供人脸、人声等生物识别信息显著编辑功能的,应当提示使用者依法告知被编辑的个人,并取得其单独同意。
2.定期评估(第15条)
服务提供者和技术支持者均须定期评估算法机制机理;
提供具有对人脸、人声等生物识别信息或者可能涉及国家安全、国家形象、国家利益和社会公共利益的特殊物体、场景等非生物识别信息编辑功能的模型、模板等工具的,应当依法自行或者委托专业机构开展安全评估。
处理生物识别信息进行评估的,属于处理敏感个人信息,依照《个保法》亦应当进行个人信息保护影响评估,可以和这个安全评估一并做了。涉及国家安全、社会公共利益的,亦需进行安全评估。好在可以自评也可以请外部机构评。不过这个安全评估的应该考虑哪些维度也有待明确,是否就是根据《规定》进行自查呢?
3.标识(第16条、第17条、第18条)
一是深度合成服务提供者对使用其服务生成或者编辑的信息内容,应当采取技术措施添加不影响用户使用的标识。我理解这个可以是“不可见水印”,主要是为了追踪是哪家服务商提供的服务。
可能的样例,透明水印:by XX 公司
还须依法依规保存日志信息(如《网络安全法》第21条要求的“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”)。
二是提供智能对话、合成人声、人脸生成、沉浸式拟真场景等具有生成或者显著改变信息内容功能服务的,应当在生成或者编辑的信息内容的合理位置、区域进行显著标识,向公众提示信息内容的合成情况,避免公众混淆或者误认,这里就要用可见标识了,并且是强制的;
可能的样例:请注意,本内容由深度合成技术生成,并非真人展示!
提供非上述深度合成服务的,应当提供显著标识功能,并提示使用者可以进行显著标识(这里是自愿的)。
此外,任何组织和个人不得采用技术手段删除、篡改、隐匿相关标识。
4.备案公示(第19条)
《规定》明确,具有舆论属性或者社会动员能力的深度合成服务提供者,应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照适用。完成备案后,应当在对外提供服务的网站、应用程序等的显著位置标明其备案编号并提供公示信息链接。
本规定所称具有舆论属性或社会动员能力的互联网信息服务,包括下列情形:
(一)开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能;
(二)开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。
《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》第2条
与征求意见稿相比,《规定》重申了《算法推荐管理规定》中需要备案主体的身份要求。
5.安全评估和配合监督检查义务(第20条、第21条)
《规定》明确,深度合成服务提供者开发上线具有舆论属性或者社会动员能力的新产品、新应用、新功能的,应当按照国家有关规定开展安全评估。此处的安全评估,或可参考《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》的相关要求。
深度合成服务提供者和技术支持者均应当依法配合网信部门和有关主管部门开展的监督检查,并提供必要的技术、数据等支持和协助。
《规定》还新增,发现存在较大信息安全风险的,网信部门和有关主管部门可以按照职责依法要求其采取暂停信息更新、用户账号注册或者其他服务等措施。
不但增加了增加执法力量,一家变三家,同时也明确了可以采取的监管措施,力度很大啊。
三、总结
联系微信:heguilvshi领取优惠券,加入会员
招募讲师:欢迎加入DPOHUB课程平台
平台介绍:数据合规权威平台之一,数据法盟和数据保护官的专业粉丝超过10万,学员超过2万。 讲师收益:权威平台的免费宣传,塑造讲师个人职业品牌及影响力;收益共享权。 申请条件:只要在数据隐私、安全及治理等方面具有落地经验或理论积累,都可以申请加入。 授课方式:既可以是体系性课程(每讲20-30分钟),也可以是一次在线讲座(60-90分钟)。 申请方式:请将“简历、课程名称及大纲”发送到微信:heguilvshi 或邮箱:[email protected]
微信扫码关注该文公众号作者