T-CSHB 0017-2024 生成式人工智能模型訓(xùn)練合規(guī)技術(shù)規(guī)范

T/CSHBGenerativeAImodeltrainingcomplieswithtechnicalspeci河北省版權(quán)協(xié)會(huì)發(fā)布 1 22規(guī)范性引用文件 23術(shù)語和定義 34合規(guī)原則 55數(shù)據(jù)收集合規(guī)要求 55.1合規(guī)性審查 55.2收集方式 65.3數(shù)據(jù)類別 66數(shù)據(jù)預(yù)處理合規(guī)要求 96.1數(shù)據(jù)預(yù)處理總體要求 96.2數(shù)據(jù)預(yù)處理安全技術(shù)要求 6.3數(shù)據(jù)標(biāo)注合規(guī)要求 6.4訓(xùn)練數(shù)據(jù)預(yù)處理合規(guī)要求 6.5數(shù)據(jù)加密技術(shù)要求 7模型訓(xùn)練與測(cè)試合規(guī)要求 7.1模型訓(xùn)練 157.2模型測(cè)試 157.3數(shù)據(jù)備份與恢復(fù) 8內(nèi)容生成服務(wù)合規(guī)要求 8.1使用者盡責(zé)義務(wù)的告知 8.2生成內(nèi)容的審核 8.3生成內(nèi)容的標(biāo)識(shí) 8.4生成內(nèi)容的異議審查機(jī)制 8.5使用者信息保護(hù) 8.6被侵權(quán)人維權(quán)支持 1本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。同時(shí)，本文件的版權(quán)歸配播智算（河北）人工智能科技有限公司及所有參與起草的單位共同所有，受國家版權(quán)法律、法規(guī)保護(hù)。未經(jīng)許可，任何組織或個(gè)人不得擅自復(fù)制、出版、傳播或用于其他商業(yè)用途。如有需要，請(qǐng)聯(lián)系本文件發(fā)布機(jī)構(gòu)或相關(guān)單位獲取授權(quán)。本文件由配播智算（河北）人工智能科技有限公司提出。本文件由河北省版權(quán)協(xié)會(huì)歸口。本文件起草單位：配播智算(河北)人工智能科技有限公司、浙江宇宙奇點(diǎn)科技有限公司、配播（杭州）技術(shù)開發(fā)有限公司、杭州配播科技有限公司、唐山壹播人供應(yīng)鏈管理有限公司、唐山研岸教育科技有限公司、華北理工大學(xué)、河北省版權(quán)協(xié)會(huì)、華科企元（北京）標(biāo)準(zhǔn)化技術(shù)發(fā)展有限公司、中德信息技術(shù)（天津）有限公司、首科財(cái)稅（河北）企業(yè)管理服務(wù)有限公司、首科（河北）企業(yè)管理咨詢有限公司。本文件主要起草人：王大偉、張小飛、吳文建、周小明、丁振東、張晶、黃曉敏、張佳旺、戎麗娜、解峰、安志軍、張孟佑、胡君、劉偉、王海玲。2本文件規(guī)定了生成式人工智能在進(jìn)行模型訓(xùn)練時(shí)應(yīng)遵守的合規(guī)原則，給出了相應(yīng)的合規(guī)要求與規(guī)定。本文件適用于指導(dǎo)生成式人工智能進(jìn)行模型訓(xùn)練。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T4943.1信息技術(shù)設(shè)備安全第一部分：通用要求GB/T5271.1-2000信息技術(shù)詞匯第1部分：基本術(shù)語GB/T5271.28-2001信息技術(shù)詞匯第28部分：人工智能基本概念與專家系統(tǒng)GB/T5271.29-2006信息技術(shù)詞匯第29部分：人工智能語音識(shí)別與合成GB/T5271.31-2006信息技術(shù)詞匯第31部分：人工智能機(jī)器學(xué)習(xí)GB/T29246-2023信息安全技術(shù)信息安全管理體系概述和詞匯GB/T29490-2023企業(yè)知識(shí)產(chǎn)權(quán)合規(guī)管理體系要求GB/T32914-2023信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)能力要求GB/T32916-2023信息安全技術(shù)信息安全控制評(píng)估指南GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T35770-2022合規(guī)管理體系要求GB/T41479-2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求GB/T41867-2022信息技術(shù)人工智能術(shù)語GB/T42018-2022信息技術(shù)人工智能平臺(tái)計(jì)算資源規(guī)范GB/T42574-2023信息安全技術(shù)個(gè)人信息處理中告知和同意的實(shí)施指南GB/T42755-2023人工智能面向機(jī)器學(xué)習(xí)的數(shù)據(jù)標(biāo)注規(guī)程GB/T43269-2023信息安全技術(shù)網(wǎng)絡(luò)安全應(yīng)急能力評(píng)估準(zhǔn)則GB/T43557-2023信息安全技術(shù)網(wǎng)絡(luò)安全信息報(bào)送指南TC260-PG-20202A移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)收集使用個(gè)人信息自評(píng)估指南TC260-003生成式人工智能服務(wù)安全基本要求33術(shù)語和定義3.1生成式人工智能generativeartificialintelligence（AIGC）具有文本、圖片、音頻、視頻等內(nèi)容生成能力的人工智能模型及相關(guān)技術(shù)。3.2提供者provider以交互界面、可編程接口等形式面向我國境內(nèi)公眾提供生成式人工智能服務(wù)的組織或個(gè)3.3個(gè)人信息personalinformation以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。[來源：GB/T42574-2023，定義3.1]3.4敏感個(gè)人信息sensitivepersonalinformation一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息。注：敏感個(gè)人信息包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以[來源：GB/T42574-2023，定義3.2]3.5測(cè)試數(shù)據(jù)testdata用于評(píng)估最終機(jī)器學(xué)習(xí)模型性能的數(shù)據(jù)。[來源：GB/T41867-2022，定義3.2.3]3.6模型訓(xùn)練modeltraining利用訓(xùn)練數(shù)據(jù)，基于機(jī)器學(xué)習(xí)算法，確定或改進(jìn)機(jī)器學(xué)習(xí)模型參數(shù)的過程。[來源：GB/T41867-2022，定義3.2.18]43.7數(shù)據(jù)標(biāo)注dataannotation給數(shù)據(jù)樣本指定目標(biāo)變量和賦值的過程給數(shù)據(jù)樣本指定目標(biāo)變量和賦值的過程。[來源：GB/T41867-2022，定義3.2.29]3.8訓(xùn)練數(shù)據(jù)trainingdata用于訓(xùn)練機(jī)器學(xué)習(xí)模型的輸入數(shù)據(jù)子集。[來源：GB/T41867-2022，定義3.2.34]3.9告知notice使個(gè)人知曉其個(gè)人信息處理活動(dòng)及其有關(guān)規(guī)則的行為。3.10同意consent個(gè)人對(duì)其個(gè)人信息進(jìn)行處理自愿、明確作出授權(quán)的行為。注：包括通過積極的行為作出授權(quán)（即明示），[來源：GB/T35273-2020，3.7，有修改]3.11提供provision個(gè)人信息處理者通過共享、轉(zhuǎn)移等方式將個(gè)人信息傳輸或披露給其他個(gè)人信息處理者的行為。3.12人工智能倫理原則ethicalprinciplesofartificialintelligence（人工智能）開展人工智能技術(shù)基礎(chǔ)研究和應(yīng)用實(shí)踐時(shí)遵循的道德規(guī)范或準(zhǔn)則。3.13模型公平性modelfairness指模型的預(yù)測(cè)結(jié)果不受到不相關(guān)因素的影響，例如性別、種族等。54合規(guī)原則生成式人工智能數(shù)據(jù)應(yīng)用應(yīng)符合以下合規(guī)原則。a)科技倫理原則：在生成式人工智能數(shù)據(jù)應(yīng)用的各個(gè)環(huán)節(jié)中，需嚴(yán)格遵守科技倫理原則。這包括增進(jìn)人類福祉、尊重生命權(quán)利、堅(jiān)持公平公正、合理控制風(fēng)險(xiǎn)以及保持公開透明。這些原則旨在確保技術(shù)的發(fā)展和應(yīng)用始終符合社會(huì)倫理道德標(biāo)準(zhǔn)，促進(jìn)科技進(jìn)步與社會(huì)和諧共存；b)內(nèi)容安全原則：在利用生成式人工智能技術(shù)進(jìn)行內(nèi)容生成時(shí)，應(yīng)采取有效措施避免生成違背社會(huì)主義核心價(jià)值觀的內(nèi)容，避免生成具有歧視性的內(nèi)容，避免生成虛假有害信息等法律、行政法規(guī)禁止的內(nèi)容；c)人格保護(hù)原則：在生成式人工智能數(shù)據(jù)應(yīng)用的各個(gè)環(huán)節(jié)中，應(yīng)注重保護(hù)自然人的人格利益，不得侵害他人肖像權(quán)、名譽(yù)權(quán)、榮譽(yù)權(quán)、隱私權(quán)和個(gè)人信息權(quán)益等；d)商業(yè)利益原則：在模型開發(fā)、服務(wù)提供等數(shù)據(jù)應(yīng)用環(huán)節(jié)中，提供者應(yīng)尊重他人的知識(shí)產(chǎn)權(quán)和數(shù)據(jù)權(quán)益。避免實(shí)施壟斷、不正當(dāng)競(jìng)爭(zhēng)等侵犯其他商業(yè)主體合法權(quán)利的行為。這一原則旨在維護(hù)公平競(jìng)爭(zhēng)的市場(chǎng)環(huán)境，促進(jìn)技術(shù)創(chuàng)新和經(jīng)濟(jì)繁榮；e)技術(shù)發(fā)展原則：提供者在服務(wù)提供過程中應(yīng)注意及時(shí)收集反饋，提高生成內(nèi)容的準(zhǔn)確度與可靠性，不斷促進(jìn)人工智能技術(shù)的優(yōu)化與發(fā)展；f)體系合規(guī)原則：提供者應(yīng)建立并完善合規(guī)管理體系，對(duì)生成式人工智能數(shù)據(jù)應(yīng)用的各個(gè)環(huán)節(jié)進(jìn)行全面管理。通過制定合規(guī)管理制度、采用有效的技術(shù)方法和其他治理措施，確保數(shù)據(jù)應(yīng)用的合規(guī)性。這一原則旨在建立系統(tǒng)化的合規(guī)管理機(jī)制，為技術(shù)的健康、可持續(xù)發(fā)展提供有力保障。5數(shù)據(jù)收集合規(guī)要求5.1合規(guī)性審查對(duì)用于模型訓(xùn)練的數(shù)據(jù)，提供者應(yīng)根據(jù)獲取數(shù)據(jù)的方式以及數(shù)據(jù)類別，建立合規(guī)管理制度與流程，對(duì)數(shù)據(jù)來源和內(nèi)容合法性進(jìn)行審查。5.1.1數(shù)據(jù)來源審查a)數(shù)據(jù)來源合法性獲取途徑是否正當(dāng)，是否取得了相關(guān)授權(quán)或許可，第三方的數(shù)據(jù)來源是否合法合規(guī)，是否具備相應(yīng)的轉(zhuǎn)讓或共享權(quán)利的證明文件；6b)數(shù)據(jù)內(nèi)容準(zhǔn)確性與完整性；c)數(shù)據(jù)安全性；d)數(shù)據(jù)使用合規(guī)性。5.1.2內(nèi)容合法性審查a)明確數(shù)據(jù)的使用目的和范圍是否符合最初的收集聲明和相關(guān)法律法規(guī)要求，不得超范圍使用數(shù)據(jù)。b)檢查在數(shù)據(jù)分析、挖掘等過程中是否遵循了合法的操作流程和技術(shù)標(biāo)準(zhǔn)，避免因不當(dāng)操作導(dǎo)致數(shù)據(jù)泄露或?yàn)E用。c)對(duì)于涉及敏感數(shù)據(jù)（如個(gè)人隱私、商業(yè)機(jī)密等）的使用，要特別關(guān)注是否采取了額外的安全和保密措施，并且按照嚴(yán)格的審批流程進(jìn)行操作。5.2收集方式5.2.1直接收集數(shù)據(jù)提供者可直接從個(gè)人信息主體處獲取個(gè)人信息，或在自身日常生產(chǎn)經(jīng)營(yíng)中創(chuàng)造生產(chǎn)新數(shù)據(jù)、以原始數(shù)據(jù)為基礎(chǔ)加工生產(chǎn)新數(shù)據(jù)。5.2.2間接收集數(shù)據(jù)在事先評(píng)估合法性基礎(chǔ)的前提下，除直接獲取數(shù)據(jù)外，提供者可從其他主體處間接獲取數(shù)據(jù)，即通過數(shù)據(jù)交易、數(shù)據(jù)共享、公共數(shù)據(jù)授權(quán)運(yùn)營(yíng)等途徑獲取數(shù)據(jù)。提供者應(yīng)同相對(duì)方簽訂相應(yīng)的法律協(xié)議，謹(jǐn)慎審核相對(duì)方的數(shù)據(jù)來源合法性以及數(shù)據(jù)可交易性，并要求相對(duì)方作出來源合法性、可交易性和可使用性承諾，或出示相關(guān)證明等。鼓勵(lì)提供者通過數(shù)據(jù)交易所等公開平臺(tái)獲取數(shù)據(jù)，以提升數(shù)據(jù)來源的合法合規(guī)性。5.3數(shù)據(jù)類別5.3.1公開數(shù)據(jù)信息提供者可以使用一些平臺(tái)上公開可用的數(shù)據(jù)集，這些數(shù)據(jù)集通常經(jīng)過整理和標(biāo)注，適用于各種機(jī)器學(xué)習(xí)任務(wù)；通過人工收集的方式獲取數(shù)據(jù)信息，應(yīng)注意獲取手段的合法合規(guī)，不得侵犯他人合法權(quán)益；通過網(wǎng)絡(luò)爬蟲工具抓取網(wǎng)頁內(nèi)容或是從API接口中獲取數(shù)據(jù)，應(yīng)遵守目標(biāo)網(wǎng)站的網(wǎng)絡(luò)爬蟲排除協(xié)議（Robots協(xié)議）等聲明文件要求，避免采用破解密碼、偽7造用戶代理（UserAgent）、設(shè)置代理網(wǎng)際協(xié)議地址（IP地址）等技術(shù)手段進(jìn)行違規(guī)爬取。應(yīng)控制數(shù)據(jù)爬取的流量與頻率，避免因爬取行為影響目標(biāo)網(wǎng)站的正常運(yùn)行。爬取移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）、小程序等所依賴的網(wǎng)絡(luò)服務(wù)應(yīng)用程序接口（API）中的數(shù)據(jù)，應(yīng)當(dāng)遵守API的服務(wù)授權(quán)聲明。公開數(shù)據(jù)附有數(shù)據(jù)使用許可條件或使用限制的，提供者獲取該公開數(shù)據(jù)后，應(yīng)遵守相關(guān)約定。5.3.2個(gè)人數(shù)據(jù)信息如提供者采集的數(shù)據(jù)類型中包含個(gè)人信息，應(yīng)遵循相應(yīng)的法律法規(guī)，包括但不限于以下1)收集個(gè)人信息的合法性要求對(duì)個(gè)人信息控制者的要求包括：不得欺詐、誘騙、強(qiáng)迫個(gè)人信息主體提供其個(gè)人信息；不得隱瞞產(chǎn)品或服務(wù)所具有的收集個(gè)人信息的功能；不得收集法律法規(guī)明令禁止收集的個(gè)人信息；不得從非法渠道獲取個(gè)人信息。2)收集個(gè)人信息的最小必要性要求收集個(gè)人信息對(duì)個(gè)人信息控制者的要求包括：收集的個(gè)人信息的類型應(yīng)與實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)，直接關(guān)聯(lián)是指沒有上述個(gè)人信息的參與，產(chǎn)品或服務(wù)的功能無法實(shí)現(xiàn)；自動(dòng)采集個(gè)人信息的頻率應(yīng)是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最低頻率；間接獲取個(gè)人信息的數(shù)量應(yīng)是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最少數(shù)量。3)收集個(gè)人信息時(shí)的授權(quán)同意對(duì)個(gè)人信息控制者的要求包括：收集個(gè)人信息，應(yīng)向個(gè)人信息主體告知收集、使用個(gè)人信息的目的、方式和范圍等規(guī)則，并獲得個(gè)人信息主體的授權(quán)同意；收集個(gè)人敏感信息前，應(yīng)征得個(gè)人信息主體的明示同意，并應(yīng)確保個(gè)人信息主體的明示同意是其在完全知情的基礎(chǔ)上自主給出的、具體的、清晰明確的意愿表示；收集個(gè)人生物識(shí)別信息前，應(yīng)單獨(dú)向個(gè)人信息主體告知收集，使用個(gè)人生物識(shí)別信息的目的.方式和范圍，以及存儲(chǔ)時(shí)間等規(guī)則，并征得個(gè)人信息主體的明示同意；收集年滿14周歲未成年人的個(gè)人信息前，應(yīng)征得未成年人或其監(jiān)護(hù)人的明示同意；不滿14周歲的，應(yīng)征得其監(jiān)護(hù)人的明示同意；間接獲取個(gè)人信息時(shí)，應(yīng)要求個(gè)人信息提供方說明個(gè)人信息來源，并對(duì)其個(gè)人信息來源的合法性進(jìn)行確認(rèn)。應(yīng)了解個(gè)人信息提供方已獲得的個(gè)人信息處理的授權(quán)同意范圍，包括使8用目的，個(gè)人信息主體是否授權(quán)同意轉(zhuǎn)讓、共享、公開披露、刪除等。如開展業(yè)務(wù)所需進(jìn)行的個(gè)人信息處理活動(dòng)超出已獲得的授權(quán)同意范圍的，應(yīng)在獲取個(gè)人信息后的合理期限內(nèi)或處理個(gè)人信息前，征得個(gè)人信息主體的明示同意，或通過個(gè)人信息提供方征得個(gè)人信息主體的明示同意。4)告知與同意的基本原則a)個(gè)人信息處理者在實(shí)施告知時(shí)需考慮以下基本原則。·公開透明：公布處理個(gè)人信息的種類、目的、方式、安全措施等處理規(guī)則，不采取故意遮擋、隱藏等方式誘導(dǎo)個(gè)人略過告知內(nèi)容；·有效傳達(dá)：盡可能通過交互式界面、郵件、電話或短信等方式向相關(guān)個(gè)人進(jìn)行告·適時(shí)充分：在收集、提供、公開等個(gè)人信息處理活動(dòng)發(fā)生之前或同時(shí)，對(duì)個(gè)人進(jìn)行充分告知；·真實(shí)明確：告知個(gè)人信息的處理種類、目的、方式等規(guī)則與實(shí)際情況一致，且需結(jié)合實(shí)際業(yè)務(wù)功能，不使用籠統(tǒng)、寬泛的表述；·清晰易懂：告知文本符合個(gè)人的語言習(xí)慣，使用通用且無歧義的語言、數(shù)字、圖示等。b)個(gè)人信息處理者在取得個(gè)人同意時(shí)需考慮以下基本原則。·告知一致：取得同意的范圍不超出所告知的內(nèi)容；·自主選擇：支持個(gè)人通過自行操作的方式作出同意，不使用默認(rèn)勾選的方式取得·時(shí)機(jī)恰當(dāng)：在個(gè)人信息收集行為發(fā)生前，且同步傳達(dá)告知內(nèi)容時(shí)，取得個(gè)人同意，以增進(jìn)個(gè)人對(duì)業(yè)務(wù)功能與所收集的個(gè)人信息之間關(guān)聯(lián)性的理解：·避免捆綁：區(qū)分產(chǎn)品或服務(wù)的業(yè)務(wù)功能，不采用捆綁方式強(qiáng)迫個(gè)人一次性同意多種業(yè)務(wù)功能可能收集的個(gè)人信息或多個(gè)處理活動(dòng)，個(gè)人拒絕同意時(shí)，不影響與該個(gè)人信息無關(guān)的業(yè)務(wù)功能的正常使用。5)個(gè)人信息的展示限制涉及通過界面展示個(gè)人信息的（如顯示屏幕、紙面?zhèn)€人信息控制者宜對(duì)需展示的個(gè)人信息采取去標(biāo)識(shí)化處理等措施，降低個(gè)人信息在展示環(huán)節(jié)的泄露風(fēng)險(xiǎn)。例如，在個(gè)人信息展示時(shí)，防止內(nèi)部非授權(quán)人員及個(gè)人信息主體之外的其他人員未經(jīng)授權(quán)獲取個(gè)人信息。6)個(gè)人信息的使用限制9對(duì)個(gè)人信息控制者的要求包括：除目的所必需外，使用個(gè)人信息時(shí)應(yīng)消除明確身份指向性，避免精確定位到特定個(gè)人。例如，為準(zhǔn)確評(píng)價(jià)個(gè)人信用狀況，可使用直接用戶畫像，而用于推送商業(yè)廣告目的時(shí)，則宜使用間接用戶畫像。對(duì)所收集的個(gè)人信息進(jìn)行加工處理而產(chǎn)生的信息，能夠單獨(dú)或與其他信息結(jié)合識(shí)別自然人個(gè)人身份，或者反映自然人個(gè)人活動(dòng)情況的，應(yīng)將其認(rèn)定為個(gè)人信息。對(duì)其處理應(yīng)遵循收集個(gè)人信息時(shí)獲得的授權(quán)同意范圍。5.3.3知識(shí)產(chǎn)權(quán)保護(hù)獲取數(shù)據(jù)用于模型訓(xùn)練的，應(yīng)采取以下手段防止對(duì)他人知識(shí)產(chǎn)權(quán)的侵害。a)已超過著作權(quán)保護(hù)期限進(jìn)入公有領(lǐng)域的作品，提供者可以采集相關(guān)數(shù)據(jù)投入模型訓(xùn)練，但應(yīng)避免在生成內(nèi)容中侵犯著作權(quán)人的署名權(quán)、修改權(quán)與保護(hù)作品完整權(quán)等著作人身權(quán)；b)對(duì)仍在著作權(quán)保護(hù)期限內(nèi)的作品，提供者應(yīng)主動(dòng)采取措施獲取著作權(quán)人的授權(quán)，明確其作品可用于生成式人工智能的模型訓(xùn)練；c)建議提供者通過著作權(quán)集體管理組織獲取著作權(quán)人的授權(quán)、商標(biāo)權(quán)、專利權(quán)、商業(yè)秘密等其他類型的知識(shí)產(chǎn)權(quán)，建議提供者根據(jù)數(shù)據(jù)類型和數(shù)據(jù)來源進(jìn)行必要甄別，如發(fā)現(xiàn)有侵權(quán)可能的，應(yīng)避免采集或取得權(quán)利人的授權(quán)。6數(shù)據(jù)預(yù)處理合規(guī)要求6.1數(shù)據(jù)預(yù)處理總體要求a)數(shù)據(jù)識(shí)別。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)識(shí)別數(shù)據(jù)處理中涉及的數(shù)據(jù)，包括個(gè)人信息、重要數(shù)據(jù)和其他數(shù)據(jù)，形成數(shù)據(jù)保護(hù)目錄，并及時(shí)更新。b)分類分級(jí)。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)按照相關(guān)國家標(biāo)準(zhǔn)，根據(jù)合同規(guī)定和業(yè)務(wù)運(yùn)營(yíng)需要，對(duì)所識(shí)別的數(shù)據(jù)進(jìn)行分類分級(jí)管理。c)風(fēng)險(xiǎn)防控。網(wǎng)絡(luò)運(yùn)營(yíng)者開展數(shù)據(jù)處理時(shí)，應(yīng)按照合同約定履行數(shù)據(jù)安全保護(hù)義務(wù)，開展數(shù)據(jù)處理活動(dòng)應(yīng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)采取加密、脫敏、備份、訪問控制、審計(jì)等技術(shù)或者其他必要措施，加強(qiáng)數(shù)據(jù)安全防護(hù)，保護(hù)數(shù)據(jù)免受泄露、竊取、修改、損毀、不正當(dāng)使用等；對(duì)重要數(shù)據(jù)和敏感個(gè)人信息進(jìn)行重點(diǎn)保護(hù)，應(yīng)按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開展風(fēng)險(xiǎn)評(píng)估，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)包括處理的重要數(shù)據(jù)的種類、數(shù)量，開展數(shù)據(jù)處理活動(dòng)的情況，面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對(duì)措施等。應(yīng)建立數(shù)據(jù)安全管理責(zé)任和評(píng)價(jià)考核制度，制定數(shù)據(jù)安全保護(hù)計(jì)劃，開展安全風(fēng)險(xiǎn)評(píng)估，及時(shí)處置安全事件，組織開展教育培訓(xùn)。d)審計(jì)追溯。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)對(duì)數(shù)據(jù)處理的全生存周期進(jìn)行記錄，確保數(shù)據(jù)處理可審計(jì)、可追溯。6.2數(shù)據(jù)預(yù)處理安全技術(shù)要求6.2.1通則網(wǎng)絡(luò)運(yùn)營(yíng)者在開展數(shù)據(jù)處理時(shí)應(yīng)進(jìn)行影響分析和風(fēng)險(xiǎn)評(píng)估，采取必要的措施對(duì)識(shí)別的風(fēng)險(xiǎn)進(jìn)行控制，以保障數(shù)據(jù)安全。6.2.2收集網(wǎng)絡(luò)運(yùn)營(yíng)者為提供服務(wù)而必須處理個(gè)人信息的，應(yīng)遵循合法、正當(dāng)、必要的原則，不應(yīng)收集與其提供的服務(wù)無直接或無合理關(guān)聯(lián)，或超出個(gè)人信息主體明示同意期限的個(gè)人信息，且遵守以下要求。a)應(yīng)制定和公開個(gè)人信息保護(hù)政策并嚴(yán)格遵守，個(gè)人信息保護(hù)政策應(yīng)符合GB/T35273-2020中5.5要求；b)收集個(gè)人信息前，應(yīng)明示個(gè)人信息保護(hù)政策，并征得個(gè)人信息主體同意；c)改變處理個(gè)人信息的目的、類型、范圍、用途的，應(yīng)及時(shí)告知個(gè)人信息主體，修改個(gè)人信息保護(hù)政策，并重新征得個(gè)人信息主體同意，涉及個(gè)人信息保護(hù)政策變動(dòng)的應(yīng)修改個(gè)人信息保護(hù)政策：d)明示所提供產(chǎn)品或服務(wù)的類型，以及該產(chǎn)品或服務(wù)所必需的個(gè)人信息，不應(yīng)因用戶不同意或撤回同意，提供該產(chǎn)品或服務(wù)所必需個(gè)人信息以外的信息，而拒絕提供該產(chǎn)品或服務(wù)；e)不應(yīng)僅以改善服務(wù)質(zhì)量、提升用戶體驗(yàn)、定向推送信息，研發(fā)新產(chǎn)品等為目的，強(qiáng)制要求、誤導(dǎo)用戶同意收集個(gè)人信息；f)收集敏感個(gè)人信息前，應(yīng)取得個(gè)人信息主體的單獨(dú)同意，確保單獨(dú)同意是在完全知情的基礎(chǔ)上自主給出的、具體的、清晰明確的意愿表示；g)收集不滿十四周歲未成年人個(gè)人信息前，應(yīng)取得未成年人的父母或其他監(jiān)護(hù)人的單獨(dú)h)從個(gè)人信息主體以外的其他途徑獲得個(gè)人信息的，應(yīng)了解個(gè)人信息來源、個(gè)人信息提供方已獲得的個(gè)人信息處理授權(quán)同意范圍，并按照本文件的要求履行安全保護(hù)義務(wù)。6.2.3存儲(chǔ)網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)對(duì)數(shù)據(jù)存儲(chǔ)活動(dòng)采取安全措施，包括：a)存儲(chǔ)重要數(shù)據(jù)和個(gè)人信息等敏感網(wǎng)絡(luò)數(shù)據(jù)，應(yīng)采用加密、安全存儲(chǔ)、訪問控制、安全審計(jì)等安全措施；b)存儲(chǔ)重要數(shù)據(jù)和個(gè)人信息，不應(yīng)超過與重要數(shù)據(jù)和個(gè)人信息主體約定的存儲(chǔ)期限或個(gè)人信息主體授權(quán)同意有效期；c)存儲(chǔ)個(gè)人生物特征識(shí)別信息的，應(yīng)遵守GB/T35273-2020中6.3b)和c)的要求及生物特征識(shí)別信息保護(hù)相關(guān)國家標(biāo)準(zhǔn)要求。數(shù)據(jù)接收方存儲(chǔ)數(shù)據(jù)時(shí)，應(yīng)按要求采取安全措施并以合同進(jìn)行約定。6.2.4使用網(wǎng)絡(luò)運(yùn)營(yíng)者在為用戶提供定向推送或信息合成服務(wù)時(shí)的要求如下。a)定向推送及信息合成：1)網(wǎng)絡(luò)運(yùn)營(yíng)者利用個(gè)人信息和算法為用戶提供定向推送信息服務(wù)的，同時(shí)應(yīng)提供非定向推送信息的服務(wù)選項(xiàng)；2)在向個(gè)人信息主體提供新聞、博客類信息服務(wù)的過程中，網(wǎng)絡(luò)運(yùn)營(yíng)者利用算法自動(dòng)合成文字、圖片、音視頻等信息，應(yīng)明確告知用戶。b)第三方應(yīng)用管理：網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)對(duì)接入或嵌入其產(chǎn)品或服務(wù)的第三方應(yīng)用加強(qiáng)數(shù)據(jù)安全管理，包括：1)應(yīng)通過合同等形式，明確雙方的數(shù)據(jù)安全保護(hù)責(zé)任和義務(wù)；2)應(yīng)監(jiān)督第三方應(yīng)用運(yùn)營(yíng)者加強(qiáng)數(shù)據(jù)安全管理，發(fā)現(xiàn)第三方應(yīng)用沒有落實(shí)安全管理責(zé)任的，應(yīng)及時(shí)督促整改，必要時(shí)停止接入；3)網(wǎng)絡(luò)運(yùn)營(yíng)者知道或者應(yīng)知道第三方應(yīng)用利用其平臺(tái)侵害用戶民事權(quán)益，未采取必要措施的，應(yīng)與第三方應(yīng)用運(yùn)營(yíng)者承擔(dān)連帶責(zé)任；4)宜對(duì)接入或嵌入的第三方應(yīng)用開展技術(shù)檢測(cè)，確保其數(shù)據(jù)處理行為符合雙方約定要求，對(duì)審計(jì)發(fā)現(xiàn)超出雙方約定的行為及時(shí)停止接入。6.2.5加工網(wǎng)絡(luò)運(yùn)營(yíng)者在開展轉(zhuǎn)換、匯聚、分析等數(shù)據(jù)加工活動(dòng)的過程中，知道或者應(yīng)知道可能危害國家安全和公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定的，應(yīng)立即停止加工活動(dòng)。6.2.6傳輸網(wǎng)絡(luò)運(yùn)營(yíng)者在應(yīng)對(duì)數(shù)據(jù)傳輸活動(dòng)采取安全措施，包括：傳輸重要數(shù)據(jù)和敏感個(gè)人信息時(shí)，應(yīng)采用加密、脫敏等安全措施；向數(shù)據(jù)接收方傳輸數(shù)據(jù)時(shí)，應(yīng)按要求采取安全措施并以合同進(jìn)行約定。6.2.7提供a)向他人提供網(wǎng)絡(luò)運(yùn)營(yíng)者向他人提供數(shù)據(jù)前，應(yīng)進(jìn)行安全影響分析和風(fēng)險(xiǎn)評(píng)估，可能危害國家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定的，不應(yīng)向他人提供。要求如下：1)向他人提供個(gè)人信息，應(yīng)向個(gè)人信息主體告知接收方的名稱、聯(lián)系方式、處理目的、處理方式個(gè)人信息的種類、存儲(chǔ)期限，并取得個(gè)人信息主體同意；2)共享、轉(zhuǎn)讓重要數(shù)據(jù)，應(yīng)與數(shù)據(jù)接收方通過合同等形式明確雙方的數(shù)據(jù)安全保護(hù)責(zé)任和義務(wù)，采取加密、脫敏等措施保障重要數(shù)據(jù)安全；3)委托第三方開展數(shù)據(jù)處理活動(dòng)的，應(yīng)通過合同等形式明確約定委托處理的目的、期限、處理方式、數(shù)據(jù)的種類、保護(hù)措施，雙方的權(quán)利和義務(wù)，以及第三方返還或刪除數(shù)據(jù)的方式等，要求第三方以合同中約定的形式返還、刪除接收和產(chǎn)生的數(shù)據(jù)，并對(duì)數(shù)據(jù)處理活動(dòng)進(jìn)行監(jiān)督；4)發(fā)生收購、兼并、重組、破產(chǎn)時(shí)，數(shù)據(jù)接收方應(yīng)繼續(xù)履行相關(guān)數(shù)據(jù)安全保護(hù)義務(wù)；沒有數(shù)據(jù)接收方的，應(yīng)刪除數(shù)據(jù)。b)數(shù)據(jù)出境：網(wǎng)絡(luò)運(yùn)營(yíng)者向境外提供個(gè)人信息或者重要數(shù)據(jù)的，應(yīng)遵循國家相關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)的要求境內(nèi)用戶在境內(nèi)訪問境內(nèi)網(wǎng)絡(luò)的，其流量不應(yīng)路由至境外。6.2.8公開網(wǎng)絡(luò)運(yùn)營(yíng)者利用所掌握的數(shù)據(jù)資源，公開市場(chǎng)預(yù)測(cè)、統(tǒng)計(jì)等信息時(shí)，不應(yīng)危害國家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定。6.2.9投訴、舉報(bào)受理處置網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)建立投訴、舉報(bào)受理處置制度。收到通過其平臺(tái)編造、傳播虛假信息，發(fā)布侵害他人名譽(yù)、隱私、知識(shí)產(chǎn)權(quán)和其他合法權(quán)益信息，以及假冒、仿冒、盜用他人名義發(fā)布信息的投訴、舉報(bào)的，自接受投訴舉報(bào)起，受理時(shí)間不超過3個(gè)工作日。受理后進(jìn)行調(diào)查取證，對(duì)于查實(shí)的編造、傳播虛假信息，發(fā)布侵害他人名譽(yù)、隱私、知識(shí)產(chǎn)權(quán)和其他合法權(quán)益信息，以及假冒、仿冒、盜用他人名義發(fā)布信息的投訴，舉報(bào)，依法采取停止傳輸、消除等處置措施。6.3數(shù)據(jù)標(biāo)注合規(guī)要求6.3.1標(biāo)注規(guī)則的制定為模型訓(xùn)練的目的需要進(jìn)行數(shù)據(jù)標(biāo)注的，應(yīng)按法律法規(guī)以及數(shù)據(jù)需求方的要求，依據(jù)以下規(guī)定制定標(biāo)注規(guī)則：a)標(biāo)注規(guī)則應(yīng)根據(jù)數(shù)據(jù)需求方對(duì)模型訓(xùn)練的具體要求制定；b)標(biāo)注規(guī)則應(yīng)清晰、具體、全面、細(xì)化，對(duì)標(biāo)注人員具有實(shí)際操作性；c)標(biāo)注規(guī)則的確定應(yīng)有利于提高訓(xùn)練數(shù)據(jù)的準(zhǔn)確性，標(biāo)注過程中如發(fā)現(xiàn)冗余數(shù)據(jù)、錯(cuò)誤數(shù)據(jù)、異常數(shù)據(jù)等情況應(yīng)進(jìn)行及時(shí)處理；d)標(biāo)注規(guī)則的確定應(yīng)有利于保持訓(xùn)練數(shù)據(jù)的客觀性，避免因規(guī)則設(shè)計(jì)的主觀性導(dǎo)致標(biāo)注結(jié)果發(fā)生同客觀情況的偏離；e)標(biāo)注規(guī)則應(yīng)進(jìn)行定期審查和更新，以適應(yīng)新的法律法規(guī)、技術(shù)發(fā)展和業(yè)務(wù)需求的變化。6.3.2數(shù)據(jù)標(biāo)注質(zhì)量評(píng)估數(shù)據(jù)標(biāo)注的全流程實(shí)施過程中應(yīng)包含質(zhì)量評(píng)估的環(huán)節(jié)，具體操作可依據(jù)GB/T42755-2023第6.2和第7.1條規(guī)定的流程與方法進(jìn)行實(shí)踐。質(zhì)量評(píng)估可采用抽樣核驗(yàn)、機(jī)器驗(yàn)證、第三方驗(yàn)證等方式進(jìn)行，根據(jù)場(chǎng)景需求及項(xiàng)目特點(diǎn)，建議選擇兩種以上方式進(jìn)行數(shù)據(jù)標(biāo)注準(zhǔn)確度和一致性檢查，并根據(jù)檢查結(jié)果及時(shí)進(jìn)行反饋校正。6.4訓(xùn)練數(shù)據(jù)預(yù)處理合規(guī)要求6.4.1提高訓(xùn)練數(shù)據(jù)質(zhì)量提供者應(yīng)采取有效措施提高訓(xùn)練數(shù)據(jù)質(zhì)量，并從真實(shí)性、準(zhǔn)確性、客觀性、多樣性、安全性等角度考慮訓(xùn)練數(shù)據(jù)以提升數(shù)據(jù)質(zhì)量。當(dāng)各方面要求不能同時(shí)滿足或可能存在沖突時(shí)，提供者應(yīng)進(jìn)行謹(jǐn)慎考量，以防止訓(xùn)練數(shù)據(jù)的不當(dāng)選擇影響生成內(nèi)容的質(zhì)量。6.4.2訓(xùn)練數(shù)據(jù)的真實(shí)性提供者應(yīng)從數(shù)量和質(zhì)量上判斷所獲取的數(shù)據(jù)是否具有可靠的來源，是否能夠反映真實(shí)世界的情況，并通過人工或模型等方式就數(shù)據(jù)內(nèi)容的真實(shí)性進(jìn)行核驗(yàn)。6.4.3訓(xùn)練數(shù)據(jù)的準(zhǔn)確性提供者可采用數(shù)據(jù)去重、去除異常值、糾正錯(cuò)誤等數(shù)據(jù)清洗方法，以提高數(shù)據(jù)集的準(zhǔn)確性和一致性，排除噪聲和偏差。6.4.4訓(xùn)練數(shù)據(jù)的客觀性訓(xùn)練數(shù)據(jù)宜盡可能中立和無偏見，在數(shù)據(jù)采集與后續(xù)處理環(huán)節(jié)中均應(yīng)避免人為干擾、選擇偏見和其他主觀因素的介入。6.4.5訓(xùn)練數(shù)據(jù)的多樣性為提高模型的性能和泛化能力，應(yīng)充分考慮數(shù)據(jù)來源、數(shù)據(jù)類型及樣本特征分布的均衡和多樣化。為防止生成存在偏見或歧視的內(nèi)容，應(yīng)進(jìn)行充分多樣化和具有代表性的數(shù)據(jù)選擇，確保其包含各個(gè)民族、信仰、國別、地域、性別、年齡、職業(yè)和健康等的充分信息。6.4.6訓(xùn)練數(shù)據(jù)的安全性為確保訓(xùn)練數(shù)據(jù)的安全性，應(yīng)對(duì)訓(xùn)練數(shù)據(jù)的來源進(jìn)行安全評(píng)估和核驗(yàn)。6.5數(shù)據(jù)加密技術(shù)要求為確保重要數(shù)據(jù)和敏感個(gè)人信息在存儲(chǔ)和傳輸當(dāng)中的安全性，應(yīng)遵循以下要求。a)密鑰管理是數(shù)據(jù)加密技術(shù)規(guī)范的核心環(huán)節(jié)，包括密鑰生成、存儲(chǔ)、分發(fā)、更新和銷毀等過程。應(yīng)明確規(guī)定密鑰管理的責(zé)任和流程，確保密鑰的安全和可追溯性。b)加解密算法的選擇應(yīng)基于公開、安全和可靠的原則，明確規(guī)定合適的加解密算法和密鑰長(zhǎng)度，以提供足夠的安全性。c)應(yīng)制定合理的安全策略和控制措施，包括訪問控制、審計(jì)追蹤、數(shù)據(jù)備份和恢復(fù)等方面，以確保數(shù)據(jù)的安全性和完整性。7模型訓(xùn)練與測(cè)試合規(guī)要求7.1模型訓(xùn)練7.1.1訓(xùn)練步驟模型訓(xùn)練應(yīng)至少包括預(yù)訓(xùn)練與優(yōu)化訓(xùn)練等兩重的訓(xùn)練環(huán)節(jié)。7.1.2預(yù)訓(xùn)練預(yù)訓(xùn)練應(yīng)選擇具有合法來源的基礎(chǔ)模型，基礎(chǔ)模型應(yīng)經(jīng)過可靠性、安全性、合法性以及價(jià)值觀等方面的測(cè)評(píng)，才可在此基礎(chǔ)上進(jìn)行后續(xù)訓(xùn)練。7.1.3優(yōu)化訓(xùn)練經(jīng)過預(yù)訓(xùn)練后形成的算法模型，還應(yīng)通過優(yōu)化訓(xùn)練進(jìn)一步使用已標(biāo)注的數(shù)據(jù)進(jìn)行后續(xù)流程，來優(yōu)化模型訓(xùn)練的最終結(jié)果。7.1.4模型驗(yàn)證在模型訓(xùn)練的不同環(huán)節(jié)中，均可使用驗(yàn)證數(shù)據(jù)對(duì)模型的參數(shù)與設(shè)置進(jìn)行持續(xù)優(yōu)化。驗(yàn)證數(shù)據(jù)可與訓(xùn)練數(shù)據(jù)來源于同樣的數(shù)據(jù)集，但在訓(xùn)練過程中應(yīng)保持相對(duì)獨(dú)立。7.2模型測(cè)試在正式為公眾提供內(nèi)容生成服務(wù)之前，為保證模型生成的效果，應(yīng)按照以下要求進(jìn)行模型測(cè)試：a)制定全面完整嚴(yán)格的測(cè)試指標(biāo)體系，以減少幻覺、有害偏見和違法內(nèi)容的生成；b)引入人工方式或其他模型進(jìn)行對(duì)抗測(cè)試，根據(jù)結(jié)果反饋實(shí)現(xiàn)對(duì)模型性能的改進(jìn)優(yōu)化；c)建立動(dòng)態(tài)調(diào)整的指標(biāo)體系與測(cè)試方案，定期評(píng)估和調(diào)整指標(biāo)體系，確保測(cè)試結(jié)果的有效性；d)測(cè)試數(shù)據(jù)的來源應(yīng)獨(dú)立于訓(xùn)練數(shù)據(jù)與驗(yàn)證數(shù)據(jù)，且應(yīng)按照同樣標(biāo)準(zhǔn)進(jìn)行預(yù)處理；e)確保模型在經(jīng)過嚴(yán)格測(cè)試并核驗(yàn)完成之后才對(duì)公眾提供內(nèi)容生成服務(wù)；f)模型評(píng)價(jià)依據(jù)、測(cè)試指標(biāo)體系、測(cè)試與核驗(yàn)辦法及采用的技術(shù)手段等，均應(yīng)明確記錄，做到可查詢、可溯源。7.3數(shù)據(jù)備份與恢復(fù)在模型訓(xùn)練過程中，應(yīng)對(duì)重要數(shù)據(jù)進(jìn)行定期備份，并制定數(shù)據(jù)恢復(fù)預(yù)案，以防數(shù)據(jù)丟失或損壞。8內(nèi)容生成服