Azure OpenAI常见法律问题

Azure OpenAI是什么

Azure OpenAI 是一项 Microsoft 云服务
Azure OpenAI 服务是面向企业的企业级服务，不直接向公众提供
Azure OpenAI 服务目前的数据中心位于美国、欧洲、澳大利亚、加拿大、日本等境外地区

数据跨境

目前Azure OpenAI 位于 Global Azure（服务器位于中国大陆境外），境内客户向部署于境外的服务（如Azure OpenAI）输入数据的行为，属于“数据出境”，无论该服务由客户的境内公司直接采购、还是由境外公司采购后供境内公司使用。
鉴于境内客户向Azure OpenAI输入数据的行为属于数据出境，客户需自行判断其是否属于以下需要进行网信办主导的数据出境安全评估的任一情形：

客户公司向Azure OpenAI输入重要数据的；
客户本身已被认定为“关键信息基础设施运营者”，且向Azure OpenAI输入其持有的个人信息的；
客户本身属于“处理100万人以上个人信息的数据处理者”，且向Azure OpenAI输入其持有的个人信息的；
客户自上年1月1日起累计向境外提供10万人以上个人信息或者1万人以上敏感个人信息的，其中包括了通过Azure OpenAI出境个人信息的。

客户如何确保数据出境合规

客户作为决定数据处理目的和方式的处理者，在使用海外云服务时，应当自行梳理其向境外传输的数据类型。根据向境外传输的数据类型等因素，客户需向法律和技术专家寻求专家意见，自行评估以确定其是否受到中国法律下数据本地化和跨境传输要求的约束以及是否满足该等要求。更多信息，参见数据出境安全评估之常见问题 Cross Border Data Transfer Security Assessment FAQ.pdf 。
我们对几种跨境机制做如下介绍，供客户参考。

客户如何选择数据跨境机制

数据出境路径一：数据出境安全评估

数据出境路径二：签订出境标准合同

数据出境路径三：专业机构认证

Microsoft作为境外数据接收方如何提供安全制度和技术保障

生成式人工智能服务管理暂行办法-覆盖范围

生成式人工智能服务管理暂行办法-内容合规

生成式人工智能服务管理暂行办法–监管与鼓励

生成式人工智能服务管理暂行办法带来的影响

2023年7月10日，国家互联网信息办公室联合其他六个部委正式发布了《生成式人工智能服务管理暂行办法》（“《管理暂行办法》”），该等办法自2023年8月15日正式施行。
如果客户基于Azure OpenAI的模型，结合自身的解决方案向“境内公众”提供人工智能生成文本、图片、音频、视频等内容的服务，将构成提供生成式人工智能服务提供者。举例来说，A公司（境外公司）自研大模型，向中国大陆的B公司提供大模型AI能力接口服务，并收取服务费，接入了AI能力的B公司面向中国大陆境内公众提供服务，则在此情形下，A公司并不直接面向中国境内公众提供该等生成式人工智能服务，《管理暂行办法》对于A公司不适用。而B公司因向“境内公众”提供生成式人工智能服务，需根据《管理暂行办法》的规定，履行生成式人工智能服务提供者的各项义务。
《管理暂行办法》对生成式人工智能服务提供者设定了一系列义务，包括但不限于：对所生成的违法内容采取及时处置和整改措施，并向有关部门报告；对预训练数据、优化训练数据来源的合法性负责；对有关部门监督检查予以配合并提供相关信息和技术支持；采取适当措施防范用户过分依赖或沉迷生成内容、对用户的输入个人信息和使用记录承担保护义务；建立用户投诉接收处理机制；以及申报安全评估并进行算法备案（仅适用具有舆论属性或者社会动员能力的服务）等。
结合《管理暂行办法》的要求，Microsoft将应客户（作为生成式人工智能服务提供者）的需求与客户讨论，并在合理范围内提供必要的信息和材料，以协助客户完成安全评估、算法备案以及有关主管部门的监督检查（如有）。

关于算法和深度合成的规定

根据《管理暂行办法》的规定，如果客户作为生成式人工智能服务提供者调用Azure OpenAI境内公众提供生成文本、图片、音频、视频等内容的服务，客户需要按照《互联网信息服务深度合成管理规定》的图片、视频等生成内容进行标识，且如果该等向公众提供的服务具有舆论属性或者社会动员能力，客户则需要履行互联网信息服务算法履行备案手续和其他合规义务。具体来说：
《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》中提到，开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能以及办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务属于“具有舆论属性或者社会动员能力”的互联网信息服务。
《互联网信息服务推荐算法管理规定》对使用推荐算法技术开展互联网信息服务的服务提供者规定了一系列义务，包括但不限于（1）识别和防止传播非法信息和推广符合主流价值取向的信息，（2）建立算法审核机制，保障算法推荐服务相关规则透明化，（3）管理用户画像和标签，不得使用有害信息作为标签。其中，具有舆论属性或社会动员能力的服务提供者，需在提供服务后10个工作日内，通过算法备案系统提供信息，向网信办备案。在备案过程中，需披露算法的相关信息及其用于提供服务的方式，并提交算法安全自评估报告。
《互联网信息服务深度合成管理规定》亦要求深度合成服务提供者制订和实施算法机制机理审核、科技伦理审查、信息发布审核、数据安全、个人信息保护、反诈骗、应急处置管理制度，采取安全可控的技术保障。需履行的义务包括：披露使用规则和明确各方义务范围、实施用户实名制、强化合成内容管理和审核、及时处理违反内容并履行报告义务、实施训练数据安全管理并保障个人信息主体权益、定期开展算法审核与评估、对生成内容进行标识。除此之外，具有舆论属性或者社会动员能力的深度合成服务提供者也需要履行算法备案义务。

对在线内容的控制和审查义务

《网络安全法》明确要求网络运营者应当对其用户发布的信息进行监控和管理，对违法信息的传播采取制止和删除措施。
《生成式人工智能服务管理暂行办法》要求生成式人工智能服务提供者在发现违法内容时，及时采取停止生成、停止传输、消除等处置措施，采取模型优化训练等措施进行整改，并向有关主管部门报告，并且提供者发现使用者利用生成式人工智能服务从事违法活动的，应当依法依约采取警示、限制功能、暂停或者终止向其提供服务等处置措施，保存有关记录，并向有关主管部门报告。
《网络信息内容生态治理规定》提出了更详细的要求，要求通过互联网提供信息传播服务的经营者建立并实施筛查机制，对在其网站、平台或应用程序中发布的内容进行筛选，用于检测非法信息并阻止其传播并立即删除。
《互联网信息服务深度合成管理规定》也提出了类似要求，服务提供者有义务建立和实施对输入数据和生成数据进行审查的机制，以发现和删除非法信息并向主管部门报告。
Azure OpenAI 包含内置的内容过滤系统，该系统用于同步过滤有害和不当的内容。该系统目前支持过滤有关性、仇恨、自残和暴力等内容。随着服务的发展，Microsoft将继续探讨添加新的内容过滤器。客户在使用Azure OpenAI过程中，需要在此基础上，结合中国法律法规的上述要求，自行设置内容筛查机制，检测和过滤可能构成中国法项下“非法或不适当信息“的输入提示或生成的内容。