第一条 为促进生成式人工智能健康发展和规范应用，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规，制定本办法。

本条明确了人工智能监管上位法，体现了监管所关注的重点事项主要涉及网络安全、数据安全以及个人信息保护相关内容。

第二条 研发、利用生成式人工智能产品，面向中华人民共和国境内公众提供服务的，适用本办法。

本办法所称生成式人工智能，是指基于算法、模型、规则生成文本、图片、声音、视频、代码等内容的技术。

明确适用范围以及生成式人工智能概念。

在此情形下，适用主体需同时包括以下2方面固素:

1.研发、利用生成式人工智能产品；

2.面向境内公众提供服务。

第三条 国家支持人工智能算法、框架等基础技术的自主创新、推广应用、国际合作，鼓励优先采用安全可信的软件、工具、计算和数据资源。

与国务院《新一代人工智能发展规划》保持一致，明确行业促进总体要求和方向，进一步具体了技术发展应以安全可信为前提。

第四条 提供生成式人工智能产品或服务应当遵守法律法规的要求，尊重社会公德、公序良俗，符合以下要求:

(一) 利用生成式人工智能生成的内容应当体现社会主义核心价值观，不得含有颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，暴力、淫秽色情信息，虚假信息，以及可能扰乱经济秩序和社会秩序的内容。

(二) 在算法设计、训练数据选择、模型生成和优化、据供股务等过程中，采取措施防止出现种族、民族、信仰、国别、地域、性别、年龄、职业等歧视。

(三)尊重知识产权、商业道德，不得利用算法、数据、平台等优势实施不公平竞争。

(四) 利用生成式人工智能生成的内容应当真实准确，采取措施防止生成虚假信息。

(五) 尊重他人合法利益，防止伤害他人身心健康，损害肖像权、名誉权和个人隐私，侵犯知识产权。禁止非法获取、披露、利用个人信息和隐私、商业秘密。

本条为提供者的基本行为要求，具体包括:

1.内容方面履行安全保障义务；

2.算法、数据处理及建模方面采取措施防止歧视；

3.避免不正当竞争行为；

4.避免生成虚假内容；

5.保障他人权益。

第五条 利用生成式人工智能产品提供聊天和文本、图像、声音生成等服务的组织和个人（以下称“提供者”)，包括通过提供可编程接口等方式支持他人自行生成文本、图像、声音等，承担该产品生成内容生产者的责任；涉及个人信息的，承担个人信息处理者的法定责任，履行个人信息保护义务。

本条要求提供者对提供服务的后果承担责任，责任来源包括: 1.生成内容产生的后果; 2.服务过程中所涉个人信息的保护责任。

目前以上两类风险确实存在于生成式人工智能产品中，但对于提供者而言所需要承担责任较重，因此其平衡产业发展与风险控制的效果有待商榷。

第六条 利用生成式人工智能产品向公众提供服务前，应当按照《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》向国家网信部门申报安全评估，并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。

本条将提供生成式人工智能产品服务纳入了安全评估及算法备案监管范园内。对于 to C 类信息服务经营主体为应有之意，对于 to B 类信息服务主体，如可能构成提供者，应重点关注并及时开展相应业务梳理和合规计划安排。

第七条 提供者应当对生成式人工智能产品的预训练数据、优化训练数据来源的合法性负责。

用于生成式人工智能产品的预训练、优化训练数据，应满足以下要求：

(一) 符合《中华人民共和国网络安全法》等法律法规的要求；

(二) 不含有侵犯知识产权的内容；

(三) 数据包含个人信息的，应当征得个人信息主体同意或者符合法律、行政法规规定的其他情形；

(四) 能够保证数据的真实性、准确性、客观性、多样性；

(五) 国家网信部门关于生成式人工智能服务的其他监管要求。

明确了数据来源合法性的责任主体为提供者，并对训练所用数据的要求进行明确。

本条明确了提供者需要对预训练、优化训练两个环节的数据来源合法性负责。

1.此处合法性包括数据获取具有合法性基础，即如果是直接采集数据，采集途径需符合法律要求; 如果是自第三方处获取，应履行相应的数据来源审查义有

2.涉及个人信息的，应符合《个人信息保护法》的要求；此外，非公开数据应对是否构成侵犯他人知识产权，是否侵犯他人商业秘密进行评估:

3.数据真实性、准确性的保障措施，实践中通常需要通过进行多种数据源引入对比进行验证。

第八条 生成式人工智能产品研制中采用人工标注时，提供者应当制定符合本办法要求，清晰、具体、可操作的标注规则，对标注人员进行必要培训，抽样核验标注内容的正确性。

本条要求体现了监管对于生成内容准确性的关注。但人工标注可能涉及到的风险还包括数据安全、商业秘密等方面，建议提供者在培训及业务开展过程中子以关注。

第九条 提供生成式人工智能服务应当按照《中华人民共和国网络安全法》规定，要求用户提供真实身份信息。

本条要求对于挺供者而言，应结合其业务模式采取敏感程度相匹配的验证模式。如来在该环节收集了敏感个人信息，提供者应在该环节引入敏感个人信息保护措施。

第十条 提供者应当明确并公开其服务的适用人群、场合、用途，采取适当措施防范用户过分依赖或沉迷生成内容。

本条未明确是否出于保护未成年人目的而设置，亦未明确非网络游戏行业提供者如何落实防沉迷措施，因此有待监管后续进一步释明。

第十一条 提供者在提供服务过程中，对用户的输入信息和使用记录承担保护义务。不得非法留存能够推断出用户身份的输入信息，不得根据用户输入信息和使用情况进行画像，不得向他人提供用户输入信息。法律法规另有规定的，从其规定。

本条禁止提供者对用户进行画像，同时禁止向他人提供用户始入内容。

此处禁止提供“用户输入信息”的界定范围以及构成“非法留存”的情形尚不明确，后续有待进一步规察是否会调整为具备落地条件的明确要求。

第十二条 提供者不得根据用户的种族、国别、性别等进行带有歧视性的内容生成。

本条明确了提供者对于生成内容的责任要求，结合本《AI 管理办法》第五条的要求，用户在输入后生成内容的行为后果也由提供者承担，因此提供者应积极采取内容安全管控技术及措施，对生成内容进行合规管理。

第十三条 提供者应当建立用户投诉接收处理机制，及时处置个人关于更正、删除、屏蔽其个人信息的请求；发现、知悉生成的文本、图片、声音、视频等侵害他人肖像权、名誉权、个人隐私、商业秘密，或者不符合本办法要求时，应当采取措施，停止生成，防止危害持续。

本条明确了提供者对于用户的个人信息权益保障的义务，本条是否属于延续互联网平台“避风港”原则，以及本条与第五条提供者责任之间的关系，有待进一步明确。

第十四条 提供者应当在生命周期内，提供安全、稳健、持续的服务，保障用户正常使用。

本条有待进一步明确“生命周期”具体所指内容，以及安全、稳健、持续服务的判断标准。

第十五条 对于运行中发现、用户举报的不符合本办法要求的生成内容，除采取内容过滤等措施外，应在 3个月内通过模型优化训综等方式防止再次生成。

对于不符合要求的生成内容，提供者需要：

1.采取内容过滤措施；

2.在 3个月内优化模型，以确保不会再次生成。

本条有待明确具体的起算时间，此外基于用户群体的不确定性以及算法的复杂性，模型优化后不再生成的认定标准在实或中可能存在一定困难，有待监管后续明确。

第十六条 提供者应当按照《互联网信息服务深度合成管理规定》对生成的图片、视频等内容进行标识。

本条关联至《互联网信息服务深度合成管理规定》第十六条、十七条及十八条。具体而言提供者义务包括：

1.对于合成内容进行标识并保留日志；

2.容易导致公众混清误认的情况下,进行显著标识并向公众提示；

3.不得删除、篡改、隐匿上述标识。

第十七条 提供者应当根据国家网信部门和有关主管部门的要求，提供可以影响用户信任、选择的必要信息，包括预训练和优化训练数据的来源、规模、类型、质量等描述，人工标注规则，人工标注数据的规模和类型，基础算法和技术体系等。

本条明确了提供者向监管披露必要信息的义务，提供者应对要求提供的信息内容事先分类并定期整理备查。

第十八条 提供者应当指导用户科学认识和理性使用生成式人工智能生成的内容，不利用生成内容损害他人形象名誉以及其他合法权造，不进行商业炒作、不正当营销。用户发现生成内容不符合本办法要求时，有权向网信部门或者有关主管部门举报。

本条明确了提供者对于用户的指导义务。对于生成内容不符合要求的情形，向主管部门举报机制与第十三条用户投诉机制之间的适用关系，以及后续的处理规则，有待进一步明确。

第十九条 提供者发现用户利用生成式人工智能产品过程中违反法律法规，违背商业道德、社会公德行为时，包括从事网络炒作、恶意发帖跟评、制造垃圾邮件、编写恶意款件，实施不正当的商业营销等，应当暂停或者终止服务。

本条要求提供者在用户使用过程中履行相应的监督义务。本条项下的行为判断标准，以及处置方式是否为提供者留有空间，以及提供者可能面临的负面后果,有待进一步明确。

第二十条 提供者违反本办法规定的，由网信部门和有关主管部门按照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规的规定子以处罚。

法律、行政法规没有规定的，由网信部门和有关主管部门依据职责给于警告、通报批评，责令限期改正；拒不改正或者情节严重的，责令暂停或者终止其利用生成式人工智能提供服务，并处一万元以上十万元以下罚款。构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的依法追究刑事责任。

提供者的违反后果，依程度轻重依次为：

警告、通报批评、责令限期改正、暂停或终止服务并处罚金、治安管理处罚，以及刑事责任。

《网络安全法》修订在即,征求意见稿新增了违法行为责任认定，调整了行政处罚幅度及从业禁止措施，因此监管趋势将对于网络安全及数据合规提出更高要求。

第二十一条 本办法自2023 年 月 日起实施。