【AI&数据合规实务笔记 009】企业如何合规使用OpenAI服务
 原创
 Alan
 Alan
 陈Alan AI与数据合规 
 在小说阅读器读本章
 去阅读
 在小说阅读器中沉浸阅读
 我用飞书建了一个 AI&数据合规实务笔记 知识库，我会把部分内容同步到公众号。更多内容可以去飞书库直接阅读。可复制下方飞书库链接（或点击阅读原文）。飞书库链接：https://gqc5o7fwy2.feishu.cn/wiki/LTkdwjBm6iyjblk5nETcLpYin4f?from=from_copylink本期更新内容为“企业如何合规使用OpenAI服务”，也是我自己近期在工作中被产品部门咨询到的问题，也是近期大家比较关注的一个问题。目录如下：6月25日，有一则新闻被国内媒体纷纷转载，OpenAI 向包括中国、中国香港等在内许多国家和地区发送了邮件，大意为监测到流量来自他们不支持的国家和地区，后续将采取措施，阻止不支持国家和地区的访问。邮件截图和翻译如下：你好，我们的数据显示，贵组织的 API 流量来自一个 OpenAI 目前不支持的地区。你可以在此找到我们支持的国家和地区。从 7 月 9 日开始，我们将采取另外的措施，以阻止来自不再我们支持的国家和地区名单上的地区的 API 流量。若要继续使用 OpenAI 的服务，你需要在得到支持的地区访问服务。如果你有任何疑问，敬请访问我们的帮助中心。谢谢OpenAI 团队一、国内为什么不能直接使用OpenAI？目前国内无法直接使用OpenAI服务是众所周知的，其基本的原因有如下几个：1.基于美国政府和OpenAI的政策，限制中国使用众所周知，美国政府正试图对中国的科技发展卡脖子，其中也包括AI技术。例如其Enforce法案就是美国专门针对中国的AI出口管制法案。OpenAI 不支持中国使用其AI服务也是美国政府的要求。实际上，OpenAI一直都是不允许中国使用其AI服务的，这次向开发者们发送邮件，意味着其进一步采取措施。在此前，个人是必须通过科学上网的方式才能使用OpenAI服务的。甚至在很多情况下，OpenAI会持续通过检测IP地址、其是否使用了大量中文，是否使用了中国地址、电话、支付账号等方式封禁了其认为可能来自中国的个人用户。通过API形式接入OpenAI 的AI服务，也会通过类似的方式检测其AI服务是否被中国予以使用，并采取封禁账号等方式进行处理。2.OpenAI 提供的AI服务也无法满足中国的法律要求一方面，国内想要使用OpenAI的服务本身就必须通过科学上网的形式。另一方面，OpenAI在诸如内容安全、数据跨境、算法安全等方面也是无法中国有关AI的相关要求的。其中以内容安全为例，中国法律要求深度合成内容服务需要对输出的内容尽到安全义务。能够使用得到的话，随便拿一个敏感的政治问题问一下chatgpt，你就很容易明白为什么OpenAI的AI服务无法满足内容安全要求。二、结论是什么？先说本文分析后得出结论： 1.国内可以通过微软Azure OpenAI使用OpenAI服务，但同时仍需满足如数据跨境、内容安全、算法安全等合规义务，以及符合与微软的协议要求。目前，因为微软Azure OpenAI未在国内进行备案，目前国内接入其API之后是无法完成算法备案的。2.海外可以直接接入OpenAI 的API或则仍然通过Azure Openn AI向海外提供服务，但需有关海外AI的相关法律要求以及OpenAI或Azure Openn AI的相关要求。三、企业在国内如何合规使用OpenAI服务？目前国内已有一些已经公示的示例说明国内是可通过微软Azure OpenAI使用OpenAI 服务的。目前从公开信息可以看到万科和思源AI健康都是接入了微软Azure OpenAI服务的。具体来源可见https://mp.weixin.qq.com/s/U_Ezy82kR9JVjHl9_VH9wwhttps://mp.weixin.qq.com/s/8sd62j0QCOVP5Nh8K5yigQ从法规层面进行分析，根据《生成式人工智能服务管理暂行办法》等相关法律法规并不能得出海外生成式人工智能技术被禁止向境内B端企业提供服务，但其直接对C端提供服务或则接入后对C端提供服务并达到具有舆论属性或者社会动员能力标准的情况下，会存在明显的合规障碍。既然国内企业可以接入微软Azure OpenAI，但仍需满足相关合规要求，具体需要满足的合规要点如下：1.算法备案建议接入微软Azure OpenAI的API的，需避免触发进行算法备案的条件。目前来说，从我了解到的口径来说，如果触发了算法备案义务，是无法完成的。原因在于作为底层的技术提供方的微软Azure OpenAI未在国内进行大模型备案和算法备案，接入其API用以对C端提供服务并达到具有舆论属性或者社会动员能力标准的情况下，是无法通过算法备案。2.内容安全合规使用微软Azure OpenAI，个人建议避开直接使用其进行内容生成并输出给C端用户，否则难以满足内容安全的合规要求。3.数据跨境合规如果使用微软Azure OpenAI服务，会不可避免地会发生数据出境，这个时候需要满足有关数据出境的法律要求。目前微软Azure OpenAI的服务是不具有国内服务器节点的，企业需要根据接入其API的使用情况判断是否需要通过数据安全评估、标准合同等方式履行数据出境义务。4.需要满足与微软Azure OpenAI的协议接入其API还需要满足与微软Azure OpenAI的协议。需要注意的事，国内其他微软Azure的服务大多由世纪互联运营，但世纪互联并不运营微软Azure OpenAI服务。国内接入微软Azure OpenAI，需满足的是与微软Azure OpenAI的相关协议。具体包括以下：(1) Azure OpenAI 服务文档：https://learn.microsoft.com/zh-cn/Azure/AI-services/OpenAI/Azure OpenAI 的服务文档主要都集中在这里，其中“负责任的AI”下的文档为主要相关法律文档(2)Azure OpenAI 服务行为准则：https://learn.microsoft.com/zh-cn/legal/cognitive-services/OpenAI/code-of-conduct?context=%2FAzure%2FAI-services%2FOpenAI%2Fcontext%2FcontextAzure OpenAI向B端提供服务时，B端客户需要满足的主要相关要求(3)Azure OpenAI 服务的数据、隐私和安全：https://learn.microsoft.com/en-us/legal/cognitive-services/OpenAI/data-privacy描述了Azure OpenAI服务的数据、隐私和安全相关事宜(4)客户版权承诺所需缓解措施：https://learn.microsoft.com/zh-cn/legal/cognitive-services/OpenAI/customer-copyright-commitment?context=%2FAzure%2FAI-services%2FOpenAI%2Fcontext%2Fcontext在客户履行了微软所需的缓解措施下，微软有义务保护客户免受与输出内容相关的某些第三方知识产权索赔Azure OpenAI的协议中，以下几个点需要注意：(1)Azure OpenAI对其接入的客户的基本要求是实施负责任的人工智能缓解措施（如实施有意义的人工监督、进行技术控制防止滥用、建立反馈渠道等）、不得进行违法、有害或一些高危的使用（包括用以犯罪、用以根据生物特征数据对人们进行分类、用以生成暴力色情内容等）(2)Azure OpenAI 服务完全由微软控制，在其Azure 环境中托管 OpenAI 模型，并且不会与 OpenAI 运营的任何服务（例如 ChatGPT 或 OpenAI API）交互。(3)微软也不会将数据提供给其他第三方，不会用于改进OpenAI 模型、微软或者其他第三方的模型(4)版权盾策略。在客户履行了微软所需的缓解措施下，微软有义务保护客户免受与输出内容相关的某些第三方知识产权索赔5.需要满足其他有关AIGC的相关要求除了上述的合规要求外，可能还要在交互设计、合规文本、数据处理等方面满足《生成式人工智能服务管理暂行办法》等相关要求。关于这部分合规要求可阅读我写的另一篇笔记：《接入大模型API开发应用》四、企业在海外如何合规使用OpenAI 服务企业在使用OpenAI API 支持的国家和地区所在海外服务器的情况下，便可以直接使用OpenAI服务。同样的，企业在海外也仍然可以继续使用微软Azure OpenAI，其暂时是没有OpenAI不支持部分国家和地区这样的限制的。关于OpenAI所支持的国家和地区具体可见：https://help.OpenAI.com/en/articles/5347006-OpenAI-API-supported-countries-and-territories在海外使用OpenAI 服务需要注意以下合规要点：（一）Azure OpenAI相关要求如果接入的是Azure OpenAI，仍需满足与Azure OpenAI 的相关要求。所需满足的Azure OpenAI的义务，前文已进行基本阐述，并无区别。（二）OpenAI相关政策如果接入的OpenAI 的API，需要满足有关OpenAI的相关政策，其中主要的政策包括：(1)使用政策：https://OpenAI.com/policies/usage-policies/这个是适用OpenAI服务的一个总体框架性的基本政策(2)商用条款：https://OpenAI.com/policies/business-terms/针对使用OpenAI API等B端企业的商用条款(3)OpenAI 的企业隐私：https://OpenAI.com/enterprise-privacy/针对使用OpenAI API等B端企业的一个基本隐私声明(4)数据处理附录：https://OpenAI.com/policies/data-processing-addendum/针对使用OpenAI API等B端企业的数据处理说明(5)插件和操作术语：https://OpenAI.com/policies/plugin-terms/如果使用到了插件，还需要遵守该协议OpenAI 会要求使用API的B端用户需遵守法律、不得用于损害自己或他人、遵循他们的安全措施等一些一般性规定外，其中有一些值得注意的地方有：(1)不得通过其API用以犯他人的隐私（如使用生物特征识别系统进行识别或评估，包括面部识别）、执行或协助以下可能严重影响他人安全、健康或权利的活动（如提供量身定制的法律、医疗/健康或财务建议）、误导、歪曲或误导他人（如参与或提倡学术不诚实行为）、构建可能不适合未成年人的工具（色情或暗示性内容）、针对 13 岁以下用户的工具(2)OpenAI 的版权盾策略。即客户在使用其API开发应用提供服务后，如有第三方声称侵犯了其知识产权，OpenAI会为客户提供辩护并支付法院裁定的损害赔偿或达成的和解金。(3)无论在何处使用，OpenAI都会将相关数据存储在美国。(4)数据处理法律关系的定义上，针对使用OpenAI开发产品的商业用户，OpenAI将其自身定义为处理者，商业用户为控制者。(5)OpenAI会配合商业用户完成最终用户的个人信息权利请求。(6)OpenAI承诺不会用商业用户的数据去训练模型。(7)B端用户API的数据，OpenAI会在30天后进行删除（三）其他合规要求企业还需根据所提供服务的区域，判断其所需使用的法律，去遵守欧盟、美国等国家地区的法律，符合相关合规要求。这些合规要求主要包括透明度要求（披露所收集的信息、提示用户跟AI进行交互）、内容安全（避免生成有害内容）、数据跨境（如欧盟的标准合同）等相关合规要求。可点击阅读原文到飞书库阅读其他更多内容
 阅读原文