【全文】
近日,有圈内老友聊天,言语间透露其公司专门从事私有大模型定制,不存在法律风险,我们听后很惊讶。也不免有些担心,大模型行业初起,合规问题不受重视,从业人员“法盲现象”严重,倘若如此下去,怕又会一地鸡毛,作为行业见证者和助力者,飒姐点出三个风险点,请检查自家风险,避免出现无可挽回的法律后果。
01帮信罪,是容易忽视的法律红线
技术公司,在帮信罪这条红线上频频失手。一是法律意识不足,二是贪念作祟。关于帮信罪,我们先来看一下法条和要点:
帮信罪,即帮助信息网络犯罪活动罪,被规定在《刑法》第二百八十七条之二。该条规定,“明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。”显然,帮信罪构成犯罪的关键要点在于,在行为人明知道他人是在利用信息网络实施犯罪的前提下,仍然为他人提供了诸如互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供了其他帮助,此时,行为人在满足情节严重的条件下就应当作为犯罪处罚。
对于技术公司为企业提供私有大模型定制服务的行为,当然属于一种技术支持行为,在此基础上,一旦被服务企业使用该技术进行了电信诈骗、非法集资等等犯罪活动,那么技术公司很可能涉嫌帮信罪。
有的技术公司可能会辩驳:我们就是一提供技术服务的,没有参与客户的经营,更不知道客户会拿自己的技术去做什么,怎么会构成犯罪?这种“技术中立”的观点,在帮信罪泛滥的现今已经被证明是苍白无力的。对于司法机关而言,关键在于是否“明知”他人在利用信息网络实施犯罪。
根据《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第十一条的规定,“为他人实施犯罪提供技术支持或者帮助,具有下列情形之一的,可以认定行为人明知他人利用信息网络实施犯罪,但是有相反证据的除外:(一)经监管部门告知后仍然实施有关行为的;(二)接到举报后不履行法定管理职责的;(三)交易价格或者方式明显异常的;(四)提供专门用于违法犯罪的程序、工具或者其他技术支持、帮助的;(五)频繁采用隐蔽上网、加密通信、销毁数据等措施或者使用虚假身份,逃避监管或者规避调查的;(六)为他人逃避监管或者规避调查提供技术支持、帮助的;(七)其他足以认定行为人明知的情形。”实务中最难防范的是其中第七项,其他足以认定行为人明知的情形,技术公司只有做好合规防范义务,聘请法律团队仔细斟酌业务全流程,才能有效防范风险。
02著作权问题,轻则侵权重则犯罪
虽然名为著作权,其实这里更应该强调的是大模型的数据抓取和输出问题,其中以著作权风险最为突出。有关于各类大模型的著作权侵权风险,在今年层出不穷,如2023年年初便有三位艺术家起诉Stability AI、Midjourney以及DeviantArt,称其在未经作者同意的情况下抓取图像进行训练,侵犯了数百万艺术家的权利,而2023年6月也有两位作家起诉了Open AI,指控其未经授权利用图书训练ChatGPT,谋取商业利益。
种种迹象均表明,在大模型的建设过程中的输入和输出都极其容易侵犯他人著作权,因而需要对数据的输入端进行严格的限制,防止其因不当使用他人具有著作权的作品而陷入侵权风波,严重者甚至可能构成侵犯著作权罪。同时若大模型的输出端出现不良信息、侵权信息,同样也会给技术公司带来风险。
事实上,我们在服务各家客户的时候,也了解到如果是完全使用自己具有“所有权”的数据其训练效果可能并不好,如果想要模型更加智能、更加流畅,大概率是需要借助外部数据库的,但是外部数据库中往往可能存在一些隐蔽的风险点位,难以识别,这就可能最终引发外部的诉讼和侵权纠纷,此时技术公司难免会作为共同侵权人陷入诉讼之中,可谓是风险极大。
03数据安全,大模型领域难逃的合规要地
除去帮信罪的问题,数据安全问题是大模型领域老生常谈的难题。这种问题的难点不仅在于《数据安全法》要求作出数据处理者的技术公司履行相应的数据安全保护义务,而且在于不同领域的数据存在着不同的数据安全标准。
前者主要的合规要求主要来源于《数据安全法》。根据其第二十七条、第二十九条、第三十条、第三十二条的规定,具体内容大致有以下几点:
(1)应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全,涉及互联网进行数据处理活动的,还应履行有关网络安全等级保护方面的义务;
(2)应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告;
(3)重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。(依照不同的客户,其大模型适用的数据是否属于重要数据需要法律工作者进行判断)
(4)任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。(合法的数据来源是数据处理活动的基础,而哪些数据能够直接获取,哪些数据又必须获得同意后获取是一门学问,莫要以为公开的数据便能够直接使用)
后者举例而言,如该模型是提供给金融行业的客户,由于金融领域对于金融信息等数据的保护更为严苛,其处理活动也必须要符合金融监管的相关规定,重视数据的保护和隐私保护,而且此时所收集和处理数据极可能属于个人信息,那么此时技术公司甚至可能承担一部分个人信息保护义务。
而以上的数据安全保护义务和个人信息保护义务并非是单纯依靠技术便能解决的,否则极可能深陷风险而不知,最后面临巨额的行政处罚。
04写在最后
即便是新兴行业,合规问题也不能忽视。事实上,恰恰是在行业初创的时间里,好的合规体系能够避免很多的风波,最难治愈的是“陈年旧伤”,望各位创业咖们能够时刻警惕,谨慎前行。
