征求意见稿 国度网信办公布 人工自动生成分解内容标识方法 (征求意见稿 草稿)

据网信中国，为规范人工自动生成分解内容标识，保养国度安保和社会公共利益，维护公民、法人和其他组织的合法权利，依据《中华人民共和国网络安保法》、《互联网信息服务算法引见控制规则》、《互联网信息服务深度分解控制规则》、《生成式人工自动服务控制暂行方法》等法律法规，国度互联网信息办公室起草了《人工自动生成分解内容标识方法（征求意见稿）》，现向社会地下征求意见。群众可经过以下途径和方式提出反响意见：

1.经过电子邮件方式发送至：biaoshi@cac.gov.cn。

意见反响截止时期为2024年10月14日。

附件：人工自动生成分解内容标识方法（征求意见稿）

国度互联网信息办公室

2024年9月14日

人工自动生成分解内容标识方法

（征求意见稿）

第一条 为促进人工自动瘦弱展开，规范人工自动生成分解内容标识，维护公民、法人和其他组织合法权利，保养社会公共利益，依据《中华人民共和国网络安保法》、《互联网信息服务算法引见控制规则》、《互联网信息服务深度分解控制规则》、《生成式人工自动服务控制暂行方法》等法律、行政法规和部门规章，制定本方法。

第二条 契合《互联网信息服务算法引见控制规则》、《互联网信息服务深度分解控制规则》、《生成式人工自动服务控制暂行方法》规则情形的网络信息服务提供者（以下简称“服务提供者”）展开人工自动生成分解内容标识的，适用本方法。

行业组织、企业、教育和科研机构、公共文明机构、有关专业机构等研发、运转人工自动生成分解技术，未向境内群众提供服务的，不适用本方法的规则。

第三条 人工自动生成分解内容是指运行人工自动技术制造、生成、分解的文本、图片、音频、视频等信息。

人工自动生成分解内容标识包括显式标识和隐式标识。

显式标识是指在生成分解内容或许交互场景界面中介入的，以文字、声响、图形等方式出现并可被用户清楚感知到的标识。

隐式标识是指采取技术措施在生成分解内容文件数据中介入的，不易被用户清楚感知到的标识。

第四条 服务提供者提供的生成分解服务属于《互联网信息服务深度分解控制规则》第十七条第一款情形的，应当依照下列要求对生成分解内容介入显式标识。

（一）在文本的起始、末尾、两边适当位置介入文字提示或通用符号提示等标识，或在交互场景界面或文字周边介入清楚的提示标识；

（二）在音频的起始、末尾或两边适当位置介入语音提示或音频节拍提示等标识，或在交互场景界面中介入清楚的提示标识；

（三）在图片的适当位置介入清楚的提示标识；

（四）在视频起始画面和视频播放周边的适当位置介入清楚的提示标识，可在视频末尾和两边适当位置介入清楚的提示标识；

（五）出现虚拟场景时，应当在起始画面的适当位置介入清楚的提示标识，可在虚拟场景继续服务环节中的适当位置介入清楚的提示标识；

（六）其他生成分解服务场景应当依据自身运转特点介入具有清楚提示效果的显式标识。

服务提供者提供生成分解内容下载、复制、导出等方式时，应当确保文件中含有满足要求的显式标识。

第五条 服务提供者应当依照《互联网信息服务深度分解控制规则》第十六条的规则，在生成分解内容的文件元数据中介入隐式标识，隐式标识包括生成分解内容属性信息、服务提供者称号或编码、内容编号等制造要素信息。

奖励服务提供者在生成分解内容中介入数字水印等方式的隐式标识。

第六条 提供网络信息内容传达平台服务的服务提供者应当采取措施，规范生成分解内容传达活动。

（一）应当核验文件元数据中能否含有隐式标识，关于含有隐式标识的，应当采取适当方式在公布内容周边介入清楚的提示标识，明白提示用户该内容属于生成分解内容；

（二）文件元数据中未核验到隐式标识，但用户声明为生成分解内容的，应当采取适当方式在公布内容周边介入清楚的提示标识，提示用户该内容或许为生成分解内容；

（三）文件元数据中未核验到隐式标识，用户也未声明为生成分解内容，但提供网络信息内容传达平台服务的服务提供者检测到显式标识或其他生成分解痕迹的，可辨以为疑似生成分解内容，应当采取适当方式在公布内容周边介入清楚的提示标识，提示用户该内容疑似为生成分解内容；

（四）关于确为、或许和疑似生成分解内容的，应当在文件元数据中介入生成分解内容属性信息、传达平台称号或编码、内容编号等传达要素信息；

（五）提供必要的标识性能，并提示用户主动声明公布内容中能否包括生成分解内容。

第七条 互联网运转程序分发平台在运转程序上架或上线审核时，应当核验服务提供者能否按要求提供生成分解内容标识性能。

第八条 服务提供者应当在用户服务协议中明白说明生成分解内容标识的方法、样式等规范内容，并提示用户细心阅读并了解相关的标识控制要求。

第九条 如用户要求服务提供者提供没有介入显式标识的生成分解内容，可在经过用户协议明白用户的标识义务和经常经常使用责任后，提供不含显式标识的生成分解内容，并留存相关日志不少于六个月。

第十条 用户向提供网络信息内容传达平台服务的服务提供者上传生成分解内容时，应当主动声明并经常经常使用平台提供的标识性能启动标识。

任何组织和集团不得恶意删除、窜改、伪造、躲藏本方法规则的生成分解内容标识，不得为他人实施上述恶意行为提供工具或服务，不得经过不合理标识手段损害他人合法权利。

第十一条 服务提供者应当依照有关强迫性国度规范的要求启动标识。

第十二条 服务提供者在实行算法备案、安保评价等手续时，应当依照本方法提供生成分解内容标识相关资料，并增强标识信息共享，为防范打击相关违法罪恶活动提供支持和协助。

第十三条 违犯本方法规则，未对生成分解内容启动标识构成严重结果的，由网信等有关主管部门依照有关法律、行政法规、部门规章的规则予以奖励。

第十四条 本方法自2024年 月 日起实施。

监管趋严，App运营者如何把控团体信息维护合规要点？

【编者按】随着我国团体信息维护相关法规日益完善，监管部门对App的监管亦日益增强。 App运营者应时辰关注相关法律法规的开展与变化，优化App团体信息维护合规水平，在保证用户权益的前提下，让App更好地服务于用户。 《互联网法律评论》今天刊发特约专家刘新宇律师及团队的一篇文章，为APP运营者支招，从6个方面把控团体信息维护合规关键点。 依据国度计算机网络应急技术处置协调中心与中国网络空间安保协会于2021年12月发布的《App违法违规搜集经常使用团体信息监测剖析报告》（以下简称“《报告》”），目前我国主流安卓运行商店在架App去重后总数为112万款。 运行装置商城的信息展现界面显示多款头部App装置次数超越100亿次，可见，移动运行App曾经成为人们日常生活中失掉移动互联网服务的关键载体之一。 随着App的开展，各类App搜集的团体信息规模逐渐增大，相应的团体信息安保隐患也逐渐显现。 网信办、工信部等各类监管机构关于违法违规搜集团体信息App的通报接二连三，APP运营者不只面临被相关部门约谈、其所运营的App被下架等监管措施，还或许要求处置潜在负面舆情所带来的费事。 故App运营者有必要提高对App团体信息维护疑问的注重水平。 结合《中华人民共和国团体信息维护法》（以下简称“《团体信息维护法》”）《App违法违规搜集经常使用团体信息行为认定方法》（以下简称“《认定方法》”）等相关法律法规规则，及监管部门在展开App团体信息维护合规任务的环节中发现的关键疑问，笔者建议App运营者着重关注以下合规要点，以保证App合法合规。 01告知团体信息主体处置行为并取得赞同 《团体信息维护法》第十七条规则团体信息处置者在处置团体信息前，应当以清楚方式、明晰易懂的言语真实、准确、完整地向团体信息主体告知团体信息处置者的称号或许姓名和咨询方式；团体信息的处置目的、处置方式，处置的团体信息种类、保管期限；团体信息主体行使本法规则权益的方式和程序等外容。 就App而言，告知团体信息主体的义务通常是经过团体信息维护政策落实。 通常中，仍有一般企业并未制定团体信息维护政策。 依据《报告》统计数据，2021年尚有6.7%的App没有隐私政策，结合我国主流安卓运行商店在架App的总量，这一数字仍相当可观，此类App运营者应当及时针对该疑问启动整改。 同时，即使曾经制定了团体信息维护政策，也不意味着一切疑问就都迎刃而解，通常中团体信息维护政策设置不规范的疑问也是监管部门关注的重点。 例如，《团体信息维护法》第十七条明白“团体信息处置者经过制定团体信息处置规则的方式告知第一款规则事项的，处置规则应外地下，并且便于查阅和保管。 ”故App运营者不只应当制定团体信息维护政策，而且还要求将其地下以便查阅，尤其不能设置查阅的阻碍，否则或许违犯上述规则。 就“便于查阅和保管”的详细规范，App运营者可以参考《认定方法》的相关规则。 依据《认定方法》，为防止团体信息维护政策难以访问或难以阅读，App运营者至少应当做到两点：第一，团体信息主体进入App主界面后，访问到团体信息维护政策的操作不能多于四次点击；第二，团体信息维护政策的文字不应当过小过密、颜色过淡、模糊不清，或存在未提供简体中文版团体信息维护政策等状况。 除前述方式上的疑问外，在内容上，团体信息维护政策亦应当满足《团体信息维护法》第十七条“以清楚方式、明晰易懂的言语真实、准确、完整地向团体信息主体告知”的要求。 例如，通常中有不少App运营者将其搜集的团体信息种类与详细的经常使用方式及目的分拆启动罗列，并未树立起对应的相关。 该方式看似同时说明了“团体信息的处置目的、处置方式，处置的团体信息种类”，但是团体信息主体经过阅读这样的团体信息维护政策，很有或许照旧无法知悉每项团体信息的详细用途。 此类团体信息维护政策就存在违犯前述《团体信息维护法》规则的风险。 在成功告知团体信息主体的义务后，另一项义务就是取得处置团体信息的合法性基础，《团体信息维护法》第十三条规则了包括“取得团体的赞同”在内的七项处置团体信息的合法性基础。 在通常中，直接失掉团体信息主体的赞同是各类App最常选择的合法性基础，即经过在团体信息主体初次经常使用App时主动弹窗提示团体信息主体阅读团体信息维护政策并要求其勾选赞同。 但要求留意的是，在征求团体信息主体赞同时应当防止采用自动勾选赞同、登录即代表赞同等默示方式失掉团体信息主体赞同，而应当确保团体信息主体以主动的行为成功“赞同”的意思表示。 但是，在部分状况下，App运营者亦或许存在较难失掉团体信息主体赞同的情形，此时，App运营者可以思索适用《团体信息维护法》第十三条规则的“为订立、实行团体作为一方当事人的合同所必需”等其他合法性基础作为替代。 02基于最小必要性处置团体信息 《团体信息维护法》第六条规则“处置团体信息应当具有明白、合理的目的，并应当与处置目的直接相关，采取对团体权益影响最小的方式。 搜集团体信息，应当限于成功处置目的的最小范围，不得过度搜集团体信息。 ”故App在处置团体信息时无法以超出必要范围，须留意，此处的范围不只是搜集团体信息的类型，还包括搜集的频率、处置的方式。 详细而言，最小必要性关键体如今两个方面： 其一是种类上的必要性，例如，天气预告软件搜集用户的天文位置信息关于成功其预告天气的目的具有一定的必要性，由于只要失掉该项信息才干更准确并针对性地提供外地的天气状况预测。 但假设天气预告软件（只要单一的天气预告性能）搜集用户的通讯录信息就清楚不契合《团体信息维护法》的最小必要性准绳，由于即使不搜集通讯录信息也不影响App为用户提供天气信息的预告服务，App运营者无法说明搜集通讯录信息关于成功这一目的有何作用。 第二是水平上的必要性，仍以前述天气预告软件为例，该软件搜集位置信息固然具有合理性，但是假设不对搜集频率加以控制，仍或许存在搜集非必要信息的风险。 例如无论用户能否经常使用该款App，App都在后台采集用户的天文位置信息并不时启动更新，这就清楚属于违犯最小必要性准绳的处置行为。 03合规处置敏感团体信息 《团体信息维护法》第二十八条规则“敏感团体信息是一旦暴露或许合法经常使用，容易造成自然人的人格尊严遭到损害或许人身、财富安保遭到危害的团体信息，包括生物识别、宗教信仰、特定身份、医疗安康、金融账户、行迹轨迹等信息，以及不满十周围岁未成年人的团体信息。 ”例如，团体信息主体的人脸、指纹等信息都或许被以为是《团体信息维护法》下的敏感团体信息。 在处置该部分团体信息时，App运营者须保证处置行为具有“特定的目的和充沛的必要性”，且应当采取较之普通团体信息更为严厉的维护措施（例如启动去标识化处置、加密存储等）。 同时要求留意，依照《团体信息维护法》的规则，App运营者在处置敏感团体信息时，要求取得团体信息主体的独自赞同。 通常中，部分App运营者或许会要求团体信息主体经过点击弹窗或许勾选独自的敏感团体信息处置规则等方式作出独自赞同。 鉴于“独自赞同”亦属于“赞同”的一种方式，如一般场景下取得独自赞同存在困难或对用户体验的影响较大，App运营者亦可以思索以《团体信息维护法》第十三条规则的其他合法性基础替代“取得独自赞同”。 04设置方便的受理与处置机制 《团体信息维护法》第五十条规则“团体信息处置者应当树立方便的团体行使权益的受理和处置机制。 拒绝团体行使权益的恳求的，应当说明理由。 ”目前大少数App曾经设置了此类机制，亦会公示注销账号的途径。 但是仅有纸面上的制度与流程并不能保证App运营者完全契合法律法规的要求，制度与流程自身能否“方便”，在通常中能否失掉了落实与执行亦是值得关注的合规疑问。 在司法通常中，部分法院亦以为，假设团体信息处置者面对一般用户的权益恳求未能及时予以照应，那么即使其曾经制定了相对完整的受理与处置规则，也依然无法被认定为实行了《团体信息维护法》第五十条的义务。 例如，App运营者以验证团体信息主体身份真实性作为提出权益恳求的前提，但是并未告知详细的验证方式或渠道；或许公示了接受恳求的电子邮箱，但是未及时检查用户的恳求内容等，均或许被法院或监管部门认定为未实行法定义务。 在团体信息主体享有的各项权益中，对团体信息处置行为的知情权是一项相当关键的权益，一定水平上亦是行使其他权益的基础。 监管部门对此也颇为注重，2022年7月，上海市通讯控制局选择，将重点审核“在国际单一运行市场内下载量/装置量达500万次以上的APP运行（含快运行和小程序等新运行外形）”，其中审核的要点之一就是App能否曾经树立“双清单”。 “双清单”源于2021年11月1日工信部发布的《关于展开信息通信服务感知优化执行的通知》，该通知要求相关企业树立“已搜集团体信息清单”和“第三方共享团体信息清单”，繁复、明晰列出App（包括内嵌第三方软件工具开发包SDK）曾经搜集到/与第三方共享的用户团体信息基本状况。 基于此，笔者了解，App运营者除成功《团体信息维护法》规则的告知义务外，还应当依照“双清单”的要求，向团体信息主体展现相关状况，以便团体信息主体了解App运营者对其团体信息的处置内容，及时主张权益。 05关注SDK数据合规状况 SDK通常是指SoftwareDevelopmentKit，即软件开发工具包。 简易来看，它是辅佐开发某一类运行软件的相关文档、范例和工具的集合。 对App来说，为了提高开发效率，可以将某项性能交给第三方来开发，第三方服务提供商将服务封装为工具包（即SDK）供开发者经常使用。 《认定方法》明白“未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）搜集经常使用团体信息的目的、方式、范围等”可被认定为“未明示搜集经常使用团体信息的目的、方式和范围”，属于违规的团体信息处置行为，须承当相应的法律责任。 《移动互联网运行程序团体信息维护控制暂行规则（征求意见稿）》第八条明白“经常使用第三方服务的，应当制定控制规则，明示App第三方服务提供者的称号、性能、团体信息处置规则等外容；应与第三方服务提供者签署团体信息处置协议，明白双方相关权益义务，并对第三方服务提供者的团体信息处置活动和信息安保风险启动控制监视；app开发运营者未尽到监视义务的，应当依法与第三方服务提供者承当连带责任。 ”虽然该规则暂时还未正式失效，但是假设App中含有损害团体信息主体权益的SDK，亦或许使App运营者被由此引发的负面舆情所影响，进而损害商誉。 在监管通常中，工信部亦于近期对违规的SDK启动了屡次通报，可见该疑问亦属于监管部门的关注重点。 故SDK就像一把“双刃剑”，为了保证App运营者的自身权益，笔者建议App运营者片面梳理App曾经接入的全部SDK，将接入的SDK搜集经常使用团体信息的目的、方式、范围写入团体信息维护政策，以启动明示，并取得团体信息主体的赞同，关于媒体曝光和监管通报的存在疑问的SDK，如己方App接入了该等SDK，依据疑问的严重水平，及时采取要求该等SDK限期整改、中止经常使用等措施。 06儿童团体信息维护 App运营者对儿童团体信息的维护义务亦属重中之重。 依据《儿童团体信息网络维护规则》第八条的规则“网络运营者应当设置专门的儿童团体信息维护规则和用户协议，并指定专人担任儿童团体信息维护。 ”笔者建议App运营者如处置儿童团体信息，则应当为儿童设置独自的团体信息维护规则和用户协议，同时，因《团体信息维护法》第二十八条规则不满十周围岁未成年人的团体信息属于敏感团体信息，因此团体信息处置者在处置该等团体信息前要求取得团体信息主体的监护人对此的独自赞同，并且应采取更为严厉的维护措施，以维护儿童的团体信息，保证儿童人身安保，维护儿童的合法权益。 在App运营环节中，App运营者，尤其是UGC（UserGeneratedContent，用户生成内容）型App运营者通常会对用户发布的内容参与标签，以介绍给或许对某类内容感兴味的其他用户，虽然此种状况在App运营中十分经常出现，但是要求留意的是，假设该内容触及到儿童，则应当提早思索相关风险，特别是此等方式能否会对儿童人身安保、生活安宁等形成潜在风险，甚至是造成团体信息被不法分子应用后，对儿童实施罪恶行为。 除防止App中的儿童团体信息被“外部”的不法分子失掉外，App运营者“外部”的任务人员亦应当成为规范的对象。 《儿童团体信息网络维护规则》第十五条规则“网络运营者对其任务人员应当以最小授权为准绳，严厉设定信息访问权限，控制儿童团体信息知悉范围。 任务人员访问儿童团体信息的，应当经过儿童团体信息维护担任人或许其授权的控制人员审批，记载访问状况，并采取技术措施，防止违法复制、下载儿童团体信息。 ”故App运营者不只要求对儿童团体信息设置访问控制制度，亦要求设置“儿童团体信息维护担任人”，对相关处置行为启动审批、记载，以防止非必要的访问，进一步降低或许对儿童形成的风险。 以上是笔者对App部分合规要点的简易梳理，随着我国团体信息维护相关法规日益完善，监管部门对App的监管亦日益增强，笔者建议App运营者时辰关注相关法律法规的开展与变化，优化App团体信息维护合规水平，在保证用户权益的前提下，让App更好地服务于用户。