薛颖 现任某AIGC创新公司总法律顾问，中国人民大学法学院法律硕士实务导师。在世界五百强、信息服务业外企、互联网平台公司等从事了十多年一线法务合规工作。合著有《数据合规：入门、实战与进阶》，曾组织或参与翻译二十多部域外个人信息保护法律，发表多篇数据合规文章，参编多部国家标准。主要研究领域包括知识产权、数据隐私和人工智能治理。

朱玲凤 现任某互联网公司数据合规负责人，中国信通院“数据安全推进计划智库专家”，中国《人工智能法示范法（专家建议稿）》起草者之一。曾任字节跳动海外隐私办公室隐私策略负责人、小米集团安全与隐私委员会隐私副主席，熟悉移动应用和操作系统、智能硬件、物联网、网联汽车等多领域的法律问题。合著有《数据合规：入门、实战与进阶》，曾在国内外法学权威期刊上发表多篇数据合规和AI合规文章，参编多部国家标准、行业标准。微信公众号“那一片数据星辰”主理人，日更最新数据合规和AI合规的专业内容。主要研究领域包括数据隐私和人工智能治理。

孟洁 现任环球律师事务所合伙人，北京比较法研究会理事、中国法学会网络与信息法研究会理事、中南财经政法大学和对外经济贸易大学校外硕士生导师、北京市朝阳区律协科技创新与数字经济业务研究会副主任、中国信通院“数据安全共同体计划专家”等。曾任某国际知名人工智能独角兽公司的总法律顾问和数据保护官。连年被钱伯斯等国际权威评级机构评为“TMT：数据隐私保护”“监管合规”等领域的领先律师。合著有《数据合规：入门、实战与进阶》，曾参编数十部国家/行业/团体标准及行业报告，持续在各大媒体平台发表专业文章。主要研究领域包括数字经济与网络数据安全、人工智能监管与治理合规。

适读人群 ：企业法务/合规官、服务AI行业的律师、AI产品经理、安全负责人
（1）AI业务合规的全流程说明书。入门、研发、运营、专题四大篇章，覆盖AI业务全生命周期法律问题，一本书讲透AI合规法律风险与应对策略！ （2）“创新体系+实战经验”双buff叠加。独创AI业务合规完整体系架构，结构化建立AI业务合规版图，杜绝打地鼠式管理AI业务风险。结合作者一线工作经验，穿插案例解析、产品实例，直击业务痛点，提供建议方案。 （3）跟着主人公快速成长。全书以法务新人白晓萌萌的律师视角，带你亲历AI业务合规完整路径，导引秘籍——从入门到专家，一本书就够了！ （4）小白AI智能解答，即学即用！书中专门打造了法律咨询AI智能助理角色小白AI，模拟业务需求真实业务场景，一问一答解决最头疼的AI合规难题！

前言
这些年我们作为公司法务人员和律师，一直和业务人员并肩战斗，见证和感受着人工智能技术特别是生成式人工智能技术的快速发展，也因此需要经常思考和回应人工智能技术对一线法律工作提出的问题，例如：
如果开展人工智能这种高风险的前沿业务需要一套合规指引，这套合规指引应该包含哪些问题？应该是什么样的架构和体系？
AI开发和运营的业务活动中哪些法律合规问题是核心风险？我们法律人怎么做才能既支持这一业务的发展又能管理其中的风险？
传统互联网业务中的数据合规、用户账号与用户行为管理、内容安全、著作权等议题是正在被解构，还是只是“旧瓶装新酒”？例如，将用户数据用于人工智能开发时，如何遵守现有的个人信息保护法律？使用版权作品进行AI训练开发是否需要获得授权？如果需要，需要获得哪种授权？版权人应当如何维权？这些问题都能在当前著作权法框架下解决吗？
AI生成物的权利人和责任人到底是谁？获得AI生成物所有权的主体在私法上的权利与责任、在公法上的责任分别是什么？
以互联网信息安全为核心要旨、以压实应用层平台责任为治理抓手的互联网监管架构在AIGC时代是否依然适配、无须调整？
对于AI产业的治理，我们是需要一个完整、综合的人工智能法典，还是应该小步迭代，就一个专门问题研究成熟并出台一个专门规范？
全球关于AI治理的法律是在趋同还是在分裂？中、美、欧作为全球AI立法的三大“高地”，在立法体系、治理手段、监管思路上有哪些异同？
……
我们在本书中创设的主角“白晓萌萌”是一位法务人员，全书正是通过她的视角来完整体验人工智能业务从研发到运营过程中的各种法律问题，引导读者一起切身感受一线法律人面临的种种“终极拷问”。
我们同时还为白晓萌萌这个虚拟法务人员打造了一款法律咨询AI智能助理小白AI，让它模拟智能问答机器人的角色，来回答公司业务部门经常向法务提出的各种人工智能业务合规问题。
本书共15章，分四篇。在“入门篇”（第1和2章）中，白晓萌萌果断发挥“学霸”精神，自学了AI和生成式AI的基本概念及相关技术、我国人工智能法律治理框架，作为一名支持AI业务的律师，完成了扫盲必修课。
在“研发篇”（第3~8章）中，白晓萌萌开始躬身入局，伴随业务启动起来。她通过业务人员与小白AI的问答对方式，梳理出了在AI业务研发环节必须考虑的合规问题，总结了AI研发活动中所涉风险与合规要点大全。
在“运营篇”（第9~12章）中，公司的AI业务来到了上线运营的“大考”环节。业务需求越来越复杂，问题也越来越多，例如业务上线前需要办理哪些备案资质，需要哪些在线协议，个人信息保护如何落实，管理模型的输入与输出，等等。所有这些问题，且听小白AI娓娓道来。
而到了“专题篇”（第13~15章），白晓萌萌通过为AI业务提供全周期的法律支持，已大幅提升了专业技能，不仅为“AI与著作权”这样的“网红”专题整理出了丰富的问答对，还整理了企业使用AI应用的风险控制及内部治理、AI业务出海必知的国外AI合规治理框架等进阶专题。
此外，在“附录”中，白晓萌萌分享了自己处理AI业务合规时常用的工具，包括我国人工智能合规义务框架图、常用法律法规及规范标准索引、欧盟《人工智能法案》图解等，作为一个小小的工具箱，希望能够为大家提供便利。
我们在繁忙的工作之余还“自虐式”地写作这本书，总结AI业务的合规手册，是因为且仅因为“问题”就在那里，而我们作为亲身参与AI产业的律师，希望尽可能弄清楚这些问题。因此，正视人工智能产业发展对我们法律人提出的挑战和我们的困惑，能够看见“真”问题，就是我们写作本书的底层动力。
我们一直提醒自己，在本书中提出的“问题”一定要是真实的，来自我们实际工作中的所思所想。此外，我们还希望找到一些分析问题的路径和方法，形成某种程度的体系框架。
事实上，无论是人工智能技术还是产业发展，抑或伴随人工智能产业发展所产生的法律问题及其答案，都是日新月异的，一切都是“不确定”的，缺少前例，我们在不断试错。
对于书中的问题，我们并没有给出“确切答案”的“妄念”，相反，我们作为律师给出意见，作为作者敲字成文，一直在体会一次次被否定，又一次次被鼓舞……书中的内容也随时准备被推翻、修正、批判。
但我们相信，这个探索—否定—成熟的螺旋上升过程，是人工智能技术、产业和身处其中的我们所必经的成长之路，痛并乐在其中。
在数年前写作《数据合规：入门、实战与进阶》一书时，我们曾特别提到一种紧迫感：
“在AI还不能自主生成法律规则之前，我们还可以抓紧时间探索和制定愈加成熟的、符合人类共同价值的、推动技术向善发展的规则体系。如果说在以前这是重要而不迫切的事情，那么随着个人信息收集使用、大数据算法和人工智能越来越广泛运用，这件事已经变得重要且迫切了。”
本书可以视为我们努力对上面提到的紧迫感做出的一点回应。

目录
前言
入门篇
第1章　法律人的人工智能必修课
1.1　AI的基本概念和核心技术2
1.1.1　AI的基本概念2
1.1.2　AI的核心技术5
1.2　生成式AI的基本概念和技术原理8
1.2.1　生成式AI的基本概念8
1.2.2　生成式AI的技术原理10
1.3　AI产业生态12
第2章　我国人工智能法律治理框架
2.1　我国人工智能监管的基本逻辑16
2.2　我国人工智能立法体系的发展19
2.3　我国人工智能的立法框架19
2.4　我国人工智能治理的整体框架21
2.5　我国人工智能治理的监管框架22
2.6　人工智能服务的安全要求与评估23
2.7　人工智能伦理的合规管理25
研发篇
第3章　AI研发阶段对合规工作的影响
3.1　AI的全生命周期33
3.2　AI研发阶段的主要活动35
3.3　生成式AI与其他AI在研发阶段的异同38
3.4　AI研发阶段的主要活动对合规的影响41
3.5　AI研发阶段需要考虑的合规维度42
第4章　训练数据的合规与保护
4.1　使用个人信息训练模型的合规要求45
4.1.1　使用个人信息训练模型时应满足的要求45
4.1.2　确定训练数据的合法性基础47
4.1.3　确保遵守目的限制原则49
4.1.4　确保遵守数据最小化原则52
4.1.5　确保遵守透明度和数据主体权利的要求54
4.2　使用爬取的数据训练模型的合规要求58
4.3　采购商用数据训练模型的合规要求64
4.3.1　使用商用数据训练模型的优势64
4.3.2　采购商用数据训练模型的关键要求65
4.3.3　商用数据采购协议的核心条款66
第5章　AI系统的网络安全风险防控
5.1　AI系统面临的网络安全风险68
5.1.1　AI系统的网络安全风险类型68
5.1.2　AI系统的网络安全风险案例73
5.1.3　大型语言模型特有的网络安全风险77
5.2　AI系统设计阶段的网络安全风险防控86
5.2.1　AI系统设计阶段的网络安全风险86
5.2.2　AI系统设计阶段的威胁建模89
5.2.3　AI系统的网络安全与信息透明度之间的平衡95
5.2.4　AI系统的网络安全与其他合规要求之间的平衡97
5.3　AI系统开发阶段的网络安全风险防控100
5.3.1　AI系统开发阶段的网络安全风险100
5.3.2　AI系统开发阶段的供应链安全防控105
5.3.3　AI系统的安全测试110
5.3.4　AI系统训练数据面临的主要攻击115
5.4　AI系统部署阶段的网络安全风险防控120
5.4.1　AI系统部署阶段的网络安全风险120
5.4.2　AI系统持续学习和进化引入的安全风险127
5.4.3　AI系统的网络安全事件响应130
第6章　AI系统的透明、公平以及其他伦理风险
6.1　AI系统的透明性、可解释性和可追溯性138
6.1.1　法律对AI系统的透明性、可解释性和可追溯性
　　　的规定138
6.1.2　透明性、可解释性和可追溯性之间的关系145
6.1.3　AI相关法律和个人信息保护法对透明性的要求
　　　有何不同146
6.2　透明性、可解释性和可追溯性的落实150
6.2.1　在AI系统开发过程中落实透明性、可解释性和
　　　可追溯性义务150
6.2.2　落实透明性、可解释性和可追溯性的最佳实践152
6.3　法律中AI系统的公平性和非歧视性156
6.3.1　主要司法管辖区关于AI公平性和非歧视性的
　　　法律法规156
6.3.2　AI伦理与法律要求中公平性的差异160
6.3.3　欧盟《人工智能法案》与GDPR中公平性的比较162
6.3.4　落实公平性的措施164
6.3.5　落实公平性以及处置偏见和歧视的最佳实践166
6.4　其他科技伦理风险169
6.4.1　国内的AI伦理法律要求和指引169
6.4.2　国外的AI伦理审查方法与标准173
第7章　开源AI
7.1　开源AI与传统开源软件的区别177
7.2　开源AI与闭源AI的区别179
7.3　使用开源大模型开发AI系统或应用的合规要求181
7.3.1　使用开源大模型开发AI系统或应用的流程181
7.3.2　开源大模型的合规评估框架183
7.3.3　使用开源AI模型开发AI系统的合规评估
　　　框架的场景推演186
7.4　正确评估开源AI的许可协议189
7.5　使用开源大模型进行微调的风险194
7.6　以开源形式安全合规地发布大模型197
7.6.1　以开源形式发布的大模型的下游法律责任197
7.6.2　开放程度对开源大模型提供者的责任的影响198
7.6.3　以开源形式合规发布大模型的最佳实践205
第8章　基础模型的灾难性风险
8.1　基础模型的灾难性风险定义209
8.2　基础模型的灾难性风险治理的国际共识210
8.3　基础模型的灾难性风险治理的法律义务212
8.4　基础模型的灾难性风险治理的企业实践216
运营篇
第9章　AIGC业务上线运营所需的准入牌照
9.1　企业开展AIGC业务所需的准入资质222
9.1.1　准入资质清单222
9.1.2　特殊要求225
9.2　如何开展算法备案227
9.2.1　哪些类型的算法需要备案227
9.2.2　算法备案的流程和填报要求229
9.3　大模型上线备案与登记235
9.3.1　大模型上线备案与登记的区别235
9.3.2　大模型上线备案与登记的流程和材料237
第10章　AI服务中的合规要求
10.1　AIGC服务提供者的运营合规要求241
10.1.1　AIGC服务提供者的身份241
10.1.2　AIGC服务上线所需的在线协议文件242
10.1.3　关于AIGC服务中的标识问题250
10.1.4　AIGC服务产品端的其他常见合规机制262
10.2　利用AI进行自动化决策269
10.2.1　自动化决策和用户画像的定义269
10.2.2　提供自动化决策相关服务需关注的合规义务272
10.3　运营环节用户个人信息的使用与保护282
10.3.1　在提供AI服务过程中如何落实个人信息保护
　　　合规要求282
10.3.2　运营环节落实个人信息保护义务的最佳实践284
10.3.3　运营环节中的个人信息主体权利响应288
10.4　用户输入数据用于模型再训练的合规要求290
10.4.1　将用户输入数据用于模型再训练的数据
　　　处理要求290
10.4.2　用户数据用于模型再训练的合规设计案例291
第11章　模型输入与输出管理
11.1　用户输入信息管理297
11.1.1　如何对用户输入信息进行审核297
11.1.2　如何针对用户输入信息建立审核流程299
11.2　大模型输出信息管理300
11.2.1　大模型生成内容审核302
11.2.2　企业搭建内容审核流程的最佳实践305
第12章　运营AI基础设施与平台的合规指南
12.1　AI模型平台经营者的合规义务308
12.1.1　AI模型平台经营者的算法合规义务308
12.1.2　AI模型平台经营者的特殊合规义务310
12.1.3　AI模型平台经营者如何使用避风港原则
　　　缓解风险312
12.2　AI开源社区运营者的合规义务314
12.2.1　开源社区运营者是算法服务提供者吗314
12.2.2　开源社区运营者如何落实账号管理认证义务316
12.2.3　开源模型上架前需要审核吗318
12.2.4　如何建立并落实信息内容审核管理机制318
12.2.5　如何建立并落实投诉举报辟谣机制320
12.2.6　开源社区运营者需要针对接入的模型履行备案
　　　　与安全评估义务吗320
专题篇
第13章　AI生成物的著作权和侵权问题
13.1　AI生成物可能涉及的重要著作权问题324
13.2　AI生成物的可版权性326
13.3　AI生成物的权利归属335
13.4　AI生成物的侵权风险339
13.5　AI训练中对版权作品的使用352
13.6　权利人视角下针对AI生成物的权利保护问题367
第14章　企业使用AI应用的风险控制及内部治理
14.1　企业内部是否可以使用AI工具370
14.2　企业员工使用AI工具可能带来的风险372
14.3　使用生成式AI的风险防范措施377
14.4　AI治理组织机构378
14.4.1　开展AI业务需要搭建怎样的合规组织架构378
14.4.2　需要设立算法安全专职机构吗381
14.4.3　如何在组织架构中设计算法相关的职责与
　　　汇报线384
14.5　AI合规体系与相关制度386
14.5.1　如何搭建AI合规体系386
14.5.2　如何制定算法安全相关制度388
第15章　AI出海企业必知的国外AI合规治理框架
15.1　欧盟人工智能治理框架392
15.1.1　欧盟人工智能治理概况392
15.1.2　欧盟《人工智能法案》概况397
15.1.3　欧盟《人工智能法案》中对于人类监督的
　　　要求398
15.1.4　欧盟《人工智能法案》中对于技术文档的
　　　要求399
15.2　美国人工智能治理体系400
15.3　英国人工智能治理体系406
附录
我国人工智能合规义务框架图412
我国人工智能业务常用法律法规及规范标准索引416
图解欧盟《人工智能法案》417
欧盟《人工智能法案》基于风险的治理路径417
欧盟《人工智能法案》下不同运营主体的合规义务速查表418
欧盟《人工智能法案》的监管体系419
后记423