薛颖，现任某AIGC创新公司总法律顾问，中国人民大学法学院法律硕士实务导师。在世界五百强、信息服务业外企、互联网平台公司等从事了十多年一线法务合规工作。合著有《数据合规：入门、实战与进阶》，曾组织或参与翻译二十多部域外个人信息保护法律，发表多篇数据合规文章，参编多部国家标准。主要研究领域包括知识产权、数据隐私和人工智能治理。

　　朱玲凤，现任某互联网公司数据合规负责AI 人，中国信通院“数据安全推进计划智库专家”，中国《人工智能法示范法（专家建议稿）》起草者之一。曾任字节跳动海外隐私办公室隐私策略负责人、小米集团安全与隐私委员会隐私副主席，熟悉移动应用和操作系统、智能硬件、物联网、网联汽车等多领域的法律问题。合著有《数据合规：入门、实战与进阶》，曾在国内外法学权威期刊上发表多篇数据合规和Al合规文章，参编多部国家标准、行业标准。微信公众号“那一片数据星辰”主理人，日更最新数据合规和AI合规的专业内容。主要研究领域包括数据隐私和人工智能治理，。
　　
　　孟洁，现任环球律师事务所合伙人，北京比较法研究会理事、中国法学会网络与信息法研究会理事、中南财经政法大学和对外经济贸易大学校外硕士生导师、北京市朝阳区律协科技创新与数字经济业务研究会副主任、中国信通院“数据安全共同体计划专家”等。曾任某国际知名人工智能独角兽公司的总法律顾问和数据保护官。连年被钱伯斯等国际权威评级机构评为“TMT：数据隐私保护”“监管合规”等领域的领先律师。合著有《数据合规：入门、实战与进阶》，曾参编数十部国家/行业/团体标准及行业报告，持续在各大媒体平台发表专业文章。主要研究领域包括数字经济与网络数据安全、人工智能监管与治理合规。

适读人群 ：企业法务/合规官、服务AI行业的律师、AI产品经理、安全负责人

（1）AI业务合规的全流程说明书。入门、研发、运营、专题四大篇章，覆盖AI业务全生命周期法律问题，一本书讲透AI合规法律风险与应对策略！

（2）“创新体系+实战经验”双buff叠加。独创AI业务合规完整体系架构，结构化建立AI业务合规版图，杜绝打地鼠式管理AI业务风险。结合作者一线工作经验，穿插案例解析、产品实例，直击业务痛点，提供建议方案。

（3）跟着主人公快速成长。全书以法务新人白晓萌萌的律师视角，带你亲历AI业务合规完整路径，导引秘籍——从入门到专家，一本书就够了！

（4）小白AI智能解答，即学即用！书中专门打造了法律咨询AI智能助理角色小白AI，模拟业务需求真实业务场景，一问一答解决最头疼的AI合规难题！

　　这些年我们作为公司法务人员和律师，一直和业务人员并肩战斗，见证和感受着人工智能技术特别是生成式人工智能技术的快速发展，也因此需要经常思考和回应人工智能技术对一线法律工作提出的问题，例如：
　　如果开展人工智能这种高风险的前沿业务需要一套合规指引，这套合规指引应该包含哪些问题？应该是什么样的架构和体系？
　　AI开发和运营的业务活动中哪些法律合规问题是核心风险？我们法律人怎么做才能既支持这一业务的发展又能管理其中的风险？
　　传统互联网业务中的数据合规、用户账号与用户行为管理、内容安全、著作权等议题是正在被解构，还是只是“旧瓶装新酒”？例如，将用户数据用于人工智能开发时，如何遵守现有的个人信息保护法律？使用版权作品进行Al训练开发是否需要获得授权？如果需要，需要获得哪种授权？版权人应当如何维权？这些问题都能在当前著作权法框架下解决吗？
　　AI生成物的权利人和责任人到底是谁？获得AI生成物所有权的主体在私法上的权利与责任、在公法上的责任分别是什么？
　　以互联网信息安全为核心要旨、以压实应用层平台责任为治理抓手的互联网监管架构在AIGC时代是否依然适配、无须调整？
　　对于AI产业的治理，我们是需要一个完整、综合的人工智能法典，还是应该小步迭代，就一个专门问题研究成熟并出台一个专门规范？
　　全球关于AI治理的法律是在趋同还是在分裂？中、美、欧作为全球AI立法的三大“高地”，在立法体系、治理手段、监管思路上有哪些异同？
　　……
　　我们在本书中创设的主角“白晓萌萌”是一位法务人员，全书正是通过她的视角来完整体验人工智能业务从研发到运营过程中的各种法律问题，引导读者一起切身感受一线法律人面临的种种“终极拷问”。
　　我们同时还为白晓萌萌这个虚拟法务人员打造了一款法律咨询AI智能助理小白AI，让它模拟智能问答机器人的角色，来回答公司业务部门经常向法务提出的各种人工智能业务合规问题。
　　本书共15章，分四篇。在“入门篇”（第1和2章）中，白晓萌萌果断发挥“学霸”精神，自学了AI和生成式AI的基本概念及相关技术、我国人工智能法律治理框架，作为一名支持AI业务的律师，完成了扫盲必修课。
　　在“研发篇”（第3～8章）中，白晓萌萌开始躬身入局，伴随业务启动起来。她通过业务人员与小白的问答对方式，梳理出了在AI业务研发环节必须考虑的合规问题，总结了AI研发活动中所涉风险与合规要点大全。
　　在“运营篇”（第9～12章）中，公司的AI业务来到了上线运营的“大考”环节。业务需求越来越复杂，问题也越来越多，例如业务上线前需要办理哪些备案资质，需要哪些在线协议，个人信息保护如何落实，管理模型的输入与输出，等等。所有这些问题，且听小白^娓娓道来。
　　而到了“专题篇”（第13～15章），白晓萌萌通过为AI业务提供全周期的法律支持，已大幅提升了专业技能，不仅为“AI与著作权”这样的“网红”专题整理出了丰富的问答对，还整理了企业使用AI应用的风险控制及内部治理、AI业务出海必知的国外AI合规治理框架等进阶专题。
　　此外，在“附录”中，白晓萌萌分享了自己处理AI业务合规时常用的工具，包括我国人工智能合规义务框架图、常用法律法规及规范标准索引、欧盟《人工智能法案》图解等，作为一个小小的工具箱，希望能够为大家提供便利。
　　我们在繁忙的工作之余还“自虐式”地写作这本书，总结AI业务的合规手册，是因为且仅因为“问题”就在那里，而我们作为亲身参与AI产业的律师，希望尽可能弄清楚这些问题。因此，正视人工智能产业发展对我们法律人提出的挑战和我们的困惑，能够看见“真”问题，就是我们写作本书的底层动力。
　　……

前言

入门篇
第1章 法律人的人工智能必修课
1.1 AI的基本概念和核心技术 2
1.1.1 AI的基本概念 2
1.1.2 AI的核心技术 5
1.2 生成式AI的基本概念和技术原理 8
1.2.1 生成式AI的基本概念 8
1.2.2 生成式AI的技术原理 10
1.3 AI产业生态 12
第2章 我国人工智能法律治理框架
2.1 我国人工智能监管的基本逻辑 16
2.2 我国人工智能立法体系的发展 19
2.3 我国人工智能的立法框架 19
2.4 我国人工智能治理的整体框架 21
2.5 我国人工智能治理的监管框架 22
2.6 人工智能服务的安全要求与评估 23
2.7 人工智能伦理的合规管理 25

研发篇
第3章 AI研发阶段对合规工作的影响
3.1 AI的全生命周期 33
3.2 AI研发阶段的主要活动 35
3.3 生成式AI与其他AI在研发阶段的异同 38
3.4 AI研发阶段的主要活动对合规的影响 41
3.5 AI研发阶段需要考虑的合规维度 42
第4章 训练数据的合规与保护
4.1 使用个人信息训练模型的合规要求 45
4.1.1 使用个人信息训练模型时应满足的要求 45
4.1.2 确定训练数据的合法性基础 47
4.1.3 确保遵守目的限制原则 49
4.1.4 确保遵守数据最小化原则 52
4.1.5 确保遵守透明度和数据主体权利的要求 54
4.2 使用爬取的数据训练模型的合规要求 58
4.3 采购商用数据训练模型的合规要求 64
4.3.1 使用商用数据训练模型的优势 64
4.3.2 采购商用数据训练模型的关键要求 65
4.3.3 商用数据采购协议的核心条款 66
第5章 A|系统的网络安全
5.1 AI系统面临的网络安全风险 68
5.1.1 AI系统的网络安全风险类型 68
5.1.2 AI系统的网络安全风险案例 73
5.1.3 大型语言模型特有的网络安全风险 77
5.2 Al系统设计阶段的网络安全风险防控 86
5.2.1 AI系统设计阶段的网络安全风险 86
5.2.2 AI系统设计阶段的威胁建模 89
5.2.3 AI系统的网络安全与信息透明度之间的平衡 95
5.2.4 AI系统的网络安全与其他合规要求之间的平衡 97
5.3 Al系统开发阶段的网络安全风险防控 100
5.3.1 AI系统开发阶段的网络安全风险 100
5.3.2 AI系统开发阶段的供应链安全防控 105
5.3.3 AI系统的安全测试 110
5.3.4 AI系统训练数据面临的主要攻击 115
5.4 AI系统部署阶段的网络安全风险防控 120
5.4.1 AI系统部署阶段的网络安全风险 120
5.4.2 AI系统持续学习和进化引入的安全风险 127
5.4.3 AI系统的网络安全事件响应 130
第6章 A|系统的透明、公平以及其他伦理风险
6.1 AI系统的透明性、可解释性和可追溯性 138
6.1.1 法律对AI系统的透明性、可解释性和可追溯性的规定 138
6.1.2 透明性、可解释性和可追溯性之间的关系 145
6.1.3 AI相关法律和个人信息保护法对透明性的要求有何不同 146
6.2 透明性、可解释性和可追溯性的落实 150
6.2.1 在AI系统开发过程中落实透明性、可解释性和可追溯性义务 150
6.2.2 落实透明性、可解释性和可追溯性的最佳实践 152
6.3 法律中AI系统的公平性和非歧视性 156
6.3.1 主要司法管辖区关于AI公平性和非歧视性的法律法规 156
6.3.2 AI伦理与法律要求中公平性的差异 160
6.3 欧盟《人工智能法案》与GDPR中公平性的比较 162
6.3.4 落实公平性的措施 164
6.3.5 落实公平性以及处置偏见和歧视的最佳实践 166
6.4 其他科技伦理风险 169
6.4.1 国内的AI伦理法律要求和指引 169
6.4.2 国外的AI伦理审查方法与标准 173
第7章 开源Al
7.1 开源Al与传统开源软件的区别 177
7.2 开源Al与闭源A1的区别 179
7.3 使用开源大模型开发Al系统或应用的合规要求 181
7.3.1 使用开源大模型开发AI系统或应用的流程 181
7.3.2 开源大模型的合规评估框架 183
7.3.3 使用开源AI模型开发AI系统的合规评估框架的场景推演 186
7.4 正确评估开源Al的许可协议 189
7.5 使用开源大模型进行微调的风险 194
7.6 以开源形式安全合规地发布大模型 197
7.6.1 以开源形式发布的大模型的下游法律责任 197
7.6.2 开放程度对开源大模型提供者的责任的影响 198
7.6.3 以开源形式合规发布大模型的最佳实践 205
第8章 基础模型的灾难性风险
8.1 基础模型的灾难性风险定义 209
8.2 基础模型的灾难性风险治理的国际共识 210
8.3 基础模型的灾难性风险治理的法律义务 212
8.4 基础模型的灾难性风险治理的企业实践 216

运营篇
第9章 AIGC业务上线运营所需的准入牌照
9.1 企业开展AIGC业务所需的准入资质 222
9.1.1 准入资质清单 222
9.1.2 特殊要求 225
9.2 如何开展算法备案 227
9.2.1 哪些类型的算法需要备案 227
9.2.2 算法备案的流程和填报要求 229
9.3 大模型上线备案与登记 235
9.3.1 大模型上线备案与登记的区别 235
9.3.2 大模型上线备案与登记的流程和材料 237
第10章 AI服务中的合规要求
10.1 AIGC服务提供者的运营合规要求 241
10.1.1 AIGC服务提供者的身份 241
10.1.2 AIGC服务上线所需的在线协议文件 242
10.1.3 关于AIGC服务中的标识问题 250
10.1.4 AIGC服务产品端的其他常见合规机制 262
10.2 利用AI进行自动化决策 269
10.2.1 自动化决策和用户画像的定义 269
10.2.2 提供自动化决策相关服务需关注的合规义务 272
10.3 运营环节用户个人信息的使用与保护 282
10.3.1 在提供AI服务过程中如何落实个人信息保护合规要求 282
10.3.2 运营环节落实个人信息保护义务的最佳实践 284
10.3.3 运营环节中的个人信息主体权利响应 288
10.4 用户输入数据用于模型再训练的合规要求 290
10.4.1 将用户输入数据用于模型再训练的数据处理要求 290
10.4.2 用户数据用于模型再训练的合规设计案例 291
第11章 模型输入与输出管理
11.1 用户输入信息管理 297
11.1.1 如何对用户输入信息进行审核 297
11.1.2 如何针对用户输入信息建立审核流程 299
11.2 大模型输出信息管理 300
11.2.1 大模型生成内容审核 302
11.2.2 企业搭建内容审核流程的最佳实践 305
第12章 运营AI基础设施与平台的合规指南
12.1 AI模型平台经营者的合规义务 308
12.1.1 AI模型平台经营者的算法合规义务 308
12.1.2 AI模型平台经营者的特殊合规义务 310
12.1.3 AI模型平台经营者如何使用避风港原则缓解风险 312
12.2 AI开源社区运营者的合规义务 314
12.2.1 开源社区运营者是算法服务提供者吗 314
12.2.2 开源社区运营者如何落实账号管理认证义务 316
12.2.3 开源模型上架前需要审核吗 318
12.2.4 如何建立并落实信息内容审核管理机制 318
12.2.5 如何建立并落实投诉举报辟谣机制 320
12.2.6 开源社区运营者需要针对接人的模型履行备案与安全评估义务吗 320

专题篇
第13章 AI生成物的著作权和侵权问题
13.1 Al生成物可能涉及的重要著作权问题 324
13.2 AI生成物的可版权性 326
13.3 AI生成物的权利归属 335
13.4 AI生成物的侵权风险 339
13.5 AI训练中对版权作品的使用 352
13.6 权利人视角下针对Al生成物的权利保护问题 367
第14章 企业使用AI应用的风险控制及内部治理
14.1 企业内部是否可以使用AI工具 370
14.2 企业员工使用AI工具可能带来的风险 372
14.3 使用生成式AI的风险防范措施 377
14.4 AI治理组织机构 378
14.4.1 开展AI业务需要搭建怎样的合规组织架构 378
14.4.2 需要设立算法安全专职机构吗 381
14.4.3 如何在组织架构中设计算法相关的职责与汇报线 384
14.5 AI合规体系与相关制度 386
14.5.1 如何搭建AI合规体系 386
14.5.2 如何制定算法安全相关制度 388
第15章 Al出海企业必知的国外AI合规治理框架
15.1 欧盟人工智能治理框架 392
15.1.1 欧盟人工智能治理概况 392
15.1.2 欧盟《人工智能法案》概况 397
15.1.3 欧盟《人工智能法案》中对于人类监督的要求 398
15.1.4 欧盟《人工智能法案》中对于技术文档的要求 399
15.2 美国人工智能治理体系 400
15.3 英国人工智能治理体系 406

附录
我国人工智能合规义务框架图 412
我国人工智能业务常用法律法规及规范标准索引 416
图解欧盟《人工智能法案》 417
欧盟《人工智能法案》基于风险的治理路径 417
欧盟《人工智能法案》下不同运营主体的合规义务速查表 418
欧盟《人工智能法案》的监管体系 419

后记 423