撰文:黃鵬,上海曼昆律師事務所資深律師
6 月 25 日,OpenAI 向 API(應用接口)用戶推送官方郵件,告知自 7 月 9 日起,將阻止來自未列入支持國家和地區名單的區域的 API 流量,如要繼續使用 OpenAI 的服務,需要在受支持的區域進行訪問。
一時間衆議紛紜,媒體更以「斷供」描述 OpenAI 的此次舉措。有人認爲,是因爲美國對中國的打壓政策;有人認爲,是爲了防止國內大模型的套殼和獲取語料。事實上,OpenAI 從未向國內市場開放服務,「斷供」言過其實,更準確得說是加強了封禁的措施。也因此,我國所有調用 API 接口的企業,本質上都處於不合規的狀態,既不符合 OpenAI 的政策,也不符合國內的法律。那麼,這些企業下一步該走向何方?
順勢遷移
2023 年 7 月,中國網信辦聯合有關部門推出《生成式人工智能服務管理暫行辦法》,是全球範圍內針對生成式人工智能的首部專門立法。根據辦法,生成式人工智能服務提供者要使用具有合法來源的數據和基礎模型;而 OpenAI 並未根據國內監管要求進行算法備案、生成式人工智能服務備案等。與此同時,根據 OpenAI 的政策,不向中國用戶提供 GPT 服務。
在「雙重違法」之下,使用 OpenAI API 接口的「套殼」應用處於隨時被禁止運營的狀態,這對於一個長期項目不是件好事情。國內監管之所以仍保持一定「寬容」,是因爲行業畢竟在初期發展階段,執法強度也有個由鬆到緊的過程。此次 OpenAI 方的封禁,可以倒逼國內項目走向合規發展的道路。
現狀之下,選擇國內 AI 模型進行遷移,成爲所有套用 Open API 接口的應用需要考慮的關鍵解決方案之一。與此同時,國產大模型也不失時機地爭相推出「搬家」方案。
通過遷移,原有應用的功能可以維持穩定,應用及背後公司也可以避免因失去 OpenAI API 而產生違約問題。在考察性價比之餘,應用可優先考慮已經通過生成式人工智能服務備案的大模型,避免新的合規問題。值得注意的是,截至 2024 年 3 月,我國共有 117 個大模型已經在網信辦備案。
不過,自從 OpenAI 發佈公告後,部分文章提出:使用 OpenAI API 的應用可以遷移至 Azure OpenAI。給出理由是,微軟已經和 OpenAI 合作,且未禁止中國用戶使用。那麼,這些應用是否可以採納該建議,且合規性如何?
Azure OpenAI
首先,我們來看看什麼是 Azure OpenAI。
Azure OpenAI 是微軟提供的服務,可以實現對 OpenAI 大語言模型的 REST API 訪問,這些模型包括 GPT-4、GPT-4 Turbo with Vision、GPT-3.5-Turbo 和嵌入模型系列。Azure OpenAI 服務完全由微軟控制;微軟在 Azure 環境中託管 OpenAI 模型,該服務不會與 OpenAI 運營的任何服務(例如 ChatGPT 或 OpenAI API)進行交互。而且,微軟也在 OpenAI「斷供」事件後加入了這場遷移搶客盛宴。
和 OpenAI 不同,Azure OpenAI 並沒有限制中國用戶使用,這一點不管是在官方宣傳還是工作人員口頭回復都得到確認。不過矛盾的是,在一份官方產品可用服務區域文件中,似乎註明在中國不可用。
那麼,我國使用 OpenAI API 接口做 AI 項目的企業,如果選擇將自己的項目遷移至 Azure OpenAI,在合規方面可以高枕無憂嗎?
合規存疑
作爲一項全球服務,微軟有完整的數據合規政策。如承諾數據不對 OpenAI 開放,不會被用於改進 OpenAI 或微軟的產品、服務,隨時可以刪除,防止有害內容生成,遵守歐盟 GDPR 和 ISO 27001、ISO 27002 和 ISO 27018 的要求。然而,據曼昆律師瞭解到的信息,Azure OpenAI 的合規政策沒有專門針對中國法律進行適配。因此,在以下方面,使用 Azure OpenAI 的合規性仍然存疑。
疑點 1:數據出境
Azure 的中國服務由國內世紀互聯公司運營,數據中心在中國境內。但 Azure OpenAI 屬於全球服務,數據中心在中國境外。當國內關鍵信息基礎設施運營者或者其他數據處理者傳輸敏感個人信息、個人信息、重要數據超過一定標準,需要向國家網信部門申報數據出境安全評估、通過個人信息保護認證。這對於國內用戶是很大的合規成本,且由於 Azure OpenAI 本身亦未查詢到經過國內評估認證,難以保證可以順利通過。
疑點 2:未完成備案
根據《互聯網信息服務算法推薦管理規定》《互聯網信息服務深度合成管理規定》《生成式人工智能服務管理暫行辦法》,凡是提供具有輿論屬性或者社會動員能力的生成式人工智能服務,應當開展安全評估,並履行算法及模型備案手續。經檢索,Azure OpenAI 並未完成算法和大模型備案。那麼對於想面對境內公衆提供服務的用戶來說,很難證明是使用了合法來源的基礎模型,以及滿足其他監管要求。
總結:對於想應用於內部研發、運營使用,未面向公衆,不涉及個人信息、重要數據的企業,Azure OpenAI 是個可選項;除此之外,則要慎重評估使用 Azure OpenAI 的合規風險。由於未能掌握完整信息,本人根據公開信息,試着對 Azure OpenAI 的合規性進行分析,如有事實出入,請微軟聯繫更正。
最差方案
有業內人士提出,可以通過使用海外服務器或創建反向代理來繞開限制。這個方案是通過技術手段反封鎖,但無法解決任何合規問題。相反,這樣做會增加數據安全和隱私的風險。在運營方面,國內蘋果和安卓的應用市場可以下架這類應用;應用服務的穩定性也要打個大大的問號。
小結
在 OpenAI 限制中國使用其 API 的背景下,國內現存 AI 企業考慮數據遷移至 Azure OpenAI 或其他國際服務時,必須仔細評估合規風險。與此同時,面對新技術帶來的法律挑戰,企業或許應該積極探索本土化解決方案,而非一味尋求「平替」,在不斷變化的技術環境中實現合規發展。