团 体 标 准
T/TAF 287.5—2025
生成式人工智能产品和服务用户权益保护要求 第 5 部分:个人权利响应
Requirements for user rights protection of generative artificial
intelligence products and services—Part 5: Individual rights response
2025-08-11 发布 2025-08-11 实施
电信终端产业协会 发布
前 言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
本文件是T/TAF 287《生成式人工智能产品和服务用户权益保护要求》的第5部分。T/TAF 287已发布以下部分:
——第1部分:总则;
——第2部分:服务协议;
——第3部分:服务公示;
——第4部分:用户数据处理;
——第5部分:个人权利响应;
——第6部分:服务保障能力;
——第7部分:应急处置措施。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由电信终端产业协会(TAF)提出并归口。
本文件起草单位:中国信息通信研究院、阿里巴巴 (中国)有限公司、OPPO广东移动通信有限公司、科大讯飞股份有限公司、北京小桔科技有限公司、蚂蚁科技集团股份有限公司、维沃移动通信有限公司、北京快手科技有限公司、荣耀终端股份有限公司、北京象信智安科技有限公司、高通无线通信技术(中国)有限公司、北京三星通信技术研究有限公司、珠海市魅族科技有限公司、上海声网科技有限公司、中国联合网络通信有限公司、北京抖音信息服务有限公司、华为终端有限公司、北京卡路里科技有限公司、北京三快科技在线有限公司、北京微梦创科网络技术有限公司、新华三技术有限公司、友盟同欣(北京)科技有限公司、阿里巴巴(北京)软件服务有限公司、百度在线网络技术(北京)有限公司、上海合合信息科技股份有限公司、贝壳找房(北京)科技有限公司、南德认证检测(中国)有限公司深圳分公司、广州视源电子科技股份有限公司、深圳依时货拉拉科技有限公司、深圳市和讯华谷信息技术有限公司、厦门美图网科技有限公司。
本文件主要起草人:李京典、贾宝国、武林娜、王淞鹤、王艳红、宋恺、陈鑫爱、常浩伦、李可心、桑明臣、杜云、周飞、顾世鸿、黄天宁、李根、李天烁、王士进、高建清、李腾、林冠辰、孙铁、许锐、黄如鑫、李荣、郭建领、王磊、周辰、谷晨、朱玲凤、吴越、钱雷、赵盈洁、姚一楠、刘觅、杜蕾、高震、衣强、曹昉赫、吴斌、任资政、邹庆、李辰淑、赵晓娜、王江胜、李培、贾紫薇、刘艾婧、廖超豪、王超、陈岩、黄蓉、周世乐、尹志超、瞿菲、白雷、张洪龙、陈光炎、姚菲、马超、陈劲松、陈晓旭、李美婷。
引 言
国家网信办联合工信部等7部门共同发布《生成式人工智能服务管理暂行办法》(以下简称《办法》),这是我国首次针对生成式人工智能研发及服务作出明确规定。《办法》中在用户权益保护方面提出了知情同意、依法承担责任、及时响应用户权利等基本性安全要求,目前生成式人工智能产品和服务使更新演变速度快、辐射用户群体多、应用范围广,为加强生成式人工智能产品或服务的用户权益保护能力,需进一步细化用户权益保护要求。因此,按照预研一批、储备一批、发布一批标准计划,计划制定《生成式人工智能产品和服务用户权益保护要求》系列标准,本文件聚焦于面向消费者生成式人工智能产品和服务,提出用户权益保护要求。T/TAF 287拟由7个部分构成:
——生成式人工智能产品和服务用户权益保护要求 第1部分:总则;
——生成式人工智能产品和服务用户权益保护要求 第2部分:服务协议;
——生成式人工智能产品和服务用户权益保护要求 第3部分:服务公示;
——生成式人工智能产品和服务用户权益保护要求 第4部分:用户数据处理;
——生成式人工智能产品和服务用户权益保护要求 第5部分:个人权利响应;
——生成式人工智能产品和服务用户权益保护要求 第6部分:服务保障能力;
——生成式人工智能产品和服务用户权益保护要求 第7部分:应急处置措施。
1 范围
本文件规定了生成式人工智能产品和服务用户权益保护中对于用户个人权利响应要求,主要明确用户的知情同意权、补充更正权、公平交易权等法律法规所要求的用户的合法权利。
本文件适用于指导生成式人工智能产品和服务提供者对用户权益保障能力的设计、研发和评估,同时适用于监管机构、第三方测评机构对生成式人工智能产品和服务的个人权利响应情况进行监督、评估或认证。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
T/TAF 210(所有部分) 移动互联网应用程序保障个人权利实施指南
3 术语和定义
下列术语和定义适用于本文件。
3.1
个人信息 personal information
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
[来源:《中华人民共和国个人信息保护法》]
3.2
生成式人工智能 generative artificial intelligence
具有文本、图片、音频、视频等内容生成能力的模型及相关技术。
3.3
生成式人工智能产品和服务 generative artificial intelligence products and services
利用生成式人工智能技术,向公众提供生成文本、图片、 音频、视频等内容的产品和服务。
3.4
生成式人工智能服务使用者 generative artificial intelligence service user
使用生成式人工智能服务生成内容的组织、个人,简称为“使用者”。
3.5
生成式人工智能服务提供者 generative artificial intelligence service provider
利用生成式人工智能技术提供生成式人工智能服务(包括通过提供可编程接口等方式提供生成式人
工智能服务)的组织、个人,简称为“提供者”
3.6
用户数据 user data
生成式人工智能提供服务的过程中,所处理的与使用者相关的数据,主要包括使用者输入的信息、使用记录、生成内容等。
4 知情同意权
生成式人工智能产品和服务保障用户知情同意权的要求如下:
a) 提供者应向用户告知服务使用过程中所收集和使用的个人信息类型、目的和方式,以上内容发生变更时,应显著告知并征得用户同意;
b) 提供者应向用户明示告知其提供的服务所涉及算法的名称、所属主体、收集使用个人信息类别、场景等;
c) 提供者以用户同意为合法性基础下存在收集、处理用户宗教信仰、特定身份、医疗健康等敏感个人信息的场景,应向用户告知,并征得同意;
d) 生成式人工智能服务过程中不得通过诱导、欺骗等方式要求用户提供个人信息;
e) 通过生成式人工智能服务方式向个人进行个性化内容推送、商业营销,应同时提供便捷的拒绝方式,如提供不针对其个人特征的选项或删除针对其个人特征的用户标签等功能;
f) 根据用户提供的人脸等敏感个人信息进行内容生成时,应充分告知用户该行为可能存在的风险与责任范围;
g) 涉及将用户个人信息用于模型训练的,应满足以下要求:
1) 应明确告知使用者相关情况并征得使用者的明示同意。同时,应为使用者提供相应的撤销同意方式或关闭其相关信息用于训练的方式;
2) 因使用自动化采集技术等无法避免采集到非必要个人信息或者未取得个人同意的个人信息时,提供者应当删除个人信息或者进行匿名化处理;删除、匿名化处理个人信息从技术上难以实现的,提供者应当停止除存储和采取必要的安全保护措施之外的处理。
3) 将对话用于未使用到第三方模型训练的应确保进行去标识化或匿名化处理。如仍涉及个人信息的,应在征得用户同意或满足其他合法性基础等前提下进行。
5 查阅、复制、删除权
提供者应清晰便捷地为用户提供要求查阅、复制的其个人信息的方式。个人对生成式人工智能服务提供者提出删除其使用过程中产生的用户个人信息请求时,生成式人工智能服务提供者核查后应予以及时响应。
注:查阅、复制、删除权具体响应要求参见T/TAF 210中的内容。
6 补充更正权
存在以对话等方式收集用户搜索记录、使用习惯、浏览偏好等个人信息形成用户画像的,应提供途径满足用户更正、补充其个人信息的请求,或提供修改用户标签的功能
7 公平交易权
生成式人工智能产品和服务保障用户公平交易权的要求如下:
a) 提供相同产品和服务时,不应根据用户的偏好、交易习惯等特征实施不合理的差别待遇;
b) 提供者不应通过虚假折扣、夸张宣传、恶意跳转、虚假图片视频等等方式诱导用户开通付费服务;
c) 生成式人工智能付费服务有效期内,应通过便捷清晰的方式向用户展示当前付费服务的服务名称、主要功能、有效时间等内容;
d) 若使用过程中某功能需付费开通,提供者应向用户展示涉及该功能的全部资费套餐由用户自主选择;
e) 用户付费开通生成式人工智能服务前,应详细列举服务内容,对于用户无法明确感知差异的(如模型能力等),宜通过举例对比等方式进行说明;
f) 生成式人工智能产品服务有效期内,服务内容出现变动,应告知用户,若用户对减损性变动明确表示不接受,应妥善解决用户合理诉求;
8 要求解释说明权
用户反馈生成式人工智能服务生成内容、服务质量、个人信息使用、生成内容归属、付费规则等疑问时,提供者应通过在线客服、电话、邮件等方式向用户进行解释说明。
参 考 文 献
[1] 《中华人民共和国个人信息保护法》
评论