资源简介
团 体 标 准
T/TAF 268.7—2025
生成式人工智能个人信息保护技术要求
第 7 部分:个人权利响应
Technical requirements for personal information protection of generative artificial intelligence—Part 7:Individual r ights response
2025-02-10 发布 2025-02-10 实施
电信终端产业协会 发布
前 言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
本文件是T/TAF 268《生成式人工智能个人信息保护技术要求》的第7部分。T/TAF 268已发布以下部分:
——第1部分 总则;
——第2部分 隐私声明告知;
——第3部分 训练数据构建;
——第4部分 模型规制控制;
——第5部分 二次开发管理;
——第6部分 输出阶段管理;
——第7部分 个人权利响应;
——第8部分 供应链管理。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由电信终端产业协会提出并归口。
本文件起草单位:中国信息通信研究院、厦门美柚股份有限公司、北京快手科技有限公司、中兴通讯股份有限公司、新华三技术有限公司、北京微梦创科网络技术有限公司、联通华盛通信有限公司、北京卡路里科技有限公司、上海声网科技有限公司、OPPO广东移动通信有限公司、科大讯飞股份有限公司、广州视睿电子科技有限公司、蚂蚁科技集团股份有限公司、珠海魅族科技有限公司、荣耀终端股份有限公司、北京三星通信技术研究有限公司、维沃移动通信有限公司、厦门美图网科技有限公司、北京理想汽车有限公司、广州虎牙信息科技有限公司、友盟同欣(北京)科技有限公司、北京猿力教育科技有限公司、高通无线通信技术 (中国)有限公司、北京智者天下科技有限公司、上海稀宇科技有限公司、广东小天才科技有限公司。
本文件主要起草人:武林娜、黄鹏华、王艳红、李京典、王淞鹤、屈蕾蕾、陈鑫爱、李可心、汪海、杨萌科、谷晨、落红卫、潘万鹏、李培、任资政、康宇、刘觅、王海涛、曹昉赫、张天若、陈宝金、钱雷、李根、李腾、王士进、高建清、刘胜宇、尹志超、林冠辰、石玉珍、朱玲凤、周煌凯、李辰淑、赵晓娜、吴越、徐曼、贾科、陈劲松、陈晓旭、李美婷、刘晓杰、胡梦云、马海龙、姚栋、贾紫薇、阮玲宏、董继征、孙铁、许锐、王磊、周辰、陈岑、王江胜、杨弋、苏彤、彭韬、周晓蓉、周裕亮。
引 言
近年来,生成式人工智能实现跨越式发展,能够以十分接近人类的思考方式进行信息处理和内容生成,解决更加多元化的主题任务,在文本生成、数据分析、代码编写、图像生成等领域均表现出极为突出的可靠性、高效性与逻辑性。
目前,生成式人工智能广泛应用于虚拟助理、智能客服、语音助手等人机交互场景,能够为用户解答疑问、安排日程、处理问题,而良好交互体验的实现需要以获得大量用户数据为基础,在推动技术产业变革的同时也为用户个人信息保护带来了风险与隐患。
面对新技术新应用带来的机遇和挑战,为了平衡创新发展和精准治理,完善生成式人工智能数据治理体系,亟需针对生成式人工智能的个人信息保护问题提出技术要求,督促指导企业建立健全相关制度、强化技术能力。
T/TAF 268旨在对生成式人工智能的个人信息保护问题提出技术要求,由8部分构成。
——第1部分:总则。目的在于规定生成式人工智能服务个人信息保护的术语、总体原则和个人信息保护框架。
——第2部分:隐私声明告知。目的在于提出向服务使用者进行隐私声明告知时的个人信息保护技术要求。
——第3部分:训练数据构建。目的在于提出生成式人工智能数据集构建过程中的个人信息保护技术要求。
——第4部分:模型规制控制。目的在于提出生成式人工智能模型训练阶段个人信息保护方面的规制控制要求。
——第5部分:二次开发管理。目的在于提出面向开发者提供二次开发应用时,个人信息保护相关的管理要求。
——第6部分:输出策略控制。目的在于提出生成式人工智能服务在内容输出时对输出策略控制的个人信息保护要求。
——第7部分:个人权利响应。目的在于提出服务提供者对于服务使用者个人权利响应要求。
——第8部分:供应链管理。目的在于提出供应链管理中所应满足保护个人信息安全的技术要求和管理措施。
生成式人工智能个人信息保护技术要求 第 7 部分:个人权利响应
1 范围
本文件主要针对生成式人工智能服务提供者对于用户个人权利响应要求,包括用户的知情权、决定权、更正权、删除权等法律法规所要求的用户的合法权利。
本文件适用于指导生成式人工智能服务提供者对模型个人信息安全能力的设计与研发,同时适用于监管机构、第三方测评机构对生成式人工智能个人信息保护能力的个人权利响应情况进行监督、评估与认证。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
TAF 268.1 生成式人工智能个人信息保护技术要求 第1部分 总则
3 术语和定义
TAF 268.1 界定的术语和定义适用于本文件。
4 知情权
生成式人工智能服务提供者应满足以下要求:
a) 应向用户明示告知其提供的生成式人工智能服务在应用阶段等所收集和使用的个人信息类型;
b) 应向用户明示告知其提供的生成式人工智能服务所涉及算法的名称、目的意图、基本原理、主要运行机制和生成式人工智能服务备案号等;
c) 若使用第三方生成式人工智能向用户提供服务,应向用户告知第三方名称、向第三方提供的个人信息类型等,委托处理的情况除外。
5 拒绝权
生成式人工智能服务提供者应满足以下要求:
a) 通过生成式人工智能服务方式向个人进行信息推送、商业营销,应同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式;
b) 涉及将用户输入数据用于模型训练的,应提供关闭选项,允许用户拒绝将用户输入数据用于模型训练。
6 查询权
生成式人工智能服务提供者应满足以下要求:
a) 应提供用户对话记录数据查询功能,不包括用户主动删除的对话记录数据;
b) 宜在个人信息处理规则中明示用户对话记录数据查询的申请流程、实现方式、响应时间、个人不得行使查询权的情形等。
7 复制权
生成式人工智能服务提供者宜满足以下要求:
a) 宜提供用户对话记录数据副本的导出功能;
b) 宜在个人信息处理规则中明示用户对话记录数据复制的申请流程、实现方式、响应时间、个人不得行使复制权的情形等。
8 投诉举报
生成式人工智能服务提供者应满足以下要求:
a) 应当建立便捷、有效的投诉和举报处理机制,公开投诉和举报方式等信息,及时处理生成式人工智能服务个人信息保护相关的投诉和举报并反馈处理结果。
9 更正权
生成式人工智能服务提供者应满足以下要求:
a) 若生成式人工智能服务依赖用户提供的个人信息进行信息内容生成,应提供途径满足用户更正、补充其个人信息的请求。
10 删除权
生成式人工智能服务提供者应满足以下要求:
a) 若生成式人工智能服务使用用户个人信息进行模型训练或服务输出用户个人信息,用户要求删除其个人信息,应及时响应用户诉求;
b) 若生成式人工智能服务依赖用户提供的个人信息进行信息内容生成,应向用户提供删除用于生成式人工智能服务的针对其个人特征的用户标签的功能;
c) 应提供删除用户对话记录数据功能,用户删除对话记录后,不应再使用删除的对话记录数据用于模型训练等处理活动, 已匿名化处理的除外。
评论