团 体 标 准
2025-02-10 发布 2025-02-10 实施
电信终端产业协会 发布
前 言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
本文件是T/TAF 268《生成式人工智能个人信息保护技术要求》的第5部分。T/TAF 268已发布以下部分:
——第1部分: 隐私声明告知;
——第2部分:训练数据构建;
引 言
国家网信办联合工信部等7部门共同发布《生成式人工智能服务管理暂行办法》,这是我国首次针对生成式AI研发及服务作出明确规定。《办法》中在用户权益保护方面提出了知情同意、依法承担责任、及时响应用户权利等基本性安全要求,目前生成式AI使用的数据量大且不透明、更新演变速度快、辐射用户群体多、产业应用范围广,为加强生成式人工智能个人信息保护能力,需进一步细化个人信息安全要求。因此, 按照预研一批、储备一批、发布一批标准计划,计划制定《生成式人工智能个人信息保护技术要求》系列标准,本文件聚焦于模型设计研发环节,提出针对性的个人信息保护要求。T/TAF 268
生成式人工智能个人信息保护技术要求 第 5 部分:二次开发管理
1 范围
本文件主要针对生成式人工智能服务模型二次开发的个人信息保护相关管理要求,主要包括模型二次开发过程中的基本要求和模型二次开发服务能力提供的管理要求,涉及模型二次预训练、模型优化、功能调用、接入机制、安全保障等技术要求。
生成式人工智能服务 generative artificial intelligence service
利用生成式人工智能技术,向公众提供生成文本、图片、音频、视频等内容的服务。
3.3
模型二次开发 secondary development of model
指在开源或第三方生成式人工智能模型原有功能基础上,基于特定领域或专业数据对模型的进一步优化训练,涉及模型对齐、模型增强、功能扩展、模型评估等。
3.4
生成式人工智能二次开发者 generative artificial intelligence secondary developer
利用第三方提供的生成式人工智能模型或服务,对模型或服务进行二次开发、集成、部署并提供服务的组织或个人。
注:以下简称二次开发者。
3.5
生 成 式 人 工 智 能 二 次 开 发 服 务提供 者 generative artificial intelligence secondary development service provider
在自有生成式人工智能模型或相关服务的基础上,为二次开发者提供模型二次开发、集成、部署支持的平台、组织或个人。
注:以下简称二次开发服务提供者。
模型二次开发的训练数据构建阶段,二次开发者对于训练数据集收集、数据标注、数据存储等,应满足T/TAF 268.3—2025的相关要求;
5.2 模型训练阶段
模型训练过程中,二次开发者应满足以下要求:
a) 模型训练阶段应满足T/TAF 268.4—2025 第6章的相关要求;
b) 应对二次开发的模型进行全面的安全评估和测试验证,确保其运行过程中的个人信息安全;
c) 应对训练数据中的敏感个人信息进行去标识化或匿名化处理,基于个人单独同意的除外。
6 二次开发服务提供基本要求
6.1 模型接入管理要求
在二次开发服务的模型接入过程中,应满足以下要求:
a) 二次开发服务提供者应向二次开发者明确模型接入方式,如远程调用、本地调用等,并根据不同方式制定相应的模型安全接入机制和访问控制策略,确保二次开发者仅能访问或使用与其业务需求相关的功能;
b) 模型部署涉及第三方的,应满足T/TAF 268.8—2025的相关要求;
c) 二次开发服务提供者应与二次开发者明确数据处理形式,如涉及到数据共享,应制定相关数据保护协议,明确双方的权利和义务;
6.2 服务能力提供管理要求
评论