团 体 标 准
T/TAF 268.1—2025
生成式人工智能个人信息保护技术要求
第 1 部分:总则
Technical requirements for personal information protection of generative
artificial intelligence—Part 1:General principle
2025-02-10 发布 2025-02-10 实施
电信终端产业协会 发布
前 言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
本文件是T/TAF 268《生成式人工智能个人信息保护技术要求》的第1部分。T/TAF 268已发布以下部分:
——第1部分:总则;
——第2部分:隐私声明告知;
——第3部分:训练数据构建;
——第4部分:模型规制控制;
——第5部分:二次开发管理;
——第6部分:输出阶段管理;
——第7部分:个人权利响应;
——第8部分:供应链管理。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由电信终端产业协会提出并归口。
本文件起草单位:中国信息通信研究院、北京快手科技有限公司、中兴通讯股份有限公司、新华三技术有限公司、上海合合信息科技股份有限公司、深圳市和讯华谷信息技术有限公司、北京微梦创科网络技术有限公司、深圳依时货拉拉科技有限公司、联通华盛通信有限公司、北京卡路里科技有限公司、上海声网科技有限公司、OPPO广东移动通信有限公司、科大讯飞股份有限公司、百度在线网络技术(北京)有限公司、蚂蚁科技集团股份有限公司、珠海魅族科技有限公司、荣耀终端股份有限公司、北京三星通信技术研究有限公司、厦门美柚股份有限公司、维沃移动通信有限公司、阿里巴巴 (中国)有限公司、广东小天才科技有限公司、北京理想汽车有限公司、广州虎牙信息科技有限公司、友盟同欣(北京)科技有限公司、北京小桔科技有限公司、北京象信智能科技有限公司、北京猿力教育科技有限公司、高通无线通信技术 (中国)有限公司、北京智者天下科技有限公司。
本文件主要起草人:武林娜、王艳红、谷晨、落红卫、王淞鹤、屈蕾蕾、陈鑫爱、李可心、汪海、杨萌科、潘万鹏、曹耀斌、李培、宋宏宇、廖超豪、陈光炎、姚菲、马超、任资政、康宇、瞿菲、白雷、张洪龙、刘觅、王海涛、曹昉赫、张天若、陈宝金、钱雷、李根,李腾、王士进、高建清、冯钰淇、贾玉栋、张曼玉、林冠辰、石玉珍、朱玲凤、李絁芩、李辰淑、赵晓娜、吴越、黄鹏华、徐曼、贾科、黄天宁、安达、周裕亮、刘晓杰、胡梦云、马海龙、姚栋、贾紫薇、孙铁、许锐、王磊、周辰、陈岑、王江胜、杨弋。
引 言
近年来,生成式人工智能实现跨越式发展,能够以十分接近人类的思考方式进行信息处理和内容生成,解决更加多元化的主题任务,在文本生成、数据分析、代码编写、图像生成等领域均表现出极为突出的可靠性、高效性与逻辑性。
目前,生成式人工智能广泛应用于虚拟助理、智能客服、语音助手等人机交互场景,能够为用户解答疑问、安排日程、处理问题,而良好交互体验的实现需要以获得大量用户数据为基础,在推动技术产业变革的同时也为用户个人信息保护带来了风险与隐患。
面对新技术新应用带来的机遇和挑战,为了平衡创新发展和精准治理,完善生成式人工智能数据治理体系,亟需针对生成式人工智能的个人信息保护问题提出技术要求,督促指导企业建立健全相关制度、强化技术能力。
T/TAF 268旨在对生成式人工智能的个人信息保护问题提出技术要求,拟由8部分构成。
——第1部分:总则。目的在于规定生成式人工智能服务个人信息保护的术语、总体原则和个人信息保护框架。
——第2部分:隐私声明告知。目的在于提出向服务使用者进行隐私声明告知时的个人信息保护技术要求。
——第3部分:训练数据构建。目的在于提出生成式人工智能数据集构建过程中的个人信息保护技术要求。
——第4部分:模型规制控制。目的在于提出生成式人工智能模型训练阶段个人信息保护方面的规制控制要求。
——第5部分:二次开发管理。目的在于提出面向开发者提供二次开发应用时,个人信息保护相关的管理要求。
——第6部分:输出阶段管理。目的在于提出生成式人工智能服务在内容输出时对输出策略控制的个人信息保护要求。
——第7部分:个人权利响应。目的在于提出服务提供者对于服务使用者个人权利响应要求。
——第8部分:供应链管理。目的在于提出供应链管理中所应满足保护个人信息安全的技术要求和管理措施。
生成式人工智能个人信息保护技术要求
第
部分:总则
1 范围
本文件规定了生成式人工智能服务个人信息保护的术语、总体原则和个人信息保护框架。
本文件适用于生成式人工智能服务提供者通过自有模型向用户或其它开发者提供服务时涉及的个人信息保护要求,也适用于主管部门、第三方评估机构等组织对生成式人工智能服务个人信息保护进行评估。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 11457-2006 信息技术 软件工程术语
GB/T 35273-2020 信息安全技术 个人信息安全规范
3 术语和定义
GB/T 11457-2006和GB/T 35273-2020界定的以及下列术语和定义适用于本文件。
3.1
生成式人工智能技术 generative artificial intelligence
具有文本、图片、音频、视频等内容生成能力的模型及相关技术。
3.2
生成式人工智能服务 generative artificial intelligence service
利用生成式人工智能技术,向公众提供生成文本、图片、音频、视频等内容的服务。
3.3
生成式人工智能服务提供者 generative artificial intelligence service supplier
利用生成式人工智能技术提供生成式人工智能服务的组织、个人。简称为“服务提供者”。
3.4
生成式人工智能服务使用者 generative artificial intelligence service user
使用生成式人工智能服务生成内容的组织、个人。简称为“服务使用者”。
3.5
用户 user
个人服务使用者。
3.6
预训练 pre-training
使用大规模数据使生成式人工智能模型获得通用知识的训练过程。
3.7
优化训练 fine-tuning
使用专门领域数据使生成式人工智能模型获得一定面向领域服务能力的训练过程。
3.8
训练数据 training data
所有直接作为模型训练输入的数据,包括预训练数据和优化训练数据。
3.9
提示信息 prompt
引导生成式人工智能模型完成特定任务并提供合理输出内容的输入信息。
3.10
生成内容 response
生成式人工智能模型按照提示信息要求形成的应答信息。
3.11
个人信息 personal information
以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
3.12
去标识化 de-identification
通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。
3.13
匿名化 anonymization
个人信息经过处理无法识别特定自然人且不能复原的过程。
4 总体原则
生成式人工智能个人信息保护应遵循以下原则:
a) 全生命周期保护:将生成式人工智能服务所涉及的所有个人信息,进行全生命周期的保护;
b) 综合保护:充分采用技术手段与管理制度相结合的方式,进行个人信息的综合保护;
c) 目的明确:具有明确、清晰、具体的个人信息处理目的;
d) 最小必要:只处理满足法律法规规定的、以及满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息;
e) 公开透明:向用户公开个人信息处理规则,明示处理的目的、方式和范围;
f) 主体参与:向个人信息主体提供能够查询、更正、删除其个人信息、以及撤回授权同意、注销账号、投诉等方法。
5 个人信息保护框架
生成式人工智能个人信息保护框架如图 l 所示。
图1 生成式人工智能个人信息保护框架
生成式人工智能分为模型研发和产品应用两个阶段。模型研发阶段包括算法设计和模型训练,在模型训练过程中使用的训练数据可能包含个人信息。产品应用阶段包括面向开发者的二次开发、以及直接面向服务使用者的上线运行和内容输出。在二次开发过程中,开发者的信息、以及二次开发时使用的训练数据、生成内容等,可能包含个人信息。在上线运行过程中,在服务使用者的输入数据中可能包含个人信息,如注册数据、使用数据、服务使用者输入的提示信息。在内容输出过程中,生成内容中可能包含个人信息。
生成式人工智能个人信息保护应在图1所示框架范围中,识别个人信息,实现个人信息保护。具体包括:
a) 《隐私声明告知》用于产品应用阶段,规定了向服务使用者进行隐私声明告知时的个人信息保护技术要求;
b) 《训练数据构建》用于模型研发阶段,规定了生成式人工智能训练数据集构建过程中的个人信息保护技术要求;
c) 《模型规制控制》用于模型研发阶段,面向基于自研模型的生成式人工智能服务提供者的模型管理风险提出个人信息保护要求;
d) 《二次开发管理》用于模型研发阶段,规定了针对生成式人工智能服务模型二次开发的个人信息保护相关管理要求;
e) 《输出阶段管理》用于产品应用阶段,规定了生成式人工智能服务在内容输出时对输出阶段管理的个人信息保护要求;
f) 《个人权利响应》用于产品应用阶段,规定了针对生成式人工智能服务提供者对于用户个人权利响应要求;
g) 《供应链管理》用于模型研发阶段,规定了生成式人工智能服务提供者在生成式人工智能系统的设计阶段、训练阶段和应用阶段的供应链管理过程中所应满足保护个人信息安全的管理措施。
参 考 文 献
[1] TC260-003 生成式人工智能服务安全基本要求
评论