算法安全需要满足保密性、完整性、可用性、可控性、鲁棒性和隐私性等基本安全属性。在公共服务、交通驾驶、金融服务、健康卫生、福利教育等重要领域，以及用于生命财产安全、个人权利保障等关键事项决策时如部署应用机器学习算法，对其安全要求则更为严格。

国家高度重视算法不合理应用可能给传播秩序、市场秩序、社会秩序、意识形态、社会公平公正和网民合法权益带来的挑战，已经颁布了一系列的规范性文件对算法安全、算法治理进行指引，对企业日常的算法安全治理具有重要的指导意义。

《生成式人工智能服务安全基本要求（征求意见稿）》对生成式人工智能服务提供者的模型也提出了相应的要求。

人工智能带来技术红利的同时，也引发人们的恐惧和担忧。目前，以深度学习为代表的人工智能已超出传统伦理的约束，人工智能所带来的隐私泄漏、偏见歧视、责权归属、技术滥用等伦理问题，已引起“政产学研用”各界的广泛关注，人工智能伦理成为无法绕开的重要议题。

世界各国都在积极探索人工智能伦理问题的治理方案，以确保人工智能研发及应用符合人类伦理，让人工智能更好地造福社会。《生成式人工智能服务管理暂行办法》要求提供和使用生成式人工智能服务的，要在在算法设计、训练数据选择、模型生成和优化、提供服务等过程中，采取有效措施防止产生民族、信仰、国别、地域、性别、年龄、职业、健康等歧视。

为管理生成式人工智能可能产生的伦理风险，从行业实践角度，生成式人工智能服务提供者应从生成式人工智能产品或服务的设计阶段开始，并贯穿于产品或服务的整个生命周期，对生成式人工智能的伦理风险进行识别、评估、处理、监控及汇报。¹生成式人工智能服务提供者在风险控制中建议遵循下列原则：

· 事前控制原则：前置性的风险管理措施在人工智能风控体系中的地位尤为关键。

·全流程防控原则：将动态风险防控意识贯穿生成式人工智能的全生命周期，主要包括如下阶段²：

研发阶段：人工智能伦理作为重要内容要融入到人工智能产品概念设计过程、数据集和模型开发部分，确保在设计开发过程将正确的伦理观植入人工智能技术应用。

市场准入阶段：该阶段包含了产品的内部评测和外部评测两方面，通过人工智能评估评测技术从多个伦理维度进行分析。

推广和上市阶段：对人工智能产品进行持续的跟踪评估评测，通过应用反馈实现产品的优化。

· 责任原则：将风险评估的责任分配给每一个环节的参与者，并设置相应的奖惩制度。

· 风险分级原则：根据风险严重程度的不同采取相称措施。控制风险不等同于消除风险，而是应当根据风险性质、严重程度的不同进行区分，有针对性地采取应对措施。

综合欧盟《人工智能法案（草案）》以及美国国家标准技术研究院《人工智能风险框架》、加拿大《自动化决策指令》等相关人工智能风险分级思路，以及我国人工智能伦理相关政策指导文件，并结合人工智能产品开发和应用的实际情况，《人工智能伦理治理标准化指南（2023版）》总结出人工智能系统伦理风险分级参考原则，企业可参考该伦理风险等级，并结合个人权益、公平性、透明度、安全性等影响程度，建立伦理风险分级管理机制。³

对于生成式人工智能服务提供者来说，构建一套完整的伦理风险管理框架，为企业日常的伦理风险管理奠定相应的制度基础、组织基础是至关重要的。根据《人工智能伦理风险分析报告》伦理风险管理框架主要包括以下几个方面。⁴

1. 管理层认知与承诺

企业的管理层应树立风险意识，认识到生成式人工智能可能带来的伦理风险。在企业层面对伦理风险的应对做出整体性部署，明确企业管理伦理风险的基本目标及工作原则，在整个企业内建立伦理风险管理的意识和文化，在企业进行核心业务和决策时采纳伦理风险管理机制，确保风险管理融入企业的所有活动。

2. 设立伦理风险管理部门

《科技伦理审查办法（试行）》规定，从事生命科学、医学、人工智能等科技活动的单位，研究内容涉及科技伦理敏感领域的，应设立科技伦理（审查）委员会。并且应为科技伦理（审查）委员会履职配备必要的工作人员、提供办公场所和经费等条件，并采取有效措施保障科技伦理（审查）委员会独立开展伦理审查工作。

对于生成式人工智能服务提供者，在内部组织架构层面可以设立相应的伦理风险管理部门，并明确各部门之间的分工及领导关系。上述机构的主要职能包括制定完善企业内部伦理风险管理制度和工作规范，提供伦理咨询，指导开展伦理风险评估，对伦理风险管理的相关问题做出决策，协调企业内部各部门的伦理风险应对工作等。企业还应对伦理风险管理、监督及实施的各个部门分配适当的资金预算、场地及人员等必要资源。目前，微软、谷歌、OpenAI、商汤科技等知名企业均设立了自己的伦理委员会，专门负责监督和指导企业在人工智能领域的伦理实践。

3. 制定伦理管理制度

根据企业自身的业务情况，企业伦理风险相关部门可以领导制定与企业内部可能涉及的伦理风险有关的内部政策及制度，明确责任部门、人员、工作内容、工作方法、工作流程和工作要求、奖惩制度、应急预案及救济措施等，并由企业伦理风险相关部门督促落实，确保从生成式人工智能的初始开发阶段开始，贯穿整个产品或服务的生命周期均严格按照相关制度展开工作。同时，随着人工智能治理态势的变化及相关政策法规的出台，企业伦理风险相关部门需要根据实际情况，不断优化和完善管理制度，以达到最优效果。

4. 建立沟通和咨询渠道

企业可以建立内部沟通和咨询机制，协调各业务部门和伦理风险管理部门之间的沟通与咨询。业务部门在开展相关业务的过程中，可以及时将相关伦理问题反馈至伦理风险管理部门，进行相关讨论并由伦理风险管理部门作出必要决策。

5. 对相关人员进行管理培训

企业应该对员工进行伦理风险方面的培训，明确人员管理、教育培训、考核等要求，并记录每次培训的具体情况，包括参与人员、培训内容及培训效果等，必要时可以将其作为考核的标准之一。同时，企业应对不同性质的员工进行针对性的培训，例如针对开发人员的专门培训以及针对销售人员的培训的侧重点应有所不同。同时，企业应及时主动调查伦理违规行为，对情节严重的违规行为严肃追责问责。

6. 建立合作伙伴审查机制

在与商业伙伴合作或对其他企业进行投资之前，企业可以先行评估该合作或投资所涉及伦理风险的可能性。针对可能性的大小，可以对商业合作伙伴或所投资企业进行相应程度的尽职调查，以降低发生伦理风险的可能性。

7. 定期进行伦理风险评估

企业可以定期根据相关法律法规以及政府及行业标准的规定进行伦理风险评估，评估一段时间内相关伦理风险应对措施是否适当且有效，记录评估内容及结果，并采取针对性的应对措施。

8. 进行科技伦理审查

科技伦理审查办法（试行）》规定， 开展利用人类生物样本、个人信息数据等的科技活动或者可能在生命健康、生态环境、公共秩序、可持续发展等方面带来伦理风险挑战的科技活动，应依照该办法进行科技伦理审查。同时，针对“具有舆论社会动员能力和社会意识引导能力的算法模型、应用程序及系统的研发”“面向存在安全、人身健康风险等场景的具有高度自主能力的自动化决策系统的研发”还属于能产生较大伦理风险挑战，需要开展专家复核的科技活动。

因此，如果生成式人工智能服务的训练数据中包含个人信息，或者具有舆论社会动员能力和社会意识引导能力等情形的，企业需要设立科技伦理（审查）委员会，并按照《科技伦理审查办法（试行）》的规定开展科技伦理审查。

科技伦理（审查）委员会应重点审查如下内容：

· 拟开展的科技活动是否符合增进人类福祉、尊重生命权利、坚持公平公正、合理控制风险、保持公开透明的科技伦理原则；

· 参与科技活动的科技人员资质、研究基础及设施条件等是否符合相关要求；

· 拟开展的科技活动是否具有科学价值和社会价值，其研究目标的实现是否对增进人类福祉、实现社会可持续发展等具有积极作用；

· 科技活动的风险受益是否合理，伦理风险控制方案及应急预案是否科学恰当、是否具有可操作性；

· 生物样本的收集、储存、使用及处置是否合法合规；

· 个人隐私数据、生物特征信息等信息处理是否符合个人信息保护的有关规定，获取个人知情同意的方式和过程是否合规恰当；

· 涉及数据和算法的科技活动，是否满足如下要求：

（生成式人工智能法律合规系列文章未完，待续）

1 《人工智能伦理风险分析报告》，2019.4，国家人工智能标准化整体组。

2 《人工智能伦理治理标准化指南》，2023.3，国家人工智能标准化总体组、全国信标委人工智能分委会。

3 《人工智能伦理治理标准化指南》，2023.3，国家人工智能标准化总体组、全国信标委人工智能分委会

4 《人工智能伦理风险分析报告》，2019.4，国家人工智能标准化整体组。