2024年3月1日，全国网络安全标准化技术委员会发布TC260-003《生成式人工智能服务安全基本要求》。

适用范围

本文件规定了生成式人工智能服务在安全方面的基本要求，包括语料安全、模型安全、安全措施等，并给出了安全评估要求。

本文件适用于服务提供者开展安全评估、提高安全水平，也可为相关主管部门评判生成式人工智能服务安全水平提供参考。

主要内容

语料安全要求

语料来源安全：对语料来源进行安全评估，确保来源安全且多样化，来源可追溯，并严格按照网络安全法律法规处理。

语料内容安全：充分过滤违法不良信息，设置知识产权负责人和策略，及时更新知识产权相关策略，并妥善处理包含个人信息的语料。

语料标注安全：对标注人员进行安全培训和考核，制定标注规则，确保标注内容的准确性，并隔离存储安全性标注数据。

模型安全要求

若基于第三方基础模型提供服务，应使用已备案的基础模型。

模型生成内容安全：在训练过程中考虑生成内容的安全性，对使用者输入进行安全性检测，并通过监测评测手段优化模型。

提高生成内容的准确性和可靠性，以提升用户体验。

安全措施要求

针对模型适用人群、场合和用途进行全面论证。

确保服务透明度，公开重要信息，例如服务的局限性、模型和算法的概要。

采取技术或管理措施防止未成年人使用不适宜的服务。

收集使用者输入信息时提供关闭选项，并显著告知使用者。

确保计算系统的供应链安全，接受公众或使用者的投诉举报，以及保证服务的稳定性和持续性。

其他要求

建立并维护关键词库、生成内容测试题库和拒答测试题库，以及使用分类模型以覆盖所有安全风险。

安全评估要求

安全评估方法包括自行组织或委托第三方进行，涵盖文件中的所有条款。

评估语料安全、生成内容安全、问题拒答，确保各项符合要求或提出不符合原因。

撰写评估报告，形成整体评估结论，评估报告需有责任人签字。

主要安全风险

包含违反社会主义核心价值观的内容、歧视性内容、商业违法违规行为、侵犯他人合法权益，以及无法满足特定服务类型的安全需求。