Am 13. Juli 2023 veröffentlichten die Cyberspace Administration of China (CAC) und sechs weitere chinesische Regierungsbehörden die vorläufigen Verwaltungsmaßnahmen für generative KI-Dienste. Diese Maßnahmen treten am 15. August 2023 in Kraft und markieren Chinas ersten Schritt zur Regulierung generativer KI-Dienste. Ziel der Maßnahmen ist es, die Förderung von Innovation und Entwicklung in der Branche mit der verantwortungsvollen und gesetzeskonformen Nutzung generativer KI-Technologien in Einklang zu bringen. Im Folgenden finden Sie die wichtigsten Punkte der neu veröffentlichten Maßnahmen:
Umfang der Maßnahmen
Die Maßnahmen gelten für die Bereitstellung von KI-Diensten, die die Erstellung von Texten, Bildern, Audio- und Videodateien sowie anderen Inhalten für die Öffentlichkeit in China umfassen. Der Begriff „für die Öffentlichkeit“ ist zwar nichtdefi, schließt aber – sofern die chinesische Wettbewerbsbehörde (CAC) keine weiteren Vorgaben macht – sowohl Einzelpersonen als auch Unternehmen ein. Interne Forschungsprojekte und KI-Technologien, die auf generativer Technologie basieren, sind von diesen Bestimmungen ausgenommen, sofern sie keine öffentlichen Dienstleistungen anbieten.
Chinesischen Nutzern ist die Nutzung von KI-Diensten ausländischer Anbieter nicht ausdrücklich untersagt. Die chinesische Zivilluftfahrtbehörde (CAC) kann jedoch bei Verstößen gegen chinesische Gesetze und Vorschriften die notwendigen Maßnahmen ergreifen.
Wichtigste Pflichten der Dienstleister
Die Maßnahmen schaffen einen umfassenden Regulierungsrahmen und legen Anbietern von generativen KI-Diensten verschiedene Compliance-Pflichten auf. Zu den wichtigsten Anforderungen gehören:
1. Einhaltung der Schulungsdaten
Dienstleister müssen ihre Daten und zugrunde liegenden Modelle für Schulungsaktivitäten rechtmäßig beschaffen. Sie müssen sicherstellen, dass ihre Schulungsprozesse keine Rechte am geistigen Eigentum Dritter verletzen. Werden im Rahmen von Schulungen personenbezogene Daten verarbeitet, müssen die Dienstleister die ausdrückliche Einwilligung der Betroffenen einholen oder sich auf eine andere Rechtsgrundlage für die Verarbeitung stützen. Darüber hinaus müssen Maßnahmen ergriffen werden, um die Qualität und Authentizität der Schulungsdaten zu verbessern und gleichzeitig die geltenden Gesetze zur Cybersicherheit, Datensicherheit und zum Schutz personenbezogener Daten einzuhalten.
2. Datenkennzeichnung und Qualitätssicherung
Dienstleister, die im Rahmen von Technologieforschung und -entwicklung Datenkennzeichnungen erstellen, müssen klare, spezifische und praktikable Kennzeichnungsregeln gemäß den geltenden Maßnahmen festlegen. Sie sind außerdem verpflichtet, die Qualität der Kennzeichnung zu bewerten und Stichproben durchzuführen, um die Richtigkeit der Kennzeichnung zu überprüfen. Das für die Kennzeichnung zuständige Personal muss entsprechend geschult werden.
3. Schutz personenbezogener Daten
Neben der Einholung der Einwilligung müssen Dienstanbieter die Datenschutzbestimmungen einhalten. Dazu gehört, keine unnötigen personenbezogenen Daten zu erheben und keine Informationen und Aufzeichnungen zu speichern oder weiterzugeben, die Nutzer unrechtmäßigdentkönnten. Anbieter müssen außerdem unverzüglich auf Anfragen von Nutzern bezüglich ihrer personenbezogenen Daten reagieren.
4. Inhaltsmoderation und illegale Aktivitäten
Dienstanbieter sind verpflichtet, illegale Inhalte auf ihren Plattformen umgehend zu unterbinden, indem sie deren Erstellung und Übertragung unterbrechen und die Inhalte von ihren Diensten entfernen. Werden Nutzer dabei ertappt, wie sie KI-gestützte Dienste für illegale Aktivitäten nutzen, müssen die Anbieter Warnungen aussprechen, den Zugriff auf relevante Funktionen einschränken und gegebenenfalls die Dienste sperren oder kündigen. Relevante Aufzeichnungen müssen aufbewahrt und den zuständigen Aufsichtsbehörden gemeldet werden.
5. Sicherheitsbewertung und Algorithmenablage:
Generative KI-Dienste mit „Eigenschaften der öffentlichen Meinung oder dem Potenzial zur sozialen Mobilisierung“ erfordern eine Sicherheitsbewertung durch die CAC und andere zuständige Regulierungsbehörden. Darüber hinaus müssen die Dienstanbieter ihre Algorithmen innerhalb von zehn Werktagen nach dem Start der Dienste gemäß den chinesischen Bestimmungen zur Verwaltung algorithmischer Empfehlungen für Internetinformationsdienste einreichen.
Durchsetzung
Verstöße gegen die Maßnahmen werden gemäß verschiedenen geltenden Gesetzen, darunter dem Cybersicherheitsgesetz, dem Datenschutzgesetz, dem Gesetz zum Schutz personenbezogener Daten und dem Gesetz über den wissenschaftlichen und technologischen Fortschritt, geahndet. Die zuständigen Aufsichtsbehörden sind befugt, von Dienstanbietern die Mitwirkung zu Aufsichts- und Prüfzwecken zu verlangen und Erläuterungen zu Trainingsdatenquellen, Kennzeichnungsregeln, algorithmischen Mechanismen sowie dem erforderlichen technischen und datenbezogenen Support einzuholen.
Mit der Veröffentlichung der vorläufigen Verwaltungsvorschriften für generative KI-Dienste hat China einen wichtigen Schritt zur Regulierung generativer KI-Technologien und -Dienste unternommen. Die Vorschriften zielen darauf ab, Innovationen in der Branche zu fördern und gleichzeitig die Einhaltung geltender Gesetze sowie den Schutz der Rechte und Daten der Nutzer zu gewährleisten. Da der Stichtag näher rückt, müssen in China tätige Dienstanbieter diese neuen Verpflichtungen sorgfältig beachten, um mögliche Strafen und behördliche Maßnahmen zu vermeiden.
