基于海量数据、先进算法和雄厚算力构建出的生成式人工智能服务一经出现，便给社会各行各业带来极大的变化。过往法律零散地对生成式人工智能服务产生的风险进行回应式规制，具有滞后性，不能及时的应对各种风险。而最近出台的针对生成式人工智能服务的一系列针对性法律规制，又对生成式人工智能服务的风险分级类别、依据、后果规定得不够细致，无法引导生成式人工智能服务兼顾发展与安全。因此以现有立法为基础，综合国外立法经验和国内学者观点，从生成式人工智能服务的“基础模型-专业模型-服务应用”的现实风险出发，厘清生成式人工智能服务风险分级的种类、依据及后果，为生成式人工智能服务在法治轨道上发展提供法律规制指引。

　　生成式人工智能服务的代表——ChatGPT是美国OpenAI实验室开发的一款提供对话交互服务的应用，其凭借着海量的语料库和先进的算法模型，给用户带来了仿佛与真人对话一般的体验。近来，众多生成式人工智能服务井喷式涌现，给人们带来了工作学习方面的诸多便捷。但是与此同时，以ChatGPT为代表的生成式人工智能服务也在、社会舆情、个人信息等诸多方面产生了安全隐患问题。积极立法应对生成式人工智能服务在网络空间中带来安全隐患问题，既是党和人民的共同期盼，也是顺应国际形势的潮流。具体而言，生成式人工智能服务在训练基础模型过程中使用海量数据，可能对国家数据安全、社会舆情、个人信息安全造成危险；生成式人工智能服务在建设算法模型的过程中，由于代码的自动迭代导致算法透明度低，可能产生侵权行为发生后责任划分困难的风险；生成式人工智能服务的服务应用端可能由于自动收集用户生成内容，出现隐私泄露，超出最小限度收集个人信息的问题。目前我国也就生成式人工智能服务出台了《生成式人工智能服务管理暂行办法》，但还是存在相关概念不清、立法理念不明、规制措施不具体等问题。目前中国国内学者对于生成式人工智能服务的治理路径观点大致分为三类，一类学者认为规制生成式人工智能服务需要法律法规提出针对生成式人工智能每一项可能风险的具体解决措施；另一类学者认为规制生成式人工智能服务首先要提出与技术相关的各项法律原则；还有一类学者认为针对生成式人工智能服务的不同层级需要采取不同的规制模式。本文将在第三类学者的研究基础上，通过梳理国内国外生成式人工智能相关立法，吸纳学界相关研究观点，秉承国家对于新兴技术持有的发展与安全并进的理念，基于生成式人工智能的风险提出分级规制措施。

　　规制生成式人工智能服务，首先需要了解生成式人工智能的运行机制并总结生成式人工智能服务的特点，从而明确生成式人工智能服务可能会产生哪些风险。

　　根据OpenAI官网的描述，生成式人工智能的产生（以ChatGPT为例）分为四个阶段，包括：（1）给生成式人工智能提供训练数据帮助其构建模型。（2）进行人工标注，引导生成式人工智能模型向人类期待的方向作答。（3）通过人工对GPT生成的多个答案进行排序建立奖励模型。（4）将GPT的生成结果再投入模型，实现模型的不断迭代优化。可以将生成式人工智能服务的产生大致总结为三个层面：（1）通过各种途径收集大量数据构建基础模型阶段。（2）通过人工标注和奖励模型构建算法模型阶段。（3）通过服务端生成内容反馈迭代优化阶段。

　　生成式人工智能服务（以ChatGPT为例）的智能由两方面产生，一方面是利用一个叫“转换器”的基于神经网络的深度学习模型对用户的提问文本和海量语料进行概率性匹配分析，从而使得计算机生成结果接近自然人语言；另一方面是通过“人类反馈强化学习机制”和一个叫“生成式对抗网络”的深度学习模型，让人类和人工智能自身对用户提问和人工智能生成结果做出正面和反面的评价，从而推进人工智能不断迭代优化。据此，本文总结出了生成式人工智能服务具有的三个特点：（1）生成式人工智能服务的生成结果具有随机性，生成式人工智能服务需要依靠海量数据进行预训练才能提高生成结果的线）生成式人工智能服务具有反馈性，生成式人工智能服务的迭代优化需要人工标注者和用户不断反馈。（3）生成式人工智能服务具有人机交互性，生成式人工智能服务智能的展现一方面离不开强大的算力整合海量数据进行预训练，另一方面也需要人类参与人工标注和生成内容反馈，从而使服务不断迭代优化。

　　基于生成式人工智能服务的运行机制和特点，生成式人工智能服务的风险主要来源于以下三个方面：（1）生成式人工智能服务在构建基础模型收集、使用大量数据可能具有风险。一方面生成式人工智能服务对数据的利用在广度上可能存在风险，由于生成式人工智能服务在预训练阶段需要尽可能多地通过技术手段搜集数据以提高模型的准确性和真实性，一旦超出许可范围搜集了国家数据、政府数据以及个人隐私数据，则可能违背网络安全法、数据安全法、个人信息保的相关规定，需要厘清生成式人工智能服务收集利用数据的范围；另一方面生成式人工智能服务对数据的利用在深度上可能存在风险，在收集到用户数据后，算法可能会自发地挖掘用户隐藏数据，从而优化模型，例如通过行踪信息推断出医疗信息等，这无疑是对用户知情同意权的一种侵犯，需要克服技术惯性，将相关法律规定内嵌至算法当中。由于基础模型能产生较大的社会效益，因此其规制以内嵌治理原则为主，有的学者认为生成式人工智能的治理要基于：协同共治、提升透明度、保障数据质量、伦理先行的元规则进行。还有的学者认为生成式人工智能的治理需要在把控好发展节奏的同时，推进伦理先行、人机和谐、技术向善的治理原则落实到生成式人工智能的方方面面。（2）生成式人工智能应用在算法模型上可能存在风险，目前以ChatGPT为代表的较为前沿的生成式人工智能服务的算法模型在构建过程中，人工智能自动生成的代码占了一部分比例，且在可预见的未来中，人工智能自动生成的代码比例占总代码的比例会逐渐上升，算法的透明性、可解释性、可控制性无疑会极大地下降，可能会模糊侵害事实和算法决策之间的因果关系，从而导致责任分配不公，引发社会矛盾。因此生成式人工智能服务需要在投入市场前，充分披露、解释、检验其算法模型，为之后可能发生的生成式人工智能服务侵害行为提供争议解决依据。（3）生成式人工智能服务的服务层面可能存在风险，生成式人工智能服务为了迭代优化自己的模型，可能超出在合理、正当、必要的范围内收集用户在使用服务过程中产生的各种信息，需要相关法律规定予以规制。

　　生成式人工智能服务存在风险这一点毋庸置疑，但是不同生成式人工智能服务的风险却不尽相同。如果采取一刀切的治理方式，无疑会极大地阻碍技术的发展，但倘若采取过于宽松的治理方式，难免又会对个人信息安全、社会舆情安全乃至于产生威胁。有的学者认为生成式人工智能的监管分为两方面：一方面是技术控制先行，推动国家层面介入基础模型的生产，以避免原则性问题；另一方面对应用层面采取包容审慎的态度，通过避风港、监管沙盒实施敏捷治理。还有的学者认为我国在总体上坚持包容审慎的治理态度，具体包括从法律层面的制度构建、软法规范层面的填补式风险治理以及通过监管沙盒实现敏捷型风险治理等三方面来完善现有的人工智能风险治理体系，在技术创新与风险治理之间寻求平衡，从而实现数字经济的健康持续发展。此外，有学者认为生成式人工智能的治理应当从“技术支持者一服务提供者一内容生产者”的监管框架转变为依据“基础模型一专业模型一服务应用”的业态分层治理的模式，从而在促进基础模型发展的同时，将生成式人工智能产生的风险通过包容审慎、分类分级、敏捷治理化解在专业模型层面和服务应用层面。以上学者观点或多或少都存在一些不足。本文认为基于生成式人工智能服务的特点，希望通过法律完全解决生成式人工智能服务的观点是远远不够的，必须也要同时将技术向善、技术透明、技术可解释等原则内嵌入算法当中；对于希望只通过归纳生成式人工智能的使用原则应对生成式人工智能服务可能带来的风险的观点，本文认为也达不到应有的效果，因为对于例如人工标注阶段和算法迭代阶段可能造成的数据安全风险，如果没有严格的对应惩处措施，将使、社会、个人信息安全面临极大的风险；对于认为生成式人工智能服务不同层级应当运用不同监管工具的观点，本文认为不够具体翔实，对于技术部分以内嵌相关原则的形式进行监管无可非议，但是对于具体的生成式人工智能服务进行规制时，需要依据其风险级别，宽严相济地进行治理，这样才能在促进技术蓬勃发展的同时，避免难以承受的风险发生。

　　在这些研究基础上，本文认为立法者应从生成式人工智能服务的基础模型层面、算法模型层面和应用服务层面出发，在基础模型层面内嵌治理原则，实现技管结合，引导技术向善，根据算法模型的可解释性、透明性、可控性以及服务层面生成内容的真实性、可靠性、准确性厘定不同生成式人工智能服务的风险，进行分级治理，才能兼顾技术发展与社会安全。

　　我国对于生成式人工智能服务法律规制是从通过其他部门法相关法律条款对生成式人工智能服务的风险进行回应式治理到制定专门的部门规章进行集中式治理，这个过程中治理的针对性、有效性、直接性逐渐增强，但还是存在缺乏对生成式人工智能服务的翔实定义、对生成式人工智能服务的管理存在“一刀切”的情况、生成式人工智能服务相关规定不够具体等问题。

　　我国对于生成式人工智能的治理主要分为两个阶段。在2023年4月11日以前，我国主要通过零散的法律对生成式人工智能产生的风险进行回应式治理，在很长一段时间内人工智能法学研究仍然是依托具体部门法问题意识和研究方法开展，所谓的人工智能法只是部门法披上了一层人工智能法的外衣，这样做的优势是可以直接沿用现有的监管工具，给予生成式人工智能技术充分的发展空间，促进我国人工智能相关技术发展，劣势则是分散的回应式治理对于生成式人工智能相关风险的治理具有一定的滞后性，不能及时对相关问题进行规制。

　　早先，我国主要通过零散的法律法规，对生成式人工智能服务的各个环节分散治理。例如在生成式人工智能基础模型获取训练数据时，要遵守个人信息保第13条的规定，在处理网络上的个人信息时，要获得个人同意，其次，要遵守个人信息保第6条的规定，在最小范围内收集个人信息；接着，如果生成式人工智能基础模型的训练数据是通过网络爬虫的方式获取的，则需要遵守网络安全法第27条的规定，不得对被爬虫的网络站点造成影响；最后在获取训练数据时要遵守反不正当竞争法第18条的规定，不得侵犯其他网络运营者智力劳动成果投入而形成的数据产品。虽然以分散的法律对生成式人工智能产生的问题大都可以进行回应，但是一方面存在法律模糊地带，例如用户使用生成式人工智能产品生成的内容可否被企业无条件直接利用；另一方面，以分散的法律回应产生的问题针对性较弱，且回应具有滞后性，不能从根源上线月以来，我国相关部门相继出台了《生成式人工智能服务管理办法（征求意见稿）》《生成式人工智能服务管理暂行办法》等专门性规定规制我国生成式人工智能服务，这些规定一方面代表了我国重视生成式人工智能服务规制问题，通过针对性的立法对生成式人工智能进行集中治理，开辟了我国生成式人工智能治理的新时代，另一方面又存在一些定义不清、理念不明、规制措施不够详细的问题。

　　2023年4月11日，国家互联网信息办公室发布《生成式人工智能服务管理办法（征求意见稿）》，该办法是我国首次对生成式人工智能服务以法律的方式进行规制，对生成式人工智能服务带来的相关风险进行了回应，标志着我国生成式人工智能立法走在了世界前沿，但是其中很多规定较为笼统，没有对生成式人工智能服务进行分级治理，对服务商要求过高，可能阻碍生成式人工智能应用的发展。

　　2023年7月10日，国家互联网信息办公室又发布了《生成式人工智能服务管理暂行办法》，其中第3条提到了“国家坚持发展和安全并重、促进创新和依法治理相结合的原则，采取有效措施鼓励生成式人工智能创新发展，对生成式人工智能服务实行包容审慎和分类分级监管”。这一条表明了国家推动生成式人工智能发展的决。