從“微軟模式”看AI企業治理框架

在過去的一年里，全球的目光都被以ChatGPT為代表的大語言模型的問世所吸引，AI技術再一次走到了社會的聚光燈下。流暢的自然語言對話交互、高質量的語義理解和智能問答以及強大的AIGC功能掀起一陣AI研究和商業開發的熱潮。截至2023年5月，全球范圍內累計推出的10億以上參數大語言模型總數已經高達202個，其中中美兩國占其中的90%。

企業也逐步形成了以B2C、B2B以及B2B2C的三種主要服務模式，市場參與主體包括基礎大模型技術服務者、基于基礎大模型提供應用的服務提供者、企業用戶及個人用戶。這些主體共同構成了日益繁榮的AI市場生態。

面對AI技術的飛速發展以及不斷涌現的新商業模式，各國政府也意識到了AI在算法歧視、算法黑箱、虛假內容等問題上的負面影響和對人類社會的挑戰，并加強對AI技術的監管。據不完全統計，截至2024年3月，全球已經發布了超過1，800項AI治理相關的政策。例如，歐盟率先啟動了綜合性的AI立法工作，歐洲議會已于近日正式投票通過并批準了歐盟《人工智能法案》；2023年，美國白宮政府要求多家AI頭部企業簽署自愿性標準，承諾采取自愿監管措施管理AI技術的開發風險。

近年來，我國也陸續發布了《關于進一步壓實網站平臺信息內容管理主體責任的意見》《關于加強互聯網信息服務算法綜合治理的指導意見》和《互聯網信息服務算法推薦管理規定》（“《算法推薦管理規定》”）等重要文件，拉開了算法治理的序幕。為了應對以生成式AI為代表的深度合成技術發展產生的新風險，國家互聯網信息辦公室（以下簡稱“國家網信辦”）又陸續制定了《互聯網信息服務深度合成管理規定》（“《深度合成管理規定》”）和《生成式人工智能服務管理暫行辦法》（“《生成式人工智能辦法》”）。這些規定共同構成中國目前AI監管的主要依據。雖然目前我國還未頒布一部統一的AI法律，但已逐步形成了涵蓋算法安全風險監測、算法安全評估、科技倫理審查、算法備案管理和涉算法違法違規行為處置等重要內容的監管體系。

AI企業治理框架探索

無論是歐盟頒布的《人工智能法案》、中國政府的一系列立法，以及美國政府對AI企業的要求，均含有AI企業需建立AI內部治理框架方面的內容，涵蓋科技倫理審查、內部治理架構、知識產權保護、隱私保護、數據安全等諸多方面。

出于法律合規要求、企業自身的社會責任感以及消除用戶顧慮等方面的考量，國內外知名AI企業，如微軟、谷歌、OpenAI、亞馬遜、Meta、阿里、百度、騰訊，也逐步加強內部治理框架的建設。這些企業的AI治理實踐，雖有共性的部分，但也因企業基因、文化背景、市場環境、產品側重、產業鏈位置等因素的不同而各有特點。由于AI時代的迅速來臨，各家企業的AI治理框架仍顯得較為“年輕”，但我們相信，觀察分析這些AI頭部企業的AI治理實踐和探索，對于深刻理解AI時代全人類面臨的機遇和調整、預判全世界監管部門的立法趨勢、為其他企業提供寶貴借鑒均大有裨益。

作為最早布局AI服務的國際企業之一，微軟自2016年起即開始關注AI會給人類社會帶來的風險，并且不斷地在企業內部進行試驗和摸索，逐漸構建起了一套較為完整的AI治理方案；微軟的AI服務場景也較為全面，不僅包括面向C端消費者的M365 Copilot產品，還包括面向B端企業用戶進行深度開發的Azure OpenAI（“AOAI”）平臺；結合其強大的ToC和ToB系列產品，微軟AI產品的運營模式也較為成熟?？紤]到這些因素，微軟為AI治理框架研究提供了一個很好的樣本。

微軟AI治理框架

1. AI治理核心理念和原則

（1）各國監管要求

對于AI風險管理框架，許多國家和組織都提出了自己的標準。例如美國國家標準技術研究院（NIST）在2023年發布了第一版的《人工智能風險管理框架》（AI RMF 1.0），ISO也在近期推出了ISO/IEC 42001 AI管理體系標準。雖然業界對于具體的AI治理方案爭論激烈，但是治理目標上，各國逐漸達成了共識。2023年11月1日，28國及歐盟代表共同簽署了全球第一份關于AI的國際性聲明《布萊切利宣言》。在該宣言中，各國代表一致同意，“為了所有人的利益，AI應該以安全、以人為中心、值得信賴和負責任的方式設計、開發、部署和使用。”

中國政府也適時公布了AI的治理理念。2019年，中國國家新一代AI治理專業委員會發布了中國治理框架要求：《新一代人工智能治理原則——發展負責任的人工智能》。該文件將發展負責任的AI作為治理目標，并確立了和諧友好、公平公正、包容共享、尊重隱私、安全可控、共擔責任、開放協作、敏捷治理等八條原則。2021年，該委員會在《新一代人工智能倫理規范》中進一步提出了增進人類福祉、促進公平公正、保護隱私安全、確?？煽乜尚拧娀熑螕?、提升倫理素養等6項基本倫理，以及在AI管理、研發、供應、使用等特定活動中的18項具體倫理要求。

在這些原則的指引下，中國監管部門要求各類AI服務企業（如算法推薦服務、深度合成服務商）落實算法安全主體責任，建立健全用戶注冊、算法機制機理審核、科技倫理審查、信息發布審核、數據安全、個人信息保護、反電信網絡詐騙、應急處置等管理制度，并采取安全可控的技術保障措施。在相關企業提供“具有輿論屬性或者社會動員能力”的AI服務時，企業還需要開展安全評估確保AI產品的風險安全可控。

（2）微軟AI治理的核心原則和標準

微軟將發展負責任AI（Responsible AI）作為其治理框架的基本原則和核心目標。為了實現該目標，微軟在公司內部建構了一套涵蓋原則、政策標準以及實施工具的完整的AI治理框架。

首先，微軟在2018年就確立了六項基本原則，包括：問責制、包容性、可靠性和安全性、公平性、透明度，以及隱私和安全性。其中，微軟將“問責制”作為一切原則的基石，因為微軟認為必須始終確保AI受到人們的有效監督和控制，并由AI的設計者與控制者承擔責任。

在此基礎上，微軟進一步將這六項原則細化為《負責任人工智能標準》（Microsoft’s Responsible AI standard），為每項原則都制定了具體的落實方法，將抽象的理念變成可供執行的實用指南，協助工程師團隊提前識別、評估和減輕可能的危害。例如微軟將“問責制”原則拆解為明確的實踐要求和操作流程，包括要求團隊對AI系統開展影響評估、審查是否會對外部相關方產生重大不利影響、明確AI系統的使用目的、采取合適的數據治理措施、確保人類對AI系統的監督和控制能力。

（3）微軟AI治理標準的具體實施

微軟通過企業內部的員工培訓、測試系統以及監控、審計和合規的治理流程共同配合，推進《負責任的人工智能標準》的實施。此外，微軟還設計了一系列治理工具供團隊員工參考，例如AI影響評估模版、AI影響評估指南、透明度說明以及有關通過設計實施負責任的AI的詳細指引手冊。

微軟也深刻意識到上述標準化流程和工具并不足以應付現實情況的復雜性。隨著技術的不斷迭代發展以及AI在各個行業領域中的普及，現實應用中產生的問題將超出《負責任人工智能標準》預先設定的規則。對此，微軟創建了一個持續審查和監管用于敏感領域項目的程序，為這些高風險AI使用場景提供了額外的監管保護。該程序可以分為“報告-審查-指導”三步。如果微軟的研發人員在開發或者部署AI系統時發現該系統存在侵害利益相關方的風險時會報告給AI治理辦公室，隨后AI治理辦公室會的主席會和研發項目成員以及其他利益相關方一起使用上述工具進行審核。對于影響特別重大或者新穎的案例，微軟還會召集技術、法律、工程、人權等多方背景的專家一起審查。審查結束后，審核團隊會提出解決措施與建議，有時會比《負責任人工智能標準》中的一般性要求更加嚴格。對于不符合公司標準與原則的項目機會，微軟會拒絕開展商業合作。

2. 內部治理架構

（1）各國監管要求

良好的AI治理需要一個有效運轉的內部治理組織架構。高效合理的組織架構不僅能夠確保決策層制定的指導方針、安全措施能夠得到有效執行，還為企業AI治理各項實踐提供必要的資源支持。

各國監管者都認識到企業內部組織架構的重要性。歐盟委員會早在2019年就將“人類監控”作為可信賴AI的七項基礎原則之一，鼓勵企業采取有效的措施將人類的監督嵌入到AI全生命周期的活動中。新加坡個人信息保護委員會（PDPC）在最新版的《模范人工智能治理框架》（Model AI Governance Framework）報告中也將內部治理架構作為通向負責任使用AI技術的必要一環。

中國也有相似的要求?！端惴ㄍ扑]管理規定》要求算法推薦服務提供者配備與算法推薦服務規模相適應的專業人員和技術支撐。國家標準《信息安全技術 機器學習算法安全評估規范》則提出了兩項更具體的要求：設立專門的組織機構，負責承擔算法安全工作，一般包括制度措施以及應急預案的制定和執行；根據算法服務規模、算法復雜度、算法迭代更新速度等，配備與之在人員規模、技術能力等方面相適應的專業人員，進行技術支撐。同時，在履行算法備案程序的過程中，企業還會被要求填寫“算法安全專職機構”和“算法安全負責人”信息。

（2）微軟的內部治理架構

根據微軟《治理A I：面向未來的藍圖》（Governing AI： A Blueprint for the Future）報告的介紹，目前有大約350名員工負責AI的治理工作，貫穿了企業上下各層級。

根據該報告，在管理層，微軟董事長兼首席執行官Satya Nadella和整個高管團隊推動治理架構的建立，并將建設負責任AI作為全公司上下的任務。微軟董事會中的環境、社會和公共政策委員會負責監督微軟的“負責任AI計劃”，確保企業風險管理框架得到嚴格地執行。

在董事會之下，微軟設立了負責任AI委員會，負責實施微軟的“負責任AI計劃”，協調領導層并履行問責制。該委員會由微軟副主席兼總裁Brad Smith和首席技術官Kevin Scott擔任主席。其中Kevin Scott負責制定公司的技術愿景并監督微軟的研發部門。負責任的AI委員會定期召開會議，會議參與者包括AI、倫理與工程研究委員會（Aether committee），AI治理辦公室，工程管理者以及高級業務合作伙伴等致力于AI治理的核心研究、政策和工程團隊的代表。

在執行層，微軟認識到由單一團隊或部門負責AI治理是遠遠不夠的。長期的實踐經驗讓微軟意識到AI的治理工作不僅需要得到公司管理層的支持，還需要在公司各個層面進行宣傳和倡導。為此，微軟的AI治理辦公室設計了一個治理系統，由公司上下眾多不同的團隊和職能部門（包括研發團隊、政策團隊和工程團隊）共同參與。管理層會在產品、工程和銷售團隊中任命“負責任AI代表”（Responsible AI Champions）。這些員工代表需要在各自的團隊中帶頭開展負責任的AI實踐，包括但不限于采用《負責任人工智能標準》、發現問題并向團隊提出解決措施、宣傳AI治理文化。AI治理辦公室會協調企業上下的各個團隊，利用各團隊深厚的專業知識與產品運營經驗，制定出能適用于全公司的治理方法。

3. 知識產權治理

快速發展的AI技術對現有的知識產權法律體系帶來巨大沖擊。與AI技術相伴產生諸多新型法律問題，仍未有清晰答案，迫切需要各方積極探索和解決。例如：出于訓練AI模型目的而使用他人數據，是否為合理使用，或是構成侵犯他人知識產權？AI生成內容（AI Generated Content， “AIGC”）是否具有可版權性？AIGC的權屬應歸于服務使用者還是服務提供者？

知識產權侵權顧慮也是阻礙企業大規模使用AIGC的因素之一。一家德國AI內容治理公司于2023年8月對86家財富500強公司的調查顯示，近三分之一的受訪者將知識產權問題視為公司使用AIGC的首要擔憂。

（1）各國監管要求

以上種種問題在現有知識產權法律體系下并沒有清晰的答案，目前各國都在加緊研究、積極探索。在中國，《生成式人工智能辦法》第四條及第七條在原則上規定，“應當尊重知識產權”“不得侵害他人依法享有的知識產權”，但未對具體情況進一步規定；在司法實踐中，北京互聯網法院于2023年底對一起AI生成圖片的著作權侵權糾紛作出一審判決，對AI生成圖片是否構成作品、著作權侵權歸屬以及侵權責任承擔等問題做出裁判，引起國內和國外的關注。美國政府采取了一系列措施，通過舉辦聽證會、聽取AI知識產權立法建議等方式來廣泛吸取各方意見來為進一步立法進行準備。

在司法領域，針對Open AI、谷歌、Midjourney等美國大模型公司的多起訴訟正在審理過程中，相關爭議焦點覆蓋AI訓練數據侵權問題、AIGC著作權問題等等。日本立法機關在2018年修改了《著作權法》，將“合理使用”的范圍擴大至覆蓋AI訓練數據對于著作權人作品的利用，以鼓勵AI技術發展，但同時也規定以侵犯原有著作權為目的的數據訓練屬于侵權行為。歐盟則通過2019年《單一數字市場著作權指令》明確了開發者進行數據挖掘時的合理使用原則，并通過《人工智能法案》《數字市場法》《數字服務法》為企業的AI監管和治理提供了制度保障。

（2）AI企業知識產權保護實踐的發展

在AIGC市場發展的初期，AI行業較為普遍的做法是“生成內容侵權后果自負”。具體表現為AI服務提供者通過服務條款約定所有因用戶使用AIGC而引起的責任一律由用戶承擔，而服務提供者不對AIGC負責；或通過免責聲明條款約定AIGC產品和服務按“如現狀”（as is）提供，拒絕對其作出關于質量、適銷性、無侵權等保證，從而排除相關責任。一些服務提供者甚至反向約定用戶需要對服務提供者面臨的侵權索賠進行賠償。例如，一款漫畫分鏡類AIGC產品Storyboard That在其服務條款中規定：“用戶應對因用戶使用本服務或因用戶違反本協議任何條款而產生的任何及所有索賠、訴訟、程序、責任、損失、損害、成本、費用和律師費進行抗辯、賠償并使Clever Prototypes免受損害?！盇I服務商的這種做法，使處于用戶端的企業承擔了自行甄別AIGC工具是否存在侵權可能的繁重責任，以及因侵權而產生索賠的巨大風險。

（3）微軟對AI知識產權的立場

在微軟的推動下，上述市場普遍做法正在逐漸發生變化。2022年6月，微軟子公司GitHub 率先承諾將為使用其生成式AI編碼工具Copilot的用戶面臨的侵權索賠進行賠償，前提是用戶對AI輸出代碼使用“查重”過濾器。Adobe和Shutterstock隨后分別開始在受限的范圍內為使用其AI圖像生成工具的商業用戶提供知識產權侵權賠償措施。上述侵權賠償措施僅限于特定代碼和圖像生成工具，應用范圍較窄。

2023年，微軟通過其Copilot版權承諾（即CCC的前身）進一步挑戰了市場普遍做法，極大擴展了其知識產權保護范圍。微軟的Copilot版權承諾保證付費用戶可以“使用微軟的Copilot服務及其產生的輸出內容而不必擔心版權索賠”。與前述GitHub為輸出代碼提供的保護不同，Copilot版權承諾涵蓋廣泛的微軟Copilot服務，包括集成到M365系列辦公軟件中的Copilot AI應用。IBM、谷歌、OpenAI緊隨其后，陸續承諾為客戶面臨的知識產權索賠提供賠償。2023年9月28日，IBM表示將賠償客戶因使用watsonx AI和數據平臺而產生的知識產權索賠。2023年10月，谷歌宣布為生成式AI工具提供賠償。2023年11月，OpenAI首席執行官Sam Altman在OpenAI“開發者日（DevDay）”會議上向與會者宣布，ChatGPT企業版和API的客戶若面臨版權侵權法律訴訟，OpenAI將提供保護并支付所產生的費用。

2023年11月15日，微軟將Copilot版權承諾正式更名為“客戶版權承諾”（Customer Copyright Commitment，簡稱“CCC”），并將其保護范圍進一步延伸，將使用AOAI平臺進行深度開發的B端企業用戶也囊括在內。一般而言，在B端企業用戶自行利用大模型輸入數據進行模型訓練、應用開發的商業模式中，企業用戶自由度較高，而大模型提供者難以控制客戶生成內容，因此更難保證輸出內容不涉及侵權。在這一背景下，微軟作為大模型提供者仍然能主動承諾對客戶生成內容承擔侵權責任，這一抉擇殊為不易，也顯示了微軟對其AI產品的強大信心。

（4）微軟“客戶版權保護承諾”策略

在滿足以下所有附加條件的前提下，微軟依據客戶批量許可協議承擔的在客戶遇到第三方知識產權索賠時為其提供抗辯的義務，將適用于客戶使用或分發涵蓋產品的輸出內容的情況：客戶在使用涵蓋產品生成導致索賠的輸出內容時，不曾禁用、逃避、破壞或干擾內容篩選器、元提示中的限制或屬于涵蓋產品的其他安全系統。

客戶未以其知道或應該知道可能侵犯或盜用第三方任何專有權利的方式修改、使用或分發輸出內容。

客戶有足夠的權利使用與涵蓋產品有關的輸入，包括但不限于客戶用于自定義生成導致索賠的輸出內容的模型的任何客戶數據。

相關索賠未主張輸出內容被用于商業或貿易過程，并侵犯了第三方的商標或相關權利。

對于 Azure OpenAI 服務和任何具有可配置元提示或其他安全系統的任何其他涵蓋產品，客戶還必須實施提供導致索賠的輸出內容的產品的Azure OpenAI 服務文檔中要求的所有風險緩解措施?！?/p>

簡言之，微軟“客戶版權保護承諾”機制需要滿足若干附加條件。首先，客戶不得“繞開”相關產品內置的內容過濾器，并且必須實施微軟要求的所有“風險緩解措施”。其次，客戶不得故意或放任侵權，包括客戶知道可能導致侵權而使用輸出內容，以及用戶輸入內容本身侵權。最后，CCC承諾并不涵蓋商業或貿易過程中的商標權。

在滿足上述附加條件的前提下，微軟承諾，針對第三方知識產權索賠，微軟將為客戶提供抗辯，并支付索賠金額，包括訴訟導致的任何不利判決或和解金額，且賠償金額不設上限。

CCC承諾是微軟對AI知識產權問題的積極回應。一方面，微軟主動承擔責任，降低了AI服務使用者對生成內容承擔的風險；另一方面，微軟要求客戶共同參與知識產權治理，為客戶提供了嚴謹的安全系統和風險緩釋措施，引導客戶合理使用微軟的服務。與此同時，微軟的賠償承諾也保障了著作權人在訴訟中獲得索賠的合法權利。

作為AIGC服務提供者，微軟改變了AI行業“生成內容侵權后果自負”這一普遍性做法，積極主動承擔責任，開創性地設置了“客戶版權保護承諾”的特殊機制以轉移客戶面臨的知識產權侵權風險，對消除企業使用AIGC的顧慮發揮了巨大作用。

4. 數據保護

AI技術背后隱藏的另一巨大風險是可能出現的數據泄露。2023年4月，韓國科技巨頭三星電子在引入AI語言模型ChatGPT后遭遇了嚴重的機密資料泄漏事故，引發了關于AI技術數據安全性和隱私保護的廣泛關注。據報道，事故系該企業員工將公司的機密代碼、機密信息輸入ChatGPT引起。2023年6月，一家數據分析公司統計了來自各個行業的160萬名公司員工使用ChatGPT的情況，發現10.8%的員工曾試圖在工作中使用ChatGPT，且4.7%的員工向ChatGPT中輸入了公司的機密數據。

（1）各國監管要求

確保數據安全是各國監管部門的普遍要求和重點關切。歐盟從《通用數據保護條例》出發，密切關注AI在數據隱私和個人信息保護、算法方面的合規性，開展了一系列針對性的調查行動。意大利個人數據保護局以侵犯數據隱私為由宣布禁用ChatGPT并對其展開調查，在OpenAI更新相關隱私政策后，意大利才恢復了該國對ChatGPT的訪問。德國和愛爾蘭等國政府也緊隨其后表示，將會重點關注大模型應用帶來的數據安全問題。

我國于2023年7月頒布的《生成式人工智能辦法》明確要求AI服務提供者承擔相應的數據安全保護義務。根據《生成式人工智能辦法》第七條第（五）項，服務提供者所需要履行《數據安全法》《網絡安全法》《個人信息保護法》等法律法規下的數據安全保護義務。然而，這些法律法規對于數據安全保護義務的規定較為抽象，如何具體適用在AIGC服務提供的過程，還需要企業的合規探索，并需要密切觀察監管部門的具體執法行為及相關指引。

（2）微軟的數據保護治理

微軟采取了一系列措施，確保AI服務的數據和隱私安全，并重點關注以下方面：

一是提高安全性。微軟承諾其產品在設計和實現的各個階段都具有安全性和隱私性。例如，為了回應客戶對于訓練數據泄露擔憂，在微軟向客戶提供的M365 Copilot服務中，微軟承諾嚴格遵守其現有的隱私政策，不使用用戶數據進行模型訓練。在微軟向企業客戶提供的AOAI服務中，企業客戶可基于微軟現有模型進行應用開發，并使用客戶自己的數據進行模型訓練，微軟承諾，對于客戶自行輸入的訓練數據及生成內容完全屬于客戶，微軟不會提供給任何其他客戶、不會提供給OpenAI或用于訓練OpenAI的模型、也不會用于改進微軟的各種服務；客戶開發的模型也僅供客戶使用。

二是提升透明度。微軟在用戶使用AI產品時承諾實時提供信息對用戶進行充分告知，使個人和組織用戶都能夠清晰了解其AI系統的能力和局限性。例如，當用戶使用Copilot服務時，微軟會讓用戶清楚地知悉其正在與AI進行交互，并向用戶展示關于其如何收集、使用數據的信息；同時以對話的方式為用戶提供易于理解的選項，幫助用戶更好地理解如何利用AI并降低潛在數據和隱私泄露的風險。

三是提供用戶行權方式。微軟承諾為數據主體提供了較為便捷的行使其數據主體權利的方式。微軟賬戶持有人可通過微軟隱私儀表板訪問、管理和刪除其個人數據和存儲的對話歷史記錄，以便其控制自己的數據。

四是持續合規，支持全球數據保護法規的進步。微軟承諾將確保其在所有運營的司法轄區均遵循所在地的數據保護法律。微軟也承諾積極承擔社會責任，與世界各地的數據保護當局和隱私監管機構密切合作，積極參與和推進數據保護法律的發展。

微軟模式帶來的啟示

AI技術正以前所未有的速度推動人類社會的智力創新、經濟高質量發展和生產生活方式的效率提升。在為全球產業發展注入新動能的同時，AI也催生了一系列新的問題和挑戰，需要監管部門和行業共同探索與時俱進的AI治理方案。

微軟“負責任的AI”治理框架，固然與微軟的AI產品線緊密相關，但對其他AI企業以及用戶企業而言都有許多值得借鑒之處。

1.基本原則

樹立“負責任的AI”的基本原則和核心目標，貫穿企業所有相關部門及所有相關產品設計。

2.內部治理框架

建立高效的內部治理機構，從管理層到執行層逐級明確AI治理負責人、負責部門。

3.標準實施

建構一套完整的AI治理框架，涵蓋原則、政策標準以及實施工具，并為應對變化留足空間。

4.知識產權治理

在引導用戶合理使用AI服務的前提下，提供侵權風險轉移方案。

5.數據保護

采取措施提高安全性、提升透明度、提供用戶行權方式、確保持續合規，支持全球數據保護法規的進步。

由于AI技術的快速發展，相關企業在AI治理方案方面的探索仍處于比較早期的階段。在關注AI技術發展的同時，企業的治理實踐發展和監管部門的政策法規變化也值得繼續觀察。