6 月 25 日,OpenAI 向 API(应用接口)用户推送官方邮件,告知自 7 月 9 日起,将阻止来自未列入支持国家和地区名单的区域的 API 流量,如要继续使用 OpenAI 的服务,需要在受支持的区域进行访问。
一时间众议纷纭,媒体更以“断供”描述 OpenAI 的此次举措。有人认为,是因为美国对中国的打压政策;有人认为,是为了防止国内大模型的套壳和获取语料。事实上,OpenAI 从未向国内市场开放服务,“断供”言过其实,更准确得说是加强了封禁的措施。也因此,我国所有调用 API 接口的企业,本质上都处于不合规的状态,既不符合 OpenAI 的政策,也不符合国内的法律。那么,这些企业下一步该走向何方?
顺势迁移
2023 年 7 月,中国网信办联合有关部门推出《生成式人工智能服务管理暂行办法》,是全球范围内针对生成式人工智能的首部专门立法。根据办法,生成式人工智能服务提供者要使用具有合法来源的数据和基础模型;而 OpenAI 并未根据国内监管要求进行算法备案、生成式人工智能服务备案等。与此同时,根据 OpenAI 的政策,不向中国用户提供 GPT 服务。
在“双重违法”之下,使用 OpenAI API 接口的“套壳”应用处于随时被禁止运营的状态,这对于一个长期项目不是件好事情。国内监管之所以仍保持一定“宽容”,是因为行业毕竟在初期发展阶段,执法强度也有个由松到紧的过程。此次 OpenAI 方的封禁,可以倒逼国内项目走向合规发展的道路。
现状之下,选择国内 AI 模型进行迁移,成为所有套用 Open API 接口的应用需要考虑的关键解决方案之一。与此同时,国产大模型也不失时机地争相推出“搬家”方案。
通过迁移,原有应用的功能可以维持稳定,应用及背后公司也可以避免因失去 OpenAI API 而产生违约问题。在考察性价比之余,应用可优先考虑已经通过生成式人工智能服务备案的大模型,避免新的合规问题。值得注意的是,截至 2024 年 3 月,我国共有 117 个大模型已经在网信办备案。
不过,自从 OpenAI 发布公告后,部分文章提出:使用 OpenAI API 的应用可以迁移至 Azure OpenAI。给出理由是,微软已经和 OpenAI 合作,且未禁止中国用户使用。那么,这些应用是否可以采纳该建议,且合规性如何?
Azure OpenAI
首先,我们来看看什么是 Azure OpenAI。Azure OpenAI 是微软提供的服务,可以实现对 OpenAI 大语言模型的 REST API 访问,这些模型包括 GPT-4、GPT-4 Turbo with Vision、GPT-3.5-Turbo 和嵌入模型系列。Azure OpenAI 服务完全由微软控制;微软在 Azure 环境中托管 OpenAI 模型,该服务不会与 OpenAI 运营的任何服务(例如 ChatGPT 或 OpenAI API)进行交互。而且,微软也在 OpenAI“断供” 事件后加入了这场迁移抢客盛宴。和 OpenAI 不同,Azure OpenAI 并没有限制中国用户使用,这一点不管是在官方宣传还是工作人员口头回复都得到确认。不过矛盾的是,在一份官方产品可用服务区域文件中,似乎注明在中国不可用。那么,我国使用 OpenAI API 接口做 AI 项目的企业,如果选择将自己的项目迁移至 Azure OpenAI,在合规方面可以高枕无忧吗?
合规存疑
作为一项全球服务,微软有完整的数据合规政策。如承诺数据不对 OpenAI 开放,不会被用于改进 OpenAI 或微软的产品、服务,随时可以删除,防止有害内容生成,遵守欧盟 GDPR 和 ISO 27001、ISO 27002 和 ISO 27018 的要求。然而,据曼昆律师了解到的信息,Azure OpenAI 的合规政策没有专门针对中国法律进行适配。因此,在以下方面,使用 Azure OpenAI 的合规性仍然存疑。
疑点 1 :数据出境
Azure 的中国服务由国内世纪互联公司运营,数据中心在中国境内。但 Azure OpenAI 属于全球服务,数据中心在中国境外。当国内关键信息基础设施运营者或者其他数据处理者传输敏感个人信息、个人信息、重要数据超过一定标准,需要向国家网信部门申报数据出境安全评估、通过个人信息保护认证。这对于国内用户是很大的合规成本,且由于 Azure OpenAI 本身亦未查询到经过国内评估认证,难以保证可以顺利通过。
疑点 2 :未完成备案
根据《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》,凡是提供具有舆论属性或者社会动员能力的生成式人工智能服务,应当开展安全评估,并履行算法及模型备案手续。经检索,Azure OpenAI 并未完成算法和大模型备案。那么对于想面对境内公众提供服务的用户来说,很难证明是使用了合法来源的基础模型,以及满足其他监管要求。
总结:对于想应用于内部研发、运营使用,未面向公众,不涉及个人信息、重要数据的企业,Azure OpenAI 是个可选项;除此之外,则要慎重评估使用 Azure OpenAI 的合规风险。由于未能掌握完整信息,本人根据公开信息,试着对 Azure OpenAI 的合规性进行分析,如有事实出入,请微软联系更正。
最差方案
有业内人士提出,可以通过使用海外服务器或创建反向代理来绕开限制。这个方案是通过技术手段反封锁,但无法解决任何合规问题。相反,这样做会增加数据安全和隐私的风险。在运营方面,国内苹果和安卓的应用市场可以下架这类应用;应用服务的稳定性也要打个大大的问号。
小结
在 OpenAI 限制中国使用其 API 的背景下,国内现存 AI 企业考虑数据迁移至 Azure OpenAI 或其他国际服务时,必须仔细评估合规风险。与此同时,面对新技术带来的法律挑战,企业或许应该积极探索本土化解决方案,而非一味寻求“平替”,在不断变化的技术环境中实现合规发展。