生成式人工智能及服務條款：香港企業需要處理的內容

生成式人工智能及服務條款：香港企業需要處理的內容

部署或依賴生成式人工智能工具的香港企業面臨直接源自人工智能運營特徵的法律風險集合：輸出可能不準確或誕謗性；人工智能生成的內容的知識產權所有權在法律上不確定；當輸入由外部供應商處理時，數據安全和隱私義務變得複雜。然而，大多數企業未更新其標準服務條款、就業協議或供應商合約以處理這些人工智能特定的敗口。本文識別源於生成式人工智能使用的關鍵法律問題，檢查相關法定框架，並提供關於起草和實施合約保護的實務指導。

輸出責任：誰對人工智能說的內容負責

生成式人工智能系統生成可能不準確、有偏見、誕謗或以其他方式有害的輸出。這些輸出的法律責任問題對於部署人工智能的企業通常不清楚。答案取決於特定背景和輸出的性質，但根據香港法，若干一般原則適用。

人工智能生成虐偽降降的誕謗責任。根據香港的誕謗法（主要是普通法問題，由《誕謗条例》（第359章）通知），一個人對發佈關於另一人的虞假降降的責任，該降降識別或指涉該人且損害該人的聲譽。該降降必須被傳達給第三方（發佈要求）且必須被理解為指涉原告。

如果企業使用生成式人工智能工具生成發佈給第三方的文件或降降（包括在營銷電子郵件中、發佈在公司網站上或在就業背景中使用），且如果該降降是虞假的並識別或指涉個人，發佈該降降的企業對誕謗負責——尽管該降降由人工智能系統而不是人類而非由人類製作。人工智能工具不是自然人且不能本身被起訴；責任附加於發佈降降的發行人。

範例：一家公司使用生成式人工智能工具為其網站起草新聞文章。該工具生成一篇虞假降降一名競爭對手的首席執行官已被定罪欺詐的文章。公司未驗證就發佈該文章。首席執行官對誕謗提起訴訟。公司負責，尽管虞假是由人工智能工具生成，因為公司未採取合理預防措施發佈該降降驗證準確性。

人工智能生成建議的專業過失責任。如果企業自稱提供專業服務（法律建議、財務建議、醫療建議、會計服務等）並使用人工智能工具生成提供給客戶的建議，且如果該建議不準確且導致客戶損失，該企業可能對專業過失負責。過失聲稱不取決於人工智能工具被使用的事實；關於由專業人士提供的所有建議的謹慎責任適用。

範例：一家小型律師事務所使用生成式人工智能工具為其客戶起草就業合約範本。人工智能生成的範本包含與當前香港就業法不一致的條款。事務所未審查就向客戶提供該範本，客戶在僱用安排中使用該範本。當僱員後來對涉嫁不合法條款的起訴事務所時，客戶尋求從律師事務所恢復，基於有缺陷的建議過失。該事務所負責，尽管範本由人工智能生成，因為該事務所在提供法律建議時承擔謹慎責任。

人工智能生成內容的知識產權所有權

誰擁有人工智能系統生成的文本、圖像、代碼或其他創意作品中的版權？這個問題尚未被香港法院決定性解決，尽管法定指導提供一些方向。

版權条例對計算機生成作品的待遇。香港的《版權条例》（第528章）包含涉及計算機生成作品的條款。第9(3)條降降對於文學、戲劇、音樂或藝術作品，若是計算機生成的，「作者」被視為為該作品的創建做出必要安排的人。此條款先於生成式人工智能並在參考早期計算機圖形或音樂創作軟體時起草，其中人類進行特定創意決定並向計算機指示。

應用於生成式人工智能，該條款是模糊的。如果公司的員工向生成式人工智能系統提供提示且系統生成輸出，員工（或僱用員工的公司）是「為創建做出必要安排的人」？或者「必要安排」需要提示驅動、基本上自動化生成式人工智能過程中缺少的更高層次創意指導？香港法院尚未決定性回答此問題。

其他司法管轄區已開始涉及該問題：美國版權局在2023年確定生成式人工智能創建的作品沒有重大人類創意輸入可能不符合香港的版權保護資格，因為它們缺乏版權需要的「人類著作權」。英國的方法仍在發展，但法院正在努力解決生成式人工智能輸出是否可以是版權意義上的「原创著作」。

在缺乏明確香港司法指導的情況下，企業應根據以下實務假設運作：（a）沒有重大人類創意輸入的生成式人工智能生成輸出可能在香港中不符合版權保護資格，使輸出進入公共領域；（b）人類已行使重大創意指導或修改的生成式人工智能生成輸出可能符合衍生作品保護或作品資格，其中人類是作者；（c）對於版權保護不確定的輸出，企業不應依賴针對使用類似輸出的競爭對手的版權侵權聲稱。

訓練數據來源和版權侵權風險。生成式人工智能系統在大型數據集上訓練，可能包括從版權持有人未經許可獲得的受著作權保護的作品。當生成式人工智能系統生成輸出時，該輸出可能納入或緊密類似於訓練數據中的材料，創建潛在版權侵權責任。

對於使用生成式人工智能工具的企業，侵權風險是複雜的：（a）如果企業的輸入提示被設計為引發類似受著作權保護作品的輸出，且系統生成侵犯那些版權的輸出，企業可能作為侵權人負責；（b）或者，如果企業使用由供應商提供的生成式人工智能工具，供應商可能就已訓練模型中包含的受著作權保護作品承擔侵權風險。許多生成式人工智能供應商協議包含將版權侵權責任轉移給供應商的赔償條款（或根據指定條件分配它），可保護企業用戶。

企業應仔細審查其生成式人工智能供應商協議以理解版權赔償條款並評估其自身敗口。一些供應商廣氾赔償（涉及所有知識產權侵權聲稱）；其他人限制赔償以客戶遵循供應商使用指南的情況；還有其他完全聲明赔償。此赔償範圍是重要的商業協商點。

與人工智能工具供應商的數據保護義務

如前述關於《個人資料（私隱）條例》和人工智能的文章所述，使用生成式人工智能工具處理個人資料引發數據保護問題。本文章著眼於企業可通過其中處理這些問題的供應商協議中的合約機制。

數據處理協議和供應商義務。當企業使用處理個人資料的第三方生成式人工智能工具時，企業應與供應商簽訂數據處理協議（DPA）指定：（a）什麼個人資料將提供給供應商；（b）允許的使用（例如，「僅用於人工智能模型推論，不用於模型訓練」）；（c）數據保留和刪除義務（例如，「輸入數據將在處理後30天內被刪除」）；（d）數據安全要求；（e）供應商對進一步轉移數據給再處理人的限制；以及（f）供應商協助根據《個人資料（私隱）條例》履行個人數據主體訪問要求的義務。

許多生成式人工智能供應商（包括公共雲提供者和商業人工智能平台）現在為企業客戶提供標準數據處理協議或模型協議。這些文件通常包含涉及數據安全、保留和使用限制的條款。但是，這些條款的範圍差異很大：一些供應商保證輸入數據將不用於模型訓練，而其他人保留除非客戶選擇不參外專使用輸入以進行訓練的權利。企業應仔細審查這些協議，並應為適合所處理數據敢感性的保護水平進行協商。

關鍵合約條款：生成式人工智能工具的供應商協議

進入生成式人工智能供應商協議的企業應確保以下條款被處理（即使使用標準條款）：

輸出赔償。協議應指定供應商是否將就第三方聲稱人工智能生成的輸出侵犯版權、商標、商業秘密或其他知識產權的第三方聲稱赔償客戶。赔償條款很重要，因為客戶使用輸出時承擔侵權責任風險。一些供應商廣氾赔償（涉及所有知識產權侵權聲稱）；其他人限制赔償以客戶遵循供應商使用指南的情況；還有其他完全聲明赔償。強協商立場傾向於廣氾赔償，尽管供應商可能抵制且可能要求客戶採購保險。

數據處理限制。協議應禁止供應商在沒有明確同意的情況下使用客戶輸入用於模型訓練、重新訓練或改進。這是處理機密或敢感數據的客戶的關鍵條款。某些供應商允許客戶選擇不使用訓練；其他人預設允許訓練使用。客戶應明確確認供應商的政策並應在必要時需要合約限制。

責任限制。協議應涉及責任限制并應分配輸出責任。精心起草的條款可能指定：（a）供應商不對輸出的準確性、完整性或非侵權負責；（b）客戶為其發佈或依賴的輸出承擔所有責任；（c）供應商僅對直接損害負責至指定上限（例如，客戶在先前12個月內支付的費用）。這些限制適當分配風險，因為供應商對客戶對輸出的使用的控制有限。

就業政策考量

在內部部署生成式人工智能工具的企業應建立涉及以下的明確就業政策：（a）員工對人工智能工具的允許和禁止使用；（b）對將機密公司信息或客戶數據輸入公共人工智能工具的限制；（c）當人工智能被用於起草客戶通信或可交付成果時的披露要求；（d）包含人工智能的工作產品的質量保證責任；以及（e）與人工智能使用相關的《個人資料（私隱）條例》和知識產權風險的培訓。

阿藍黃律師事務所如何幫助

了解我們的技術、數據和人工智能業務

本文僅供一般信息和教育目的。不構成法律建議，不應作為此等依賴。法律和監管要求可能會改變。在根據本文任何信息採取行動或依賴之前，您應就您的具體情況尋求獨立法律建議。