《生成式人工智能个人信息保护技术要求 第8部分：供应链管理》.doc

TAF-WG4AS0001-V1.0.0

PAGEII

团体标准

T/TAFXXXX—202X

生成式人工智能个人信息保护技术要求

第8部分：供应链管理

Technicalrequirementsofpersonalinformationprotectionforgenerativeartificialintelligence—Part8:SupplyChainManagement

XXXX-XX-XX发布

XXXX-XX-XX实施

电信终端产业协会发布

ICS33.030

CCSM21

T/TAFXXX-XXXX

T/TAFXXX-XXXX

PAGE6

PAGE5

生成式人工智能个人信息保护技术要求第8部分：供应链管理

范围

本文件规定了生成式人工智能服务提供者在生成式人工智能系统的设计阶段、训练阶段和应用阶段的供应链管理过程中所应满足保护个人信息安全的管理措施。

本文件适用于指导生成式人工智能服务提供者在供应链管理过程中对个人信息安全保护的管理，同时适用于监管机构、第三方测评机构对生成式人工智能个人信息保护在供应链管理方面的安全控制情况进行监督与评估。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T25069信息安全技术术语

GB/T35273—2020信息安全技术个人信息安全规范

GB/T39335信息安全技术个人信息安全影响评估指南

GB/T41867—2022信息技术人工智能术语

GB/T42018信息技术人工智能平台计算资源规范

术语和定义

GB/T25069—2010、GB/T41867—2022界定的以及下列术语和定义适用于本文件。

供应链supplychain

生成式人工智能供应链是指生成式人工智能的产品或服务从概念形成、设计、开发、训练、到达市场应用及其生命周期管理的直接关联节点，包括物理设备的生产，以及软件、算法和服务的开发和部署。

供应商supplier

在生成式人工智能供应链网络中，向下游用户或产品提供必要的算法、数据、计算资源或其他人工智能开发组件的组织或个体。

供应链管理supplychainmanagement

从生成式人工智能供应链整体目标触发，对算法设计、开发、训练、测试、部署、迭代的全过程的计划、组织、协调、控制的活动或过程。

缩略语

下列缩略语适用于本文件。

AI：人工智能（ArtificialIntelligence）

CPU：中央处理单元（CentralProcessingUnit）

GPU：图形处理单元（GraphicProcessingUnit）

NPU：神经网络处理单元（Neural-networkProcessingUni）

SLA：服务等级协议（ServiceLevelAgreement）

概述

生成式人工智能系统的高度复杂和扩展性需求，导致对生成式人工智能服务提供者的供应链要求较高。个人信息在整个生成式人工智能供应链流转过程中的安全风险也会扩大。生成式人工智能供应链框架，见图1，主要包括以下三个阶段：

在设计阶段，服务提供者即应识别与记录生成式人工智能系统中涉及的第三方供应商以及数据预处理时包含的个人信息。服务提供者应对识别的供应商及时开展安全评估，并与供应商明确个人信息的使用权利与保护责任，以保障个人信息在供应链中的合规使用与风险可控；

在训练阶段，服务提供者应能针对AI模型的预训练和调参过程中供应商可能影响个人信息安全的不良因素进行控制。这些不良因素集中在供应商提供的训练数据、AI模型和计算环境；

个人信息流转设计阶段应用阶段

个人信息流转

设计阶段

应用阶段

训练阶段

终端用户

外部合规审查/监管机构

数据提供方

生成式

人工智能

服务提供者

云服务商/

自运营硬件基础设施

第三方运维

管理产品

提供商

第三方生成式人工智能服务提供者

生成式人工智能系统

图SEQ图\*ARABIC1生成式人工智能供应链模型

供应商识别和记录

应记录第三方生成式人工智能系统及其组件是如何被集成开发或使用在系统中的，以及个人信息在相关系统和组件中流转情况，识别并记录生成式人工智能系统供应商组件中可能存在的个人信息及其数据生命周期。生成式人工智能供应链中可能包含的供应商类型包括：

数据提供方：提供可能包括个人信息的原始数据的实体，这些数据将用于训练和测试AI模型；

第三方生成式人工智能服务提供者：由服务提供者采购或使用的由第三