T/CSAC 体 标 准
T/CSAC 023-2025
网络安全技术向未成年人提供生成式人工 智能服务安全指引
Cybersecurity technology- Guidelines for providing generative artificialintelligence services tominors
中国网络空间安全协会 发布
前言
起草. 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定
请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任.
本文件由中国网络空间安全协会归口.
本文件由中国网络空间安全协会人工智能安全治理专业委员会提出.
本文件起草单位:中国网络空间安全协会、杭州网易智企科技有限公司、国家信息技术安全研究中心、公安部第三研究所、中国社会科学院大学互联网法治研究中心、中国青少年研究中心、上海人工智能创新中心、浙江省网络空间安全协会、北京师范大学、北京邮电大学、北京互联网法院、北京抖音信息服务有限公司、阿里巴巴(中国)有限公司、北京快手科技有限公司、百度在线网络技术(北京)有限公司、上海稀宇科技有限公司、北京金山办公软件股份有限公司、广州趣丸网络科技有限公司、科大讯飞股份有限公司、华为技术有限公司、杭州安恒信息技术股份有限公司、OPPO广东移动通信有限公司、蚂蚁科技集团股份有限公司、杭州君同未来科技有限责任公司、北京市中伦律师事务所、北京三快在线科技有限公司(关团)、维沃移动通信有限公司(vivo)、小米科技有限责任公司、深信服科技股份有限公司、三六零数字安全科技集团、北京微梦创科网络技术有限公司、荣罐终端股份有限公司、广东小天才科技有限公司、深圳市和讯华谷信息技术有限公司、长安通信科技有限责任公司、网易有道信息技术(北京)有限公司、广州市动悦信息技术有限公司、北京猿力科技有限公司、北京师范大学出版社(集团)有限公司、成都每经新视器科技有限公司、北京米连科技有限公司、蘑菇车联信息科技有限公司、北京深言科技有限责任公司联想《北京)有限公司、中通服咨询设计研究院有限公司、南方都市报、中国质量认证中心有限公司、北京市竞天公诚律师事务所、北京市金杜律师事务所、北京大学上海临港国际科技创新中心、广州市申网数据要素发展研究院、中讯邮电咨询设计院有限公司、北京爱诗科技有限公司、贝壳找房(北京)科技有限公司.
本文件主要起草人:郝晓伟、王健兵、夏文辉、贺敏、张震、寇振东、胡文浩、阮良、朱浩齐、苗晴晴、彭 沈俊成、任少锋、邓凯、陈光炎、方增泉、吴沈括、郭开元、祝阳、郝春亮、郭建领、孟令宇、李佳笑、落红卫、郝思佳、周杨,崔聪聪、曹岚、李中戈、王海宁、车喆彬、贾建斌、蔡倩楠、尹丹娜、邵萌、韩蒙、刘晓春、郭晓雷、张树玲、邹莹、张琳琳、郑晗旭、韦薇、张磊.
网络安全技术向未成年人提供生成式人工智能服务安全指引
1范围
命周期安全管理、组织与制度保障、未成年人发展与促进,以及内容安全、数据安全、个人信息保护的 本文件提出了生成式人工智能服务中关于未成年人保护的安全指引,包括安全总体原则、服务全生安全要求.
提供参考. 本文件适用于生成式人工智能服务提供者开展未成年人保护相关活动,也可为相关主管部门、行业
2规范性引用文件
下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用于本 文件.
GB/T25069-2022信息安全技术术语GB/T45654-2025网络安全技术生成式人工智能服务安全基本要求 GB/T35273-2020信息安全技术个人信息安全规范/GB/T45674-2025网络安全技术生成式人工智能数据标注安全规范GB/T45652-2025网络安全技术生成式人工智能预训练和优化训练数据安全规范
3术语和定义
GB/T25069-2022界定的以及下列术语和定义适用于本文件.
3.1 生成式人工智能服务generative artificialintelligence services用生成式人工智能技术向中华入民共和国境内公众提供生成文本、图片、音频、视频等内容的服务.[GB/T 45654-2025 3.1]
3.2服务提供者serviceprovider 5.[GB/T 45654-2025. 3.2] 以交互界面、可编程接口等形式提供生成式人工智能服务的组织或个人.
3. 3面向未成年人的生成式人工智能服务generativeartificialintelligence servicesforminors 生成式人工智能服务对象中未成年人数量巨大或对未成年人可能产生显著影响的服务.
3. 4服务全生命周期servicefulllifecycle
包括训练数据处理阶段、模型训练阶段、场景应用阶段、服务运营阶段等.
3.5训练数据training data[GB/T 45654-2025 3.4] 直接作为模型训练输入的数据,包括预训练数据和优化训练数据.
3. 6
个人信息personalinformation
电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息.
注1:本文件根据个人信息所处阶段、存在形式不同分为以下3种保护形式:
个人训练数据保护:针对训练数据中存在的未成年人个人信息的保护,保护措施侧重对训练数据的处理:个人可识别信息保护:针对模型可能生成或输出个人可识别信息的保护,保护措施侧重对模型输出数据的安全处理: 用户个人信息保护:针对在服务用户过程中收集使用个人信息的保护,保护措施需结合产品功能服务所需而定.[GB/T35273-2020,3.1,有修改]
3. 7
智能语音交互smartspeechinteraction
以语音识别、语义理解、语音合成等全部或部分人工智能技术为基础,由智能软硬件组成,具备智能人机交互能力.
[GB/T 36464.1-2020 3.3,有修改]
4安全框架
向未成年人提供生成式人工智能服务的安全框架见下图:
图1向未成年人提供生成式人工智能服务安全框架
规和部门规章参考,详见附录B. 安全要求包括:内容安全要求、数据安全要求、个人信息保护要求,详见附录A:以及相关法律法
服务全生命周期安全管理包括:训练数据处理阶段的个人训练数据保护、训练数据安全处理、训练数据内容安全:模型训练阶段的生成内容安全、个人可识别信息保护、模型对齐:场景应用阶段的服务 备案评估、服务内容安全、用户个人信息保护、服务数据安全、科技伦理要求:服务运营阶段的未成年人身份认证、未成年人模式、网络防沉迷、权限管理、消费管理.
制度. 组织与制度保障,结合服务全生命周期安全管理要求,建立未成年人保护专项工作组织和专项保障
未成年人发展与促进,鼓励社会、行业、企业共同从未成年人发展权益保护、人工智能素养提升、特色化发展和智能终端协同、行业治理与协作等方面做好未成年人保护.
5总体原则
5.1安全原则
向未成年人提供生成式人工智能服务宜遵循以下安全原则:
a) 坚持以社会主义核心价值观为引领,适应未成年人身心健康发展和网络空间的规律和特点,实行社会共治:b) 坚持最有利于未成年人的原则,在处理涉及未成年人的事务时,宜将未成年人的最佳利 益作为首要考虑因素,确保未成年人的权益得到最大程度的保护和促进:c)遵循科技和道德伦理,以“增进人民福社、促进公平公正、保护隐私安全、确保可控可信、d)坚持保护与发展并重,在“以人为本、智能向善”理念的指导下,兼顾未成年人网络保护和 强化责任担当、提升伦理素养”为原则,面向未成年人研发和提供生成式人工智能服务:人工智能素养发展.
5.2主体责任
服务提供者宜积极履行未成年人保护的主体责任:
b)明确工作规范,健全管理制度,完善服务运营规则: a)遵循保护与发展基本原则,建立常态化工作机制:c)提升生成式人工智能技术和应用的风险识别、评估、处置能力、建立事前规划、事中管控、事后监测的一体化保护机制,防范和化解各种风险隐患
6服务全生命周期安全管理
6.1训练数据处理阶段
6.1.1个人训练数据保护
服务提供者应针对采集训练数据中的未成年人个人信息制定保护措施,包括:
a)确保训练数据来源的合法性:1b)使用自采数据时,不采集未成年人或其监护人已明确不可采集的数据: c)使用商业数据时,对交易方或合作方所提供涉未成年人个人信息的训练数据承诺材料进行审核:(P 明确收集数据的范围和目的,严格限制收集未成年人的非必要数据,防止过度采集或与服务 目的无关的数据处理:e) 将未成年人用户输入的个人信息用于训练时,需取得用户同意,将不满十四周岁的未成年人以唯一识别自然人身份为目的使用包含未成年人生物特征信息的个人信息时,需获得其监护 用户输入的个人信息用于训练时,需取得其监护人的同意:人的单独同意,或满足其他合法使用该生物特征信息的条件:
g)可采取去标识化等技术措施保护未成年人个人信息安全.
6.1.2训练数据安全处理
服务提供者应针对训练数据制定安全处理措施,包括:
a) 制定数据分类分级安全处理措施,采取数据脱敏、加密传输、访问控制、边界防护等技术措施保障数据安全:b)对安全性标注数据进行隔离安全存储.
6.1.3训练数据内容安全
服务提供者应制定训练数据内容安全清洗过滤措施,包括: a) 按照GB/T45654-2025对全部训练数据进行清洗过滤,包括利用关键词、分类模型、人工抽检等去除数据中的违法不良信息:
