TTAF 268.8—2025生成式人工智能个人信息保护技术要求 第8部分：供应链管理.docxVIP

ICS33.030

CCSM21

团 体 标 准

T/TAF268.8—2025

生成式人工智能个人信息保护技术要求第8部分：供应链管理

Generativeartificialintelligencepersonalinformationprotectiontechnicalrequirements—Part8:Supplychainmanagement

2025-02-10发布 2025-02-10实施

电信终端产业协会发布

T/TAF268.8—2025

目 次

前言 II

引言 III

范围 1

规范性引用文件 1

术语和定义 1

缩略语 1

概述 2

供应商识别和记录 3

设计阶段 3

供应商评估机制 3

供应商协议和权责划分 4

训练阶段 4

个人信息安全控制 4

应用阶段 5

第三方服务告知 5

应急处置 5

参考文献 6

I

T/TAF268.8—2025

前 言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件是T/TAF268《生成式人工智能个人信息保护技术要求》的第8部分。T/TAF268已发布了以下部分：

——第1部分：总则；

——第2部分：隐私声明告知；

——第3部分：训练数据构建；

——第4部分：模型规制控制；

——第5部分：二次开发管理；

——第6部分：输出策略控制；

——第7部分：个人权利响应；

——第8部分：供应链管理。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由电信终端产业协会提出并归口。

本文件起草单位：中国信息通信研究院、阿里巴巴（中国）有限公司、中兴通讯股份有限公司、北京快手科技有限公司、新华三技术有限公司、北京微梦创科网络技术有限公司、联通华盛通信有限公司、北京卡路里科技有限公司、上海声网科技有限公司、OPPO广东移动通信有限公司、科大讯飞股份有限公司、广州视睿电子科技有限公司、蚂蚁科技集团股份有限公司、珠海魅族科技有限公司、荣耀终端股份有限公司、厦门美柚股份有限公司、维沃移动通信有限公司、北京理想汽车有限公司、广州虎牙信息科技有限公司、北京转转精神科技有限责任公司、友盟同欣（北京）科技有限公司、华为终端有限公司、北京小桔科技有限公司、北京象信智能科技有限公司、高通无线通信技术(中国)有限公司、北京智者天下科技有限公司。

本文件主要起草人：武林娜、王艳红、王淞鹤、屈蕾蕾、陈鑫爱、李可心、汪海、李京典、杨萌科、周飞、安达、李碧君、熊有竹、潘万鹏、谷晨、落红卫、李培、任资政、康宇、刘觅、王海涛、曹昉赫、张天若、陈宝金、钱雷、李根、李腾、王士进、高建清、刘胜宇、尹志超、林冠辰、石玉珍、朱玲凤、周煌凯、李辰淑、赵晓娜、黄鹏华、徐曼、贾科、刘晓杰、胡梦云、马海龙、李晨瑜、姚栋、贾紫薇、阮玲宏、董继征、孙铁、许锐、王磊、周辰、王江胜、杨弋。

II

T/TAF

T/TAF268.8—2025

T/TAF

T/TAF268.8—2025

III

III

PAGE

PAGE1

引 言

在生成式人工智能领域，第三方供应商的集成是一种战略上的必然。经济因素和海量的训练数据源是生成式人工智能服务提供者需引入供应商的主要原因，它通常超出许多组织自身的能力，同时也影响着研发成本和训练成果，从而决定生成式人工智能产品或服务在市场上的扩张与收缩。

供应链安全目前是一个世界性难题，尤其是开源项目，其维护者对安全问题的重视度和修复积极性较低。供应链中可能会产生个人信息风险，其来源可能包含供应商提供的含有明文个人信息的训练数据，也有从用户反馈中获取的个人信息。随着这些数据在供应链各个环节的传输、加工和处理，会将隐私安全暴露到供应链中，加大个人信息泄露和滥用的风险。

因此，亟待制定相关标准，来规范生成式人工智能服务在供应链安全部分的个人信息保护的要求，来保障用户的个人信息在供应链使用过程啊中的合规和安全，促进生成式人工智能合理应用和健康发展。

T/TAF268—2025旨在对生成式人工智能的个人信息保护问题提出技术要求，拟由8部分构成。

——第1部分：总则。目的在于规定生成式人工智能服务个人信息保护的术语、总体原则和个人信息保护框架。

——第2部分：隐私声明告知。目的在于提出向服务使用者进行隐私声明告知时的个人信息保护技术要求。

——第3部分：训练数据构建。目的在于提出生成式人工智能数据集构建过程中的个人信息保护技术要求。

——第4部分：模型规制控制。目的在于提出生成式人工智能模型训练阶段个人信息保护方面的规制控制要求。

——第5部分：二次开发管理。目的在于提出面向开发者提供二次开发应用时，