La regolamentazione IA in Cina è caratterizzata da un sistema normativo frammentato, basato su regolamenti settoriali piuttosto che su una legge unitaria. Le attuali disposizioni mirano a bilanciare lo sviluppo tecnologico con il controllo normativo, imponendo obblighi stringenti ai fornitori di servizi IA.
Di recente, unintervento del Garante Privacy italiano ha offerto uno spunto per riflettere più a fondo sul tema della tutela dei dati personali in Cina[1]. Tuttavia, raffrontare la normativa cinese in tema di dati, composta da Personal Information Protection Law, Cybersecurity Law e Data Security Law, con il GDPR, non offre che una visione parziale della normativa cinese in tema di Intelligenza Artificiale.
Indice degli argomenti
Assenza di una normativa unitaria dell’IA in Cina e sviluppi futuri
A questo scopo, deve innanzitutto premettersi che in Cina non esiste ancora una normativa equivalente all’Artificial Intelligence Act europeo (Regolamento UE 2024/1689). Tuttavia, un regolamento generale sull’intelligenza artificiale è in una fase di studio.
Nel 2023, il Consiglio di Stato (o Guowuyuan – 国务院, organo che corrisponde alla presidenza del consiglio), ha inserito la redazione una legge in tema di IA nel calendario dei lavori[2]. Sullo stato di avanzamento dei lavori annunciati dal Guowuyuan non sono attualmente disponibili informazion né sono state pubblicate bozze. Tuttavia, tale lacuna è in parte compensata da una moltitudine di tasselli.
Le regolazioni settoriali per l’intelligenza artificiale generativa
In primo luogo, in Cina abbondano regolazioni settoriali, già in vigore, riguardanti aspetti settoriali della regolazione dell’IA, tra cui si evidenziano
(i) le misure ad interim per la gestione dei servizi di intelligenza artificiale generativa[3];
(ii) il regolamento sui servizi di deep synthesis[4];
(iii) le misure sperimentali per una revisione etica delle attività artistiche e tecnologiche[5];
(iv) le già discusse misure amministrative per la regolazione di servizi di raccomandazione algoritmica (conosciute con l’acronimo inglese IISARM)[6].
Tali regolazioni settoriali coprono alcuni settori di grande importanza nello sviluppo dell’IA, e che in parte si sovrappongono con materie che in Europa sono regolate dal AI Act. Per quanto riguarda le misure ad interim per la gestione di servizi di intelligenza artificiale generativa, queste hanno lo scopo di regolare le tecnologie di IA in grado di generare contenuti, quali testi, immagini, audio o video.
DeepSeek, ad esempio, ricade nella definizione di IA generativa data dall’art. 22 delle misure ad interim. Le misure mirano a regolamentare lo sviluppo e l’uso dell’intelligenza artificiale generativa, cercando di bilanciare innovazione tecnologica e controllo normativo. Il testo stabilisce che i fornitori di servizi di IA generativa devono garantire che i contenuti prodotti siano accurati, legali e privi di informazioni dannose o diffamatorie e, ai sensi dell’art. 5 delle misure ad interim, sono responsabili come se fossero i creatori del contenuto generato attraverso l’IA.
A differenza dell’AI Act che prevede espressamente delle ipotesi in cui la violazione di un divieto può essere imputata a chi usi un sistema di IA, la responsabilità del soggetto che inserisce input nel sistema di IA generativa non è affrontata. In effetti, le misure ad interim cinesi prendono in considerazione solo la figura del provider, trascurando quindi di prendere in considerazione la responsabilità del soggetto che contribuisca alla generazione di contenuti illeciti attraverso l’addestramento di un sistema di IA.
Il monitoraggio dei contenuti generati dall’IA
Il regolamento impone il monitoraggio dei contenuti generati per evitare la diffusione di fake news, materiale violento o illegale. Gli utenti devono essere informati quando interagiscono con un sistema di IA generativa, attraverso delle etichette che segnalano che il contenuto è generato da IA, e devono essere messi in condizione di comprendere i limiti e le funzionalità del sistema (art. 16). Allo stesso tempo, i fornitori di tali servizi devono fornire una funzionalità che consenta agli utenti di segnalare i contenuti generati dall’IA che siano contrari alla legge, sulla falsariga di quanto in Europa il Digital Services Act prevede con riferimento ai contenuti disseminati dalle piattaforme (art. 22). La differenza tra il meccanismo di notice and takedown previsto dal DSA e quello di report previsto dalle misure ad interim cinesi è che queste ultime consentono l’invio del report direttamente alle autorità nazionali di controllo.
Infine, si deve notare che il regolamento mira ad evitare che vengano generati contenuti contrari alla legge. Quali siano le leggi che un sistema di IA generativo può potenzialmente violare è chiarito dalle misure ad interim stesse, che contengono quattro distinti elenchi di contenuti illeciti. Il primo (art. 4, c. 1), indica contenuti che sono vietati per motivi politici. Il contenuto generato dall’IA deve rispettare i valori cardine del socialismo, non incitare alla rivolta contro il sistema socialista, non incitare al separatismo (si pensi alle problematiche legate a Hong Kong, al Tibet, allo Xinjiang, ma anche a Taiwan, che, facendo ufficialmente parte della Repubblica Popolare cinese, dev’essere rappresentata come una provincia cinese, pena la violazione della norma). Anche le informazioni false o violente rientrano in questa categoria.
Figura 1. Interpellato su Taiwan, DeepSeek preferisce parlare d’altro.
Il secondo elenco ci riporta a obiettivi di regolazione comuni anche al AI Act. Secondo l’art. 4, c. 2, il processo di addestramento del IA deve garantire attraverso specifiche misure che l’IA generativa non operi discriminazioni basate su etnia, fede religiosa, nazionalità, regione (la discriminazione tra regioni esiste anche in Cina), sesso, età o professione. Si noti che la norma menziona la discriminazione basata sulle preferenze sessuali.
Il terzo elenco riguarda illeciti che producono un danno concorrenziale, ovvero che rischiano di compromettere l’integrità del mercato. Così, l’IA deve rispettare la proprietà intellettuale, l’etica commerciale, e gli algoritmi non possono essere usati per distorcere la concorrenza.
Infine, l’ultimo elenco riguarda, infine i danni ai diritti delle persone fisiche. Quindi l’IA deve essere progettata in modo da impedire danni alla salute fisica e mentale, ai diritti d’immagine, alla reputazione, alla riservatezza.
Normative per la deep synthesis e rischi associati
In secondo luogo, il regolamento sui sistemi di deep synthesis, ha ad oggetto una particolare tipologia di IA generativa, che riproduce modalità di comunicazione che possono provocare nell’utente che vi entra in contatto la sensazione di essere in contatto con un soggetto umano, ovvero di impersonare un soggetto. L’art. 23 del regolamento non offre una definizione generale, ma elenca una serie di attività quali generazione di conversazioni, modifica degli attributi vocali, generazione/modifica/sostituzione di tratti somatici, etc. Anche in questo caso, gli obblighi non si rivolgono all’utenza, che può facilmente abusare di tali servizi, imponendo invece ai fornitori di tali servizi l’adozione di misure che prevengano tali abusi.
Ad esempio, l’art. 9 impone ai fornitori di servizi di deep synthesis di registrare gli utenti con numero di cellulare o di documento di identità; includere un portale per i reclami e conservare copia dei dati immessi nel sistema. Inoltre, la generazione di informazioni biometriche (voci, volti), deve avvenire in conformità con la legge ed in particolare delle previsioni del codice civile in tema di diritti della personalità. Anche la modifica di immagini di soggetti inanimati deve invece evitare di ledere “gli interessi nazionali”.
Le misure sperimentali per la revisione etica e tecnologica hanno una portata molto ampia e non si limitano alla regolazione dell’IA, spaziando dal trattamento degli animali da laboratorio all’utilizzo di materiale biologico umano in laboratorio. In particolare, le “unità” (università, centri di ricerca), impegnate nello sviluppo dell’IA devono istituire dei comitati etici (art. 4), che hanno la funzione di istruire il personale scientifico sui rischi etici legati allo sviluppo di determinati usi dell’IA. Le misure regolano in dettaglio la composizione ed il funzionamento di tali comitati etici.
Il IISARM, invece, è un regolamento promulgato dalla Cyberspace Administration of China (CAC), che tuttavia ha un contenuto molto ampio, per certi versi sovrapponibile al Digital Services Act[7]. Esso si caratterizza, da un lato per gli obblighi di trasparenza imposti ai servizi di raccomandazione algoritmica. Questi devono trasmettere alla CAC informazioni utili a valutare la liceità dei criteri adottati nella raccomandazione dei contenuti. È interessante notare che, così come il DSA impone particolari obblighi alle cosiddette VLOPS (very large online platforms), l’IISARM identifica le piattaforme destinatarie di obblighi di trasparenza rafforzati secondo un criterio qualitativo. Qualora una piattaforma (o un sistema di IA che raccomanda contenuti) abbia “capacità di mobilitazione sociale”, deve trasmettere documenti aggiuntivi alla CAC, che li pubblica sul suo sito. Le informazioni che risultano dal sito della CAC sono assolutamente scarne.
Ad esempio, il sistema di raccomandazione della nota Douyin (la “casa madre” di TikTok) è descritto in poche righe. Questo ha portato diversi osservatori a suggerire che in realtà vi siano ulteriori scambi di informazioni tra le piattaforme con “capacità di mobiltazione sociale” e la CAC. La nozione di capacità di mobilitazione sociale non esprime solo un criterio qualitativo, ma anche politico. Il sistema di raccomandazione è oggetto di obblighi aggiuntivi nel momento in cui acquista la capacità di influire sul dibattito pubblico cinese. Questo evidenzia come la funzione principale dell’IISARM sia di evitare che la disseminazione di informazioni attraverso le piattaforme online possa turbare l’ordine pubblico.
Gli strumenti a tutela degli individui
Al tempo stesso, non mancano strumenti a tutela degli individui. Questi si caratterizzano anzi per una maggiore ambizione rispetto a quelli previsti dal DSA. Come nel regolamento europeo, l’utente cinese di una piattaforma ha il diritto di poter disattivare il sistema di raccomandazione, evitando dunque di essere bersagliato di proposte di contenuti, che potrebbero favorire un uso bulimico della piattaforma. Tuttavia, l’IISARM si spinge oltre, imponendo alle piattaforme attive in cina di consentire ai propri utenti di intervenire direttamente sui tags che determinano la diffusione di contenuti. Ad esempio, si può utilizzare Douyin (TikTok), scegliendo di non ricevere immagini relative a determinate categorie di contenuti, quali cibo o viaggi, nonché intervenire sulle sottocategorie, sia attraverso una griglia a spunta, sia attraverso indicatori che consentono di selezionare la quantità di contenuti di un determinato tipo che si intendono ricevere.
Differenze tra la regolamentazione cinese e l’AI Act europeo
Un confronto tra la regolazione cinese in tema di IA e quella europea non può limitarsi al contenuto delle norme, posto che entrambe le discipline hanno un contenuto solo parziale (ad esempio, in Europa, anche in virtù della decisione di abbandonare il progetto di AI Liability Directive, il tema della responsabilità civile per il danno da IA è del tutto privo di una copertura normativa). Pertanto, i due sistemi di governo dell’IA non sono assolutamente sovrapponibili, dal momento che aspetti regolati in un sistema sono tralasciati nell’altro, e viceversa.
Tuttavia, può essere utile confrontare le tecniche legislative utilizzate nei due sistemi. Da un lato, l’UE è intervenuta attraverso un Regolamento, che, pur tralasciando numerosi aspetti, vuole offrire una disciplina generale dell’IA. D’altro canto, in Cina, l’intervento si è verificato attraverso una normazione affidata a fonti amministrative (i regolamenti citati sono tutti stati promulgati dalla CAC o dal Ministero dell’Informazione e della Tecnologia). Peraltro, il più incisivo dei regolamenti in tema di IA, le misure ad interim per la gestione dei servizi di intelligenza artificiale generativa, si caratterizza per il fatto di avere per disegno una durata limitata nel tempo. La scelta cinese riflette la consapevolezza che una regolazione prematura dell’IA potrebbe comprometterne il potenziale innovativo, ovvero indirizzarne lo sviluppo, distorcendo i meccanismi di mercato. Le tecnologie di IA sono regolate per evitare rischi particolarmente gravi.
Tale osservazione offre una chiave di lettura che consente di intravedere le ragioni dietro al silenzio del Guowubu, che, come si diceva nelle battute iniziali di questo scritto, ha annunciato l’apertura dei lavori su una legge sull’IA cinese nel 2023, salvo poi smettere di offrire aggiornamenti sul tema.
La proposta di legge sull’IA redatta dal CASS
In conclusione, si deve riportare che la CASS (Chinese Academy of Social Sciences), un’associazione di accademici indipendenti, che ha un peso molto rilevante nell’attività legislativa in Cina, ha aperto uno studio privato su una legge in tema di IA cinese. È il caso di accennare che già ai tempi degli studi sulla PIPL (il GDPR cinese), la CASS aveva avuto un ruolo di primo piano, e che molte soluzioni da essa suggerite sono state adottate nel testo finale. Si deve anche aggiungere che questi ultimi studi erano stati avviati nel 2005 (la PIPL è entrata in vigore nel 2021), e che pertanto il fatto che la CASS abbia avviato uno studio di legge sull’IA non garantisce assolutamente che tale legge sia adottata in tempi brevi[8].
La proposta di legge sull’IA redatta dal CASS si caratterizza, come l’AI Act europeo, per la centralità di una lista negativa, equivalente all’elenco tassativo di sistemi di IA ad alto rischio, previsti nell’AI Act. Tutti i sistemi di IA descritti nella lista negativa dovrebbero essere approvati dalle autorità, prima di poter essere immessi nel mercato.
La proposta non include invece usi vietati dell’IA. Si deve tuttavia aggiungere che numerosi degli usi dell’IA che l’art. 5 dell’AI Act vieta ricadrebbero nelle maglie dei regolamenti cinesi che già vietano alcune pratiche di IA (ad esempio quelle discriminatorie, che nell’AI Act possono essere vietate).
Note
[1] https://www.agendadigitale.eu/sicurezza/gdpr-e-pipl-analogie-e-differenze-tra-le-norme-privacy-ue-e-cinesi/
[2] Vedi 马国洋, 论“人工智能法”框架体系的多维动态模式东方法学, 2025.
[3] 生成式人工智能服务管理暂行办法
[4] 互联网信息服务深度合成管理规定
[5] 科技伦理审查办法(试行)
[6] 互联网信息服务算法推荐管理规定
[7] Sul tema, rinvio ad uno scritto al quale ho collaborato, U. Reviglio, G. Santoni, Governing Recommender Systems in Europe: Insights from China in Global Jurist, 2023.
[8] https://digichina.stanford.edu/work/forum-analyzing-an-expert-proposal-for-chinas-artificial-intelligence-law/
