消费者安全 数据安全审计 企业合规师 备案登记 劳动用工合规管理 知识产权合规 个人信息与隐私权保护 企业廉洁合规 经营合规 风险提示与预警信息 IPO合规 安全生产合规管理 企业合规典型案例 合同合规管理 企业合规实务 企业数据合规 企业刑事合规
网络犯罪 人工智能合规 网络安全 新基建安全资讯 保密科技 数据合规 元宇宙合规 数字合规 网络与数据法学 电信网络诈骗 区块链合规 信息与网络安全 网络不正当竞争 数字贸易合规 数据出境合规 互联网合规
上市公司合规管理 税务合规 企业合规管理 商业秘密 财务合规 商业合规 内控资讯 合同法律 信息披露风险 公司法实务 人力资源合规 知识产权合规 合规尽职调查 内控稽查 内部控制和风险管理合规 会计监管风险 税务异常处理 税务检查应对
征信合规 涉税合规 经济犯罪案例 合规文化主题月 劳动与人力资源合规 合规运行报告 网络直播合规 信用合规 刑事合规管理 工程合规与舞弊调查 涉案企业合规 安全审计 劳务派遣合规 采购合规 财务风控 招投标合规
国际注册合规师 公司治理与公司合规 全球金融监管动态月刊 境外合规专项行动 国企合规 反不正当竞争合规管理 出口退税合规风险 全球反垄断 全球合规事务 国际监管合规服务 进出口管制和贸易制裁 境外投资和“一带一路” 跨境投资和经营合规 知识产权内部控制 商业贿赂 外汇合规
证券合规 银行合规 金融犯罪合规 保险合规 金融消费者保护 银保监督 私募合规 互联网金融合规 银行合规资讯 投融资合规 支付 银行合规综合 金融安全 信托合规 担保合规 金融合规 股权合规 内保外贷合规 外汇合规 保理合规
毫无疑问,随着以ChatGPT为首的一大批生成式人工智能产品相继面世,我们正在经历新的一轮“工业革命”。
然而,生成式人工智能的爆发式增长背后,商业秘密泄露、个人信息泄露、网络安全攻击等问题也引发了各国监管机构的“冷思考”。如英国信息专员办公室在3月15日宣布更新了有关人工智能和信息保护的指南,旨在保障英国用户(含弱势群体)的利益;美国也正在就人工智能系统的潜在问责措施征求公众意见。
我国监管部门对此也采取了相应举措,在4月11日由国家互联网信息办公室发布了《生成式人工智能服务管理办法(征求意见稿)》(下称“《管理办法》”),明确提出了服务提供者所需承担的责任及义务。
在此背景下,ChatGPT作为一个先进的人工智能语言模型,自然也需要对自身的《隐私政策》[1]进行审视。
当然,如果直接问它如何看待自身《隐私政策》的法律风险,它会明确告诉你:
显然是问不出来什么内容的。
然而,若将《隐私政策》的核心要点“拆解”为下述10个问题,再一一进行询问后,还是能够从中发现隐藏的数据合规风险:
个人信息处理者——“我们”是谁?
个人信息收集符合“最小必要”原则吗?
个人信息使用合规吗?
个人信息共享合规吗?
个人信息存储及跨境传输合规吗?
个人信息权利如何行使?
儿童个人信息的收集合规吗?
个人信息处理行为的司法管辖权
API接入时,各方的角色分别是什么?
Open AI在数据安全方面的认证资质有哪些?
一、个人信息处理者——“我们”是谁?
《隐私政策》在开篇及第9部分(“International users”)中明确了自己作为数据控制者的身份及具体的主体信息,与ChatGPT的回答一致。
分析:【合规】
Open AI已在《隐私政策》中表明“我们”的身份,即Open AI, L.L.C,并未将相关的关联公司等主体一并列上,整体而言,个人信息处理者的角色主体清晰。(其中关于“我们”不清所涉的法律风险,详见《<个人信息保护法>实施1.5年,再看平台隐私政策中“我们”是谁?》)。
二、个人信息收集符合“最小必要”原则吗?
《隐私政策》第1部分(“Personal information we collect”)列明了所收集的个人信息类型(用户主动提供的+用户使用服务时自动接收的),包括设备及使用数据、账户信息、输入的内容、沟通信息、Cookies等。
对此,我们询问了ChatGPT收集该等信息是否符合最小必要原则,ChatGPT给出了肯定的答案。
分析:【合规性存疑】
《隐私政策》中有关个人信息收集与使用是分开表述的,并未将收集与用途进行一一对应,因而无法直观地判断Open AI收集每一类信息是否均满足“最小必要”原则,整体合规性有待进一步论证。
三、个人信息使用合规吗?
《隐私政策》第2部分(“How we use personal information”)中列出用户个人信息的主要用途,其中特别提到个人信息汇聚融合(Aggregated information)及去标识化(De-identified information)使用,以用于分析服务有效性、提升和增加服务特性、进行研究等目的。
对此,我们针对这两块内容询问了ChatGPT的看法,ChatGPT整体而言还是将其限定是在“最小必要”的框架下进行,对于可能存在的法律风险(如“重识别”风险,具体详见我们撰写的文章《“个人信息”的判定绝非易事——IP属地遇到拦路虎“再识别技术”》)则已采取相应措施。
分析:【不合规】
《隐私政策》显然并没有就“汇聚融合”的合法正当性进行充分表述,尤其是在该等汇总或去标识化的个人信息还将与第三方进行共享的情形下。即使是“匿名”个人信息也面临着“重识别”的风险,更何谈只是“去标识化”的个人信息。
四、个人信息共享合规吗?
《隐私政策》第3部分(“Disclosure of personal information”)中明确了个人信息共享的4类情形,包括与第三方服务商共享、商业交易项下的共享、根据法律要求共享及在关联方之间的共享,但在与关联方之间的共享方面,并没有进行明确说明。
对此,ChatGPT认为虽然Open AI没有进行明确说明,但其仍然需要遵守共享相关法律规定,仅在必要情况下进行共享,且仅共享必要的信息。
分析:【不合规】
《隐私政策》在关联方共享情形的表述不够清晰,用户无法知晓在何种情形下其个人信息将在关联公司之间共享。虽然该等关联公司是受Open AI控制,但毕竟属于独立主体,其个人信息共享行为仍应受到约束。
五、个人信息存储及跨境传输合规吗?
关于个人信息存储地点、存储期限及跨境传输的约定散落在《隐私政策》第8部分(“Security and Retention”)及第9部分(“International users”)的内容之内,但其中有关存储期限的表述较为笼统。对此ChatGPT表示Open AI所收集的个人信息将存储于美国,可能会涉及跨境传输的情形,届时会依法采取适当的数据转移机制来确保跨境传输安全;同时也承认《隐私政策》在存储期限维度没有进行明确约定。
分析:【合规性存疑】
《隐私政策》对于个人信息存储期限没有进行明确约定,而是采用了一般性的表述;同时提到对于匿名化或去标识化的个人信息将永久性存储,其存储合规性有待商榷。
六、个人信息权利如何行使?
《隐私政策》中第4部分(“Your Rights”)和第5部分(“California privacy rights”)以专章形式列明了用户享有的个人信息权利,包括访问、删除、更正或更新、转移个人信息及撤回处理个人信息的同意及反对或限制处理个人信息的同意等权益;同时说明了两种行使路径(账户设置或邮件申请),但表述不够清晰。通过询问ChatGPT,给到的回答也基本是邮件申请路径。下图是以行使访问权为例得到的回复:
分析:【不合规】
总体而言,《隐私政策》中有关个人数据权利具体行使路径的表述不够清晰,未说明哪些权利可以通过账户设置行使,哪些权利需要通过邮件方式申请;同时反馈时限也没有予以明确。
七、儿童个人信息的收集合规吗?
《隐私政策》中第6部分(“Children”)明确其服务并不旨在为13岁以下的儿童提供服务,也不知晓收集了儿童个人信息。对此,ChatGPT也明确回答Open AI不会有意地收集儿童个人信息;当进一步询问Open AI是否应当在事前判断用户是否属于儿童时,ChatGPT也给出了否定的回答。
分析:【合规性存疑】
根据美国《Children’s Online Privacy Protection Act》(下称“《COPPA》”》的规定,该法主要规制的对象包括旨在服务儿童的网站或在线服务的经营者(“a website or online service directed to children”),或任何实际了解其正在收集儿童个人信息的经营者(“any operator that has actual knowledge that it is collecting personal information from a child”)。基于ChatGPT所面向用户的庞大基数,即使其服务并不旨在服务儿童,但是否完全“不实际了解”其正在收集儿童个人信息,是有待进一步论证的。
八、个人信息处理行为的司法管辖权
作为Open AI用户使用协议(“Term of Use”)的一部分,《隐私政策》受美国加州法律管辖,同时也提及到针对欧洲经济区、英国和瑞士用户,GDPR相关规则也一并适用。但对于除前述国家和地区以外的国际用户个人信息处理的合规性基础,《隐私政策》中并未予以明确。
对此,ChatGPT表示,基于Open AI在全球范围内收集用户的个人信息,其不仅需要遵守美国相关法律规定,还需要遵守其他国家和地区的个人信息保护相关规定。
分析:【不合规】
正如ChatGPT所回复的,既然Open AI是面向全球提供服务,仅遵守美国及欧盟有关数据合规的法律显然是不足够的。
九、API接入时,各方的角色分别是什么?
根据Open AI在其官网公示的《数据处理附录》(Data Processor Addendum)及ChatGPT的回答,当以API接入的方式封装ChatGPT以对外提供人工智能服务时,接入方通常属于数据控制者(即对应我国个人信息处理者),Open AI通常属于数据处理者(即对应我国受托人)。
分析:【合规性存疑】
这个回复与最近刚出台的《管理规定》一脉相承,即在封装ChatGPT对外提供服务时,接入方是个人信息处理者,需要对外承担个人信息处理者的责任及义务。不过正如ChatGPT所提到的,个人信息处理者与受托人的角色可能因实践操作而有所不同,当Open AI决定了个人信息处理的主要目的和方式时,则有可能成为共同个人信息处理者。
十、Open AI在数据安全方面的认证资质有哪些?
《隐私政策》第8部分(“Security and Retention”)就Open AI的数据安全措施做了一般性的表述。对此,我们额外询问了ChatGPT,Open AI在数据方面是否具备相关认证资质(如ISO27001信息安全管理体系认证等),但ChatGPT显然已经“招架不住”,甚至开始自行“编造”(如列出引用文章和链接,但查无此事)。
结语
综上,我们总结ChatGPT《隐私政策》的合规性分析如下表所示:
基于对《隐私政策》自身文本的分析,结合ChatGPT的回复,我们凝练为下述六大核心数据合规问题:
对于上述合规问题的具体分析,将于后续系列文章中一一展开,敬请期待。
文中备注:
[1]Privacy policy (Updated Apirl 7,2023),https://openai.com/policies/privacy-policy, 2023年4月16日访问。
© 2024 All rights reserved. 北京转创国际管理咨询有限公司 备案号: 京ICP备19055770号-4
Transverture International Group Co Ltd, Guangdong Branch
地址:广州市天河区天河北路179号尚层国际1601
深圳市福田区深南中路2066号华能大厦
汕头市金平区华坞路华坞村七巷三楼
梅州市丰顺县留隍镇新兴路881号
![_($0PXQFQ7Y(P~4838LJ_]L.png](/upload/image/ann/20240326/20240326729559.png)
欢迎来到本网站,请问有什么可以帮您?
稍后再说 现在咨询