AIGC照镜子(二):提供全球服务，ChatGPT仅遵守美国法律就够了吗？

本文将围绕第一个问题“数据合规管辖权”问题展开，探讨类ChatGPT企业在面向全球用户提供服务时，就其“主动”或“被动”收集个人信息的行为，所应遵从的合规要点。

作为生成式人工智能巨头，ChatGPT在全球范围内广受欢迎，彼时上线才短短2个月即已经积累了1亿全球活跃用户，分别来自美国、印度、日本、法国等各个国家与地区。

作为一家美国企业，OpenAI遵从美国法律毋庸置疑。但其所服务的用户并不仅限于美国居民，因此，其在《隐私政策》1也单独列出第九部分“International users”，专章明确除美国用户之外的其他国际用户的个人信息权益保护。

然而，该部分虽名为“国际用户”，但具体内容只提及了欧洲经济区、英国和瑞士地区，显然“货不对板”。毕竟，根据OpenAI的《用户使用协议》（“Term of Use”），OpenAI提供服务支持的国家范围更为宽泛（总计163个国家和地区2，下称“支持地域范围”）。

除了上述支持地域范围内“主动”收集的用户个人信息外，OpenAI将也有可能“被动”收集到范围之外的个人信息。众所周知，ChatGPT背后连接着大量的语料库进行模型训练，而庞大的语料库中将有可能涉及来自全球各地的已公开的个人信息；与此同时，大量支持地域范围外的用户也会通过各种技术措施绕开网站限制以使用ChatGPT服务。

针对这部分或“主动”或“被动”收集的个人信息，OpenAI所应适用的司法管辖权范围究竟有哪些？

一、OpenAI“主动”收集个人信息项下的司法管辖权

根据《隐私政策》，国际用户的个人信息将从其所在地传输至位于美国的设备和服务器中。但对于除OpenAI本身所在的美国及前述支持地域以外的国际用户个人信息处理（包含数据跨境传输）的合规性基础，《隐私政策》并未予以明确。

640 (3).png

以OpenAI支持的地区之一新加坡为例，根据其数据保护法案（Personal Data Protection Act 2012，下称“PDPA”），任何组织，无论是否依据新加坡法律成立，只要涉及在新加坡处理个人信息或处理新加坡居民个人信息，均需受制于PDPA的规定；且任何组织不得将任何个人信息转移到新加坡以外的国家或地区，除非具备对应合法性依据（如获得个人同意、确保数据接收国可以提供与PDPA同等级别的数据保护等）。显然，OpenAI落入在PDPA的约束范围之内，理应遵从PDPA的相关规定。

但即便是面向欧洲用户，OpenAI亦未完全遵循GDPR。根据GDPR第12条规定的透明度原则，数据控制者应当以简明、透明、可理解和容易获得的形式，使用清晰和通俗的语言向数据主体提供相关信息。但OpenAI的《隐私政策》仅有英文版本，并未根据欧盟用户适用的其他官方语言进行呈现（如法语、德语等），若数据主体不能理解其提供的隐私政策内容，则显然已违反GDPR的规定。

640 (4).png

二、OpenAI“被动”收集个人信息项下的司法管辖权

对于支持地域范围外“被动”收集的个人信息，OpenAI是否需要受制于该等地域范围内的司法管辖权？

答案是不一定，取决于该国有关域外管辖权的具体规定。

以中国香港地区为例，《个人资料（私隐）条例》仅适用于在香港或从香港控制个人信息的个人信息处理者，没有域外管辖权的规定。OpenAI的运营主体并不在中国香港地区，且其个人信息处理的全生命周期（收集、持有、处理和使用）中也没有任何部分发生在香港，因而不适用于《个人资料（私隐）条例》的规定。

而以中国大陆地区为例，其虽然在《个人信息保护法》中规定了域外管辖权，但OpenAI是否适用，还需具体进行分析。

根据《个人信息保护法》的规定，在境外处理境内自然人个人信息的活动，有下列情形之一的，将受制于境内法律管辖：（一）以向境内自然人提供产品或者服务为目的；（二）分析、评估境内自然人的行为；（三）法律、行政法规规定的其他情形。

显然，OpenAI并不符合第一项的规定，其支持的国家和地区范围中并不包含中国大陆，且已通过IP地址拦截阻止中国大陆用户访问其网站；其也不符合第三项的兜底规定。

至于第二项，《个人信息保护法》并未对这一行为的具体涵义作解释，但一般认为是对标GDPR第3.2条关于域外效力的规定3，即在欧盟之外设立的数据控制者/处理者处理欧盟数据主体的个人信息是为了对发生在欧盟范围内的数据主体的活动进行监测（monitor）的，则受GDPR管辖。根据GDPR对于该条的注解，当确定一项处理活动是否构成监测行为时，应确定自然人是否在互联网上被其跟踪（包括对自然人进行画像分析（profiling）），尤其是否是为了作出有关自然人的决定，或为了分析或预测自然人的个人偏好、行为和态度。还原到OpenAI场景，其或主动或被动收集的用户个人信息，并非是以分析、评估境内自然人的行为为目的，因而也不符合第二项的规定。

因此，基于当前阶段的业务模式，OpenAI并不符合中国大陆地区的域外管辖权规则，不受制于《个人信息保护法》等境内法律的管辖。

结语：

回到本文最开始提出的问题：提供全球服务，ChatGPT仅遵守美国法律就够了吗？

答案是否定的。

对于类OpenAI企业，如若涉及到面向全球提供服务，就应当了解国际上主要国家和地区的司法管辖权规则（尤其是域外管辖权规则），充分尊重和保护对应国家和地区的用户个人信息权益，了解并遵守上述国家和地区与数据保护（含数据跨境传输）、个人信息保护相关的法律法规，在此基础上完善自身的《用户使用协议》和《隐私政策》，为全球用户提供更加安全、可靠的服务；否则应当限定用户注册和使用的地域范围，并通过IP地址检测等方式进行拦截，以证明自己不存在主动收集并处理对应国家或地区用户个人信息的主观意愿。

同时，类OpenAI企业可以在技术层面采取相应保护措施，例如采取数据本地化存储、数据加密传输等方式，定期进行个人信息保护影响评估与数据安全审计等，以确保用户数据的安全性。

参考文献：

[1]Privacy policy (Updated Apirl 27,2023),

https://openai.com/policies/privacy-policy, 2023年5月3日第一次访问。

[2]Supported countries and territories,

https://platform.openai.com/docs/supported-countries, 2023年5月3日第一次访问。

[3]程啸，《个人信息保护法理解与适用》，中国法制出版社。