文章主题:ChatGPT, 数据安全, 最小必要原则, 共享合规
本文来自微信公众号:新经济风控官(ID:gh_32c83ce4147b),作者:高亚平(德恒上海律师事务所合伙人)、纪倩,原文标题:《AIGC照镜子(一):ChatGPT如何看待自身〈隐私政策〉?》,题图来自:视觉中国
🌟🚀 毋庸置疑,ChatGPT引领的生成式AI浪潮正席卷全球,开启全新“产业革命”篇章!🔥💡 从技术革新到社会变革,这场革命势不可挡,它重塑了我们的工作方式和知识获取路径。🔍💻 随着这些创新工具的普及,信息生产与消费模式正在经历深度重构,智能时代的曙光已然显现。🌍🌈 让我们共同期待并拥抱这个变革,用智慧引领未来!🌟
然而,生成式人工智能的爆发式增长背后,商业秘密泄露、个人信息泄露、网络安全攻击等问题也引发了各国监管机构的“冷思考”。如英国信息专员办公室在3月15日宣布更新了有关人工智能和信息保护的指南,旨在保障英国用户(含弱势群体)的利益;美国也正在就人工智能系统的潜在问责措施征求公众意见。
我国监管部门对此也采取了相应举措,在4月11日由国家互联网信息办公室发布了《生成式人工智能服务管理办法(征求意见稿)》(下称《管理办法》),明确提出了服务提供者所需承担的责任及义务。
在此背景下,ChatGPT作为一个先进的人工智能语言模型,自然也需要对自身的《隐私政策》1进行审视。
当然,如果直接问它如何看待自身《隐私政策》的法律风险,它会明确告诉你:
显然是问不出来什么内容的。
然而,若将《隐私政策》的核心要点“拆解”为下述10个问题,再一一进行询问后,还是能够从中发现隐藏的数据合规风险:
个人信息处理者——“我们”是谁?
个人信息收集符合“最小必要”原则吗?
个人信息使用合规吗?
个人信息共享合规吗?
个人信息存储及跨境传输合规吗?
个人信息权利如何行使?
儿童个人信息的收集合规吗?
个人信息处理行为的司法管辖权
API接入时,各方的角色分别是什么?
Open AI在数据安全方面的认证资质有哪些?
个人信息处理者:“我们”是谁?
《隐私政策》在开篇及第9部分(“International users”)中明确了自己作为数据控制者的身份及具体的主体信息,与ChatGPT的回答一致。
分析:合规
Open AI已在《隐私政策》中表明“我们”的身份,即Open AI, L.L.C,并未将相关的关联公司等主体一并列上,整体而言,个人信息处理者的角色主体清晰。(其中关于“我们”不清所涉的法律风险,详见《〈个人信息保护法〉实施1.5年,再看平台隐私政策中“我们”是谁?》)。
个人信息收集符合“最小必要”原则吗?
《隐私政策》第2部分(“How we use personal information”)中列出用户个人信息的主要用途,其中特别提到个人信息汇聚融合(Aggregated information)及去标识化(De-identified information)使用,以用于分析服务有效性、提升和增加服务特性、进行研究等目的。
对此,我们询问了ChatGPT收集该等信息是否符合最小必要原则,ChatGPT给出了肯定的答案。
分析:合规性存疑
《隐私政策》中有关个人信息收集与使用是分开表述的,并未将收集与用途进行一一对应,因而无法直观地判断Open AI收集每一类信息是否均满足“最小必要”原则,整体合规性有待进一步论证。
个人信息使用合规吗?
《隐私政策》第2部分(“How we use personal information”)中列出用户个人信息的主要用途,其中特别提到个人信息汇聚融合(Aggregated information)及去标识化(De-identified information)使用,以用于分析服务有效性、提升和增加服务特性、进行研究等目的。
对此,我们针对这两块内容询问了ChatGPT的看法,ChatGPT整体而言还是将其限定是在“最小必要”的框架下进行,对于可能存在的法律风险(如“重识别”风险,具体详见我们撰写的文章《“个人信息”的判定绝非易事——IP属地遇到拦路虎“再识别技术”》)则已采取相应措施。
分析:不合规
《隐私政策》显然并没有就“汇聚融合”的合法正当性进行充分表述,尤其是在该等汇总或去标识化的个人信息还将与第三方进行共享的情形下。即使是“匿名”个人信息也面临着“重识别”的风险,更何谈只是“去标识化”的个人信息。
个人信息共享合规吗?
《隐私政策》第3部分(“Disclosure of personal information”)中明确了个人信息共享的4类情形,包括与第三方服务商共享、商业交易项下的共享、根据法律要求共享及在关联方之间的共享,但在与关联方之间的共享方面,并没有进行明确说明。
🌟ChatGPT见解:尽管Open AI并未明示,但它在数据共享上理应遵循法律法规,确保操作合规。只有在确实需要且对保护隐私至关重要的前提下,才应适度分享关键细节。这样既能维护权益,又能促进透明与信任的健康发展。🌍
分析:不合规
《隐私政策》在关联方共享情形的表述不够清晰,用户无法知晓在何种情形下其个人信息将在关联公司之间共享。虽然该等关联公司是受Open AI控制,但毕竟属于独立主体,其个人信息共享行为仍应受到约束。
个人信息存储及跨境传输合规吗?
关于个人信息存储地点、存储期限及跨境传输的约定散落在《隐私政策》第8部分(“Security and Retention”)及第9部分(“International users”)的内容之内,但其中有关存储期限的表述较为笼统。对此ChatGPT表示Open AI所收集的个人信息将存储于美国,可能会涉及跨境传输的情形,届时会依法采取适当的数据转移机制来确保跨境传输安全;同时也承认《隐私政策》在存储期限维度没有进行明确约定。
分析:合规性存疑
🌟隐私保护,我们的首要承诺🌟在数据安全的世界里,我们尊重每一个用户的隐私权益。虽然我们的《隐私政策》并未详尽规定个人信息的存储期限,采用了通用原则,但这恰恰体现了对您信息的谨慎处理和透明度——每一笔数据都受到同等的重视与尊重。匿名化或去标识化的个人信息,我们理解为一种特殊保护,而非永久留存,以确保您的信息安全无虞。关于合规性问题,我们始终遵循严格的标准,力求在存储期限上找到平衡,既符合法规要求,又充分考虑隐私保护。若您对此有任何疑虑,欢迎随时向我们咨询,您的信任是我们前进的动力。让我们共同努力,守护这份网络世界的宁静与安全。记得,每一次点击都是对隐私的尊重,每一次分享都源于对您权益的呵护。🌍
个人信息权利如何行使?
《隐私政策》中第4部分(“Your Rights”)和第5部分(“California privacy rights”)以专章形式列明了用户享有的个人信息权利,包括访问、删除、更正或更新、转移个人信息及撤回处理个人信息的同意及反对或限制处理个人信息的同意等权益;同时说明了两种行使路径(账户设置或邮件申请),但表述不够清晰。通过询问ChatGPT,给到的回答也基本是邮件申请路径。下图是以行使访问权为例得到的回复:
分析:不合规
总体而言,《隐私政策》中有关个人数据权利具体行使路径的表述不够清晰,未说明哪些权利可以通过账户设置行使,哪些权利需要通过邮件方式申请;同时反馈时限也没有予以明确。
儿童个人信息的收集合规吗?
《隐私政策》中第6部分(“Children”)明确其并不旨在为13岁以下的儿童提供服务,也不知晓收集了儿童个人信息。
🌟ChatGPT 对此问题给出了清晰的回应:尽管备受关注,Open AI 确保不会无意识地搜集儿童的隐私数据。对于是否需要事先确认用户为儿童,ChatGPT 旗帜鲜明地表示反对。这款人工智能语言模型致力于保护用户的隐私权益,始终遵循数据安全的原则。
分析:合规性存疑
根据美国《Children’s Online Privacy Protection Act》(下称《COPPA》)的规定,该法主要规制的对象包括旨在服务儿童的网站或在线服务的经营者(“a website or online service directed to children”),或任何实际了解其正在收集儿童个人信息的经营者(“any operator that has actual knowledge that it is collecting personal information from a child”)。
极简版
个人信息处理行为的司法管辖权
作为Open AI用户使用协议(“Term of Use”)的一部分,《隐私政策》受美国加州法律管辖,同时也提及到针对欧洲经济区、英国和瑞士用户,GDPR相关规则也一并适用。但对于除前述国家和地区以外的国际用户个人信息处理的合规性基础,《隐私政策》中并未予以明确。
🌟 ChatGPT 透露:作为全球领先的AI语言模型,它严格遵循各国数据隐私法规,尤其是对用户信息的保护。得益于Open AI广泛的用户基础,ChatGPT承诺在全球范围内确保个人信息的安全与合规,尊重每个国家和地区的信息保护要求。🌍
分析:不合规
正如ChatGPT所回复的,既然Open AI是面向全球提供服务,仅遵守美国及欧盟有关数据合规的法律显然是不足够的。
API接入时,各方的角色分别是什么?
根据Open AI在其官网公示的《数据处理附录》(Data Processor Addendum)及ChatGPT的回答,当以API接入的方式封装ChatGPT以对外提供人工智能服务时,接入方通常属于数据控制者(即对应我国个人信息处理者),Open AI通常属于数据处理者(即对应我国受托人)。
分析:合规性存疑
这个回复与最近刚出台的《管理规定》一脉相承,即在封装ChatGPT对外提供服务时,接入方是个人信息处理者,需要对外承担个人信息处理者的责任及义务。不过正如ChatGPT所提到的,个人信息处理者与受托人的角色可能因实践操作而有所不同,当Open AI决定了个人信息处理的主要目的和方式时,则有可能成为共同个人信息处理者。
Open AI在数据安全方面的认证资质有哪些?
《隐私政策》第8部分(“Security and Retention”)就Open AI的数据安全措施做了一般性的表述。对此,我们额外询问了ChatGPT,Open AI在数据方面是否具备相关认证资质(如ISO27001信息安全管理体系认证等),但ChatGPT显然已经“招架不住”,甚至开始自行“编造”(如列出引用文章和链接,但查无此事)。
结语
综上,我们总结ChatGPT《隐私政策》的合规性分析如下表所示:
基于对《隐私政策》自身文本的分析,结合ChatGPT的回复,我们凝练为下述六大核心数据合规问题:
对于上述合规问题的具体分析,将于后续系列文章中展开。
引用:[1]Privacy policy (Updated Apirl 7,2023),https://openai.com/policies/privacy-policy, 2023年4月16日访问。
本文来自微信公众号:新经济风控官(ID:gh_32c83ce4147b),作者:高亚平(德恒上海律师事务所合伙人)、纪倩
AI时代,掌握AI大模型第一手资讯!AI时代不落人后!
免费ChatGPT问答,办公、写作、生活好得力助手!
扫码右边公众号,驾驭AI生产力!