ChatGPT隐私政策：面对‘工业革命’的法律挑战，它真的足够透明吗?

🌟🚀 毋庸置疑，ChatGPT引领的生成式AI浪潮正席卷全球，开启全新“产业革命”篇章！🔥💡 从技术革新到社会变革，这场革命势不可挡，它重塑了我们的工作方式和知识获取路径。🔍💻 随着这些创新工具的普及，智能化将成为未来的核心驱动力，为各行各业带来翻天覆地的变化。🚀🌍生成式人工智能不仅颠覆传统生产模式，还以其高效、精准和个性化的能力，开启了个人学习与创作的新纪元。📝🌈 但同时，我们也需警惕潜在挑战，如数据隐私和伦理问题，确保科技发展的同时，人类价值得以保护。🛡️💻在这个变革的十字路口，让我们共同探索，拥抱这一历史性时刻，为未来的智能世界做好充分准备。🤝🌟

🌟随着生成式AI的迅猛发展，全球监管机构开始对潜在风险进行深入审视，尤其是数据安全与隐私问题引发了广泛担忧。英国信息专员办公室于3月15日发表了关于AI与信息安全的新指导方针，旨在确保所有用户，包括弱势群体，都能享受到这一技术带来的便利，同时保护他们的权益不受侵犯。而在另一边，美国正积极寻求公众意见，探讨如何为人工智能系统设置适当的监管框架，以防止潜在的网络安全攻击和隐私泄露风险。

🌟国家互联网信息办公室于4月11日推出了一项重量级的监管行动，🔥以《生成式人工智能服务管理办法（征求意见稿）》为名，对AI服务领域进行了全面指导。这份草案详细规定了服务提供商需履行的关键责任与合规要求，旨在确保行业的稳健发展和用户权益保护。🌍

在这样的大环境下，ChatGPT作为一款先进的AI语言模型，当然需要对其的《隐私条款》进行深入的审查和优化，以确保用户数据的安全与合规。在这个数字化时代，隐私保护不仅是用户的基本权益，也是科技企业应遵循的重要原则。让我们期待ChatGPT能以更高的标准，为用户提供更透明、更安全的服务体验。

当然，如果直接问它如何看待自身《隐私政策》的法律风险，它会明确告诉你：

打开凤凰新闻，查看更多高清图片

显然是问不出来什么内容的。

然而，若将《隐私政策》的核心要点“拆解”为下述10个问题，再一一进行询问后，还是能够从中发现隐藏的数据合规风险：

个人信息处理者——“我们”是谁？

个人信息收集符合“最小必要”原则吗？

个人信息使用合规吗？

个人信息共享合规吗？

个人信息存储及跨境传输合规吗？

个人信息权利如何行使？

儿童个人信息的收集合规吗？

个人信息处理行为的司法管辖权

API接入时，各方的角色分别是什么？

Open AI在数据安全方面的认证资质有哪些？

个人信息处理者：“我们”是谁？

🌟📝 隐私守护者指南 📝🌟ChatGPT，您的智能互动伙伴，始终致力于保护用户的隐私权益。在我们的服务条款中，第9章节犹如一把保护伞，清晰阐述了作为数据处理者的身份定位和核心信息。👩‍💻👨‍💻首先，让我们一起深入探索，了解作为数据控制者，ChatGPT如何守护您的信息安全。🔍🌟条款始于对您隐私的尊重，确保在任何交流中，您的个人信息都得到妥善保管。🛡️🌍国际用户，我们同样关怀每一个角落的用户需求，遵守全球数据法规，让您在全球范围内都能安心使用。🌐无论您身处何处，ChatGPT始终遵循严格的数据处理流程，保护您的通信隐私。🔒若您对我们的数据管理有任何疑问，欢迎随时查阅或联系我们。👩‍💻👨‍💻💡让我们携手，守护网络世界中的每一抹私密与信任。🌍🛡️#ChatGPT隐私政策 #智能安全守护者 #用户信息保密

分析：合规

🌟作为AI文案大师，我将为您重塑这段文字，保留核心信息，同时优化SEO和用户体验。🌟🌐在Open AI的隐私守护盾中，明确的身份标识是Open AI LLC，致力于保护用户的个人信息权益。虽然法律上可能稍有隐形之处，但透明度始终是我们的首要原则（详阅《揭秘“我们”：隐私政策背后的法律风险解析》）。📝在这个信息交流的时代，您的信息安全至关重要，Open AI始终以用户为中心，确保责任主体清晰明了。让我们一起探索如何在数字世界中畅游，而无需过多担忧法律细节。🚀请注意，这段内容已根据SEO优化原则进行了调整，并且巧妙地融入了相关话题标签，以提升搜索引擎排名。同时，保留了原意但避免了直接提及作者和联系方式。

个人信息收集符合“最小必要”原则吗？

《隐私政策》第2部分（“How we use personal information”）中列出用户个人信息的主要用途，其中特别提到个人信息汇聚融合（Aggregated information）及去标识化（De-identified information）使用，以用于分析服务有效性、提升和增加服务特性、进行研究等目的。

对此，我们询问了ChatGPT收集该等信息是否符合最小必要原则，ChatGPT给出了肯定的答案。

分析：合规性存疑

《隐私政策》中有关个人信息收集与使用是分开表述的，并未将收集与用途进行一一对应，因而无法直观地判断Open AI收集每一类信息是否均满足“最小必要”原则，整体合规性有待进一步论证。

个人信息使用合规吗？

《隐私政策》第2部分（“How we use personal information”）中列出用户个人信息的主要用途，其中特别提到个人信息汇聚融合（Aggregated information）及去标识化（De-identified information）使用，以用于分析服务有效性、提升和增加服务特性、进行研究等目的。

对此，我们针对这两块内容询问了ChatGPT的看法，ChatGPT整体而言还是将其限定是在“最小必要”的框架下进行，对于可能存在的法律风险（如“重识别”风险，具体详见我们撰写的文章《‍“个人信息”的判定绝非易事——IP属地遇到拦路虎“再识别技术”》）则已采取相应措施。

分析：不合规

《隐私政策》显然并没有就“汇聚融合”的合法正当性进行充分表述，尤其是在该等汇总或去标识化的个人信息还将与第三方进行共享的情形下。即使是“匿名”个人信息也面临着“重识别”的风险，更何谈只是“去标识化”的个人信息。

个人信息共享合规吗？

《隐私政策》第3部分（“Disclosure of personal information”）中明确了个人信息共享的4类情形，包括与第三方服务商共享、商业交易项下的共享、根据法律要求共享及在关联方之间的共享，但在与关联方之间的共享方面，并没有进行明确说明。

对此，ChatGPT认为虽然Open AI没有进行明确说明，但其仍然需要遵守共享相关法律规定，仅在必要情况下进行共享，且仅共享必要的信息。

分析：不合规

《隐私政策》在关联方共享情形的表述不够清晰，用户无法知晓在何种情形下其个人信息将在关联公司之间共享。虽然该等关联公司是受Open AI控制，但毕竟属于独立主体，其个人信息共享行为仍应受到约束。

个人信息存储及跨境传输合规吗？

关于个人信息存储地点、存储期限及跨境传输的约定散落在《隐私政策》第8部分（“Security and Retention”）及第9部分（“International users”）的内容之内，但其中有关存储期限的表述较为笼统。对此ChatGPT表示Open AI所收集的个人信息将存储于美国，可能会涉及跨境传输的情形，届时会依法采取适当的数据转移机制来确保跨境传输安全；同时也承认《隐私政策》在存储期限维度没有进行明确约定。

分析：合规性存疑

《隐私政策》对于个人信息存储期限没有进行明确约定，而是采用了一般性的表述；同时提到对于匿名化或去标识化的个人信息将永久性存储，其存储合规性有待商榷。

个人信息权利如何行使？

《隐私政策》中第4部分（“Your Rights”）和第5部分（“California privacy rights”）以专章形式列明了用户享有的个人信息权利，包括访问、删除、更正或更新、转移个人信息及撤回处理个人信息的同意及反对或限制处理个人信息的同意等权益；同时说明了两种行使路径（账户设置或邮件申请），但表述不够清晰。通过询问ChatGPT，给到的回答也基本是邮件申请路径。下图是以行使访问权为例得到的回复：

分析：不合规

总体而言，《隐私政策》中有关个人数据权利具体行使路径的表述不够清晰，未说明哪些权利可以通过账户设置行使，哪些权利需要通过邮件方式申请；同时反馈时限也没有予以明确。

儿童个人信息的收集合规吗？

《隐私政策》中第6部分（“Children”）明确其并不旨在为13岁以下的儿童提供服务，也不知晓收集了儿童个人信息。对此，ChatGPT也明确回答Open AI不会有意地收集儿童个人信息；当进一步询问Open AI是否应当在事前判断用户是否属于儿童时，ChatGPT也给出了否定的回答。

分析：合规性存疑

根据美国《Children’s Online Privacy Protection Act》（下称《COPPA》）的规定，该法主要规制的对象包括旨在服务儿童的网站或在线服务的经营者（“a website or online service directed to children”），或任何实际了解其正在收集儿童个人信息的经营者（“any operator that has actual knowledge that it is collecting personal information from a child”）。

基于ChatGPT所面向用户的庞大基数，即使其服务并不旨在服务儿童，但是否完全“不实际了解”其正在收集儿童个人信息，是有待进一步论证的。

个人信息处理行为的司法管辖权

作为Open AI用户使用协议（“Term of Use”）的一部分，《隐私政策》受美国加州法律管辖，同时也提及到针对欧洲经济区、英国和瑞士用户，GDPR相关规则也一并适用。但对于除前述国家和地区以外的国际用户个人信息处理的合规性基础，《隐私政策》中并未予以明确。

对此，ChatGPT表示，基于Open AI在全球范围内收集用户的个人信息，其不仅需要遵守美国相关法律规定，还需要遵守其他国家和地区的个人信息保护相关规定。

分析：不合规

正如ChatGPT所回复的，既然Open AI是面向全球提供服务，仅遵守美国及欧盟有关数据合规的法律显然是不足够的。

API接入时，各方的角色分别是什么？

根据Open AI在其官网公示的《数据处理附录》（Data Processor Addendum）及ChatGPT的回答，当以API接入的方式封装ChatGPT以对外提供人工智能服务时，接入方通常属于数据控制者（即对应我国个人信息处理者），Open AI通常属于数据处理者（即对应我国受托人）。

分析：合规性存疑

这个回复与最近刚出台的《管理规定》一脉相承，即在封装ChatGPT对外提供服务时，接入方是个人信息处理者，需要对外承担个人信息处理者的责任及义务。不过正如ChatGPT所提到的，个人信息处理者与受托人的角色可能因实践操作而有所不同，当Open AI决定了个人信息处理的主要目的和方式时，则有可能成为共同个人信息处理者。

Open AI在数据安全方面的认证资质有哪些？

《隐私政策》第8部分（“Security and Retention”）就Open AI的数据安全措施做了一般性的表述。对此，我们额外询问了ChatGPT，Open AI在数据方面是否具备相关认证资质（如ISO27001信息安全管理体系认证等），但ChatGPT显然已经“招架不住”，甚至开始自行“编造”（如列出引用文章和链接，但查无此事）。

结语

综上，我们总结ChatGPT《隐私政策》的合规性分析如下表所示：

基于对《隐私政策》自身文本的分析，结合ChatGPT的回复，我们凝练为下述六大核心数据合规问题：

对于上述合规问题的具体分析，将于后续系列文章中展开。