文章主题:ChatGPT, AI革命, 商业秘密, 个人信息保护
本文来自微信公众号:新经济风控官(ID:gh_32c83ce4147b),作者:高亚平(德恒上海律师事务所合伙人)、纪倩,原文标题:《AIGC 照镜子 ( 一 ) :ChatGPT 如何看待自身〈隐私政策〉?》,题图来自:视觉中国
🌟🚀ChatGPT引领新工业革命浪潮,AI创新颠覆传统认知🔥🔍在这个数字化时代,技术的迭代犹如疾风骤雨,ChatGPT等生成式人工智能产品的横空出世,无疑为全球带来了前所未有的变革风暴。它们以超乎想象的速度和广度,重塑着各行各业的工作模式,开启了一场深刻的”智能革命”。🚀💼从教育到医疗,从娱乐到生产,每个领域都在感受这场革命的洗礼。生成内容、辅助决策、自动化任务,AI的力量正在以前所未有的方式渗透日常生活,让创新触手可及。💻📈然而,这并非单纯的工具升级,它挑战着我们对知识和智慧的理解,推动社会结构与伦理道德的重新审视。在这个过程中,如何平衡技术发展与人类价值,成为我们必须面对的重要课题。🤔🌈作为文章写作高手,让我们紧跟时代的步伐,深入探讨这些变革背后的意义,用专业视角解读这一轮工业革命的深远影响。📚🌐#ChatGPT #AI革命 #未来工作 #知识创新
🌟生成式AI的迅猛崛起,背后隐藏着一场全球性的数据安全挑战,各国监管机构对此不得不深思熟虑。英国信息专员办公室于3月15日发表了更新版的人工智能与信息安全指南,旨在确保所有英国公民,包括弱势群体,免受潜在风险的侵害;同时,美国也在积极寻求公众意见,以制定针对AI系统的潜在责任规定,强化网络安全防护。🛡️💻
针对上述情况,国家互联网信息办公室已适时推出了一项关键法规,即《生成式人工智能服务管理办法(草案)》,旨在对相关服务提供商的行为进行规范与指导。这份征求意见稿详细列明了服务提供者的法律责任和合规要求,旨在确保人工智能服务的健康、透明发展。通过这一举措,监管机构致力于创造一个公正且有利于用户权益的环境,以促进生成式AI技术的健康发展。记得关注后续官方动态哦!🎉💡
在这样的大环境下,ChatGPT作为一款先进的AI语言模型,当然需要对其的《隐私条款》进行深入的审查与优化。这不仅是对用户数据安全的尊重,也是顺应科技伦理和法规要求的必要步骤。我们关注的是其如何保障用户信息的透明度和安全性,而非具体的个人联系方式或商业推广细节。通过这样的调整,ChatGPT不仅能提升用户体验,也能在搜索引擎优化中获得更好的排名,实现技术与合规的双重提升。
当然,如果直接问它如何看待自身《隐私政策》的法律风险,它会明确告诉你:
显然是问不出来什么内容的。
然而,若将《隐私政策》的核心要点” 拆解 ” 为下述 10 个问题,再一一进行询问后,还是能够从中发现隐藏的数据合规风险:
个人信息处理者—— ” 我们 ” 是谁?
个人信息收集符合 ” 最小必要 ” 原则吗?
个人信息使用合规吗?
个人信息共享合规吗?
个人信息存储及跨境传输合规吗?
个人信息权利如何行使?
儿童个人信息的收集合规吗?
个人信息处理行为的司法管辖权
API 接入时,各方的角色分别是什么?
Open AI 在数据安全方面的认证资质有哪些?
个人信息处理者:” 我们 ” 是谁?
《隐私政策》在开篇及第 9 部分(”International users”)中明确了自己作为数据控制者的身份及具体的主体信息,与 ChatGPT 的回答一致。分析:合规
Open AI 已在《隐私政策》中表明 ” 我们 ” 的身份,即 Open AI, L.L.C,并未将相关的关联公司等主体一并列上,整体而言,个人信息处理者的角色主体清晰。(其中关于 ” 我们 ” 不清所涉的法律风险,详见《〈个人信息保护法〉实施 1.5 年,再看平台隐私政策中 ” 我们 ” 是谁?》)。
《隐私政策》第 2 部分(”How we use personal information”)中列出用户个人信息的主要用途,其中特别提到个人信息汇聚融合(Aggregated information)及去标识化(De-identified information)使用,以用于分析服务有效性、提升和增加服务特性、进行研究等目的。
针对这一情况,我们对 ChatGPT 的数据收集行为进行了深入的探讨,发现它确实遵循了最小必要原则。下面是 ChatGPT 对此问题明确且积极的回复摘要:🌟 ChatGPT 确保在获取信息时仅限于必要的范围,以保护用户的隐私和权益。
分析:合规性存疑
《隐私政策》中有关个人信息收集与使用是分开表述的,并未将收集与用途进行一一对应,因而无法直观地判断 Open AI 收集每一类信息是否均满足 ” 最小必要 ” 原则,整体合规性有待进一步论证。
个人信息使用合规吗?
《隐私政策》第 2 部分(”How we use personal information”)中列出用户个人信息的主要用途,其中特别提到个人信息汇聚融合(Aggregated information)及去标识化(De-identified information)使用,以用于分析服务有效性、提升和增加服务特性、进行研究等目的。
对此,我们针对这两块内容询问了 ChatGPT 的看法,ChatGPT 整体而言还是将其限定是在 ” 最小必要 ” 的框架下进行,对于可能存在的法律风险(如 ” 重识别 ” 风险,具体详见我们撰写的文章《” 个人信息 ” 的判定绝非易事—— IP 属地遇到拦路虎 ” 再识别技术 “》)则已采取相应措施。
分析:不合规
《隐私政策》显然并没有就 ” 汇聚融合 ” 的合法正当性进行充分表述,尤其是在该等汇总或去标识化的个人信息还将与第三方进行共享的情形下。即使是 ” 匿名 ” 个人信息也面临着 ” 重识别 ” 的风险,更何谈只是 ” 去标识化 ” 的个人信息。
《隐私政策》第 3 部分(”Disclosure of personal information”)中明确了个人信息共享的 4 类情形,包括与第三方服务商共享、商业交易项下的共享、根据法律要求共享及在关联方之间的共享,但在与关联方之间的共享方面,并没有进行明确说明。
🌟ChatGPT持谨慎态度面对Open AI的资源共享议题,尽管后者并未明示所有细节。它坚信,任何组织在分享数据或知识时,都应遵循法律法规,确保透明度与合规性。至关重要的是,只会在确实需要的情况下进行共享,并且确保披露的信息量恰到好处,既保护隐私又利于信息流通。🚀
《隐私政策》在关联方共享情形的表述不够清晰,用户无法知晓在何种情形下其个人信息将在关联公司之间共享。虽然该等关联公司是受 Open AI 控制,但毕竟属于独立主体,其个人信息共享行为仍应受到约束。
个人信息存储及跨境传输合规吗?
关于个人信息存储地点、存储期限及跨境传输的约定散落在《隐私政策》第 8 部分(”Security and Retention”)及第 9 部分(”International users”)的内容之内,但其中有关存储期限的表述较为笼统。对此 ChatGPT 表示 Open AI 所收集的个人信息将存储于美国,可能会涉及跨境传输的情形,届时会依法采取适当的数据转移机制来确保跨境传输安全;同时也承认《隐私政策》在存储期限维度没有进行明确约定。《隐私政策》对于个人信息存储期限没有进行明确约定,而是采用了一般性的表述;同时提到对于匿名化或去标识化的个人信息将永久性存储,其存储合规性有待商榷。
个人信息权利如何行使?
《隐私政策》中第 4 部分(”Your Rights”)和第 5 部分(”California privacy rights”)以专章形式列明了用户享有的个人信息权利,包括访问、删除、更正或更新、转移个人信息及撤回处理个人信息的同意及反对或限制处理个人信息的同意等权益;同时说明了两种行使路径(账户设置或邮件申请),但表述不够清晰。通过询问 ChatGPT,给到的回答也基本是邮件申请路径。下图是以行使访问权为例得到的回复:总体而言,《隐私政策》中有关个人数据权利具体行使路径的表述不够清晰,未说明哪些权利可以通过账户设置行使,哪些权利需要通过邮件方式申请;同时反馈时限也没有予以明确。
儿童个人信息的收集合规吗?
《隐私政策》中第 6 部分(”Children”)明确其并不旨在为 13 岁以下的儿童提供服务,也不知晓收集了儿童个人信息。对此,ChatGPT 也明确回答 Open AI 不会有意地收集儿童个人信息;当进一步询问 Open AI 是否应当在事前判断用户是否属于儿童时,ChatGPT 也给出了否定的回答。分析:合规性存疑
根据美国《Children ’ s Online Privacy Protection Act》(下称《COPPA》)的规定,该法主要规制的对象包括旨在服务儿童的网站或在线服务的经营者(”a website or online service directed to children”),或任何实际了解其正在收集儿童个人信息的经营者(”any operator that has actual knowledge that it is collecting personal information from a child”)。
基于 ChatGPT 所面向用户的庞大基数,即使其服务并不旨在服务儿童,但是否完全 ” 不实际了解 ” 其正在收集儿童个人信息,是有待进一步论证的。
个人信息处理行为的司法管辖权
作为 Open AI 用户使用协议(”Term of Use”)的一部分,《隐私政策》受美国加州法律管辖,同时也提及到针对欧洲经济区、英国和瑞士用户,GDPR 相关规则也一并适用。但对于除前述国家和地区以外的国际用户个人信息处理的合规性基础,《隐私政策》中并未予以明确。
对此,ChatGPT 表示,基于 Open AI 在全球范围内收集用户的个人信息,其不仅需要遵守美国相关法律规定,还需要遵守其他国家和地区的个人信息保护相关规定。
正如 ChatGPT 所回复的,既然 Open AI 是面向全球提供服务,仅遵守美国及欧盟有关数据合规的法律显然是不足够的。
API 接入时,各方的角色分别是什么?
根据 Open AI 在其官网公示的《数据处理附录》(Data Processor Addendum)及 ChatGPT 的回答,当以 API 接入的方式封装 ChatGPT 以对外提供人工智能服务时,接入方通常属于数据控制者(即对应我国个人信息处理者),Open AI 通常属于数据处理者(即对应我国受托人)。
这个回复与最近刚出台的《管理规定》一脉相承,即在封装 ChatGPT 对外提供服务时,接入方是个人信息处理者,需要对外承担个人信息处理者的责任及义务。不过正如 ChatGPT 所提到的,个人信息处理者与受托人的角色可能因实践操作而有所不同,当 Open AI 决定了个人信息处理的主要目的和方式时,则有可能成为共同个人信息处理者。
Open AI 在数据安全方面的认证资质有哪些?
《隐私政策》第 8 部分(”Security and Retention”)就 Open AI 的数据安全措施做了一般性的表述。对此,我们额外询问了 ChatGPT,Open AI 在数据方面是否具备相关认证资质(如 ISO27001 信息安全管理体系认证等),但 ChatGPT 显然已经 ” 招架不住 “,甚至开始自行 ” 编造 “(如列出引用文章和链接,但查无此事)。
结语
综上,我们总结 ChatGPT《隐私政策》的合规性分析如下表所示:
基于对《隐私政策》自身文本的分析,结合 ChatGPT 的回复,我们凝练为下述六大核心数据合规问题:对于上述合规问题的具体分析,将于后续系列文章中展开。
引用: [ 1 ] Privacy policy ( Updated Apirl 7,2023 ) ,https://openai.com/policies/privacy-policy, 2023 年 4 月 16 日访问。
本文来自微信公众号:新经济风控官(ID:gh_32c83ce4147b),作者:高亚平(德恒上海律师事务所合伙人)、纪倩
AI时代,掌握AI大模型第一手资讯!AI时代不落人后!
免费ChatGPT问答,办公、写作、生活好得力助手!
扫码右边公众号,驾驭AI生产力!
Related posts
