文章主题:生成式人工智能, ChatGPT, 隐私政策, 个人信息保护
本文来自微信公众号:新经济风控官(ID:gh_32c83ce4147b),作者:高亚平(德恒上海律师事务所合伙人)、纪倩,原文标题:《AIGC 照镜子 ( 一 ) :ChatGPT 如何看待自身〈隐私政策〉?》,题图来自:视觉中国
无可置疑,一系列以ChatGPT为首的生成性人工智能产品陆续问世,预示着我们将迎来新一轮的”工业革命”。
尽管生成式人工智能呈现出爆发式增长,但这也引发了全球各地监管机构对商业秘密泄露、个人信息泄露以及网络安全攻击等问题的深入思考。例如,英国信息专员办公室于3月15日发布了更新的人工智能与信息保护指南,以确保英国用户(包括弱势群体)权益得到保障。与此同时,美国也在积极寻求公众对人工智能系统潜在问责措施的意见。
为回应此问题,我国相关监管部门已采取相应措施。4月11日,国家互联网信息办公室发布了一项名为《生成式人工智能服务管理办法(征求意见稿)》的政策(以下称为《管理办法》)。该文件明确规定了服务提供商在提供生成式人工智能服务过程中需要履行的责任与义务。
在当前的环境下,ChatGPT 作为一种领先的人工智能语言模型,必须对其自身的《隐私政策》1进行全面审查。
当然,如果直接问它如何看待自身《隐私政策》的法律风险,它会明确告诉你:
显然是问不出来什么内容的。然而,若将《隐私政策》的核心要点” 拆解 ” 为下述 10 个问题,再一一进行询问后,还是能够从中发现隐藏的数据合规风险:
个人信息处理者—— ” 我们 ” 是谁?
个人信息收集符合 ” 最小必要 ” 原则吗?
个人信息使用合规吗?
个人信息共享合规吗?
个人信息存储及跨境传输合规吗?
个人信息权利如何行使?
儿童个人信息的收集合规吗?
个人信息处理行为的司法管辖权
API 接入时,各方的角色分别是什么?
Open AI 在数据安全方面的认证资质有哪些?
个人信息处理者:” 我们 ” 是谁?
《隐私政策》在开篇及第 9 部分(”International users”)中明确了自己作为数据控制者的身份及具体的主体信息,与 ChatGPT 的回答一致。分析:合规Open AI 已在《隐私政策》中表明 ” 我们 ” 的身份,即 Open AI, L.L.C,并未将相关的关联公司等主体一并列上,整体而言,个人信息处理者的角色主体清晰。(其中关于 ” 我们 ” 不清所涉的法律风险,详见《〈个人信息保护法〉实施 1.5 年,再看平台隐私政策中 ” 我们 ” 是谁?》)。
《隐私政策》第 2 部分(”How we use personal information”)中列出用户个人信息的主要用途,其中特别提到个人信息汇聚融合(Aggregated information)及去标识化(De-identified information)使用,以用于分析服务有效性、提升和增加服务特性、进行研究等目的。在探讨这个问题时,我们向 ChatGPT 咨询了关于收集这些信息是否遵循最小必要原则的问题。ChatGPT 明确地回答说,它确实符合这一原则。
分析:合规性存疑《隐私政策》中有关个人信息收集与使用是分开表述的,并未将收集与用途进行一一对应,因而无法直观地判断 Open AI 收集每一类信息是否均满足 ” 最小必要 ” 原则,整体合规性有待进一步论证。
个人信息使用合规吗?
《隐私政策》第 2 部分(”How we use personal information”)中列出用户个人信息的主要用途,其中特别提到个人信息汇聚融合(Aggregated information)及去标识化(De-identified information)使用,以用于分析服务有效性、提升和增加服务特性、进行研究等目的。对此,我们针对这两块内容询问了 ChatGPT 的看法,ChatGPT 整体而言还是将其限定是在 ” 最小必要 ” 的框架下进行,对于可能存在的法律风险(如 ” 重识别 ” 风险,具体详见我们撰写的文章《” 个人信息 ” 的判定绝非易事—— IP 属地遇到拦路虎 ” 再识别技术 “》)则已采取相应措施。
分析:不合规《隐私政策》显然并没有就 ” 汇聚融合 ” 的合法正当性进行充分表述,尤其是在该等汇总或去标识化的个人信息还将与第三方进行共享的情形下。即使是 ” 匿名 ” 个人信息也面临着 ” 重识别 ” 的风险,更何谈只是 ” 去标识化 ” 的个人信息。
《隐私政策》第 3 部分(”Disclosure of personal information”)中明确了个人信息共享的 4 类情形,包括与第三方服务商共享、商业交易项下的共享、根据法律要求共享及在关联方之间的共享,但在与关联方之间的共享方面,并没有进行明确说明。ChatGPT 对于这个问题持有观点,尽管 Open AI 没有做出明确的解释,但这并不意味着他们可以忽视相关的法律规定。根据这些规定,只有在真正必要的场合下,Open AI 才会进行信息共享,而且会确保只分享那些必需的信息。
《隐私政策》在关联方共享情形的表述不够清晰,用户无法知晓在何种情形下其个人信息将在关联公司之间共享。虽然该等关联公司是受 Open AI 控制,但毕竟属于独立主体,其个人信息共享行为仍应受到约束。个人信息存储及跨境传输合规吗?
关于个人信息存储地点、存储期限及跨境传输的约定散落在《隐私政策》第 8 部分(”Security and Retention”)及第 9 部分(”International users”)的内容之内,但其中有关存储期限的表述较为笼统。对此 ChatGPT 表示 Open AI 所收集的个人信息将存储于美国,可能会涉及跨境传输的情形,届时会依法采取适当的数据转移机制来确保跨境传输安全;同时也承认《隐私政策》在存储期限维度没有进行明确约定。《隐私政策》对于个人信息存储期限没有进行明确约定,而是采用了一般性的表述;同时提到对于匿名化或去标识化的个人信息将永久性存储,其存储合规性有待商榷。个人信息权利如何行使?
《隐私政策》中第 4 部分(”Your Rights”)和第 5 部分(”California privacy rights”)以专章形式列明了用户享有的个人信息权利,包括访问、删除、更正或更新、转移个人信息及撤回处理个人信息的同意及反对或限制处理个人信息的同意等权益;同时说明了两种行使路径(账户设置或邮件申请),但表述不够清晰。通过询问 ChatGPT,给到的回答也基本是邮件申请路径。下图是以行使访问权为例得到的回复:总体而言,《隐私政策》中有关个人数据权利具体行使路径的表述不够清晰,未说明哪些权利可以通过账户设置行使,哪些权利需要通过邮件方式申请;同时反馈时限也没有予以明确。儿童个人信息的收集合规吗?
《隐私政策》中第 6 部分(”Children”)明确其并不旨在为 13 岁以下的儿童提供服务,也不知晓收集了儿童个人信息。对此,ChatGPT 也明确回答 Open AI 不会有意地收集儿童个人信息;当进一步询问 Open AI 是否应当在事前判断用户是否属于儿童时,ChatGPT 也给出了否定的回答。分析:合规性存疑根据美国《Children ’ s Online Privacy Protection Act》(下称《COPPA》)的规定,该法主要规制的对象包括旨在服务儿童的网站或在线服务的经营者(”a website or online service directed to children”),或任何实际了解其正在收集儿童个人信息的经营者(”any operator that has actual knowledge that it is collecting personal information from a child”)。
基于 ChatGPT 所面向用户的庞大基数,即使其服务并不旨在服务儿童,但是否完全 ” 不实际了解 ” 其正在收集儿童个人信息,是有待进一步论证的。
个人信息处理行为的司法管辖权
作为 Open AI 用户使用协议(”Term of Use”)的一部分,《隐私政策》受美国加州法律管辖,同时也提及到针对欧洲经济区、英国和瑞士用户,GDPR 相关规则也一并适用。但对于除前述国家和地区以外的国际用户个人信息处理的合规性基础,《隐私政策》中并未予以明确。
对此,ChatGPT 表示,基于 Open AI 在全球范围内收集用户的个人信息,其不仅需要遵守美国相关法律规定,还需要遵守其他国家和地区的个人信息保护相关规定。
正如 ChatGPT 所回复的,既然 Open AI 是面向全球提供服务,仅遵守美国及欧盟有关数据合规的法律显然是不足够的。API 接入时,各方的角色分别是什么?
根据 Open AI 在其官网公示的《数据处理附录》(Data Processor Addendum)及 ChatGPT 的回答,当以 API 接入的方式封装 ChatGPT 以对外提供人工智能服务时,接入方通常属于数据控制者(即对应我国个人信息处理者),Open AI 通常属于数据处理者(即对应我国受托人)。
这个回复与最近刚出台的《管理规定》一脉相承,即在封装 ChatGPT 对外提供服务时,接入方是个人信息处理者,需要对外承担个人信息处理者的责任及义务。不过正如 ChatGPT 所提到的,个人信息处理者与受托人的角色可能因实践操作而有所不同,当 Open AI 决定了个人信息处理的主要目的和方式时,则有可能成为共同个人信息处理者。Open AI 在数据安全方面的认证资质有哪些?
《隐私政策》第 8 部分(”Security and Retention”)就 Open AI 的数据安全措施做了一般性的表述。对此,我们额外询问了 ChatGPT,Open AI 在数据方面是否具备相关认证资质(如 ISO27001 信息安全管理体系认证等),但 ChatGPT 显然已经 ” 招架不住 “,甚至开始自行 ” 编造 “(如列出引用文章和链接,但查无此事)。
结语综上,我们总结 ChatGPT《隐私政策》的合规性分析如下表所示:
基于对《隐私政策》自身文本的分析,结合 ChatGPT 的回复,我们凝练为下述六大核心数据合规问题:对于上述合规问题的具体分析,将于后续系列文章中展开。引用: [ 1 ] Privacy policy ( Updated Apirl 7,2023 ) ,https://openai.com/policies/privacy-policy, 2023 年 4 月 16 日访问。
本文来自微信公众号:新经济风控官(ID:gh_32c83ce4147b),作者:高亚平(德恒上海律师事务所合伙人)、纪倩
AI时代,拥有个人微信机器人AI助手!AI时代不落人后!
免费ChatGPT问答,办公、写作、生活好得力助手!
搜索微信号aigc666aigc999或上边扫码,即可拥有个人AI助手!