本文來自微信公眾號：新經(jīng)濟(jì)風(fēng)控官（ID：gh_32c83ce4147b），作者：高亞平（德恒上海律師事務(wù)所合伙人）、紀(jì)倩，原文標(biāo)題：《AIGC照鏡子(一):ChatGPT如何看待自身〈隱私政策〉？》，題圖來自：視覺中國

毫無疑問，隨著以ChatGPT為首的一大批生成式人工智能產(chǎn)品相繼面世，我們正在經(jīng)歷新的一輪“工業(yè)革命”。

然而，生成式人工智能的爆發(fā)式增長背后，商業(yè)秘密泄露、個(gè)人信息泄露、網(wǎng)絡(luò)安全攻擊等問題也引發(fā)了各國監(jiān)管機(jī)構(gòu)的“冷思考”。如英國信息專員辦公室在3月15日宣布更新了有關(guān)人工智能和信息保護(hù)的指南，旨在保障英國用戶（含弱勢群體）的利益；美國也正在就人工智能系統(tǒng)的潛在問責(zé)措施征求公眾意見。

(資料圖片僅供參考)

我國監(jiān)管部門對此也采取了相應(yīng)舉措，在4月11日由國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《生成式人工智能服務(wù)管理辦法（征求意見稿）》（下稱《管理辦法》），明確提出了服務(wù)提供者所需承擔(dān)的責(zé)任及義務(wù)。

在此背景下，ChatGPT作為一個(gè)先進(jìn)的人工智能語言模型，自然也需要對自身的《隱私政策》1進(jìn)行審視。

當(dāng)然，如果直接問它如何看待自身《隱私政策》的法律風(fēng)險(xiǎn)，它會明確告訴你：

顯然是問不出來什么內(nèi)容的。

然而，若將《隱私政策》的核心要點(diǎn)“拆解”為下述10個(gè)問題，再一一進(jìn)行詢問后，還是能夠從中發(fā)現(xiàn)隱藏的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)：

個(gè)人信息處理者——“我們”是誰？ 個(gè)人信息收集符合“最小必要”原則嗎？ 個(gè)人信息使用合規(guī)嗎？ 個(gè)人信息共享合規(guī)嗎？ 個(gè)人信息存儲及跨境傳輸合規(guī)嗎？ 個(gè)人信息權(quán)利如何行使？ 兒童個(gè)人信息的收集合規(guī)嗎？ 個(gè)人信息處理行為的司法管轄權(quán) API接入時(shí)，各方的角色分別是什么？ Open AI在數(shù)據(jù)安全方面的認(rèn)證資質(zhì)有哪些？

個(gè)人信息處理者：“我們”是誰？

《隱私政策》在開篇及第9部分（“International users”）中明確了自己作為數(shù)據(jù)控制者的身份及具體的主體信息，與ChatGPT的回答一致。

分析：合規(guī)

Open AI已在《隱私政策》中表明“我們”的身份，即Open AI， L.L.C，并未將相關(guān)的關(guān)聯(lián)公司等主體一并列上，整體而言，個(gè)人信息處理者的角色主體清晰。（其中關(guān)于“我們”不清所涉的法律風(fēng)險(xiǎn)，詳見《〈個(gè)人信息保護(hù)法〉實(shí)施1.5年，再看平臺隱私政策中“我們”是誰？》）。

個(gè)人信息收集符合“最小必要”原則嗎？

《隱私政策》第2部分（“How we use personal information”）中列出用戶個(gè)人信息的主要用途，其中特別提到個(gè)人信息匯聚融合（Aggregated information）及去標(biāo)識化（De-identified information）使用，以用于分析服務(wù)有效性、提升和增加服務(wù)特性、進(jìn)行研究等目的。

對此，我們詢問了ChatGPT收集該等信息是否符合最小必要原則，ChatGPT給出了肯定的答案。

分析：合規(guī)性存疑

《隱私政策》中有關(guān)個(gè)人信息收集與使用是分開表述的，并未將收集與用途進(jìn)行一一對應(yīng)，因而無法直觀地判斷Open AI收集每一類信息是否均滿足“最小必要”原則，整體合規(guī)性有待進(jìn)一步論證。

個(gè)人信息使用合規(guī)嗎？

《隱私政策》第2部分（“How we use personal information”）中列出用戶個(gè)人信息的主要用途，其中特別提到個(gè)人信息匯聚融合（Aggregated information）及去標(biāo)識化（De-identified information）使用，以用于分析服務(wù)有效性、提升和增加服務(wù)特性、進(jìn)行研究等目的。

對此，我們針對這兩塊內(nèi)容詢問了ChatGPT的看法，ChatGPT整體而言還是將其限定是在“最小必要”的框架下進(jìn)行，對于可能存在的法律風(fēng)險(xiǎn)（如“重識別”風(fēng)險(xiǎn)，具體詳見我們撰寫的文章《?“個(gè)人信息”的判定絕非易事——IP屬地遇到攔路虎“再識別技術(shù)”》）則已采取相應(yīng)措施。

分析：不合規(guī)

《隱私政策》顯然并沒有就“匯聚融合”的合法正當(dāng)性進(jìn)行充分表述，尤其是在該等匯總或去標(biāo)識化的個(gè)人信息還將與第三方進(jìn)行共享的情形下。即使是“匿名”個(gè)人信息也面臨著“重識別”的風(fēng)險(xiǎn)，更何談只是“去標(biāo)識化”的個(gè)人信息。

個(gè)人信息共享合規(guī)嗎？

《隱私政策》第3部分（“Disclosure of personal information”）中明確了個(gè)人信息共享的4類情形，包括與第三方服務(wù)商共享、商業(yè)交易項(xiàng)下的共享、根據(jù)法律要求共享及在關(guān)聯(lián)方之間的共享，但在與關(guān)聯(lián)方之間的共享方面，并沒有進(jìn)行明確說明。

對此，ChatGPT認(rèn)為雖然Open AI沒有進(jìn)行明確說明，但其仍然需要遵守共享相關(guān)法律規(guī)定，僅在必要情況下進(jìn)行共享，且僅共享必要的信息。

分析：不合規(guī)

《隱私政策》在關(guān)聯(lián)方共享情形的表述不夠清晰，用戶無法知曉在何種情形下其個(gè)人信息將在關(guān)聯(lián)公司之間共享。雖然該等關(guān)聯(lián)公司是受Open AI控制，但畢竟屬于獨(dú)立主體，其個(gè)人信息共享行為仍應(yīng)受到約束。

個(gè)人信息存儲及跨境傳輸合規(guī)嗎？

關(guān)于個(gè)人信息存儲地點(diǎn)、存儲期限及跨境傳輸?shù)募s定散落在《隱私政策》第8部分（“Security and Retention”）及第9部分（“International users”）的內(nèi)容之內(nèi)，但其中有關(guān)存儲期限的表述較為籠統(tǒng)。對此ChatGPT表示Open AI所收集的個(gè)人信息將存儲于美國，可能會涉及跨境傳輸?shù)那樾?，屆時(shí)會依法采取適當(dāng)?shù)臄?shù)據(jù)轉(zhuǎn)移機(jī)制來確?？缇硞鬏敯踩?；同時(shí)也承認(rèn)《隱私政策》在存儲期限維度沒有進(jìn)行明確約定。

分析：合規(guī)性存疑

《隱私政策》對于個(gè)人信息存儲期限沒有進(jìn)行明確約定，而是采用了一般性的表述；同時(shí)提到對于匿名化或去標(biāo)識化的個(gè)人信息將永久性存儲，其存儲合規(guī)性有待商榷。

個(gè)人信息權(quán)利如何行使？

《隱私政策》中第4部分（“Your Rights”）和第5部分（“California privacy rights”）以專章形式列明了用戶享有的個(gè)人信息權(quán)利，包括訪問、刪除、更正或更新、轉(zhuǎn)移個(gè)人信息及撤回處理個(gè)人信息的同意及反對或限制處理個(gè)人信息的同意等權(quán)益；同時(shí)說明了兩種行使路徑（賬戶設(shè)置或郵件申請），但表述不夠清晰。通過詢問ChatGPT，給到的回答也基本是郵件申請路徑。下圖是以行使訪問權(quán)為例得到的回復(fù)：

分析：不合規(guī)

總體而言，《隱私政策》中有關(guān)個(gè)人數(shù)據(jù)權(quán)利具體行使路徑的表述不夠清晰，未說明哪些權(quán)利可以通過賬戶設(shè)置行使，哪些權(quán)利需要通過郵件方式申請；同時(shí)反饋時(shí)限也沒有予以明確。

兒童個(gè)人信息的收集合規(guī)嗎？

《隱私政策》中第6部分（“Children”）明確其并不旨在為13歲以下的兒童提供服務(wù)，也不知曉收集了兒童個(gè)人信息。對此，ChatGPT也明確回答Open AI不會有意地收集兒童個(gè)人信息；當(dāng)進(jìn)一步詢問Open AI是否應(yīng)當(dāng)在事前判斷用戶是否屬于兒童時(shí)，ChatGPT也給出了否定的回答。

分析：合規(guī)性存疑

根據(jù)美國《Children’s Online Privacy Protection Act》（下稱《COPPA》）的規(guī)定，該法主要規(guī)制的對象包括旨在服務(wù)兒童的網(wǎng)站或在線服務(wù)的經(jīng)營者（“a website or online service directed to children”），或任何實(shí)際了解其正在收集兒童個(gè)人信息的經(jīng)營者（“any operator that has actual knowledge that it is collecting personal information from a child”）。

基于ChatGPT所面向用戶的龐大基數(shù)，即使其服務(wù)并不旨在服務(wù)兒童，但是否完全“不實(shí)際了解”其正在收集兒童個(gè)人信息，是有待進(jìn)一步論證的。

個(gè)人信息處理行為的司法管轄權(quán)

作為Open AI用戶使用協(xié)議（“Term of Use”）的一部分，《隱私政策》受美國加州法律管轄，同時(shí)也提及到針對歐洲經(jīng)濟(jì)區(qū)、英國和瑞士用戶，GDPR相關(guān)規(guī)則也一并適用。但對于除前述國家和地區(qū)以外的國際用戶個(gè)人信息處理的合規(guī)性基礎(chǔ)，《隱私政策》中并未予以明確。

對此，ChatGPT表示，基于Open AI在全球范圍內(nèi)收集用戶的個(gè)人信息，其不僅需要遵守美國相關(guān)法律規(guī)定，還需要遵守其他國家和地區(qū)的個(gè)人信息保護(hù)相關(guān)規(guī)定。

分析：不合規(guī)

正如ChatGPT所回復(fù)的，既然Open AI是面向全球提供服務(wù)，僅遵守美國及歐盟有關(guān)數(shù)據(jù)合規(guī)的法律顯然是不足夠的。

API接入時(shí)，各方的角色分別是什么？

根據(jù)Open AI在其官網(wǎng)公示的《數(shù)據(jù)處理附錄》（Data Processor Addendum）及ChatGPT的回答，當(dāng)以API接入的方式封裝ChatGPT以對外提供人工智能服務(wù)時(shí)，接入方通常屬于數(shù)據(jù)控制者（即對應(yīng)我國個(gè)人信息處理者），Open AI通常屬于數(shù)據(jù)處理者（即對應(yīng)我國受托人）。

分析：合規(guī)性存疑

這個(gè)回復(fù)與最近剛出臺的《管理規(guī)定》一脈相承，即在封裝ChatGPT對外提供服務(wù)時(shí)，接入方是個(gè)人信息處理者，需要對外承擔(dān)個(gè)人信息處理者的責(zé)任及義務(wù)。不過正如ChatGPT所提到的，個(gè)人信息處理者與受托人的角色可能因?qū)嵺`操作而有所不同，當(dāng)Open AI決定了個(gè)人信息處理的主要目的和方式時(shí)，則有可能成為共同個(gè)人信息處理者。

Open AI在數(shù)據(jù)安全方面的認(rèn)證資質(zhì)有哪些？

《隱私政策》第8部分（“Security and Retention”）就Open AI的數(shù)據(jù)安全措施做了一般性的表述。對此，我們額外詢問了ChatGPT，Open AI在數(shù)據(jù)方面是否具備相關(guān)認(rèn)證資質(zhì)（如ISO27001信息安全管理體系認(rèn)證等），但ChatGPT顯然已經(jīng)“招架不住”，甚至開始自行“編造”（如列出引用文章和鏈接，但查無此事）。

結(jié)語

綜上，我們總結(jié)ChatGPT《隱私政策》的合規(guī)性分析如下表所示：

基于對《隱私政策》自身文本的分析，結(jié)合ChatGPT的回復(fù)，我們凝練為下述六大核心數(shù)據(jù)合規(guī)問題：

對于上述合規(guī)問題的具體分析，將于后續(xù)系列文章中展開。

引用：[1]Privacy policy (Updated Apirl 7，2023)，https://openai.com/policies/privacy-policy， 2023年4月16日訪問。

本文來自微信公眾號：新經(jīng)濟(jì)風(fēng)控官（ID：gh_32c83ce4147b），作者：高亞平（德恒上海律師事務(wù)所合伙人）、紀(jì)倩

本內(nèi)容為作者獨(dú)立觀點(diǎn)，不代表虎嗅立場。未經(jīng)允許不得轉(zhuǎn)載，授權(quán)事宜請聯(lián)系 hezuo@huxiu.com