拆解ChatGPT隱私政策：還有哪些合規風險？

本文來自微信公眾號：新經濟風控官（ID：gh_32c83ce4147b），作者：高亞平（德恒上海律師事務所合伙人）、紀倩，原文標題：《AIGC照鏡子(一):ChatGPT如何看待自身〈隱私政策〉？》，題圖來自：視覺中國

毫無疑問，隨著以ChatGPT為首的一大批生成式人工智能產品相繼面世，我們正在經歷新的一輪“工業革命”。

然而，生成式人工智能的爆發式增長背后，商業秘密泄露、個人信息泄露、網絡安全攻擊等問題也引發了各國監管機構的“冷思考”。如英國信息專員辦公室在3月15日宣布更新了有關人工智能和信息保護的指南，旨在保障英國用戶（含弱勢群體）的利益；美國也正在就人工智能系統的潛在問責措施征求公眾意見。

(資料圖片僅供參考)

我國監管部門對此也采取了相應舉措，在4月11日由國家互聯網信息辦公室發布了《生成式人工智能服務管理辦法（征求意見稿）》（下稱《管理辦法》），明確提出了服務提供者所需承擔的責任及義務。

在此背景下，ChatGPT作為一個先進的人工智能語言模型，自然也需要對自身的《隱私政策》1進行審視。

當然，如果直接問它如何看待自身《隱私政策》的法律風險，它會明確告訴你：

顯然是問不出來什么內容的。

然而，若將《隱私政策》的核心要點“拆解”為下述10個問題，再一一進行詢問后，還是能夠從中發現隱藏的數據合規風險：

個人信息處理者——“我們”是誰？ 個人信息收集符合“最小必要”原則嗎？ 個人信息使用合規嗎？ 個人信息共享合規嗎？ 個人信息存儲及跨境傳輸合規嗎？ 個人信息權利如何行使？ 兒童個人信息的收集合規嗎？ 個人信息處理行為的司法管轄權 API接入時，各方的角色分別是什么？ Open AI在數據安全方面的認證資質有哪些？

個人信息處理者：“我們”是誰？

《隱私政策》在開篇及第9部分（“International users”）中明確了自己作為數據控制者的身份及具體的主體信息，與ChatGPT的回答一致。

分析：合規

Open AI已在《隱私政策》中表明“我們”的身份，即Open AI， L.L.C，并未將相關的關聯公司等主體一并列上，整體而言，個人信息處理者的角色主體清晰。（其中關于“我們”不清所涉的法律風險，詳見《〈個人信息保護法〉實施1.5年，再看平臺隱私政策中“我們”是誰？》）。

個人信息收集符合“最小必要”原則嗎？

《隱私政策》第2部分（“How we use personal information”）中列出用戶個人信息的主要用途，其中特別提到個人信息匯聚融合（Aggregated information）及去標識化（De-identified information）使用，以用于分析服務有效性、提升和增加服務特性、進行研究等目的。

對此，我們詢問了ChatGPT收集該等信息是否符合最小必要原則，ChatGPT給出了肯定的答案。

分析：合規性存疑

《隱私政策》中有關個人信息收集與使用是分開表述的，并未將收集與用途進行一一對應，因而無法直觀地判斷Open AI收集每一類信息是否均滿足“最小必要”原則，整體合規性有待進一步論證。

個人信息使用合規嗎？

《隱私政策》第2部分（“How we use personal information”）中列出用戶個人信息的主要用途，其中特別提到個人信息匯聚融合（Aggregated information）及去標識化（De-identified information）使用，以用于分析服務有效性、提升和增加服務特性、進行研究等目的。

對此，我們針對這兩塊內容詢問了ChatGPT的看法，ChatGPT整體而言還是將其限定是在“最小必要”的框架下進行，對于可能存在的法律風險（如“重識別”風險，具體詳見我們撰寫的文章《?“個人信息”的判定絕非易事——IP屬地遇到攔路虎“再識別技術”》）則已采取相應措施。

分析：不合規

《隱私政策》顯然并沒有就“匯聚融合”的合法正當性進行充分表述，尤其是在該等匯總或去標識化的個人信息還將與第三方進行共享的情形下。即使是“匿名”個人信息也面臨著“重識別”的風險，更何談只是“去標識化”的個人信息。

個人信息共享合規嗎？

《隱私政策》第3部分（“Disclosure of personal information”）中明確了個人信息共享的4類情形，包括與第三方服務商共享、商業交易項下的共享、根據法律要求共享及在關聯方之間的共享，但在與關聯方之間的共享方面，并沒有進行明確說明。

對此，ChatGPT認為雖然Open AI沒有進行明確說明，但其仍然需要遵守共享相關法律規定，僅在必要情況下進行共享，且僅共享必要的信息。

分析：不合規

《隱私政策》在關聯方共享情形的表述不夠清晰，用戶無法知曉在何種情形下其個人信息將在關聯公司之間共享。雖然該等關聯公司是受Open AI控制，但畢竟屬于獨立主體，其個人信息共享行為仍應受到約束。

個人信息存儲及跨境傳輸合規嗎？

關于個人信息存儲地點、存儲期限及跨境傳輸的約定散落在《隱私政策》第8部分（“Security and Retention”）及第9部分（“International users”）的內容之內，但其中有關存儲期限的表述較為籠統。對此ChatGPT表示Open AI所收集的個人信息將存儲于美國，可能會涉及跨境傳輸的情形，屆時會依法采取適當的數據轉移機制來確保跨境傳輸安全；同時也承認《隱私政策》在存儲期限維度沒有進行明確約定。

分析：合規性存疑

《隱私政策》對于個人信息存儲期限沒有進行明確約定，而是采用了一般性的表述；同時提到對于匿名化或去標識化的個人信息將永久性存儲，其存儲合規性有待商榷。

個人信息權利如何行使？

《隱私政策》中第4部分（“Your Rights”）和第5部分（“California privacy rights”）以專章形式列明了用戶享有的個人信息權利，包括訪問、刪除、更正或更新、轉移個人信息及撤回處理個人信息的同意及反對或限制處理個人信息的同意等權益；同時說明了兩種行使路徑（賬戶設置或郵件申請），但表述不夠清晰。通過詢問ChatGPT，給到的回答也基本是郵件申請路徑。下圖是以行使訪問權為例得到的回復：

分析：不合規

總體而言，《隱私政策》中有關個人數據權利具體行使路徑的表述不夠清晰，未說明哪些權利可以通過賬戶設置行使，哪些權利需要通過郵件方式申請；同時反饋時限也沒有予以明確。

兒童個人信息的收集合規嗎？

《隱私政策》中第6部分（“Children”）明確其并不旨在為13歲以下的兒童提供服務，也不知曉收集了兒童個人信息。對此，ChatGPT也明確回答Open AI不會有意地收集兒童個人信息；當進一步詢問Open AI是否應當在事前判斷用戶是否屬于兒童時，ChatGPT也給出了否定的回答。

分析：合規性存疑

根據美國《Children’s Online Privacy Protection Act》（下稱《COPPA》）的規定，該法主要規制的對象包括旨在服務兒童的網站或在線服務的經營者（“a website or online service directed to children”），或任何實際了解其正在收集兒童個人信息的經營者（“any operator that has actual knowledge that it is collecting personal information from a child”）。

基于ChatGPT所面向用戶的龐大基數，即使其服務并不旨在服務兒童，但是否完全“不實際了解”其正在收集兒童個人信息，是有待進一步論證的。

個人信息處理行為的司法管轄權

作為Open AI用戶使用協議（“Term of Use”）的一部分，《隱私政策》受美國加州法律管轄，同時也提及到針對歐洲經濟區、英國和瑞士用戶，GDPR相關規則也一并適用。但對于除前述國家和地區以外的國際用戶個人信息處理的合規性基礎，《隱私政策》中并未予以明確。

對此，ChatGPT表示，基于Open AI在全球范圍內收集用戶的個人信息，其不僅需要遵守美國相關法律規定，還需要遵守其他國家和地區的個人信息保護相關規定。

分析：不合規

正如ChatGPT所回復的，既然Open AI是面向全球提供服務，僅遵守美國及歐盟有關數據合規的法律顯然是不足夠的。

API接入時，各方的角色分別是什么？

根據Open AI在其官網公示的《數據處理附錄》（Data Processor Addendum）及ChatGPT的回答，當以API接入的方式封裝ChatGPT以對外提供人工智能服務時，接入方通常屬于數據控制者（即對應我國個人信息處理者），Open AI通常屬于數據處理者（即對應我國受托人）。

分析：合規性存疑

這個回復與最近剛出臺的《管理規定》一脈相承，即在封裝ChatGPT對外提供服務時，接入方是個人信息處理者，需要對外承擔個人信息處理者的責任及義務。不過正如ChatGPT所提到的，個人信息處理者與受托人的角色可能因實踐操作而有所不同，當Open AI決定了個人信息處理的主要目的和方式時，則有可能成為共同個人信息處理者。

Open AI在數據安全方面的認證資質有哪些？

《隱私政策》第8部分（“Security and Retention”）就Open AI的數據安全措施做了一般性的表述。對此，我們額外詢問了ChatGPT，Open AI在數據方面是否具備相關認證資質（如ISO27001信息安全管理體系認證等），但ChatGPT顯然已經“招架不住”，甚至開始自行“編造”（如列出引用文章和鏈接，但查無此事）。

結語

綜上，我們總結ChatGPT《隱私政策》的合規性分析如下表所示：

基于對《隱私政策》自身文本的分析，結合ChatGPT的回復，我們凝練為下述六大核心數據合規問題：

對于上述合規問題的具體分析，將于后續系列文章中展開。

引用：[1]Privacy policy (Updated Apirl 7，2023)，https://openai.com/policies/privacy-policy， 2023年4月16日訪問。

本文來自微信公眾號：新經濟風控官（ID：gh_32c83ce4147b），作者：高亞平（德恒上海律師事務所合伙人）、紀倩

本內容為作者獨立觀點，不代表虎嗅立場。未經允許不得轉載，授權事宜請聯系 hezuo@huxiu.com