0°

拆解ChatGPT隐私政策:还有哪些合规风险?

  本文来自微信公众号:新经济风控官(ID:gh_32c83ce4147b),作者:高亚平(德恒上海律师事务所合伙人)、纪倩,原文标题:《AIGC照镜子(一):ChatGPT如何看待自身〈隐私政策〉?》,题图来自:视觉中国

  毫无疑问,随着以ChatGPT为首的一大批生成式人工智能产品相继面世,我们正在经历新的一轮“工业革命”。

  然而,生成式人工智能的爆发式增长背后,商业秘密泄露、个人信息泄露、网络安全攻击等问题也引发了各国监管机构的“冷思考”。如英国信息专员办公室在3月15日宣布更新了有关人工智能和信息保护的指南,旨在保障英国用户(含弱势群体)的利益;美国也正在就人工智能系统的潜在问责措施征求公众意见。

  我国监管部门对此也采取了相应举措,在4月11日由国家互联网信息办公室发布了《生成式人工智能服务管理办法(征求意见稿)》(下称《管理办法》),明确提出了服务提供者所需承担的责任及义务。

  在此背景下,ChatGPT作为一个先进的人工智能语言模型,自然也需要对自身的《隐私政策》1进行审视。

  当然,如果直接问它如何看待自身《隐私政策》的法律风险,它会明确告诉你:

  显然是问不出来什么内容的。

  然而,若将《隐私政策》的核心要点“拆解”为下述10个问题,再一一进行询问后,还是能够从中发现隐藏的数据合规风险:

  个人信息处理者——“我们”是谁?

  个人信息收集符合“最小必要”原则吗?

  个人信息使用合规吗?

  个人信息共享合规吗?

  个人信息存储及跨境传输合规吗?

  个人信息权利如何行使?

  儿童个人信息的收集合规吗?

  个人信息处理行为的司法管辖权

  API接入时,各方的角色分别是什么?

  Open AI在数据安全方面的认证资质有哪些?

  个人信息处理者:“我们”是谁?

  《隐私政策》在开篇及第9部分(“International users”)中明确了自己作为数据控制者的身份及具体的主体信息,与ChatGPT的回答一致。

  分析:合规

  Open AI已在《隐私政策》中表明“我们”的身份,即Open AI, L.L.C,并未将相关的关联公司等主体一并列上,整体而言,个人信息处理者的角色主体清晰。(其中关于“我们”不清所涉的法律风险,详见《〈个人信息保护法〉实施1.5年,再看平台隐私政策中“我们”是谁?》)。

0 条回复 A 作者 M 管理员
    所有的伟大,都源于一个勇敢的开始!
欢迎您,新朋友,感谢参与互动!欢迎您 {{author}},您在本站有{{commentsCount}}条评论