拆解ChatGPT隐私政策还有哪些合规风险

《隐私政策》第2部分(“How we use personal information”)中列出用户个人信息的主要用途,其中特别提到个人信息汇聚融合(Aggregated information)及去标识化(De-identified information)使用,以用于分析服务有效性、提升和增加服务特性、进行研究等目的。

对此,我们针对这两块内容询问了ChatGPT的看法,ChatGPT整体而言还是将其限定是在“最小必要”的框架下进行,对于可能存在的法律风险(如“重识别”风险,具体详见我们撰写的文章《‍“个人信息”的判定绝非易事——IP属地遇到拦路虎“再识别技术”》)则已采取相应措施。

分析:不合规

《隐私政策》显然并没有就“汇聚融合”的合法正当性进行充分表述,尤其是在该等汇总或去标识化的个人信息还将与第三方进行共享的情形下。即使是“匿名”个人信息也面临着“重识别”的风险,更何谈只是“去标识化”的个人信息。

个人信息共享合规吗?

《隐私政策》第3部分(“Disclosure of personal information”)中明确了个人信息共享的4类情形,包括与第三方服务商共享、商业交易项下的共享、根据法律要求共享及在关联方之间的共享,但在与关联方之间的共享方面,并没有进行明确说明。

对此,ChatGPT认为虽然Open AI没有进行明确说明,但其仍然需要遵守共享相关法律规定,仅在必要情况下进行共享,且仅共享必要的信息。

分析:不合规

《隐私政策》在关联方共享情形的表述不够清晰,用户无法知晓在何种情形下其个人信息将在关联公司之间共享。虽然该等关联公司是受Open AI控制,但毕竟属于独立主体,其个人信息共享行为仍应受到约束。

个人信息存储及跨境传输合规吗?

关于个人信息存储地点、存储期限及跨境传输的约定散落在《隐私政策》第8部分(“Security and Retention”)及第9部分(“International users”)的内容之内,但其中有关存储期限的表述较为笼统。对此ChatGPT表示Open AI所收集的个人信息将存储于美国,可能会涉及跨境传输的情形,届时会依法采取适当的数据转移机制来确保跨境传输安全;同时也承认《隐私政策》在存储期限维度没有进行明确约定。

《隐私政策》中第4部分(“Your Rights”)和第5部分(“California privacy rights”)以专章形式列明了用户享有的个人信息权利,包括访问、删除、更正或更新、转移个人信息及撤回处理个人信息的同意及反对或限制处理个人信息的同意等权益;同时说明了两种行使路径(账户设置或邮件申请),但表述不够清晰。通过询问ChatGPT,给到的回答也基本是邮件申请路径。下图是以行使访问权为例得到的回复:

分析:不合规

总体而言,《隐私政策》中有关个人数据权利具体行使路径的表述不够清晰,未说明哪些权利可以通过账户设置行使,哪些权利需要通过邮件方式申请;同时反馈时限也没有予以明确。

儿童个人信息的收集合规吗?

《隐私政策》中第6部分(“Children”)明确其并不旨在为13岁以下的儿童提供服务,也不知晓收集了儿童个人信息。对此,ChatGPT也明确回答Open AI不会有意地收集儿童个人信息;当进一步询问Open AI是否应当在事前判断用户是否属于儿童时,ChatGPT也给出了否定的回答。

分析:不合规

正如ChatGPT所回复的,既然Open AI是面向全球提供服务,仅遵守美国及欧盟有关数据合规的法律显然是不足够的。

API接入时,各方的角色分别是什么?

根据Open AI在其官网公示的《数据处理附录》(Data Processor Addendum)及ChatGPT的回答,当以API接入的方式封装ChatGPT以对外提供人工智能服务时,接入方通常属于数据控制者(即对应我国个人信息处理者),Open AI通常属于数据处理者(即对应我国受托人)。

对于上述合规问题的具体分析,将于后续系列文章中展开。

引用:[1]Privacy policy (Updated Apirl 7,2023),https://openai.com/policies/privacy-policy, 2023年4月16日访问。

本文来自微信公众号:新经济风控官(ID:gh_32c83ce4147b),作者:高亚平(德恒上海律师事务所合伙人)、纪倩

本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系 hezuo@huxiu.com

正在改变与想要改变世界的人,都在 虎嗅APP