2025-01-14 科技 0
《隐私政策》第2部分中列出了用户个人信息的主要用途,其中提到个人信息汇聚融合及去标识化使用,但对此,ChatGPT表示这些用途是在“最小必要”的框架下进行,并且已采取措施应对可能存在的法律风险,如“重识别”风险。
分析:不合规
《隐私政策》对于“汇聚融合”的合法正当性表述不够充分,尤其是在将个人信息与第三方共享的情形下。即使是“匿名”个人信息也面临着“重识别”的风险,更何谈只是“去标识化”的个人信息。
《隐私政策》第3部分明确了个人信息共享的四类情形,但在关联方之间共享方面,没有进行明确说明。ChatGPT认为Open AI需要遵守相关法律规定,只在必要情况下进行共享,并仅共享必要的信息。
分析:不合规
《隐私政策》的关联方共享表述不够清晰,用户无法知晓其个人信息将如何在关联公司之间被共享,即便这些公司受Open AI控制,也应该受到约束。
关于个人的存储地点、存储期限及跨境传输,《隐私政策》的内容散落于第8和9部分,但有关存储期限的表述较为笼统。ChatGPT表示Open AI收集的人口数据会存储于美国,有可能涉及跨境传输,将依法采取适当数据转移机制以确保安全;同时承认没有明确约定存储期限。
分析:不合规
总体而言,《隐 私策略中的行使路径表述也不够清晰,没有说明哪些权利可以通过账户设置行使,以及哪些需要通过邮件方式申请;反馈时限也未予以明确。
儿童个人的收集是否符合规定?
《隐 秒策略中第6部分明确并不旨在为13岁以下儿童提供服务,也不知晓收集了儿童个人的数据。而ChatGPT回答Open AI不会有意地收集儿童个人的数据。当进一步询问是否应当事先判断用户是否属于儿童时,ChatGPT给出了否定的回答。
分析:不合规
正如ChatGPT所回复的情况,如果Open AI面向全球提供服务,那么仅遵守美国及欧盟有关数据保护法律是不足够的。
API接入时各方角色分别是什么?
根据OpenAI官方公示的一份文件及其它来源,当以API接入方式封装人工智能服务时,对接方通常是数据控制者,而OpenAI则通常作为处理者。但具体细节仍需进一步考察。
对于上述问题,我们将展开更深入讨论并探究解决方案。在我们的未来文章系列中,我们会详细介绍每一项建议并阐释为什么它们至关重要。
引用:
[1]Privacy policy (Updated Apirl 7,2023),https://openai.com/policies/privacy-policy
本文来自微信公众号:“新经济风控官”,作者由高亚平(德恒上海律师事务所 合伙人)和纪倩共同撰写。本内容代表作者独立观点,不代表虎嗅立场。未经允许不得转载,请联系 hezuo@huxiu.com
正在改变世界的人,都在 虎嗅APP
