2025-01-14 科技 0
《隐私政策》第2部分(“How we use personal information”)中列出用户个人信息的主要用途,其中特别提到个人信息汇聚融合(Aggregated information)及去标识化(De-identified information)使用,以用于分析服务有效性、提升和增加服务特性、进行研究等目的。
对此,我们针对这两块内容询问了ChatGPT的看法,ChatGPT整体而言还是将其限定是在“最小必要”的框架下进行,对于可能存在的法律风险(如“重识别”风险,具体详见我们撰写的文章《“个人信息”的判定绝非易事——IP属地遇到拦路虎“再识别技术”》)则已采取相应措施。
分析:不合规
《隐私政策》显然并没有就“汇聚融合”的合法正当性进行充分表述,尤其是在该等汇总或去标识化的个人信息还将与第三方进行共享的情形下。即使是“匿名”个人信息也面临着“重识别”的风险,更何谈只是“去标识化”的个人信息。
个人的资料共享合规吗?
《隐私政策》第3部分("Disclosure of personal information")中明确了个人的资料共享的4类情形,包括与第三方服务商共享、商业交易项下的共享、根据法律要求共享及在关联方之间的共享,但在与关联方之间的共享方面,并没有进行明确说明。
对此,ChatGPT认为虽然Open AI没有进行明确说明,但其仍然需要遵守共享相关法律规定,仅在必要情况下进行共享,且仅共分享有必要的一点资讯。
分析:不合规
《隐私政策》在关联方资料交换情形之表述不够清晰,使得用户无法知晓,在什么条件下他的每一份数据将会被传输至任何一个外部公司。在这个过程中,即使这些公司都受Open AI控制,它们处理用户数据仍需受到限制。
個人的資料存储及跨境傳輸是否符合規範?
關於個人資料存儲地点、存儲期限及跨境傳輸之約定散落於《隐私政策》的8和9部分內容,但是有关存儲期限之描述較為笼统。對此ChatGPT表示Open AI所收集的人員資訊將會被儲存在美國,並可能涉及跨境傳輸的情況當時將依照現行法規進行適當機制來確保安全;同時也承認該文件對於存儲期間並無進行明確約定。
关于个人的权利
条款中的第四和第五部分以专章形式列出了用户拥有的各项权利,以及如何行使这些权利,如访问权限删除权限更正更新转移以及反对处理等。但是,这些条款对于如何通过账户设置来行使某些权利,以及通过邮件申请来行使其他权利,没有提供足够清晰的地图。此外,还没有指示哪些选项可以通过账户设置完成,而哪些只能通过电子邮件提出请求。
儿童個人資訊收集是否符合規範?
這裡要注意的是,這個條款並沒有詳細解釋兒童資訊保護問題。它只簡單地聲稱,不旨在為13歲以下者提供服務,也不知曉擁有他們個人資訊。在這方面,我們向chatgpt詢問,如果open ai發現它們有意無意地收集到了兒童個人資料會怎麼處理?chatgpt回答說,如果open ai發現了這種情況,它將立即停止相關活動,並採取適當措施以保護那些受到影響者的權益。
總結:
總體而言,《隐私协议》的细节不足以满足国际标准,无论是关于敏感数据处理方式还是儿童保护措施。这意味着尽管聊天机器人试图透明度高但实际上它们缺乏关键细节,这让用户难以理解他们如何保护自己的敏感信息。此外,该协议未能为儿童提供足够保障,因为对于孩子们来说,他们甚至不知道他们什么时候会暴露自己的身份。而且,由于缺乏关于API接入时角色定义的问题,所以进一步探讨这一点也是必须要做的事情。
