2025-01-14 手机 0
《隐私政策》第2部分(“How we use personal information”)中列出用户个人信息的主要用途,其中特别提到个人信息汇聚融合(Aggregated information)及去标识化(De-identified information)使用,以用于分析服务有效性、提升和增加服务特性、进行研究等目的。
对此,我们针对这两块内容询问了ChatGPT的看法,ChatGPT整体而言还是将其限定是在“最小必要”的框架下进行,对于可能存在的法律风险(如“重识别”风险,具体详见我们撰写的文章《“个人信息”的判定绝非易事——IP属地遇到拦路虎“再识别技术”》)则已采取相应措施。
分析:不合规
《隐私政策》显然并没有就“汇聚融合”的合法正当性进行充分表述,尤其是在该等汇总或去标识化的个人信息还将与第三方进行共享的情形下。即使是“匿名”个人信息也面临着“重识别”的风险,更何谈只是“去标识化”的个人信息。
个人的数据权利行使路径清晰吗?
《隐私政策》第4部分(Your Rights)和第5部分(California privacy rights)以专章形式列明了用户享有的个人数据权利,但表述不够清晰。通过询问ChatGPT,给到的回答也基本是邮件申请路径:
分析:不合规
总体而言,《隐私政策》中有关数据权利具体行使路径的表述不够清晰,没有说明哪些权利可以通过账户设置行使,哪些权利需要通过邮件方式申请;同时反馈时限也没有予以明确。
儿童个人的数据收集是否符合规定?
《隐私政策》中第6部分(Children)的内容并不适用于13岁以下儿童,并且Open AI不会有意地收集儿童个人的数据。当进一步询问Open AI是否应当在事前判断用户是否属于儿童时,ChatGPT给出了否定的回答。
分析:不合规
虽然Open AI声明不会故意收集儿童数据,但作为提供全球服务的一家公司,它必须遵守所有相关地区关于未成年人保护方面法律法规。
API接入时,每方角色的定义是什么?
根据Open AI发布的一个附录,即Data Processor Addendum,以及ChatGPT提供的情报,当一个应用程序或服务通过API接口与我们的系统交互并利用我们的功能时,这通常意味着它是一个控制者,而我们则成为处理者的角色。在这种情况下,该应用程序拥有访问和控制请求所需敏感数据,而我们负责处理这些请求以便实现所需功能。
对于上述几个问题点,本文旨在为读者提供一个概览,并引导他们深入了解每一项细节。此外,我们强调,在任何涉及敏感客户资料的情况下,都应该严格遵循国际最佳实践来保护用户身份安全。这包括但不限于执行透明度、可访问性以及审计措施,以确保所有操作都符合当前国际标准。
引用来源:
[1] Privacy policy (Updated April 7, 2023), https://openai.com/policies/privacy-policy, accessed on April 16, 2023.
本文由高亚平律师撰写,他是一位经验丰富的人工智能领域专家,同时也是德恒上海律师事务所的一名合作伙伴。纪倩同样参与了本篇文章,她是一位资深知识产权专业律师。本文首发于微信公众号新经济风控官。如果您想了解更多关于人工智能、新兴科技以及相关法律法规的问题,请关注我们的官方渠道获取最新更新。
