2025-01-14 手机 0
科技部官方网站首页:ChatGPT隐私政策深度解析,存在哪些合规风险?
在《隐私政策》第二部分“How we use personal information”中,对个人信息的主要用途进行了列举,其中特别提到了聚合信息(Aggregated information)和去标识化信息(De-identified information)的使用,以便于分析服务有效性、提升服务特性以及进行研究等目的。我们就这两点问题向ChatGPT咨询,并了解到ChatGPT在采取最小必要原则的情况下进行处理,对可能出现的法律风险,如重识别风险,我们已经采取了相应措施。
分析:不合规
《隐私政策》对汇聚融合的正当性没有充分阐述,尤其是在将这些汇总或去标识化个人信息与第三方共享时。此外,即使是匿名的个人信息也面临重识别的风险,更不用说只是去标识化的个人信息。
关于个人信息共享,《隐私政策》第三部分明确了四种情形,但对于关联方之间共享方面,没有提供明确说明。ChatGPT认为虽然Open AI没有明确说明,但仍需遵守相关法律规定,只有在必要情况下才会进行共享,并且只分享必要的信息。
分析:不合规
《隐私政策》对于关联方之间共享的情形表述不够清晰,用户无法知晓何种情况下其个人数据会被传输至关联公司之间。这虽然属于受Open AI控制但独立主体,其个人的数据处理行为仍需受到约束。
关于个人数据存储地点、存储期限及跨境传输,《隐私政策》的第8和第9部分内容中并未提供具体细节。在此基础上,ChatGPT表示Open AI收集到的个人的数据将存储于美国,并可能涉及跨境传输,将依法采取适当措施来保证跨境传输安全;同时承认《隐私政策》的存储期限维度没有进行明确规定。
最后,在用户权利方面,《隐私政策》的第四和第五部分详细列出了用户可以行使的一系列权利,如访问、删除、更正或更新等,但是表述并不够清晰。通过询问ChatGPT,我们得知给出的回复路径基本上是邮件申请路径,这进一步增加了复杂性的疑虑。图例展示了一次以访问权为例得到回复:
分析:不合规
总体而言,《隐私政策》中的有关行使用户权利具体路径表述不够清楚,没有指出哪些权限可以通过账户设置直接操作,而哪些需要通过邮件方式申请;同时反馈时限也未予以明确说明。
儿童个人的数据收集是否符合规范?
《隐 私策略》的第六部分“Children”明白它并不旨在为13岁以下儿童提供服务,也不知道是否收集过儿童资料。在此基础上,ChatGPT回答Open AI不会故意收集儿童资料;然而,当进一步询问Open AI是否应当事先判断用户是否为儿童时,它给出了否定的回答。
分析:不符合规范
正如聊天机器人所回应的,由于OpenAI面向全球提供服务,只遵循美国及欧盟相关法律显然是不足之处。
API接入过程中各方角色的划分是什么?
根据OpenAI官网公布的人工智能附录(Data Processor Addendum)及聊天机器人答案,当以API接入形式封装聊天机器人以对外提供人工智能服务时,与API接入一致的是通常由客户端扮演作为我的国個人資料處理者角色,而為對應我國個人資料保護法規定而言則是接受者的角色。而對於這個問題,我們將會進一步探討並評估這種風險,並提出具體建議來降低風險與提高透明度。
引用来源:
[1]Privacy policy (Updated April 7, 2023),https://openai.com/policies/privacy-policy,
2023年4月16日訪問本文作者高亚平来自德恒上海律师事务所,同时纪倩也是其中一位作者,该文章内容代表作者独立观点,不代表虎嗅立场未经允许不得转载授权事宜请联系hezuo@huxiu.com
正在改变与想要改变世界的人,都在 虎嗅APP
上一篇:二手设备网闲置变现的智慧之路
