2025-01-14 手机 0
拆解ChatGPT隐私政策:还有哪些合规风险?
在ChatGPT的系统中,个人信息是如何被使用的?我们深入分析了《隐私政策》第二部分(“How we use personal information”),发现个人信息主要用于分析服务有效性、提升和增加服务特性、进行研究等目的。这些用途似乎都符合最小必要原则,但当涉及到可能存在的法律风险,如重识别技术时,ChatGPT已经采取相应措施。
不合规
《隐私政策》对于“汇聚融合”的合法正当性表述不足,尤其是在汇总或去标识化个人信息与第三方共享的情形下,即使是匿名个人信息也面临重识别风险,更何况只是去标识化。
个人信息共享是否合规?
《隐私政策》第三部分(“Disclosure of personal information”)明确了四类情形,但关于关联方之间共享缺乏清晰说明。虽然Open AI没有明确说明,但仍需遵守相关法律规定,只在必要情况下进行共享,并仅共享必要的信息。
不合规
用户无法知晓何种情形下其个人信息将在关联公司之间共享,即便是受Open AI控制,也属于独立主体,其行为应受到约束。
个人信息存储及跨境传输是否合规?
关于存储地点、存储期限及跨境传输的约定散落于第8-9部分,但有关存储期限表述较为笼统。ChatGPT表示Open AI收集数据将存储于美国,有可能涉及跨境传输,将依法采取适当机制保证安全;但未明确存储期限。
不合规
用户权利行使路径表述不够清晰,没有指出哪些权利可以通过账户设置行使,而哪些需要邮件申请;反馈时限也未予以明确。
儿童个人的收集是否规范?
《隐私政策》第6部分提到并不旨在为13岁以下儿童提供服务也不知道收集了他们的数据。ChatGPT回答不会有意地收集儿童数据,当询问是否应当事先判断用户年龄时给出了否定的回答。
不合规
即便Open AI遵循美国及欧盟相关数据保护法律,这显然是不足够的,因为它面向全球提供服务。如果你想了解更多关于这个话题,请继续关注我们的系列文章。
引用:[1]Privacy policy (Updated Apirl 7, 2023),https://openai.com/policies/privacy-policy, 2023年4月16日访问。
本文来自微信公众号:新经济风控官(ID:gh_32c83ce4147b),作者:高亚平(德恒上海律师事务所合伙人)、纪倩
本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系 hezuo@huxiu.com
