文/王冠中律师
ChatGPT的横空出世让人工智能的话题在全球范围内再次引发高度关注。目前,微软公司已宣布将正式接入该技术,以支持其搜索引擎和浏览器;而谷歌、百度等传统搜索引擎类也迅速入局。
据其研发公司OpenAI介绍,“ChatGPT是一种对话式AI,可运用自然语言连续对话、回答问题并挑战不正确的假设。”它可以通过学习和理解人类的语言以及聊天作出相应的互动对话,还可以进行撰写文章、视频脚本、翻译、代码等工作。
面对ChatGPT的火热,全国出现大批“玩家”尝鲜使用。就在刚刚结束的2023年全国“两会”上,网络与数据安全仍然是备受关注的话题之一。全国政协委员、360集团创始人周鸿祎就提到,“ChatGPT所取得的技术突破引起学术界和产业界的热烈讨论。
ChatGPT不仅仅是搜索引擎的加强版,也不仅仅是一个聊天机器人。目前,引用ChatGPT开放接口的应用已多达上千个,各类问答、代码生成、内容创作等新应用如雨后春笋不断涌现,产业生态快速发展。”
但是,随着ChatGPT等类似技术产品的普及,如此广阔的发展前景也将引发了一系列的合规与隐私安全方面的担忧。本文意在对ChatGPT类产品使用时的相关法律风险进行提示。
隐藏在ChatGPT背后的五大风险
①个人信息被泄露的风险
ChatGPT实际就是利用深度合成服务的产品,具备收集、储存和使用个人信息的功能,其与用户对话的所有数据都会被存储在开发者美国人工智能公司OpenAI或使用的云服务提供商的数据中心。
OpenAI公司明确表示用户分享的隐私和个人信息将被用于未来模型的迭代训练,而未经用户同意的数据抓取和训练模型强大的推理能力又极大地增加了个人信息泄露的风险,即便泄露用户个人信息的概率非常小,但如果加以刻意引导和提示,它仍然可能用来生成包含个人信息内容的回答。并且,OpenAI暂时无法从输入历史中删除特定某条内容;如果想要删除数据,必须以注销此OpenAI账号的方式,该账号所有的相关数据会被一起删除。
近期,有各种类型的山寨版ChatGPT不断涌现,且频繁向消费者索取个人信息授权。但OpenAI并没有在中国大陆提供有关ChatGPT服务,也没有请其他公司代为运营。一些国内公司提供的镜像版的ChatGPT,当用户通过镜像访问对话产生相关敏感数据信息时,这些信息会暴露给提供镜像服务的公司,还有一些山寨版不仅要求用户必须提供完整个人信息才能使用,由此增大个人信息泄露的风险。
②商业秘密泄露风险
商业秘密(Trade Secrets),一般是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。
如前文所述,首先,ChatGPT类产品的完善需要用户提供大量的数据来源对人工智能进行训练,而ChatGPT在编程协助、广告设计、文学创作等商业领域有着非常优异的表现,用户在使用过程中,往往需要向其提供完整和详细的信息,以获得ChatGPT生产的准确内容。
然而用户输入的信息很可能涉及公司商业秘密,如企业营销计划、薪酬体系等信息,特别是企业的经营信息是最容易被使用者忽视的商业秘密类别,极大可能在使用ChatGPT过程中被当作一般信息予以提供,很有可能因此导致企业商业秘密或其他敏感信息的泄露。
其次,在使用国内公司提供的镜像版或山寨版类产品时,上述企业商业秘密会被暴露给国内的其他公司,从而加大了商业秘密泄露的风险。
③提供虚假信息风险
ChatGPT等人工智能的内容生产并不能保证其内容的准确性,特别是在一些诸如法律、医学等专业领域,用户需要一定的专业知识才能辨别ChatGPT生成内容的真假。如有用户依赖不准确的答案做出判断和决策,可能会危害用户的人身和财产安全。
另一方面,网安数据的监管部门对此也有所关注,并特别指出,“一旦ChatGPT被不法分子利用,将成为成本与门槛极低、效率与产出极高、可信度极强的造谣工具”。不排除一些别有用心的不法分子,通过向ChatGPT输入虚假或误导性的信息来“训练”其产生虚假信息,严重者可能导致影响政治舆论或政治生态、煽动暴力和犯罪等破坏公共利益等严重后果。
因此,如果用户盲目地信任AI自动生成的答案或产出成果并进行传播,将会十分危险,甚至招致刑事责任。
④知识产权保护风险
ChatGPT相关数据中的作品并非均处于公有领域,也并非均获得了权利人的授权。由于这种使用行为并不属于《著作权法》中合理使用的情形,如未经授权则存在侵害著作权的法律风险,甚至可能构成侵犯著作权刑事犯罪。并且,ChatGPT所生成的内容可能与他人在先作品存在较高相似度,甚至有可能构成实质性相似。
根据OpenAI的使用协议,用户应当对使用ChatGPT时输入输出的整体内容负责,且相关内容的权利已经转让给用户。即使用户在使用过程中没有任何过错,依然可能需要承担相应的法律责任。
⑤数据出境风险
由于ChatGPT类产品服务器部署在境外,当用户在聊天界面提问时输入的信息包含公司在境内运营过程中收集和产生的数据时,企业将涉及“向境外提供”数据,或存在该等数据能够被境外机构、组织或者个人“访问或调用”的法定数据出境情形。
而就在今年的2月24日,国家互联网信息办公室又公布了《个人信息出境标准合同办法》,在此前我国已陆续出台《数据出境安全评估办法》《个人信息跨境处理活动安全认证规范》等一系列配套法规文件予以细化规范,《个人信息出境标准合同办法》的正式落地与此前述法规共同推动数据出境保护。
要对ChatGPT敬而远之吗?
ChatGPT所带来的风险并非不可控,这需要加强在数据合规方面的保护。我们认为需要国家与相关使用方从以下几个方面做好防控工作:
首先,国家应当加强对ChatGPT类产品的监管力度。
2022年出台的《互联网信息服务算法推荐管理规定》中明确要求,人工智能的算法应当坚持社会主义主流价值观,不能利用算法危害国家安全和社会公共利益、扰乱经济秩序和社会秩序、侵犯他人合法权益。
2023年1月10日起施行的《互联网信息服务深度合成管理规定》中明确,任何组织和个人不得利用深度合成服务制作、复制、发布、传播法律、行政法规禁止的信息,不得利用深度合成服务从事危害国家安全和利益、损害国家形象、侵害社会公共利益、扰乱经济和社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动。
ChatGPT类产品提供的服务应遵循前述法规的相关义务。但目前对于相关主体应承担何种合规义务,规定并不足够明确,存在一定争议。
ChatGPT作为依据美国法律和价值观开发的AI工具,其算法机制、安全机制未经我国主管机关评估审核,可以要求有关主体依法履行备案义务,并公示算法的基本原理、目的意图和主要运行机制等,否则对其处以相应行政处罚或制裁措施。与此同时,对发布违法和不良信息的相关深度合成服务使用者,要依法采取警示、限制功能、暂停服务、关闭账号等处置措施。
其次,对可能出现的本土类似产品进一步完善相关立法。
严格落实《新一代人工智能伦理规范》行业规范,并将其主要内容上升至法律、行政法规的规定,将个人信息保护嵌入人工智能设计中,在人工智能全生命周期中融入伦理规范进行规制,完善人工智能监管体系,促进人工智能类产品在法律法规和伦理规范的共同指引下合理合规发展。
再次,要加大个人信息泄露的惩处力度,并加强个人信息保护民商事指导性案例的颁布,为统一裁判标准、统一认定方法提供指引,为社会提供个人信息保护的具体渠道,让大众在相关个人信息被侵权后能够及时作出相关切实可行的措施。
最后,需要使用ChatGPT类产品的企业应建立内部保密机制。比如建立企业的保密规章制度、与员工签订保密协议或提出保密要求,制定相关规则禁止或限制员工向ChatGPT类产品的服务器上传可能涉及企业商业秘密的相关信息。
同时,需要向员工事先明确公司商业秘密的类型和范围,必要时要求员工在使用ChatGPT类产品时要将提交的信息事先提交相关部门进行审查,并且明确违反该等规定需要承担的相应法律责任。
写在最后
不久前,疑似约45亿条国内个人信息在“暗网”被泄露,泄露来源于某隐私机器人,数据包大小达435GB,疑似电商或快递物流行业数据。用户仅需输入手机号,即可通过该机器人查询到姓名、手机号和详细的收货地址等隐私信息。该事件引发各界关注,个人信息和数据安全方面的问题再次凸显。
ChatGPT等类产品在迅速成为产业发展新风口的同时,也给个人信息保护带来新的挑战,亟须加快探索相应对策的脚步,而用户在使用诸如ChatGPT类产品时更要提高防范意识,将风险尽量降到最低。
END
查看移动端
关注公众号