ChatGPT野蛮生长背后的数据跨境合规问题
作为人工智能领域的新浪潮,ChatGPT必将是当前人工智能发展的“弄潮儿”,其发展也将持续受到关注。
1
ChatGPT——人工智能领域的新浪潮
ChatGPT(Generative Pre-Trained Transformer)作为AICG(AI-Generated Content)的一种新型商业化的方式,是由OpenAI公司于2022年11月30日推出的一种AI聊天机器人工具。与以往的“人工智障”不同,ChatGPT在训练的过程中使用了“人类反馈强化学习”的训练方法,这种方法在AI训练的过程中使用人类反馈,以最大限度地减少无意义的、失真的或者存在偏见的输出。得益于这种训练方法,ChatGPT可以根据用户提出的问题精准并且快速地给出各种回答,甚至可以根据用户的要求进行简单编程或者撰写学术论文等。
因为其智能的表现,ChatGPT的用户在短短几日内就突破百万,席卷了整个互联网,并带来了一场专属于ChatGPT的狂欢。在与全球网友的互动过程中,其精彩的表现不断刷新着人们的认知,并令人不禁感叹“ChatGPT越来越像真正意义上的人”。根据美国高校的入学资格考试(SAT)的测试,其成绩是中等学生的水平;谷歌向ChatGPT提供代码面试的问题,根据其回答,认为其完全符合三级工程师的职位要求;甚至哥伦比亚的一名法官在ChatGPT的帮助下做出了判决。
理论上来说,只要运算能力足够强大,随着ChatGPT与人类的互动的增多,他就可以进一步地并且无限地成长。虽然与传统的AI机器人一样,其不具有人类的思考能力,但是在不断成长的过程中,其输出的内容越来越具有迷惑性,也越来越真实。目前,已经有很多人通过ChatGPT进行投机取巧以逃避本应由人类进行思考的工作。作为人工智能领域的新浪潮,ChatGPT必将是当前人工智能发展的“弄潮儿”,其发展也将持续受到关注。
2
ChatGPT运作中的数据跨境问题
作为这场互联网狂欢的焦点,ChatGPT不仅代表了先进的人工智能技术,更是当前的“顶流”,其背后是无数的流量。在“流量至上”的互联网时代,这部分流量及其受益对各个互联网企业来说都是极大的诱惑。已有很多中国公司向OpenAI公司抛出橄榄枝,希望可以将ChatGPT的服务引入到自己的app或者网页中,以迎合当前网民们难以满足的好奇心和使用需求。但是,在流量和收益这些“鲜花”下,也存在着隐藏的“荆棘”,其中一项便是数据跨境的问题。
数据是21世纪的“石油”,也是市场中极为有力的竞争资源。2021年12月,国务院印发了《“十四五”数字经济发展规划》,该规划明确指出“数据要素是数字经济深化发展的核心引擎”。2022年6月,习总书记主持召开中央全面深化改革委员会第二十六次会议,进一步强调要“促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系”。可见,数据已经成为国家战略层面的重要经济发展因素。除了经济发展层面,数据同样涉及到国家安全以及个人信息保护。从我国的法律体系来看,《网络安全法》、《个人信息保护法》以及《数据安全法》为捍卫国家数据安全、保护个人数据权益和规制数据使用行为构建了坚固的公法保护屏障。
根据ChatGPT的运作原理,用户在输入端口提出问题后,该问题会传输到位于美国的OpenAI公司,随后ChatGPT给出相应回答,该回答便会输入到用户端口以实现对问题的反馈。在这样的一个过程中,数据的出境与入境作为服务的开端和结尾,都存在着法律风险。尤其是在数据出境这一方面,网民所提出的问题中极有可能涉及到个人信息、敏感信息甚至有关国家安全、经济运行、社会稳定、公共健康和安全的重要数据。如果企业不能依法规制ChatGPT运行中的数据跨境问题,依照目前的法律规定,企业可能承担的责任有:
1.根据《个人信息保护法》的规定,将由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
2.根据《网络安全法》的规定,关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
3.根据《数据安全法》,违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
3
ChatGPT数据跨境的合规措施
想要在ChatGPT这块蛋糕上分一杯羹,做好数据跨境的合规是企业必须进行的前置性工作。根据《数据出境安全评估办法》、《数据出境安全评估申报指南(第一版)》以及其他法律法规,ChatGPT数据跨境的合规措施应当包含以下几项:
1.建立数据出境风险自评估制度
《数据出境安全评估办法》中明确指出,数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项:
(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;
(六)其他可能影响数据出境安全的事项。
因此,企业在使用ChatGPT时应当注重数据安全的事前评估,明确数据安全的风险所在。此外,不同类型的数据存在着不同的风险评估方式,例如《数据出境安全评估办法中》将个人信息、个人敏感信息以及重要数据进行区别对待,企业应当根据《网络安全标准指南——网络数据分类分级指引》对数据进行分类分级的基础上,对个人信息、个人敏感信息以及重要信息分别进行事前安全评估。
2.进行数据出境安全评估申报
根据《数据出境安全评估办法》,企业向向国家网信部门申报数据出境安全评估时,应当提交以下材料:申报书;数据出境风险自评估报告;数据处理者与境外接收方拟订立的法律文件;安全评估工作需要的其他材料。
收到数据出境安全评估申报材料后,国家网信部门应当在45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知企业预计延长的时间。如果企业对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。
虽然OpenAI公司对ChatGPT输出的答案已经有所限制和筛查以禁止某些不良言论的出现,但是由于中美两国的经济、文化等方面的差异,应当对ChatGPT所回答的内容进行前置性审查。为了防止其回答的内容涉及到色情、恐怖或者不良政治言论,企业可以建立“自动关键词屏蔽+人工筛选”的方式对内容进行前置性审查。同时,要建立完善的实名制注册制度,针对未成年人所提出的问题进行的回答,要进行更为严格的审查以保护青少年的身心健康。
4.构建数据出入境安全事件应急处置机制
企业应当事前建立数据安全应急处理机制,以应对数据出入境过程中可能发生的数据安全事件。总的来说,该应急处理机制分为对外和对内两方面。
数据安全应急处理机制中的对外方面,主要内容是指与境外接收方拟订立的数据出境、入境相关合同或者其他具有法律效力的文件等充分约定数据安全保护责任义务。一旦发生数据安全事件,则按照相关合同向境外接收方进行追责。
数据安全应急处理机制中的对内方面,主要是指企业内部建立自身的数据安全应急管理机制。在发生数据安全事件时,根据相关法律法规的指引,开展内部调查并相关责任人员进行追责,以明确数据管理人员的数据安全保障责任,减少因数据安全事件的发生。
(本文仅代表作者观点,不代表知产力立场)图片来源 | 网络
往期热文