HAI:ChatGPT類應用服務 數據合規有特殊性嗎？_KardiaChain

王融 騰訊研究院首席數據法律專家

本期觀點摘要：

1. ChatGPT等AI應用服務商直接面向個人提供服務，收集并處理個人信息，可被視為個人信息保護合規主體——數據控制者。

2.與移動互聯網APP的典型場景相比，生成式AI服務商的個人信息處理活動有其自身特征，數據合規重點也有所不同。

3.根據GDPR，歐盟數據保護機構（DPA）是監管機構，而非市場準入機構，其職責主要在指導督促企業滿足數據合規要求。

4.未來真正的挑戰來自于AI賦能的各類應用服務，解決新的數據安全問題需要新思維。

并非所有的市場主體都是數據合規框架下的義務主體，需要根據技術原理、業務場景和法律規范來進一步確定。當主體身份重合時，也需基于不同業務流程匹配合規義務。基于此分析框架，我們在上一篇文章里詳細論證了大模型研發者，在模型研發階段有可能并不認定為隱私數據合規上的法律主體（data controller）。

基于同樣的分析框架，我們認為面向C端個人用戶提供生成式AI服務的運營者可被認定為隱私數據合規上的數據控制者。例如，當OpenAI在2022年11年面向公眾發布ChatGPT應用服務，并在2個月內突破1億用戶，成為歷史上增長最快的消費者應用時，作為數據控制者的身份已確定無疑。

事實也如此。從國外實踐看，目前已面向個人的AI應用服務商，在數據合規部分已完整配置隱私政策和用戶協議，以充分告知用戶收集了哪些類型的數據，以及如何處理數據。OpenAI在隱私政策中列舉了收集類型；包括賬戶信息、通信內容、使用記錄等；數據處理的目的包括但不限于：提供、改進服務，預防欺詐，網絡信息安全、履行法定義務所需等。類似的，面向公眾的圖片生成AI服務商Midjourney 也提供了清晰明了的隱私政策。國內目前雖然沒有正式上線的產品，但已有部分廠商在測試版本中嵌入隱私政策。

The Sandbox與韓國綜合頻道Channel A簽署元宇宙業務合作關系:7月7日消息，元宇宙項目The Sandbox宣布與韓國綜合頻道Channel A簽署元宇宙業務合作伙伴關系，雙方利用各自公司積累的資源合作推動元宇宙和NFT體驗。此外，Channel A計劃在The Sandbox的虛擬房地產中展示基于代表性娛樂IP的各種游戲和視頻內容。Channel A是由東亞日報出資并作為大股東成立的電視臺。

除此之外，The Sandbox還在和韓國游樂園樂天世界、娛樂傳媒公司CJ ENM、育碧、雅達利等200多個合作伙伴一起擴展元宇宙世界。[2022/7/7 1:58:01]

這也就不難解釋為什么數據保護機構DPA是第一批入場的監管機構。3月31日，意大利數據監管機構Garante宣布暫時禁止ChatGPT，并要求OpenAI 在20天內相關問題作出回應。這是數據監管機構DPA對一項新興應用的正常反映，但被誤讀為DPA可以對特定業務采取永久性措施。相反，根據歐盟GDPR，DPA雖然有天價處罰權，但其職權被嚴格限制在矯正性權力范圍內，包括建議，警告以及暫時性的或者具有明確期限的禁令。換言之，只要服務提供者滿足數據合規要求，則DPA不得對其采取市場禁入措施。在其臨時禁止令受到廣泛批評后，4月12日，Garante釋放信號：“如果 OpenAI 采取有效措施，我們準備在 4 月 30 日重新開放 ChatGPT”。

與移動互聯網相比，面向個人的生成式AI應用在數據合規上有很多相似之處，包括制定隱私政策、業務協議，明確處理用戶數據的合法性基礎，通過隱私保護設計在信息系統中支持用戶圍繞其賬戶信息和使用服務過程中產生的個人信息的相關權利，包括查詢、訪問、更正、刪除等。但一方面，我們更加關注其在個人信息處理活動中的獨特性：

TrueChain為亞洲地區研發抗疫APP，將核酸檢測及疫苗等信息上鏈:據官方消息，近期，TrueChain為亞洲地區研發抗疫APP，將核酸檢測及疫苗等信息上鏈。

據了解，TrueChain研發的新冠防疫“Pass&Go”APP是與韓國前總理韓升洙旗下的GG56公司聯合出品, 基于區塊鏈技術開發,所有數據將運行在TrueChain主網，自檢或在醫療機構進行抗原或抗體檢測的人員以及接種了疫苗的人員可以將結果上傳至“Pass&Go”應用程序，并根據檢測或接種結果獲取QR碼等數字識別代碼，在出入境、酒店、餐廳、會場等各種場所時使用。據悉，該系統將于2月上線。[2021/1/15 16:15:16]

第一、收集的個人信息種類相對較少。導航軟件、打車、購物等典型的移動APP為實現對用戶個性化服務的閉環，需要實時收集用戶較多類型的個人信息；而目前的生成式AI應用，以OpenAI和Midjourney為例，從其底層邏輯出發，其更加關注生成內容的質量，在應用服務階段收集個人信息主要是建立用戶賬戶體系，接受用戶指令（prompt）并與之交互，因此收集的個人信息相對較少，包括賬戶信息（用戶名、郵件）、使用記錄（cookie等），如果涉及購買服務等交易，則還包括支付信息。因此，Midjourney更是以表格的形式，明確列出了不收集的用戶信息種類：包括用戶敏感信息，生物識別信息、地理位置信息等等。這些信息對于生成式AI應用確實也無關緊要。

第二、在更早階段以及更廣泛地采取個人信息去標識化以及匿名化措施。在提供服務過程中，生成式AI主要圍繞用戶賬號體系及通信內容構建數據安全防護體系。以ChatGPT為例，盡管在模型訓練階段，其采集的數據源中的用戶個人信息較少（且主要為公開信息），但在應用服務階段，問答式的會話功能會產生較為敏感的通信內容，模型根據與用戶通信內容（上下文環境）進一步分析并生成回復。為降低用戶通信內容泄露后產生的風險，生成式AI會在更早階段采取用戶身份信息去標識化及匿名技術，或者將用戶身份信息與通信內容相互分離，或者在模型生成回復內容后及時刪除通信內容等安全類措施。這也是由生成式AI更關注反饋內容，而非用戶行為的邏輯所決定，這與建立在用戶行為特征基礎上，以個性化推薦見長的移動APP有顯著差異。

獨家 | 胡繼曄：EURO Chain的推出主要是平衡數據應用和隱私保護之間的關系:12月17日，歐洲中央銀行發布了一個基于POC（Proof-of-Concept，概念驗證）名為EURO Chain的項目。中國政法大學區塊鏈金融法治研究中心主任胡繼曄對金色財經分析表示，歐洲央行推出的EURO chain與歐盟2018年5月25號通過的《通用數據保護條例》(General Data Protection Regulation, 簡稱GDPR)的原則是完全一致的。也就意味著，EURO Chain的推出主要是為了保護客戶隱私，即平衡數據應用和隱私保護之間的關系。如何來平衡二者的關系，這是一個負責任的金融機構應該考慮的。

另外，胡繼曄表示，EURO chain的推出很大程度上是因為Libra。近期，Libra對白皮書進行了修改，在引人注意的是刪除了分紅的條款。我們可以看到，Libra希望是向跨過跨境的金融服務機構來過渡。但是，歐洲央行一直明確反對Libra，在反對的同時也希望有自己的數字貨幣。

所以，歐洲央行推出EUROchain是面對Libra對其產生的沖擊而提出的應對之策。這也是我的一個非常重要的觀點，歐洲央行推出EUROchain是因為要對抗Libra。[2019/12/27]

第三、由以上兩方面影響，生成式AI與移動APP在數據安全的風險領域有所不同。移動互聯網APP需要直接收集大量個人信息，用戶數據庫易成為黑客攻擊和數據泄露的目標。然而，在生成式AI 應用中，雖然其直接收集的用戶信息種類少，但其風險集中在模型被攻擊從而反向溯源數據庫，以及用戶通信內容泄露的隱患。意大利數據監管機構對OpenAI發出暫時禁令，即是由于用戶通信內容因出現服務bug而泄露的事故。為減輕風險，在技術上已經明顯具備先發優勢的OpenAI，開始探索支持用戶可以選擇將個人刪除通信記錄。4月23日，OpenAI 推出新控件，允許 ChatGPT 用戶可以選擇關閉其聊天歷史記錄，且可以不用于模型訓練目的。

動態 | Long Blockchain出售其飲料子公司:區塊鏈公司Long Blockchain （以前稱為長島冰茶公司）已達成最終協議，將其飲料子公司Long Island Brand Beverages出售給加拿大公司ECC2 Ventures。Long Blockchain首席執行官Andy Shape表示，此次交易將使公司將精力集中在其忠誠度運營業務上。據此前報道，2018年4月，Long Blockchain因市值低而被納斯達克退市，僅僅幾個月后，該公司就收到了美國證券交易委員會的傳票。今年7月，美國聯邦調查局（FBI）表示正在調查長島冰茶公司向區塊鏈業務的轉移，以尋求其有關內部交易和證券欺詐的證據。（cointelegraph）[2019/9/21]

第四、在輸出階段，如果用戶引導的問題涉及個人信息時，基于大模型的語言預測生成的算法邏輯，輸出結果中的個人信息有可能是編造的，虛假的，這可能違反了個人信息保護法上的信息質量原則，即保持個人信息準確性要求。但這類問題的背后實質是生成式AI在內容治理中面臨的一般性問題，即AI進入“幻想”，編造不準確甚至是虛假的信息。

OpenAI在研發階段，即致力于改善和解決此類問題，包括引入人類專家意見反饋機制和強化學習（RLHF），引導AI輸出準確內容。目前，部分生成類AI還加入了輸入（prompt）+輸出雙重過濾機制,來進一步避免出現有害內容或侵權問題。盡管大語言模型的進步速度令人瞠目結舌，僅用了4個月，ChatGPT 4相比于GPT3.5，其輸出信息的準確率就大幅提升了40%，違反內容政策的輸出可能性降低 82%，但目前仍不能保證其生成內容具有可靠的準確性。因此作為用戶也應當對ChatGPT的回答保持一定警惕和判斷力，避免被誤導。

動態 | BitMEX運營商授予比特幣核心貢獻者Michael Ford 6萬美元資助:比特幣核心（Bitcoin Core）貢獻者Michael Ford，又名“fanquake”，被BitMEX的母公司授予了6萬美元的資助。在7月12日發布的一份官方聲明中，BitMEX的所有者兼運營商HDR Global Trading透露，其決定授予Ford這筆資金，并指出Ford最近剛剛成為比特幣核心軟件項目的最新官方維護者。[2019/7/12]

綜上，看待生成式AI的數據合規問題，需要從移動互聯網服務中的數據合規慣性中跳脫出來，圍繞其在隱私和數據安全方面的不同特點，有的放矢采取相應的合規和安全保護措施。

基于大語言模型的生成式AI為世人所矚目，不在內容生成，而在其所具有的通用人工智能（Artificiall general interlligence,AGI）潛力，業界驚呼：AGI的奇點時刻正在到來。未來，除了面向普通大眾的內容生成式AI應用外，業界普遍認為AI也將改寫互聯網范式。現有商業模式將廣泛引入AI智能模型，大幅提升用戶交互效率。這不是將來時，而是進行時。2023年3月17日，微軟發布Microsoft 365 Copilot，將大語言模型（LLM）功能與微軟辦公應用相結合，幫助用戶解鎖生產力。

Copilot將會被內置到辦公全家桶內，在Word、Excel、PowerPoint中，AI將與個人通過便捷的語言交互，一起撰寫文檔，演示文稿，實現數據可視化；在Outlook，Teams ，Business Chat中，AI能夠幫助用戶回復郵件，管理郵箱，實時完成會議摘要和待辦事項，提高會議效率。

辦公效率的飛越提升，不僅建立在強大的AI模型能力基礎之上，更建立在廣泛的數據打通鏈接基礎之上，使用Copilot意味著用戶將授權微軟打通跨越各業務平臺的個人數據。正如微軟隱私政策所陳述，為實現業務提供，改進和開發產品等目的，微軟會從不同的業務環境中（例如在使用兩個以上 Microsoft 產品的過程中）收集的數據進行合并。

這只是未來超級數字助理的雛形，在智能基礎設施的支持之下，每個人甚至可以擁有多個數字分身，協同完成任務。可以想見，數字助理的背后是大語言模型訪問、鏈接個人以及商業企業的私有數據，數據的融合利用一定是無縫絲滑的。此類數據的訪問處理如何以安全、合規、保護隱私的方式進行，對安全技術保障措施提出了更高要求。

圖：Microsoft Graph 是 Microsoft 365 中數據和智能的網關。它提供了統一的可編程性模型，以安全便捷地跨業務平臺訪問數據。

同時,我們也迫切需要審視現有的隱私保護與合規機制。在當前移動互聯網個人信息保護實踐中，對于必要性原則解釋是非常嚴苛的，以最大程度的避免數據收集與匯聚。例如：《常見類型移動互聯網應用程序必要個人信息范圍規定》（簡稱《39類規定》）不僅針對每類應用區分了基本功能和附加功能，還針對基本功能收集的必要信息進行了明確。在大部分基本功能中僅能收集兩三類個人信息，例如定位和導航功能僅能收集位置信息、出發地、到達地三種信息；《App違法違規收集使用個人信息行為認定方法》中更是明確：不得僅以改善服務質量、研發新產品等理由收集個人信息。這種基于“嚴防死守”的數據合規思路在未來的AI應用場景中是否還能繼續走下去，是一個值得探討的問題。

從移動互聯網到我們正在步入的AI時代，雖然數據利用一直在向更廣更深的方向發展，但各類新技術應用仍將隱私保護作為價值對齊（value alignment）的重要方面。隱私和數據安全的真諦從來也不是對數據的使用進行各種限制，或者人為增加數據利用門檻，而在于通過激烈的市場競爭、健全的法律機制和更加強大的技術安全措施來切實保障用戶隱私與數據安全。

參考資料來源:

https://openai.com/policies/privacy-policy

https://docs.midjourney.com/docs?/privacy-policy

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9870832

GDPR  Article 58&Article 83

https://www.reuters.com/technology/italys-data-watchdog-chatgpt-can-resume-april-30-if-openai-takes-useful-steps-2023-04-18/

https://openai.com/blog/new-ways-to-manage-your-data-in-chatgpt

https://openai.com/product/gpt-4

https://news.microsoft.com/zh-cn/microsoft-365-copilot/

https://privacy.microsoft.com/zh-cn/privacystatement

騰訊研究院

企業專欄

閱讀更多

金色薦讀

金色財經 善歐巴

Chainlink預言機

區塊律動BlockBeats

白話區塊鏈

金色早8點

Odaily星球日報

歐科云鏈

深潮TechFlow

MarsBit

Tags：CHAAINHAIChainpreChargeKardiaChainBCG ChainNCHAIN

幣安app官方下載最新版