ChatGPT数据安全与个人信息保护合规路径探析（下）

在《ChatGPT数据安全与个人信息保护合规路径探析（上）》中，我们介绍了ChatGPT的技术原理与主要应用场景，结合我国数据安全、个人信息保护合规法律体系，简要分析了数据合规对类ChatGPT服务的影响。下篇我们将从数据安全合规、内容合规、算法合规的角度重点探析国内提供类ChatGPT服务的数据安全合规路径。

四、国内提供类ChatGPT服务的数据安全合规路径探析

在ChatGPT的工作流程中，模型的训练和优化需要使用大量的文本数据，这些数据可能来自互联网上各种公开或非公开的资源。在数据的收集和处理等环节中，需要面对许多法律问题，例如，数据的来源是否合法、是否侵犯了他人的知识产权、是否涉及个人隐私、算法是否符合相关法规等等。因此，ChatGPT的数据安全合规路径探索至关重要，必须确保数据的合法性和合规性，以避免潜在的法律风险。

（一）数据安全合规

数据是ChatGPT服务的重要基础，也是其面临的主要挑战。类ChatGPT服务在研发和运营过程中，涉及大量的数据收集、处理、存储、传输和使用，这些数据可能包含用户的个人信息、商业秘密、国家秘密等敏感信息，如果发生数据泄露、篡改、损毁或滥用等事件，将对用户的隐私权、知识产权、商业利益和国家安全造成严重危害。因此类ChatGPT服务提供者应当遵守国家关于数据安全的法律法规，建立健全数据安全管理制度和技术措施，防范和应对数据安全风险。具体来说，类ChatGPT数据安全合规主要涉及三个方面，即数据来源与收集合规、数据处理合规以及数据跨境。

1.数据来源与收集

ChatGPT的数据来源主要包括两部分：一是公开的网络数据，如社交媒体、论坛、新闻资讯等；二是用户的输入数据，如聊天记录、反馈信息等。对于从公开信息中收集的数据，需要注意其中是否涉及个人信息。根据《中华人民共和国民法典》和《个人信息保护法》的规定，若涉及公开信息中的个人信息，如果个人通过任何方式明确表示拒绝，则不可对该个人信息进行收集和抓取。此外，如果收集、抓取该个人信息对个人权益有重大影响，也不可径行抓取，而应取得个人同意。对于用户输入的内容，也可能涉及个人信息，类ChatGPT服务提供者应取得个人的授权同意，并明确收集个人信息的目的、方式、范围。在用户注册时应签署用户协议及规范的《隐私政策》。类ChatGPT服务提供者应加强敏感信息的自动识别技术，在识别到敏感信息时应采取以弹窗等醒目方式单独告知个人处理该敏感信息的必要性、目的、方式和范围，以及对个人权益的影响，并取得个人的单独同意，方可收集和处理敏感信息。

2. 数据处理

ChatGPT模型训练后，会生成一个参数量巨大的模型文件，这个文件包含了训练数据的特征和规律。此外，ChatGPT服务过程中，也会产生大量的用户输入和输出数据。这些数据都需要进行合规的处理和管理，以保证数据的安全性、完整性、可靠性和可追溯性。在处理相关数据的过程中，可能涉及数据泄漏的风险，一旦泄漏，将可能导致相当严重的损害后果发生。因此，类ChatGPT服务提供者应采取合理的技术和组织措施保障数据安全，并加强对数据泄漏的监控和预防。同时，用户输入的内容可能涉及个人信息、业务数据甚至涉及商业秘密的内容，应加强对这些内容的保护措施。

3. 数据跨境

《网络安全法》《数据安全法》和《个人信息保护法》共同构建了我国的网络数据安全治理体系，而数据跨境活动的监管一直是治理体系的重点内容。为此，国家先后出台了《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》（下称“《安全认证规范》”）、《个人信息出境标准合同办法》（下称“《标准合同办法》”，自）和2023年6月1日起施行的《数据出境安全评估办法》（下称“《安全评估办法》”），重要数据出境的方式在一定程度上得到了明确，类ChatGPT数据跨境面临新的合规挑战。根据我国《网络安全法》《数据安全法》《个人信息保护法》对数据出境的相关规定，数据出境活动的前提在于拟出境的数据是在境内运营过程中产生的，如《网络安全法》第三十七条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

根据ChatGPT的工作原理，用户在输入端口提出问题后，该问题会传输到位于美国的OpenAI公司，随后ChatGPT给出相应回答，该回答便会输入到用户端口以实现对问题的反馈。在此过程中，必将存在数据跨境流动，尤其是在数据出境这一方面，用户所提出的问题中极有可能涉及个人信息、敏感信息甚至有关国家安全、经济运行、社会稳定的重要数据。目前，OpenAI公司并未向中国大陆提供相关服务，因此OpenAI公司的行为不属于境内运营行为。但ChatGPT作为当前人工智能领域的前沿技术代表，在国内，不仅百度、阿里等企业也计划推出相类似的对话式人工智能产品，更有不少科技企业向OpenAI公司抛出橄榄枝，试图引入ChatGPT服务，还有不少企业在业务运营过程中使用ChatGPT，由此极易触发数据跨境安全风险。对于境内类ChatGPT服务提供者先向境内用户收集数据再向境外提供数据的情形，我们提出如下合规建议：

（1）数据出境安全评估。《安全评估办法》《安全认证规范》以及《标准合同办法》均规定企业应当自行开展数据跨境相关的风险评估工作。建议类ChatGPT服务提供者注重数据安全的事前评估，将个人信息、个人敏感信息以及重要数据进行区别对待，尽早开展个人信息保护影响评估与数据出境风险自评估并长期保存评估结果。完成风险自评估后，类ChatGPT服务提供者可以向所在地省级网信部门申报数据出境安全评估。

（2）订立标准合同，并向网信部门备案。从标准合同式跨境的具体方案来看，数据处理者应当进行个人信息保护影响评估，并与境外数据接收方签订数据跨境标准合同。《标准合同办法》中提供了标准合同模板，该合同中综合了我国目前对于个人信息保护的相关规定，提供了更为明确和严格的义务和个人信息权益。

（3）建立事前性审查机制。虽然目前OpenAI公司对ChatGPT生成的内容已经有所限制和筛查以禁止某些不良言论的出现，但由于中美两国的经济、文化等方面的差异，建议类ChatGPT服务提供者通过人工筛选或屏蔽关键词的方式对ChatGPT生成内容进行前置性审查。

（二）内容合规

ChatGPT生成的内容可能违反相关的法律法规、道德规范或社会公序良俗，例如涉及政治敏感、色情低俗、暴力恐怖、诽谤诋毁等。这些内容不仅会损害类ChatGPT服务提供者的品牌形象和用户信任度，还可能引发法律纠纷或行政处罚。因此，需要对类ChatGPT生成的内容进行有效的监管和过滤，并及时删除或屏蔽不合规或不良的内容。我们认为，类ChatGPT服务提供者应当侧重履行如下义务：一是落实信息安全主体责任，建立健全用户注册、算法机制机理审核、科技伦理审查、信息发布审核、数据安全、个人信息保护等管理制度，具有安全可控的技术保障措施。二是加强深度合成内容管理，采取技术或者人工方式对深度合成服务使用者的输入数据和合成结果进行审核。三是建立健全用于识别违法和不良信息的特征库，完善入库标准、规则和程序，记录并留存相关网络日志。四是发现违法和不良信息的，应当依法采取处置措施，保存有关记录，及时向网信部门和有关主管部门报告。五是在生成内容时履行内容标识义务，向用户公示深度合成情况，注明其来源和性质，避免造成公众混淆或者误认。

（三）算法合规

1.《互联网信息服务深度合成管理规定》的相关要求

根据《互联网信息服务深度合成管理规定》（下称“《深度合成管理规定》”）给出的定义，深度合成技术是指利用深度学习、虚拟现实等生成合成类算法制作文本、图像、音频、视频、虚拟场景等网络信息的技术，其中包括篇章生成、文本风格转换、问答对话等生成或者编辑文本内容的技术。ChatGPT生成内容显然应当受该规定的规制。《深度合成管理规定》第七条规定，深度合成服务提供者应当落实信息安全主体责任，建立健全用户注册、算法机制机理审核、科技伦理审查、信息发布审核、数据安全、个人信息保护、反电信网络诈骗、应急处置等管理制度，具有安全可控的技术保障措施。依据上述规定，类ChatGPT服务提供者应当从以下方面履行法定义务：

（1）内容审核义务。加强深度合成内容管理，采取技术或者人工方式对深度合成服务使用者的输入数据和合成结果进行审核（第六条、第十条第一款）；

（2）建立管理制度及技术保障措施义务。建立健全用户注册、算法机制机理审核、科技伦理审查、信息发布审核、数据安全、个人信息保护、反电信网络诈骗、应急处置等管理制度，具有安全可控的技术保障措施（第七条）；

（3）制定和公开管理规则义务。制定和公开管理规则、平台公约，完善服务协议，依法依约履行管理责任，以显著方式提示深度合成服务技术支持者和使用者承担信息安全义务。（第八条）；

（4）身份信息认证义务。基于移动电话号码、身份证件号码、统一社会信用代码或者国家网络身份认证公共服务等方式，依法对深度合成服务使用者进行真实身份信息认证，不得向未进行真实身份信息认证的深度合成服务使用者提供信息发布服务（第九条）；

（5）建立违法和不良信息特征库义务。建立健全用于识别违法和不良信息的特征库，完善入库标准、规则和程序，记录并留存相关网络日志（第十条第二款）；

（6）违法和不良信息报告与处置义务。发现违法和不良信息的，应当依法采取处置措施，保存有关记录，及时向网信部门和有关主管部门报告；对相关深度合成服务使用者依法依约采取警示、限制功能、暂停服务、关闭账号等处置措施（第十条第三款）；

（7）辟谣机制建立义务。建立健全辟谣机制，发现利用深度合成服务制作、复制、发布、传播虚假信息的，应当及时采取辟谣措施，保存有关记录，并向网信部门和有关主管部门报告（第十一条）；

（8）申（投）诉渠道设置及处理义务。设置便捷的用户申诉和公众投诉、举报入口，公布处理流程和反馈时限，及时受理、处理和反馈处理结果（第十二条）；

（9）个人信息保护义务。采取必要措施保障训练数据安全，训练数据包含个人信息的，应当遵守个人信息保护的有关规定（第十四条）；

（10）安全评估义务。定期审核、评估、验证生成合成类算法机制机理。开发上线具有舆论属性或者社会动员能力的新产品、新应用、新功能的，应当按照国家有关规定开展安全评估（第十五条、第二十条）；

（11）深度合成内容标识义务。添加不影响用户使用的标识，向公众提示深度合成情况，避免导致公众混淆或者误认（第十六条、第十七条）。

2.《互联网信息服务算法推荐管理规定》的相关要求

除了《深度合成管理规定》，ChatGPT生成内容也受《互联网信息服务算法推荐管理规定》（下称“《算法推荐管理规定》”）规制。《算法推荐管理规定》中所称算法推荐技术，就包括利用生成合成类算法技术向用户提供信息，旨在防止出现算法歧视或算法偏见，生成负面有害信息或低俗劣质信息等不符合主流价值导向的内容。

根据《算法推荐管理规定》的规定，算法推荐服务提供者应当履行算法安全管理的主体责任、加强信息安全管理、落实用户权益保护等义务，此外还需要关注是否可能存在算法歧视等问题。同时要求具有舆论属性或者社会动员能力的算法推荐服务提供者应当履行算法备案、安全评估义务。依据上述规定，类ChatGPT服务提供者应当定期审核、评估、验证算法机制机理、模型、数据和应用结果，确保算法模型不违背伦理道德。在此基础上，类ChatGPT服务提供者同样应当以显著方式告知用户其提供算法推荐服务的情况，并以适当方式公示算法推荐服务的基本原理、目的意图和主要运行机制等。如果类ChatGPT服务用于社交、媒体等，涉及舆论属性或者社会动员能力，则应当按照前述规定履行相应的备案、安全评估义务。

除了《算法推荐管理规定》《深度合成管理规定》这两个针对性法规外，开发使用生成合成类算法的企业还应留意《生成式人工智能服务管理办法（征求意见稿）》（以下简称“《人工智能管理办法》”）。《人工智能管理办法》正式出台后，将是继《算法推荐管理规定》《深度合成管理规定》之后的第三部专门针对某一特定技术服务监管的部门规章。需要特别指出的是，《人工智能管理办法》，《算法推荐管理规定》规定算法推荐服务提供者应在提供服务之日起10日内履行算法备案等手续，但《人工智能管理办法》则将算法备案作为生成式人工智能产品上线的前置条件，可见《人工智能管理办法》对生成式人工智能产品的算法备案提出了更为严格的要求。

五、结语

在新兴技术的快速发展下，数据安全和个人信息保护已成为一项全球性的挑战。我国对于数据安全和个人信息保护一直秉承严格监管的原则，基于《网络安全法》《数据安全法》《个人信息保护法》建立了包括一系列法律、法规、部门规章以及规范文件的严密规范体系。从法律合规的角度而言，无论是ChatGPT的用户还是类ChatGPT服务提供者，都需要考虑新兴技术落地过程中的法律、合规风险。