引言:
在GDPR生效五周年之際,愛爾蘭資料保護委員會向Meta開出了創紀錄的12億歐元天價罰單,處罰依據是Meta Ireland向Meta US傳輸歐洲使用者個人資訊(包含照片、朋友關系、直接消息和為定向廣告所收集的個人資訊等)時未遵循GDPR規定,且未采取充分的保障措施保障該資料跨境共享行為。
這背後的資料主權之争暫且不論,但确實為提供全球服務的集團公司敲響了“警鐘”:其除了需要關注“資料合規管轄權” 外 (具體參見《AIGC照鏡子(二):提供全球服務,ChatGPT僅遵守美國法律就夠了嗎?》),還需額外關注集團内資料共享行為(尤其在跨國共享的情形下)的合規性。
作為一家同樣提供全球服務的網際網路公司,Open AI在營運ChatGPT的過程中,也不可避免地會面臨資料共享的問題。對此,Open AI又将如何應對?我們将在本文中通過解析其《隐私政策》進行探讨。
一、資料共享的前提——“我們”有界
資料共享的前提是通過合法路徑收集了資料主體的資料。直接向資料主體收集資料是最常見的場景,而“告知-同意”規則則是最主要的合法性依據,即通過《隐私政策》等文本向使用者告知資料處理主體(即資料控制者,對應到大陸《個人資訊保護法》,則是指個人資訊處理者),資料收集的目的、範圍及方式,在獲得使用者點選“同意”後方可收集并處理其個人資訊。
“我們”是《隐私政策》中常見的簡稱,本是用來指代《隐私政策》的資料處理主體,但有不少網際網路平台借此詞做起了文章:通過使用“我們”一詞,籠統地将平台營運主體及其相關關聯公司一并納入進來。
由此,在造成适用主體不清的同時,也暗含了其他資料合規風險:即個人資訊共享時的邊界模糊問題。具體詳見本團隊撰寫的《<個人資訊保護法>實施1.5年,再看平台隐私政策中 “我們”是誰?》。
在這個問題上,Open AI倒沒有打小算盤,在《隐私政策》列專條明确了“資料控制者”的角色,即ChatGPT的營運主體Open AI, L.L.C.(根據其最新《隐私政策》1,資料控制者已變更為Open AI OpCo, LLC)。
二、個人資訊“共享”無邊?
如上文所述,在“我們”不清的情形下,容易導緻個人資訊共享的邊界模糊。但即便是在Open AI在明确“我們”是誰的情形下,也依然在個人資訊共享上打起了“馬虎眼”。
根據ChatGPT《隐私政策》,個人資訊共享共有四種情形,分别為第三方服務商共享、商事交易轉移共享、法律要求共享及關聯方共享。有意思的是,與其他三種共享情形相比,關聯方共享并沒有明确具體共享的情形和目的:
即便是在下文針對加利福利亞使用者的專章,針對共享的個人資訊範圍又做了列舉,都包括分享給關聯方的個人資訊,其中不乏登入資訊等敏感個人資訊,但仍未明确具體會在何時分享。
然而,根據美國加州消費者隐私法案(即California Consumer Privacy Act,下稱“CCPA”)的規定,消費者有權利知道收集、出售或分享個人資訊的業務或商業目的;根據GDPR的規定,當控制者打算向另一接收方披露個人資料,應當按照GDPR的規定向使用者披露相關資訊,包括個人資料的處理目的及依據。
如在今年2月,美國聯邦貿易委員會(即Federal Trade Commission,下稱“FTC”)就GoodRx(一家可以網絡遠端購買處方藥的折扣網際網路平台)違規向Facebook和谷歌在内的廣告商共享使用者的健康資料一案,向GoodRx開出了150萬美元的罰單。GoodRx通過向Facebook等廣告商共享使用者個人健康資訊(包括處方和醫療狀況),以在Facebook和Instagram等平台為自己的使用者提供個性化的特定藥物廣告。FTC認為這違反了其向使用者作出的隐私承諾,也未通知使用者他們的健康資料在未經授權的情況下被洩露,故而做出了處罰決定。
但顯然,Open AI在關聯主體之間共享個人資訊(特别是可能包含敏感個人資訊)這一次元未能并未遵循CCPA及GDPR的規定,違反了透明度原則,其合規性存在瑕疵。
結語:
資料,隻有在有序的流動中才能産生價值。
對于類ChatGPT提供全球服務的企業而言,無論是内部集團内共享,還是外部與供應商/客戶等進行共享,都需要着重關注資料共享的合規邊界,在确定“資料合規管轄權”的基礎上,按照下述“四步走”路徑,明确各方的資料處理角色(共同處理、委托處理/受托處理)及共享場景,在明确自身權責的同時,适配對應風控措施,進而實作資料的合規有序流動:
1.第一步:确定共享目的
在決定是否進行資料共享前,首先需要确定共享的目的,明确共享的具體應用場景及共享主體,并形成書面記錄。
2.第二步:明确共享範圍
應隻共享實作目的所需的最少資料,以便遵循最小必要原則,并明确是否包括敏感個人資訊、重要資料等特殊種類的資料,對于特殊種類資料,應當比對相應的加密傳輸、去辨別化等技術安全措施;如涉及跨境共享資料的,還應當遵循資料出境相應規則,履行相應審批/備案流程(如需)。
3.第三步:界定各方角色
作為資料提供方,應當明确共享場景及各自角色(提供、共同處理或委托處理),并基于此明确雙方各自權利、義務及責任承擔問題。
4.第四步:适配風控措施
基于資料共享場景,事前做好資料保護影響評估/個人資訊保護影響評估,梳理、分析資料共享可能會給資料主體帶來的風險(如是否侵犯個人資訊及隐私權)、是否符合與第三方的約定以及是否會對于公司的獨立性以及資料安全帶來風險,進而制定适配相應的風控措施。
參考文獻:
[1]Privacy policy (Updated Apirl 27,2023),https://openai.com/policies/privacy-policy, 2023年6月4日通路。
本文作者:
高亞平,德恒上海辦公室合夥人、資料與合規業務部負責人;高律師深耕新經濟、大資料與網際網路行業法律服務,擅長創新業務領域的合規體系模型建構、網際網路與資料業務合規、新經濟平台業務合規、算法合規、資料出境等細分領域,擔任多家頭部新經濟平台與大資料公司合規法律顧問。
紀倩,德恒上海辦公室律師,專注于電商平台合規營運、稅務籌劃等相關法律服務,曾參與過多個社交電商平台合規風控、平台及平台内經營者稅務籌劃等項目。
聲明:
本文由德恒律師事務所律師原創,僅代表作者本人觀點,不得視為德恒律師事務所或其律師出具的正式法律意見或建議。如需轉載或引用本文的任何内容,請注明出處。