引言:ChatGPT的发布无疑是今年以来最重磅的科技新闻,其丰富的内容与高度贴合人类直觉的交互方式在短时间内已吸引到大量用户。本文以ChatGPT所属公司OpenAI为例,结合我国新近立法与执法实践,从内容权利、商业使用和数据安全三个方面为国内用户概要提示在使用ChatGPT类生成式AI工具时可能面临的潜在法律风险,以期帮助读者更加安全合规地发挥AIGC产品效能。
一、生成式AI工具"内容"的固有权利及潜在风险
- "内容"的可版权性
根据我国《著作权法》、《著作权法实施条例》,作品是指文学、艺术和科学领域内具有独创性并能以某种有形形式复制的智力成果,但国内尚无生效法律法规或政策文件对人工智能创作物著作权的权属权能作出明确的规定或安排。
以ChatGPT为例,用户使用ChatGPT的基本方式是向ChatGPT输入信息(Input),在经由ChatGPT处理后,由其反馈得到输出信息(Output),输入与输出信息统称为"内容"(Content)。
在目前的司法实践中,国内法院对人工智能创作物是否具有著作权存在两种观点:有的法院认为人工智能创作物能够体现独创性,能够独立构成作品[1];也有法院认为由于不是自然人所创作,人工智能创作物即使具有独创性,也不能构成著作权法意义上的作品[2]。虽然就人工智能创作物是否构成作品存在争议,但不同法院在判决中都明确考量了人工智能创作物的正当权益,以达到保护软件所有者及软件使用者之投入的效果。基于此,对ChatGPT类生成式AI工具"内容"权利归属的讨论具有现实意义。
- "内容"的权利归属
以OpenAI《使用条款》(《Terms of use》)[3]为例,OpenAI在ChatGPT"内容"的权利分配上十分"慷慨大方"。在用户遵守OpenAI公布的相关条款前提下,OpenAI将输出信息的所有权利分配给用户,即用户可以将"内容"用于任何目的,包括销售或出版等商业目的("Subject to your compliance with these Terms, OpenAI hereby assigns to you all its right, title and interest in and to Output. This means you can use Content for any purpose, including commercial purposes such as sale or publication, if you comply with these Terms")。
值得注意的是,由于机器学习的性质,ChatGPT"内容"可能具有相似性,即其他用户通过相似的输入信息可能得到相似的输出反馈。根据OpenAI《使用条款》,当前用户与其他用户提出相似的问题并获得接近的反馈时,为其他用户反馈的输出信息不被视为当前用户的"内容"("Responses that are requested by and generated for other users are not considered your Content")。基于此,该类信息的权利并不能被理解为概由用户享有。
- "内容"的侵权责任风险
ChatGPT类生成式AI为实现信息输出需要吸收学习巨量的互联网数据,而其开发端是否已经从全部算法训练的源数据处逐一取得授权尚难确定,因此"内容"存在侵犯第三方著作权的可能性,尤其是在"内容"与第三方拥有著作权的作品高度相似的情形下。
以OpenAI《使用条款》为例,OpenAI将"内容"的所有权利分配给用户的同时,也要求用户对"内容"负责,确保其不违反任何适用的法律或OpenAI公布的条款("You are responsible for Content, including for ensuring that it does not violate any applicable law or these Terms.")。
虽然OpenAI希望通过前述条款使其与"内容"责任隔离,但在我国法律环境下,ChatGPT类生成式AI工具服务商恐难以此免除其全部责任。根据《互联网信息服务深度合成管理规定》第七条,深度合成[4]服务提供者应当落实信息安全主体责任,建立健全用户注册、算法机制机理审核、科技伦理审查、信息发布审核、数据安全、个人信息保护、反电信网络诈骗、应急处置等管理制度,具有安全可控的技术保障措施。ChatGPT类生成式AI工具符合深度合成技术的特点,若未来在我国境内提供互联网信息服务,则产品开发者和AIGC服务提供商须适用前述规定承担相应的责任。[5]
二、生成式AI工具"内容"的商用风险
承前所述,OpenAI《使用条款》允许用户将"内容"用于商业目的,但需注意的是,由于机器学习的概率特性,需要由用户根据使用情况评估"内容"的准确性,OpenAI不能保证"内容"准确、适用于特定目的或不侵权,并要求用户不能声称"内容"是完全由人类创造的("Given the probabilistic nature of machine learning, you should evaluate the accuracy of any Output as appropriate for your use case......DISCLAIM ALL WARRANTIES INCLUDING BUT NOT LIMITED TO WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, SATISFACTORY QUALITY, NON-INFRINGEMENT......You may not (v) represent that output from the Services was human-generated when it is not or otherwise violate our Usage Policies")。
事实上,诸多领域内已经有ChatGPT代替人类完成工作的实例,且不排除存在未向交易相对方声明该等工作成果系由AI完成的情况。在此背景下,若被商用的"内容"构成侵权或导致用户违约,用户将难以向OpenAI主张其损失。
我们注意到,目前已有国家对ChatGPT的"内容"失真展开调查,4月13日,法国国家信息自由委员会(CNIL)收到5项关于ChatGPT的投诉,并决定立案调查。议员艾瑞克·博托雷尔投诉称,机器人虚构了他的生活细节,包括他的出生日期和工作经历,根据欧洲数据保护条例(GDPR),这类系统有义务尽可能提供准确的个人数据。
三、生成式AI工具的数据处理及跨境合规风险
除前述商务应用外,亦有部分企业将生成式AI工具用于辅助企业管理决策。以ChatGPT为例,由于ChatGPT的信息均存储在位于美国的服务器中,对ChatGPT的使用实质上是境内企业将其数据(包括但不限于企业经营数据及收集到的用户数据)交由境外企业进行分析和处理,因此使用该程序工具务须满足我国法律法规对数据跨境传输的规范要求。
- 用户隐私政策
据媒体公开报道,面对ChatGPT日益暴露出的数据风险,多个国家和企业相继对ChatGPT及其所属的生成式AI工具作出执法回应。3月30日,韩国媒体《Economist》报道三星内部近日发生三起涉及ChatGPT误用与滥用案例,为杜绝类似事故三星正在制定相关保护措施。3月31日,意大利个人数据保护局宣布暂时禁止意大利境内用户访问ChatGPT,并审查ChatGPT非法收集用户数据的情况。4月4日,加拿大隐私专员办公室因收到对ChatGPT在未经同意的情况下收集、使用和披露个人信息的投诉,宣布调查OpenAI。4月13日,西班牙国家数据保护局(AEPD)宣布已对ChatGPT可能违反数据保护规定的问题展开初步调查。
中国国家互联网办公室亦于4月11日发布《生成式人工智能服务管理办法(征求意见稿)》,指出利用生成式人工智能产品提供聊天和文本、图像、声音生成等服务的组织和个人,包括通过提供可编程接口等方式支持他人自行生成文本、图像、声音等,承担该产品生成内容生产者的责任;涉及个人信息的,承担个人信息处理者的法定责任,履行个人信息保护义务。
鉴于此,个人及企业用户在使用生成式AI工具时应格外关注个人信息保护、商业秘密及数据安全。以OpenAI《隐私政策》(《Privacy policy》)[6]为例,OpenAI可能会收集用户使用ChatGPT的"内容"中所包含的个人信息,并在将这些个人信息汇总和去识别后,用于分析和改进服务,以及研究和其他类似的目的。用户使用OpenAI的服务即代表接受其数据将从本地被传输到位于美国的设施和服务器中("We may collect Personal Information that is included in the input, file uploads, or feedback that you provide to our Services...... We may aggregate or de-identify Personal Information and use the aggregated information to analyze the effectiveness of our Services, to improve and add features to our Services, to conduct research and for other similar purposes...... By using our Service, you understand and acknowledge that your Personal Information will be transferred from your location to our facilities and servers in the United States.")。
另外,少数经授权的OpenAI员工可能因为以下原因访问用户的"内容":(1)调查滥用或安全事件;(2)提供技术支持;(3)为遵守法律义务;(4)使用去识别化的内容来改进模型和服务。用户可以通过提交表单的方式申请退出使用"内容"数据改善模型和服务。("A limited number of authorized OpenAI personnel may view and access user content only as needed for these reasons: (1) investigating abuse or a security incident; (2) to provide support to you if you reach out to us with questions about your account; (3) to comply with legal obligations; or (4) when we use de-identified content to improve our models and services, unless you have opted out...... You can request to opt- out of having your data used to improve our non-API services by filling out this form with your organization ID and email address associated with the owner of the account.")
- 国内法律规制
我国现有多部法律法规对数据跨境作出规范。结合《网络安全法》第三十七条、《数据安全法》第三十一条、《个人信息保护法》第四十条及《数据出境安全评估办法》第四条的规定,下列情形下数据处理者向境外提供数据需要通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
- 数据处理者向境外提供重要数据;
- 关键信息基础设施运营者[7]和处理100万人以上个人信息的数据处理者向境外提供个人信息;
- 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
- 国家网信部门规定的其他需要申报数据出境安全评估的情形。
对于个人信息的跨境提供,根据《个人信息保护法》第三十八条和第三十九条,个人信息处理者还需要向个人告知并取得其同意,并符合下列条件之一:
- 通过国家网信部门组织的安全评估;
- 按照国家网信部门的规定经专业机构进行个人信息保护认证;
- 按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
- 法律、行政法规或者国家网信部门规定的其他条件。
作为对上述国内法律规范的及时响应,中国支付清算协会于4月10日发出《关于支付行业从业人员谨慎使用ChatGPT等工具的倡议》,指出已有部分企业员工使用ChatGPT等工具开展工作。但是,此类智能化工具已暴露出跨境数据泄露等风险。
考虑到申报数据出境安全评估以及个人信息出境的严格限定条件,我们建议国内用户视情况及必要在使用ChatGPT等工具前考虑采取以下措施:
1)在自身构成"关键信息基础设施运营者"时,通过数据出境安全评估;
2)由于个人信息不包括匿名化处理后的信息[8],可先将个人信息匿名化处理后再实施数据出境。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
