ChatGPT数据安全与个人信息保护合规路径探析（上）

前言

近年来，随着人工智能技术的发展，聊天机器人逐渐成为人们日常生活中不可或缺的一部分。从简单的问答、客服、娱乐，到复杂的社交、教育、医疗，聊天机器人的应用场景越来越广泛，也越来越智能。在众多聊天机器人中，有一款名为ChatGPT的应用引起了广泛的关注和讨论。2022年11月底，由美国OpenAI实验室研发的新一代生成式人工智能聊天机器人ChatGPT正式上线，这是一款基于深度学习和自然语言处理技术的智能对话系统，能够与用户进行流畅、有趣、多样的对话，涵盖各种主题和场景。ChatGPT不仅能够理解用户的意图和情感，还能根据用户的喜好和兴趣提供个性化的回复和建议，甚至能够生成诗歌、故事、歌词等创意内容。在上线两个月后，ChatGPT的用户量便突破了一亿，成为历史上增长最快的消费应用程序。ChatGPT在给用户带来便利和乐趣的同时，也再次引发了人们对数据安全及个人信息保护相关法律风险的关注。本文旨在探讨类ChatGPT服务提供者在国内运营过程中，如何应对数据按合规和个人信息保护的法律风险，为相关从业者提供一些参考和借鉴。

一、ChatGPT的技术原理

ChatGPT是一种基于自然语言处理技术的大型语言模型，它是由OpenAI开发的，基于GPT（Generative Pre-trained Transformer）算法，并在此基础上不断改进和升级。ChatGPT的目标是能够与人类进行流畅、智能、有趣的对话，涵盖多个知识领域，并能够回答跟进问题、承认错误、挑战错误的前提，以及拒绝不恰当的请求。 

ChatGPT的基本原理是人工反馈的强化学习，简单来讲：它的训练过程是为了实现使语言模型和人类意图更加匹配，用人类的反馈来进行微调模型。这是一种基于生成式预训练变换器（GPT）的聊天机器人，它能够通过理解和学习人类的语言来进行对话，还能根据聊天的上下文进行互动，真正像人类一样来聊天交流，甚至能完成撰写邮件、视频脚本、文案、翻译、代码，写论文等任务。

ChatGPT从GPT-3.5和GPT-4这两个OpenAI的最新语言模型中进行微调（一种迁移学习的方法）得到的。微调的过程利用了监督学习和强化学习两种技术，其中强化学习使用了人类反馈（RLHF）的方法。这两种技术都使用了人类训练师来提高模型的性能。在监督学习中，模型被提供了训练师扮演用户和AI助手双方的对话。在强化学习中，人类训练师先对模型在之前对话中生成的回复进行排序，然后使用这些排序来创建“奖励模型”，并使用多次近端策略优化（PPO）来进一步微调模型。 

二、ChatGPT主要应用场景  

（一）自动问答系统

ChatGPT可以作为智能的问答机器人，根据用户的问题提供相关的答案，或者引导用户进行更深入地交流。例如，用户可以向ChatGPT询问一些知识性、事实性或者个性化的问题，ChatGPT可以从大量的文本数据中检索或者生成合适的答案，或者提出一些相关的问题来延续对话。

（二）文本摘要

ChatGPT可以作为文本摘要生成器，根据用户给定的一篇长文本，生成简洁、准确、完整的摘要，帮助用户快速了解文本的主要内容和观点。例如，用户可以向ChatGPT输入一篇新闻报道、论文或者小说，ChatGPT可以根据文本的结构、语义和重点，生成一个包含文本的标题、作者、主题和摘要的段落。

（三）语言翻译

ChatGPT可以作为语言翻译器，根据用户给定的一段文本和目标语言，生成语法正确、语义通顺、风格适当的翻译结果。例如，用户可以向ChatGPT输入一段中文或者英文的文本，指定目标语言为英文或者中文，ChatGPT可以根据文本的内容和语境，生成一个符合目标语言习惯和规范的翻译结果。

（四）文本生成

ChatGPT可以作为文本生成器，根据用户给定的一些关键词或者开头，生成与之相关的完整的文本。例如，用户可以向ChatGPT输入一些主题词、情感词或者人物名字，ChatGPT可以根据这些关键词生成一个包含这些元素的故事、诗歌或者文章。

三、ChatGPT与我国数据安全、个人信息保护合规法律体系

2022年中央全面深化改革委员会第二十六次会议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》，指出数据作为新型生产要素已快速融入各个领域并成为我国五大生产要素之一。然而，数据的跨境流动也带来了安全风险，特别是涉及个人信息、敏感信息和国家安全等重要数据时，更需要注意数据安全问题。ChatGPT作为生成式人工智能，具备收集、储存和使用海量数据的功能，在人机交互问答中可能会涉及个人信息、商业秘密等数据，存在数据跨境流动安全风险。

（一）数据安全合规法律体系

根据《数据安全法》第三条所作的定义，数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。从宏观层面看来看，数据安全是国家在国际竞争的大背景下维护数据主权、保障国家安全和核心利益的重要战略；从微观角度来看，它是企业数据合规体系应满足的首要的，也是最基础、最刚性的要求，企业数据合规体系的第一道防线要靠数据安全合规来构建。

2017年6月1日起实施的《网络安全法》和2021年9月1日起实施的《数据安全法》分别对网络安全和数据安全进行了系统、全面的规制，共同构成了我国企业数据安全合规的基础规则体系。在这两部法律的统领之下，《关键信息基础设施安全保护条例》《网络安全审查办法》《网络产品安全漏洞管理规定》等法规、规章为数据安全合规提供了更细致、可操作的依据。同时，一系列重要的规范性文件和国家标准正在紧锣密鼓地起草、征求意见过程之中，如《网络安全等级保护条例（征求意见稿）》《数安条例（征求意见稿）》《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》《重要数据识别指南（征求意见稿）》《生成式人工智能服务管理办法（征求意见稿）》等，需要企业持续地关注并适时地纳入其数据安全合规体系的考量之中。

（二）个人信息保护合规法律体系

个人信息保护合规，是指企业在日常管理、经营（特别是数据收集、处理和利用）的过程中，按照规范性文件的各项规定，落实对权利主体个人信息保护要求的合规实现过程。

我国法律关于个人信息保护的规定，最早为2005年《刑法修正案（五）》增设的“窃取、收买、非法提供信用卡信息罪”。此后，《刑法修正案（七）》《刑法修正案（九）》《关于加强网络信息保护的决定》《消费者权益保护法》《网络安全法》《电子商务法》《民法典》等法律法规分别从不同视角对个人信息保护作出了详细规定。2021年11月1 日起正式实施的《个人信息保护法》，是我国第一部关于个人信息保护的专门性法律，旨在保护个人信息权益、规范个人信息处理活动和促进个人信息合理利用，兼具公法和私法的双重属性。在《个人信息保护法》的授权下，国家网信部门协调各相关部门和标准化组织，制定个人信息保护的具体规则和标准，一个以《宪法》为指导，以《个人信息保护法》为核心，其他法律规范和标准化文件协调配合的个人信息保护规范体系正走向成熟。

作为与《个人信息保护法》并称“数据合规三驾马车”的另外两部法律，《网络安全法》和《数据安全法》也从各自视角对个人信息保护作出了规定，因此在企业数据合规管理过程中不宜孤立地看问题，更不能忽视网络安全合规工作、数据安全合规工作与个人信息保护合规工作之间的衔接。

（三）数据合规对类ChatGPT服务的影响

对于像ChatGPT这样的机器学习模型在数据收集、处理和使用方面的法律挑战也越来越严峻。例如，《个人信息保护法》对于个人信息的收集、使用、存储、处理等方面都作出了明确规定，类ChatGPT服务在进行模型训练和优化时需要考虑是否符合相关规定，如是否事先获得了用户的同意、是否对个人敏感信息进行了匿名化等。《网络安全法》则要求网络运营者必须采取必要措施保障网络安全，保护网络安全、数据安全等。而《数据安全法》主要围绕数据的存储、使用、交换和管理等方面展开，对于数据安全的保护提出了更加严格的要求。

类ChatGPT服务提供者需要充分了解这些法规和规定，并制定合规的数据处理和使用流程，如对收集的数据进行必要的筛选和过滤，合理设置数据保密等级和访问权限，并采取必要的技术和组织安全措施，确保数据安全和个人信息保护，避免违反相关法律法规造成的法律风险和信任危机。

未完待续，下篇我们将从数据安全合规、内容合规、算法合规的角度重点探析国内提供类ChatGPT服务的数据安全合规路径，敬请期待……