ChatGPT的数据安全风险及其合规管理.pdf

1、人工智能法治专题文章编号:1008-4355(2023)04-0098-11收稿日期:2023-04-05基金项目:2022 年西南政法大学智能司法研究院合规专项课题“医疗人工智能刑事合规原理与实务研究”(ZNHG2022K06)作者简介:霍俊阁(1990),男,河南开封人,西南政法大学智能司法研究院研究人员,西南政法大学数字法治政府研究院研究人员,西南政法大学人工智能法学院讲师,法学博士。参见朱光辉、王喜文:ChatGPT 的运行模式、关键技术及未来图景,载新疆师范大学学报(哲学社会科学版)2023 年第 4 期,第 113-122 页。参见张海、刘畅、王东波、赵志枭:ChatGPT 用户使

2、用意愿影响因素研究,载情报理论与实践2023 年第 4 期,第 15-22 页。ChatGPT 的数据安全风险及其合规管理霍俊阁(西南政法大学,重庆 401120)摘 要:ChatGPT 在积极赋能社会各领域发展过程中也隐含着数据安全风险,可能侵犯公民与企业合法权益、损害公共利益和国家安全。应当坚持“四个治理”原则,将合规管理方式引入到 ChatGPT 的数据安全风险治理体系,创新 ChatGPT 数据安全风险的治理方式。以合规管理方式治理 ChatGPT 的数据安全风险,需要 ChatGPT 的研发、生产、运用企业依据有效性原则、全面性原则、独立性原则、相称性原则开展数据合规管理,并从数据合

3、规管理制度、数据安全风险识别与评估、数据安全风险应对处置、数据合规奖惩、数据合规科技创新、数据合规管理评估、数据合规文化培育等方面建立和实施数据合规管理方案。关键词:人工智能;ChatGPT;数据安全风险;“四个治理”;合规管理中图分类号:DF49 文献标志码:A DOI:10.3969/j.issn.1008-4355.2023.04.08 开放科学(资源服务)标识码(OSID):自美国 OpenAI 公司发布 ChatGPT 以来,ChatGPT 的推广应用和技术迭代一直备受人工智能专家、社会公众和法学界关注。ChatGPT 在互动问答、论文写作、代码编写、视频创作等方面的表现,极大冲击了

4、人们对人工智能技术的既有认知。ChatGPT 能够取得如此优异的表现,得益于其是一种由GPT-3.5 模型提供支持的、基于互联网可用数据训练的文本生成深度学习模型。作为生成式人工智能技术的典型代表,ChatGPT 必将开拓人工智能技术应用的新场景。但 ChatGPT 是以大量数据为基础产生的人工智能技术,大量数据的流动和调用必然会涉及数据安全问题,数据安全风险的管理成为 ChatGPT 发展过程中的一项重要议题。尽管现阶段我国相关领域还未广泛应用 ChatGPT,892023 年 8 月第 25 卷 第 4 期 Journal of Southwest University of Politi

5、cal Science&Law Aug.,2023Vol.25 No.4ChatGPT 的数据安全风险在我国的社会场景中还没有大规模出现,但从应然层面前瞻性地建构ChatGPT 数据安全风险的化解机制,保障相关数据的安全利用,是推动 ChatGPT 等生成式人工智能规范发展的必然要求。基于此,本文将在梳理 ChatGPT 数据安全风险的基础上,积极建构 ChatGPT数据安全的合规管理体系,以实现 ChatGPT 数据安全风险的合规防控。一、ChatGPT 运行周期内的数据安全风险梳理 ChatGPT 需要数据输入并通过算法模型对数据进行处理,才能有结果输出,在这一过程中就可能发生各类数据安全

6、问题。且 ChatGPT 在数据输入、数据处理、数据输出阶段均可能发生数据安全事件,引发侵犯公民、企业合法权益及损害公共利益、国家安全等安全风险。(一)ChatGPT 在数据收集阶段的安全风险根据 OpenAI 使用条款的规定,OpenAI 对任何用户的输入和输出内容拥有广泛使用权以改善ChatGPT。可是,不是所有的用户都愿意将其数据提供给 ChatGPT,每个用户也并非都愿意 ChatG-PT 收集其全部数据。更加值得警惕的是,不同于公开的社交平台,生成式人工智能很可能会收集到大量高度敏感的隐私信息乃至保密信息。以致于,微软和亚马逊就曾因担心泄露机密信息而禁止公司员工向 ChatGPT 分

7、享敏感数据,埃森哲公司也因类似原因警告员工不要将客户信息透露给ChatGPT。如果 ChatGPT 非法收集了个人数据、企业数据、公共数据,必然会引发数据安全风险。第一,非法收集个人数据会侵犯公民个人信息。任何组织、个人收集数据都应当合法、正当,ChatGPT 要收集用户的个人数据必须采取合法、正当的方式。而且,从数据收集目的和收集对象来看,ChatGPT 对用户数据的收集不属于个人信息保护法第 13 条规定的无需获得个人同意的情形。所以,ChatGPT 收集用户个人数据时应当获得用户同意。如果 ChatGPT 在未经用户同意的情形下非法收集了用户的个人数据,则可能违反相关法律规范中有关公民个

8、人信息保护的规定,引发侵犯公民个人信息的安全风险。第二,非法收集企业数据会侵犯企业数据权益、企业商业秘密、公民个人信息,引发对计算机信息系统数据的非法获取。首先,ChatGPT 非法收集企业数据的行为,必然会侵犯企业数据权益。因为数据企业对合法收集的,包括个人数据在内的全部数据享有支配的权利,其属于独立于人格权、物权、债权、知识产权的新型财产权。其次,形成于企业经营、管理过程中的企业数据,除包括一般性的企业数据外,还可能包含商业秘密数据、公民个人数据。如果 ChatGPT 非法收集了企业数据中的商业秘密数据、公民个人数据,还会进一步损害他人商业秘密、侵犯公民个人信息。最后,ChatG-PT 对

9、企业数据的非法收集,如果是通过非法侵入他人计算机信息系统方式实现的,则会引发非法获99霍俊阁:ChatGPT 的数据安全风险及其合规管理参见任文岱:ChatGPT 热度不减:专家建议人工智能领域制定行业安全标准,载民主与法制时报2023 年 3 月 22 日,第 3 版。参见袁秀月:生成内容属于谁?会侵权泄密吗?ChatGPT 法律风险详解,载中国新闻网,http:/ 年 6 月 21 日访问。参见三十所信息中心:ChatGPT 等生成式人工智能的信息安全风险,载安全内参网,https:/ 年 6 月 22 日访问。参见周明阳:“ChatGPT 禁令”频发为哪般,载经济日报2023 年 3 月

10、 2 日,第 9 版。参见程啸:论大数据时代的个人数据权利,载中国社会科学2018 年第 3 期,第 102-122 页。取计算机信息系统数据的安全风险。第三,非法收集公共数据将侵犯国家秘密、商业秘密、个人信息,导致对计算机信息系统数据的非法获取。公共数据是各级行政机关及具有公共管理和服务职能的事业单位,在依法履行职责过程中获得的各类数据资源。公共数据范围的广泛性,使之不可避免地会包含涉及国家秘密、商业秘密和个人信息的数据。而当前大多数地区有关公共数据开放的规范性文件,均明确禁止开放涉及国家秘密、商业秘密、个人隐私的公共数据。若 ChatGPT 未经同意或者法定授权,非法收集了涉及国家秘密、商

11、业秘密、个人隐私的公共数据,会产生侵犯国家秘密、商业秘密、公民个人信息的安全风险。此外,在收集手段上,如果 ChatGPT 通过非法侵入他人计算机信息系统的方式收集公共数据,则会引发非法获取计算机信息系统数据的安全风险。(二)ChatGPT 在数据处理阶段的安全风险受技术漏洞、生成特性、内部窃取等因素的影响,ChatGPT 在依据算法处理数据的过程中,可能发生数据泄露和数据滥用的安全事件。例如,ChatGPT 曾经出现的技术漏洞已经使部分用户的信息被泄露。再如,用户可能会借助所提问题避开 ChatGPT 的过滤机制,进而获取其他用户输入 ChatG-PT 的数据。而 ChatGPT 对所处理数

12、据的泄露、滥用必然会带来安全风险,侵犯公民、企业的合法权益,甚至损害公共利益和国家安全。一方面,ChatGPT 对个人数据、企业数据的泄露和滥用,会侵犯公民个人信息、企业商业秘密,以及公民、企业的其他合法权益。时常出现的数据安全事件表明,现阶段人们尚无法完全杜绝人工智能对所处理数据的泄露和滥用。并且,在 ChatGPT 环境下,个人数据、企业数据的泄露与滥用风险将会进一步加剧。因为“用户在使用 ChatGPT 的过程中,可能会出于和机器人对话的游戏心态,主动向 ChatGPT 泄露一些个人信息以及隐私事项”,但 OpenAI 的使用条款并没有对用户可能输入ChatGPT 的机密信息提供任何保护

13、。一旦 ChatGPT 泄露和滥用了用户输入的个人数据、企业数据,既可能因违反相关法律规范而直接侵犯公民个人信息、企业商业秘密,也可能因相关数据被非法利用,而间接侵犯公民的其他人身权利、财产权利,损害企业的商业信誉、名誉、竞争优势和财产权利。另一方面,ChatGPT 对公共数据、个人数据、企业数据的泄露和滥用,会进一步损害公共利益、威胁国家安全。如果 ChatGPT 泄露和滥用了与社会管理、公共服务、国民经济发展、国家安全、关键信息基础设施等直接相关的公共数据,无疑会引发损害公共利益、国家安全的安全风险。如果 ChatG-PT 泄露和滥用了个人数据、企业数据,也会引发上述风险。因为大规模的数据

14、泄露及数据监听、窃取事件所引发的数据安全、隐私保护等问题,会严重影响社会安全和国家安全。而且,公民个人的基因信息、健康状况等隐私数据,及企业自身产生的经营、管理数据,常常会经由大数据的聚合分析而呈现出群体性、区域性、行业性特征,从而与社会政策、国家政策的制定密切关联。001 西南政法大学学报 2023 年第 4 期参见重庆市公共数据开放管理暂行办法第 3 条、浙江省公共数据开放与安全管理暂行办法第 2 条。唐嘉仪、李春凤、黄凌颖:新闻伦理视野下的 AIGC:冲击与反思,载南方传媒研究2023 年第 2 期,第 33 页。参见郝磊:ChatGPT 背景下隐私权的保护困境及其法律应对,载天津师范大

15、学学报(社会科学版)2023 年第 4 期,第 8-10页。参见刘振鹏、孙静薇、王烁、王文胜、尹文召、张彬:PDMP:k 个性化数据脱敏保护方法,载计算机应用研究2020 年第 10 期,第 3068-3070 页。(三)ChatGPT 在数据输出阶段的安全风险能够生成内容是 ChatGPT 等生成式人工智能区别于其他人工智能的显著技术特点。但是,这也会使 ChatGPT 在数据输出阶段,产生有别于传统人工智能数据安全风险的新风险。ChatGPT 在此阶段的数据安全风险,分布于输出违法信息与输出合法信息两种情形。在输出违法信息情形下,ChatGPT 的数据安全风险主要表现为以下几点。一是,由于

16、 ChatGPT 在生成答案时往往是通过词语和词语之间的关联关系生成文本,其并不能判别生成文本内容的真伪,以致于很可能会传播与事实不符的信息。如,ChatGPT 引发的有关杭州市 2023 年 3 月 1 号取消限行的假消息事件即是如此。所以,如果 ChatGPT 输出了针对特定主体的网络虚假信息,则可能造成侵犯公民、企业名誉的安全风险;如果 ChatGPT 向用户输出了针对不特定主体的网络虚假信息,则可能引发侵犯社会公共秩序的安全风险。二是,若 ChatGPT 输出的是煽动分裂国家、颠覆国家政权,煽动民族仇恨和民族歧视等危害国家安全的信息,则存在侵犯国家安全的风险。因为 ChatGPT 会受

17、到自己所学习的带有偏见性甚至歧视性内容的影响,进而生产出带有偏见和歧视的内容。三是,若 ChatGPT 输出的是包含欺诈、赌博、色情等危害社会公共秩序的其他信息,则会引发侵犯社会公共秩序的安全风险。在输出合法信息情形下,ChatGPT 也可能因违反信息保密义务或者没有取得授权而产生数据安全风险。在输出秘密类信息时,若 ChatGPT 输出的是依据法律规范规定或约定需要保密的,涉及个人隐私、商业秘密、国家秘密的信息,则可能产生侵犯公民个人信息、侵犯商业秘密及故意、过失泄露国家秘密的安全风险。在输出授权使用类信息时,如果 ChatGPT 未经授权输出了法律规定需授权才能使用的信息,则会产生侵犯他人

18、知识产权的安全风险。因为 ChatGPT 不会体现部分数据的正确来源,受版权保护的资料与数据在 ChatGPT 向用户提供回复时就容易造成侵权纠纷。如,全球最大的媒体集团之一新闻集团(News Corp.)旗下的道琼斯公司曾发布声明,对 OpenAI 在未经道琼斯授权情况下违规使用华尔街日报的行为进行了指责。因此,在输出合法信息情形下,Chat-GPT 也存在侵犯公民个人信息、商业秘密、知识产权,以及故意、过失泄露国家秘密等安全风险。二、ChatGPT 的数据安全风险应引入合规管理 当前,在应对数据安全风险时,数据合规已经成为一个重要选择。因为数据合规是为了预防在数据处理和管理过程中的各种风险

19、,在遵守相关法律法规的基础上,建立的专门针对数据保护的合规管理体系。要防范 ChatGPT 的数据安全风险,应当在 ChatGPT 的数据安全风险治理体系中引入合规管理方式,从企业角度建立 ChatGPT 的数据合规管理体系。而且,从企业角度开展的 ChatGPT101霍俊阁:ChatGPT 的数据安全风险及其合规管理参见沈威:ChatGPT:形成机理与问题应对,载中国社会科学报2023 年 3 月 7 日,第 7 版。参见王沛楠、史安斌:“持久危机”下的全球新闻传播新趋势 基于 2023 年六大热点议题的分析,载新闻记者2023 年第 1期,第 89-96 页。参见张夏恒:ChatGPT 的

20、逻辑解构、影响研判及政策建议,载新疆师范大学学报(哲学社会科学版)2023 年第 5 期,第 113-123 页。参见陈永伟:超越 ChatGPT:生成式 AI 的机遇、风险与挑战,载山东大学学报(哲学社会科学版)2023 年第 3 期,第 127-143页。参见王颖博:互联网平台企业的数据合规,载未来与发展2022 年第 11 期,第 70-77 页。的数据合规管理,是 ChatGPT 的研发、生产、运用企业在数据安全风险发生之前,以预防数据安全风险为内容的日常性管理。以这一事前的合规管理方式防范 ChatGPT 的数据安全风险,也是落实中共中央关于全面深化改革若干重大问题的决定所提出的,坚

21、持系统治理、依法治理、综合治理、源头治理的“四个治理”原则,创新 ChatGPT 数据安全风险治理方式的要求。(一)系统治理 ChatGPT 数据安全风险的要求“过去的综合治理和社会管理是政府系统各部门之间的协同,以及在政府主导下单位组织、社区的配合。现在的系统治理强调政府的主导作用,同时鼓励和支持社会各方面参与。”系统治理已经实现了由政府部门向包括政府部门、社会组织、公民等在内的更大范围的多元主体拓展。而要实现系统治理,除了做好主体权责划界、主体监督制约之外,还应做好主体协调配合的多元合作共治,要充分发挥社会各类组织的作用,引领和推动公民、家庭积极参与国家治理。换言之,多元主体的合作共治是系

22、统治理在社会治理层面的必然要求。那么,在 ChatGPT 数据安全风险的治理维度,系统治理就要求积极引入社会、企业等多方主体参与,形成政府领导下的多元主体合作共治格局。这就要求在 ChatGPT 的数据安全风险治理中引入合规管理机制。因为企业数据合规机制本质上是一种基于多元共治理念的数据治理模式,其具备实现多元主体合作共治的系统治理功能。一方面,国家与企业“共治”是企业合规的精髓所在,通过合规管理方式治理 ChatGPT 的数据安全风险,能够促使企业参与到自身数据安全风险的防控体系之中,形成企业与政府部门之间的合作共治。另一方面,与企业其他职能部门、政府机关、第三方机构进行对接,通过协作共同推

23、动企业数据合规体系的建设与完善,形成企业数据合规的“多元共治”格局,也是企业数据合规日常管理的重要工作内容。从日常管理角度来看,以合规管理方式防控 ChatGPT 的数据安全风险,能够积极推动第三方机构参与 ChatGPT 的研发、生产、运用企业的数据安全风险治理活动,实现企业、政府部门、第三方机构等多元主体的合作共治局面。因此,通过合规管理方式防控 ChatGPT 的数据安全风险,是实现 ChatGPT 数据安全风险系统治理的内在需求。(二)依法治理 ChatGPT 数据安全风险的要求在社会治理中,依法治理最深厚的推动力量在于人人懂法、人人尊法、人人守法、人人用法,其既要树立法律权威,也要提

24、升社会公众按照法律要求办事的行为习惯。具体到 ChatGPT 数据安全风险的依法治理,不仅要确立法律在 ChatGPT 研发、生产、运用中的权威性,而且要提升 ChatGPT 的研发、生产、运用企业及其员工按照数据相关法律规范行事的行为习惯。原本在逻辑上,既可以借助裁判规范功能,也可以凭借法律规范的行为规范功能,树立法律在201 西南政法大学学报 2023 年第 4 期陈瑞华教授指出,数据合规包括危机发生前的日常性合规体系与危机发生后的合规整改体系两种模式。参见蒋安杰:数据合规高端论坛在京举行,载法治日报2021 年 9 月 29 日,第 9 版。本文所言 ChatGPT 相关企业的数据合规,

25、指的是企业在危机发生前的日常性合规体系模式。王思斌:社会工作在创新社会治理体系中的地位和作用 一种基础服务型社会治理,载社会工作2014 年第 1 期,第 6页。参见侯衍社、刘大正:把制度优势转化为治理效能的重要保证,载红旗文稿2019 年第 24 期,第 14-16 页。参见孙跃:数字经济时代企业数据合规及其构建,载湖北社会科学2022 年第 8 期,第 119-128 页。参见孙国祥:涉案企业合规改革与刑法修正,载中国刑事法杂志2022 年第 3 期,第 50-67 页。参见孙跃:数字经济时代企业数据合规及其构建,载湖北社会科学2022 年第 8 期,第 119-128 页。参见侯衍社、刘

26、大正:把制度优势转化为治理效能的重要保证,载红旗文稿2019 年第 24 期,第 14-16 页。ChatGPT 相关环节的权威性,并提升企业及其员工按照数据相关法律规范研发、生产、运用 ChatGPT的行为习惯。但实际上,ChatGPT 数据安全风险的依法治理,难以完全借助法律规范的裁判规范功能实现,法律规范的裁判功能难以有效促进 ChatGPT 相关企业及其员工依据数据安全相关法律规范办事的行为习惯。因为法律规范裁判功能的发挥,以对 ChatGPT 数据违法违规行为的法律惩治为核心。而受法律规范文本滞后、因果关系证明困难、行为人责任要素模糊等因素的制约,对 Chat-GPT 相关企业及其员

27、工实施的违法违规行为进行有效的法律归责较为困难。法律归责的困难必然会降低 ChatGPT 相关企业及其员工的数据违法违规行为受到法律惩治的几率,这并不利于塑造ChatGPT 相关企业及其员工尊法、守法、用法,依据数据相关法律规范办事的行为习惯。因而,为塑造企业及其员工尊法、守法、用法的行为习惯,还需要积极发挥法律规范的行为规范功能,通过将法律规范作为行为指引方式克服其裁判规范功能的治理局限。在依法治理 ChatGPT 的数据安全风险过程中,法律规范的行为规范功能必不可少。在当前积极推进企业合规背景下,要发挥法律规范对企业及其员工行为的指引功能,离不开企业合规管理体系的建构。建构 ChatGPT

28、 的数据合规管理体系,对 ChatGPT 的数据安全风险开展合规管理,既能够塑造企业及其员工遵从数据相关法律规范的行为习惯,也能够将数据相关法律规范细化为企业内部的规章制度,以树立法律规范的权威性。而且,我国有关企业合规管理制度目标的设定,以及企业合规建设取得的实践效果,已经证明了这一点。因此,依法治理 ChatGPT 的数据安全风险必然要求企业开展数据合规管理,以塑造企业及其员工遵从数据保护相关法律规范的行为习惯。(三)综合治理 ChatGPT 数据安全风险的需要“综合治理着重解决的是社会治理实施的其他依据和手段问题,即还要综合运用除法律外的其他手段来治理的问题”,从而形成法律、科技、文化、

29、经济等多种手段相结合的综合治理格局。而在 ChatGPT 的数据安全风险治理中,综合治理则要求应当综合运用多种手段防控 ChatGPT 的数据安全风险,着重关注的是对经济、法律、科技、文化等手段的综合运用。就此而言,通过事后的法律惩治方式治理 ChatGPT 的数据安全风险在手段上明显具有单一性,难以实现多种手段并重下的ChatGPT 数据安全风险的综合治理。相反,事前的合规管理方式则能够综合运用法律、科技、文化等手段,有效推进 ChatGPT 数据安全风险的综合治理。一方面,合规管理方式能够综合运用法律、科技手段,治理 ChatGPT 的数据安全风险。因为企业安全风险识别、分析是企业合规管理

30、的重要步骤,而当前的企业安全风险识别、分析中越来越多地加入了科技手段,并逐渐形成了适用于合规管理的合规科技。所谓合规科技也称为监管科技,指的是以数据为驱动力,以区块链、云计算、人工智能等技术为依托,以提高合规和监管效率为价值导向,以标准化、数字化、智能化为特征的解决方案。在合规管理过程中,合规科技的具体运用方式在于:引入大数据、人工智能等数字化技术对合规风险进行智能化的监控、识别和分析,并对合规实施效果进行实时、可视及量化的评价,旨在有效帮助企业预防、监测合规风险,实现事后快速响应,推动企业合规数字化转型。那么,在合规科技的广泛运用下,ChatGPT 数据安全风险的合规管理301霍俊阁:Cha

31、tGPT 的数据安全风险及其合规管理郑杭生:“理想类型”与本土特质 对社会治理的一种社会学分析,载社会学评论2014 年第 3 期,第 7 页。参见丁晨:新形势下的合规科技创新 数据驱动的智能风险分析体系,载清华金融评论2019 年第 6 期,第 69-71 页。参见马明亮:合规科技在企业整改中的价值与实现路径,载苏州大学学报(哲学社会科学版)2022 年第 4 期,第 60-70 页。将能够综合融入法律、科技手段,实现其数据安全风险治理的综合性。另一方面,合规管理能够综合运用法律、文化手段,治理 ChatGPT 的数据安全风险。虽然企业合规管理的规章制度源于法律规范的规定,但有效的企业合规管

32、理离不开合规文化的支持,合规文化作为企业文化的一部分,是企业合规管理不可或缺的内容。对 ChatGPT 的数据安全风险开展合规管理,需要引入文化治理手段。因而,综合治理 ChatGPT 的数据安全风险应引入合规管理方式。(四)源头治理 ChatGPT 数据安全风险的需要在 ChatGPT 的数据安全风险治理中,“四个治理”原则还要求对 ChatGPT 的数据安全风险进行源头治理。在社会治理层面,“源头治理”强调的是“治本之策”,坚持社会治理关口前移,即以经济发展推动民生改善,健全诉求表达机制和社会风险评估机制,把矛盾化解在未发或初始阶段。而在 ChatGPT 的数据安全风险治理中,源头治理则强

33、调的是对 ChatGPT 数据安全风险的溯源治理、源头防控。虽然理论上对 ChatGPT 数据安全风险的源头防控,无外乎事后的法律惩治与事前的合规管理两种方式,但事后的法律惩治方式在实践中并不能担负 ChatGPT 数据安全风险的源头治理重任。这主要受制于人工智能技术存在的数据遗忘和删除难题。由于添加到数据库中的每个数据记录既可能位于文件系统中的某个特定点,也可能存储在数据库内部运转机制内的不同位置,有的还被复制到其他数据库的日志文件和备份中,所以人工智能系统数据库中的数据在技术层面很难被完全彻底地删除。这意味着,ChatGPT 运行中所涉及的相关数据,一旦被 ChatGPT 纳入数据库并用以

34、迭代学习就很难被完全删除。那么,在 ChatGPT 数据安全风险现实化以后,法律的事后处罚方式就难以有效消除其危害,无法完全恢复数据主体的数据安全状态。因而,事后的法律惩治方式无法担当起 ChatGPT 数据安全风险的源头治理重任。与之相对,事前的合规管理方式则能够有效实现 ChatGPT 数据安全风险的源头治理。这不仅在于,合规管理是对 ChatGPT 数据安全风险的事前预防,能够及时发现、消除其数据安全风险,做到打早打小、防患于未然。而且因为合规管理一直强调的是对企业违法违规风险的源头治理,一直被作为违法违规风险的源头治理手段。相关行业主管部门也已经把企业合规作为能动履职、溯源治理的有力抓

35、手,通过引导、指导相关行业开展企业合规建设积极促进防患未然、抓源治本。因此,源头治理 ChatGPT 的数据安全风险需要引入合规管理方式,建立企业的数据合规管理体系。三、ChatGPT 的数据合规管理原则与方案 在 ChatGPT 的数据合规管理方案建构和具体实施上,我国已经发布的中央企业合规管理指引(试行)企业知识产权合规标准指引(试行)企业境外经营合规管理指引中央企业合规管理办法经营者反垄断合规指南合规管理体系 要求及使用指南(GB/T35770-2022)等文件,能够提供重要参考。其中,数据合规管理的指导原则和实施方案的合理建构,是确保 ChatGPT 的数据合401 西南政法大学学报

36、2023 年第 4 期参见梁宇:新时代中国特色社会治理内涵的四重向度,载东南学术2019 年第 2 期,第 9-16 页。参见翟凯:论人工智能领域被遗忘权的保护:困局与破壁,载法学论坛2021 年第 5 期,第 142-151 页。参见邓根保:创新合规城市建设 创建最优营商环境,载群众2022 年第 18 期,第 45-46 页。规管理取得风险治理成效的关键。因而,有必要明确 ChatGPT 的研发、生产、运用企业数据合规管理的指导原则和实施方案的具体内容。(一)ChatGPT 数据合规管理的指导原则我国有关企业合规管理的相关文件,普遍将有效性、全面性、独立性作为企业合规管理的原则。此外,理论

37、界基于企业风险防控目标与企业合规成本投入的对比,又引入了企业合规管理的相称性原则。为了建立有效的 ChatGPT 相关企业的数据合规体系,ChatGPT 的研发、生产、运用企业的数据合规管理,可以将之作为主要指导原则。同时,上述几个指导原则又有着自己内在的逻辑结构,即制度上的有效性原则、范围上的全面性原则、运行上的独立性原则、限度上的相称性原则。第一,制度上的有效性原则。有效性原则是 ChatGPT 相关企业开展数据合规管理的首要原则,只有建立具有可操性、能够有效实施的合规管理制度,才能够真正取得系统治理、依法治理、综合治理、源头治理 ChatGPT 数据安全风险的成效。在合规管理中,有效性原

38、则关注的焦点是合规计划在实践中有无起作用,也就是合规计划实现管理目标的程度和效用。因而,在 ChatGPT 相关企业的数据合规管理中坚持有效性原则,必须制定科学合理、务实可行的合规管理制度,并将相关合规管理制度融入企业的各个业务环节当中,确保企业的各项工作都能够在合规制度的框架内展开。第二,范围上的全面性原则。中央企业合规管理指引(试行)企业知识产权合规标准指引(试行)企业境外经营合规管理指引等合规指引文件,均要求企业合规管理应当在范围上坚持全面性原则,做到合规管理对企业所有业务、部门和员工的全面覆盖。ChatGPT 相关企业的数据合规管理在合规范围上,也应当坚持全面性原则,确保企业的合规管理

39、能够嵌入数据收集、处理、输出的整个运行过程,规范 ChatGPT 技术的研发、生产、运用等行为,并约束所有员工的工作行为。而之所以在合规管理范围上,要求 ChatGPT 的研发、生产、运用企业的数据合规管理坚持全面性原则,就是为了保障 ChatGPT 数据安全风险治理目标的达成,避免因某一个环节的数据违规导致整个数据合规管理体系的崩塌。第三,运行上的独立性原则。推动 ChatGPT 的研发、生产、运用企业的数据合规管理必须防止“纸面合规”,要将数据合规管理落到实处。这要求研发、生产、运用 ChatGPT 的企业的数据合规管理应当坚持独立性原则,确保数据合规管理在运行方式上的客观独立。合规管理的

40、独立性原则关注的是,企业合规管理部门的机构设置、运行程序、岗位职责、人员履责的客观独立。ChatGPT 相关企业的数据合规管理坚持独立性原则,既要从制度建设、岗位职责上保障合规管理部门和人员的独立性,避免合规管理部门和人员负担的其他职责与合规职责相冲突,也要从运行程序、人员履责上确保合规管理部门和人员能够客观独立地开展合规管理工作,避免受其他部门、人员的不当干扰。第四,限度上的相称性原则。企业建立和运行合规管理体系,必然需要投入一定的人力、物力、财力等合规成本,这将明显增加企业的经济支出。可是,企业合规管理在短期内并不会给企业带来501霍俊阁:ChatGPT 的数据安全风险及其合规管理例如,2

41、018 年 11 月 2 日发布的中央企业合规管理指引(试行)第 4 条,将中央企业合规原则归纳为全面覆盖、强化责任、协同联动、客观独立。2018 年 12 月 26 日发布的企业境外经营合规管理指引第 5 条,将企业合规管理原则总结为独立性原则、适用性原则、全面性原则。2021 年 12 月发布的企业知识产权合规标准指引(试行)在第 4 条中,规定了独立性原则、有效性原则、全面性原则、动态性、可查证原则等五个合规原则。上述规范性文件中规定的合规管理原则,虽然文字表述上略有不同,但都是围绕合规的有效性、全面性、独立性展开的。参见李勇:认罪认罚与企业合规:从原理到实操,法律出版社 2022 年版

42、,第 352 页。直观可见的经济效益,这就会在企业合规管理的成本投入与风险防控之间形成紧张关系。在此情形下,企业要建立“以风险为基础”的合规体系并达到有效合规的目标,就应当遵循相称性原则的要求,在建立合规体系和投入合规资源时,充分考虑企业规模、行业特点、业务范围、合规基础及所面临的现实合规风险。因而,ChatGPT 相关企业的数据合规管理应当在实施限度上坚持相称性原则,确保数据合规管理的投入符合数据安全风险的防控实际。而所谓相称性原则,具体指的是企业所要建立的合规管理体系,应当与企业所要实现的有效合规管理目标相适应。基于此,在 ChatG-PT 相关企业的数据合规管理中贯彻相称性原则,需要维持

43、企业数据合规管理的成本投入与数据安全风险防范之间的相称性。(二)ChatGPT 数据合规管理的实施方案在 ChatGPT 相关企业数据合规管理的实施方案上,可以参照合规相关文件内容,对 ChatGPT 相关企业的数据合规管理方案作如下设计。第一,ChatGPT 相关企业应当建立健全数据合规管理制度。建立 ChatGPT 研发、生产、运用企业的数据合规管理体系,必须制定能够使企业及其全体员工得以遵守的制度,从而保障数据合规管理有规章制度作为依据。建立健全数据合规管理制度也是将外部的数据相关法律规范,内化为 ChatGPT 研发、生产、运用企业合规管理指引的需要,是保持对数据相关法律规范的实时更新

44、和转化的需要。在具体内容上,公司完备的合规管理制度,通常包括行为规则及与行为规则相关的执行机制与监督机制,以对内部所有员工的行为进行有效监督。建立健全 ChatGPT 相关企业的数据合规管理制度,需要依据数据的收集、处理、输出阶段,以及 ChatG-PT 的研发、生产、运用环节制定行为规则,并建立相关行为规则的推进执行和日常监督机制。例如,针对 ChatGPT 数据处理阶段的数据标注活动,应当建立敏感信息处理规则和程序,并监督执行。第二,ChatGPT 相关企业应确立数据安全风险识别与评估机制。数据安全风险识别是 ChatGPT的研发、生产、运用企业开展数据合规管理的前提,只有识别出数据收集、

45、使用、输出过程中的安全风险,才能针对性地予以合规管理。所以,在 ChatGPT 相关企业的数据合规管理体系中对数据安全风险的识别必不可少,应当建立 ChatGPT 数据安全风险的识别机制。在识别其数据安全风险的同时,还应当开展数据安全风险的评估,将数据安全风险识别机制与评估机制相融合。合规风险评估,具体指的是根据识别出的合规风险,按照风险发生后的后果、业务发生频次和发生的可能性进行评估,确认合规风险等级。因而,ChatGPT 相关企业的数据安全风险识别与评估,既要能够识别出 ChatGPT 隐含的数据安全风险,又要能够依据风险后果、风险发生几率、风险相关行为的实施频率等划定相应风险的等级。第三

46、,ChatGPT 相关企业应构建数据安全风险应对处置机制。合规风险的应对处置是企业合规管理必不可少的环节。例如,中央企业合规管理指引(试行)第 19 条中就提出,要“加强合规风险应对,针对发现的风险制定预案,采取有效措施,及时应对处置”。那么,在识别出 ChatGPT 的数据安全风险并评估划定其风险等级的情形下,必须对 ChatGPT 的数据安全风险作出应对处置。这就601 西南政法大学学报 2023 年第 4 期参见陈瑞华:企业合规整改中的相称性原则,载比较法研究2023 年第 1 期,第 49-69 页。参见陈瑞华:企业合规整改中的专项合规计划,载政法论坛2023 年第 1 期,第 28-

47、44 页。参见曹兴权:合规管理:形成中的公司治理习惯?,载上海大学学报(社会科学版)2022 年第 6 期,第 77-93 页。参见陈伟龙、郑洁沁、陈诗思:构建合规管理体系,载企业管理2019 年第 11 期,第 95-96 页。需要在 ChatGPT 研发、生产、运用企业的数据合规管理体系中,建立数据安全风险的应对处置机制。对 ChatGPT 数据安全风险的应对处置,既包括制定风险预案、开展风险调查、采取补救措施、开启内部问责等内部措施,也包括向主管部门及时报告、追究责任人员法律责任等外部措施。第四,ChatGPT 相关企业应当设置数据合规的内部奖惩机制。企业建立良好的纪律处分程序和奖励机制

48、,被视为有效合规计划的重要标志。为了保障 ChatGPT 数据合规管理的有效实施和持续推进,应当建立数据合规的违规惩戒与合规奖励机制。对于违反数据合规管理规定的员工,ChatG-PT 相关企业应当及时作出惩戒,保障企业数据合规管理制度的有效执行和实施。对于遵守数据合规管理规定的员工,ChatGPT 相关企业应该以绩效考核等方式给予奖励,从而带动全体员工形成数据合规的行为习惯,保障数据收集、处理、输出等环节的数据安全。第五,ChatGPT 相关企业应当建立数据合规的合规科技创新机制。与其他人工智能技术的数据利用相比,ChatGPT 的数据利用具有特殊性,这主要体现在其远超于其他人工智能的数据量上

49、。OpenAI 公司 2020 年 5 月推出的 GPT-3 模型的参数,就已经从 GPT-2 的 15 亿大幅攀升至 1750亿。而面对 ChatGPT 如此庞大的数据量,常态化的数据合规管理手段已无法满足需求,在对 Chat-GPT 进行数据合规管理时需要更多地借助合规科技手段。ChatGPT 相关企业应引入合规科技手段,满足数据合规管理的科技化需求。这需要 ChatGPT 相关企业建立合规科技创新机制,从而优化ChatGPT 数据合规监管技术,保障其合规管理的科技水平能够与 ChatGPT 技术的发展阶段相适应。第六,ChatGPT 相关企业应当建立数据合规管理的评估机制。企业合规管理体

50、系的建立并非是一劳永逸的,应当适时对企业合规管理体系的实施情况进行评估。例如,中央企业合规管理指引(试行)在第 22 条中要求,应当“开展合规管理评估,定期对合规管理体系的有效性进行分析”。为了数据合规管理体系的持续有效建设,ChatGPT 相关企业应该建立数据合规管理的评估机制。从而定期对数据合规管理体系开展有效性评价,对出现频率较高的数据安全风险进行追根溯源,及时完善数据合规管理中的漏洞和不足之处,并根据数据安全风险样态的变化调整管理措施。第七,ChatGPT 相关企业应当建构数据合规文化的培育机制。企业合规管理要持续开展,塑造合规文化必不可少。我国有关企业合规管理的诸多指引性文件,普遍将