您的位置:

金州动态

境内应用、小程序拟调用OpenAI的ChatGPT产品接口相关法律风险

作者:超级管理员 时间:2024-01-16 浏览:1746

ChatGPT软件自面世以来,就因其强大的自然语言生成能力、生成质量的准确性、多领域的适用性以及开放性和可定制性受到了全球用户的欢迎。就在近日,ChatGPT作为非人类,甚至入选了《自然》杂志评选出的2023年年度十大人物。

然而,我们注意到,近期部分地区的互联网信息办公室根据《网信部门行政执法程序规定》第三十八条[1]、生成式人工智能服务管理暂行办法》第十七条[2]、第二十一条[3]的规定,对部分ChatGPT产品接口的境内平台运营方(以下简称“类ChatGPT平台运营方”)进行了约谈。而这一举动背后体现的主管部门对chatGPT及相关插件的监管和审慎并非偶然。2023年6月,宜兴市公安局作出了宜公(城)行罚决字〔2023〕1962号《行政处罚决定书》,称某公司因搭建链接调用境外ChatGPT 程序,无权限管理,无过滤,没有制定相关安全管理制度和操作规范,没有履行网络安全保护义务而应受到相应的行政处罚。今年7月1日,国家互联网信息办公室发布了《生成式人工智能服务管理暂行办法》。七月底以来,苹果中国区的APP Store集中下架了一大批提供类ChatGPT服务的应用。

可见,在境内公司试图运用境外生成式人工智能服务的强大功能获取开发、运营上的便利和经济效益时,如何防范相关的风险应当成为其关注的重点。当前,境内平台使用境外生成式人工智能服务的合规要点主要在资质要求、数据跨境合规、数据训练合规等方面,具体如下:

一、境内平台接入ChatGPT的API端口是否符合OpenAI平台政策?

我们认为,境内平台接入ChatGPT的API端口暂不违反OpenAI的平台政策,具体理由如下:

首先,根据OpenAI官网信息,加入“候补名单”或者“研究人员访问计划”的开发者能够有资格接入OpenAI的API端口。网站链接详见https://openai.com/research/gpt-4,对应下图:

640.png
其次,在公布的“API支持的国家和地区”名单中,中国不在其中,这意味着中国企业无法直接通过IP地址为中国的网络接入ChatGPT,此时需要借助VPN才能进行后续操作。网站链接详见https://platform.openai.com/docs/supported-countries,对应下图:
640.png
当然,借助VPN的技术方式未被OpenAI官方明确禁止。《使用政策》中仅约定“Our Services may not be used in or for the benefit of, or exported or re-exported to (a) any U.S. embargoed country or territory or (b) any individual or entity with whom dealings are prohibited or restricted under applicable trade laws. Our Services may not be used for any end use prohibited by applicable trade laws(我们的服务不得被用于、使之受益、被出口或被再出口至:(1)任何美国禁运的国家或地区(2)任何被贸易法禁止或限制的实体和个人;我们的服务不得用于任何受到贸易法禁止的最终用途)”,即从OpenAI的《使用政策》文本来看,OpenAI并未禁止第三方通过API接口接入后,提供给其在官网上列出的“未在支持的国家和地区”名单内的地区使用。网站链接详见https://openai.com/policies/terms-of-use,对应下图:
640.png
二、提供类ChatGPT服务是否需要电信资质?
提供类ChatGPT服务可能落入增值电信业务中“信息服务业务”的范围,从而该平台运营方需取得B25类“互联网信息服务”的增值电信业务经营许可。具体理由如下:
根据《中华人民共和国电信条例》相关规定,经营电信业务需依法取得电信业务经营许可证。电信业务分为基础电信业务和增值电信业务,分类的具体划分由《电信业务分类目录》列出。此外,根据《互联网信息服务管理办法》的规定,互联网信息服务是指通过互联网向上网用户提供信息的服务互动,主要分为经营性和非经营性两类。其中“经营性互联网信息服务,是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动”;而“非经营性互联网信息服务,是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动”。另外,“国家对经营性互联网信息服务实行许可制度;对非经营性互联网信息服务实行备案制度。”
目前,市面上提供类ChatGPT服务的软件或者平台都是通过互联网向上网用户提供信息,毫无疑问地属于互联网信息服务。而对于“经营性”和“非经营性”的判断,不宜简单以服务是否收费来判断有偿或是无偿。实践中,上述类ChatGPT产品不论是否收费,都具备经营属性,与科研、公益等非经营性活动有明显区分,应当获得许可。进一步的,监管实践中,判断上述产品是否需要以及需要获得何种电信许可,需要确认该服务属于《电信业务分类目录》所列何种业务类别后,再进行判定。
根据《电信业务分类目录(2015年版)》的规定和定义,“B25信息服务业务”是指通过信息采集、开发、处理和信息平台的建设,通过公用通信网或互联网向用户提供信息服务的业务,主要包括信息发布平台和递送服务、信息搜索查询服务、信息社区平台服务、信息即时交互服务、信息保护和处理服务等。其中,“信息发布平台和递送服务”是指建立信息平台,为其他单位或个人用户发布文本、图片、音视频、应用软件等信息提供平台的服务。平台提供者可根据单位或个人用户需要向用户指定的终端、电子邮箱等递送、分发文本、图片、音视频、应用软件等信息。“信息搜索查询服务”是指通过公用通信网或互联网,采取信息收集与检索、数据组织与存储、分类索引、整理排序等方式,为用户提供网页信息、文本、图片、音视频等信息检索查询服务。
因ChatGPT是在对训练数据和用户输入对话的采集、处理以及平台(ChatGPT与用户的交互界面)建设的基础上,通过互联网向用户提供信息内容的应用,类ChatGPT服务应当也属于“B25信息服务业务”的范畴。而从具体的业务类别看,类ChatGPT服务更接近“信息发布平台和递送服务”而非“信息搜索查询服务”。因为类ChatGPT服务提供的内容不是经检索与排序的原始信息,而是基于对用户对话的理解和训练数据的分析、编辑后生成的文本。可以理解为,类ChatGPT服务不仅是根据用户的要求通过平台向用户提供信息,更是参与到了信息的生产过程,对其生成结果的内容本身拥有不可替代的贡献。
综上,提供类ChatGPT服务可能落入增值电信业务中“信息服务业务”的范围,平台运营方需取得B25类“互联网信息服务”的增值电信业务经营许可方能开展相应的活动。
需特别说明的是,根据《生成式人工智能服务管理暂行办法》《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》之规定,平台运营方还应当履行算法备案的义务
三、调用OpenAI的ChatGPT产品接口的境内平台可能存在的法律风险?
(1)网络使用风险
根据OpenAI平台的使用政策,目前ChatGPT并未向中国用户开放,国内用户需要使用虚拟专用网络(VPN)通过国外IP地址才能访问ChatGPT体验相关服务。中国对于VPN的使用有严格的监管,企业需要向有关部门申请报备,批准VPN的搭建使用,私自搭建或者使用非法途径的VPN将受到行政处罚。具体理由如下:
依据《中华人民共和国计算机信息网络国际联网管理暂行规定》第十四条规定:“违反本规定第六条[4]、第八条[5]和第十条[6]的规定的,由公安机关责令停止联网,给予警告,可以并处15000元以下的罚款;有违法所得的,没收违法所得。”另外,依据《工业和信息化部关于清理规范互联网网络接入服务市场的通知》之规定:“任何单位和个人不得自行建立或者使用其他信道进行国际联网,未经电信主管部门批准,个人、法人和其他组织不得自行建立或租用专线(含虚拟专用网络VPN)等其他信道开展跨境经营活动。”尽管随着互联网的飞速发展,上述发布于上世纪90年代末的规定中的信道是否仅应包含物理信道在学界中一直存在着争议,但实际中仍然不乏因使用、搭建VPN服务而受到行政处罚甚至刑事处罚的案例。
综上所述,通过“翻墙”软件访问ChatGPT属于行政违规行为,可能面临停止联网、警告、15000元以下的罚款及没收违法所得的行政法律责任。若在开发、运用类ChatGPT服务的过程中需要使用虚拟专用网络,建议技术支持方和平台运营方预先向基础电信部门租赁国际专线或办理相应的备案手续。
(2)数据跨境风险
OpenAI在其官网公布的隐私政策中提到,API接入的数据会在子处理器上保存30天,而其子处理器“雪片”则位于美国。
另外,OpenAI在其官网公布的隐私政策中还提到,其产品会收集用户账户信息、对话内容、社交媒体信息、以及Cookies、日志信息、使用情况、设备信息等个人信息。不仅如此,在境内平台使用境外生成式人工智能服务的场景下,中国境内用户在境内平台的输入端口提出问题后,该问题会直接传输到位于境外的技术支持方,技术支持方模型给出相应回答后,该回答便会传输到境内平台的用户端口以实现问题的交互反馈。按照该服务模式,境内平台的平台运营方向境外技术支持方传输用户输入数据的过程中,平台运营方有可能涉及将中国境内用户的个人信息和数据传输至境外。换言之,上述数据将会被传输到国外服务器予以存储,存在数据跨境风险。
《中华人民共和国个人信息保护法》第六十六条第一款规定:“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”
《中华人民共和国网络安全法》第二十一条规定:“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。”第五十九条第一款规定:“网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。”
国家互联网信息办公室出台的《数据出境安全评估办法》(国家互联网信息办公室令第11号)第四条规定:“数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。”
综上,数据处理者向境外提供在中国境内运营收集和产生的数据和个人信息时,需要申报数据出境的安全评估,而数据出境前需进行安全评估这一要求主要是为了避免数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险。因此,我们建议境内提供类ChatGPT服务的平台或运营商,主动、积极地采取如自行安全评估、提前申报的措施应对数据出境的监管要求。
(3)知识产权风险
和其他人工智能相似,ChatGPT是在大量不同的数据集上训练出来的大型语言模型,所以,其在其他数据集的基础上生成的回复有可能侵犯已有的作品。换而言之,使用受版权保护的材料来训练人工智能模型可能导致该模型在向用户提供回复时过度借鉴他人的作品从而引起知识产权侵权纠纷。
以ChatGPT为例,ChatGPT的数据源包括用户输入内容和训练数据库。其中,用户输入内容包括用户使用ChatGPT等非API服务提供的数据;训练数据库则包括以下三种类型的数据:公有领域内容、通过签订合同获得合法授权的内容、未经授权的信息及内容。倘若技术支持方提供的模型的训练数据库涉及未经授权的信息及内容,在境内平台生成内容与该等信息及内容存在实质性相似的情形下,技术支持方、平台运营方对该信息的使用与呈现往往并不属于合理使用,从而均有可能承担相应的侵权责任。
为降低前述侵权风险,在要求技术支持方确保数据来源合法合规的同时,我们也建议提供类ChatGPT服务的技术支持方、平台运营方对于ChatGPT使用生成内容进行一定程度的审核,确保生成内容在表达方面与原始的信息及内容存在显著区分,避免侵害他人的知识产权。
(4)非法内容风险
《中华人民共和国网络安全法》第十二条规定:“国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。”是以,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
诚如前述,人工智能将公开的大数据信息进行爬取、筛选、整合后给到用户回复,由于不同国家的国情、法律环境不同,在其他国家合法的内容可能会违反我国的法律规定。平台运营方若使用ChatGPT提供相关服务,需要确保ChatGPT生成的内容不涉及任何非法、淫秽或诽谤性内容,因为以上内容可能会导致平台承担行政、民事甚至刑事责任。是以,建议平台运营方通过采取过滤、审查和监控聊天内容等措施来预防上述内容分享。
需特别说明的是,除了需获得与其自然属性密切相关的相关增值电信业务经营许可外,如果进一步将类chatGPT应用运用到证券、金融、医疗、网络表演、网络出版等特殊领域,拟输出的内容也可能触及到上述特殊领域的监管范畴。因此,运营方或者平台还有可能需要获得对应领域的准入资质,如证券投资咨询资质、网络文化经营许可、网络出版服务许可证、信息网络传播视听节目许可证等。若不能取得上述资质,可考虑通过自动关键词屏蔽的方式避免输出相关内容。

[1]《网信部门行政执法程序规定》第三十八条:“网信部门对当事人作出行政处罚决定前,可以根据有关规定对其实施约谈,谈话结束后制作执法约谈笔录。”

[2]《生成式人工智能服务管理暂行办法》第十七条:“提供具有舆论属性或者社会动员能力的生成式人工智能服务的,应当按照国家有关规定开展安全评估,并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。”

[3]《生成式人工智能服务管理暂行办法》第二十一条:“提供者违反本办法规定的,由有关主管部门依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国科学技术进步法》等法律、行政法规的规定予以处罚;法律、行政法规没有规定的,由有关主管部门依据职责予以警告、通报批评,责令限期改正;拒不改正或者情节严重的,责令暂停提供相关服务。”

[4]《中华人民共和国计算机信息网络国际联网管理暂行规定》第六条:“计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道。任何单位和个人不得自行建立或者使用其他信道进行国际联网。”

[5]《中华人民共和国计算机信息网络国际联网管理暂行规定》第八条:“接入网络必须通过互联网络进行国际联网。接入单位拟从事国际联网经营活动的,应当向有权受理从事国际联网经营活动申请的互联单位主管部门或者主管单位申请领取国际联网经营许可证;未取得国际联网经营许可证的,不得从事国际联网经营业务。接入单位拟从事非经营活动的,应当报经有权受理从事非经营活动申请的互联单位主管部门或者主管单位审批;未经批准的,不得接入互联网络进行国际联网。申请领取国际联网经营许可证或者办理审批手续时,应当提供其计算机信息网络的性质、应用范围和主机地址等资料。国际联网经营许可证的格式,由领导小组统一制定。

[6]《中华人民共和国计算机信息网络国际联网管理暂行规定》第十条规定:“个人、法人和其他组织(以下统称用户)使用的计算机或者计算机信息网络,需要进行国际联网的,必须通过接入网络进行国际联网。前款规定的计算机或者计算机信息网络,需要接入网络的,应当征得接入单位的同意,并办理登记手续。”


Copyright © 1988-2024 湖南金州律师事务所 版权所有 ICP备案:湘ICP备20010741号 技术支持:长沙网站建设

关注我们 关注我们
电话:0731-85012988
   0731-85012987
投诉:0731-85012983