根据ChatGPT的工作机制,作为生成式人工智能,ChatGPT本身即具备收集、储存和使用海量数据的功能。用户在输入端口提出问题后,用户与其对话的数据将会被存储在开发者美国人工智能公司OpenAI或使用的云服务提供商的数据中心。在人机交互问答中,提问者与ChatGPT分享的隐私和个人信息、商业秘密等数据可能被用于未来模型的迭代训练。在这样的一个过程中,中国公民或企业使用ChatGPT便是以数据的出境与入境作为服务的开端和结尾,都存在着数据跨境流动安全风险,如用户提问时可能涉及到个人信息、敏感信息甚至有关国家安全、经济运行、社会稳定、公共健康和安全的重要数据。
此外,根据我国《网络安全法》、《数据安全法》、《个人信息保护法》对数据出境的相关条文规定,数据出境活动的前提在于拟出境的数据是在境内运营过程中产生的,如《网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
在考虑ChatGPT使用过程中带来的数据跨境安全风险时,首先应判断相应数据是否在境内运营过程中产生和收集的。显然,OpenAI并未向中国大陆提供有关服务,故难以将OpenAI的行为认定为境内运营行为。但ChatGPT作为当前人工智能领域的前沿技术代表,在国内,不仅百度、阿里等企业也计划推出相类似的对话式人工智能产品,更有不少企业向OpenAI公司抛出橄榄枝,试图将ChatGPT的服务引入到自己的应用软件或网页中,还有不少企业在业务运营过程中使用ChatGPT,由此极易触发数据跨境安全风险。如果这些企业不能依法规制ChatGPT运行中的数据跨境安全风险问题,依照目前我国现行法律规定,企业将可能面临严厉的行政责任乃至刑事责任,具体如下图所示:
总之,为防控ChatGPT使用带来的数据跨境安全风险,企业应当严格落实数据跨境合规的主体责任,严格落实《网络安全法》、《数据安全法》、《个人信息保护法》等相关规定。在数据出境方式的选择上,不同出境方式所适用的场景和合规要求亦有所不同。对此,企业应依据自身数据出境的实际情况选择更优的出境路径。