构筑平台与企业之间数据保护合规体系的价值及路径

　　企业接受新型人工智能服务过程中如何规避数据合规风险，平台和企业之间如何构建信任机制？建议引入数据保护合规管理，在企业内部建立健全规范化、严密化的数据合规管理体系，从源头及时发现、有效解决数据安全风险。

　　8月29日，美国人工智能公司OpenAI宣布，推出ChatGPT企业版，可提供更高级别的安全和隐私、无限高速GPT-4访问、处理更长输入的上下文窗口、高级数据分析功能、自定义选项等。

　　自上线以来，ChatGPT作为生成式人工智能的代表之一，不断以科技手段重塑行业新生态。但我们也要注意到生成式人工智能可能带来的合规风险、信息泄露以及对网络和数据安全的威胁等，尤其是在新型人工智能技术逐步拓宽市场的企业应用领域，已经有企业基于数据安全风险的顾虑发出“使用禁令”。面对新型人工智能潜在的数据安全风险，平台与企业之间如何构筑数据保护合规与信任体系，已成为新型人工智能技术在企业应用领域可持续发展的一项重要议题。

　　构筑企业与平台数据保护合规体系的现实需求

　　作为新型人工智能技术的代表，ChatGPT的运作以海量数据为基础，使用过程离不开数据的流动、调用，这使得企业在运用新型人工智能技术过程中可能会损害个人、企业合法权益，甚至公共利益，侵害国家安全。近年来，受产品特性、技术缺陷、外部干涉等诸多不利因素影响，人工智能平台时有数据泄露、知识产权侵权、散播虚假信息等数据安全风险事件发生。这使有的企业对人工智能服务安全运行的可行性引发质疑，部分企业甚至开始限制员工使用新型人工智能技术，如微软和亚马逊就出于泄露企业机密的顾虑，禁止员工向ChatGPT上传企业数据。生成式人工智能带来的数据合规性问题，使得构筑数据保护合规与信任体系有了迫切的现实需求。

　　首先，企业接受人工智能平台的数据服务有泄露个人信息、商业秘密及违背保密义务的风险，此类数据合规风险被称为数据滥用类风险。实践中，人工智能平台为实现自身利益最大化，往往会对产品内容使用权增设权益，这违背以“告知-同意”为核心的数据处理规则。以OpenAI使用条款的规定为例，OpenAI对任何用户的输入和输出内容拥有广泛使用权以改善ChatGPT。根据《中华人民共和国个人信息保护法》第十三条的规定，平台处理个人信息应当经过用户同意。若平台未经许可，非法收集用户数据将违反个人信息保护的相关法律规范。若平台非法收集企业经验、管理中的数据，可能损害企业商业秘密，侵犯企业数据权益。同时，即使通过合法途径收集企业数据，一旦发生数据外泄，可能会对消费者、企业乃至行业造成不可挽回的经济损失，客户也会降低对企业的信任度，将给企业形象和名誉带来巨大负面影响。

　　其次，企业运用人工智能平台生成内容的归属权、相关版权争议、生成式人工智能是否具备作者身份，以及生成内容是否具备原创作品资格等问题，目前立法并未作明确规定，也存在一定争议。此外，平台在搜集、训练、生成数据的过程中也可能侵犯知识产权，生成式人工智能要通过大量数据训练输出内容，在输出结果时并不会显示过程参考、借鉴的数据来源。若收集、训练的相关数据受版权保护，未经许可生成的内容则会引发侵权纠纷。若生成内容同其他原创作品构成实质性相似，那么创作行为本身以及生成的文字作品的后续使用都可能构成侵犯原创作品知识产权。

　　构筑数据保护合规体系的具体路径

　　企业接受新型人工智能服务过程中如何规避数据合规风险，平台和企业之间如何构建信任机制，这是平台与企业谋取长期合作发展不可避免要协调、解决的问题。因此，建立平台与企业之间稳固、良性的信任体系，对当前推动新型人工智能在企业应用领域具有重要作用。建议引入数据保护合规管理，在企业内部建立健全规范化、严密化的数据合规管理体系，从源头及时发现、有效解决数据安全风险。

　　其一，建立健全有针对性的数据合规法律规范体系。根据今年7月国家网信办等七部门联合发布的《生成式人工智能服务管理暂行办法》，国家标准化管理委员会发布的《合规管理体系 指南》，国务院国有资产监督管理委员会印发的《中央企业合规管理办法》等合规管理相关的法律、法规，坚持目标导向和问题导向，推进生成式人工智能健康发展，规定生成式人工智能服务的基本规范并有效解决传播虚假信息、侵害个人信息权益、数据安全和算法歧视等问题，采取有效措施鼓励生成式人工智能创新发展，对生成式人工智能服务实行包容审慎监管和分类分级监管。持续推进针对数据保护领域行政监管法律体系建设，将网络安全法、数据安全法、个人信息保护法中涉及的数据处理基本规则、企业数据合规管理义务等法律规范落实到位。同时，探索人工智能生成内容的管理规则、侵权行为后的救济手段具体措施等。

　　其二，确立平台与企业之间数据合规管理的指导原则。根据《中央企业合规管理指引（试行）》第四条确定的原则，强化平台与企业之间数据合规管理体系建设，将全面覆盖、强化责任、协同联动、客观独立四项原则落实到数据合规管理的方方面面。在数据服务的研发、生产、运用过程中全面嵌入合规管理理念，确保每一个环节不出差错，以实现数据安全风险治理总目标。强化责任原则，落实全员合规责任制，明确管理人员、各岗位员工职责，有错必纠，违法必惩，加强员工对个人信息的保护意识，将侵权、数据泄密等扼杀于摇篮之中。强化协同联动原则，各工作岗位、多元主体相互统筹协作，系统防范数据安全风险，形成以第三方为主导，政府、企业、平台有序配合的多元合作共治模式。坚持客观独立原则，确保合规管理部门及工作人员客观、中立地履行数据合规管理职责。

　　其三，构建健全数据保护合规的组织体系、运行体系与整改体系。在企业内部设立数据合规工作部门，细化数据合规职责。组建数据合规管理委员会，负责制定企业数据合规宏观层面决策，指导数据合规部开展具体工作。数据合规部针对数据安全工作制定具体工作流程，并负责执行日常数据安全工作。设置合规稽查部门，监督合规工作有效开展。加强合规风险应对，针对发现的风险制定预案，采取有效措施，及时应对处置，针对高等级合规风险提供更严密、谨慎的防控措施。此外，对于涉及违法、违规等不当行为，要对此设置专项合规整改体系，采取一系列修复、纠错手段及时减少企业损失，不断优化企业内部结构。

　　ChatGPT企业版的推出，进一步优化生成式人工智能，日益完备的功能也让我们看到了新型人工智能技术广阔的运用前景，但它也给现有法律法规提出了诸多挑战。为实现防控数据保护合规风险的目标，企业与平台应当自觉遵循数据处理规则，积极履行数据管理义务，构筑数据保护合规与信任体系，着力推进数字中国建设，谋求企业与平台之间的可持续良性发展，促进新型人工智能技术创新发展。

　　（作者单位：重庆大学法学院）