天衡研究 | ChatGPT使用过程中的法律风险初探

韩国三星设备解决方案（DS）部门自今年3月11日起允许员工使用ChatGPT，据韩媒报道，仅仅二十多天，该部门就发生了3起数据泄露事故，导致其半导体设备测量、良品率/缺陷、内部会议内容等数据及信息被上传到ChatGPT的服务器中。

造成该起事件的原因是三名员工为了省事，将相关机密信息与数据上传到ChatGPT中。员工A在运行数据库源代码时发生了错误，就复制所有有问题的源代码，输入ChatGPT，询问解决方法。员工B将公司生产检测相关的程序代码整个输入ChatGPT，要求其优化代码。员工C将用手机录音的会议内容转换为文档文件后，输入到ChatGPT中，目的是要求制作会议记录。

前车之覆轨，后车之明鉴，三星的泄密事件也给广大ChatGPT使用者敲响了警钟。需知泄露包含机密信息、代码等商业秘密可能导致严重的法律后果。

相关法条：

《中华人民共和国反不正当竞争法》第9条规定：

经营者不得实施下列侵犯商业秘密的行为：

经营者以外的其他自然人、法人和非法人组织实施前款所列违法行为的，视为侵犯商业秘密。

本法所称的商业秘密，是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。

《中华人民共和国劳动合同法》第23条规定：用人单位与劳动者可以在劳动合同中约定保守用人单位的商业秘密和与知识产权相关的保密事项。

对负有保密义务的劳动者，用人单位可以在劳动合同或者保密协议中与劳动者约定竞业限制条款，并约定在解除或者终止劳动合同后，在竞业限制期限内按月给予劳动者经济补偿。劳动者违反竞业限制约定的，应当按照约定向用人单位支付违约金。

《中华人民共和国反不正当竞争法》第21条规定：经营者以及其他自然人、法人和非法人组织违反本法第九条规定侵犯商业秘密的，由监督检查部门责令停止违法行为，没收违法所得，处十万元以上一百万元以下的罚款；情节严重的，处五十万元以上五百万元以下的罚款。

《中华人民共和国刑法》第219条规定：【侵犯商业秘密罪】有下列侵犯商业秘密行为之一，情节严重的，处三年以下有期徒刑，并处或者单处罚金；情节特别严重的，处三年以上十年以下有期徒刑，并处罚金：

明知前款所列行为，获取、披露、使用或者允许他人使用该商业秘密的，以侵犯商业秘密论。

本条所称权利人，是指商业秘密的所有人和经商业秘密所有人许可的商业秘密使用人。

可见，根据我国现行法律法规，如在使用ChatGPT过程中，随意上传机密数据或文件导致泄密，可能面临赔偿违约金、赔偿损失、被处罚金甚至处以有期徒刑的民事、刑事、行政等严重法律后果。

根据《中华人民共和国著作权法》第三条、《中华人民共和国著作权法实施条例》第二条规定，著作权法所称作品，是指文学、艺术和科学领域内具有独创性并能以某种有形形式复制的智力成果。鉴于包含ChatGPT在内的众多AI目前生成的成果，都是由其数据库内或互联网上已有信息再加工生成，其是否具有《著作权法》所称之“独创性”，在技术界与法律界均存在较大争议。同时，我国《著作权法》第九条亦明确规定，只有自然人、法人或非法人组织才能够被称为《著作权法》中所认定的“作者”并享有相应著作权，故而ChatGPT等AI生成的成果目前暂不享有我国的著作权保护。

我国司法实践中的主流观点也认为，AI或计算机智能软件不具有作者身份，其生成的成果不受到著作权保护。例如“北京菲林律师事务所诉北京百度网讯科技有限公司著作权侵权纠纷一案”（（2018）京0491民初239号），法院观点认为，具备独创性并非构成文字作品的充分条件，根据现行法律规定，文字作品应由自然人创作完成。虽然随着科学技术的发展，计算机软件智能生成的此类“作品”在内容、形态，甚至表达方式上日趋接近自然人，但若在现行法律的权利保护体系内可以对此类软件的智力、经济投入予以充分保护，则不宜对民法主体的基本规范予以突破，故而对案中“威科先行”数据库自动生成的分析报告认定为不构成作品，不受相应保护。

而OpenAI对用户使用ChatGPT生成的内容目前也十分慷慨，在用户遵守OpenAI公布的相关条款前提下，OpenAI将包括ChatGPT在内的旗下所有工具产生内容的所有权利均分配给用户，即用户可以将“内容”用于任何目的，包括销售或出版等商业目的（“Subject to your compliance with these Terms, OpenAI hereby assigns to you all its right, title and interest in and to Output. This means you can use Content for any purpose, including commercial purposes such as sale or publication, if you comply with these Terms”）。

如此看来，是不是在目前阶段使用ChatGPT生成的各类成果，可以完全高枕无忧呢？并不尽然，从另一个角度来看，由于AI目前尚不具有完全的独创能力，其生成的所有内容均是基于内在数据库以及互联网上公开数据，通过深度学习、拼接、复制、再加工而成。由于ChatGPT已经进入商业运营而非科研或教学领域，因此，如果其生成的内容与其作为数据来源的作品、专利或者商标具有较高相似度或者构成实质相似，同时未经权利人授权，则涉嫌构成对第三方著作权、专利权或者商标权的侵犯，虽然ChatGPT本身不会承担法律责任，但侵权内容的生成者、使用者以及AI工具的运营者或管理者同样可能承担侵犯他人知识产权的法律责任。

根据国家互联网信息办公室于今年4月11日提出的《生成式人工智能服务管理办法（征求意见稿）》第五条规定：利用生成式人工智能产品提供聊天和文本、图像、声音生成等服务的组织和个人（以下称“提供者”），包括通过提供可编程接口等方式支持他人自行生成文本、图像、声音等，承担该产品生成内容生产者的责任；涉及个人信息的，承担个人信息处理者的法定责任，履行个人信息保护义务。

因OpenAI以及ChatGPT目前并未在我国国内提供服务，故而在现阶段OpenAI作为提供者与运营商无需承担相应责任。但目前国内已经出现了大量调用ChatGPT API接口来提供服务的网页、插件、小程序等，这些服务的提供者及运营者在使用过程中应警惕上述侵权风险。

鉴于ChatGPT目前是基于互联网上的公开数据进行机器学习以及生成内容，而机器并不具有甄别信息真伪及准确与否的能力，因此ChatGPT所生成的内容不能够保真也无法保证其准确性。OpenAI在《使用条款》中做了相似的声明：Given the probabilistic nature of machine learning, use of our Services may in some situations result in incorrect Output that does not accurately reflect real people, places, or facts. You should evaluate the accuracy of any Output as appropriate for your use case, including by using human review of the Output. ……WE DO NOT WARRANT THAT THE SERVICES WILL BE UNINTERRUPTED, ACCURATE OR ERROR FREE, OR THAT ANY CONTENT WILL BE SECURE OR NOT LOST OR ALTERED.

另外同样由于机器学习的本身特性，决定了ChatGPT生成的内容也可能随机存在某些不当倾向性、甚至不符合我国法律法规、公序良俗的内容。

根据《生成式人工智能服务管理办法（征求意见稿）》第四条规定：提供生成式人工智能产品或服务应当遵守法律法规的要求，尊重社会公德、公序良俗，符合以下要求：

尽管该《管理办法》目前仅是征求意见稿，到正式稿发布前依然会有所变动。但从该征求意见稿不难看出，目前立法机关的立法目的还是希望从根源上尽可能确保AI生成和发布的内容尽可能合法、准确、真实，否则服务提供者及内容使用者可能承担相应法律责任。鉴于包括ChatGPT在内的AI技术目前还较难实现以上要求，因此使用者在使用过程中需要对ChatGPT生成的内容自行进行甄别后使用，以避免触及上述法律风险。

由于ChatGPT并未对我国范围内提供服务，其服务器均部署在美国境内。根据OpenAI公布的隐私政策，在用户使用ChatGPT服务时，其个人信息都将传输至OpenAI位于美国的设施和服务器上（By using our Service, you understand and acknowledge that your Personal Information will be transferred from your location to our facilities and servers in the United States.）。因此在使用ChatGPT的过程中，涉及到的个人信息或可能关系国家安全、经济运行、社会稳定、公共健康和安全的重要数据都将发生数据的跨境。

针对数据跨境的相关问题，目前我国主要由《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》“三驾马车”进行规制。除“三驾马车”外，我国仍在陆续颁布相关规范性文件，为数据跨境合规体系的构建持续添砖加瓦，包括《关键信息基础设施安全保护条例》《数据出境安全评估办法》《数据出境安全评估申报指南（第一版）》等。

相关法条：

《关键信息基础设施安全保护条例》第2条规定：本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

《数据安全法》第31条规定：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

《数据安全法》第46条规定：违反本法第三十一条规定，向境外提供重要数据的，由有关主管部门责令改正，给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；情节严重的，处一百万元以上一千万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

《中华人民共和国个人信息保护法》第三十八条规定：个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

《中华人民共和国个人信息保护法》第四十条规定：关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

《个人信息保护法》第五十五条规定：有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

《数据出境安全评估办法》第二条规定：数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估，适用本办法。法律、行政法规另有规定的，依照其规定。

《数据出境安全评估办法》第十九条规定：本办法所称重要数据，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

《数据出境安全评估办法》第四条规定：数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

《数据出境安全评估办法》第十八条规定：违反本办法规定的，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规处理；构成犯罪的，依法追究刑事责任。

可见，对于上述法律规定中所描述的关键信息基础设施运营者、重要数据处理者或个人信息处理者，如使用ChatGPT，将存在极大的信息安全风险与法律风险，使用时务必注意相关重要数据的脱密，取得相应许可。对属于《数据出境安全评估办法》第四条规定的情形，应按照规定，主动通过省级网信部门向国家网信部门申报数据出境安全评估。前文韩国三星的数据事件如发生在我国，除承担商业泄密的法律责任外，还可能涉嫌违反上述数据跨境相关规定，责任人可能遭致最高一百万元的巨额处罚，构成犯罪的，还可能被依法追究刑事责任。