霍俊阁：ChatGPT的数据安全风险及其合规管理 | 西南政法大学学报202304

【作者】霍俊阁（西南政法大学智能司法研究院研究人员，西南政法大学数字法治政府研究院研究人员，西南政法大学人工智能法学院讲师，法学博士 ）

【来源】北大法宝法学期刊库《西南政法大学学报》2023年第4期（文末附本期期刊目录） 。因篇幅较长，已略去原文注释。

内容提要：ChatGPT在积极赋能社会各领域发展过程中也隐含着数据安全风险，可能侵犯公民与企业合法权益、损害公共利益和国家安全。应当坚持“四个治理”原则，将合规管理方式引入到ChatGPT的数据安全风险治理体系，创新ChatGPT数据安全风险的治理方式。以合规管理方式治理ChatGPT的数据安全风险，需要ChatGPT的研发、生产、运用企业依据有效性原则、全面性原则、独立性原则、相称性原则开展数据合规管理，并从数据合规管理制度、数据安全风险识别与评估、数据安全风险应对处置、数据合规奖惩、数据合规科技创新、数据合规管理评估、数据合规文化培育等方面建立和实施数据合规管理方案。

关键词：人工智能；ChatGPT；数据安全风险；“四个治理”；合规管理

目次 一、ChatGPT运行周期内的数据安全风险梳理 二、ChatGPT的数据安全风险应引入合规管理 三、ChatGPT的数据合规管理原则与方案 四、结语

自美国OpenAI公司发布ChatGPT以来，ChatGPT的推广应用和技术迭代一直备受人工智能专家、社会公众和法学界关注。ChatGPT在互动问答、论文写作、代码编写、视频创作等方面的表现，极大冲击了人们对人工智能技术的既有认知。ChatGPT能够取得如此优异的表现，得益于其是一种由GPT-3.5模型提供支持的、基于互联网可用数据训练的文本生成深度学习模型。作为生成式人工智能技术的典型代表，ChatGPT必将开拓人工智能技术应用的新场景。但ChatGPT是以大量数据为基础产生的人工智能技术，大量数据的流动和调用必然会涉及数据安全问题，数据安全风险的管理成为ChatGPT发展过程中的一项重要议题。尽管现阶段我国相关领域还未广泛应用ChatGPT,ChatGPT的数据安全风险在我国的社会场景中还没有大规模出现，但从应然层面前瞻性地建构ChatGPT数据安全风险的化解机制，保障相关数据的安全利用，是推动ChatGPT等生成式人工智能规范发展的必然要求。基于此，本文将在梳理ChatGPT数据安全风险的基础上，积极建构ChatGPT数据安全的合规管理体系，以实现ChatGPT数据安全风险的合规防控。

一

ChatGPT运行周期内的数据安全风险梳理

ChatGPT需要数据输入并通过算法模型对数据进行处理，才能有结果输出，在这一过程中就可能发生各类数据安全问题。且ChatGPT在数据输入、数据处理、数据输出阶段均可能发生数据安全事件，引发侵犯公民、企业合法权益及损害公共利益、国家安全等安全风险。

（一）ChatGPT在数据收集阶段的安全风险

根据OpenAI使用条款的规定，OpenAI对任何用户的输入和输出内容拥有广泛使用权以改善ChatGPT。可是，不是所有的用户都愿意将其数据提供给ChatGPT，每个用户也并非都愿意ChatG- PT收集其全部数据。更加值得警惕的是，不同于公开的社交平台，生成式人工智能很可能会收集到大量高度敏感的隐私信息乃至保密信息。以致于，微软和亚马逊就曾因担心泄露机密信息而禁止公司员工向ChatGPT分享敏感数据，埃森哲公司也因类似原因警告员工不要将客户信息透露给ChatGPT。如果ChatGPT非法收集了个人数据、企业数据、公共数据，必然会引发数据安全风险。

第一，非法收集个人数据会侵犯公民个人信息。任何组织、个人收集数据都应当合法、正当， ChatGPT要收集用户的个人数据必须采取合法、正当的方式。而且，从数据收集目的和收集对象来看，ChatGPT对用户数据的收集不属于《个人信息保护法》第13条规定的无需获得个人同意的情形。所以，ChatGPT收集用户个人数据时应当获得用户同意。如果ChatGPT在未经用户同意的情形下非法收集了用户的个人数据，则可能违反相关法律规范中有关公民个人信息保护的规定，引发侵犯公民个人信息的安全风险。

第二，非法收集企业数据会侵犯企业数据权益、企业商业秘密、公民个人信息，引发对计算机信息系统数据的非法获取。首先，ChatGPT非法收集企业数据的行为，必然会侵犯企业数据权益。因为数据企业对合法收集的，包括个人数据在内的全部数据享有支配的权利，其属于独立于人格权、物权、债权、知识产权的新型财产权。其次，形成于企业经营、管理过程中的企业数据，除包括一般性的企业数据外，还可能包含商业秘密数据、公民个人数据。如果ChatGPT非法收集了企业数据中的商业秘密数据、公民个人数据，还会进一步损害他人商业秘密、侵犯公民个人信息。最后，ChatG- PT对企业数据的非法收集，如果是通过非法侵入他人计算机信息系统方式实现的，则会引发非法获取计算机信息系统数据的安全风险。

第三，非法收集公共数据将侵犯国家秘密、商业秘密、个人信息，导致对计算机信息系统数据的非法获取。公共数据是各级行政机关及具有公共管理和服务职能的事业单位，在依法履行职责过程中获得的各类数据资源。公共数据范围的广泛性，使之不可避免地会包含涉及国家秘密、商业秘密和个人信息的数据。而当前大多数地区有关公共数据开放的规范性文件，均明确禁止开放涉及国家秘密、商业秘密、个人隐私的公共数据。若ChatGPT未经同意或者法定授权，非法收集了涉及国家秘密、商业秘密、个人隐私的公共数据，会产生侵犯国家秘密、商业秘密、公民个人信息的安全风险。此外，在收集手段上，如果ChatGPT通过非法侵入他人计算机信息系统的方式收集公共数据，则会引发非法获取计算机信息系统数据的安全风险。

（二）ChatGPT在数据处理阶段的安全风险

受技术漏洞、生成特性、内部窃取等因素的影响，ChatGPT在依据算法处理数据的过程中，可能发生数据泄露和数据滥用的安全事件。例如，ChatGPT曾经出现的技术漏洞已经使部分用户的信息被泄露。再如，用户可能会借助所提问题避开ChatGPT的过滤机制，进而获取其他用户输入ChatG- PT的数据。而ChatGPT对所处理数据的泄露、滥用必然会带来安全风险，侵犯公民、企业的合法权益，甚至损害公共利益和国家安全。

一方面，ChatGPT对个人数据、企业数据的泄露和滥用，会侵犯公民个人信息、企业商业秘密，以及公民、企业的其他合法权益。时常出现的数据安全事件表明，现阶段人们尚无法完全杜绝人工智能对所处理数据的泄露和滥用。并且，在ChatGPT环境下，个人数据、企业数据的泄露与滥用风险将会进一步加剧。因为“用户在使用ChatGPT的过程中，可能会出于‘和机器人对话’的游戏心态，主动向ChatGPT泄露一些个人信息以及隐私事项”，但OpenAI的使用条款并没有对用户可能输入ChatGPT的机密信息提供任何保护。一旦ChatGPT泄露和滥用了用户输入的个人数据、企业数据，既可能因违反相关法律规范而直接侵犯公民个人信息、企业商业秘密，也可能因相关数据被非法利用，而间接侵犯公民的其他人身权利、财产权利，损害企业的商业信誉、名誉、竞争优势和财产权利。

另一方面，ChatGPT对公共数据、个人数据、企业数据的泄露和滥用，会进一步损害公共利益、威胁国家安全。如果ChatGPT泄露和滥用了与社会管理、公共服务、国民经济发展、国家安全、关键信息基础设施等直接相关的公共数据，无疑会引发损害公共利益、国家安全的安全风险。如果ChatG- PT泄露和滥用了个人数据、企业数据，也会引发上述风险。因为大规模的数据泄露及数据监听、窃取事件所引发的数据安全、隐私保护等问题，会严重影响社会安全和国家安全。而且，公民个人的基因信息、健康状况等隐私数据，及企业自身产生的经营、管理数据，常常会经由大数据的聚合分析而呈现出群体性、区域性、行业性特征，从而与社会政策、国家政策的制定密切关联。

（三）ChatGPT在数据输出阶段的安全风险

能够生成内容是ChatGPT等生成式人工智能区别于其他人工智能的显著技术特点。但是，这也会使ChatGPT在数据输出阶段，产生有别于传统人工智能数据安全风险的新风险。ChatGPT在此阶段的数据安全风险，分布于输出违法信息与输出合法信息两种情形。在输出违法信息情形下， ChatGPT的数据安全风险主要表现为以下几点。一是，由于ChatGPT在生成答案时往往是通过词语和词语之间的关联关系生成文本，其并不能判别生成文本内容的真伪，以致于很可能会传播与事实不符的信息。如，ChatGPT引发的有关杭州市2023年3月1号取消限行的假消息事件即是如此。所以，如果ChatGPT输出了针对特定主体的网络虚假信息，则可能造成侵犯公民、企业名誉的安全风险；如果ChatGPT向用户输出了针对不特定主体的网络虚假信息，则可能引发侵犯社会公共秩序的安全风险。二是，若ChatGPT输出的是煽动分裂国家、颠覆国家政权，煽动民族仇恨和民族歧视等危害国家安全的信息，则存在侵犯国家安全的风险。因为ChatGPT会受到自己所学习的带有偏见性甚至歧视性内容的影响，进而生产出带有偏见和歧视的内容。三是，若ChatGPT输出的是包含欺诈、赌博、色情等危害社会公共秩序的其他信息，则会引发侵犯社会公共秩序的安全风险。

在输出合法信息情形下，ChatGPT也可能因违反信息保密义务或者没有取得授权而产生数据安全风险。在输出秘密类信息时，若ChatGPT输出的是依据法律规范规定或约定需要保密的，涉及个人隐私、商业秘密、国家秘密的信息，则可能产生侵犯公民个人信息、侵犯商业秘密及故意、过失泄露国家秘密的安全风险。在输出授权使用类信息时，如果ChatGPT未经授权输出了法律规定需授权才能使用的信息，则会产生侵犯他人知识产权的安全风险。因为ChatGPT不会体现部分数据的正确来源，受版权保护的资料与数据在ChatGPT向用户提供回复时就容易造成侵权纠纷。如，全球最大的媒体集团之一新闻集团（News Corp.）旗下的道琼斯公司曾发布声明，对OpenAI在未经道琼斯授权情况下违规使用《华尔街日报》的行为进行了指责。因此，在输出合法信息情形下， Chat- GPT也存在侵犯公民个人信息、商业秘密、知识产权，以及故意、过失泄露国家秘密等安全风险。

二

ChatGPT的数据安全风险应引入合规管理

当前，在应对数据安全风险时，数据合规已经成为一个重要选择。因为数据合规是为了预防在数据处理和管理过程中的各种风险，在遵守相关法律法规的基础上，建立的专门针对数据保护的合规管理体系。要防范ChatGPT的数据安全风险，应当在ChatGPT的数据安全风险治理体系中引入合规管理方式，从企业角度建立ChatGPT的数据合规管理体系。而且，从企业角度开展的ChatGPT的数据合规管理，是ChatGPT的研发、生产、运用企业在数据安全风险发生之前，以预防数据安全风险为内容的日常性管理。以这一事前的合规管理方式防范ChatGPT的数据安全风险，也是落实《中共中央关于全面深化改革若干重大问题的决定》所提出的，坚持系统治理、依法治理、综合治理、源头治理的“四个治理”原则，创新ChatGPT数据安全风险治理方式的要求。

（一）系统治理ChatGPT数据安全风险的要求

“过去的综合治理和社会管理是政府系统各部门之间的协同，以及在政府主导下单位组织、社区的配合。现在的系统治理强调政府的主导作用，同时鼓励和支持社会各方面参与。”系统治理已经实现了由政府部门向包括政府部门、社会组织、公民等在内的更大范围的多元主体拓展。而要实现系统治理，除了做好主体权责划界、主体监督制约之外，还应做好主体协调配合的多元合作共治，要充分发挥社会各类组织的作用，引领和推动公民、家庭积极参与国家治理。换言之，多元主体的合作共治是系统治理在社会治理层面的必然要求。那么，在ChatGPT数据安全风险的治理维度，系统治理就要求积极引入社会、企业等多方主体参与，形成政府领导下的多元主体合作共治格局。

这就要求在ChatGPT的数据安全风险治理中引入合规管理机制。因为企业数据合规机制本质上是一种基于多元共治理念的数据治理模式，其具备实现多元主体合作共治的系统治理功能。一方面，国家与企业“共治”是企业合规的精髓所在，通过合规管理方式治理ChatGPT的数据安全风险，能够促使企业参与到自身数据安全风险的防控体系之中，形成企业与政府部门之间的合作共治。另一方面，与企业其他职能部门、政府机关、第三方机构进行对接，通过协作共同推动企业数据合规体系的建设与完善，形成企业数据合规的“多元共治”格局，也是企业数据合规日常管理的重要工作内容。从日常管理角度来看，以合规管理方式防控ChatGPT的数据安全风险，能够积极推动第三方机构参与ChatGPT的研发、生产、运用企业的数据安全风险治理活动，实现企业、政府部门、第三方机构等多元主体的合作共治局面。因此，通过合规管理方式防控ChatGPT的数据安全风险，是实现ChatGPT数据安全风险系统治理的内在需求。

（二）依法治理ChatGPT数据安全风险的要求

在社会治理中，依法治理最深厚的推动力量在于人人懂法、人人尊法、人人守法、人人用法，其既要树立法律权威，也要提升社会公众按照法律要求办事的行为习惯。具体到ChatGPT数据安全风险的依法治理，不仅要确立法律在ChatGPT研发、生产、运用中的权威性，而且要提升ChatGPT的研发、生产、运用企业及其员工按照数据相关法律规范行事的行为习惯。

原本在逻辑上，既可以借助裁判规范功能，也可以凭借法律规范的行为规范功能，树立法律在ChatGPT相关环节的权威性，并提升企业及其员工按照数据相关法律规范研发、生产、运用ChatGPT的行为习惯。但实际上，ChatGPT数据安全风险的依法治理，难以完全借助法律规范的裁判规范功能实现，法律规范的裁判功能难以有效促进ChatGPT相关企业及其员工依据数据安全相关法律规范办事的行为习惯。因为法律规范裁判功能的发挥，以对ChatGPT数据违法违规行为的法律惩治为核心。而受法律规范文本滞后、因果关系证明困难、行为人责任要素模糊等因素的制约，对Chat- GPT相关企业及其员工实施的违法违规行为进行有效的法律归责较为困难。法律归责的困难必然会降低ChatGPT相关企业及其员工的数据违法违规行为受到法律惩治的几率，这并不利于塑造ChatGPT相关企业及其员工尊法、守法、用法，依据数据相关法律规范办事的行为习惯。因而，为塑造企业及其员工尊法、守法、用法的行为习惯，还需要积极发挥法律规范的行为规范功能，通过将法律规范作为行为指引方式克服其裁判规范功能的治理局限。

在依法治理ChatGPT的数据安全风险过程中，法律规范的行为规范功能必不可少。在当前积极推进企业合规背景下，要发挥法律规范对企业及其员工行为的指引功能，离不开企业合规管理体系的建构。建构ChatGPT的数据合规管理体系，对ChatGPT的数据安全风险开展合规管理，既能够塑造企业及其员工遵从数据相关法律规范的行为习惯，也能够将数据相关法律规范细化为企业内部的规章制度，以树立法律规范的权威性。而且，我国有关企业合规管理制度目标的设定，以及企业合规建设取得的实践效果，已经证明了这一点。因此，依法治理ChatGPT的数据安全风险必然要求企业开展数据合规管理，以塑造企业及其员工遵从数据保护相关法律规范的行为习惯。

（三）综合治理ChatGPT数据安全风险的需要

“‘综合治理’着重解决的是社会治理实施的其他依据和手段问题，即还要综合运用除法律外的其他手段来治理的问题”，从而形成法律、科技、文化、经济等多种手段相结合的综合治理格局。而在ChatGPT的数据安全风险治理中，综合治理则要求应当综合运用多种手段防控ChatGPT的数据安全风险，着重关注的是对经济、法律、科技、文化等手段的综合运用。就此而言，通过事后的法律惩治方式治理ChatGPT的数据安全风险在手段上明显具有单一性，难以实现多种手段并重下的ChatGPT数据安全风险的综合治理。相反，事前的合规管理方式则能够综合运用法律、科技、文化等手段，有效推进ChatGPT数据安全风险的综合治理。

一方面，合规管理方式能够综合运用法律、科技手段，治理ChatGPT的数据安全风险。因为企业安全风险识别、分析是企业合规管理的重要步骤，而当前的企业安全风险识别、分析中越来越多地加入了科技手段，并逐渐形成了适用于合规管理的合规科技。所谓合规科技也称为监管科技，指的是以数据为驱动力，以区块链、云计算、人工智能等技术为依托，以提高合规和监管效率为价值导向，以标准化、数字化、智能化为特征的解决方案。在合规管理过程中，合规科技的具体运用方式在于：引入大数据、人工智能等数字化技术对合规风险进行智能化的监控、识别和分析，并对合规实施效果进行实时、可视及量化的评价，旨在有效帮助企业预防、监测合规风险，实现事后快速响应，推动企业合规数字化转型。那么，在合规科技的广泛运用下，ChatGPT数据安全风险的合规管理将能够综合融入法律、科技手段，实现其数据安全风险治理的综合性。

另一方面，合规管理能够综合运用法律、文化手段，治理ChatGPT的数据安全风险。虽然企业合规管理的规章制度源于法律规范的规定，但有效的企业合规管理离不开合规文化的支持，合规文化作为企业文化的一部分，是企业合规管理不可或缺的内容。对ChatGPT的数据安全风险开展合规管理，需要引入文化治理手段。因而，综合治理ChatGPT的数据安全风险应引入合规管理方式。

（四）源头治理ChatGPT数据安全风险的需要

在ChatGPT的数据安全风险治理中，“四个治理”原则还要求对ChatGPT的数据安全风险进行源头治理。在社会治理层面，“源头治理”强调的是“治本之策”，坚持社会治理关口前移，即以经济发展推动民生改善，健全诉求表达机制和社会风险评估机制，把矛盾化解在未发或初始阶段。而在ChatGPT的数据安全风险治理中，源头治理则强调的是对ChatGPT数据安全风险的溯源治理、源头防控。虽然理论上对ChatGPT数据安全风险的源头防控，无外乎事后的法律惩治与事前的合规管理两种方式，但事后的法律惩治方式在实践中并不能担负ChatGPT数据安全风险的源头治理重任。

这主要受制于人工智能技术存在的数据遗忘和删除难题。由于添加到数据库中的每个数据记录既可能位于文件系统中的某个特定点，也可能存储在数据库内部运转机制内的不同位置，有的还被复制到其他数据库的日志文件和备份中，所以人工智能系统数据库中的数据在技术层面很难被完全彻底地删除。这意味着，ChatGPT运行中所涉及的相关数据，一旦被ChatGPT纳入数据库并用以迭代学习就很难被完全删除。那么，在ChatGPT数据安全风险现实化以后，法律的事后处罚方式就难以有效消除其危害，无法完全恢复数据主体的数据安全状态。因而，事后的法律惩治方式无法担当起ChatGPT数据安全风险的源头治理重任。

与之相对，事前的合规管理方式则能够有效实现ChatGPT数据安全风险的源头治理。这不仅在于，合规管理是对ChatGPT数据安全风险的事前预防，能够及时发现、消除其数据安全风险，做到打早打小、防患于未然。而且因为合规管理一直强调的是对企业违法违规风险的源头治理，一直被作为违法违规风险的源头治理手段。相关行业主管部门也已经把企业合规作为能动履职、溯源治理的有力抓手，通过引导、指导相关行业开展企业合规建设积极促进防患未然、抓源治本。因此，源头治理ChatGPT的数据安全风险需要引入合规管理方式，建立企业的数据合规管理体系。

三

ChatGPT的数据合规管理原则与方案

在ChatGPT的数据合规管理方案建构和具体实施上，我国已经发布的《中央企业合规管理指引（试行）》《企业知识产权合规标准指引（试行）》《企业境外经营合规管理指引》《中央企业合规管理办法》《经营者反垄断合规指南》《合规管理体系要求及使用指南》（GB/T35770-2022）等文件，能够提供重要参考。其中，数据合规管理的指导原则和实施方案的合理建构，是确保ChatGPT的数据合规管理取得风险治理成效的关键。因而，有必要明确ChatGPT的研发、生产、运用企业数据合规管理的指导原则和实施方案的具体内容。

（一）ChatGPT数据合规管理的指导原则

我国有关企业合规管理的相关文件，普遍将有效性、全面性、独立性作为企业合规管理的原则。此外，理论界基于企业风险防控目标与企业合规成本投入的对比，又引入了企业合规管理的相称性原则。为了建立有效的ChatGPT相关企业的数据合规体系，ChatGPT的研发、生产、运用企业的数据合规管理，可以将之作为主要指导原则。同时，上述几个指导原则又有着自己内在的逻辑结构，即制度上的有效性原则、范围上的全面性原则、运行上的独立性原则、限度上的相称性原则。

第一，制度上的有效性原则。有效性原则是ChatGPT相关企业开展数据合规管理的首要原则，只有建立具有可操性、能够有效实施的合规管理制度，才能够真正取得系统治理、依法治理、综合治理、源头治理ChatGPT数据安全风险的成效。在合规管理中，有效性原则关注的焦点是合规计划在实践中有无起作用，也就是合规计划实现管理目标的程度和效用。因而，在ChatGPT相关企业的数据合规管理中坚持有效性原则，必须制定科学合理、务实可行的合规管理制度，并将相关合规管理制度融入企业的各个业务环节当中，确保企业的各项工作都能够在合规制度的框架内展开。

第二，范围上的全面性原则。《中央企业合规管理指引（试行）》《企业知识产权合规标准指引（试行）》《企业境外经营合规管理指引》等合规指引文件，均要求企业合规管理应当在范围上坚持全面性原则，做到合规管理对企业所有业务、部门和员工的全面覆盖。ChatGPT相关企业的数据合规管理在合规范围上，也应当坚持全面性原则，确保企业的合规管理能够嵌入数据收集、处理、输出的整个运行过程，规范ChatGPT技术的研发、生产、运用等行为，并约束所有员工的工作行为。而之所以在合规管理范围上，要求ChatGPT的研发、生产、运用企业的数据合规管理坚持全面性原则，就是为了保障ChatGPT数据安全风险治理目标的达成，避免因某一个环节的数据违规导致整个数据合规管理体系的崩塌。

第三，运行上的独立性原则。推动ChatGPT的研发、生产、运用企业的数据合规管理必须防止“纸面合规”，要将数据合规管理落到实处。这要求研发、生产、运用ChatGPT的企业的数据合规管理应当坚持独立性原则，确保数据合规管理在运行方式上的客观独立。合规管理的独立性原则关注的是，企业合规管理部门的机构设置、运行程序、岗位职责、人员履责的客观独立。ChatGPT相关企业的数据合规管理坚持独立性原则，既要从制度建设、岗位职责上保障合规管理部门和人员的独立性，避免合规管理部门和人员负担的其他职责与合规职责相冲突，也要从运行程序、人员履责上确保合规管理部门和人员能够客观独立地开展合规管理工作，避免受其他部门、人员的不当干扰。

第四，限度上的相称性原则。企业建立和运行合规管理体系，必然需要投入一定的人力、物力、财力等合规成本，这将明显增加企业的经济支出。可是，企业合规管理在短期内并不会给企业带来直观可见的经济效益，这就会在企业合规管理的成本投入与风险防控之间形成紧张关系。在此情形下，企业要建立“以风险为基础”的合规体系并达到有效合规的目标，就应当遵循相称性原则的要求，在建立合规体系和投入合规资源时，充分考虑企业规模、行业特点、业务范围、合规基础及所面临的现实合规风险。因而，ChatGPT相关企业的数据合规管理应当在实施限度上坚持相称性原则，确保数据合规管理的投入符合数据安全风险的防控实际。而所谓相称性原则，具体指的是企业所要建立的合规管理体系，应当与企业所要实现的有效合规管理目标相适应。基于此，在ChatG- PT相关企业的数据合规管理中贯彻相称性原则，需要维持企业数据合规管理的成本投入与数据安全风险防范之间的相称性。

（二）ChatGPT数据合规管理的实施方案

在ChatGPT相关企业数据合规管理的实施方案上，可以参照合规相关文件内容，对ChatGPT相关企业的数据合规管理方案作如下设计。第一，ChatGPT相关企业应当建立健全数据合规管理制度。建立ChatGPT研发、生产、运用企业的数据合规管理体系，必须制定能够使企业及其全体员工得以遵守的制度，从而保障数据合规管理有规章制度作为依据。建立健全数据合规管理制度也是将外部的数据相关法律规范，内化为ChatGPT研发、生产、运用企业合规管理指引的需要，是保持对数据相关法律规范的实时更新和转化的需要。在具体内容上，公司完备的合规管理制度，通常包括行为规则及与行为规则相关的执行机制与监督机制，以对内部所有员工的行为进行有效监督。建立健全ChatGPT相关企业的数据合规管理制度，需要依据数据的收集、处理、输出阶段，以及ChatG- PT的研发、生产、运用环节制定行为规则，并建立相关行为规则的推进执行和日常监督机制。例如，针对ChatGPT数据处理阶段的数据标注活动，应当建立敏感信息处理规则和程序，并监督执行。

第二，ChatGPT相关企业应确立数据安全风险识别与评估机制。数据安全风险识别是ChatGPT的研发、生产、运用企业开展数据合规管理的前提，只有识别出数据收集、使用、输出过程中的安全风险，才能针对性地予以合规管理。所以，在ChatGPT相关企业的数据合规管理体系中对数据安全风险的识别必不可少，应当建立ChatGPT数据安全风险的识别机制。在识别其数据安全风险的同时，还应当开展数据安全风险的评估，将数据安全风险识别机制与评估机制相融合。合规风险评估，具体指的是根据识别出的合规风险，按照风险发生后的后果、业务发生频次和发生的可能性进行评估，确认合规风险等级。因而，ChatGPT相关企业的数据安全风险识别与评估，既要能够识别出ChatGPT隐含的数据安全风险，又要能够依据风险后果、风险发生几率、风险相关行为的实施频率等划定相应风险的等级。

第三，ChatGPT相关企业应构建数据安全风险应对处置机制。合规风险的应对处置是企业合规管理必不可少的环节。例如，《中央企业合规管理指引（试行）》第19条中就提出，要“加强合规风险应对，针对发现的风险制定预案，采取有效措施，及时应对处置”。那么，在识别出ChatGPT的数据安全风险并评估划定其风险等级的情形下，必须对ChatGPT的数据安全风险作出应对处置。这就需要在ChatGPT研发、生产、运用企业的数据合规管理体系中，建立数据安全风险的应对处置机制。对ChatGPT数据安全风险的应对处置，既包括制定风险预案、开展风险调查、采取补救措施、开启内部问责等内部措施，也包括向主管部门及时报告、追究责任人员法律责任等外部措施。

第四，ChatGPT相关企业应当设置数据合规的内部奖惩机制。企业建立良好的纪律处分程序和奖励机制，被视为有效合规计划的重要标志。为了保障ChatGPT数据合规管理的有效实施和持续推进，应当建立数据合规的违规惩戒与合规奖励机制。对于违反数据合规管理规定的员工， ChatG- PT相关企业应当及时作出惩戒，保障企业数据合规管理制度的有效执行和实施。对于遵守数据合规管理规定的员工，ChatGPT相关企业应该以绩效考核等方式给予奖励，从而带动全体员工形成数据合规的行为习惯，保障数据收集、处理、输出等环节的数据安全。

第五，ChatGPT相关企业应当建立数据合规的合规科技创新机制。与其他人工智能技术的数据利用相比，ChatGPT的数据利用具有特殊性，这主要体现在其远超于其他人工智能的数据量上。OpenAI公司2020年5月推出的GPT-3模型的参数，就已经从GPT-2的15亿大幅攀升至1750亿。而面对ChatGPT如此庞大的数据量，常态化的数据合规管理手段已无法满足需求，在对Chat- GPT进行数据合规管理时需要更多地借助合规科技手段。ChatGPT相关企业应引入合规科技手段，满足数据合规管理的科技化需求。这需要ChatGPT相关企业建立合规科技创新机制，从而优化ChatGPT数据合规监管技术，保障其合规管理的科技水平能够与ChatGPT技术的发展阶段相适应。

第六，ChatGPT相关企业应当建立数据合规管理的评估机制。企业合规管理体系的建立并非是一劳永逸的，应当适时对企业合规管理体系的实施情况进行评估。例如，《中央企业合规管理指引（试行）》在第22条中要求，应当“开展合规管理评估，定期对合规管理体系的有效性进行分析”。为了数据合规管理体系的持续有效建设，ChatGPT相关企业应该建立数据合规管理的评估机制。从而定期对数据合规管理体系开展有效性评价，对出现频率较高的数据安全风险进行追根溯源，及时完善数据合规管理中的漏洞和不足之处，并根据数据安全风险样态的变化调整管理措施。

第七，ChatGPT相关企业应当建构数据合规文化的培育机制。企业合规管理要持续开展，塑造合规文化必不可少。我国有关企业合规管理的诸多指引性文件，普遍将培育合规文化作为企业合规方案的必备内容。所以，要实质性地开展ChatGPT相关企业的数据合规管理建设，应当制定切实有效的数据合规管理方案，培育数据合规文化。从企业合规实践来看，企业合规文化包括两个层面的内容。在组织层面，合规文化以由企业守法态度、守法价值观形成的组织风气（组织氛围）为核心；在个人层面则表现为守法的意识和习惯。基于此，ChatGPT的研发、生产、运用企业要建立数据合规文化培育机制，既要通过签订数据合规承诺、印发数据合规手册、强化数据合规培训等方式，强化企业员工的数据合规理念，塑造企业员工的数据合规意识；还应当通过开展经营战略、组织决策的合规评价等方式，形成企业数据合规的组织风气。

四

结 语

ChatGPT凭借其优异的运用效果和先进的技术水平，一经发布就大大拓展了人工智能技术的适用场景，激发了人们研发、生产、运用ChatGPT的热情。我国也逐渐出现研发、生产、运用ChatGPT国内版及类ChatGPT技术的趋势。但有关ChatGPT严重技术漏洞的新闻报道也提醒我们，ChatGPT会或多或少地出现技术缺陷和数据安全事件。ChatGPT在数据收集、处理、输出阶段，均可能引发损害公民、企业合法权益及公共利益、国家安全的安全风险。要治理作为新技术代表的ChatGPT的数据安全风险，必须推动社会治理创新，在适用既有的社会风险治理机制的基础上，应当积极创新风险治理方式。而将合规管理引入到ChatGPT数据安全风险的治理体系，就是贯彻落实“四个治理”原则，推动社会治理创新的要求。在ChatGPT的研发、生产、运用企业中建立数据合规管理体系，不仅能够有效实现ChatGPT数据安全风险的系统治理、依法治理、综合治理、源头治理，保障相关主体的数据安全，而且能够持续推动生成式人工智能技术的创新发展。

-向上滑动，查看完整目录-

《西南政法大学学报》2023年第4期目录

【国家社科基金重大项目成果专栏】

1.论社会主义核心价值观的立法实施及其优化

刘志刚、郭威（3）

2.自然资源资产国家所有权救济机制研究

石佳友、康令煊（14）

【市场经济与法治专栏】

3.农村土地信托中地方人民政府的角色调适与制度回应

曹泮天（26）

4.金钱债务合同僵局的识别与破解

刘子涵（41）

5.规避保护技术措施行为的刑法规制研究

倪朱亮、陈阳（53）

【人工智能法治专题】

6.来自“世界3”的知识欺诈：生成式人工智能的刑事风险应对

单勇、王熠（70）

7.ChatGPT：人工智能的通用性发展及其法律规制

戴杕（86）

8.ChatGPT的数据安全风险及其合规管理

霍俊阁（98）

9.ChatGPT提供者的监管义务根据及刑法分级规制研究

张喆锐（109）

10.生成式人工智能的犯罪风险及刑法规制

盛浩（122）

11.算法权力之否定

欧阳恩钱（137）

【总体国家安全研究】

12.我国国家安全研究回顾及发展趋势

——基于CiteSpace软件的知识图谱分析

王卓、秦浩（147）

《西南政法大学学报》是西南政法大学主办的包括法学在内的综合性学术物，创办于1999年，是西南政法大学主办、面向国内外公开发行的以法学为主的综合性社科学术刊物，其宗旨在于及时传播法学领域和其它社科领域的创造性研究成果，反映学术界的最新动态。本刊注重弘扬学术精神，坚持理论联系实际，推出学术研究精品。主要栏目有：理论长廊、哲学天地、新闻学研究、经济贸易、法学纵横、实践探索、外语研究、教学与管理、研究生园地等。

法宝新AI·智能写作

无论是工作汇报，产品介绍，还是法律研究报告、市场宣传文案，法宝智能写作系统都能为您提供高质量写作支持，满足法律工作者日常学习工作中各类领域的写作需求，提供源源不断的创意与灵感，全面助力您的文案写作。您可以在平台上选择不同的写作模型，输入关键词和要点，即可自动生成文档大纲与内容。平台内嵌法宝V6数据库，让您的内容创作有据可依。与此同时，智能写作平台还支持实时对生成文档进行修改和优化，确保文章撰写的准确性。

—— 系统亮点 ——

“一键生成文章大纲”——输入关键词和内容要求，即可自动生成文章大纲，为您提供创作起点和清晰明了的写作思路。

“智能生成文章内容”——GPT模型结合法宝数据库快速生成逻辑自洽、内容丰富的文章。

“法宝V6数据库支持”——查阅生成结果的相关法律法规、学术期刊等信息。可准确理解法律术语，帮助生成符合要求的法律文件；能够自动匹配对应法律法规，实现法理逻辑处理自动化，增强文章权威性与可信度。法宝智能写作能及时跟踪法律法规的最新变化，避免使用已失效或废止的法律条文作为参考。

责任编辑 | 郭晴晴

审核人员 | 张文硕 白雪

本文声明 | 本文章仅限学习交流使用，如遇侵权，我们会及时删除。本文章不代表北大法律信息网（北大法宝）和北京北大英华科技有限公司的法律意见或对相关法规/案件/事件等的解读。