【AI&数据合规实务笔记 005】数据合规组织建设 | 欧盟AI法学习笔记 |Openai 政策研究笔记 | 问答库
 原创
 Alan
 Alan
 陈Alan AI与数据合规 
 在小说阅读器读本章
 去阅读
 在小说阅读器中沉浸阅读
 我用飞书建了一个 AI&数据合规实务笔记 知识库，我会把部分内容同步到公众号。更多内容可以去飞书库直接阅读。可复制下方飞书库链接（或点击阅读原文）。飞书库链接：https://gqc5o7fwy2.feishu.cn/wiki/LTkdwjBm6iyjblk5nETcLpYin4f?from=from_copylink本期更新内容2024.5.27-6.2人工智能合规学习欧盟AI法学习笔记资料阅读openai 政策研究笔记数据合规问答库2024.5.27-7.2数据合规组织建设实务笔记数据合规组织建设记录关于数据合规组织架构建设的笔记实务笔记重要性一个组织内开展数据合规治理的第一步就是构建相应的组织框架法律要求法律明确规定了数据合规组织架构搭建的要求，体现在了个保法52、53条，数安法27条，网安法34条，关基条例16条等规定。海外GDPR等法律也有类似的规定。除了法律规定，合理有效的数据合规组织架构也是数据合规管理的自身要求。个人信息保护法第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。第五十三条　本法第三条第二款规定的中华人民共和国境外的个人信息处理者，应当在中华人民共和国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。数据安全法第二十七条　    开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。网络安全法第三十四条　    除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；关键信息基础设施安全保护条例第十六条运营者应当保障专门安全管理机构的运行经费、配备相应的人员，开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。合理有效的组织架构特点在集团层面，一般会有统一的虚拟组织统筹集团整体数据合规工作，由几个实际部门统筹协调开展集团的数据合规工作高层与基层的信息沟通应该是顺畅的，所有相关部门都能参与其中与原有的合规组织架构是接洽的，一般情况下不宜与原组织架构差距过大每个部门成员应各司其职且职责清晰，合规部门作为赋能统筹协调部门，其他业务职能部门负责自身领域的数据合规工作。各业务职能部门可设置相应的数据合规对接人。如果集团规模较大，可以设置各BG/BU的数据合规BP有稳定的运行和考核机制。三种组织类型数据组织架构通常可分为三种类型：集中、分散和混合。集中式：在这种模型中，规划和决策通常由一个数据合规团队进行，在规模不是太大的组织中较为适用分散式：分散式架构将决策权下放至组织的较低层级，控制范围广，高层领导将大部分决策权下放至组织的低层级，促进了组织的扁平化。混合式：混合式架构兼具集中和分散式管理的优点。通常，一个核心团队或部门负责制定政策和指导，并向其他部门发布。然后，这些政策和指导由各地区或本地实体实施和支持。这种模型既允许组织在全球范围内运作，又保持了统一的使命和目标。举例（图源：中兴合规白皮书）图中所示数据合规组织架构包含在整体的合规组织架构中，合规管理委员会进行决策，数据保护合规部统筹和赋能各BU,各BU有自己的数据合规团队，其负责人作为数据合规第一责任人，定期开展例会以及考核。（某跨国通讯集团数据合规组织）（某互联网金融公司数据合规组织）（某AI企业数据合规组织）领导小组领导小组由各业务和职能体系领导组成，组员由合规委员会审议确认。领导小组总体负责并全面领导本部门或子公司的数据合规风险管理，推进公司数据合规要求在包括业务研发、合作管理、营销推广、区域销售、云服务平台、客户服务等各环节的落地，并指定或调整本部门、子公司的协调小组成员。领导小组原则上采用季度例会方式，并于会议召开前一周通知全体成员；紧急事项可立即召开临时会议。协调小组协调小组组员由各领导小组组员指定，代表所在BU、子公司或职能部门参与数据合规体系建设和日常管理工作，并作为数据合规联络人做好本领域在数据合规方面的上传下达。协调小组采用月度例会方式，并于会议召开前三个工作日通知全体成员；紧急事项可立即召开临时会议，会议由合规部召集，会议纪要抄送领导小组。协调小组内设各专项委员，负责各专项领域的数据合规管理职责，包括制度保障委员、数据资产委员、管理审计委员、合作方管理委员、应急响应委员、投诉举报委员、教育培训委员、安全合规评估委员。执行小组实施小组组员由各业务领域的软件项目经理、产品经理组成，统筹负责本产品或服务的数据合规落地工作，包括法律文本、用户界面、业务功能、数据、算法、系统、技术、云平台、供应商、安全等各方面的数据合规要求。各委员职责以教育培训委员为例：（1）建立公司内部数据合规培训课程大纲及内容，并定期对内容进行更新。（2）形成流程化培训体系，从意识、能力等维度按要求完成相关人员培训工作，并进行考核。对培训记录和考核结果进行留档。关于组织架构搭建及运营管理的经验1.组织架构需涵盖所有利益相关方，并达成共识，调动参与工作。数据合规的特殊性在于，在公司内开展工作几乎需要涵盖到公司内所有部门，包括：合规、法务、信息安全、采购、HR、产品研发、销售等几乎所有部门。所有这些相关方都是利益相关方，想要在内部更好地开展工作，必须有一个合适的组织框架能够包含所有利益相关方，获得他们的支持、与他们达成共识、调动他们的参与。2.获得领导层的支持至关重要。在公司内开展工作，获得领导层的参与往往比具体的合规工作的开展更重要。应该多花时间对领导层进行宣贯，与领导层进行沟通，获得他们的支持，这往往是后续开展工作的大前提与顺利开展的保证。3.定期的例会是基本运行方式。定期的例会，是确保利益相关方对可能的数据合规风险和挑战达成共识的重要活动。4.数据合规工作应促进商业目标的达成。数据合规工作也不应该只谈风险，数据合规工作的开展是为了更好地完成公司的目标愿景，达成商业目标的。开展得好的数据合规工作应该是促进商业目标达成的。典型如苹果，其对隐私的保护已成为其产品的重要特征和获得消费者信任的重要因素。（苹果在广告中将个人信息安全作为其产品特性）欧盟AI法学习笔记（持续更新ing）在工作中，会不时地需要去学习不同国家和地区的数据法，尤其是该国的数据跨境问题，该部分为相关笔记，会持续更新openai 政策研究笔记我把Openai官方的所有合规与安全政策大致看了一遍，以下是我记录的一些我觉得值得关注的政策条款（机翻加自己调整）。openai开展AI合规的框架，以及相关内容非常有学习价值。我发现Oopenai的相关安全合规政策和披露的内容也在不断变化（估计是因为在风口上被全世界盯着哈哈哈），我的此次观察是在24年4月10完成的。后续如果发现有新的值得更新的内容，我会更新该页面。黄色高亮部分为我自己的注解。openai 政策汇总网站https://trust.openai.com/推动人工智能治理向前发展 https://openai.com/index/moving-ai-governance-forward/自愿人工智能承诺该部分为openai的AI安全治理的基本宣言及策略范围：当承诺提到特定模型时，它们仅适用于总体上比当前行业前沿更强大的生成模型（例如，总体上比任何当前发布的模型更强大的模型，包括 GPT-4、Claude 2、PaLM 2、Titan 以及在图像生成的情况下的 DALL-E 2）。openai将承诺限缩在这些较为强大的生成模型，而非其所有AI系统。安全(Safety)致力于对滥用、社会风险和国家安全问题（如生物、网络和其他安全领域）的模型或系统进行内部和外部红队演练。努力促进企业和政府之间就信任和安全风险、危险或紧急能力以及规避保障措施的企图进行信息共享保障（Security）投资网络安全和内部威胁防护措施，以保护专有和未发布的模型权重激励第三方发现并报告问题和漏洞信任(Trust)开发和部署机制，使用户能够了解音频或视频内容是否由人工智能生成，包括对人工智能生成的音频或视频内容进行可靠的出处识别、水印或两者兼而有之公开报告模型或系统的能力、局限性以及适当和不适当使用的领域，包括讨论社会风险，例如对公平和偏见的影响优先研究人工智能系统带来的社会风险，包括避免有害偏见和歧视，以及保护隐私开发和部署前沿人工智能系统，帮助解决社会面临的最大挑战文档   https://platform.openai.com/docs/introduction使用策略  https://openai.com/policies/terms-of-use通用政策遵守适用法律请勿使用我们的服务伤害自己或他人请勿将我们服务的输出重新用于或分发以伤害他人尊重我们的保护措施使用 ChatGPT 构建提供量身定制的法律、医疗/健康或财务建议不要构建面向 13 周岁以下用户的工具 这里表明openai 不提供服务给13周岁以下用户，包括利用API创建工具的。海外AI产品如果想介入GPT提供服务，需要注意这一点合规要点。使用条款 https://openai.com/policies/terms-of-use最低年龄。您必须年满 13 岁或您所在国家/地区要求的最低年龄才能同意使用服务。如果您未满 18 岁，您必须获得父母或法定监护人的许可才能使用服务。内容的所有权。在您和 OpenAI 之间，在适用法律允许的范围内，您 （a） 保留您在 Input 中的所有权，以及 （b） 拥有输出。我们特此将我们在输出中的所有权利、所有权和利益（如有）转让给您。openai 不保留用户使用其工具创建的作品的所有权，版权等权利商业条款https://openai.com/policies/business-terms/10.赔偿10.1由我们承担。我们同意为您辩护并赔偿您因第三方声称服务（包括我们用于训练支持服务的模型的训练数据）侵犯任何第三方知识产权而导致的由有管辖权的法院最终裁定的任何损害赔偿以及向第三方支付的任何和解金额。这不包括因以下原因引起的索赔：(a) 将任何服务与非我们或代表我们提供的产品、服务或软件相结合，(b) 由我们以外的任何一方对服务进行微调、定制或修改，(c) 您向我们提供的输入或任何训练数据，(d) 您未遵守本协议或适用于您的法律、法规或行业标准，或 (e) 客户应用程序（如果没有您的客户应用程序就不会发生索赔）。如果我们合理地认为全部或部分服务可能成为任何侵权索赔的标的，我们 (x) 将自费为您取得继续按照本协议使用服务的权利，(y) 将更换或修改涉嫌侵权的服务，使其不侵权，或 (z)，如果 (x) 和 (y) 在商业上不可行，我们可自行决定在以书面形式通知您后终止本协议，并退还任何未使用服务的预付款。您将立即遵守我们就上述 (x) 至 (y) 向您提供的所有合理指示，包括更换、修改或停止使用受影响服务的任何指示。openai 的版权盾策略，即客户在使用其API开发应用提供服务后，如有第三方声称侵犯了其知识产权，openai会为客户提供辩护并支付法院裁定的损害赔偿或达成的和解金。隐私策略https://openai.com/policies/privacy-policy/使用我们的服务，即表示您理解并承认您的个人信息将被处理和存储在我们位于美国的设施和服务器中，并可能披露给我们在其他司法管辖区的服务提供商和关联公司。无论在何处使用，openai都会将相关数据存储在美国。小疑惑：openai怎么符合欧盟等地的数据出境要求呢？标准合同？数据处理附录   https://openai.com/policies/data-processing-addendum就本协议而言，客户是确定处理客户数据（定义见下文）的目的和方式的人（“数据控制者”），而 OpenAI 根据数据控制者的指示并代表数据控制者（作为“数据处理者”）处理客户数据。使用openai开发产品的商业用户，openai将其自身定义为处理者，商业用户为处理者。加工要求c. 不向客户提供报酬以换取客户的客户数据。双方承认并同意，客户未向 OpenAI “出售”（该术语由 CCPA 定义）;此条在于满足CCPA要求聘请https://platform.openai.com/subprocessors中列出的组织或个人处理客户数据（每个“子处理者”以及上述 URL 中的列表，“子处理者列表”），以帮助 OpenAI 履行其根据本 DPA 承担的义务，或将全部或部分处理活动委托给此类子处理者。 有点类似于国内的第三方个人信息共享清单j. 如果客户允许或指示 OpenAI 以去识别化、匿名化和/或汇总的形式处理受美国隐私法约束的客户数据，作为服务的一部分，OpenAI 应 （i） 采取合理措施防止此类去识别化数据被用于推断有关特定自然人或家庭的信息或以其他方式与特定自然人或家庭相关联;（ii） 不试图重新识别信息，但 OpenAI 可能仅出于确定其去标识化流程是否符合数据保护法或按预期运行而尝试重新识别信息;（iii） 在与任何其他方（包括子处理者）共享去识别化数据之前，通过合同要求任何此类接收者遵守本条款的要求;openai会配合商业用户完成最终用户的个人信息权利请求k. 如果客户数据受 CCPA 约束，则不得 （i） 保留、使用、披露或以其他方式处理客户数据，除非出于协议或本 DPA 中规定的商业目的所必需;（ii） 在 OpenAI 与客户之间的直接业务关系之外以任何方式保留、使用、披露或以其他方式处理客户数据;或 （iii） 将任何客户数据与 OpenAI 从任何其他第三方或代表任何其他第三方接收或从 OpenAI 自己与个人的互动中收集的个人数据合并，前提是 OpenAI 可以在客户指示或 CCPA 允许的情况下出于 CCPA 允许的目的合并客户数据;此条在于满足CCPA要求客户的义务客户声明、保证和承诺，其拥有并应在整个期限内保持所有必要的权利、同意和授权，以向 OpenAI 提供客户数据，并授权 OpenAI 按照本 DPA、协议和/或提供给 OpenAI 的其他处理说明的规定使用、披露、保留和以其他方式处理客户数据。确保所获取客户数据的合法性e.除非通过约定的机制，否则客户不得向 OpenAI 提供客户数据。例如，客户不得包含技术联系信息以外的客户数据，或在技术支持票证中，通过电子邮件将用户客户数据传输给 OpenAI。在不限制前述规定的情况下，客户声明、保证并承诺，在客户控制范围内，仅使用安全、合理和适当的机制将客户数据传输给 OpenAI。确保获得的客户数据也是具有合法性基础的。f.客户不得采取任何行动：（i） 根据美国隐私法，向 OpenAI 提供客户数据属于“销售”，或根据 CCPA（或美国隐私法下的同等概念）被视为“份额”;或 （ii） 使 OpenAI 不是 CCPA 下的“服务提供商”或美国隐私法下的“处理者”。此条在于满足CCPA要求业务条款  https://openai.com/policies/business-terms隐私6.2 HIPAA。您同意不使用服务创建、接收、维护、传输或以其他方式处理任何包含或构成 HIPAA 隐私规则（45 C.F.R. 第 160.103 节）定义的“受保护健康信息”的信息，除非您在创建、接收、 维护、传输或以其他方式处理此信息。此条在于满足HIPPA要求安全与隐私  https://openai.com/security 通过 OpenAI API 提交的数据不会用于训练 OpenAI 模型或改进 OpenAI 的服务产品。通过非API消费者服务ChatGPT或DALL·E 可用于改进我们的模型。openai承诺不会用商业用户的数据去训练模型，但是会用直接使用openai的c端用户的数据训练模型。OpenAI 的企业隐私   https://openai.com/enterprise-privacyOpenAI如何确保数据安全？OpenAI 对所有静态数据 （AES-256） 和传输中数据 （TLS 1.2+） 进行加密，并使用严格的访问控制来限制谁可以访问数据。我们的安全团队有一个随叫随到的轮换，有 24/7/365 的覆盖范围，并在发生任何潜在的安全事件时被寻呼。我们提供漏洞赏金计划负责任地披露在我们的平台和产品上发现的漏洞。请访问我们的信任门户了解更多详情。标准的数据安全动作：传输和内容加密、随时响应的安全团队、漏洞报告和悬赏计划OpenAI 会审核我的业务数据吗？我们可能会通过自动内容分类器和安全工具运行提交给 OpenAI 服务的任何业务数据，包括更好地了解我们的服务是如何使用的。创建的分类是关于业务数据的元数据，但不包含任何业务数据本身。业务数据仅受人工审核的约束，如下所述，逐个服务进行审核。openai会对业务数据进行一定审核。谁可以在 ChatGPT Enterprise 中查看对话和聊天记录？在组织内，只有最终用户才能查看其对话。工作区管理员可以控制工作区和访问权限。授权的 OpenAI 员工只会出于解决事件、在您的明确许可下恢复最终用户对话或适用法律要求的目的访问您的对话。数据查看权限的说明OpenAI 对 ChatGPT Enterprise 的数据保留政策是什么？工作区管理员控制数据的保留时间。任何已删除的对话都会在 30 天内从我们的系统中删除，除非法律要求我们保留它们。请注意，保留期支持对话历史记录等功能，较短的保留期可能会影响产品体验。商业用户选择删除相关数据后，openai会在30天内删除API 平台可以与受保护的健康信息一起使用吗？我们能够签署商业伙伴协议 （BAA），以支持客户遵守《健康保险流通与责任法案》（HIPAA）。请伸出如果您需要 BAA。此条为满足HIPPA要求OpenAI 如何处理 API 使用的数据保留和监控？OpenAI 可以安全地将 API 输入和输出保留长达 30 天，以提供服务并识别滥用行为。30 天后，API 输入和输出将从我们的系统中删除，除非法律要求我们保留它们。如果您有符合条件的用例，您还可以为符合条件的终端请求零数据保留 （ZDR）。有关数据处理的详细信息，请访问我们的平台文档页商业用户选择删除相关数据后，openai会在30天内删除阻止国家附属威胁行为者对人工智能的恶意使用https://openai.com/index/disrupting-malicious-uses-of-ai-by-state-affiliated-threat-actors/破坏威胁行为者基于与微软的合作和信息共享，我们摧毁了五个与国家有关的恶意行为者：两个与中国有关的威胁行为者，称为 Charcoal Typhoon 和 Salmon Typhoon；与伊朗有关的威胁行为者，称为 Crimson Sandstorm；与朝鲜有关的行为者，称为 Emerald Sleet；以及与俄罗斯有关的行为者，称为 Forest Blizzard。与这些行为者相关的 OpenAI 帐户已被终止。openai披露了与国家有关恶意行为者，其中有有两名来自中国准备 https://openai.com/preparedness/该页面及其提供的文档描述了openai开展AI治理的基本框架，非常有学习价值准备团队致力于确保前沿人工智能模型的安全应对工作应以科学为主导，以事实为依据我们以建筑商的心态看待安全准备框架（测试版）这里提出的一个方法非常有参考性我们将对模型进行评估并不断更新“记分卡”。我们将定义触发基线安全措施的风险阈值我们将成立一个专门的团队来监督技术工作，并建立安全决策的运营结构我们将制定协议以增加安全性和外部问责我们将帮助减少其他已知和未知的安全风险问答库：2024.5.27-6.2更多内容请点击“阅读原文”去到知识库进行阅读
 阅读原文