EDPB从合法性、公平性、准确性、透明性、数据主体权利等角度调查ChatGPT是否符合GDPR,旨在全面审查和改进ChatGPT的数据保护措施。
本文件中所呈现的立场来源于ChatGPT工作小组成员的协调,目的是处理关于美国公司OpenAI OpCo, LLC所提供的ChatGPT服务的调查。这些立场反映了监督机构在解释适用的GDPR条款时达成的共识。这些立场并不预判各监督机构在各自调查中需要进行的分析。特别需要注意的是,调查的具体情况可能会随时间而变化。1、近年来,众多大型语言模型(以下简称“LLM”)在各个领域中涌现。[1]这些模型虽然能为公众带来巨大益处,但与LLM相关的处理操作必须遵守GDPR。需要注意的是,LLM的训练和改进需要使用大量数据,包括个人数据。注1:大型语言模型(LLMs)是深度学习模型(机器学习模型的一部分),使用海量数据进行预训练。分析这些庞大的数据集使得LLM能够学习概率关系,并掌握一种或多种语言的语法和句法。LLMs能够生成连贯且与上下文相关的语言。简单来说,LLMs通过生成看起来像人类撰写的连贯文本来回应人类语言。最新的大型语言模型,如OpenAI的GPT模型,基于一种称为变压器模型的神经网络架构。2、“GPT”类模型是最受欢迎和广为人知的LLM之一[2]
,因为它是首个面向消费者的模型,于2022年11月30日通过ChatGPT服务推出。多个监督机构(以下简称“SA”)根据GDPR第58条第1款(a)和(b)项对OpenAI OpCo, LLC(以下简称“OpenAI”)作为ChatGPT服务背景下处理操作的控制者展开了数据保护调查[3]。注2:根据2024年5月23日通过但尚未正式发布的《欧盟人工智能法》第3(63)条的定义,GPT系统是通用型人工智能模型。注3:监督机构的调查涵盖了GPT 3.5至GPT 4.0版本。3、直到2024年2月15日,OpenAI在欧盟内没有设立机构。[4]因此,GDPR下的一站式机制(以下简称“OSS”)的合作程序无法适用。为此,欧洲数据保护委员会(以下简称“EDPB”)于2023年4月13日决定成立一个工作组,以促进在ChatGPT背景下处理个人数据的潜在执行行动的合作和信息交流(以下简称“ChatGPT TF”,参与ChatGPT TF的SA以下简称为“TF成员”)。由于OSS不适用,因此特别需要协调各国的案件。注4:根据OpenAI的“欧洲隐私政策”2023年12月15日版本,并于2024年2月15日生效,该政策适用于OpenAI Ireland Limited。4、在EDPB于2024年1月16日的全体会议上,决定明确工作组的任务并发布一份报告,概述ChatGPT TF的中期成果。根据该任务,工作组应:-在与OpenAI的接触和关于ChatGPT的持续执行活动方面在SA之间交换信息。-促进SA在ChatGPT背景下的执行活动的外部沟通协调。-迅速确定需要在不同执行行动中采取共同方法的问题清单。5、考虑到调查的保密性质,本报告引用公开可用的信息作为补充来源,以向公众提供关于透明度、公平性、数据准确性和数据主体权利的信息。6、如同EDPB 2024-2027年优先事项中所述,进一步指导GDPR与其他欧盟法律法规(特别是欧盟人工智能法案)之间的相互作用具有重要意义。[5]https://www.edpb.europa.eu/our-work-tools/our-documents/strategy-work-programme/edpb-strategy-2024-2027_en7、然而,根据GDPR第5条第2款和第24条规定的问责原则,在LLM背景下处理个人数据的控制者应采取一切必要措施,确保完全符合GDPR的要求。[6]尤其是,不能以技术上的不可能性为理由来辩解未能遵守这些要求,特别是考虑到GDPR第25条第1款中规定的数据保护设计原则,应在确定处理手段和处理过程中加以考虑。8、自2024年2月15日起,OpenAI在欧盟内被发现有一个单一机构。[7]因此,从该日期起,OSS框架适用于OpenAI进行的“跨境处理”,主要监督机构根据GDPR第56条的规定,负责在需要时行使纠正权力。然而,这并不影响各监督机构对截至2024年2月15日之前的处理操作进行的调查,这些调查涉及可能的非连续性或非连续性侵权行为。[8]在这方面,这些国家调查将继续在此工作组内进行协调。注7:根据欧洲数据保护委员会(EDPB)关于确定控制者或处理者主要监督机构的指南8/2022 V 2.1,需要注意的是,相关主要监督机构不受控制者观点的约束,并在必要时可以质疑单一或主要机构的确定。注8:对于可能存在的持续或连续性质的违规行为,在程序中期建立或将单一机构从第三国迁移到欧洲经济区(EEA)的过程中(最初在没有合作的情况下开始),允许控制者受益于一站式服务(OSS),并应将所有未决程序转移到该机构所在地的成员国的监督机构。详见2019年7月9日通过的EDPB关于在主要或单一机构相关情况发生变化时监督机构权限的意见8/2019,第16、30-32段。9、在报告期内,ChatGPT工作组进行了多次会议。作为活动的一部分,制定了一套通用问题(以下简称“问卷”),作为本报告的附录。几个监督机构以此问卷为基础与OpenAI进行交流。问卷的制定旨在促进调查的协调一致。10、截至2024年2月15日之前的隐私政策版本在各监督机构的调查范围内。需要注意的是,OpenAI在2023年12月15日更新了其“EEA隐私政策”,该政策自2024年2月15日起生效。[9]https://openai.com/policies/eu-privacy-policy/11、此外,还需要注意的是,OpenAI已经实施了一系列措施,以遵守意大利监督机构的紧急决定,该决定对ChatGPT服务在意大利发布了临时禁令,并在2023年4月11日作出的决定中取消了该临时限制。[10]注10:https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9874702#english
12、各监督机构(SAs)目前正在进行[11]的调查尚未结束,尚无法提供完整的结果描述。因此,本报告中的考虑应视为对调查某些方面的初步观点。
注11:如本报告第8段所述。
13、一般而言,每次个人数据处理必须满足GDPR第6条第1款规定的至少一个条件,并且在适用情况下,还需满足第9条第2款规定的附加要求。[12]注12:2023年12月21日欧洲法院判决,案件编号C-667/21(Medizinischer Dienst),第79段。
14、在评估合法性时,区分个人数据处理的不同阶段是有用的。[13]在当前情况下,这些阶段可以分为:注13:关于个人数据处理的不同阶段,详见2019年7月29日欧洲法院判决,案件编号C-40/17(Fashion ID),第70段。i) 训练数据的收集(包括使用网络爬虫数据或再利用数据集),注14:在本报告中,“网页抓取”一词涵盖了网页抓取和网页爬行的技术定义。15、前三个阶段对自然人的基本权利和自由带来特殊风险,因为“网络爬虫”使得可以从互联网上的不同公开可用来源(如网站)自动收集和提取某些信息,这些信息随后用于ChatGPT的训练。[15]此类信息可能包含个人数据,这些数据涵盖相关数据主体个人生活的各个方面。根据来源的不同,抓取的数据甚至可能包含GDPR第9条第1款意义上的特殊类别个人数据。 注15:对于本报告的目的,不论实体是自行抓取个人数据还是从第三方获取“抓取的个人数据”,都没有区别。16、关于网络爬虫,OpenAI提出了《GDPR》第6条第1款(f)项作为法律依据。[16]需要注意的是,对《GDPR》第6条第1款(f)项的法律评估应基于以下标准[17]:
注16:https://help.openai.com/en/articles/7842364-how-chatgpt-and-our-language-models-are-developed注17:2023年7月4日欧洲法院判决,案件编号C-252/21(Bundeskartellamt),第106段。ii) 处理的必要性,因为个人数据应是充分、相关且限于为其处理目的所必需的内容,必须仔细评估和平衡数据主体的基本权利和自由与控制者的合法利益。[18]这一评估应考虑数据主体的合理预期。[19]
注18:欧洲数据保护委员会(EDPB)关于通过视频设备处理个人数据的指南3/2019 V2.0,于2020年1月29日通过,第17-40段。17、正如前第29条工作组所指出的,适当的保障措施在减少对数据主体的不当影响方面起着特殊作用,因此可以在利益平衡测试中偏向控制者。[20]虽然合法性的评估仍在调查中,但此类保障措施可以包括技术措施,定义精确的收集标准,确保不收集某些数据类别或排除某些来源(如公共社交媒体资料)在数据收集范围之外。此外,应采取措施在训练阶段之前删除或匿名化通过网络爬虫收集的个人数据。注20:第29条工作组关于95/46/EC指令第7条下数据控制者合法利益概念的意见06/2014,WP 217,844/14/EN,第31页和第42页。18、关于处理特殊类别的个人数据,为了使处理合法,必须适用第9条第2款的例外之一。原则上,其中一个例外可以是GDPR第9条第2款(e)项。然而,个人数据公开访问的事实并不意味着“数据主体显然已公开这些数据”。要依赖GDPR第9条第2款(e)项规定的例外,重要的是确定数据主体是否明确地、通过明确的积极行动,意图将相关个人数据向公众开放。[21]注21:2023年7月4日欧洲法院判决,案件编号C-252/21(Bundeskartellamt),第77段。19、在当前情况下,通过网络爬虫收集大量个人数据,难以对每个数据集进行逐一检查。然而,上述保障措施可以有助于满足GDPR的要求。例如,这些措施应包括对第9条第1款所涵盖的数据类别进行过滤。过滤应适用于数据收集阶段(例如,选择收集数据的标准)和数据收集后立即进行(删除数据)。根据GDPR第5条第2款和第24条的规定,证明这些措施有效的举证责任在于作为控制者的OpenAI。[22]
注22:2023年12月14日欧洲法院判决,案件编号C-340/21(VB),第55段。
3.1.2 ChatGPT 输入、输出和训练
20、下一阶段涉及ChatGPT的输入(包括“提示”)、输出和训练。
21、提示是指数据主体在与LLM(如ChatGPT)交互时输入的数据,以及文件上传和用户对ChatGPT数据输出(响应)[23]
质量的反馈。OpenAI将此定义为“内容”,并公开声明使用这些信息来训练和改进模型。在此背景下,GDPR第6条第1款(f)项被作为法律依据。[24]OpenAI提供了选择不使用“内容”进行训练的选项。
注23:关于数据输出和数据准确性原则,请参见本报告第29至第31段。
注24:OpenAI的“欧洲隐私政策”,2023年12月15日版本,于2024年2月15日生效,第2段和第8段。
22、无论如何,应清楚且明确地告知数据主体,这些“内容”可能会被用于训练目的。这一情况是根据GDPR第6条第1款(f)项进行利益平衡时需要考虑的因素。[25]
注25:工作组成员提到的关于利益平衡的考虑,请参见本报告第16段。
23、必须记住,根据GDPR第5条第1款(a)项的公平原则,这是一项总体原则,要求个人数据不应以对数据主体不合理不利、非法歧视、出乎意料或具有误导性的方式处理。[26]公平性的一个关键方面是不能将企业的风险转移给数据主体。 [27]注26:欧洲数据保护委员会(EDPB)关于第25条“默认和设计的数据保护”的指南4/2019 V2.0,于2020年10月20日通过,第69段。注27:欧洲数据保护委员会(EDPB)关于第25条“默认和设计的数据保护”的指南4/2019 V2.0,于2020年10月20日通过,第70段。24、对于ChatGPT而言,这意味着确保符合GDPR的责任不应转移给数据主体,例如通过在条款和条件中规定数据主体对其聊天输入负责的条款。 25、相反,如果ChatGPT向公众开放,应假设个人迟早会输入个人数据。如果这些输入然后成为数据模型的一部分,例如,与提出特定问题的任何人共享,OpenAI仍然有责任遵守GDPR,不应主张一开始就禁止输入某些个人数据。 26、OpenAI已经提出了应对这些问题的措施。[28]然而,必须记住,这些措施的审查目前仍在调查中。注28:GPT-4技术报告,2023年12月,第6章,arXiv:2303.08774v4,以及Ouyang等人的《通过人类反馈训练语言模型以遵循指令》,2022年3月,arXiv:2203.02155v1。
27、当从公开可访问的来源(如网站)通过网络爬虫收集个人数据时,GDPR第14条的要求适用。考虑到通过网络爬虫收集的大量数据,通常无法或不可能通知每个数据主体相关情况。因此,只要完全满足该条款的所有要求,可以适用GDPR第14条第5款(b)项的豁免。 [29]注29:关于第14(5)(b)条GDPR要求的进一步指导,请参见第29条工作组的指南,2016/679号条例下的透明度指南,WP260 rev.01,经EDPB认可。28、与此相反,当在与ChatGPT直接交互时收集个人数据时,GDPR第13条的要求适用。在这种情况下,特别重要的是通知数据主体上述“内容”(用户输入)可能用于训练目的。
3.4 数据准确性
29、关于GDPR第5条第1款(d)项规定的数据准确性原则,应区分输入数据和输出数据。输入数据可以包括通过网络爬虫收集的数据或数据主体在使用ChatGPT时提供的“内容”(如“提示”)。输出数据则包括与ChatGPT交互后的输出。 [30]
注30:关于“内容”,请参见本报告第21段。
30、需要注意的是,数据处理的目的是训练ChatGPT,而不一定提供事实准确的信息。事实上,由于系统的概率性质,目前的训练方法会导致模型可能生成偏见或虚构的输出。此外,ChatGPT提供的输出信息很可能被终端用户视为事实准确,包括与个人相关的信息,无论其实际准确性如何。在任何情况下,都必须遵守数据准确性原则。[31]
注31:2019年1月16日欧洲法院判决,案件编号C-496/17(德国邮政股份公司),第57段,其中指出,所有个人数据处理必须符合GDPR第5条中规定的数据质量原则。
31、根据GDPR第5条第1款(a)项的透明度原则,控制者提供有关概率性输出生成机制及其有限可靠性的信息非常重要,包括明确提到生成的文本虽然语法正确,但可能存在偏见或虚构。尽管为遵守透明度原则所采取的措施有助于避免对ChatGPT输出的误解,但如上所述,这些措施不足以符合数据准确性原则。32、GDPR定义了一套数据主体的权利,例如访问个人数据并被告知其处理方式、删除、纠正或在特定条件下将个人数据传输给第三方、限制对数据主体数据的处理或向监督机构投诉的权利。 33、作为控制者的OpenAI在其隐私政策(欧洲版本)中提供了如何行使这些权利的信息。[32]鉴于复杂的处理情况和数据主体干预的实际限制,数据主体能够以易于访问的方式行使其权利至关重要。 [33]注32:2019年1月16日欧洲法院判决,案件编号C-496/17(德国邮政股份公司),第57段,其中指出,所有个人数据处理必须符合GDPR第5条中规定的数据质量原则。
注33:欧洲数据保护委员会(EDPB)关于数据主体权利的指南01/2022 - 访问权V2.0,于2023年3月28日通过,第139-142段。34、在此背景下,OpenAI提供了通过电子邮件联系的可能性,同时一些数据主体的权利可以通过账户设置来行使。根据GDPR第12条第2款和第59号前言,控制者应继续改进为方便行使上述数据主体权利而提供的方式。[34]特别是,至少目前,OpenAI建议用户在由于ChatGPT的技术复杂性导致无法进行纠正时,从纠正转向删除。 [35]注34:必须记住,这些数据主体权利的限制仅在GDPR规定的条件下才是允许的。注35:OpenAI的“欧洲隐私政策”,2023年12月15日版本,于2024年2月15日生效,第6段。 35、如上所述[36],根据GDPR第25条第1款,控制者应在确定处理方式时和处理过程中实施适当措施,以有效地实施数据保护原则,并将必要的保障措施整合到处理过程中,以满足GDPR的要求并保护数据主体的权利。[37]注37:关于此主题的进一步信息,请参见EDPB关于第25条“默认和设计的数据保护”的指南4/2019 V2.0,于2020年10月20日通过。36、以下问题集是在ChatGPT工作组的背景下制定的,并向公众开放。需要注意的是,各监督机构(SAs)是独立的,因此每个SA可以自由修改问卷或添加进一步的问题。此外,由于使用的官方语言不同,问题可能会有所不同。a) 请提供有关ChatGPT软件基础设施的一般简短描述。 b) 请提供OpenAI的联系点。这是为了确保我们可以直接联系您(而不是通过[保密]),在必要时。 c) 请提供您数据保护官员(DPO)的联系信息。如果您没有指定DPO,请解释原因。在此背景下,请详细说明GDPR第37条第1款的条件为何不适用于ChatGPT软件基础设施处理个人数据的情况。
d) 根据《GDPR》第30条第4款,请提供您的处理活动记录副本。此记录可以仅限于与本数据保护审计相关的产品(即ChatGPT软件基础设施)的个人数据处理。在任何情况下,根据您的处理活动记录,[插入]数据保护机构必须清楚哪些类别的个人数据在ChatGPT软件的背景下处理是出于哪些目的。此外,还必须明确是否以及哪些特殊类别的个人数据根据GDPR第9条处理,以及根据GDPR第10条处理与刑事定罪和犯罪有关的个人数据。 e) 根据GDPR第33条第5款,请提供个人数据泄露的文档副本。a) 请大致描述您如何确保遵守GDPR第5条第1款规定的与个人数据处理相关的原则。例如:您是否实施了数据保护管理系统(DPMS),是否定期进行内部和/或外部审计,如果适用,您指定的DPO是否参与所有数据保护事项?请提供支持文件(如适用)。在您的回答中,请区分与用户(注册“ChatGPT服务”的个人)相关的个人数据处理和从第三方收集的个人数据(例如,通过网络爬虫从互联网上收集的数据,以训练算法)处理之间的区别。 b) 根据GDPR第5条第1款(b)项,请描述在ChatGPT软件基础设施的背景下处理个人数据的不同目的。在回答中,请具体说明处理哪些数据类别是出于哪些目的。如果您的处理活动记录中已经可以找到处理目的的详细描述(参见本信第I.a)问题),请描述记录中可找到的具体位置。 c) 根据GDPR第5条第1款(c)项,请描述如何确保将个人数据的处理限制在为实现目的所必需的范围内。 d) 根据GDPR第5条第1款(d)项,请描述如何处理在ChatGPT软件基础设施背景下使用和生成的个人数据的准确性问题?特别是,您如何衡量在语言模型训练、测试和验证过程中使用的个人数据的准确性?在此背景下,请提供描述数据准确性测量和评估过程的文件,包括模型训练、测试和验证数据以及模型输出的文件。 e) 根据GDPR第5条第1款(e)项,请描述您存储个人数据的时限。如果适用,请提供您的保留政策副本。在回答中,请区分与ChatGPT软件基础设施相关的不同数据类别。如果您的处理活动记录中已经可以找到不同类别的删除时限(参见本信第I.a)问题),请描述记录中可找到的具体位置。 f) 根据GDPR第5条第1款(f)项和第32条,请描述为确保在ChatGPT软件基础设施背景下处理的个人数据的适当安全性所实施的技术和组织措施。III. 数据保护影响评估(“DPIA”)和风险管理a) 您是否根据GDPR第35条对ChatGPT软件基础设施背景下处理与用户和第三方相关的个人数据进行了DPIA?如果是,请提供完整的DPIA副本,并提供进行DPIA的时间信息。如果没有,请详细说明GDPR第35条第1款和第3款的条件为何不适用于ChatGPT软件基础设施处理个人数据的情况。 b) 如果适用,您在进行DPIA时是否涉及了指定的DPO?如果是,请提供证明(例如,DPO关于DPIA的声明副本)。如果没有,请解释原因。 c) 您在进行DPIA时是否能够消除或充分减轻识别的风险?请提供证明文件(例如,风险分析副本)。如果在您的DPIA中已经包含了消除或充分减轻识别的风险的措施的详细描述,请描述DPIA中的具体位置。 d) 根据GDPR第24条第1款最后一句,您为定期审查DPIA设定了哪些期限? e) 使用ChatGPT软件基础设施的年龄限制是什么,您如何确保这些服务不会被低于此年龄限制的数据主体(用户)使用?a) 请描述从哪些不同来源收集个人数据,然后用于ChatGPT软件基础设施的训练、测试和验证。请为训练的所有不同阶段以及个人使用过程中提供输入和输出信息。 b) 根据GDPR第6条第1款,请描述在ChatGPT软件基础设施背景下处理个人数据的法律依据(以及如适用,根据GDPR第9条第2款的例外)。在回答中,请具体说明每个不同处理操作的相应法律依据,特别是处理用户个人数据与处理从第三方收集的非用户(第三方)个人数据之间的区别。还请具体说明通过与聊天机器人互动而传达的个人数据是否以及在何种程度上被用于训练AI系统或被OpenAI用于任何其他目的,如果是,适用的法律依据是什么。 c) 如适用,请提供以下方面的详细信息,并区分相应的处理操作: i) 如果法律依据是GDPR第6条第1款(以及可能的第9条第2款(a)项)规定的同意,请解释如何获得同意以及如何遵守GDPR第7条的条件。 ii) 如果法律依据是根据GDPR第6条第1款(b)项的合同履行的必要性,请解释哪些当事方之间订立了内容为何的合同,以及为何处理个人数据对履行该合同是必要的。此外,如果法律依据是根据GDPR第6条第1款(b)项的合同履行的必要性,请解释在处理特殊类别个人数据时,依赖了GDPR第9条第2款的哪个例外。 iii) 如果法律依据是根据GDPR第6条第1款(f)项的合法利益,请提供关于您进行利益平衡的详细信息,特别是为什么您得出结论认为这些利益没有被数据主体的利益所覆盖。此外,如果法律依据是根据GDPR第6条第1款(f)项的合法利益,请解释在处理特殊类别个人数据时,依赖了GDPR第9条第2款的哪个依据。
iv) 如果不依赖上述任何法律依据,请解释为何适用其他法律依据。 d) 请解释为何数据主体(用户)除了电子邮件地址外还需输入电话号码?此外,请解释电话号码使用的法律依据和目的,以及OpenAI将电话号码存储多长时间? e) 根据GDPR第6条第4款,是否存在出于收集个人数据以外的目的进行处理的情况(“进一步处理”)?如果是,请描述涉及哪些数据类别,并提供您的GDPR第6条第4款规定的可比性测试副本。a) 请解释根据GDPR第13条和第14条要求的信息是如何以及何时提供给数据主体的。鉴于当前在您网站上发布的隐私政策,请特别解释根据GDPR第14条要求的信息是如何以及何时提供给非用户(例如,用于训练算法的第三方数据)的。请提供截图(例如,网站上通知数据主体的部分)以及最新的隐私政策副本。 b) 请解释您如何确保遵守GDPR第15条至第22条规定的数据主体权利。请提供支持文件(如适用,例如,处理数据主体请求的内部政策副本)。 c) 特别是根据GDPR第17条,请解释如何确保遵守删除权(“被遗忘权”)? d) 特别是根据GDPR第21条,您如何处理基于合法利益的数据主体反对其个人数据处理的请求? e) 特别是根据GDPR第22条,是否存在自动化的个人决策,包括画像?如果是,请解释如何确保遵守GDPR第22条的规定。 f) 您是否向ChatGPT软件基础设施的用户提供有关模型能力和限制以及通过语言模型服务处理个人数据的信息?如果是,如何提供?
a) 请提供您用于托管和提供ChatGPT软件基础设施的数据中心列表(例如,与这些服务相关的个人数据处理)。如果个人数据存储或处理位置取决于某些标准,请描述这些标准。 b) 根据GDPR第44条,是否存在将[插入国家]用户的个人数据传输到第三国(欧盟以外)的情况? c) 如果存在,请说明为这些传输依赖哪些工具(GDPR第45条、第46条和/或第49条)?请详细解释您选择相应工具的原因以及如何确保遵守GDPR第44条的要求——即确保由GDPR保障的自然人的保护水平不会被削弱。请提供相关文件作为证明(例如,如果适用,请提供根据GDPR第46条第2款(c)项签订的标准数据保护条款副本)。在此背景下,请解释您是否以及如何遵循EDPB在《补充转移工具的建议01/2020》中提供的建议,以确保符合欧盟的个人数据保护水平。a) 在ChatGPT软件基础设施的背景下,OpenAI是否是根据GDPR第4条第7款的唯一控制者?如果是,如何确保没有其他方(例如,另一家公司)决定ChatGPT软件基础设施背景下的个人数据处理的目的和手段?如果不是,谁是根据GDPR第26条的其他(共同)控制者?在这种情况下,请提供根据GDPR第26条第二句签订的安排副本。 b) 在ChatGPT软件基础设施的背景下处理个人数据时,您是否有根据GDPR第28条的处理者?如果是,请提供根据GDPR第28条第2款签订的合同副本。 c) 在ChatGPT软件基础设施的背景下处理的个人数据会披露给哪些第三方(例如,处理由OpenAI生成和提供的个人数据以实现其自身目的的新控制者),以及依据GDPR第6条第1款和/或第9条第2款的例外披露? d) 在回答第VII点的问题时,请同时考虑ChatGPT软件基础设施与其他产品的整合,例如(但不限于)搜索引擎。这套问卷旨在全面审查ChatGPT软件基础设施在处理个人数据方面的合规性,并确保其符合GDPR规定的各项要求。通过回答这些问题,OpenAI可以展示其在数据保护和用户隐私方面所采取的具体措施和策略。
