一个数据保护工作组花了一年多时间考虑欧盟的数据保护规则如何适用于 OpenAI 的病毒式聊天机器人 ChatGPT,并于周五公布了初步结论。最重要的结论是,隐私执法工作组仍未就关键的法律问题做出决定,例如 OpenAI 处理的合法性和公平性。
这个问题很重要,因为对欧盟隐私制度的违规行为的处罚可能高达全球年营业额的 4%。监管机构还可以下令停止不合规的处理。因此,从理论上讲,OpenAI 在该地区面临着相当大的监管风险,因为专门针对人工智能的法律很少(即使在欧盟,也需要数年时间才能全面实施)。
但是,如果欧盟数据保护执法人员没有明确说明现行数据保护法如何适用于 ChatGPT,那么可以肯定地说,OpenAI 将有权继续照常营业——尽管越来越多的投诉称其技术违反了欧盟《通用数据保护条例》(GDPR)的各个方面。
例如,波兰数据保护机构 (DPA)就因收到有关聊天机器人捏造个人信息并拒绝更正错误的投诉而展开了调查。奥地利最近也收到了类似的投诉。
GDPR 投诉很多,执行力度却很小
理论上,GDPR 适用于收集和处理个人数据的所有行为——大型语言模型 (LLM),如 OpenAI 的 GPT、ChatGPT 背后的 AI 模型,显然正在大规模地从公共互联网上抓取数据来训练他们的模型,包括从社交媒体平台上窃取人们的帖子。
欧盟法规还授权 DPA 下令停止任何不合规的处理。如果GDPR 执法者选择撤销该法案,这可能会成为影响 ChatGPT 背后的 AI 巨头如何在该地区运营的有力杠杆。
事实上,去年我们看到了这种现象的端倪,当时意大利隐私监管机构对 OpenAI 下达了暂时禁止其处理 ChatGPT 本地用户数据的禁令。这项行动是使用 GDPR 中的紧急权力采取的,导致这家人工智能巨头在该国短暂关闭了这项服务。
在 OpenAI响应DPA 的一系列要求,对其向用户提供的信息和控制进行更改后,ChatGPT 才在意大利恢复运行。但意大利对聊天机器人的调查仍在继续,其中包括 OpenAI 声称处理人们的数据以训练其人工智能模型的法律依据等关键问题。因此,该工具在欧盟仍然处于法律阴影之下。
根据 GDPR,任何想要处理个人数据的实体都必须有合法依据。该法规列出了六种可能的基础——尽管大多数在 OpenAI 的背景下都不可用。意大利数据保护机构已经指示这家人工智能巨头,它不能依赖合同要求处理个人数据来训练其人工智能——它只剩下两种可能的法律基础:要么是同意(即征求用户同意使用他们的数据);要么是广泛的基础,称为合法利益 (LI),这需要进行平衡测试,并要求控制者允许用户反对处理。
自意大利介入以来,OpenAI 似乎已转而声称其拥有处理用于模型训练的个人数据的 LI。然而,今年 1 月,DPA 的调查决定草案发现 OpenAI 违反了 GDPR。虽然没有公布调查结果草案的细节,但我们尚未看到该机构对法律基础点的全面评估。对投诉的最终决定仍有待作出。
ChatGPT 合法性的精确‘修复’?
工作组的报告讨论了这个棘手的合法性问题,指出 ChatGPT 需要为个人数据处理的所有阶段提供有效的法律依据——包括训练数据的收集、数据预处理(如过滤)、训练本身、提示和 ChatGPT 输出;以及任何关于 ChatGPT 提示的培训。
上述前三个阶段对人们的基本权利构成了特别工作组所称的“特殊风险”——报告强调了网络抓取的规模和自动化程度如何导致大量个人数据被窃取,涵盖人们生活的方方面面。报告还指出,抓取的数据可能包括最敏感的个人数据类型(GDPR 将其称为“特殊类别数据”),例如健康信息、性行为、政治观点等,与一般个人数据相比,这些数据的处理需要更高的法律门槛。
对于特殊类别的数据,工作组还声称,仅仅因为其是公开的,并不意味着可以将其视为已“明显”公开——这将触发 GDPR 要求的豁免,即明确同意处理此类数据。(“为了依赖 GDPR 第 9(2)(e) 条规定的例外情况,重要的是确定数据主体是否明确地通过明确的肯定行动,有意让相关个人数据向公众开放,”工作组写道。)
要将 LI 作为其法律依据,OpenAI 需要证明它需要处理数据;处理也应限于满足此需求所必需的范围;并且必须进行平衡测试,权衡其在处理中的合法利益与数据主体(即数据所涉及的人)的权利和自由。
在此,该工作组提出了另一项建议,即“适当的保障措施”——例如“技术措施”、定义“精确的收集标准”和/或阻止某些数据类别或来源(如社交媒体资料),以便首先收集更少的数据,从而减少对个人的影响——可以“改变平衡测试,有利于控制者”,正如它所说的那样。
这种方法可以迫使人工智能公司更加关注如何收集数据以及收集哪些数据,以限制隐私风险。
“此外,应该采取措施删除或匿名化在培训阶段之前通过网络抓取收集的个人数据,”该工作组还建议。
OpenAI 还希望依靠 LI 来处理 ChatGPT 用户的提示数据,以进行模型训练。对此,报告强调需要让用户“清楚且明显地了解”此类内容可能用于训练目的——并指出这是 LI 平衡测试中要考虑的因素之一。
评估投诉的各个 DPA 将决定这家人工智能巨头是否已满足真正能够依赖 LI 的要求。如果不能,ChatGPT 的制造商在欧盟将只剩下一个合法选择:征求公民的同意。考虑到训练数据集中可能包含多少人的数据,目前尚不清楚这是否可行。(与此同时,这家人工智能巨头正在与新闻出版商迅速达成协议,授权他们的新闻报道,但这不会转化为欧洲个人数据许可的模板,因为法律不允许人们出售他们的同意;同意必须是自愿给予的。)
公平和透明不是可选项
另外,关于 GDPR 的公平原则,工作组的报告强调,隐私风险不能转移给用户,例如在条款和条件中嵌入“数据主体对其聊天输入负责”的条款。
它补充道:“OpenAI 仍有责任遵守 GDPR,并且不应争辩说输入某些个人数据首先是被禁止的。”
关于透明度义务,鉴于获取用于培训 LLM 的数据集所涉及的网络抓取规模,该工作组似乎承认 OpenAI 可以利用豁免(GDPR 第 14(5)(b) 条)来通知个人有关他们收集的数据。但其报告重申了告知用户他们的输入可能用于培训目的的“特别重要性”。
该报告还涉及 ChatGPT“产生幻觉”(编造信息)的问题,警告称必须遵守 GDPR“数据准确性原则”——并强调 OpenAI 需要就聊天机器人的“概率输出”及其“有限的可靠性水平”提供“适当的信息”。
该工作组还建议 OpenAI 向用户提供“明确参考”,即生成的文本“可能有偏见或编造的”。
关于数据主体权利,例如更正个人数据的权利(这是许多关于 ChatGPT 的 GDPR 投诉的焦点),该报告将其描述为人们能够轻松行使权利的“必要条件”。报告还指出了 OpenAI 当前方法的局限性,包括它不允许用户更正生成的关于他们的不正确个人信息,而只是提供阻止生成信息的功能。
然而,该工作组并未就 OpenAI 如何改进其为用户提供的数据权利行使“方式”提供明确指导——它只是提出了一个通用建议,即公司应采取“旨在有效实施数据保护原则的适当措施”和“必要的保障措施”,以满足 GDPR 的要求并保护数据主体的权利”。这听起来很像“我们也不知道该如何解决这个问题”。
ChatGPT GDPR 执行受阻?
ChatGPT 工作组于2023 年 4 月成立,当时意大利刚刚对 OpenAI 采取了引人注目的干预措施,旨在简化欧盟对新兴技术的隐私规则的执行。该工作组在一个名为欧洲数据保护委员会 (EDPB) 的监管机构内运作,该委员会负责指导欧盟法律在这一领域的应用。不过,值得注意的是,DPA 仍然独立,并且有能力在 GDPR 执法分散的地方自行执法。
尽管 DPA 在当地执行方面具有不可磨灭的独立性,但监管机构对于如何应对 ChatGPT 等新兴技术显然存在一些紧张/风险规避情绪。
今年早些时候,当意大利数据保护机构宣布其草案决定时,它特别指出其程序将“考虑”EDPB 工作组的工作。还有其他迹象表明,监管机构可能更倾向于等待工作组提交最终报告(可能还要等一年),然后再介入自己的执法工作。因此,工作组的存在可能已经影响了 GDPR 对 OpenAI 聊天机器人的执行,因为它会推迟决策并将投诉调查推入慢车道。
例如,波兰数据保护机构最近在接受当地媒体采访时表示,对 OpenAI 的调查需要等待工作组完成工作。
当我们询问是否因为 ChatGPT 工作组的并行工作流而推迟执法时,该监管机构没有回应。而 EDPB 的一位发言人告诉我们,工作组的工作“不会预先判断每个 DPA 在各自正在进行的调查中所做的分析”。但他们补充说:“虽然 DPA 有能力执行,但 EDPB 在促进 DPA 之间的执法合作方面发挥着重要作用。”
目前,DPA 似乎对如何紧急采取行动应对 ChatGPT 问题持有不同看法。因此,尽管意大利监管机构去年因其迅速干预而登上头条新闻,但爱尔兰(现为前任)数据保护专员海伦·迪克森 (Helen Dixon)在 2023 年彭博会议上表示,DPA 不应急于禁止 ChatGPT——他们认为他们需要花时间弄清楚“如何正确监管它”。
OpenAI去年秋天在爱尔兰设立欧盟业务,这可能并非偶然。去年 12 月,该公司悄然修改了其条款和条件,将其新的爱尔兰实体 OpenAI Ireland Limited 命名为 ChatGPT 等服务的区域提供商,并建立了一个架构,使这家人工智能巨头能够向爱尔兰数据保护委员会 (DPC) 申请成为其 GDPR 监督的主要监管机构。
这项以监管风险为重点的法律重组似乎为 OpenAI 带来了回报,因为 EDPB ChatGPT 工作组的报告表明,该公司自今年 2 月 15 日起被授予主要机构地位——使其能够利用 GDPR 中的一种名为“一站式服务”(OSS)的机制,这意味着自那时起出现的任何跨境投诉都将通过主要机构所在国(即 OpenAI 的案例中为爱尔兰)的主要 DPA 进行处理。
虽然这一切听起来可能很奇怪,但它基本上意味着人工智能公司现在可以避开进一步分散的 GDPR 执法风险(就像我们在意大利和波兰看到的那样),因为爱尔兰的 DPC 将有权决定调查哪些投诉、如何调查以及何时进行调查。
爱尔兰监管机构因采取有利于企业的方式对大型科技公司实施 GDPR 而享有盛誉。换句话说,“大型人工智能”可能是下一个从都柏林在解释欧盟数据保护规则方面的慷慨中受益的人。
我们联系了 OpenAI,要求其对 EDPB 工作组的初步报告作出回应,但截至发稿时,OpenAI 尚未回应。
本站全部资讯来源于实验室原创、合作机构投稿及网友汇集投稿,仅代表个人观点,不作为任何依据,转载联系作者并注明出处:https://www.lvsky.net/211.html
评论