经过一年多的考虑,专注于欧盟数据保护法规如何适用于OpenAI的ChatGPT这一病毒性聊天机器人的数据保护专家组在周五报告了初步结论。最重要的结论是,隐私执法者工作组尚未就OpenAI的处理合法性和公平性等关键法律问题达成一致意见。
这个问题很重要,因为对于已确认违反该地区隐私法规的处罚可能达到全球年营业额的4%。监管机构还可以下令停止不合规的处理。因此,在缺乏专门针对人工智能的法律的情况下,OpenAI在该地区面临相当大的监管风险,而即使在欧盟的情况下,这些法律也需要多年才能完全运行。
...OpenAI被要求在处理ChatGPT用户的提示数据以进行模型训练时依靠LI。在这一点上,报告强调了用户需被“明确和可证明地告知”此内容可能用于训练目的这一点——指出这是平衡LI的考量之一。
这将由评估投诉的各个DPA决定该AI巨头是否满足了实际上能够依赖LI的要求。如果不能,那么ChatGPT的制造商将在欧盟只剩下一个法律选择:向公民请求授权。鉴于在训练数据集中可能包含多少人的数据尚不清楚如何可行。 (而同时,与新闻出版商迅速达成协议以许可其新闻报道的AI巨头不可能转化为许可欧洲人的个人数据的模板,因为法律不允许人们出售他们的同意;同意必须是自愿给出的。)
公平与透明不是可选的
在GDPR的公平原则方面,该任务组的报告强调,隐私风险不能转移到用户,比如在T&Cs中嵌入一个条款,规定“数据主体对其聊天输入负责”。
“OpenAI仍然负责遵守GDPR,不应主张某些个人数据的输入本来就被禁止,”它补充道。
在透明义务方面,该任务组似乎认可OpenAI可以利用豁免(GDPR第14(5)(b)条款)通知个人其收集的数据,考虑到在获取数据集以训练LLMs时涉及的网页抓取规模。但其报告重申了“告知用户其输入可能用于培训目的的特别重要性”。
该报告还涉及ChatGPT“产生幻觉”(制造信息)的问题,警告称GDPR“数据准确性原则必须遵守”,并强调OpenAI因此应提供有关聊天机器人的“概率输出”和其“有限可靠性”的“恰当 信息”。
任务组还建议OpenAI向用户提供一个“明确的参考”,即生成的文本“可能存在偏见或虚构”。
关于数据主体权利,例如更正个人数据的权利——这一直是ChatGPT引发多起GDPR投诉的焦点——报告称“人们能够轻松行使其权利至关重要”。它还观察到OpenAI目前的方法存在限制,包括不允许用户更正有关他们生成的不正确个人信息,而只提供阻止生成的选择。
然而,该任务组并没有就OpenAI如何改进其向用户提供行使其数据权利的“方式”提供明确指导——它只是提出了一个一般性建议,即公司应该采取“有效实施数据保护原则的适当措施”和“必要的保护措施”以符合GDPR的要求并保护数据主体的权利。这听起来很像‘我们也不知道如何解决这个问题’。
对ChatGPT GDPR执法搁浅?
ChatGPT专家组是在2023年4月,跟随意大利对OpenAI引人关注的干预之后建立的,旨在简化对这项新兴技术的欧盟隐私规则的执行。任务组在一个名为欧洲数据保护委员会(EDPB)的监管机构内运作,该机构指导该领域欧盟法律的适用。尽管DPAs保持独立,并有权在其自身的领域内执行法律,但在分权进行GDPR执行的地方。
尽管DPAs在当地执行时具有不可磨灭的独立性,但显然,监管机构在如何应对像ChatGPT这样的新兴技术时存在着一些紧张情绪和风险规避。
今年早些时候,当意大利DPA宣布其草案决定时,它特别指出其进程将“考虑到”EDPB任务组的工作。还有其他迹象表明,监管机构可能更倾向于等待工作组发表最终报告之前再来介入调查和投诉的决定——也许还要再等一年——以此来影响OpenAI的ChatGPT的GDPR执行。
例如,近期波兰数据保护机构在当地媒体的一次采访中暗示,其对OpenAI的调查将需要等待任务组完成工作。
当我们询问该监管机构是否因为ChatGPT任务组的平行工作而延迟执法时,该监管机构没有回应。而EDPB的发言人告诉我们任务组的工作“不会预先决定各个DPA在各自进行的调查中将会做出的分析”。但他们补充说:“尽管DPAs有权执法,但EDPB在促进DPAs之间在执法方面的合作方面发挥着重要作用。”
目前来看,各个DPAs在多快应对有关ChatGPT的担忧方面似乎存在相当大的意见分歧。因此,尽管意大利监管机构去年迅速出手引起了头条新闻,爱尔兰(之前的)数据保护专员海伦·迪克森告诉2023年彭博大会,DPAs不应急于禁止ChatGPT——她认为他们需要时间来“如何正确规范它”。
OpenAI去年秋季开始在爱尔兰设立欧盟业务并非偶然。这一举措在12月,作为其新T&Cs的一部分被悄悄跟进——命名其新成立的爱尔兰实体OpenAI Ireland Limited为ChatGPT等服务的区域提供商——建立了一种架构,使AI巨头能够向爱尔兰数据保护委员会(DPC)申请成为其GDPR监督的主要监管机构。
这种以监管风险为重点的法律重组似乎为OpenAI付出了努力,因为EDPB ChatGPT任务组的报告表明,该公司已于今年2月15日被授予主要机构地位——让它能够利用GDPR中称为一站式窗口(OSS)的机制,这意味着自那时起出现的任何跨境投诉将通过主要机构所在国家(在OpenAI的情况下,是爱尔兰)的主管DPA进行调查决策。
尽管这一切可能听起来有点乏味,但基本上意味着该AI公司现在可以规避进一步分权的GDPR执法风险——就像我们在意大利和波兰看到的那样——因为未来爱尔兰的DPC将决定哪些投诉将会被调查,以及如何何时进行调查。
爱尔兰监管机构在对大型科技公司执行GDPR方面采取了友好商业的方式。换句话说,‘大型AI’可能是下一个受惠于都柏林在解释该地区数据保护法规方面的慷慨的对象。
我们已联系OpenAI以对EDPB任务组的初步报告作出回应,但截至发稿时间,尚未收到回应。