一、ChatGPT数据隐私合规问题引爆多国监管关注
自ChatGPT“横空出世”以来,AIGC(AI-Generated Content,生成式人工智能,以下简称AIGC)引发了全球范围内多方监管机构的高度关注,美国联邦贸易委员会(FTC)主席称,生成式AI将是“高度破坏性的”,FTC将在该领域进行严格执法。[1]在数据隐私合规领域,意大利数据保护监管机构(GARANTE PER LA PROTEZIONE DEI DATI PERSONALI,以下简称GPDP)打响了国别监管的“第一枪”——GPDP于2023年3月31日宣布全面禁用ChatGPT,并禁止OpenAI处理意大利用户数据。随后多国数据保护监管机构宣布对ChatGPT开展调查。4月3日,德国表示也在考虑禁用ChatGPT。法国、爱尔兰也纷纷采取措施,包括但不限于与意大利研讨执法相关事项,西班牙则要求欧盟数据保护委员会(EDPB)评估ChatGPT隐私相关问题。4月4日,韩国个人信息保护委员会委员长表示正在调查ChatGPT韩国用户数据泄露情况。同日,加拿大宣布就数据安全问题调查OpenAI。4月13日,EDPB决定启动ChatGPT特设工作组。虽然ChatGPT不对中国大陆和香港提供服务,中国国家网信办亦于4月11日就AIGC在国内的研发和应用发布了《生成式人工智能服务管理办法》的征求意见稿。
二、意大利禁用ChatGPT到恢复服务始末
GPDP打响的国别监管第一枪,通过临时限制、全面禁用、违规调查、限期整改、解禁等系列措施,督促OpenAI在数据隐私方面达到合规要求,值得借鉴。以下是意大利禁用ChatGPT到恢复服务始末:
3月30日,GPDP发布决定性文件,称ChatGPT违反个人数据保护规定,对ChatGPT数据处理行为采取临时限制。[2]
3月31日,GPDP宣布全面禁用ChatGPT,限制OpenAI处理意大利用户信息,并对OpenAI非法收集用户数据开展调查。GPDP同时指出,3月20日,ChatGPT数据泄露事件导致了用户对话数据和付款服务支付信息丢失,并存在未向用户履行告知义务的前提下收集和处理用户数据等问题。OpenAI 在欧盟境内没有设立营业地点,但依据GDPR指定了欧洲经济区代表,其必须在 20 天内报告为执行GPDP要求而采取的措施,否则最高将面临2000 万欧元的罚款或高达年度全球营业额的 4%的罚款。[3]
4月6日,GPDP发布文件称OpenAI表达了合作意愿,以期达成积极解决方案。4月5日晚,OpenAI与GPDP举行会议,出席会议的人员有OpenAI 的 CEO、监事会成员、两名副总法律顾问、公共策略负责人。OpenAI承诺将于4月6日前向GPDP提供文件以说明将采取的措施,包括但不限于增强数据主体权利行使机制、增强个人数据使用的透明度、对未成年人采取保障措施等,并要求撤销临时限制处理决定。GPDP强调,无意阻止人工智能和技术创新的发展,旨在保护意大利和欧洲公民个人数据,并重申尊重数据保护规则的重要性。[4]
4月12日,GPDP围绕数据隐私安全问题向OpenAI提出了一系列要求,包括但不限于公开ChatGPT的数据处理逻辑、对用户年龄进行筛查、明确告知数据主体拥有的权利等。GPDP称,若OpenAI在4月30日前落实上述措施,其面临的暂时限制将会被解除,ChatGPT有机会于意大利重新上线。[5]
4月28日,OpenAI致函GPDP,阐述了其为遵守GPDP 发布的命令而实施的系列措施,包括但不限于将隐私信息通知扩大到欧洲用户和非用户,修改和澄清了若干机制,提供了易操作、无障碍的用户行权解决方案,使用户和非用户均能行使权利。基于这些改进,ChatGPT恢复了服务。[6]
GPDP表示认可OpenAI在协调技术进步和尊重个人权利方面所采取的措施,并希望该公司持续遵守欧洲数据保护法,遵守其他尚未落实的要求和未来进一步的要求,尤其是采取年龄验证措施,规划和开展宣传活动,告知意大利公众所发生的事情,以及他们有权选择拒绝处理其个人数据用于训练算法。GPDP将在EDPB成立的特设工作组的支持下,继续开展对OpenAI的调查活动。
三、ChatGPT违规行为、对应合规整改命令及落实情况分析
梳理GPDP在整个调查过程中发布的系列决定、违规行为认定、执法依据的条款、提出的整改命令,以及ChatGPT所采取的整改行动如下:
ChatGPT的阶段性整改得到了GPDP的认可,部分长期整改要求还有待落实。针对3月20日ChatGPT数据泄露,GPDP尚未给出任何决定性命令,不排除调查认定本次数据泄露不涉及意大利用户,亦或仍在持续调查取证中。
四、AIGC研发及应用的隐私数据合规义务识别及其落实形式借鉴
新技术快速涌现和迭代,但法律的制定和实施天然具有滞后性,AIGC研发和应用如何在相关立法、执法高度不确定、规则变动频繁且模糊的情况下,快速且准确地识别隐私合规义务,意大利监管要求和OpenAI所做出的系列合规努力给出了良好的示例,可从中识别确定性、可遵从的合规义务。总结来说,企业在研发、利用AIGC,面向公众提供服务时,应履行下列隐私合规义务:
(一)AIGC核心业务:为训练算法处理个人数据的合法性保证
OpenAI在被责令将利用个人数据训练算法的合法性基础由履行合同变更为用户同意后,选择了变更为合法利益,目前亦得到了GPDP的认可,为AIGC核心业务开展的合法性保障提供了借鉴。但是对于合法性基础没有合法利益的国家和地区,取得用户同意仍是较为稳固的合法性基础。
具体来说,为确保训练数据来源合法性,AIGC研发和利用应提供为训练算法处理个人数据的单独公告,公开披露AIGC所处理的数据和处理的方法逻辑,该公告应独立于隐私政策、服务条款/用户协议,目的是确保用户充分知情。合法性基础适用方面有以下三个建议:
训练数据包含个人信息的,应征得个人信息主体同意,如使用同意作为合法性基础,需要设置为用户点击授权同意前,充分阅读前述单独公告,并且保证用户可随时撤回其同意,类似于中国《个人信息保护法》中的单独同意要求;
在数据处理合法性基础包含合法利益的国家/地区,如选择使用合法利益,需实施利益平衡测试,并保证用户享有拒绝该种处理的权利,具体方式可参考OpenAI提供在线申请表格,从用于训练算法的数据中过滤掉与申请人的对话;
根据GPDP整改命令,不建议使用履行合同作为合法性基础,该合法性基础的牢固性似乎无法得到监管机构认可。
(二)透明性义务的充分履行
隐私政策、服务条款/用户协议、相关公告应必须易于访问,并且以清晰易懂的语言、简洁明了的方式告知用户哪些个人数据将被收集、所收集的个人数据如何应用,并设置为用户/非用户(如网站浏览者)注册前可阅读。
隐私政策内容发生实质性变更,应提示并确保用户重新阅读。对于已注册用户,应设置为用户重新使用服务前弹出阅读提示。
对于AIGC这种公众影响巨大但未知风险较多的新技术,除在服务界面进行告知外,还可以选择通过主流大众媒体公示数据处理情况,使公众了解其个人数据将被用于训练算法。
(三)准确性原则的保障落实
研发和利用生成式人工智能应采取措施防止生成虚假信息,保证生成的内容真实准确。保障用户有权并可以通过易于操作的方式更正不准确的个人数据,或者在技术上无法更正错误数据的情况下对其进行删除(并且技术上无法更正的事实亦需如实告知用户),比如通过在线申请的形式,或者赋予用户可直接操作删除的选项。
(四)数据主体权利保障及其形式
应于产品界面显著位置告知用户所享有的数据权利、用户投诉接收处理渠道及响应机制。同时确保企业及时处置个人关于更正、删除、屏蔽等个人信息权利请求。
(五)未成年人保护
应采取未成年人保护措施,例如建立年龄验证系统,过滤未成年人用户,或确保未成年人用户需经父母同意方可使用(未成年人定义各国有不同标准,应根据当地法律特殊规定实行)。[7]
在具体落实形式上可借鉴:
对外发布的隐私政策、服务条款/用户协议、相关公告应明确声明只服务于成年人,不收集儿童数据,并在服务注册掩码中插入出生日期请求,让用户注册前确认他们已年满18岁,或他们已年满13岁并已获得父母或其他监护人的同意。从前文可知,目前OpenAI对于未成年人保护采取的具体措施只落实到了这里,其仍需要在2023年9月30日前落实年龄判别和验证机制。在年龄判别和验证机制落实上,OpenAI可在用户账号注册环节采取包括但不限于以下产品交互设计:
通过用户注册手机号的电话确认、短信验证码方式进行验证;
通过客户端第三方支付渠道验证,如信用卡等方式;
通过客户端实名认证、人脸识别、音色识别等方式验证;
通过客户端智力测试验证,如设置对于智力、知识等存在一定要求的题库要求用户回答,常用的有较为复杂的数学计算题等,以此初步判断使用者的心智和年龄,对未通过识别验证的账号采取限制措施。
在采取以上年龄判别机制时,企业应当评估各类验证方式的必要性以及有效性,特别是采取实名认证、人脸识别、音色识别等敏感个人数据收集的验证方式。
此外,还有不得根据用户输入信息和使用情况进行画像,不得根据用户的种族、国别、性别等进行带有歧视性的内容生成,不得向其他第三方提供用户输入信息,不得非法留存能够推断出用户身份的输入信息,部分国家和地区可能会要求用户实名认证等隐私合规相关义务需要遵循。并且该合规义务清单可能会随着AIGC不断迭代和法律要求的更新不断扩充,各种义务的具体落实方式一方面需要由数据隐私法律及技术专家阐释,另一方面也有待ChatGPT或其他AIGC先行者与监管方的实践演绎。
除此以外,对于跨国企业数据隐私合规本地化遵循,OpenAI在此次监管要求响应中也给出了自己的应对策略:通用合规策略+本地化适配微调。具体来说,就是通用法律法规义务识别与遵循+本地化特殊法律要求、监管要求评估与本地化适用。比如,TikTok并非在全球都实施数据本地化存储策略,但基于欧美当地数据隐私的严格监管要求,分别实施了德克萨斯计划(美国用户数据本地化存储)和三叶草计划(欧洲用户数据本地化存储)。就像ChatGPT在被问到“你目前对于意大利用户和其他国家用户在数据隐私方面有什么区别”时回答的那样:
脚注
[1] The New York Times.Lina Khan:We Must Regulate A.I. Here’s How〔J/OL〕.https://www.nytimes.com/2023/05/03/opinion/ai-lina-khan-ftc-technology.html?searchResultPosition=3
[2] GPDP Provision of March 30, 2023〔EB/OL〕.https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9870832
[3]Artificial intelligence: stop to ChatGPT by the Italian SA Personal data is collected unlawfully, no age verification system is in place for children〔EB/OL〕.https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9870847
[4]ChatGPT: OpenAI collaborates with the Privacy Guarantor with commitments to protect Italian users〔EB/OL〕.https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9872832
[5]ChatGPT: Italian SA to lift temporary limitation if OpenAI implements measures 30 April set as deadline for compliance〔EB/OL〕.https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9874751
[6]ChatGPT: OpenAI reinstates service in Italy with enhanced transparency and rights for european users and non-users〔EB/OL〕.https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9881490
[7] 事实上,对于“儿童”的界定,各国根据其文化传统和立法需求存在较大差异,美国COPPA的主要保护对象为13周岁以下的儿童,欧盟《通用数据保护条例》允许各成员国保留设定本国受规定保护儿童年龄的权限——在13至16周岁之间,此外韩国14周岁,日本18周岁,澳大利亚13周岁,因此从各国立法规定来看,通常将保护对象限定于13至16岁之间,例外情况做特殊提示。
本文作者:X.M,M.C,H.HE,L.Ch
免责声明
本文撰写所需的信息采集自合法公开的渠道,我们无法对信息的真实性、完整性和准确性提供任何形式的保证;
本文仅为分享、交流、学习之目的,任何人都不应以本文全部或部分内容作为决策依据,因此造成的后果将由行为人自行负责。
声明:本文来自合规小叨客,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
