5月23日,EDPB发布对ChatGPT在GDPR下的合规调查工作情况报告,列举了目前ChatGPT可能不符合GDPR的部分做法。
严格的问责原则
根据 GDPR 第 5(2) 条和第 24 条规定的问责原则,在LLM背景下处理个人信息的控制者应采取一切必要措施,确保完全遵守 GDPR 的要求。不能援引技术上的不可能性来证明可以不遵守这些要求。
欧盟成员国SA对OpenAI的调查
自 2024 年 2 月 15 日起,OpenAI在欧盟设有单一机构。因此,从该日期起,OSS (一站式执法)框架适用于 OpenAI所进行的跨成员国处理活动。根据GDPR 第 56 条,牵头的成员国执法机构(SA)负责在需要时行使纠正权。然而,这并不妨碍其他成员国的执法机构所正在进行的、对截至 2024 年 2 月 15 日的处理活动所进行的调查,涉及潜在非连续性侵权。这些成员国的调查将继续在工作组内进行协调。
在报告期内,ChatGPT工作组召开了多次会议,制定了一套通用调查问卷。一些成员国执法机构使用此调查问卷作为与 OpenAI 交流的基础。调查问卷的制定旨在促进协调一致的调查方法。
2024 年 2 月 15 日之前版本的隐私政策属于各成员国的调查范围。值得注意的是,OpenAI 于 2023 年 12 月 15 日更新了其欧盟经济区的隐私政策,并于 2024 年 2 月 15 日生效。
OpenAI 已经实施了一系列措施,以遵守意大利执法机构发布的针对意大利 ChatGPT 服务的临时禁令以及随后取消2023 年 4 月 11 日临时禁令的决定。
5个业务阶段
在评估合法性时,区分个人信息处理的不同阶段是有用的。在目前情况下,可以分为以下5个阶段:
训练数据的收集(包括网络抓取数据的使用或重复使用)数据集
数据预处理(包括过滤)
训练
提示和 ChatGPT 输出
使用提示来训练 ChatGPT。
收集阶段
通过网络抓取收集大量个人信息,几乎不可能对每个数据集进行逐一检查。但是,保障措施将有助于满足 GDPR 的要求。例如,应过滤 掉GDPR 第 9(1) 条规定的数据类别。过滤措施应当涵盖数据收集中(例如,适当选择收集数据的标准)和数据收集后立即进行的过滤(删除特定数据)。根据 GDPR 第 5(2) 条和第 24 条,证明保障措施有效性的举证责任由作为控制者的 OpenAI 承担。
输入输出和训练阶段
提示是指数据主体在与ChatGPT等LLM交互时的输入、文件上传以及用户对ChatGPT的数据输出质量的反馈。OpenAI 将这些提示定义为“内容”,并公开声明会使用这些信息来训练和改进其模型。GDPR 第 6(1)(f) 条被作为内容用于训练模型的法律依据。OpenAI 为用户提供了拒绝将“内容”用于培训目的的选项。
在任何情况下,OpenAI应明确告知数据主体此类“内容”可用于培训目的。根据 GDPR 第6(1)(f) 条,这种情况是在利益平衡时需要考虑的一个因素。
公平的核心在于不应有风险转移,即控制者不应该将企业的风险转移给数据主体。对于ChatGPT,这意味着确保遵守 GDPR 的责任不应转移给数据主体,例如在用户协议的条款和条件中要求数据主体对其聊天输入负责。
如果 ChatGPT 向公众开放,则应该假设个人迟早会输入个人信息。如果这些输入随后成为数据模型的一部分,并且与提出特定问题的任何人共享,OpenAI 仍然有责任遵守 GDPR,并且不应辩解称某些个人信息的输入首先是被禁止的。
OpenAI 已经提出了为解决这些问题而采取的措施。目前这些措施尚待执法机构审查。
当从网站等可公开访问的来源抓取个人信息时,GDPR 第 14 条的要求适用。考虑到通过网络抓取收集大量数据时,告知每个数据主体通常是不切实际或不可能的。因此,只要完全满足该条的所有要求,就可以适用 GDPR 第 14(5)(b) 条规定的豁免。
相反,当与 ChatGPT 直接交互而收集个人信息时,则适用 GDPR 第 13 条的要求。在这种情况下,明确告知数据主体“内容”(用户输入)可能被用于培训人工智能的目的尤其重要。
未满足GDPR准确性要求
就 GDPR 第 5(1)(d) 条规定的数据准确性原则而言,输入数据和输出数据之间应有所区别。输入数据可以包括通过网络抓取等方式收集的数据,也可以包括数据主体在使用 ChatGPT 时提供的“内容”(例如“提示”)。输出数据则是与 ChatGPT交互后的输出。
数据处理的目的是训练 ChatGPT,而不一定是提供事实上准确的信息。由于系统的概率性质,当前的训练方法导致模型也可能产生有偏差或虚构的输出。无论其实际准确性如何,最终用户可能认为 ChatGPT 提供的输出实际上是准确的,包括与个人相关的信息。
欧洲法院 2019 年 1 月 16 日的判决,C-496/17(德国邮政股份公司),第 57 段,根据该判决,所有个人数据处理都必须遵守GDPR第 5 条中规定的与数据质量相关的原则。
根据 GDPR 第 5(1)(a) 条规定的透明度原则,控制者提供有关概率输出创建机制及其有限可靠性水平的适当信息非常重要,ChatGPT生成的文本虽然语法正确,但可能有偏见或捏造。尽管为遵守透明度原则而采取的措施有利于避免对 ChatGPT 输出的误解,但这些措施不足以遵守GDPR的数据准确性原则。
数据主体权利保护
OpenAI 提供了通过电子邮件进行联系的可能性,而数据主体的某些权利可以通过帐户设置来行使。根据 GDPR 第 12(2) 条和第 59条的规定,控制者应持续改进促进数据主体权利行使的方式。目前,当由于ChatGPT的技术复杂性而无法进行整改时,OpenAI会建议用户从整改转向删除。
根据 GDPR 第 25(1) 条,控制者应在确定处理方式时和进行处理时,实施适当措施以有效的方式保护数据,并将必要的保障措施纳入处理过程中,以满足 GDPR 的要求并保护数据主体的权利。
(欢迎联系 中伦 郑孜青律师 zhengziqing@zhonglun.com)
声明:本文来自青青律议,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。