尽管欧盟《人工智能法案》还未生效,人工智能(AI)行业领军企业OpenAI在欧盟地区已经面临着相当大监管风险。
欧洲数据保护委员会(EDPB)近日发布调查报告称,尽管OpenAI为遵守“透明度原则”采取的措施有助于其聊天机器人ChatGPT减少错误输出,但该产品仍不足以完全符合欧盟的《通用数据保护条例》(GDPR)。
去年,在以意大利为首的欧盟成员国监管机构对通用AI服务提出担忧后,EDPB在2023年4月成立了ChatGPT特别工作组。该报告称,目前一些成员国的调查仍在进行中,但上述结论已是各国的“共识点”。
而如果确认违反GDPR,对企业的处罚可以高达全球年收入的4%。监管机构还可以命令企业立即停止不合规的数据处理,即停止运营。
北京金杜律师事务所合伙人吴涵律师对第一财经记者表示,从GDPR,到还未生效的欧盟《人工智能法案》,欧盟在数字治理的思路一脉相承,即以事前监管为重点,构建涵盖事前、事中和事后的全链条监管体系。
然而,吴涵认为,正在制订中的以及既存的欧盟数字经济法案间,可能涉及规范重叠、空白和不一致性等诸多问题,综合GDPR实施至今的经验教训,部分AI市场的领头羊企业未来可能会遇到一些棘手的合规问题。
欧盟对ChatGPT哪里不满意
工作组经过调查认为,ChatGPT在合法性问题、公平性问题、透明度和信息义务以及数据准确性等方面仍不完全合规。
报告组表示,ChatGPT在使用网络抓取收集大量个人数据时,可能对人们的基本权利构成了“特殊风险”,因为其抓取的数据可能包括最敏感的个人数据,如健康信息等,这需要比一般个人数据更高的法律处理标准。因此,ChatGPT需要在个人数据处理的所有阶段都具备有效的法律基础,包括收集训练数据、数据预处理和训练等。
根据GDPR,即使健康信息等特殊类别的敏感个人数据是公开的,也不意味着ChatGPT能直接使用,企业“有必要确定数据主体是否明确且通过清晰的肯定,同意使相关个人数据对公众可访问”。
工作组建议,OpenAI可以采用适当的技术保障措施,屏蔽某些数据类别或来源,不过多地收集数据,减少对个体的影响。
在公平性问题上,工作组认为,ChatGPT不应将企业的合规责任转移给用户,例如通过条款和条件规定用户对其输入的聊天内容负责。“OpenAI仍有责任遵守GDPR,不应声称(自己)一开始就禁止某些个人数据的输入。”工作组称。
在透明度及信息义务方面,工作组认为,ChatGPT在使用网络抓取从公开来源收集个人数据,或与用户直接交互时,都应遵循GDPR的有关信息义务的相关规定。
而在数据准确性上,由于ChatGPT系统的内部工作原理涉及概率计算,目前的训练方法会导致模型可能输出偏差或编造出来的结果,但用户可能并未意识到这种情况。因此,工作组建议OpenAI向用户提供一个“明确的参考”,说明生成的文本“可能有偏见或被捏造”。
来自爱尔兰的“保护伞”
欧盟的GDPR适用于任何收集和处理个人数据的情况,因此像ChatGPT这样的聊天机器人也必须遵循其规则。根据GDPR,欧盟成员国的数据保护机构(DPA)有权命令企业停止任何不合规的数据处理。同时,各成员国的DPA是相互独立的,有权在其各自辖区内执法,这也意味着GDPR在欧盟内的执行是分散的。
2023年3月底,意大利隐私监管机构动用了GDPR赋予的紧急权力,对OpenAI实施临时禁令,禁止其处理本地用户的ChatGPT数据。
随后,去年4月,西班牙数据保护局请求欧盟就ChatGPT相关的隐私问题展开评估,法国国家信息自由委员会(CNIL)也表示正在调查关于ChatGPT的几起投诉。同年8月,波兰个人数据保护办公室宣布对OpenAI提起诉讼,指控ChatGPT“以非法、不可靠的方式处理数据,且处理数据的规则不透明”。今年4月,奥地利数据保护机构也接到了相关投诉。
但OpenAI也没有“坐以待毙”。根据工作组的报告,OpenAI在去年12月15日更新其“欧洲隐私政策”,并于2024年2月15日正式在爱尔兰设立了名为OpenAI Ireland Limited的实体。这一实体被指定为OpenAI在欧盟运营ChatGPT等服务的区域提供商。
根据这一安排,OpenAI可以利用GDPR中的单一窗口机制(OSS),申请爱尔兰数据保护委员会(DPC)作为其主要监督机构。这意味着,从此,欧盟内部任何针对ChatGPT的投诉,都不会像去年一样由欧盟各成员国的DPA分散执法,爱尔兰DPC将集中处理OpenAI在欧盟的合规事务,提供具有一致性的监管框架和决策。
不过,工作组称,这并不影响各成员国监督机构就今年2月15日之前的数据处理操作继续进行调查。工作组建议,各监督机构之间英继续协调和交流关于ChatGPT的执法活动和信息,以便形成统一的执法标准。OpenAI则应根据监督机构的反馈和建议,改进其技术措施和合规策略,以确保其服务完全符合GDPR的要求。
编辑/樊宏伟