爱尔兰:OpenAI ChatGPT的欧盟整改护盾。尽管欧盟《人工智能法案》尚未生效,但人工智能(AI)行业领军企业OpenAI在欧盟地区已经面临相当大的监管风险。欧洲数据保护委员会(EDPB)最近发布的调查报告指出,尽管OpenAI为遵守“透明度原则”采取了一些措施,有助于其聊天机器人ChatGPT减少错误输出,但该产品仍不完全符合欧盟的《通用数据保护条例》(GDPR)。
去年,以意大利为首的欧盟成员国监管机构对通用AI服务提出了担忧,随后EDPB于2023年4月成立了专门的ChatGPT特别工作组。调查报告称,目前一些成员国的调查仍在进行中,但上述结论已是各国的“共识点”。如果确认违反GDPR,对企业的处罚可以高达全球年收入的4%,监管机构还可以命令企业立即停止不合规的数据处理,即停止运营。
吴涵律师表示,从GDPR到尚未生效的欧盟《人工智能法案》,欧盟在数字治理方面的思路一脉相承,即以事前监管为重点,构建涵盖事前、事中和事后的全链条监管体系。然而,吴涵认为,正在制订中的以及既存的欧盟数字经济法案之间可能存在规范重叠、空白和不一致性等诸多问题,部分AI市场的领头羊企业未来可能会遇到一些棘手的合规问题。
EDPB工作组的调查认为,ChatGPT在合法性、公平性、透明度和信息义务以及数据准确性等方面仍不完全合规。在合法性方面,ChatGPT在使用网络抓取收集大量个人数据时,可能对人们的基本权利构成了“特殊风险”,因为其抓取的数据可能包括最敏感的个人数据,如健康信息等,这需要比一般个人数据更高的法律处理标准。根据GDPR,即使健康信息等特殊类别的敏感个人数据是公开的,也不意味着ChatGPT能直接使用,企业“有必要确定数据主体是否明确且通过清晰的肯定,同意使相关个人数据对公众可访问”。
在公平性问题上,工作组认为,ChatGPT不应将企业的合规责任转移给用户,例如通过条款和条件规定用户对其输入的聊天内容负责。“OpenAI仍有责任遵守GDPR,不应声称(自己)一开始就禁止某些个人数据的输入。”
在透明度及信息义务方面,工作组认为,ChatGPT在使用网络抓取从公开来源收集个人数据,或与用户直接交互时,都应遵循GDPR的有关信息义务的相关规定。在数据准确性上,由于ChatGPT系统的内部工作原理涉及概率计算,目前的训练方法会导致模型可能输出偏差或编造出来的结果,但用户可能并未意识到这种情况。因此,工作组建议OpenAI向用户提供一个“明确的参考”,说明生成的文本“可能有偏见或被捏造”。
来自爱尔兰的“保护伞”
欧盟的《通用数据保护条例》(GDPR)适用于任何收集和处理个人数据的情况,因此像ChatGPT这样的聊天机器人也必须遵循其规则。根据GDPR,欧盟成员国的数据保护机构(DPA)有权命令企业停止任何不合规的数据处理。同时,各成员国的DPA是相互独立的,有权在其各自辖区内执法,这也意味着GDPR在欧盟内的执行是分散的。
2023年3月底,意大利隐私监管机构动用了GDPR赋予的紧急权力,对OpenAI实施临时禁令,禁止其处理本地用户的ChatGPT数据。随后,去年4月,西班牙数据保护局请求欧盟就ChatGPT相关的隐私问题展开评估,法国国家信息自由委员会(CNIL)也表示正在调查关于ChatGPT的几起投诉。同年8月,波兰个人数据保护办公室宣布对OpenAI提起诉讼,指控ChatGPT“以非法、不可靠的方式处理数据,且处理数据的规则不透明”。今年4月,奥地利数据保护机构也接到了相关投诉。
但OpenAI也没有“坐以待毙”。根据工作组的报告,OpenAI在去年12月15日更新其“欧洲隐私政策”,并于2024年2月15日正式在爱尔兰设立了名为OpenAI Ireland Limited的实体。这一实体被指定为OpenAI在欧盟运营ChatGPT等服务的区域提供商。
根据这一安排,OpenAI可以利用GDPR中的单一窗口机制(OSS),申请爱尔兰数据保护委员会(DPC)作为其主要监督机构。这意味着,从此,欧盟内部任何针对ChatGPT的投诉,都不会像去年一样由欧盟各成员国的DPA分散执法,爱尔兰DPC将集中处理OpenAI在欧盟的合规事务,提供具有一致性的监管框架和决策。
不过,工作组称,这并不影响各成员国监督机构就今年2月15日之前的数据处理操作继续进行调查。工作组建议,各监督机构之间继续协调和交流关于ChatGPT的执法活动和信息,以便形成统一的执法标准。OpenAI则应根据监督机构的反馈和建议,改进其技术措施和合规策略,以确保其服务完全符合GDPR的要求。