域外观察 | 美国国会研究处发布《生成式人工智能和数据隐私:初探》报告
2023年5月,美国国会研究处发布《生成式人工智能和数据隐私:初探》报告(以下简称“《报告》”),对生成式人工智能(AIGC)如何使用数据、可能引发的数据隐私风险等问题进行了分析,并提出了相应对策,主要包括以下内容:
首先,《报告》概述了AIGC与数据之间的关系。数据是训练AIGC的关键,AIGC通常以“大语言模型(LLMs)”为基础,之所以称之为“大”,部分原因就是此种模型训练需要庞大的数据量,例如,GPT-3的训练数据包含了从开放网络上抓取3000亿个词块,超过1750亿项参数。这些数据大多数都是从网络上直接抓取,AIGC开发者通常依赖流行的大型数据集,通过软件系统性扫描网站并从每个可用的网页中收集信息。
其次,《报告》总结了AIGC使用及获取数据的方式可能引发的相关风险。第一,《报告》提到,AIGC收集数据的方式可能会侵犯个人隐私,其抓取的数据中包含了大量的个人信息,甚至是可识别的、敏感的个人信息,如姓名、电话号码、住址等,而这种数据获取方式并未提前获得数据主体的同意。第二,部分模型将用于商业目的或嵌入下游应用中,如社交媒体可能在自身服务中部署ChatGPT等类似应用,这产生数据共享或二次使用的问题,数据主体也并未告知相应用途。第三,由于训练数据量过于庞大,其中不可避免的包含受到知识产权保护的信息、虚假信息和有害信息,因此可能产生知识产权和内容治理方面的风险。
最后,《报告》认为应通过立法建立相应机制以应对AIGC相关风险。第一,建立通知和披露机制,可以要求开发者在收集或使用个人数据之前获得数据主体的同意,同时告知数据主体他们的数据将用于何种目的。第二,退出机制,对于尚未公开的数据,AIGC的开发者可以向用户提供退出数据收集的选项,第三,删除和最小收集要求,即用户有权从当前数据集中删除自己的数据,或以最短的期限保留其个人数据。目前大多数AIGC应用都并未向用户提供删除个人数据的选项。
任何技术都是一把“双刃剑”,AIGC实现了从感知理解世界到生成创造世界的跃迁,同时也带来了知识产权保护、数据隐私、网络安全、技术伦理等方面的挑战。聚焦AIGC的数据问题,各国都开始意识到对其进行监管的必要性。
AIGC正迎来全面的商业化落地部署。AIGC可以满足多样化的场景需求,对于数字经济社会转型升级、高质量发展有着重要的作用。AIGC将赋能其他下游应用,如微软为例,一方面,微软将ChatGPT等AI工具整合进搜索引擎、办公软件等旗下软件,为用户带来更高效的交互体验,另一方面,微软也提供AI云服务AzureOpenAI,允许开发者在OpenAI的模型基础上搭建自己的应用,加速AIGC的商业落地。随着数字技术和实体经济融合程度不断加深,以及互联网平台的数字化场景向元宇宙转型,人类对数字内容总量和丰富程度的整体需求将不断提高,未来将产生更大的AI市场规模。AIGC作为目前最先进的内容生产方式,已率先在传媒、电商、影视、娱乐等数字化程度高、内容需求丰富的行业取得重大创新发展,市场潜力逐渐显现。同时,在推进数实融合、加快产业升级的进程中,金融、医疗、工业等各领域AIGC应用也将进一步落地。
我国AIGC产业仍处于发展初期。从我国的研发布局和进展来看,政府高度重视人工智能发展,陆续发布了《新一代人工智能发展规划》《新一代人工智能治理原则》《新一代人工智能伦理规范》等文件,成立了人工智能规划推进办公室、战略咨询委员会和人工智能治理专业委员会等组织,启动了人工智能重大科技项目,确定了以“基础软硬件”为主体、“基础理论”和“创新应用”为两翼的“一体两翼”研发布局,同时依托龙头企业建立了一些人工智能开放创新平台,一方面带动中小企业发展,另一方面提升整个行业的技术进步速度。从产业发展来看,我国AIGC仍处于发展初期,底层技术相较于国外仍有一定差距,全方面应用的大企业不多,在细分赛道上出现了个别优秀的先行公司及研究机构,但目前行业尚未形成体系化发展,行业规范和标准不统一,众多国内厂商从内容布局入手,但商业模式尚不成熟,较多停留在引流阶段。
各国监管机构采取措施应对AIGC引发的数据隐私风险。美国联邦贸易委员会(FTC)主席称,“AIGC的全部潜力有待讨论,但毫无疑问它将具有高度破坏性”,因此监管AIGC具有必要性。意大利数据监管机构Garante于2023年3月31日宣布全面禁用ChatGPT,并禁止OpenAI处理意大利用户数据,其认定的违法行为包括:缺乏收集和存储个人数据的法律依据,未就收集、处理行为对用户进行告知,未采用任何年龄判别机制验证用户年龄等;在OpenAI承诺做出相应改进后,ChatGPT恢复了在意大利的服务。在意大利对OpenAI采取措施之后,德国、法国、爱尔兰也陆续采取应对措施,西班牙要求欧盟数据保护委员会(EDPB)评估ChatGPT的隐私保护问题,韩国个人信息保护委员会也表示对ChatGPT韩国用户数据泄露情况展开调查。我国中央网信办亦就AIGC在国内的研发和应用发布了《生成式人工智能服务管理办法》征求意见稿,对数据收集和处理做出了规定。
参考文献:
1. Generative Artificial Intelligence and Data Privacy: A Primer, at https://crsreports.congress.gov/product/pdf/R/R47569
2.《加快实现高水平科技自立自强——科技部有关负责人谈新举措新进展》,网址:www.news.cn/tech/2023-02/24/c_1129395513.htm
3.《AIGC研发及应用数据隐私合规义务识别:以意大利监管ChatGPT为切入点》,载“安全内参”,网址:https://www.secrss.com/articles/54726
域外观察 | 美国微软公司发布《人工智能治理:未来蓝图》报告中心会议 | 第四届数据治理研讨会在海南陵水顺利召开域外观察 | 美国CSET和CNAS联合发布《控制中国通过云服务访问先进计算》报告域外观察 | 美参议员重提《2023 保护美国人数据免受外国监视法案》 拟阻止TikTok向中国发送数据域外观察 | 美国加州参议院通过“数据经纪人”相关修订条款 聚焦消费者集中行使删除权域外观察 | 赢得未来的7项关键技术中心会议 | 《数据安全法》出台两周年研讨会在京顺利召开域外观察 | 日本修订《个人信息保护法》,呈现六大亮点域外观察 | GDPR赋予了数据主体算法解释权吗?月度热点 | 国际ICT立法跟踪5月热点域外观察 | 新西兰信息专员办公室发布《生成式人工智能指南》要求AI企业遵守《隐私法》域外观察 | 欧盟委员会根据《数字服务法》指定第一批超大型在线平台和搜索引擎域外观察 | OECD发布《人工智能语言模型》报告域外观察 | 欧洲议会关于“通用人工智能”的观察动态观察 | 欧盟成员国GDPR重点执法案例汇编(2023.04)动态观察 | 主要国家和地区AIGC监管动态汇总月度热点 | 国际ICT立法跟踪4月热点中心活动 | 网络空间治理“三人谈”:“吃瓜”要有度 底线不能丢域外观察 | FCC垃圾短信和骚扰电话治理规则简析中心研究 | 数据法案例(一)—Meta爱尔兰案(个性化广告的合法性基础之辩)域外观察 | 美国智库发布《全球云竞争概述》认为中国全球云竞争存在优势域外观察 | 欧盟稳步推进《媒体自由法》,将强化对媒体自由的保护域外观察 | 美-荷-日半导体出口管制协议“可窥一斑”中心研究|从最高检发布的典型案例看如何保护生物识别信息域外观察|美国发布《促进数据共享与分析中的隐私保护国家战略》域外观察|欧盟委员会发布2023-2024年数字欧洲工作计划动态观察|欧盟成员国GDPR重点执法案例汇编(2023.03)月度热点 | 国际ICT立法跟踪3月热点域外观察|ChatGPT遭遇数据泄露,人工智能安全如何保证?域外观察|国外隐私增强技术监管和实践域外观察 | 欧洲数字身份提案最新进展专家解读|推进依法行政 护航数字经济高质量发展域外观察|美国商会发布《人工智能委员会报告》专家解读|新时代网络法治建设稳步推进 制度体系持续完善专家解读|《新时代的中国网络法治建设》彰显网络法治建设是全面依法治国的题中应有之义月度热点|国际ICT立法跟踪2月热点
动态观察|欧盟成员国GDPR重点执法案例汇编(2023.02)动态观察|欧盟成员国GDPR重点执法案例汇编(2023.01)域外观察|美国CSIS发布《投资于联邦网络弹性》报告域外观察|美智库研究认为两类网络安全问题值得关注
中心研究|《个人信息出境标准合同办法》出台,具体场景适用可参考欧盟成熟经验中心研究|欧盟发布《医疗数据空间条例》,为重点行业数据共享提供经验域外观察|联合国发布《隐私增强技术指南》中心研究|我国主要立法中数据处理者相关评估义务规定研究域外观察|瑞典发布一份欧盟《数据法案》妥协方案域外观察|ITIF发布《不损害人工智能创新发展的十项监管原则》报告域外观察|美国NIST发布《人工智能风险管理框架》年度观察|2022年网络法治盘点与回顾(一):数据治理篇年度观察|2022年网络法治盘点与回顾(二):数字平台篇
年度观察|2022年网络法治盘点与回顾(三):数字内容篇
年度观察|2022年网络法治盘点与回顾(四):数字安全篇
中心会议│第六届互联网法律研讨会在京顺利召开中心研究 | 美欧之间能否再次顺利签署跨大西洋数据流动协议?中心研究|2022年美国ICT领域重要立法进展
中心研究|印尼《个人数据保护法》能否为全球数据跨境流动探索出替代数据本地化的新路径?
中心研究|《数字市场法》案例梳理系列—(一)谷歌购物案
中心研究 | 《个人信息保护法》实施一周年观察之数据保护带来的成本究竟几何中心研究 | 我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》,加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察 | 欧盟《网络弹性法案》研究报告域外观察|亚太地区数据保护法律中有关“个人数据处理的合法性基础”的比较分析
域外观察|爱尔兰DPC针对Meta爱尔兰公司的数据泄露问题做出决定
域外观察|美国出口管制政策真的能扼制中国AI发展未来吗?域外观察 | 印度个人数据保护法案为何历经四度更迭?(附最新版法案译文)
域外观察|国外聚焦“黑暗模式”探索监管路径域外观察|欧洲数据保护委员会发布新版《数据控制者、处理者识别牵头监管机构指南》专家解读|加快规范深度合成技术应用