其他
盘点各国AI监管政策和落实情况,探讨AI大模型应用的数据隐私问题走向
The following article is from 合规小叨客 Author 数保前线
自ChatGPT“横空出世”以来,AIGC(AI-Generated Content,生成式人工智能,以下简称AIGC)引发了全球范围内多方监管机构的高度关注,美国联邦贸易委员会(FTC)主席称,生成式AI将是“高度破坏性的”,FTC将在该领域进行严格执法。[1]在数据隐私合规领域,意大利数据保护监管机构(GARANTE PER LA PROTEZIONE DEI DATI PERSONALI,以下简称GPDP)打响了国别监管的“第一枪”——GPDP于2023年3月31日宣布全面禁用ChatGPT,并禁止OpenAI处理意大利用户数据。随后多国数据保护监管机构宣布对ChatGPT开展调查:4月3日,德国表示也在考虑禁用ChatGPT。法国、爱尔兰也纷纷采取措施,包括但不限于与意大利研讨执法相关事项,西班牙则要求欧盟数据保护委员会(EDPB)评估ChatGPT隐私相关问题。4月4日,韩国个人信息保护委员会委员长表示正在调查ChatGPT韩国用户数据泄露情况。同日,加拿大宣布就数据安全问题调查OpenAI。4月13日,EDPB决定启动ChatGPT特设工作组。虽然ChatGPT不对中国大陆和香港提供服务,中国国家网信办亦于4月11日就AIGC在国内的研发和应用发布了《生成式人工智能服务管理办法》的征求意见稿。意大利禁用ChatGPT到恢复服务始末GPDP打响的国别监管第一枪,通过临时限制、全面禁用、违规调查、限期整改、解禁等系列措施,督促OpenAI在数据隐私方面达到合规要求,值得借鉴。以下是意大利禁用ChatGPT到恢复服务始末:3月30日,GPDP发布决定性文件,称ChatGPT违反个人数据保护规定,对ChatGPT数据处理行为采取临时限制。[2]3月31日,GPDP宣布全面禁用ChatGPT,限制OpenAI处理意大利用户信息,并对OpenAI非法收集用户数据开展调查。GPDP同时指出,3月20日,ChatGPT数据泄露事件导致了用户对话数据和付款服务支付信息丢失,并存在未向用户履行告知义务的前提下收集和处理用户数据等问题。OpenAI 在欧盟境内没有设立营业地点,但依据GDPR指定了欧洲经济区代表,其必须在 20 天内报告为执行GPDP要求而采取的措施,否则最高将面临2000 万欧元的罚款或高达年度全球营业额的 4%的罚款。[3]4月6日,GPDP发布文件称OpenAI表达了合作意愿,以期达成积极解决方案。4月5日晚,OpenAI与GPDP举行会议,出席会议的人员有OpenAI 的 CEO、监事会成员、两名副总法律顾问、公共策略负责人。OpenAI承诺将于4月6日前向GPDP提供文件以说明将采取的措施,包括但不限于增强数据主体权利行使机制、增强个人数据使用的透明度、对未成年人采取保障措施等,并要求撤销临时限制处理决定。GPDP强调,无意阻止人工智能和技术创新的发展,旨在保护意大利和欧洲公民个人数据,并重申尊重数据保护规则的重要性。[4]4月12日,GPDP围绕数据隐私安全问题向OpenAI提出了一系列要求,包括但不限于公开ChatGPT的数据处理逻辑、对用户年龄进行筛查、明确告知数据主体拥有的权利等。GPDP称,若OpenAI在4月30日前落实上述措施,其面临的暂时限制将会被解除,ChatGPT有机会于意大利重新上线。[5]4月28日,OpenAI致函GPDP,阐述了其为遵守GPDP 发布的命令而实施的系列措施,包括但不限于将隐私信息通知扩大到欧洲用户和非用户,修改和澄清了若干机制,提供了易操作、无障碍的用户行权解决方案,使用户和非用户均能行使权利。基于这些改进,ChatGPT恢复了服务。[6]GPDP表示认可OpenAI在协调技术进步和尊重个人权利方面所采取的措施,并希望该公司持续遵守欧洲数据保护法,遵守其他尚未落实的要求和未来进一步的要求,尤其是采取年龄验证措施,规划和开展宣传活动,告知意大利公众所发生的事情,以及他们有权选择拒绝处理其个人数据用于训练算法。GPDP将在EDPB成立的特设工作组的支持下,继续开展对OpenAI的调查活动。ChatGPT违规行为、对应合规整改命令及落实情况分析梳理GPDP在整个调查过程中发布的系列决定、违规行为认定、执法依据的条款、提出的整改命令,以及ChatGPT所采取的整改行动如下:
脚注
[1] The New York Times.Lina Khan:We Must Regulate A.I. Here’s How〔J/OL〕.https://www.nytimes.com/2023/05/03/opinion/ai-lina-khan-ftc-technology.html?searchResultPosition=3[2] GPDP Provision of March 30, 2023〔EB/OL〕.https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9870832[3]Artificial intelligence: stop to ChatGPT by the Italian SA Personal data is collected unlawfully, no age verification system is in place for children〔EB/OL〕.https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9870847[4]ChatGPT: OpenAI collaborates with the Privacy Guarantor with commitments to protect Italian users〔EB/OL〕.https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9872832[5]ChatGPT: Italian SA to lift temporary limitation if OpenAI implements measures 30 April set as deadline for compliance〔EB/OL〕.https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9874751[6]ChatGPT: OpenAI reinstates service in Italy with enhanced transparency and rights for european users and non-users〔EB/OL〕.https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9881490[7] 事实上,对于“儿童”的界定,各国根据其文化传统和立法需求存在较大差异,美国COPPA的主要保护对象为13周岁以下的儿童,欧盟《通用数据保护条例》允许各成员国保留设定本国受规定保护儿童年龄的权限——在13至16周岁之间,此外韩国14周岁,日本18周岁,澳大利亚13周岁,因此从各国立法规定来看,通常将保护对象限定于13至16岁之间,例外情况做特殊提示。
END
往期推荐01附下载丨《2023年中国网络安全市场全景图》发布02信息安全第一!2022届本科生毕业薪酬排行出炉!03支付卡行业数据安全标准PCI DSS 4.0最新解读