意大利数据保护机构对其人工智能聊天机器人 ChatGPT 进行了数月的调查后,OpenAI 被告知涉嫌侵犯欧盟隐私。
意大利当局调查结果草案的细节尚未披露。 但 Garante 今天表示,OpenAI 已收到通知,并有 30 天的时间对指控做出回应并进行辩护。
确认违反泛欧盟制度的行为可能会被处以最高 2000 万欧元的罚款,即全球年营业额的 4%。 对于像 OpenAI 这样的人工智能巨头来说,更令人不安的是,数据保护机构 (DPA) 可以发布命令,要求改变数据处理方式,以结束已确认的违规行为。 因此,它可能被迫改变其运作方式。 或者将其服务从欧盟成员国中撤出,因为这些国家的隐私当局试图强加其不喜欢的改变。
我们联系了 OpenAI,要求其对 Garante 的违规通知做出回应。 如果他们发送声明,我们将更新此报告。
更新:OpenAI 说:
我们相信我们的做法符合 GDPR 和其他隐私法,并且我们采取额外措施来保护人们的数据和隐私。 我们希望我们的人工智能能够了解世界,而不是个人。 我们积极努力减少训练 ChatGPT 等系统时的个人数据,该系统也拒绝提供有关人员的私人或敏感信息的请求。 我们计划继续与 Garante 进行建设性合作。
AI模型训练框架内的合法性
去年,意大利当局对 OpenAI 遵守欧盟《通用数据保护条例》(GDPR) 的情况表示担忧,当时它下令暂时禁止 ChatGPT 的本地数据处理,导致该人工智能聊天机器人在市场上暂时被暂停。
Garante 于 3 月 30 日向 OpenAI 提供的条款,又名“措施登记册”,强调了为训练 ChatGPT 算法而收集和处理个人数据缺乏适当的法律依据; 以及人工智能工具“产生幻觉”的倾向(即它有可能产生有关个人的不准确信息)——这是当时值得关注的问题之一。 它还将儿童安全标记为一个问题。
总之,当局表示怀疑 ChatGPT 违反了 GDPR 第 5、6、8、13 和 25 条。
尽管列出了一系列涉嫌违规行为,但在采取措施解决 DPA 提出的一些问题后,OpenAI 去年还是能够相对较快地恢复 ChatGPT 在意大利的服务。 不过,意大利当局表示将继续调查涉嫌违规行为。 目前已得出初步结论,该工具违反了欧盟法律。
虽然意大利当局尚未表示现阶段已确认之前疑似的 ChatGPT 违规行为中的哪一项,但 OpenAI 声称处理个人数据以训练其人工智能模型的法律依据似乎是一个特别关键的问题。
这是因为 ChatGPT 是使用从公共互联网上抓取的大量数据(其中包括个人的个人数据)开发的。 而OpenAI在欧盟面临的问题是,处理欧盟人的数据需要有有效的法律依据。
GDPR 列出了六种可能的法律依据——其中大多数与其上下文无关。 去年 4 月,Garante 要求 OpenAI 删除 ChatGPT 模型训练中“履行合同”的内容,只剩下两种可能性:同意或合法利益。
鉴于这家人工智能巨头从未寻求获得数以百万计(甚至数十亿)网络用户的同意,其信息被摄取和处理以用于人工智能模型构建,任何声称其已获得欧洲人许可进行处理的尝试都将被视为是错误的。 注定要失败。 当 OpenAI 去年在 Garante 介入后修改其文档时,它似乎正在寻求依赖合法利益的主张。 然而,这一法律依据仍然要求数据处理者允许数据主体提出异议,并停止对其信息的处理。
OpenAI 如何在其人工智能聊天机器人的背景下做到这一点是一个悬而未决的问题。 (理论上,它可能会要求它撤回并销毁非法训练的模型,并在训练池中没有反对个人的数据的情况下重新训练新模型 – 但是,假设它甚至可以识别每个人的所有非法处理的数据,它会 需要对每个要求其停止的反对欧盟人士的数据执行此操作……这,呃,听起来很昂贵。)
除了这个棘手的问题之外,还有一个更广泛的问题:Garant最终是否会得出结论,在这种情况下,合法利益是否是有效的法律依据。
坦率地说,这看起来不太可能。 因为LI并不是一场混战。 它要求数据处理者平衡自己的利益与正在处理数据的个人的权利和自由,并考虑诸如个人是否预期他们的数据会被这样使用等问题; 以及它可能对他们造成不合理的伤害。 (如果他们没有预料到,并且存在造成此类伤害的风险,则 LI 将不会被视为有效的法律依据。)
处理也必须是必要的,数据处理者没有其他侵入性较小的方式来实现其目的。
值得注意的是,欧盟最高法院此前已认定合法利益是 Meta 为在其社交网络上运营其行为广告业务而对个人进行跟踪和分析的不适当依据。 因此,另一种类型的人工智能巨头试图证明大规模处理人们的数据以建立商业生成人工智能业务的合理性,这一概念存在一个很大的问号——特别是当相关工具为指定个人产生各种新风险时(来自 虚假信息和诽谤、身份盗窃和欺诈等)。
Garante 的一位发言人证实,为模型训练处理人们数据的法律依据仍然存在疑似 ChatGPT 违反的情况。 但他们目前尚未确认 OpenAI 怀疑违反了哪一篇(或多篇)文章。
该机构今天的声明也还不是最终决定,因为它还将等待 OpenAI 的回应,然后再做出最终决定。
以下是 Garante 的声明(我们使用人工智能从意大利语翻译而来):
【意大利数据保护局】已向运营ChatGPT人工智能平台的公司OpenAI通报其违反数据保护法规的反对通知。
在 Garante 于 3 月 30 日对该公司采取临时限制处理令之后,根据初步调查的结果,管理局认为所获得的要素可能构成一项或多项与以下规定有关的非法行为: 欧盟法规。
OpenAI 将有 30 天的时间就涉嫌违规行为提交辩护简报。
在确定程序时,Garante 将考虑由欧盟数据保护机构 (EDPB) 组成的理事会设立的特别工作组正在进行的工作。
去年夏天,OpenAI 还面临着关于 ChatGPT 在波兰 GDPR 合规性的审查,该投诉的重点是该工具生成有关个人的不准确信息的实例以及 OpenAI 对投诉人的回应。 该单独的 GDPR 调查仍在进行中。
与此同时,OpenAI 已寻求在爱尔兰建立实体基地,以应对整个欧盟不断上升的监管风险; 并于一月份宣布,该爱尔兰实体将成为未来欧盟用户数据的服务提供商。
它希望通过这些举措在爱尔兰获得所谓的“主要机构”地位,并转而通过该法规的一站式机制,由爱尔兰数据保护委员会领导对其 GDPR 合规性进行评估,而不是(像现在这样) ) 其业务可能会受到 DPA 在欧盟任何地方的监督,因为其工具有本地用户。
然而 OpenAI 尚未获得这一地位,因此 ChatGPT 仍可能面临欧盟其他地方 DPA 的其他调查。 而且,即使获得了这一地位,意大利的调查和执法也将继续,因为相关数据处理先于其处理结构的变化。
正如 Garante 的声明所指出的那样,欧盟数据保护当局已通过欧洲数据保护委员会成立了一个工作组,考虑如何将 GDPR 适用于聊天机器人,从而协调对 ChatGPT 的监督。 这项(正在进行的)努力最终可能会在离散的 ChatGPT GDPR 调查(例如意大利和波兰的调查)中产生更加协调的结果。
然而,当局仍然独立并有能力在自己的市场上做出决定。 因此,同样,不能保证任何当前的 ChatGPT 探测器都会得出相同的结论。
(谷歌翻译:ChatGPT is violating Europe’s privacy laws, Italian DPA tells OpenAI)
