OpenAI在欧盟面临另一项隐私投诉。这项投诉由隐私权非营利组织noyb代表一个个人投诉人提出,针对其AI聊天机器人ChatGPT生成关于个人的错误信息无法进行更正的问题。
GenAI工具产生错误信息的倾向已经得到充分记录。但这也使得这项技术与欧盟的《一般数据保护条例》(GDPR)发生冲突,该条例规定了如何处理区域用户个人数据。
GDPR合规失败的处罚可达全球年营业额的4%。对于像OpenAI这样资源雄厚的巨头而言更为重要的是:数据保护监管机构可以命令更改信息处理方式,因此GDPR的执行可能重新塑造生成式AI工具在欧盟的运作方式。
OpenAI已经被意大利数据保护机构强制进行了一些更改,该机构曾通过一项早期干预,曾短暂强制ChatGPT在2023年 (opens new window)进行本地关闭。
现在,noyb代表一位未透露姓名的投诉人,提出了针对ChatGPT的最新GDPR投诉,向奥地利数据保护机构投诉,称AI聊天机器人为他们生成了一个不正确的生日。
根据GDPR,欧盟人有一系列与其信息相关的权利,包括有权更正错误数据。noyb认为OpenAI未能遵守该义务,未能对其聊天机器人的输出进行更正。该组织表示,公司拒绝了投诉人更正错误生日的请求,并回应称技术上无法进行更正。
相反,它提议过滤或阻止某些提示中的数据,例如投诉人的姓名。
OpenAI的隐私政策 (opens new window)规定,用户如果发现AI聊天机器人生成“关于您的事实不准确的信息”,可以通过privacy.openai.com (opens new window)提交“更正请求”或通过发送电子邮件至[email protected]。然而,它在警告中对此进行了限制:“鉴于我们的模型运作的技术复杂性,我们可能无法在每种情况下进行更正”。
在这种情况下,OpenAI建议用户要求将其个人信息完全从ChatGPT的输出中删除 - 通过填写一个网络表单 (opens new window)。
对于AI巨头而言,GDPR权利不是可任选的。欧洲人有权要求更正。他们也有权要求删除自己的数据。但正如noyb指出的那样,OpenAI不能选择这些权利中的哪些是可用的。
投诉的其他内容集中在GDPR透明度方面的担忧,noyb认为OpenAI无法说明生成的关于个人的数据来源或聊天机器人存储的关于人们的数据。
这是重要的,因为再次强调,该法规赋予个人一项通过提出所谓的主体访问请求(SAR)请求此信息的权利。根据noyb的说法,OpenAI没有充分回应投诉人的SAR,未能披露任何关于所处理的数据、其来源或接收者的信息。
在一份声明中对投诉发表评论时,noyb的数据保护律师Maartje de Graaf表示:“编造虚假信息本身就是相当严重的问题。但当涉及到个人的虚假信息时,可能会有严重后果。很明显,目前公司无法使ChatGPT等聊天机器人遵守有关处理个人数据的欧盟法律。如果一个系统无法产生准确和透明的结果,就不能用来生成有关个人的数据。技术必须遵循法律要求,而不是相反。”
公司表示,它要求奥地利数据保护机构调查有关OpenAI数据处理的投诉,并敦促其处以罚款以确保未来的合规。但它补充说,该案件“可能”将通过欧盟合作来处理。
OpenAI在波兰面临着非常相似的投诉。去年9月, (opens new window)当地数据保护机构根据一名隐私和安全研究人员的投诉 (opens new window)展开了对ChatGPT的调查,该研究人员还发现他无法要求OpenAI更正关于他的错误信息。该投诉还指责这家AI巨头未能遵守该法规的透明度要求。
与此同时,意大利数据保护机构仍在对ChatGPT展开调查。今年1月, (opens new window)它发布了一份草案决定,当时表示认为OpenAI在多个方面违反了GDPR,包括聊天机器人产生关于人们的错误信息的倾向。调查结果还涉及其他关键问题,比如处理的合法性。
意大利机构要求OpenAI在一个月内回应其调查结果。最终决定仍在等待中。
现在,随着另一项针对其聊天机器人的GDPR投诉,OpenAI面临在不同成员国遭受一系列GDPR执法行动的风险增加。
去年秋季, (opens new window)该公司在都柏林开设了一个区域办事处 - 这一举措看起来旨在通过让隐私投诉通过爱尔兰数据保护委员会来处理,利用GDPR中的一项机制,该机制旨在通过将跨境投诉集中在一个“主要设立”的成员国机构,以降低其监管风险。