欧盟的ChatGPT任务组首次解开AI聊天机器人的隐私合规问题 | TechCrunch

一个数据保护任务组花费了一年多时间考虑欧盟数据保护规则如何适用于OpenAI的病毒聊天机器人ChatGPT，周五报告了初步结论 (opens new window)。最重要的结论是，隐私执法者的工作组对关键法律问题，如OpenAI的处理的合法性和公平性仍未达成一致意见。

这个问题很重要，因为确认违反该地区隐私制度的处罚可达到全球年营业额的4%。监管机构还可以下令停止不符合规定的处理。因此，理论上，OpenAI在该地区面临着相当大的监管风险，而此时该地区的人工智能法律规定很少（即使在欧盟的情况下 (opens new window)，也需要数年才能完全运作）。

但是如果欧盟数据保护执法者没有明确说明当前数据保护法律如何适用于ChatGPT，那么OpenAI将有可能继续像往常一样经营业务——尽管越来越多的投诉指出其技术违反了欧盟的《一般数据保护条例》（GDPR）的各个方面。

例如，波兰数据保护机构（DPA）的调查 (opens new window)是在收到有关聊天机器人捏造个人信息并拒绝更正错误的投诉后开展的。最近奥地利也提出了类似的投诉 (opens new window)。

从理论上讲，每当收集和处理个人数据时，GDPR都适用——OpenAI的GPT这样的大型语言模型（LLMs），即ChatGPT背后的AI模型，在训练模型时显然会通过从公共互联网上抓取数据来进行大规模处理，包括从社交媒体平台上获取人们的帖子。

欧盟法规还授权数据保护机构下令停止任何不符合规定的处理。如果GDPR执法者选择这样做，这可能成为塑造ChatGPT背后的AI巨头在该地区运作方式的一个非常强大的杠杆。

事实上，我们在去年 (opens new window)看到了这一点，当时意大利的隐私监管机构对OpenAI实施了暂时禁止处理ChatGPT本地用户数据的禁令。这一行动是根据GDPR中的紧急权力采取的，导致这家人工智能巨头暂时关闭了该国的服务。

ChatGPT在意大利只有在OpenAI根据意大利DPA的一系列要求 (opens new window)对用户提供的信息和控制进行更改后才恢复。但是对聊天机器人的意大利调查，包括OpenAI声称为首次训练其AI模型处理人们数据的法律依据等关键问题，仍在继续。因此，在欧盟地区，该工具仍处于法律云下。

根据GDPR，任何希望处理个人数据的实体都必须为该操作确立法律依据。该规定列出了六种可能的依据——尽管大多数在OpenAI的背景下不可用。意大利DPA已经指示 (opens new window)AI巨头不能依赖声称处理人们数据为训练其AI所需的合同必要性——它只剩下两种可能的法律依据：要么是同意（即请求用户允许使用其数据）；要么是一种称为合法利益（LI）的广泛依据，它需要进行权衡测试，并要求控制器允许用户反对处理。

自意大利介入以来，OpenAI似乎已经转而声称为处理用于模型训练的个人数据拥有合法利益。然而，在一月份 (opens new window)，DPA对其调查的草案决定发现OpenAI违反了GDPR。虽然草案调查结果没有公布细节，因此我们尚未看到有关法律依据问题的权威评估。有关投诉的最终决定仍待定。

ChatGPT合法性的精确“修复”？

任务组的报告讨论了这一棘手的合法性问题，指出ChatGPT需要一个有效的合法依据来处理所有阶段的个人数据处理——包括收集培训数据；数据的预处理（例如过滤）；训练本身；提示和ChatGPT输出；以及任何关于ChatGPT提示的训练。

任务组列出的前三个阶段被称为“特殊风险”，报告强调了网页抓取的规模和自动化如何导致大量个人数据被摄入，涵盖了人们生活的许多方面。报告还指出，抓取的数据可能包括最敏感类型的个人数据（GDPR称之为“特殊类别数据”），如健康信息、性取向、政治观点等，这要求对处理的法律门槛比一般个人数据更高。

关于特殊类别数据，任务组还断言，仅仅因为它是公开的，并不意味着可以认为它是“明显”公开的——这将触发GDPR关于明确同意处理这种类型数据的要求的例外。 （“为了依赖GDPR第9（2）（e）条规定的例外情况，重要的是要确定数据主体是否有意通过明确和明确的积极行动使有关个人数据对一般公众可访问，”任务组在此写道。）

要依赖LI作为其一般的法律基础，OpenAI需要证明需要处理数据；处理还应限于对这种需求必要的范围；并且它必须进行平衡测试，权衡其在处理中的合法利益与数据主体（即数据所涉及的人）的权利和自由。

在这里，任务组提出另一种建议，写道“适当的保障措施”——如“技术措施”，定义“精确的收集标准”和/或阻止某些数据类别或源（如社交媒体档案）的数据，以允许减少首次收集的数据量，以降低对个人的影响——可以“将权衡测试转为有利于控制者”，正如它所说。

这种方法可能迫使人工智能公司更加谨慎地处理他们收集的数据，以限制隐私风险。

任务组还建议，“在训练阶段之前应制定删除或匿名化通过网页抓取收集的个人数据的措施”。

OpenAI还试图依赖LI来处理ChatGPT用户的提示数据以进行模型训练。在这方面，报告强调了用户需“明确和可证明地被告知”此类内容可能用于训练目的——指出这是权衡测试中的一个因素。

评估投诉的各个DPA将决定这家人工智能巨头是否满足了实际上能够依赖LI的要求。如果不能，ChatGPT的制造商将在欧盟地区只剩下一个法律选择：向公民征求同意。鉴于训练数据集中可能包含许多人的数据，目前尚不清楚这是否可行。与此同时，该人工智能巨头与新闻发布商达成快速许可其新闻 (opens new window)的交易，也不会转化为。 公平性和透明度不可选

在GDPR的公平原则方面，该特别工作组的报告强调隐私风险不能转嫁给用户，例如通过在条款和条件中嵌入“数据主体对其聊天输入负责”的条款。

“OpenAI仍然有责任遵守GDPR，并不应该辩称某些个人数据的输入在第一时间是被禁止的，”报告补充道。

在透明义务方面，该特别工作组似乎认可OpenAI可以利用豁免权（GDPR第14条（5）（b））通知个人有关收集的数据，鉴于获取数据集进行LLMs训练所涉及的网络抓取规模。但报告重申了告知用户他们的输入可能被用于训练目的的“特别重要性”。

报告还触及了ChatGPT“产生幻觉”（虚构信息）的问题，警告称GDPR“数据准确性原则必须遵守”，并强调OpenAI因此必须提供有关聊天机器人的“概率输出”及其“有限的可靠性”的“适当信息”。

特别工作组还建议OpenAI向用户提供一个“明确的参考”，即生成的文本“可能存在偏见或虚构”。

关于数据主体权利，例如纠正个人数据的权利，这已经成为了一些有关ChatGPT的GDPR投诉的焦点。报告将其描述为“迫切的”，人们必须能够轻松行使他们的权利。报告还观察到OpenAI当前方法的局限，包括它不允许用户更正有关他们生成的不正确个人信息，而只提供阻止生成的选择。

然而，特别工作组并没有明确指导OpenAI如何改进其向用户提供行使数据权利的“方式”，它只是提出了一项一般性建议，即公司应“采取适当的措施，设计有效实施数据保护原则的措施”并提供“必要的保障”以满足GDPR的要求并保护数据主体的权利。这听起来很像“我们也不知道如何解决这个问题”。

ChatGPT特别工作组是在2023年4月 (opens new window)成立的，紧随意大利对OpenAI的干预之后，旨在简化对这项新兴技术的欧盟隐私规则的执行。该特别工作组在一个名为欧洲数据保护委员会（EDPB）的监管机构内运作，该机构引导欧盟法律在这一领域的应用。尽管值得注意的是，数据保护当局仍然独立，有权在其自己的领域内执行法律，GDPR的执行是分散的。

尽管DPAs在本地保持独立执行的权力，但显然监管机构对如何应对像ChatGPT这样的新兴技术存在一定的紧张和风险规避。

今年初，当意大利数据保护局宣布其初步决定时，它特别指出其行动将“考虑到”EDPB特别工作组的工作。还有其他迹象表明，监管机构可能更倾向于等待工作组发表最终报告，可能会在另一年的时间内发布，然后再根据自己的情况进行调查。因此，特别工作组的存在可能已经通过延迟决策和将投诉调查放缓来影响对OpenAI聊天机器人的GDPR执行。

例如，在最近的当地媒体采访中 (opens new window)，波兰的数据保护当局暗示，它对OpenAI的调查需要等待特别工作组完成工作。

当我们询问监管机构是否因为ChatGPT特别工作组的平行工作而推迟执行时，并未得到回应。欧洲数据保护委员会的发言人告诉我们，特别工作组的工作“并不影响各数据保护当局就各自正在进行的调查所做的分析”。但他们补充说：“尽管数据保护当局有权执行，但欧洲数据保护委员会在促进数据保护当局间合作方面发挥了重要作用。”

目前，数据保护当局在对待ChatGPT的担忧方面存在着极大的观点差异。因此，尽管意大利的监管机构去年以其迅速介入而成为新闻头条，但爱尔兰（现任）数据保护专员海伦·迪克森在2023年的一次彭博会议上表示，DPAs不应急于禁止ChatGPT，而是需要花时间找到“如何适当监管”的方法。

OpenAI去年秋天在爱尔兰设立了欧盟业务并不是巧合。此举在去年12月是悄悄进行的，其条款和条件进行了更改，命名了其新的爱尔兰实体OpenAI Ireland Limited，作为ChatGPT等服务的区域提供者，建立了一种结构，使得这家人工智能巨头能够申请爱尔兰数据保护委员会（DPC）成为其GDPR监督的主管机构。

这种以监管风险为重点的法律重组似乎已经为OpenAI带来了回报，因为EDPB ChatGPT特别工作组的报告表明，该公司已于今年2月15日被授予主要机构地位，使其能够利用GDPR中称为一站式窗口（OSS）的机制，这意味着自那时起产生的任何跨境投诉将通过主要机构所在国家的主管DPA（即在OpenAI的情况下是爱尔兰）进行处理。

尽管这一切听起来有点复杂，基本上意味着这家AI公司现在可以避免进一步分散的GDPR执行风险，就像我们在意大利和波兰看到的一样，因为将是爱尔兰DPC将决定调查哪些投诉，以及如何和何时前进。

爱尔兰监管机构以对大型科技公司执行GDPR的友好方式而闻名。换句话说，“大型人工智能”可能是下一个受益者，从都柏林解释该地区的数据保护规则。

截至发稿时，已联系OpenAI以回应EDPB特别工作组的初步报告，但尚未收到回复。