文 | 《财经》记者 姚佳莹
编辑 | 郭丽琴
继意大利宣布“封杀”ChatGPT之后,加拿大宣布就数据安全问题调查ChatGPT背后的公司OpenAI。
当地时间4月4日,据加拿大隐私专员办公室(Office of the Privacy Commissioner,OPC)官网信息,OPC宣布开始调查OpenAI,涉及“OpenAI未经同意收集、使用和披露个人信息”的指控。隐私专员Philippe Dufresne表示,对于隐私的关注需要跟上、甚至领先于快速发展的技术。
欧盟国家已有动向。当地时间4月3日,德国联邦数据保护专员Ulrich Kelber在德国《商报》中表示,出于对数据安全问题的考量,德国存在暂时禁止使用ChatGPT的可能性。
当地时间3月31日,意大利个人数据保护局(Garante per la protezione dei dati personali,GPDP)宣布,即日起暂时禁止ChatGPT的使用,同时,对ChatGPT背后的OpenAI公司展开调查,限制其处理意大利的用户信息。同一时间,作为回应,OpenAI已在意大利下线了ChatGPT的相关服务。
GPDP认为,3月20日,ChatGPT出现用户对话数据和付款服务支付信息丢失的情况,平台没有就处理用户信息情况进行告知,缺乏大量收集和存储个人信息的法律依据。
据Kelber介绍,德国联邦数据保护机构已要求意大利监管机构提供其禁止ChatGPT的进一步信息。
尽管暂无其他国家宣布关于ChatGPT的限制性措施,但意大利对ChatGPT的禁用显然已在世界范围内引起关注。北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括向《财经》表示,意大利封禁ChatGPT所主张的对于个人信息安全的考量,对欧洲其他国家甚至世界范围内进一步推动对ChatGPT的监管将产生很大影响,可能会引起连锁效应,“其他国家很可能跟进”。
更多欧洲国家禁用ChatGPT?
除了个人信息安全的考量,GPDP还对OpenAI忽略用户年龄审查表达了担忧。
OpenAI于2023年3月14日更新用户使用条款,规定用户必须年满13岁才能使用OpenAI及附属公司的服务,如果未满 18 岁,必须获得父母或法定监护人的许可才能使用服务。
GPDP指出,尽管OpenAI发布了年龄限制的规定,但并未对用户做年龄验证,考虑到ChatGPT的发展程度和自我意识,未成年人在使用时可能接触到不合适其浏览的回复内容。
GPDP 要求OpenAI在 20 天内,通过其在欧洲的代表对GPDP的相应指控做出回应,否则将被处以2000 万欧元或全球年营业额4%的罚款。同时,GPDP 称,OpenAI 需证明已解决GPDP发现的问题,封禁方会解除。
在意大利宣布关于ChatGPT的“禁令”后,除了德国外,法国和爱尔兰亦表现出对该事件走向的关注。公开消息显示,两个国家的隐私监管机构表示,已与意大利数据监管机构联系,讨论其调查结果。瑞典监管机构则称,暂无禁止ChatGPT的计划。
为何是意大利率先对ChatGPT说“不”?
吴沈括指出,意大利的个人信息保护主要依据本国的《个人数据保护法》,同时也遵循欧盟的统一立法,特别是通用数据保护条例(GDPR)。总体的个人信息保护特点是位阶高、效力高、处罚水平高,同时保持与欧盟统一立法的高度一致。
吴沈括进一步表明,在欧盟的个人数据保护生态中,意大利具有举足轻重的地位。首先,意大利在欧洲个人数据保护机制的设计和落地中,贡献了很多具有意大利特色的方案,例如关于科研数据处理的一般许可机制,便属于比较突出的意大利特色机制设计;其次,欧盟个人数据保护领域的权威学者、监管机构中的高级别人士中,意大利籍占据的比例较高,如GDPR国际谈判首席代表是意大利人;此外,意大利在个人数据监管执法的案例典型,数量多,处罚力度高。“比如意大利是迄今为止世界上唯一动用刑事处罚谷歌高管的国家”。吴沈括表示。
2006年,一名唐氏综合症少年被4名青年殴打的视频在谷歌上传播,尽管谷歌在收到意大利政府删除视频的通知后,已配合删除视频,但2008年7月,意大利有关部门仍对谷歌4名高管提起刑事诉讼。2010年,意大利法院裁决,谷歌放任该视频传播,触犯了意大利关于个人隐私的法律规定,由此判处谷歌4位高管半年监禁,缓期执行,其中便包括谷歌负责全球范围个人隐私事务的法律顾问。
吴沈括表示,此次意大利封禁ChatGPT所主张的对于个人信息安全的考量,对整个欧洲下一步监管将产生很大影响。他认为,由于意大利所提出的OpenAI在个人数据处理当中的违法事由,在欧盟法的一般框架下是成立的,所以“其他国家很可能会跟进,甚至引起欧盟层面的高度关注,运用一站式解决机制统一对GPT应用场景做出规定或者树立执法案例。”吴沈括表示。
缘起数据丢失事件
意大利开出“禁令”的导火索是今年3月,ChatGPT的一次用户对话数据丢失事件。
当地时间3月20日,多名ChatGPT用户在Reddit等互联网平台上发帖称,其账号下的聊天历史栏出现了他人的聊天记录。3月21日,OpenAI回应表示,已暂时下线聊天历史功能,并强调发生泄漏的只涉及聊天历史的标题,用户无法看到他人的详细聊天内容。
3月23日,OpenAI首席执行官Sam Altman在社交媒体表示,此次严重问题是由开源代码库的一个程序错误导致,会有小部分用户可以看到其他用户的聊天记录标题。目前开发团队已发布修复程序,并完成验证。
该事件引发了对ChatGPT数据处理的普遍忧虑。
根据OpenAI的隐私政策,ChatGPT收集的数据包括用户账户信息、输入或上传的内容、通信信息、日志数据、使用数据、设备信息等,如果社交媒体上搭载了ChatGPT功能,还会收集社交媒体信息。
关于如何使用个人信息,隐私政策包括:提供、管理、维护、改进和分析服务;进行研究;开发新的项目和服务等,但OpenAI亦强调,将以匿名或去识别化的形式维护和使用去识别化信息,不会尝试重新识别信息。
浙江大学计算机科学与技术学院教授、中国人工智能学会智能创意与数字艺术专业委员会委员汤斯亮向《财经》表示,ChatGPT确实在收集个人数据时,存在数据泄露的可能性。目前ChatGPT的数据存储周期并不明晰,存在黑客侵入造成的数据泄露风险;另外,若OpenAI不当使用存储信息,也可能造成数据泄露。
“如果在训练时加入了个人隐私数据,而后续的安全机制又未能过滤这部分数据,那么通过提问和引导,ChatGPT便可能输出涉及这部分数据的回答。”汤斯亮说。
但汤斯亮同时表示,虽然ChatGPT收集了个人数据,但大部分数据未必可以用来训练ChatGPT。用于ChatGPT训练的高质量语料强调逻辑性,如代码和学术文献,而其他大部分对话语料在训练时会被筛除,“如果你把身份证号码告诉它,它可能只是存储,即使真的记住了身份证号码,这段信息在ChatGPT庞大如45TB的语料中,日后被用以生成回答的概率也是极小的。”汤斯亮说。
ChatGPT的横空出世,也打乱了欧盟对《人工智能法案》的推进节奏。
欧盟委员会(European Commission)、欧洲议会(European Parliament)和欧盟理事会(European Council)在2021年就提出了《人工智能法》(Artificial Intelligence Act)的草案,该草案系统阐述了人工智能的定义、禁止应用人工智能的领域、支持创新的举措等,旨在推动人工智能创新和发展的同时,保障公民的基本权利免受侵害。该草案还计划把人工智能的一些具体用途指定为“高风险”,将开发人员绑定到更严格的透明度、安全和人力监督要求上。按照流程,欧盟理事会于2022年12月批准了新版本的《人工智能法》草案,该法案将委托委员会为通用人工智能制定网络安全、透明度和风险管理要求。
此前,外界曾预计,该法案将于3月底在欧洲议会进行投票,届时各成员国将就法案的最终条款进行谈判。但分析人士认为,ChatGPT等生成式人工智能的话题在2月份的迅速崛起,在一定程度上扰乱了法案出台的节奏。
吴沈括表示,ChatGPT带来的立法挑战至少包括三个方面:第一,ChatGPT丰富多样的应用场景所反映的风险类型,风险等级存在不确定性,需要更多的时间观察其风险趋势;第二,ChatGPT所凸显的数据治理和人工智能治理之间的交叉融合,给原有的监管思路产生了极大冲击,其反映的数字生态更复杂,相关主体及业务链更多样,这意味着各方的权利义务和责任配置也需要更广泛的研判。
“今天的人工智能立法形势与欧盟当时草案形成的时期相较,已发生了很大变化”。