OpenAI已经成功安抚意大利数据机构,解除了该国对ChatGPT的禁令,但其与欧洲监管机构的斗争仍远未结束。
今年早些时候,OpenAI备受争议的ChatGPT聊天机器人遇到了一个重大的法律障碍:它在意大利被禁止。意大利数据保护机构(GPDP)指控OpenAI违反欧盟数据保护法规,该公司同意在解决问题的同时限制在意大利访问该服务。4月28日,ChatGPT回国,OpenAI在没有对其服务进行重大改变的情况下,轻松解决了GPDP的担忧,这是一个明显的胜利。
GPDP欢迎ChatGPT做出的改变。然而,该公司的法律问题——以及那些构建类似聊天机器人的公司的法律问题——可能只是个开始。许多国家的监管机构正在调查这些人工智能工具如何收集和生成信息,列举的问题包括从公司收集未经授权的训练数据到聊天机器人倾向于传播误导信息。在欧盟,他们适用通用数据保护条例(GDPR),这是世界上最强有力的法律隐私框架之一,其影响可能远远超出欧洲。与此同时,欧盟立法者正在制定一部专门针对AI的法律,这很可能引领ChatGPT和其他系统的新时代法规。
ChatGPT因其误导性信息、版权和数据保护而成为众矢之的。ChatGPT是生成AI最流行的例子之一,它是一个通用术语,涵盖了根据用户提示生成文本、图像、视频和音频等工具。据报道,它在2022年11月推出后仅两个月内就达到了1亿月活跃用户,成为历史上增长最快的消费应用之一(OpenAI从未证实过这些数字)。人们用它把文本翻译成不同的语言,写文章,生成代码。但包括监管机构在内的批评人士强调,ChatGPT的输出不可靠,版权问题令人困惑,数据保护做法不透明。
意大利是第一个采取行动的国家。3月31日,它指出了OpenAI违反GDPR的四种方式:允许ChatGPT提供不准确或误导性的信息,未能告知用户其数据收集做法,未能满足个人数据处理的六种可能的法律正当性,以及未能妥善阻止13岁以下的儿童使用该服务。GPDP命令OpenAI立即停止使用ChatGPT训练数据中收集的个人信息。
其他国家没有采取任何行动。但自3月以来,至少有三个欧盟国家(德国、法国和西班牙)对ChatGPT展开了自己的调查。与此同时,加拿大正在根据其个人信息保护和电子文件法案(PIPEDA)评估隐私问题。欧洲数据保护委员会(EDPB)甚至成立了一个特别工作组来帮助协调调查。如果这些组织要求OpenAI做出改变,他们可能会影响到向全球用户提供服务的操作。
监管机构的担忧可以大致分为两类:ChatGPT的训练数据来自哪里,以及OpenAI如何向其用户提供信息。
ChatGPT使用OpenAI的GPT-3.5和GPT-4大型语言模型(LLM),这些模型基于大量人类生成的文本进行训练。OpenAI对其使用的具体培训文本保密,但表示它依赖“各种许可证来创建和提供公开可用的数据源,其中可能包括公开可用的个人信息。」
这可能会给GDPR带来巨大的问题。该法律于2018年颁布,涵盖了所有收集或处理欧盟公民数据的服务,无论负责该服务的组织位于何处。GDPR规定,公司在收集个人数据之前必须获得明确的同意,为收集数据提供法律合理性,并透明地解释如何使用和存储数据。
欧洲监管机构声称,围绕OpenAI的训练数据的保密性意味着无法确认输入其中的个人信息是否最初是在用户同意的情况下提供的。GPDP特别指出,OpenAI从一开始就“没有法律依据”来收集这些信息。到目前为止,OpenAI和其他公司几乎没有受到审查,但这一声明给未来的数据捕获工作增加了一个大问题。
此外,GDPR的“被遗忘权”允许用户要求公司更正他们的个人信息或将其完全删除。OpenAI提前更新了隐私政策来推动这些需求,但在将特定数据分离到这些大型语言模型中后,处理起来可能会非常复杂,这引起了争议。OpenAI也直接从用户那里收集信息。和任何互联网平台一样,它收集各种标准的用户数据(如姓名、联系方式、银行卡详情等。).但是,更重要的是,它记录了用户与ChatGPT的交互。正如常见问题中所述,这些数据可以由OpenAI员工进行审查,并用于训练其模型的未来版本。考虑到人们在使用ChatGPT时问的私密问题——将机器人用作治疗师或医生——这意味着该公司正在收集各种敏感数据。
至少可能会从未成年人那里收集一些数据,因为OpenAI的政策规定“不会故意向13岁以下的儿童收集个人信息”,但没有严格的年龄确认门槛。对于不允许从13岁以下的人那里收集数据并且(在一些国家)要求16岁以下的未成年人获得父母同意的欧盟法规来说,这不是一个好政策。关于ChatGPT对未成年人的筛查,GPDP声称ChatGPT缺乏年龄筛查会暴露出未成年人接触到“完全不适合其成长和自我认知”的答案。OpenAI在使用这些数据方面有着广泛的自由,这让一些监管机构感到担忧,存储数据也存在安全风险。像三星和摩根大通这样的公司已经禁止员工使用AI生成工具,因为他们担心员工会上传敏感数据。事实上,在ChatGPT遭遇严重的数据泄露,暴露用户的聊天记录和电子邮件地址后,意大利宣布将禁用该应用。
ChatGPT提供错误信息的倾向也可能引发问题。GDPR法规规定,所有个人数据必须准确,GPDP的声明中强调了这一点。这可能会给大多数AI文本生成器带来麻烦,因为它们容易产生“错觉”:即对问题给出不正确或不相关的答案。在其他地方已经看到这种现象带来了一些现实的后果。澳大利亚一个地区的市长威胁要以诽谤罪起诉OpenAI,因为ChatGPT谎称自己因腐败入狱。ChatGPT的广泛应用和目前在AI市场的主导地位使其成为特别有吸引力的目标,但其竞争对手和合作伙伴,如谷歌的Bard或Azure AI的OpenAI,也可能面临审查。在ChatGPT之前,意大利也禁止聊天机器人平台Replika收集未成年人的信息,至今仍被禁止。虽然GDPR是一套强有力的法律,但它不是为解决人工智能特定问题而制定的。但是,一些能解决这些问题的规定,可能已经在视野范围之内了。
2021年,欧盟提交了人工智能法(AIA)的初稿,将与GDPR共同制定。该法案根据人们的风险评估来管理AI工具,从“最低”(如垃圾邮件过滤器)到“高”(用于执法或教育的AI工具)或“不可接受”,因此被禁止(如社会信用体系)。在去年像ChatGPT这样的大规模语言模型爆发后,立法者现在正在增加“基本模型”和“通用人工智能系统(GPAIs)”的规则——这是指包括LLM在内的大规模人工智能系统——并可能将其归类为“高风险”服务。
AIA的规定不仅超出了数据保护的范围。最近的一项修正案将迫使公司披露任何用于开发和生成人工智能工具的版权材料。这可能会暴露曾经保密的数据集,并使更多的公司容易受到侵权诉讼,这已经影响到了一些服务。
专门制定人工智能法规的法律可能要到2024年才能在欧洲生效,但可能需要一段时间才能达到。欧盟议员4月27日就AI法案达成临时协议。委员会将于5月11日对草案进行投票,最终提案预计将于6月中旬公布。然后,欧洲理事会、议会和欧盟委员会将必须解决任何悬而未决的争端,才能实施该法律。如果一切顺利,可能会在2024年下半年通过。
目前,意大利和OpenAI之间的争端提供了一个早期案例,显示了监管机构和AI公司如何谈判。如果OpenAI不能在9月30日之前创建更严格的年龄门槛来阻止13岁以下的未成年人进入,并要求13岁以上的未成年人获得父母同意,可能会再次被屏蔽。但这为欧洲认为合适的人工智能公司行为提供了一个示范——至少在新法规出台之前是如此。
