意大利的数据保护监管机构列出了开放AI需要做的事情,才能解除上个月底发布的针对ChatGPT的禁令。监管机构称怀疑这家AI聊天机器人服务违反了欧盟的一般数据保护条例(GDPR),并要求这家总部位于美国的公司停止处理当地人的数据。
只要有个人数据被处理,欧盟的GDPR就适用。毫无疑问,像OpenAI的GPT这样的大型语言模型从公共互联网上获取了大量的个人数据,以便训练它们的生成式AI模型,以人类一样的方式回应自然语言提示。
OpenAI对意大利数据保护机构的命令做出了快速的地理阻塞接入ChatGPT的响应。在一份简短的公开声明中,OpenAI首席执行官Sam Altman也在社交媒体上确认,已经停止为意大利提供该服务,除了通常的大型科技公司声明,称“我们认为我们正在遵守所有隐私法律”。
然而,意大利的监管机构显然持有不同的观点。
监管机构新的合规要求的简短版本是:OpenAI必须实现透明公开并发布一份详细的信息通知,详细说明其数据处理过程;它必须立刻采取年龄门槛措施,以防儿童接触技术,并采用更强大的年龄验证措施;它需要澄清其声称的处理人们数据的法律依据(不能仅仅依赖于合同履行,这意味着它必须在同意或合法利益之间做出选择);它还必须为用户(和非用户)提供行使其个人数据权利的途径,包括要求更正由ChatGPT生成的有关他们的虚假信息(否则将删除其数据);它还必须为用户提供反对OpenAI使用他们的数据来训练自己算法的能力;并且,它必须进行本地的宣传活动,告知意大利人他们的信息正在被加工,以训练其AI。
监管机构已经给OpenAI一个最后期限,即4月30日,完成大部分内容。(当地广播、电视和互联网宣传活动的时间稍长,为5月15日)
对于从过去弱化的年龄门槛儿童安全技术到更难绕过的年龄验证系统的额外需求,OpenAI有更多的时间。监管机构要求他们在5月31日前提交实施年龄验证技术的计划,以筛选掉13岁以下的用户(和13至18岁未获得父母同意的用户)–并将更坚实的系统的实施期限设定为9月30日。
在详细说明Garantex希望OpenAI采取的“具体措施”时,监管机构规定规定,授权通知必须描述“ChatGPT所需的数据处理的安排和逻辑,以及为数据主体(用户和非用户)提供的权利”,并补充说:“它必须易于访问,并放置在签署服务前能够阅读的位置。”
监管机构还要求,在签署之前,必须向来自意大利的用户提供此通知,同时确认他们已年满18岁。他们还要求,在DPA停止数据处理的命令之前注册的用户在访问重新激活的服务时,必须显示此通知,并通过年龄门槛来筛选掉未成年人。
监管机构在涉及OpenAI处理人们的数据来训练其算法的法律依据时,已经将可用选项缩小到两个:同意或合法利益——并指定必须立即删除所有与履行合同相关联的参考文献,这与GDPR的问责原则一致。(OpenAI的隐私政策目前引用了所有三个条款,但似乎最倾向于通过合同执行为ChatGPT等提供服务。)
它补充说,这不会影响监管机构在这方面行使调查和执行权力,“OpenAI不得依靠合同履行而依赖于其他两个选择将不会预先发生断言或评估,而仅由监管机构决定,视情况而定。”
此外,GDPR为数据的所有者(数据主体)提供了一系列获取权利,包括更正或删除其个人数据的权利。这就是为什么意大利监管机构还要求OpenAI实施工具,使数据主体(即用户和非用户)能够行使其权利,并纠正聊天机器人生成的有关他们的虚假信息。否则,如果发现更正有关具名个人的AI生成的谎言“技术上不可行”,则DPA指定该公司必须提供一个删除其个人数据的方式。
Garante公布的所有措施都是基于其初步担忧的临时性规定。它的新闻发布会指出,它的正式调查“为了确定可能侵犯立法的行为”仍在继续,并可能会导致它决定采取“额外或不同的措施,如果必要就可以完成正在进行中的事实调查。”
参考:https://techcrunch.com/2023/04/12/chatgpt-italy-gdpr-order/
评论前必须登录!
注册