欧盟的ChatGPT任务组首次展示了AI聊天机器人隐私合规方面的初步工作

进行了一年多时间的考虑后，一个数据保护特别工作组周五报告了有关欧盟数据保护规则如何适用于OpenAI的ChatGPT病毒式聊天机器人的初步结论。最重要的是，隐私执法者工作组对OpenAI处理数据的合法性和公平性等关键法律问题仍然没有达成一致意见。

这个问题很重要，因为一旦确认违反了该区块隐私制度的规定，处罚可以高达全球年营业额的4%。监管机构还可以下令停止不符合规定的数据处理。因此 - 理论上说 - OpenAI在这个地区面临着相当大的监管风险，尤其是在人工智能的专门法律还不完善的情况下（甚至在欧盟的情况下，这种法律还需要数年才能完全生效）。

但是在没有欧盟数据保护执法者就现行数据保护法如何适用于ChatGPT提供明确指导的情况下，可以肯定的是OpenAI将会继续按惯例进行业务 — 尽管有越来越多的投诉称其技术违反了该地区的《通用数据保护条例（GDPR）》各个方面。

例如，波兰数据保护局（DPA）展开了一项调查，原因是收到了有关聊天机器人编造个人信息并拒绝更正错误的投诉。最近奥地利也收到了类似的投诉。

大量的GDPR投诉，但执法相对较少。

就纸面而言，一旦个人数据被收集和处理，GDPR就会适用-就像OpenAI的GPT这样的大型语言模型（LLMs）, ChatGPT背后的AI模型显然正在大规模地从公共互联网上获取数据来训练他们的模型，并通过从社交媒体平台上获取用户的帖子。

欧盟法规还赋予数据保护当局权力，可以下令停止任何不合规的处理。如果GDPR执行者选择采取行动，这可能会成为一个非常强大的杠杆，来塑造ChatGPT背后的人工智能巨头在该地区的运营方式。

事实上，去年我们就看到了这一点，当时意大利的隐私监管机构对OpenAI实施临时禁令，禁止其处理ChatGPT本地用户的数据。这一举动是利用GDPR中的紧急权力采取的，导致这家人工智能巨头在该国短暂关闭了该服务。

ChatGPT在OpenAI根据数据保护机构的一系列要求做出改变后，才在意大利恢复使用。但意大利对该聊天机器人的调查仍在进行，包括OpenAI首先声称处理用户数据来训练其AI模型的法律依据等关键问题。因此，该工具在欧盟仍然处于法律风暴之下。

根据《欧洲通用数据保护条例》，任何想要处理关于个人的数据的实体都必须有合法的依据来进行操作。该条例规定了六种可能的依据，尽管大多数在OpenAI的背景下都不适用。意大利DPA已经指示这家人工智能巨头不得依赖于声称合同必要性来处理人们的数据以训练其人工智能，只剩下两种可能的合法依据：要么是同意（即请求用户允许使用他们的数据）;要么是一种称为合法利益（LI）的广泛依据，它要求进行平衡测试，并要求控制者允许用户反对处理。

自意大利的干预以来，OpenAI似乎已经改变立场，声称其拥有处理用于模型训练的个人数据的合法依据。然而，一月份，数据保护局对其调查的草案决定发现OpenAI违反了GDPR。尽管草案调查结果的细节尚未公布，因此我们尚未看到管理机构对法律依据一事的全面评估。对于投诉的最终决定仍然在等待中。

ChatGPT的合法性的精准“修复”？

专家组的报告讨论了这一复杂的合法性问题，指出ChatGPT在个人数据处理的各个阶段都需要合法的法律依据，包括训练数据的收集，数据的预处理（例如过滤），训练过程本身，提示和ChatGPT的输出，以及任何与ChatGPT提示相关的训练。

报告强调列出的前三个阶段具有“独特风险”，可能侵犯人们的基本权利 — 报告还强调网页抓取的规模和自动化可能导致大量个人数据被获取，涵盖了人们生活的许多方面。报告还指出，抓取的数据可能包括最敏感的个人数据（《GDPR》称之为“特殊类别数据”），例如健康信息、性取向、政治观点等，这比一般个人数据处理需要更高的法律标准。

在特殊类别数据方面，工作组还坚称，仅因为数据是公开的并不意味着可以被视为已经“明显”公开 — 这将触发《通用数据保护条例》对明确同意处理此类数据的要求的豁免。 (“为了依赖《通用数据保护条例》第9(2)(e)条款规定的例外情况，重要的是要确定数据主体是否有意、明确并通过明确的积极行动来使所涉个人数据对一般公众可访问，”它在这方面写道。)

OpenAI需要总体依赖于《信息权法》作为其法律依据，需要证明需要处理数据；处理也应该局限于这个需求所必要的范围；并且必须进行平衡测试，权衡其在处理中的合法利益和数据主体（即数据所涉及的人）的权利和自由。

在这里，工作组有另一个建议，写道“充分的保障措施”——比如“技术措施”，明确定义“精准的收集标准”和/或屏蔽特定数据类别或来源（比如社交媒体个人资料），以减少首次收集的数据量，减少对个人的影响——可以“改变对控制者的平衡测试”，正如它所说。

这种方法可能会迫使人工智能公司更加谨慎地如何以及收集什么数据，以限制隐私风险。

此外，工作组还建议制定措施，在培训阶段之前删除或匿名化通过网络爬虫收集的个人数据。

OpenAI还希望依赖于语言识别技术来处理ChatGPT用户的提示数据，以进行模型训练。在此，报告强调了用户需要“明确和可证实地被通知”这些内容可用于培训目的的需要 - 并指出这是在平衡测试中考虑的因素之一。

由各个数据保护监管机构来评估投诉，决定这家人工智能巨头是否已经满足要求，能够真正依赖于“合法利益”。如果不能，ChatGPT的制造商在欧盟只剩下一个法律选择：征得公民同意。考虑到有多少人的数据可能包含在训练数据集中，这将会是一个无法预料的情况。与此同时，人工智能巨头与新闻出版商迅速达成的协议，用于许可他们的新闻报道，不会成为欧洲个人数据许可的范本，因为法律不允许人们出售他们的同意；同意必须是自愿给出的。

公平和透明不是可选的。

在其他地方，关于GDPR的公平原则，该工作组的报告强调隐私风险不能转移给用户，例如通过在条款和条件中嵌入一个条款，即“数据主体对他们的聊天输入负责”。

OpenAI仍需遵守GDPR，并且不应辩称首先输入某些个人数据是被禁止的。

在透明度义务方面，该工作组似乎接受OpenAI可以利用豁免条款（GDPR第14条5(b)款）通知个人其收集的数据，考虑到获取数据集进行LLM训练所涉及的网络抓取规模。但其报告重申了告知用户其输入可能被用于训练目的的“特别重要性”。

报告还提到了ChatGPT“产生幻觉”（虚构信息）的问题，并警告称GDPR“数据准确性原则必须遵守”，强调OpenAI因此需要对聊天机器人的“概率输出”和“有限可靠性水平”提供“适当信息”。

该特别小组还建议OpenAI提供给用户“明确提示”，表明生成的文本“可能存在偏见或捏造的情况”。

在数据主体权利方面，例如个人数据更正的权利 — 这是许多关于ChatGPT的GDPR投诉的焦点 — 报告将其描述为“必不可少”人们能够轻松行使自己的权利。它还观察到OpenAI目前的做法存在局限性，包括它并不允许用户更正有关他们的不正确个人信息，而只提供阻止生成这些信息的选项。

然而，工作组没有提供明确的指导意见，告诉 OpenAI 应该如何改进其提供给用户行使数据权利的“方式” —— 它只是给出一个泛泛的建议，要求公司采取“适当措施，有效实施数据保护原则”和“必要的保障”，以满足 GDPR 的要求，保护数据主体的权利。这听起来很像是‘我们也不知道怎么解决这个问题’。

ChatGPT的GDPR执行被搁置了吗？

ChatGPT任务组成立于2023年4月，这是在意大利对OpenAI的干预引起轰动之后，旨在简化对新兴技术的相关隐私规定的执行。该任务组隶属于一个名为欧洲数据保护委员会（EDPB）的监管机构，该机构负责指导欧盟在该领域的法律应用。需要指出的是，数据保护当局（DPAs）仍然是独立的，有能力在其自己的领域内执行GDPR法律，因为GDPR的执行是分权的。

尽管数据保护局在本地有不可磨灭的独立权力，但监管机构显然对如何应对像ChatGPT这样新兴技术存在一定的紧张和风险规避。

今年早些时候，当意大利数据保护局宣布其草案决定时，特别指出其程序将“考虑”欧洲数据保护委员会工作组的工作。还有其他迹象表明，监管机构可能更倾向于等待工作组发布最终报告，可能要再过一年，然后再采取自己的执法行动。因此，工作组的存在可能已经通过推迟决定并将投诉调查放缓来影响OpenAI聊天机器人的 GDPR 执法。

例如，在最近接受本地媒体采访时，波兰的数据保护机构建议，他们对OpenAI的调查需要等待专案组完成工作。

当我们询问监督机构是否因为ChatGPT工作组的平行工作而推迟执法时，监督机构没有做出回应。尽管欧洲数据保护委员会的发言人告诉我们，工作组的工作“并不影响每个数据保护当局在各自正在进行的调查中将会进行的分析”。但他们补充道：“尽管数据保护当局有权执法，但欧洲数据保护委员会在促进数据保护当局之间的合作方面发挥着重要的作用。”

目前看来，欧洲数据保护局在如何紧急处理有关ChatGPT的问题上存在着相当大的观点差异。因此，尽管意大利的监管机构去年因其迅速干预而成为新闻头条，但爱尔兰（现任前任）数据保护专员海伦·迪克森在2023年的彭博会议上表示，欧洲数据保护局不应急于禁止ChatGPT，她认为他们需要时间来“妥善监管它”。

OpenAI去年秋季选择在爱尔兰设立欧盟业务，这很可能并非偶然。在12月份，OpenAI悄悄修改了其服务条款，将其新成立的爱尔兰实体OpenAI Ireland Limited命名为服务的地区提供者，如ChatGPT，从而建立了一个结构，使得这家人工智能巨头能够向爱尔兰数据保护委员会(DPC)申请成为其GDPR监管的主管机构。

这种侧重于监管风险的法律重组似乎为OpenAI带来了回报，因为EDPB ChatGPT特别工作组的报告表明，该公司已于今年2月15日被授予主要机构地位 —— 这使其能够利用GDPR中称为“一站式窗口”的机制，意味着自那时起发生的任何跨境投诉将通过主要机构所在国家的主管数据保护当局（即在OpenAI的情况下是爱尔兰）进行处理。

虽然这听起来有点复杂，但基本上意思是，AI公司现在可以避免进一步分散的GDPR执法风险，就像我们在意大利和波兰看到的那样，因为爱尔兰的数据保护委员会将决定要调查哪些投诉，以及如何和何时继续进行调查。

爱尔兰监管机构以友好的方式执行通用数据保护条例（GDPR），因此获得了对大科技公司的良好声誉。换句话说，‘大型人工智能’可能是下一个受惠于都柏林对欧盟数据保护规定宽松解读的对象。

在新闻发布时，已联络OpenAI以回应EDPB任务组的初步报告，但截至目前为止，OpenAI尚未做出回应。

在我们质疑开放AI现在可以利用GDPR的OSS的建议后，对于EDPB的报告，代表波兰ChatGPT GDPR调查背后的投诉者的律师事务所GP Partners的Maciej Gawronski告诉科技专家TechCrunch:“没有任何人向我们提供任何信息，表明开放AI的欧盟办公室有权利在GDPR第4条第16点a)项的意义上对个人数据的处理目的和方法做出决定。”

“考虑到ChatGPT服务的集中化性质，不可能在美国设立总部并在欧盟设立个人数据处理总部，”他补充说道。“另外, 我刚刚查看了OpenAI发给我的5月24日ChatGPT使用费发票，开具单位为Open AI LLC，地址在美国加州旧金山。”

在进一步的讲话中，高龙斯基将EDPB的报告描述为“晦涩和肤浅”，并暗示其读起来就像是“由爱尔兰（DPC）起草的”。他补充道，“看起来EDPB在努力帮助OpenAI尽可能地显得合规”。他补充说，“我们仍然认为波兰数据保护局（UODO）有权和义务审查和决定我们的投诉”。

这份报告已更新，并附加了额外的评论。