在意大利恢復上線但OpenAI的監管麻煩才剛剛開始
在剛剛過去的一周,OpenAI已經成功安撫了意大利監管機構,促使其解除了對聊天機器人ChatGPT的臨時禁令,但這家人工智能研究公司與歐洲監管機構的鬥爭仍未結束,更多挑戰才剛剛開始。
今年早些時候,OpenAI廣受歡迎但備受爭議的聊天機器人ChatGPT在意大利遭遇了一個重大的法律障礙,意大利數據保護局(GPDP)指控OpenAI違反歐盟數據保護規則。為了試圖解決問題,該公司同意限制在意大利使用該服務。
4月28日,ChatGPT重新在意大利上線,OpenAI輕鬆解決了意大利數據保護局的擔憂,而沒有對其服務做出重大改變。這對OpenAI來說是一次明顯的勝利。
雖然意大利數據保護局對ChatGPT所做的改變表示“歡迎”,但OpenAI以及其他開發聊天機器人公司所面臨的法律挑戰可能才剛剛開始。多個國家的監管機構正在調查這些人工智能工具收集數據和生成信息的方式,理由包括收集未經許可的培訓數據、聊天機器人傾向於發出錯誤信息等。
歐盟已經開始執行《通用數據保護條例》(GDPR),這是世界上最強大的隱私法律框架之一,其影響可能會遠遠超出歐洲。與此同時,歐盟立法者正在製定一項專門針對人工智能的法律,這也很可能會開啟對ChatGPT等系統進行監管的新時代。
ChatGPT成為多方關注目標
ChatGPT是生成式人工智能(AIGC)中備受關注的應用之一,涵蓋了根據用戶提示生成文本、圖像、視頻和音頻等多種工具。據報導,ChatGPT在2022年11月推出僅兩個月後,月活躍用戶就達到了1億人,成為歷史上增長最快的消費者應用之一。
借助ChatGPT,人們可以將文本翻譯成不同的語言、撰寫大學論文,甚至生成代碼。但一些批評者,包括監管機構在內,指出ChatGPT輸出的信息並不可靠,存在版權問題,並且在保護數據方面有缺陷。
意大利是第一個對ChatGPT採取行動的國家。3月31日,意大利數據保護局指控OpenAI違反了《通用數據保護條例》:允許ChatGPT提供不准確或誤導性信息、未向用戶通知數據收集做法、未遵守個人數據處理的法規,以及未能充分防止13歲以下兒童使用該服務。意大利數據保護局命令OpenAI立即停止在ChatGPT的訓練數據中使用從意大利公民那裡收集的個人信息。
目前,其他國家尚未採取類似的大動作。但自3月份以來,至少有三個歐盟國家——德國、法國和西班牙,對ChatGPT展開了自己的調查。與此同時,在大西洋彼岸,加拿大正在根據其《個人信息保護和電子文件法案》(PIPEDA)評估ChatGPT的隱私問題。歐洲數據保護委員會(EDPB)甚至成立了專門的工作組來協調調查。如果這些機構要求OpenAI做出改變,可能會影響該公司為全球用戶提供服務的方式。
監管機構有兩大擔憂
監管機構對ChatGPT的最大擔憂主要分為兩類:訓練數據從何而來?OpenAI如何向用戶傳遞信息?
為了支持ChatGPT,OpenAI需要使用GPT-3.5和GPT-4大型語言模型(LLM),這些模型是針對大量人工生成的文本進行訓練的。OpenAI對究竟使用了哪些訓練文本始終保持謹慎,但表示利用了“各種授權的、公開可用的數據源,其中可能包括公開可用的個人信息”。
根據《通用數據保護條例》的規定,這可能會帶來巨大問題。該法律於2018年頒布,涵蓋了收集或處理歐盟公民數據的所有服務,無論提供服務的組織總部設在哪裡。《通用數據保護條例》要求公司在收集個人數據之前必須獲得用戶的明確同意,收集這些數據必須有法律上的正當理由,並對這些數據的使用和存儲方式保持透明。
歐洲監管機構聲稱,OpenAI訓練數據的保密性意味著他們無法確認其使用的個人信息是否最初獲得了用戶的同意。意大利數據保護局辯稱,OpenAI從一開始就沒有收集這些信息的“法律依據”。到目前為止,OpenAI和其他公司幾乎沒有受到審查。
另一個問題是《通用數據保護條例》的“被遺忘權”,它允許用戶要求公司更正他們的個人信息或將其完全刪除。OpenAI提前更新了其隱私政策,以方便回應這些請求。但考慮到一旦將特定數據輸入到這些大型語言模型中,分離可能會非常複雜,是否在技術上可行始終存在爭議。
OpenAI還直接從用戶那裡收集信息。就像其他互聯網平台一樣,它會收集一系列標準的用戶數據,例如姓名、聯繫方式和信用卡詳細信息等。但更重要的是,OpenAI會記錄用戶與ChatGPT的互動。正如官網所述,OpenAI的員工可以查看這些數據,並將其用於培訓其模型。考慮到人們向ChatGPT提出的私人問題,例如將該機器人視為治療師或醫生,這意味著該公司正在收集各種敏感數據。
在這些數據中,可能包括未成年人的信息。儘管OpenAI的政策規定,它“不會故意從13歲以下的兒童那裡收集個人信息”,但沒有嚴格的年齡驗證門檻。這不符合歐盟的規定,該規定禁止從13歲以下未成年人那裡收集數據,並且在某些國家要求蒐集16歲以下未成年人的信息需獲得其父母的同意。在輸出方面,意大利數據保護局聲稱,ChatGPT缺乏年齡過濾器,使未成年人“在他們的發育程度和自我意識方面得到了絕對不合適的回應”。
OpenAI在使用這些數據方面擁有很大的自由度,這讓許多監管機構感到擔憂,而且存儲這些數據存在安全風險。三星和摩根大通等公司已經禁止員工使用AIGC工具,因為擔心他們會上傳敏感數據。實際上,在意大利發布禁令前,ChatGPT曾遭遇嚴重數據洩露事件,導致大量用戶的聊天歷史和電子郵件地址曝光。
此外,ChatGPT提供虛假信息的傾向也可能帶來問題。《通用數據保護條例》規定,所有個人數據必須準確,意大利數據保護局在公告中強調了這一點。這可能會給大多數人工智能文本生成器帶來麻煩,因為這些工具很容易出現“幻覺”,即對查詢給出事實不正確或無關的回應。這在其他地方已經引起了一些現實問題,例如澳大利亞一名市長威脅要起訴OpenAI誹謗,因為ChatGPT謊稱他曾因賄賂入獄。
專門的監管規則即將出台
ChatGPT因其受歡迎程度和人工智能市場的主導地位,特別容易成為監管目標。但與穀歌的Bard和微軟與OpenAI支持的Azure AI等競爭對手和合作夥伴一樣,它沒有理由不接受審查。在ChatGPT之前,意大利已禁止聊天機器人平台Replika收集未成年人信息。到目前為止,該平台仍被禁止。
雖然《通用數據保護條例》是一套強大的法律,但它並不是為了解決人工智能特有的問題而製定的。然而,專門的監管規則可能即將出台。2021年,歐盟提交了其《人工智能法案》(AIA)首個版本的草案,該法案將與《通用數據保護條例》一起實施。《人工智能法案》將根據人工智能工具的風險大小對其進行監管,從“最小風險”(如垃圾郵件過濾器)到“高風險”(用於執法或教育的人工智能工具)再到“不可接受風險”(如社會信用體系)。
在像ChatGPT這樣的大型語言模型出現爆炸式增長後,立法者現在正爭先恐後地為“基礎模型”和“通用人工智能係統(GPAI)”增加規則。這兩個術語指的是包括LLM在內的大規模人工智能係統,並可能將它們歸類為“高風險”服務。
《人工智能法案》的規定超出了數據保護的範疇。最近提出的一項修正案將迫使公司披露用於開發AIGC工具的任何受版權保護的材料。這可能會暴露曾被保密的數據集,並讓更多公司容易受到侵權訴訟的影響,這些訴訟已經對部分服務造成影響。
專門AI法律或到2024年底通過
目前來看,實施這項法案可能還需要一段時間。歐盟立法者已於4月27日達成了一項臨時人工智能法案協議,但還需要一個委員會在5月11日對草案進行投票,最終提案預計將於6月中旬公佈。然後,歐洲理事會、歐盟議會和歐盟委員會將不得不在實施該法律之前解決任何剩餘的爭端。如果一切順利,它可能會在2024年下半年通過。
就目前而言,意大利和OpenAI之間的爭執讓我們初步了解了監管機構和人工智能公司可能會如何談判。意大利數據保護局表示,如果OpenAI在4月30日之前滿足幾項提議的決議,它就會解除禁令。
這些決議包括告知用戶ChatGPT如何存儲和使用他們的數據,要求徵得用戶明確同意才能使用這些數據,為糾正或刪除ChatGPT生成的虛假個人信息提供便利,並要求意大利用戶在註冊賬戶時確認自己已超過18歲。儘管OpenAI沒有達到這些規定,但它已經滿足了意大利監管機構的要求,並恢復了在意大利的訪問權限。
OpenAI仍需滿足其他條件,包括在9月30日之前建立更嚴格的年齡門檻,過濾掉13歲以下的未成年人,並要求年齡較大的未成年青少年獲得父母同意。如果失敗,OpenAI可能會再次被封禁。不過,OpenAI似乎已經做出了榜樣,表明歐洲認為人工智能公司的行為是可以接受的,至少在新法律出台之前是這樣的。(小小)