GenAI工具倾向于生成明显错误的信息,这一点已经有据可查。但这也使该技术与欧盟的《通用数据保护条例》(GDPR)相冲突,后者规定了如何处理地区用户的个人数据。
对 GDPR 合规失败的处罚最高可达全球年营业额的 4%。对于 OpenAI 这样资源丰富的巨头来说,更重要的是:数据保护监管机构可以下令改变信息处理方式,因此 GDPR 的实施可能会重塑生成式人工智能工具在欧盟的运行方式。
早在2023 年,意大利数据保护机构的早期干预曾短暂迫使 ChatGPT 在当地关闭,此后,OpenAI 被迫做出了一些改变。
现在,noyb 代表一位未具名的投诉人(被描述为"公众人物")向奥地利数据保护机构提交了针对 ChatGPT 的最新 GDPR 投诉,投诉人发现人工智能聊天机器人为他们生成了错误的出生日期。
根据 GDPR 的规定,欧盟国家的人们对自己的信息享有一系列权利,包括要求更正错误数据的权利。它说,该公司拒绝了投诉人纠正错误出生日期的请求,并回应说,从技术上讲,这是不可能纠正的。
相反,它提出过滤或屏蔽某些提示的数据,如投诉人的姓名。
OpenAI 的隐私政策规定,如果用户发现人工智能聊天机器人生成了"与事实不符的信息",可以通过privacy.openai.com或发送电子邮件至[email protected] 提交"更正请求"。不过,该条款也提出了警告:"鉴于我们模型工作的技术复杂性,我们可能无法在每种情况下纠正不准确信息"。
在这种情况下,OpenAI 建议用户填写一份网络表格,要求它从 ChatGPT 的输出中完全删除他们的个人信息。
这家人工智能巨头面临的问题是,GDPR 规定的权利并不是自选的。欧洲人有权要求更正。他们也有权要求删除自己的数据。但是,正如 noyb 所指出的,OpenAI 无法选择这些权利中的哪一项。
noyb 认为,OpenAI 无法说明其生成的个人数据来自何处,也无法说明聊天机器人存储了哪些关于人的数据。
这一点很重要,因为法规同样赋予了个人通过提出所谓的主体访问请求(SAR)来获取此类信息的权利。根据 noyb 的说法,OpenAI 没有对投诉人的 SAR 做出充分回应,没有披露任何有关所处理数据、数据来源或接收者的信息。
noyb 数据保护律师 Maartje de Graaf 在一份声明中对这一投诉发表了评论:"编造虚假信息本身就很成问题。但如果涉及到有关个人的虚假信息,后果可能会很严重。很明显,公司目前无法让 ChatGPT 等聊天机器人在处理个人数据时遵守欧盟法律。如果系统不能生成准确透明的结果,就不能用于生成个人数据。技术必须遵循法律要求,而不是相反"。
该公司表示,它正在要求奥地利数据保护局调查有关 OpenAI 数据处理的投诉,并敦促其处以罚款,以确保未来的合规性。但该公司补充说"很有可能"通过欧盟合作来处理此案。
OpenAI 在波兰也面临着类似的投诉。去年9 月, 在一位隐私和安全研究人员投诉后,当地数据保护机构对 ChatGPT 展开了调查。该投诉还指责这家人工智能巨头未能遵守法规的透明度要求。
与此同时,意大利数据保护机构仍在对 ChatGPT 进行公开调查。今年1 月,该机构发布了一份决定草案,称其认为 OpenAI 在多个方面违反了 GDPR,包括聊天机器人倾向于提供与人相关的错误信息。调查结果还涉及其他关键问题,如处理的合法性。
意大利当局给了 OpenAI 一个月的时间对调查结果做出回应。最终决定仍未做出。现在,随着又一起针对其聊天机器人的 GDPR 投诉,OpenAI 在不同成员国面临一连串 GDPR 强制执行的风险也随之上升。
去年秋天,该公司在都柏林开设了一个地区办事处,此举似乎是为了降低监管风险,因为爱尔兰数据保护委员会将负责处理隐私投诉,而 GDPR 中的一项机制旨在简化对跨境投诉的监督,将投诉转交给公司"主要设立地"所在的单一成员国当局。