生成式 AI 井喷后,隐私监管如何跟进

生成式 AI 井喷后,隐私监管如何跟进

Kaamel Lab
Kaamel Lab 2023年4月10日

生成式 AI 在 2023 年 3 月进入大众视野后,监管几乎同步跟进:意大利数据保护机构(Garante)于 4 月 1 日以涉嫌非法收集用户信息为由对 ChatGPT 展开调查,暂时屏蔽其在意大利的使用;随后德国、法国、爱尔兰的监管机构也开始接触意大利方讨论下一步行动。对使用 AI 的企业来说,真正的约束不必等待专门立法:现行的 GDPR 与 CCPA/CPRA 已经覆盖 AI 处理个人数据的绝大多数场景。

TL;DR

意大利封禁与 OpenAI 的回应

意大利 Garante 在 4 月 1 日的调查期间,屏蔽了 ChatGPT 在意大利的使用,并限制 OpenAI 处理意大利用户数据。4 月 3 日,德国数据专员表示可能效仿意大利的做法;法国和爱尔兰的监管机构也联系了意大利方,讨论调查结果并准备下一步行动。这说明单一成员国的执法很容易在欧盟内部形成连锁反应。

OpenAI 就意大利封禁向用户发布的 ChatGPT 停用通知

4 月 6 日晚,OpenAI 在官网上线“AI 安全”页面,说明其在六个方面的部署:构建更安全的 AI 系统并引入外部专家反馈、从实际使用中防范可预见风险、持续保护儿童隐私(仅允许年满 18 周岁、或 13–16 周岁获得父母批准的用户使用)、尊重隐私并从训练数据中删除个人信息、提高事实准确性、以及持续与政府合作探讨监管方式。这份声明可作为业界参考,但它给出的是方向而非可落地的审核标准。原文见 https://openai.com/blog/our-approach-to-ai-safety

现行 GDPR 与 CCPA 已经适用

CCPA 和 GDPR 都不专门针对生成式 AI,但使用这些模型的企业必须满足现有隐私法的要求。具体包括四点:向消费者提供关于个人数据使用方式的清晰简明信息,并在必要时(尤其涉及敏感个人信息时)获得明确同意;采取加密、访问控制等技术与组织措施保护数据;提供简便途径让数据主体行使访问、更正、删除、反对处理与数据可携权;对“敏感个人信息”提供额外保护,并在收集或使用前取得同意。换言之,监管机构会像对待任何其他处理个人数据的技术一样对待 GPT 模型。企业若想理解这套义务从何而来,可参考什么是隐私合规 对个人数据全生命周期的说明。

美国与欧盟的立法动向

4 月 4 日,拜登总统与总统科学与技术顾问委员会(PCAST)会面,讨论 AI 的风险与机遇,并呼吁国会通过两党隐私立法,以“保护孩子并限制科技公司对个人数据的收集”。此前白宫已发布“AI 权利法案蓝图”(Blueprint for an AI Bill of Rights,由 OSTP 提出),围绕隐私与安全、透明度与可解释性、公平与非歧视、用户控制与访问、责任与问责等原则展开;美国国家标准与技术研究院(NIST)也发布了 AI 风险管理框架。蓝图原文见 https://www.whitehouse.gov/ostp/ai-bill-of-rights/

欧盟 AI Act 于 2021 年 4 月 21 日首次公布,本文成文时仍在审议,当时预计 2024 年底生效。它按风险等级设定规则:禁止危害人类尊严与权利的系统,对“高危”系统(如自动驾驶、医疗诊断)实施更严格的安全、透明与可审计要求,并对违规处以高额罚款。AI Act 的后续演变,可参考欧盟通过 AI Act 简化提案全球首个人工智能法案的要点解读 ;亚洲的类似立法可对照韩国 AI 基本法 。AI Act 官方追踪见 https://artificialintelligenceact.eu

对出海企业的启示

监管专门为生成式 AI 立法尚需时日,但这并不意味着当下的真空。意大利的封禁与各国的跟进表明,企业在等待 AI 专项法规时,仍要用现有的 GDPR、CCPA/CPRA 框架约束自己的数据处理:训练数据的合法来源、告知与同意、数据主体权利的可行使、以及敏感信息的额外保护,都是可以立即落地的合规动作。至于 FTC 层面对 AI 企业的正式行动,可参考OpenAI 遭 FTC 正式调查 的后续发展。

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.