社群媒體巨頭被敦促解決資料採集的隱私風險
隱私監管機構敦促社群媒體平臺保護使用者的公開釋出免受資料採集的影響
國際隱私監管機構聯合宣告由數十個國際隱私監管機構簽署,包括英國的 ICO,加拿大的 OPC 以及香港的 OPCPD,呼籲主流社群媒體平臺保護使用者的公開釋出免受資料採集的影響,警告它們在大多數市場都有法律責任這樣做。宣告中寫道:"在大多數司法管轄區內,網際網路上'公開可得'、'公開可存取'或'具有公共性質'的個人訊息都受到資料保護和隱私法的規管。因此刮取這些個人訊息的個人或公司都有責任確保他們遵守這些以及其他適用法律。然而社群媒體公司以及其他託管公開可存取個人訊息的網站的運營商(SMCs 和其他網站)對於第三方從其網站上進行資料採集也有資料保護義務。這些義務通常適用於個人訊息,無論該訊息是否公開可存取。在許多司法管轄區,大規模的個人訊息採集可以構成一個應該報告的資料泄露事件"。
隨著基於大量資料訓練的生成式人工智慧(AI)模型的持續熱潮,宣告的發布正值於此,這些模型通常需要大量的資料,這可能會鼓勵更多實體刮取網際網路以獲取資料集並參與生成式 AI 的潮流。這些監管機構領導的聯合宣告還得到了澳大利亞、瑞士、挪威、紐西蘭、哥倫比亞、澤西、摩洛哥、阿根廷和墨西哥等國際監管機構的支援,這些國家都是全球隱私監管協會國際執法合作工作組的成員。
資料採集隱私風險和解決方案
監管機構強調的隱私風險包括使用資料採集進行有針對性的網路攻擊,如社交工程和釣魚;身份盜竊;監控、個人檔案和監視個人,例如使用資料填充面部識別資料庫並提供未經授權的存取給執法機構,這明顯是對 Clearview AI 的抨擊,它在使用採集的資料為面部識別識別工具提供給執法機構和其他使用者時受到國際監管機構的多次制裁(包括歐盟);他們還警告稱,採集的資料可以用於未經授權的政治或情報收集活動,包括外國政府或情報機構;以及用於垃圾郵件或不需要的直接銷售。監管機構沒有直接引用將 AI 模型訓練作為這些“重要”隱私風險之一,但是沒有經過他們的知識或同意,以人們的資料進行訓練的生成式 AI 工具可能被重新用於文章中提到的多種惡意用途,包括以冒充的方式進行有針對性的網路攻擊、身份盜竊,或監視/監察個人。
監管機構發出的聯合宣告除了向公眾公開發布外,它們還指出已將該宣告的副本直接傳送給 YouTube 的母公司 Alphabet、TikTok 的母公司位元組跳動、Meta(Instagram、Facebook 和 Threads 的擁有者)、微軟(LinkedIn)、新浪公司(微博)和 X(以前稱為 Twitter)等主流全球社群媒體平臺,這表明國際監管機構正在將隱私風險問題放在焦點位置。
隱私風險的約束措施和建議
信件中提到的約束使用者資料被採集風險的建議措施包括,公司內部指定專注於資料採集風險的團隊/角色;對一個帳戶對其他帳戶存取的每小時或每天存取次數進行約束,並在檢測到異常活動時約束存取;監測新帳戶迅速主動尋找其他使用者的速度和積極性,並採取措施對異常活動做出回應。他們還建議平臺透過識別機器人活動中的模式,例如透過檢測可疑的 IP 位址活動,來檢測刮取者。建議之一是採取措施檢測機器人活動,例如部署 CAPTCHA 和遮蔽已識別出存在資料採集活動的 IP 位址(盡管機器人可以解決 CAPTCHA,因此該建議可能已經過時)。其他建議措施包括,平臺針對刮取者採取適當的法律行動,例如傳送“停止和撤回”信函;要求刪除掉刮取的訊息;確認刪除該訊息;並採取其他法律行動以執行禁止資料採集的條款和條件。監管機構還警告稱,平臺可能需要根據現行的資料泄露法來通知受影響的個人和隱私監管機構。
對個人的建議
聯合宣告還為個人提供了一些建議,以幫助他們保護自己免受刮取風險的影響,包括建議網路使用者注意平臺的隱私政策,仔細考慮他們選擇在網上共享的訊息,並利用允許他們控制帖子可見性的任何設定。他們還補充道:"最終我們鼓勵人們從長遠的角度去考慮。幾年後,一個人對於他們今天共享的訊息會有什麼感知?儘管社群媒體公司和其他網站可能提供刪除或隱藏訊息的工具,但該訊息如果已被索引或刮取,並且繼續被分享,就會永遠存在於網路上"。
該信件還敦促那些擔心自己的資料可能已被非法或不當地刮取的個人聯絡相關平臺或網站,如果他們未得到滿意的回應,則建議他們向相關的資料保護機構提出投訴。因此監管機構鼓勵使用者對刮取更加警惕,這可能最終導致在這一領域的調查和執法活動增加。簽署這份聯合宣告的十幾個國際監管機構都來自歐盟以外的市場。但正如上面所提到的,歐盟的資料保護監管機構已經透過執行 GDPR 而對資料採集風險進行了行動。他們也在密切關注生成式 AI 服務的發展,因此信件中提出的擔憂與該區域的資料保護機構已經關注的問題大致一致。值得注意的是,今年早些時候,義大利的隱私監管機構對 ChatGPT 發布了當地停止處理的命令,導致在 OpenAI 迅速推出披露和控制措施之前,該服務暫時中斷。Google 的 Bard AI chatbot 相對於一些其他地區需要更長時間才在歐盟地區推出,因為爾蘭的主要資料保護監管機構對此提出了類似的擔憂。但歐盟資料保護機構同時協調如何在生成式 AI 聊天機器人的設計中最佳地應用當地的資料保護法規,包括就資料處理的合法性問題進行討論,這仍有待決定。今年早些時候,法國的隱私監管機構 CNIL 還警告說,保護免受資料採集的風險將是其在五月份宣布的 AI 行動計劃的一個重要專案。
