OpenAI 受到 GDPR 投訴指控,引發對資料保護的關注
投訴指控 OpenAI 違反 GDPR 的多項規定
隨著一份詳細的投訴被提交給波蘭資料保護局,有關 ChatGPT 製造商 OpenAI 是否能夠遵守歐洲隱私規則的問題再次浮現。根據 TechCrunch 所審視的投訴,該投訴指控這家位於美國的人工智慧巨頭違反了歐盟的《通用資料保護法規》(GDPR)的多個方面——包括合法依據、透明度、公平性、資料存取權利和隱私設計。這份投訴將新穎的生成式人工智慧技術以及製造商開發和運營這一爆紅工具的方法,解釋為從根本上違反了整個歐盟規模的制度。 投訴還暗示 OpenAI 在 GDPR 中忽視了與監管機構進行事前諮詢的要求(第 36 條)——如果 OpenAI 進行了主動評估,發現在沒有應用減緩措施的情況下,給人們的權利帶來了高風險,它應該停下來思考一下。然而 OpenAI 顯然還是推出了 ChatGPT,而沒有與當地的監管機構進行接觸,這可能會確保它不會違反該區域的隱私規範。當然對 ChatGPT 提出 GDPR 的擔憂不是第一次。今年早些時候,義大利的隱私監管機構 Garante 下令 OpenAI 停止在本地處理資料——指示這家美國公司解決其在合法基礎、訊息披露、使用者控制和兒童安全等方面的初步問題。ChatGPT 在稍後很快恢復了在義大利的服務,只是在展示文稿上做了一些調整。然而義大利 DPA 的調查仍在進行中,一旦評估完成,可能會對遵守情況作出結論。其他歐盟資料保護機構也在調查 ChatGPT。而今年 4 月,歐盟資料保護機構組成了一個專案小組,來考慮如何規範這個快速發展的技術。這項工作正在進行中,關於 ChatGPT 和其他人工智慧聊天機器人的監管是否會出現協調一致的方法並不確保,但無論發生什麼事情,GDPR 仍然是法律,仍然生效。因此任何在歐盟內感知到自己的權利受到被大型人工智慧侵犯,他們的資料被用於訓練可能對他們產生謬誤的模型的人可以向當地的資料保護機構提出關切,並要求監管機構進行調查,就像在這裡正在發生的情況一樣。OpenAI 並未在歐盟任何成員國註冊以便受到 GDPR 監管,這意味著它在整個區域內仍然面臨著監管風險,可能會收到來自該區域任何地方的個人的投訴引起監管機構的關注。確認的 GDPR 違規行為也可能遭到高達全球年營業額 4%的罰款。而監管機構的修正命令也可能重新改變技術的執行方式,以便繼續在該區域內執行。投訴內容:涉及非法處理 AI 訓練等問題
投訴的作者是一名安全和隱私研究人員 Lukasz Olejnik,他由華沙的律師事務所 GP Partners 代表提出投訴。Olejnik 告訴 TechCrunch,他在使用 ChatGPT 生成自己的傳記時發現其中有一些錯誤,因此開始對 ChatGPT 保持關注,並於 3 月底向 OpenAI 提出了疑慮,要求更正有關他的錯誤訊息。他還要求 OpenAI 根據 GDPR 賦予訊息主體從對方處獲取資料時的權利,提供一系列與此案類似的訊息。根據投訴,Olejnik 和 OpenAI 之間在今年 3 月至 6 月期間進行了一系列的電子郵件交流。儘管 OpenAI 在回應主體存取請求(SAR)時提供了一些訊息,但 Olejnik 的投訴主張 OpenAI 未能按照法律提供所有必要的訊息,其中包括明確規定的個人資料用於 AI 模型訓練的訊息。根據 GDPR,個人資料處理必須具有合法依據,並且必須透明地傳達。因此混淆視聽並不是一種良好的合規策略。此外由於法規將公平原則附加於資料處理的合法性上,任何試圖隱瞞個人資料處理的真實程度的技巧都將觸犯法律。因此 Olejnik 的投訴主張 OpenAI 違反了 GDPR 的第 5(1)(a)條。簡單來說他認為該公司以“非法、不公平和不透明的方式”處理了他的資料。投訴指出:“從本案事實來看,OpenAI 明顯地無視了 GDPR 關於在 ChatGPT 內訓練模型目的下處理資料的條款。其中的結果之一是Łukasz Olejnik 對有關他個人資料處理的通知準確性不明”。未按照 GDPR 的權利糾正個人資料的要求
Olejnik 的投訴還針對 ChatGPT 生成的有關自己的錯誤提出了質疑以及 OpenAI 在要求更正這些錯誤時的明顯無能為力。他說,OpenAI 未能修正其工具生成的有關他的虛假訊息,而是回應他的請求時阻止了 ChatGPT 與他有關的請求,而這不是他要求的。隨後,OpenAI 告訴他無法更正錯誤。然而根據 GDPR,個人有權糾正他們的個人資料。“在 OpenAI 和用於訓練模型的資料處理方面,這一個原則[更正個人資料]在實踐中完全被忽視,”投訴指出。“這可以透過 OpenAI 對Łukasz Olejnik 的要求的回應得到證實,根據 OpenAI 的回應,OpenAI 無法更正處理的資料。OpenAI 的系統性無能為力將執行模式被視為 ChatGPT 的一部分。”投訴對 OpenAI 隱私政策中有關此方面操作的披露進行了討論,並指出:“考慮到 ChatGPT 資料的有效性機制的一般和模糊描述,很可能無法更正資料是 OpenAI 資料處理的系統性現象,而不僅僅是個別案例。”該投訴還建議存在對於進一步對該工具的資料處理進行調查的原因:對 ChatGPT 處理的資料的規模和潛在的個人資料接收者的規模具有風險,可能影響到與個人資料非準確性相關的權利和自由。 投訴繼續指出 OpenAI“應該開發和實施一種基於適當過濾/模組的資料糾正機制,以取證和更正 ChatGPT 生成的內容(例如,基於已更正結果的資料庫)”,並建議:“就資料準確性保證的範圍而言,合乎 GDPR 的期望是希望 OpenAI 至少能更正由使用者標記為不正確的資料。”它還補充說:“我們相信 OpenAI 是有可能開發出符合 GDPR 的適宕機制來更正不準確的資料(由於 OpenAI 已經能夠阻止生成某些內容,因此這是可能的)。但是如果 OpenAI 認為無法開發這樣的機制,則需要對此問題與相關的監管機構進行諮詢,包括透過 GDPR 第 36 條所描述的事前諮詢程式。”根據設計的資料保護不相容性
投訴還將焦點放在 OpenAI 對 GDPR 的“資料保護設計和預設”原則的全面違反上。“ChatGPT 工具的設計方式,包括投訴中描述的違規行為(特別是無法行使更正資料的權利以及在訓練 GPT 模型時忽略資料處理操作)—違反了資料保護設計的所有指定假設,”投訴指出。“實際上在 OpenAI 的資料處理案例中,存在對 ChatGPT 工具使用個人資料的測試,不是在設計階段,而是在生產環境中(即在工具提供給使用者後)。”“OpenAI 似乎接受 ChatGPT 工具模型的開發與 GDPR 的規定根本不相容,並對此情形表示同意。這展示了對於資料保護設計原則背後目標的完全漠視。”我們已經要求 OpenAI 回應有關投訴的指控,並確認其在推出 ChatGPT 之前是否進行了資料保護影響評估。此外我們還詢問 OpenAI 為何未向歐盟監管機構尋求事前諮詢,以獲得在以一種能夠減輕 GDPR 風險的方式中開發此高風險技術的幫助。截止當前為止,它尚未對我們的問題作出回應,但如果我們得到回應,我們將更新本報告。我們還聯絡了波蘭資料保護局以理解該投訴。然而歐盟各國的資料保護機構通常對於未結束的投訴很少發表意見。Olejnik 的律師 Maciej Gawronski 談到對投訴的期望時表示波蘭監管機構 UODO 對調查需要的時間可能為“從六個月到兩年不等”。“如果 UODO 確保了 GDPR 的違規行為,我們希望 UODO 首先要求 OpenAI 行使 Olejnik 先生的權利,”他告訴我們。“此外我們認為 OpenAI 的一些違規行為可能是系統性的,我們希望波蘭資料保護局對資料處理進行徹底調查,並在有必要時要求 OpenAI 根據 GDPR 採取合規行為,從而使 ChatGPT 的資料處理在更普遍的角度上合法。”Gawronski 還認為 OpenAI 未能適用 GDPR 的第 36 條,因為在推出 ChatGPT 之前,它未與 UODO 或任何其他歐洲資料保護機構進行事前諮詢,並補充說:“我們期望 UODO 現在迫使 OpenAI 參與類似的程式。”在另一步驟中,投訴要求波蘭監管機構要求 OpenAI 提交一份有關與 ChatGPT 相關的個人資料處理的資料保護影響評估(DPIA)的詳細訊息,將這份檔案描述為評估該工具是否符合 GDPR 的“重要元素”。就 Olejnik 本人而言,他表示希望透過對 OpenAI 和 ChatGPT 的投訴,能夠正確行使他迄今為止無法行使的所有 GDPR 權利。“在這個過程中,我有點像卡夫卡的《審判》中的約瑟夫·K,”他告訴我們。“幸運的是,在歐洲有一個可以避免這種感知的制度。我相信 GDPR 的程式是有效的!”媒體聯絡:
對於 OpenAI 的言論請聯絡: - OpenAI 媒體聯絡人:media@openai.com - OpenAI 聯絡人:contact@openai.com 對於投訴的諮詢請聯絡: - Lukasz Olejnik email:[email protected] - GP Partners 律師事務所 email:[email protected] 欲理解更多詳情,請聯絡:- TechCrunch 記者 Natasha Lomas:natasha
ComplaintorPrivacy-OpenAI,隱私,研究人員,GDPR,投訴,違規事件,資料保護
延伸閱讀
- 一對 Airbnb 校友將智慧與自動化引入資料保護
- OpenAI 與英國《金融時報》達成戰略合作,包括內容使用
- OpenAI 旗下創投基金悄悄籌集 1500 萬美元
- 「不鏽鋼」幫助 OpenAI、Anthropic 等公司構建其 API 的 SDK
- Mozilla 發現大多數約會應用並不善於保護使用者資料
- OpenAI 計劃在東京設立新辦事處、特斯拉裁員數千人
- 元宇宙公司 "同意或付款" 策略絕不能侵害隱私,歐盟權利團體發出警告
- OpenAI 宣布東京辦公室成立,並推出日文最佳化的 GPT-4 模型
- OpenAI 擴大自定義模型訓練計劃
- 前 Snap AI 主席推出 Higgsfield,挑戰 OpenAI 的 Sora 影片生成器
