法国隐私监管机构 CNIL 发布了一份人工智能行动计划,简要说明了未来几个月及以后它将关注的重点,包括 OpenAI 的 ChatGPT 等生成式人工智能技术。
CNIL 已经设立了一个专门的人工智能服务部门,致力于确定技术范围并为“隐私友好的人工智能系统”提供建议。
监管机构的一个关键既定目标是引导人工智能的发展“尊重个人数据”,例如通过开发审计和控制人工智能系统的方法来“保护人们”。
了解人工智能系统如何影响人类是另一个主要重点,同时支持本地人工智能生态系统中应用 CNIL 最佳实践的创新参与者。
“CNIL 希望制定明确的规则来保护欧洲公民的个人数据,以促进对隐私友好的人工智能系统的发展,”它写道。
几乎一周过去了,技术专家们又打来高调的电话,要求监管机构认真对待人工智能。就在昨天,在美国参议院的证词中,OpenAI 的首席执行官山姆奥特曼呼吁立法者监管该技术,建议建立许可和测试制度。
然而,欧洲的数据保护监管机构已经走得很远了——例如,Clearview AI 等公司已经因滥用个人数据而在整个欧盟受到广泛制裁。虽然 AI 聊天机器人Replika 最近在意大利面临执法。
OpenAI 的 ChatGPT在 3 月底也引起了意大利 DPA 的非常公开的干预,这导致该公司急于为用户推出新的披露和控制措施,让他们对其如何使用他们的信息施加一些限制。
与此同时,欧盟立法者正在就欧盟于 2021 年 4 月提出的基于风险的人工智能应用监管框架达成协议。
这个框架,即欧盟 AI 法案,可能会在年底前通过,计划中的监管是 CNIL 强调准备其 AI 行动计划的另一个原因,称这项工作“还将使准备进入申请成为可能目前正在讨论的欧洲 AI 法规草案”。
现有的数据保护机构 (DPA) 可能会在 AI 法案的执行中发挥作用,因此监管机构建立对 AI 的理解和专业知识对于该制度的有效运作至关重要。虽然欧盟 DPA 选择关注的主题和细节将在未来衡量 AI 的操作参数——当然是在欧洲,而且可能会在更远的地方考虑到欧盟在数字规则制定方面的领先地位。
框架中的数据抓取
在生成人工智能方面,法国隐私监管机构特别关注某些人工智能模型制造商从互联网上抓取数据以构建数据集来训练大型语言模型 (LLM) 等人工智能系统的做法,例如,可以解析自然语言并以类似人类的方式对交流做出反应。
它表示,其 AI 服务的一个优先领域将是“保护网络上的公开可用数据,防止使用抓取或抓取数据来设计工具”。
对于像 ChatGPT 这样的 LLM 制造商来说,这是一个令人不安的领域,他们一直依靠悄悄地抓取大量网络数据来重新用作培训素材。那些收集包含个人数据的网络信息的人在欧洲面临着特定的法律挑战——自 2018 年 5 月开始实施的通用数据保护条例 (GDPR) 要求他们为此类处理提供法律依据。
GDPR 中列出了许多法律依据,但是像 ChatGPT 这样的技术的可能选择是有限的。
在意大利 DPA 看来,只有两种可能性:同意或合法利益。由于 OpenAI 在获取个人网络用户的数据之前没有征得他们的许可,该公司现在依靠在意大利的合法权益来进行处理;当地监管机构Garante仍在调查这一说法。 (提醒:除任何纠正令外,GDPR 处罚最高可达全球年营业额的 4%。)
泛欧盟法规包含对处理个人数据的实体的进一步要求——例如处理必须公平和透明。因此,为避免触犯法律,ChatGPT 等工具面临着额外的法律挑战。
而且 – 值得注意的是 – 在其行动计划中,法国的 CNIL 强调“ [AI 工具] 操作背后的数据处理的公平性和透明度”作为其人工智能服务和另一个内部单位 CNIL 表示特别感兴趣的问题数字创新实验室,将在未来几个月内优先审查。
CNIL 为其 AI 范围界定标记的其他优先领域是:
- 保护用户在使用这些工具时传输的数据,范围从收集(通过接口)到可能通过机器学习算法重复使用和处理;
- 对个人数据权利的影响,包括为学习模型而收集的数据以及这些系统可能提供的数据,例如在生成人工智能的情况下创建的内容;
- 防止可能发生的偏见和歧视;
- 这些工具带来前所未有的安全挑战。
昨天向美国参议院委员会作证时,奥特曼被美国立法者质疑公司保护隐私的方法,OpenAI 首席执行官试图将这个话题狭义地界定为仅指 AI 聊天机器人用户主动提供的信息——例如,注意到,ChatGPT 允许用户指定他们不希望将他们的对话历史记录用作训练数据。 (但是,它最初没有提供这一功能。)
当被问及采取了哪些具体措施来保护隐私时,Altman 告诉参议院委员会:“我们不会对提交给我们 API 的任何数据进行训练。因此,如果您是我们的企业客户并提交了数据,我们根本不会对其进行培训……如果您使用 ChatGPT,您可以选择退出我们对您的数据进行的培训。您还可以删除您的对话历史记录或整个帐户。”
但他对最初用于训练模型的数据无话可说。
奥特曼对隐私含义的狭隘界定回避了训练数据合法性的基本问题。如果您愿意,可以将其称为生成式 AI 的“原始隐私罪”。但很明显,随着欧洲监管机构继续在强大的人工智能系统上执行该地区现有的隐私法,对于 OpenAI 及其数据抓取同类产品来说,回避这个话题将变得越来越困难。
就 OpenAI 而言,它将继续受到整个欧洲执法方法的拼凑,因为它在该地区没有建立基地——GDPR 的一站式机制不适用(因为它通常适用于大型科技公司) ) 因此,如果任何 DPA 认为本地用户的数据正在被处理并且他们的权利受到威胁,则它有权进行监管。因此,尽管意大利今年早些时候对 ChatGPT 进行了严厉干预,在对该工具展开调查的同时下达了停止处理令,但法国监管机构只是在 4 月份才宣布展开调查,以回应投诉。 (西班牙也表示正在探索这项技术,但仍未采取任何额外行动。)
欧盟 DPA 之间的另一个区别是,CNIL 似乎关心的问题比意大利的初步清单更广泛——包括考虑 GDPR 的目的限制原则应如何适用于 ChatGPT 等大型语言模型。这表明,如果它断定 GDPR 被违反,它最终可能会下令进行更广泛的运营变更。
“CNIL 将很快提交一份关于适用于数据共享和再利用的规则的指南,”它写道。 “这项工作将包括重新使用互联网上可自由访问的数据的问题,这些数据现在用于学习许多人工智能模型。因此,本指南将与 AI 系统设计所需的一些数据处理相关,包括生成 AI。
“它还将继续设计人工智能系统和构建机器学习数据库。从 2023 年夏季开始,在与多个参与者组织的磋商之后,这些将产生几份出版物,以提供具体的建议,特别是关于 ChatGPT 等人工智能系统的设计。”
以下是 CNIL 表示将通过未来的出版物和 AI 指南“逐步”解决的其他主题:
- 使用科学研究系统建立和重新使用培训数据库;
- 目的原则在通用人工智能和大型语言模型等基础模型中的应用;
- 解释构成数据库的实体、根据数据制定模型的实体和使用这些模型的实体之间的责任分担;
- 考虑到数据准确性和最小化原则,适用于选择训练数据的规则和最佳实践;
- 个人权利的管理,特别是访问权、纠正权和异议权;
- 关于保质期的适用规则,特别是对于训练基地和要使用的最复杂模型;
- 最后,意识到人工智能系统提出的问题并不止于其概念,CNIL 也在追求其道德反思[继 2017 年发布的一份报告之后] 关于机器学习模型的使用和共享、预防和纠正偏见和歧视,或人工智能系统的认证。
在人工智能系统的审计和控制方面,法国监管机构规定其今年的行动将集中在三个方面:遵守其于 2022 年发布的关于使用“增强型”视频监控的现有立场;使用人工智能打击欺诈(如社会保险欺诈);以及调查投诉。
它还确认它已经收到了关于生成人工智能培训和使用的法律框架的投诉——并表示正在努力澄清这些问题。
“特别是 CNIL 已经收到了几起针对管理 ChatGPT 服务的 OpenAI 公司的投诉,并启动了控制程序,”它补充说,并指出最近在欧洲数据保护委员会内成立了一个专门的工作组董事会试图协调不同的欧洲当局如何监管 AI 聊天机器人(并产生它所谓的“对 OpenAI 工具实施的数据处理的协调分析”)。
CNIL 进一步警告从未征求人们许可使用其数据的 AI 系统制造商,并可能希望未来得到宽恕,CNIL 指出,它将特别关注实体是否处理个人数据以开发、培训或使用人工智能系统具有:
- 进行数据保护影响评估以记录风险并采取措施降低风险;
- 采取措施告知人们;
- 为行使适合这一特定情况的人的权利而计划的措施。
所以,呃,不要说你没有被警告过!
至于对希望遵守欧洲规则(和价值观)的创新 AI 玩家的支持,CNIL 已经启动并运行了几年的监管沙箱——它鼓励 AI 公司和研究人员致力于开发 AI 系统很高兴与个人数据保护规则取得联系(通过[email protected] )。
法国的隐私监管机构在最初发布于TechCrunch的Natasha Lomas的AI 行动计划中关注数据抓取保护