ChatGPT的個資疑慮與各國的因應行動——從義大利資料保護機構暫時禁止ChatGPT之服務談起
  • Post category:News
  • Post author:
Tags:

◎ 劉汶渝

Photo by Growtika on Unsplash

2023年3月31日,義大利資料保護機構GPDP (Garante per la Protezione dei Dati Personali)發布新聞稿,宣布立即禁止OpenAI使用、進一步處理並利用ChatGPT義大利使用者之資料,且即刻禁止ChatGPT在義大利的服務,亦針對以上事項展開調查。義大利因而成為第一個在其境內禁止ChatGPT使用的歐洲國家。

GPDP於該新聞稿中強調兩點,第一為ChatGPT於資料處理過程,違反歐盟《一般資料保護規則》(General Data Protection Regulation,GDPR)第13及14條。GPDP認為,OpenAI於蒐集資料時並未告知ChatGPT之使用者與其蒐集、使用之資料來源者其資料將如何被蒐集及運用;再者,ChatGPT仰賴大量地蒐集、儲存及處理個人資料予訓練演算法(Training Algorithm),似無任何法源依據(OpenAI網站中亦明白指出其會蒐集使用者與ChatGPT之對話、互動以供未來訓練使用,且OpenAI之員工亦得檢視該互動內容)。依GPDP至今的試驗,ChatGPT所提供的資訊,並非均為正確或準確的,因而有不準確的個人資訊經ChatGPT處理並使用的疑慮,並進而放大錯誤資訊及侵犯使用者之隱私權。第二為,雖然OpenAI的使用者服務條款中訂有ChatGPT之使用者應年滿13歲以上之文字,但ChatGPT並未設立有效的「年齡驗證機制」,因而使心智尚未成熟之未成年孩童暴露在可能接收不適當的 ChatGPT回覆之風險中。

有鑒於上述之疑慮與禁制,於2023年4月5日,GPDP 當局與 OpenAI高層展開一場視訊會議,OpenAI 於會議中表達與 GPDP 共同合作的意願,並期望得以解決GPDP於上述新聞稿中提出的問題。因此,OpenAI必須在同年的4月30日前,遵循以下於同年4月12日 GPDP 發布新聞稿中提及之事項並提供相關資訊:

  1. OpenAI須於其網站上明顯可見處提供ChatGPT資料處理相關資訊以及賦予資料主體(含使用者及非使用者)之權利,且須於義大利使用者註冊 ChatGPT 服務前即提供使用者該資訊,並同時以年齡驗證機制進行篩選、審核。
  2. 根據GDPR的「責任原則」(Accountability Principle),OpenAI 於蒐集使用者個人資料以訓練 ChatGPT時,應以同意(consent)之合約型態或合法利益(legitimate interest)為其蒐集資料之依據。
  3. OpenAI須提供使用者及非使用者簡便之管道,以便其更正ChatGPT上之不當個人資訊與行使其拒絕之權利以防止個人資料受ChatGPT 之處理、使用。
  4. OpenAI 應立即實施「年齡驗證機制」,以過濾出年齡為13歲以下以及13至18歲之使用者,並要求其均須獲家長同意始得使用 ChatGPT。
  5. OpenAI須透過收音機、電視、報紙或網路之推廣、宣傳以告知使用者:「 ChatGPT 使用其個人資訊予訓練演算法以訓練該模型。」

於2023年4月29日,GPDP當局以OpenAI已於其網站中設置之隱私權告知、澄清其利用使用者個人資料之範圍、讓使用者得自由選擇退出而不使用其個人資料於訓練演算法中、建立資料主體得以消除錯誤或不準確資訊之機制(參GDPR第17條“Right to be forgotten”)、設立年齡驗證機制,而 ChatGPT得以恢復提供服務予義大利使用者。

雖ChatGPT於義大利之禁令與使用者隱私權問題看似完美落幕,而OpenAI亦似乎打了一場勝仗;惟於義大利向ChatGPT進行規制、禁止之濫觴後,各國亦如火如荼地分別開始調查OpenAI與ChatGPT。以下將依各國展開行動之時序,分別簡要介紹各國採取之手段。

早在2021年,歐盟執行委員會即有提議《人工智慧法案》(EU AI Act),並於2023年6月14日修正並通過該草案,預計於2025年全面生效;2023年4月13日,歐盟個人資料保護委員會(European Data Protection Board,EDPB)考量近期義大利針對OpenAI與ChatGPT之舉措,決定成立專門小組以促進合作與調查。

在美國,人工智慧與數位政策中心(Center for Artificial Intelligence and Digital Policy,CAIDP)於2023年3月30日向美國聯邦貿易委員會(Federal Trade Commission)提出申訴並請求其針對OpenAI 展開調查。CAIPD依其所提出長達47頁之申訴書中,主張OpenAI與ChatGPT具歧視、傷害性之偏見風險,且OpenAI亦明知GPT-4有此種風險惟仍推出之,以及ChatGPT的隱私、透明性(black box)、公共安全、保護孩童與欺騙之疑慮。2023年7月10日,CAIPD再次提出補充資料以促請聯邦貿易委員會進行調查。終於在同年7月13日,聯邦貿易委員會提出20頁之報告正式宣布展開對OpenAI之調查(主要為確認其訓練模型是否合乎聯邦對於隱私、個人資料保護與不實廣告之規範、是否以提供錯誤資訊之方式傷害民眾)。

西班牙之資料保護機構AEPD (La Agencia Española de Protección de Datos),亦於2023年4月13日宣布向OpenAI發起初步調查。伊比利亞美洲個人資料保護網路當局(la Red Iberoamericana de Protección de Datos Personales,RIPD)亦於2023年5月8日考量ChatGPT服務之風險下,展開監督與協調。

加拿大個人資料隱私專員公署 (Office of the privacy Commissioner)於2023年4月4日,以OpenAI 在未經使用者同意下蒐集、使用、揭露個人資訊為由,對其展開調查。

法國資料保護機構CNIL (Commission Nationale Informatique & Libertés),經收到5件關於ChatGPT之投訴(投訴中不乏提及OpenAI於使用者註冊時並未徵求其同意使用個人資料、使用者亦無法進入OpenAI蒐集之其個人資訊、OpenAI缺乏透明及公平性且未完整保障使用者之資訊保護權利、ChatGPT捏造不實資訊等)後,於2023年5月16日決定推出行動計畫以因應之。

波蘭之資料保護機構UODO (Urząd Ochrony Danych Osobowych)於2023年9月20日宣布將展開針對 ChatGPT 之調查。

德國北萊茵蘭—伐爾茲邦(州)之資料保護官員(Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen,LDI NRW)與巴登—符騰堡邦(州)之資料保護官員(Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg,LfDI Baden-Württemberg)於2023年4月24日及10月26日向OpenAI針對ChatGPT之透明度、個人資料處理、資料主體資訊權及個人資料之更正與刪除權提出問題。

從以上各國積極針對OpenAI展開調查以觀,均主要針對ChatGPT與使用者個人資料保護、資料主體同意權、未成年孩童保護、ChatGPT可能因其幻覺(confabulation/hallucination)生成不實、誤導之資訊而傷害人民。OpenAI於義大利對ChatGPT之禁令逃過一劫而重返後,是否仍得以如前次順利解決各國之疑問與通過調查,仍須靜待各國當局之決策及應變。

參考資料