人工智能和算法系列文章（四）：人工智能及算法治理的新进展——基于ChatGPT在意大利的监管案例评析

一、 引言

2022年年底，美国人工智能研究实验室OpenAI推出一种人工智能技术驱动的自然语言处理工具ChatGPT。作为能够生成自然语言文本的语言模型，ChatGPT基于深度学习技术和大规模语料库，具有广泛的应用场景和潜力。随着ChatGPT等生成式人工智能产品的风靡，其可能导致的侵犯知识产权、传播虚假信息、侵犯数据隐私和商业秘密等负面风险也逐步进入人们的视野，人工智能和算法监管也逐步成为世界各国监管的热点话题。各国政府和监管机构都正在试图通过立法的途径加强对生成式人工智能和算法的监管。2023年4月11日，国家互联网信息办公室发布《生成式人工智能服务管理办法（征求意见稿）》，规定了对于生成式人工智能服务的监管要求。¹2023年6月14日，欧洲议会（European Parliament）通过了《人工智能法案》（AI Act）草案，之后将与欧盟成员国（EU member states）和欧盟委员会（European Commission）进入三方“谈判”阶段，一旦该法案正式出台，将成为全球范围内关于公司如何使用人工智能的第一步综合性法律文件。²2023年5月16日，OpenAI CEO参加美国参议院司法委员会听证会时呼吁美国政府对人工智能制定规范。³

而在执法方面，早在2023年3月底，开向ChatGPT的监管“第一枪”便已在欧洲正式打响。本文拟结合我们对意大利最新监管案例的评析，讨论人工智能和算法监管的最新要点。

二、 世界主要国家人工智能和算法执法趋势

2023年3月31日，意大利数据保护局（Garante）宣布即日起禁止使用ChatGPT，并限制OpenAl 处理意大利用户信息。⁴

2023年4月，世界各国监管机构相继展开针对ChatGPT的监管执法行动。4月3日，德国联邦数据保护专员乌尔里希·凯尔伯（Ulrich Kelber）接受媒体报道时称，出于对数据安全保护的考量，德国可能会效仿意大利，暂时禁用ChatGPT。⁵英国信息专员办公室（ICO）通过其官方网站提醒任何开发或使用生成式人工智能的组织在涉及个人数据处理活动时，同样需要遵守数据保护的相关法律。⁶4月4日，加拿大隐私专员办公室（OPC）通过其官方网站宣布对ChatGPT开发公司OpenAI展开调查，该调查旨在回应针对OpenAI未经同意收集、使用和披露个人数据的投诉。⁷瑞士联邦数据保护和信息专员（FDPIC）通过其官网表示其正在与意大利数据保护局、沟通，以获取有关其禁止ChatGPT 的更多信息。⁸4月13日，据媒体报道，法国国家信息自由委员会（CNIL）决定对其收到的五起关于ChatGPT的投诉展开调查。⁹西班牙国家数据保护局（Spanish Agency for Data Protection）发表声明称，已正式对ChatGPT可能的违反法律行为，对OpenAI展开初步调查。¹⁰欧盟数据保护委员会（EDPB）专门成立了ChatGPT特别工作组，就欧盟各国数据保护监管机构针对ChatGPT采取的执法行动促进合作和交换信息。¹¹

近期各国监管机构依旧在不断采取措施对人工智能展开规范和引导。2023年5月16日，法国国家信息自由委员会于其官方网站发布《人工智能：行动计划》（Artificial intelligence: the action plan of the CNIL）¹²，重点解决与人工智能相关的隐私问题，以应对如ChatGPT之类的生成式人工智能。并且CNIL在该行动计划中进一步证实CNIL收到了几起针对管理ChatGPT服务的OpenAI公司的投诉，并启动了控制程序（control procedure）。5月25日，加拿大隐私专员办公室通过其官方网站宣布魁北克省、不列颠哥伦比亚省和艾伯塔省等省的省级数据隐私监管机构将与联邦层面的隐私专员办公室联合调查ChatGPT的开发公司OpenAI。¹35月25日新西兰隐私专员办公室（Office of Privacy Commissioner）发布《生成式人工智能指南》（Guidance on the Use of Generative Artificial Intelligence）¹⁴指出使用生成式人工智能的机构对与这些工具相关的潜在隐私风险应有足够的认识，并指出这些风险包括：训练数据风险、信息保密的风险、生成内容准确性的风险、不能保障访问和更正个人数据的权利的风险。

三、 意大利对ChatGPT的监管要求及整改措施

意大利数据保护局发布的九项关于ChatGPT的整改要求，主要围绕告知要求、用户拒绝、纠正的权利、个人数据处理的合法性基础、建立年龄验证系统等九个方面展开，OpenAI公司也在2023年4月28日前根据要求完成了前七个方面整改。具体情况如下：

（一）告知要求

首先，意大利数据保护局要求OpenAI在公司网站上起草并发布声明，向其个人数据已被收集和用于训练算法的数据主体（无论是否是ChatGPT服务的用户）告知个人数据的处理方式、ChatGPT和APIs等服务运行所必需的个人数据处理的背后逻辑、数据主体所享有的权利以及GDPR条款中所规定的其他需要告知的内容。

为了应对该整改要求，OpenAI在其官网上发布题为“How ChatGPT and Our Language Models are Developed”的声明（“算法训练声明”）¹⁵，在其中披露ChatGPT运行的基本原理以及算法训练的基本原理；何种信息类型将会被用于算法训练（明确告知会将个人数据用于算法训练）；ChatGPT的运行发展如何遵守数据法律要求等内容。

（图片来源于：https://thenextweb.com/news/chatgpt-back-in-italy）

（二）所有个人的拒绝处理的权利

意大利数据保护局要求OpenAI在公司网站上，至少向来自意大利的数据主体（无论是否是ChatGPT服务的用户）提供行使拒绝处理权的工具，数据主体可以拒绝公司处理其数据用于算法训练和提供服务。

为了应对该整改要求，OpenAI在算法训练声明中加入名为“We respond to objection requests and similar rights”的段落，并在该段落中加入通向“OpenAI Personal Data Removal Request”¹⁶表单的链接，指出任何数据主体可以通过填写表格来请求和实现拒绝处理个人数据。

（三）所有个人的纠正的权利

意大利数据保护局要求OpenAI在公司网站上，至少向来自意大利的数据主体（无论是否是ChatGPT服务的用户）提供行使纠正权的工具，数据主体可以请求并实现对内容生成过程中被错误处理的任何个人数据进行纠正，或者在根据最先进的技术无法做到纠正的情况下，删除相关个人数据。

为了应对该整改要求，OpenAI在隐私政策中新增名为“A note about accuracy”的段落，并在该段落中加入通向“OpenAI Personal Data Removal Request”表单的链接，指出数据主体可以通过填写表格请求删除被认为不准确的数据，同时指出目前在技术上无法纠正这些不准确数据。

（四）用户注册时阅读相关政策的便捷性

意大利数据保护局要求OpenAI在用户注册流程中包含通向前述声明的链接，放置于用户注册前的“阅读须知”的位置，要求所有从意大利接入服务的用户在使用服务前都能够阅读该声明。

为了应对该整改要求，OpenAI采取了两项整改措施：

一是扩展了针对用户的隐私政策，将算法训练声明也加入ChatGPT的隐私政策之中，在用户注册之前，也可以在注册页面中访问隐私政策算法训练声明的链接。

二是在意大利引入了重新设计的ChatGPT欢迎回来界面，其中包含新隐私政策的链接和算法训练声明的链接。

（五）个人数据处理的合法性基础

意大利数据保护局要求OpenAI修改以算法训练为目的处理用户个人数据的合法性基础，不得再援引合同作为合法性基础，改为使用同意（consent）或合法性利益（legitimate interest）作为处理数据的合法性基础。

为了应对该整改要求，OpenAI在算法训练声明中明确说明将以合法性利益（legitimate interest）作为处理用户个人数据用于训练算法的合法性基础，并且不影响用户选择拒绝此类处理的权利。

（六）ChatGPT用户的拒绝处理的权利

意大利数据保护局要求OpenAI在公司的网站上，至少向来自意大利的用户提供一个易于访问的行使拒绝处理权的工具，通过该工具用户可以（在合法性基础为上述第五条所要求的合法性利益（legitimate interest）的情况下）拒绝公司处理用户个人数据用于算法训练。

为了应对该整改要求，OpenAI为ChatGPT用户提供“User Content Opt Out Request”表单，ChatGPT用户可以通过填写该表单来拒绝使用其个人数据进行算法训练。

（七）设置年龄准入门槛

意大利数据保护局要求所有从意大利接入ChatGPT服务的用户，无论是否已经注册，在可能重新恢复意大利服务后，需要在首次访问时需要通过年龄门槛，根据输入的年龄筛选出成年用户。

为了应对该整改要求，OpenAI采取了两项整改措施：

一是在专为意大利注册用户欢迎回来的页面中，添加一个按键“I meet OpenAI’s age requirements”，以便在获得服务之前确认他们年满18岁，或者年满13岁并已获得其父母或监护人的同意。

二是在注册页面中要求注册者提供明确的出生日期，以阻止13岁以下用户的访问，并要求年龄在13岁至18岁之间的用户确认已获得父母或监护人的同意。

（八）建立年龄验证系统

意大利数据保护局要求OpenAI须在5月31日前向意大利数据保护局提交一份关于年龄验证系统的计划，并在9月30日之前建立年龄验证系统，以过滤13岁以下的用户，而年龄在13岁至18岁之间的用户需要父母同意才可访问ChatGPT。

（九）通过大众媒体渠道公告

意大利数据保护局要求OpenAI在5月15日前，通过意大利所有主要大众媒体渠道（包括广播、电视、报纸和互联网），向外界告知：他们的个人数据可能已被收集用于训练算法，公司网站上已发布披露详细情况的声明，并且公司网站上仍然提供了可以删除个人数据的工具，通过该工具，所有数据主体都可以请求并获得删除他们的个人数据。

四、 我们的观察和建议

根据我们观察，在个人信息保护角度，目前各国针对ChatGPT等人工智能监管重点包含如下几个方面：

• 处理个人数据的合法性基础（同意、履行合同所必需还是合法性利益）

• 处理个人数据的法律地位（控制者、联合控制者还是处理者）

• 是否完成数据保护影响评估

• 是否依法履行告知义务（向个人数据主体告知数据处理情况和将数据用于算法训练的情况）

• 是否避免限制不必要的数据处理（数据处理的目的是否合理正当和必要）

• 是否保障数据主体的权利请求可以得到响应（保障访问、更正等权利）

• 是否采取措施来降低数据安全风险（数据泄露等安全风险）

• 是否会使用人工智能做出完全自动化的决策（对输出结果是否采取人工审查）

• 是否采取措施保障生成内容的准确性和避免可能发生的偏见和歧视

• 是否存在适当的用户年龄筛选机制（保障未成年人的合法权利）

可以预见的是，未来各国对于人工智能和算法监管的深度和广度逐渐增加，且随着专门立法的出台，将不局限于数据保护领域。我们建议相关企业应当持续关注该领域的最新法规和监管动态，并结合自身实际采取整改等各类应对措施，以确保持续合规地开展各项经营活动。

1.http://www.cac.gov.cn/2023-04/11/c_1682854275475410.htm

2.https://edition.cnn.com/2023/06/15/tech/ai-act-europe-key-takeaways/index.html

3.https://news.cctv.com/2023/05/17/ARTIztoDP2Fn7F3JwicROUCd230517.shtml

4.https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9870847

5.https://www.independent.co.uk/tech/chatgpt-ban-germany-ai-privacy-b2314487.html

6.https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/04/generative-ai-eight-questions-that-developers-and-users-need-to-ask/

7.https://www.priv.gc.ca/en/opc-news/news-and-announcements/2023/an_230404/

8.https://www.edoeb.admin.ch/edoeb/de/home/kurzmeldungen/20230404_chatgpt.html

9.https://newsinfrance.com/chatgpt-the-cnil-is-investigating-five-complaints/

10.https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-inicia-de-oficio-actuaciones-de-investigacion-a-openai）

11.https://edpb.europa.eu/news/news/2023/edpb-resolves-dispute-transfers-meta-and-creates-task-force-chat-gpt_en

12.https://www.cnil.fr/en/artificial-intelligence-action-plan-cnil

13.https://www.priv.gc.ca/en/opc-news/news-and-announcements/2023/an_230525-2/

14.https://www.privacy.org.nz/publications/guidance-resources/generative-artificial-intelligence/

15.https://help.openai.com/en/articles/7842364-how-chatgpt-and-our-language-models-are-developed

16.https://share.hsforms.com/1UPy6xqxZSEqTrGDh4ywo_g4sk30