概述
ICO向Snap发出了一份初步执法通知(preliminary enforcement notice),原因是Snap的生成式人工智能聊天机器人 (My AI)可能没有适当评估其带来的隐私风险(尤其是针对13-17岁儿童)。

产品概况
Snap 于 2023 年 2 月向英国 Snapchat+ 用户推出了 "My AI "功能,并于 2023 年 4 月向英国更广泛的 Snapchat 用户群推出。该聊天机器人功能由 OpenAI 的 GPT 技术提供支持,是英国首个将生成式人工智能嵌入主要信息平台的产品。截至2023 年 5 月,Snapchat 在英国拥有 2100 万月活跃用户。
违法事实
ICO 的调查暂时发现 Snap 在推出 "My AI "之前进行的风险评估没有充分评估生成式人工智能技术带来的数据保护风险,尤其是对儿童的数据保护风险。在涉及使用创新技术和处理 13 至17 岁儿童个人数据的情况下,数据保护风险评估尤为重要。
调查流程
初步通知中的调查结果是暂时的,最终执行通知发出前会充分考虑Snap提出的陈述。
在发布这份初步执法通知之前,ICO 在2023年6月15日发布《Don’tbeblindtoAIrisksinrushtoseeopportunity-ICOreviewingkeybusinessuseofgenerativeAI》提醒开发或使用生成式人工智能的公司从一开始就应考虑其数据保护义务,遵守Data Protection by design and by default。

- Stephen Almond, Exec Director of Regulatory Risk
提出“我们将审查企业在引入生成式人工智能之前是否已经解决了隐私风险问题--并在存在因数据使用不当而对人们造成伤害的风险时采取行动。在推出之前忽视人们的权利和自由所面临的风险是没有任何借口的。
企业需要向我们证明他们是如何解决在其场景下发生的风险的--即使底层技术是相同的。例如,在电影院帮助顾客的人工智能聊天功能与性健康诊所的聊天功能会引发不同的问题。”
此次的初步执法通知可以理解为该执法行动的一部分。该文也又重申了ICO在2023年4月3日发布的《GenerativeAI:Eightquestionsthatdevelopersandusersneedtoknow》,提醒开发者和使用者需要遵守该指南要求。
关于AIGC需要问的8个问题
ICO在《GenerativeAI:Eightquestionsthatdevelopersandusersneedtoknow》中提出:
开发或使用生成式人工智能的组织应从一开始就考虑其数据保护义务,遵守Data Protection by design and by default。这不是可选的--如果你正在处理个人数据,这就是法律。
如果您处理的个人信息来自可公开访问的来源,数据保护法仍然适用。如果您正在开发或使用处理个人数据的生成式人工智能,您需要问自己以下问题:
处理个人数据的合法依据是什么?如果您正在处理个人数据,您必须确定适当的合法性基础,如同意或合法利益。
您是控制者、联合控制者还是处理者?如果您正在使用个人数据开发生成式人工智能,那么您可能作为数据控制者。如果您正在使用或部署他人开发的模型,您可能是控制者、联合控制者或处理者。
您是否准备了数据保护影响评估 (DPIA)?在开始处理个人数据之前,您必须通过 DPIA 流程评估并降低任何数据保护风险。您的 DPIA 应随着处理过程及其影响的变化而不断更新。
如何确保透明度?除非适用豁免,否则您必须向公众提供有关处理的信息。如果不会花费过多成本,您必须将此信息直接传达给数据相关的个人。
如何降低安全风险?除个人数据泄露风险外,您还应考虑并降低模型反转和成员推断、数据中毒及其他形式的对抗性攻击的风险。
如何限制不必要的处理?您必须只收集足以实现既定目的的数据。数据应具有相关性并仅限于必要的范围。
如何满足个人权利要求?您必须能够回应人们关于访问、更正、删除或其他信息权利的要求。
您是否将生成式人工智能用于自动化决策?如果是,而且这些决定具有法律或类似的重大影响(如重大医疗诊断),那么根据UK GDPR 第22 条,个人还享有进一步的权利。
作为数据保护监管机构,ICO将向正在开发或使用生成式人工智能的组织提出这些问题。如果有组织不遵守法律并考虑对个人的影响,我们将采取行动。
ICO对企业的创新监管
ICO致力于为组织提供支持,使其能够扩大规模并维护公众信任。ICO最近更新的《人工智能与数据保护指南》为生成式人工智能的开发者和用户提供了数据保护合规性路线图。我们随附的风险工具包可帮助企业识别和降低数据保护风险。
发现新数据保护问题的创新者可以通过ICO监管沙盒和新的创新建议服务获得ICO的建议。在此基础上,ICO正在与数字监管合作论坛(Digital Regulation Cooperation Forum)的合作伙伴一起,为需要从多个监管机构获得联合建议的数字创新者试行多机构建议服务(Multi-Agency Advice Service)。
ICO向Snap发出了一份初步执法通知(preliminary enforcement notice),原因是Snap的生成式人工智能聊天机器人 (My AI)可能没有适当评估其带来的隐私风险(尤其是针对13-17岁儿童)。

产品概况
Snap 于 2023 年 2 月向英国 Snapchat+ 用户推出了 "My AI "功能,并于 2023 年 4 月向英国更广泛的 Snapchat 用户群推出。该聊天机器人功能由 OpenAI 的 GPT 技术提供支持,是英国首个将生成式人工智能嵌入主要信息平台的产品。截至2023 年 5 月,Snapchat 在英国拥有 2100 万月活跃用户。
违法事实
ICO 的调查暂时发现 Snap 在推出 "My AI "之前进行的风险评估没有充分评估生成式人工智能技术带来的数据保护风险,尤其是对儿童的数据保护风险。在涉及使用创新技术和处理 13 至17 岁儿童个人数据的情况下,数据保护风险评估尤为重要。
调查流程
初步通知中的调查结果是暂时的,最终执行通知发出前会充分考虑Snap提出的陈述。
在发布这份初步执法通知之前,ICO 在2023年6月15日发布《Don’tbeblindtoAIrisksinrushtoseeopportunity-ICOreviewingkeybusinessuseofgenerativeAI》提醒开发或使用生成式人工智能的公司从一开始就应考虑其数据保护义务,遵守Data Protection by design and by default。

- Stephen Almond, Exec Director of Regulatory Risk
提出“我们将审查企业在引入生成式人工智能之前是否已经解决了隐私风险问题--并在存在因数据使用不当而对人们造成伤害的风险时采取行动。在推出之前忽视人们的权利和自由所面临的风险是没有任何借口的。
企业需要向我们证明他们是如何解决在其场景下发生的风险的--即使底层技术是相同的。例如,在电影院帮助顾客的人工智能聊天功能与性健康诊所的聊天功能会引发不同的问题。”
此次的初步执法通知可以理解为该执法行动的一部分。该文也又重申了ICO在2023年4月3日发布的《GenerativeAI:Eightquestionsthatdevelopersandusersneedtoknow》,提醒开发者和使用者需要遵守该指南要求。
关于AIGC需要问的8个问题
ICO在《GenerativeAI:Eightquestionsthatdevelopersandusersneedtoknow》中提出:
开发或使用生成式人工智能的组织应从一开始就考虑其数据保护义务,遵守Data Protection by design and by default。这不是可选的--如果你正在处理个人数据,这就是法律。
如果您处理的个人信息来自可公开访问的来源,数据保护法仍然适用。如果您正在开发或使用处理个人数据的生成式人工智能,您需要问自己以下问题:
处理个人数据的合法依据是什么?如果您正在处理个人数据,您必须确定适当的合法性基础,如同意或合法利益。
您是控制者、联合控制者还是处理者?如果您正在使用个人数据开发生成式人工智能,那么您可能作为数据控制者。如果您正在使用或部署他人开发的模型,您可能是控制者、联合控制者或处理者。
您是否准备了数据保护影响评估 (DPIA)?在开始处理个人数据之前,您必须通过 DPIA 流程评估并降低任何数据保护风险。您的 DPIA 应随着处理过程及其影响的变化而不断更新。
如何确保透明度?除非适用豁免,否则您必须向公众提供有关处理的信息。如果不会花费过多成本,您必须将此信息直接传达给数据相关的个人。
如何降低安全风险?除个人数据泄露风险外,您还应考虑并降低模型反转和成员推断、数据中毒及其他形式的对抗性攻击的风险。
如何限制不必要的处理?您必须只收集足以实现既定目的的数据。数据应具有相关性并仅限于必要的范围。
如何满足个人权利要求?您必须能够回应人们关于访问、更正、删除或其他信息权利的要求。
您是否将生成式人工智能用于自动化决策?如果是,而且这些决定具有法律或类似的重大影响(如重大医疗诊断),那么根据UK GDPR 第22 条,个人还享有进一步的权利。
作为数据保护监管机构,ICO将向正在开发或使用生成式人工智能的组织提出这些问题。如果有组织不遵守法律并考虑对个人的影响,我们将采取行动。
ICO对企业的创新监管
ICO致力于为组织提供支持,使其能够扩大规模并维护公众信任。ICO最近更新的《人工智能与数据保护指南》为生成式人工智能的开发者和用户提供了数据保护合规性路线图。我们随附的风险工具包可帮助企业识别和降低数据保护风险。
发现新数据保护问题的创新者可以通过ICO监管沙盒和新的创新建议服务获得ICO的建议。在此基础上,ICO正在与数字监管合作论坛(Digital Regulation Cooperation Forum)的合作伙伴一起,为需要从多个监管机构获得联合建议的数字创新者试行多机构建议服务(Multi-Agency Advice Service)。
