生成式 AI 带来的数据合规新挑战及应对(附白皮书&报告合集)

来源:广东信达律师事务所

文章摘要
编者按: 从前,作为埃森哲亚太区法律部合规、运营、法规与道德规范主管,公司所有与A(AI,人工智能)、B(Blockchain,区块链)、C(Cloud Computing,云计算)、D(Digita
编者按:
从前,作为埃森哲亚太区法律部合规、运营、法规与道德规范主管,公司所有与A(AI,人工智能)、B(Blockchain,区块链)、C(Cloud Computing,云计算)、D(Digital offerings and services,大数据)有关的技术或服务开发,都必须经过我们合规部门的合规性审查确认。长期处于科技审查的前沿位置让我对高新技术领域的发展始终保持关注。ChatGPT上线后,我曾撰写《ChatGPT的法律和道德伦理挑战》一文,对ChatGPT使用过程中可能存在的法律与道德伦理风险进行了梳理总结,并给出了我认为的可行性应对思路。2023年7月13日,国家互联网信息办公室等七部门正式发布《生成式人工智能服务管理暂行办法》(以下简称“《办法》”),《办法》已于8月15日正式施行。《办法》的出台,标志着我国对于生成式人工智能服务的管理进入了规范化的新阶段。生成式人工智能固然在多个领域展现出巨大创新发展潜力,但其全生命周期所牵涉的数据合规问题非常复杂,通常还涉及AIGC开发者、服务提供者、服务使用者等多方主体,面临着如数据合规、伦理道德、知识产权等诸多挑战,因此企业需要重视生成式人工智能技术可能带来的法律风险。对于企业来说,如何在遵守《办法》的同时,提高服务效率,降低运营成本,实现企业数据合规是需要关注的重要问题。
一、揭开生成式AI的神秘面纱
(一)AIGC简介
AIGC,Artificial Intelligence Generated Content,是基于生成对抗网络、大型预训练模型等人工智能的技术方法,通过已有数据的学习和识别,以适当的泛化能力生成相关内容的技术。其核心思想是利用人工智能算法生成具有一定创意和质量的内容。通过训练模型和大量数据的学习,AIGC可以根据输入的条件或指导,生成与之相关的内容。[1]

(AIGC的发展历史)
AIGC的产品多涉及四个领域,文本领域(ChatGPT、Jasper ai等)、图像领域(Midjourney等)、视频领域(Synthesia等)、音频领域(Murf AI等)。我们最为熟知的就是ChatGPT,它是OpenAI开发的人工智能聊天机器人程序,能够用67种语言与用户进行对话,处理自然语言交互方面的能力十分出色,但其本质上是自然语言处理机器学习模型,这类AI属于生成式AI,不仅可以通过对数据的学习来提炼信息、预测趋势,而且可以生成不同于学习样本的新内容。
ChatGPT对于法律行等脑力工作者们将产生巨大影响,有很多人的工作都能够被替代完成,如可以帮助法律人做法律研究和文献检索、类案推送、文件审查和翻译等,但是法律人必须具备的同理心、职业道德、沟通能力等方面是GPT所无法取代的。
(二)AIGC国际层面的立法监管情况
1.美国、加拿大

2.欧洲

3.中国

4.日本
日本政府决定设立新的“战略会议”负责讨论与人工智能 (AI) 相关的国家战略。
(三)苹果下架中国区ChatGPT相关产品
2023年7月31日,苹果商店宣布对中国区中大量提供ChatGPT服务的应用(100多款)进行集中下架,未进行算法备案与数据跨境不合规或成为主要原因。[4]
从该事件中,我们可以看到生成式AI给企业带来了多方位的挑战,例如:
1、算法备案(备案流程、备案期限、备案准备材料)
2、数据合规(数据处理、数据存储、信息准确性和质量)
3、安全评估(评估流程、评估期限、评估指南)
4、资质证照(ICP许可/ ICP备案、EDI许可、网安备案)
5、科技伦理(审查机制、审查程序)
6、知识产权(商业秘密、著作权、算法专利)
二、数据合规新挑战及应对
(一)数据处理的合法性基础
挑战:
1、意大利数据保护局禁止Open AI以履行合同的方式来为其处理用户个人数据从而进行算法训练提供合法性基础,而应当以用户同意或合法利益作为其正当法律依据。[5]
2、加拿大隐私专员办公室指出,“Open AI未经同意收集、使用和披露个人信息”,且将进一步调查 Open AI是否在ChatGPT收集、使用和披露加拿大用户个人数据信息之前获得了用户有效且有意义的同意。
3、美国、英国、澳大利亚等国数据监管机构对其进行处罚的理由无外乎均包括了“处理数据缺乏法律依据”一项。[6]
生成式AI获取用户数据用于算法训练或构建数据库是其模型中的重要一环,若这一环节失去合法性基础,将对生成式AI的运营造成巨大合规风险,使其面临金钱处罚乃至全面下架的禁令。
应对措施:
1、生成式AI以用户同意、合同履行、法律义务和合法利益作为处理用户个人数据的合法性基础;但无论采用哪种合法性基础,生成式AI都应当确保数据收集的目的明确、合法合规,并严格限制数据的使用范围。
2、对于合法性基础没有合法利益的国家和地区,取得用户同意仍是较为稳固的合法性基础。
(二)透明度和解释性挑战
挑战:
1、GDPR规定。
GDPR第三章第一节规定了信息透明度问题,要求数据控制者应当以一种简单透明、明晰且易获取的方式,通过清楚明确的语言、采取合适措施提供其从数据主体与非数据主体中获得的个人数据。
2、Open AI整改规定。
Open AI必须起草并最终在其网站上提供一份公告信息,说明ChatGPT运行所需的数据处理 安排和逻辑,及其赋予数据主体(用户和非用户)的权利。该公告信息必须易于访问,并需要用户在注册其服务之前就能够阅读到。[7]
应对措施:
1、如开发者提供相关数据给第三方访问或共享,应当向公众清晰说明其允许第三方访问或与第 三方共享的数据范围、内容与种类等信息。
2、运营商可以定期发布数据披露报告,从而向其用户和公众展示数据收集和处理的情况。报告内容可以包括数据收集量、数据收集类型、数据处理目的、数据共享情况以及数据安全措施的概述,以增加其处理用户个人数据的透明度。
3、全球数据监管机构可以考虑为生成式AI提供专门的审查、认证标准,以证明数据处理实践符合透明度和隐私保护的最佳标准。
(三)未成年人数据处理
挑战:
1、GDPR规定。
年龄认证系统与合法性基础问题密切关联,如果个人数据的处理是基于同意,那么根据欧盟《通用数据保护条例》(GDPR)必须要求当事人或者未成年人的监护人进行同意。[8]
2、GPDP的指控。
ChatGPT缺乏任何年龄验证机制。虽然根据条款,ChatGPT适用于13岁以上的人群,但其并未设置使用门槛,因此,儿童可能会在使用ChatGPT的过程中收到不适合他们年龄和意识的回复。
应对措施:
1、设立内嵌机制。
依据不同国家法律作出应对。根据美国法律法规《儿童在线隐私保护法案》,开发者在家长提出要求时必须为其提供对所有未成年用户记录、个人资料和登录信息的完全访问权限[9],并可基于COPPA提出的安全港计划[10]创建自我合规监管指南来保护儿童。根据中国法律法规《生成式人工智能服务管理暂行办法》《中华人民共和国个人信息保护法》,应采取有效措施防范未成年人过度依赖或者沉迷生成式人工智能服务;将内置的相关儿童保护规定门槛提高至14岁,并制定专门的个人信息处理规则以保护不满14岁的未成年用户信息。
2、其他应对方式。
(1)开发者应当设计未成年人内容过滤程序,以避免其接触到不适宜的信息。
(2)开发者应当建立有效的报告和响应机制,以便未成年用户及其监护人能够报告任何安全问题或隐私侵犯情况,并能够及时采取适当的措施来解决这些紧急情况的出现。
(四)信息准确性和质量
挑战:
1、ChatGPT训练数据的统计模式。
ChatGPT等生成式AI的模型输出内容是基于训练数据的统计模式生成的,并不能保证总是提供准确和可靠的答案。
2、“人工智能幻觉”。
由于“人工智能幻觉”的影响,其产出内容的信息准确性与质量频频引起人们的担忧。GPDP在合规指引中对信息准确性问题一带而过,主要是因“人工智能幻觉”而发生的对回答胡乱编纂的情形。但是,ChatGPT的使用不一定涉及个人数据,究竟欧盟《通用数据保护条例》(GDPR)哪一机制适用这一问题目前尚不明晰。[11]
应对措施:
1、采用专家评估、双重审核或集体智慧的机制。
生成式AI应建立实时的反馈机制来收集用户对输出准确度的反馈和评估,并利用该结果,结合人工审核和编辑机制,采用专家评估、双重审核或集体智慧的方式,帮助改善生成式AI的输出准确度。
2、ChatGPT本身迭代。
生成式AI有效提高其信息准确性的方式在于持续学习和更新,以保持与新信息和知识的同步,并进一步据此定期更新训练模型、数据集和知识库,跟踪最新的发展和变化,从而促进生成式AI模型的迭代改进,修正模型中的问题和不准确性,提高输出内容的准确度和可信度。
(五)数据权利行使
挑战:
1、数据监管机构保护角度不同。
意大利数据保护局侧重于保护用户数据权利中的更正权与删除权(被遗忘权),法国国家信息自由委员会和加拿大隐私专员办公室侧重于保护用户数据权利中的访问权、透明度与限制使用权。[12]
不论数据监管机构计划在生成式AI运作中从哪一角度着手对用户的数据权利进行保护,都表明以ChatGPT为代表的生成式AI在用户数据权利行使方面存在着重大合规新挑战。
2、GDPD指控内容。
GDPD指控平台没有就收集处理用户信息进行告知,并在后续的整改要求中提出Open AI应当添加一系列附加措施,使数据主体(包括非用户)能够更正服务错误生成的个人数据,或者如果发现更正在技术上不可行,能够选择删除这些数据;同时,要求Open AI必须提供便于用户访问的工具,与允许非用户行使其反对处理其算法运行所依赖的个人数据的权利。如果选择“合法利益”作为处理用户数据的法律依据,则必须向用户提供相同的权利。
应对措施:
1、应于产品界面显著位置告知用户所享有的数据权利(更正、删除、屏蔽)、用户投诉接收处理渠道及响应机制;[13]
2、遵循数据最小化原则:只收集和使用必要的用户数据,不超出所需范围,同时确保对已收集的数据进行及时清理和删除,避免不必要的数据保留;并积极限制自身的数据使用目的;定期进行数据隐私和安全的风险评估;并与数据处理的第三方供应商签订合适的合同,明确数据保护的责任和义务;
3、采取综合性的数据保护措施,最终将数据隐私保护观念融入到开发组织的文化和价值观中。
(六)数据存储和访问控制——数据安全
挑战:
1、生成式AI的数据安全风险集中在模型被攻击反向溯源数据库、用户通信内容泄露的隐患。[14]
ChatGPT的模型需要大量数据信息进行无监督自主训练和优化,而用户虽然在注册ChatGPT账户时被收集的个人信息种类相较于外卖、打车等为用户提供个性化服务的app来说相对较少,但用户在与ChatGPT对话的过程中,无法避免泄露较为敏感的个人信息。
2、GDPR规定。
意大利数据保护局(GPDP)对ChatGPT的指控之一便在于,ChatGPT于当地时间2023年3月 20日发生了泄露plus版本用户数据的情况,约有1.2%的ChatGPT Plus用户数据被泄露,一些用户有可能看到另一在线用户的姓名、邮箱地址、付款地址、信用卡号后四位等[15]。而其却没有在用户数据信息泄露后进行及时通报,而是在5天后方才发布道歉声明,此举违反了欧洲《通用数据保护条例》(GDPR)对于个人数据泄露处理方式的规定
[16],存在着巨大的数据合规风险。
应对措施:
1、应当采取数据加密、匿名化、脱敏等措施,以减少敏感信息的风险。
2、确保对用户数据进行适当的隐私保护;采取包括访问控制、身份验证、加密传输等在内的适当安全措施来保护存储在系统中的用户个人数据,从而防止数据泄露情况的发生。
3、数据泄露情况发生后,生成式AI开发者应当依照欧洲GDPR或运营所在地的其他数据监管规定,至少在获知泄露情况下的72小时内将包括泄露数据的性质、类别、数量在内的情况通知相关数据监管机构,并积极采取各种补救措施,从而便于数据监管机构对其行为合规性进行核查。
三、总结与思考
我国现行施行的《生成式人工智能服务管理暂行办法》成为全球首部针对生成式人工智能的法规,目前处于立法全球领先的地位。但是欧盟的立法正加快步伐,AI立法近期取得突破进展。2023年6月14日,欧洲议会通过《人工智能法案》草案,欧盟人工智能治理取得突破进展。该法案有望于2023年底正式通过并成为全球首部综合性人工智能监管法律。《人工智能法案》将AI应用分为不同风险级别进行监管,分为“风险极小”、“有限风险”、“高风险”、“不可接受风险”等四个风险级别。
与此同时,全球生成式AI监管执法日趋活跃, 潜在数据合规风险不断加大,美国、欧盟生成式AI数据监管日趋严格,根据欧盟《一般数据保护条例》(GDPR)的罚款数据,截止2023年3月1日,欧洲数据保护当局已开出了与GDPR有关的1,576 笔罚款,罚款总额约27.7亿欧元,最大单张罚款7.46亿欧元。[17]
根据腾讯研究院的研究,中国《个保法》与欧盟GDPR、美国加州隐私立法的29个方面进行比较,中国《个保法》在38%的方面上比GDPR更为严格,在48%的维度上与GDPR同样严格。[18]
就我国生成式AI数据合规的条款与国际条款的对比,我国的法律条款可能更加严厉,处罚更加严重。当前形势下,生成式AI飞速发展的潮流势不可挡。全球各国各区域正加快推进生成式AI的立法,并深化执法监管力度。如何同时满足不同国家和区域的生成式AI数据合规要求成为企业面临的重大挑战?根据我们的理解,从方法论方面,企业要做到数据合规,需综合考虑数据生命周期、使用场景、数据保护原则等三大元素。从技术角度方面,企业需搭建企业数据保护合规制度、并将数据合规体系落地。
企业数据保护合规制度的搭建大致可以分为数据核查、风险识别和制定合规方案、数据合规规则建立和落地等三个步骤:
1、从信息安全角度进行的数据核查,其常规做法是使用软件来“感知”一个系统内的数据种类,并给予这些数据的敏感程度对该系统提出整体的安全方案。例如,埃森哲通过SERVICE NOW、ONE TRUST、HIPEROS等数据合规工具,在跨境数据传输、合同审查、产品服务、隐私监管审查、尽职调查等方面辅助数据核查。
2、在识别现状的基础上,结合适用法律法规规定的合规义务进行差距分析和风险识别。就企业的IT系统、用户界面、用户注册流程以及在个人信息收集、使用以及保护的透明度等方面,进行整体合规方案规划。
3、结合企业实际情况建立数据合规规则,完善相关的制度和流程。开展员工意识培训,使员工认识、了解数据合规要求以及如何在业务流程中落实制度要求。在数据保护合规制度搭建起来后,企业需要持续追踪数据保护合规制度实施情况,改善企业数据合规机制,确保企业的数据合规制度持续为企业保驾护航。
以单项产品上线流程为例,简要描述一个数据合规体系的落地过程。
首先,在产品酝酿阶段,企业可以邀请隐私保护专家列席产品开发的研讨,专家提供个人信息保护的合规建议,提示合规风险与解决方案,此过程应通过会议记录或邮件的形式留痕。
其次,在初步产品设计阶段,产品设计团队针对使用的数据种类建立控制以及架构来处理第一稿的产品设计,第一稿的产品设计需体现上一阶段提出的隐私及个人信息保护风险的解决方案。
再次,产品设计团队将完成后的产品设计进行个人信息安全影响评估(Data Protection Impact Assessment, DPIA)。滴滴出行受审查一事,也强有力地证明了企业对于与数据相关的产品进行个人信息安全评估的必要性和重要性。埃森哲所有与数据相关的新产品和新服务,从研发到上线,都需要数据安全和个人隐私专家提前介入,从法律、商业、技术三个维度对个人信息安全进行综合评估,并形成个人信息安全影响评估报告,防范数据安全风险,防止企业日后因数据安全不合规而遭受重大损失,影响企业发展。
最后,最终产品能够对先前查出的隐私和个人信息保护风险进行处理,以及明确相应的技术手段和控制,通过最终产品展示会议(包含法务、风控、合规、安全等部门)以及论证加以证明。
注释
1参见
https://baike.baidu.com/item/AIGC/59988381
2参见
https://www.8btc.com/article/6816924
3参见
https://www.ithome.com/0/695/337.htm
4参见
https://www.21jingji.com/article/20230802/herald/37afec4f96019d56170767d2ccfe2259.html
5参见
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9874751#english。
6参见
https://www.sohu.com/a/594573269_121255906。
7参见
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9874751#english。
8、11参见
李汶龙、尚博文:《ChatGPT在欧洲“被禁”的法律逻辑》
https://mp.weixin.qq.com/s/jK7eFbaaAJSrrdcYsdga8w。
9参见
https://www.techtarget.com/searchcio/definition/COPPA-Childrens-Online-Privacy-Protection-Act。
10
安全港计划(COPPA Safe Harbor Program):指经美国联邦贸易委员会(FTC)批准的第三方认证机构的隐私保护计划,这些计划并不直接免除运营者的合规义务,仅说明运营者的合规情况可能比较好。美国联邦贸易委员会(FTC)仍然会对这些认证机构进行监督,详情参见
https://www.ecfr.gov/current/title-16/chapter-I/subchapter-C/part-312。
12参见
https://www.priv.gc.ca/en/opc-news/news-and-announcements/2023/an_230525-2/,https://www.lemonde.fr/pixels/article/2023/04/05/chatgpt-premieres-plaintes-aupres-de-la-cnil-contre-le-logiciel-d-intelligence-artificielle_6168425_4408996.html。
13参见
《AIGC研发及应用数据隐私合规义务识别——以意大利监管ChatGPT为切入点》
https://mp.weixin.qq.com/s/fkbY9MyLcZPwYJCWmg-LqQ。
14参见
王融:《ChatGPT类应用服务,数据合规有特殊性吗?》
https://www.tisi.org/25602。
15参见
朱之林:《ChatGPT,突然被禁》
https://mp.weixin.qq.com/s/laIPCArih6pGrjaSDzjNeg。
16
根据欧洲《通用数据保护条例》(GDPR)第33条,在个人数据泄露的情况下,数据控制者在可行情况下应当立即、或至少在72小时内依据第55条通知相关数据监督机构,除非个人数据的泄露不会产生危及自然人权利和自由的风险。如果通知迟于72小时,须附述迟延原因。
17参见
https://cms.law/en/deu/publication/gdpr-enforcement-tracker-report/numbers-and-figures
18参见
腾讯研究院《中美欧个人信息保护法比较——中国<个人信息保护法>、欧盟GDPR、美国加州隐私保护法(CCPA&CPRA)》
技术驱动法律,专业成就未来