以ChatGPT为代表的AI聊天机器人是当下最热的趋势。技术在狂飙突进,监管也不甘人后。意大利数据当局(Garante)吹响了针对此类机器人的执法“号角”。由于机器人应用Replika对于(儿童)数据的处理违反了《通用数据保护条例》(GDPR)的多项条款,Garante要求相应控制者迅速停止处理意大利主体的个人数据。尽管可得的信息仍然不多,本案依然有五个方面值得实践注意。
Vol.1/ 儿童数据
在隐私协议中“严词拒绝”,以及在应用商店归属到成人评级,是规避儿童数据处理风险的常见措施。在聊天机器人的场景中,这些措施不够。Garante的分析提示了两条互补的合规路径。一是在应用中前置年龄门,二是基于足以揭示儿童身份的交互内容采取措施。或者说,对于儿童数据的保护需要更加实质化。这也是欧洲范围内儿童数据保护愈发加强的最新实例。
Vol.2/ 透明性
Garante指出Replika未能披露其(儿童)数据处理的关键要件。此处的“关键要件”,可能包括近期其他重大决定中有所展开的、处理的“性质”“范围”和“场景”。如何在涉及AI的场景下进一步展开这些概念颇为重要,有待观察。追问这一问题的合规尺度还可能牵出更多的问题,包括且不限于正在欧盟法院等待细化的获解释权,以及即将达成新一版折衷的《AI法案》。
Vol.3/ 合法性基础
Replika未能披露其合法性基础。Garante的分析并未止步于此,而是向前再迈一步——由于相应定义的儿童在意大利合同法下并无缔结合同的民事行为能力,为履行合同所必需显然不能作为合法性基础。如前,可以想象对于一部分有着众多用户、并且仍然依赖于隐私协议等“软性”保护措施的控制者而言,这样的一句话将额外带来不少需要评估和权衡的问题。
Vol.4/ 惩罚措施
根据控制者类型和处理的场景不同,很难说是罚款的处罚力度更大,还是要求停止处理的处罚力度更大。鉴于本案对儿童等弱势主体造成的迫切风险,Garante综摄GDPR及其国内法,采取了要求停止处理的处罚。Garante还贴心地提醒控制者:按照意大利的个人信息保护国内法,未能遵从指令可能导致刑事责任。值得一提的是,《AI法案》亦明确包含类似下架的处罚。
Vol.5/ 其他有趣的细节
一方面,欧洲部分数据当局愈发乐于在调查中借鉴隐私安全、人机交互等学科的研究思路。例如,应用商店评论是近来相关研究常见的数据来源。Garante也在本案中援引商店评论作为阐明处理风险的事实。另一方面是重视控制者营销中的“自证”。例如,既然Replika宣传其机器人可用于控制情绪、舒缓焦虑,这是否也说明其处理可能对弱势主体造成很高的风险呢?
总之,本案既有“号角”的意义,也有值得实践注意的有趣细节。意大利数据当局在AI执法领域相对活跃,本案说明这一活跃的势头仍在延续。从更大的视角看,本案也可以和至少四种其他趋势下的立法、执法和司法文件对读。一是欧美儿童数据保护的强化。二是即将达成折衷的《AI法案》。三是欧盟法院处的若干待决案件。四是2022年以来多个数据当局针对深度神经网络的深入执法。
本案案号:Provvedimento del 2 febbraio 2023 [9852214].
一起针对AI聊天机器人的执法
作者:朱悦来源:那一片数据星辰

以ChatGPT为代表的AI聊天机器人是当下最热的趋势。技术在狂飙突进,监管也不甘人后。意大利数据当局(Garante)吹响了针对此类机器人的执法“号角”。