【生成式人工智能】生成式人工智能与隐私合规：我们的五点前进清单

在我们的最新文章中，我们总结了最近发生的涉及OpenAI、ChatGPT和意大利数据保护局（Garante）的事件。

正如我们所指出的，生成型人工智能实现完全合规的努力可能才刚刚开始：对ChatGPT的隐私调查仍在进行中；在不久的将来，人工智能法案可能需要更多的隐私满足（尤其是但不限于基础模型）；而且，从广义上讲，遵守隐私并不是一件容易的事，尤其是对于根据从互联网上收集的大量数据训练的人工智能系统来说。

尽管如此，OpenAI实施并受到Garante欢迎的措施可以揭示将隐私法应用于人工智能时需要解决的一些主要问题。事实上，同样的措施可以作为开发生成性人工智能的指导方针，以适合“协调技术进步与尊重个人权利”

以下是我们的五点清单，根据Garante最近对OpenAI的命令以及OpenAI为取消对意大利数据主体个人数据处理的临时限制而实施的措施，确定了隐私意识生成人工智能系统的主要实施措施。

其他监管机构（或EDPB）对OpenAI的调查可能很快会推断出更多的指导方针：所以，请继续关注，不要忘记关注我们！

1.应向人工智能系统的用户和其个人数据可能被用于训练人工智能系统中的数据主体提供隐私政策。

透明度是注重隐私的人工智能系统的关键。这一点从加兰特最近的命令中可以清楚地看出。似乎没有任何借口可以免除人工智能系统的提供者作为数据控制者向数据主体告知其个人数据处理的特征（包括目的和手段），并使此类信息易于获取。

就人工智能系统的用户而言，提供隐私政策可能相当容易；但数据主体呢？他们的个人数据是为了训练人工智能系统而收集和处理的？

在这种情况下，人工智能系统/数据控制者的提供商应考虑发起“非营销信息活动”，或者至少，这是Garante要求OpenAI做的。

到2023年5月15日，OpenAI必须发起一场公众意识运动，通过意大利主要媒体告知数据主体，ChatGPT可能将其个人数据用于人工智能培训目的，他们可以在OpenAI的网站上找到详细的信息通知，他们可以使用同一网站上的工具请求并获得删除其个人数据的信息。

OpenAI必须就上述非营销活动的内容与Garante达成一致。因此，重要的是检查所需信息是如何起草和传播给数据主体的，以收集有关在涉及人工智能系统时如何满足GDPR透明度要求的进一步指导方针。

2.个人数据的处理，包括用于训练人工智能系统的处理，应以适当的法律基础为基础。

特别是在EDPB于2022年12月5日作出的具有约束力的决定和爱尔兰数据保护委员会于2022年11月31日作出的决定之后，必须仔细评估合同法律依据的使用，并且就个人数据用于训练人工智能系统而言，必须避免这种法律依据。

事实上，关于OpenAI用于训练ChatGPT的处理活动，OpenAI被要求改变“出于算法训练目的处理用户个人数据的法律依据，删除任何对合同的提及，并将同意或合法利益作为法律依据，同时考虑到公司从责任角度需要进行的评估。”

Garante虽然基本上排除了使用合同法律依据的可能性，但提供了一个重要的确认：为训练人工智能系统而处理个人数据可能基于数据主体的同意或数据控制者的合法利益，数据控制者必须选择首选的法律依据，根据具体情况，在数据管理员完全负责的评估之后。

在这样做的过程中，Garante基本上排除了在所有情况下仅依赖数据主体同意合法处理个人数据来训练人工智能系统的“绝对必要性”，从而为使用合法利益敞开了大门。显然，在处理开始之前，需要通过数据控制者进行的合法利益评估（并正式记录）来确认具体合法依赖合法利益的可能性。

3.应向所有数据主体（无论他们是否是人工智能系统的用户）提供允许行使隐私权的措施和工具，他们应拥有并保持对其所有数据（包括用于训练人工智能系统）的控制。

无论个人数据是如何收集和处理的，所有数据主体，无论是否是人工智能系统的注册用户，都必须始终能够拥有并保持对其数据的控制，为此，必须允许他们轻松行使隐私权。

特别是，在没有排除的情况下（也取决于适用的法律依据），必须授予数据主体反对处理其数据和/或删除其数据的权利，包括在为训练人工智能系统而处理时，以及对可能被错误处理以生成内容或输出的个人数据进行更正的权利。

如果根据目前的技术状况无法纠正个人数据，数据主体必须有权要求删除不正确的个人数据。

4.儿童应受到保护。

鉴于人工智能系统可能带来的风险（包括提供不准确信息的风险，以及让儿童接触可能不适合其发展程度和自我意识的输出和内容的风险），年龄门必须与适合验证用户年龄的措施一起实施，并在必要时阻止他们访问或收集他们父母使用人工智能系统的授权。

OpenAI已经实施的年龄门确实必须得到年龄验证机制的补充，该机制必须在2023年5月31日前提交给Garante，并在2021年9月30日前全面运行。

由于它将在实施前提交给Garante，OpenAI将使用的机制也将成为其他可能涉及未成年人的人工智能系统或在线服务提供商的榜样，因为它将展示如何有效、安全地验证用户的年龄。

5.人工智能系统的提供商作为数据控制者，应对在数据保护和隐私合规方面做出的选择负责，特别是在有必要在技术和基本权利之间找到平衡的情况下。

OpenAI实施的所有措施都受到了Garante的欢迎，Garante承认为“协调技术进步与尊重个人权利”所做的努力

已经注意到，将GDPR应用于人工智能并非易事。例如，在为欧洲议会准备的“通用数据保护条例（GDPR）对人工智能的影响”研究中，有人指出，“GDPR中没有明确提到人工智能，但GDPR中的许多条款与人工智能有关，有些条款确实受到人工智能支持的处理个人数据的新方式的挑战。传统的数据保护原则——目的限制、数据最小化、对‘敏感数据’的特殊处理、对自动化决策的限制以及充分利用人工智能和大数据的力量——之间确实存在紧张关系。”

这种紧张关系将通过与人工智能的有益用途相一致的数据保护原则的解释来克服。数据控制者负责这种解释，并对此负责。

在OpenAI的案例中，数据控制者的责任被特别提到，涉及识别处理个人数据以训练ChatGPT的法律依据，但显然不限于此。

数据控制者必须能够证明遵守了与处理个人数据有关的所有原则：合法、公平和透明；目的限制；数据最小化；精确储存限制；诚信和保密。在人工智能领域，这些原则不能仅仅因为不容易适用而被忽视。正如上述研究中所建议的那样，它们必须“以这样的方式解释和应用，即不会实质上阻碍人工智能在个人数据中的应用，也不会使欧盟公司与非欧洲竞争对手相比处于不利地位”，在这样做的过程中，数据控制者将“获得如何根据《通用数据保护条例》将人工智能应用于个人数据的指导，以及这样做的可用技术。”

考虑到这一点，我们是否应该得出结论，Garante是第一个向人工智能系统提供商伸出援手，支持他们决定如何以注重隐私的方式开发人工智能系统的欧洲监管机构？

EDPB工作组对ChatGPT的投入可能有助于提供答案。