GPDP 叫停 ChatGPT 后,OpenAi 在意大利连夜暂停了对该服务的访问。自 2020 年开始,就一直是 GPDP 董事会成员的 Guido Scorza 说,GPDP 此次是独立行动。现在 OpenAi 有 20 天的时间来遵守规定。
记者 欧阳晓红
图源 图虫创意
4 月 1 日是“愚人节”,对 ChatGPT 意大利用户来说,这个“玩笑”开大了;对 OpenAI 而言,却有些猝不及防——它有 20 天的调整适应期。
当地时间 3 月 31 日,以“非法收集个人资料;未成年人年龄核实系统缺失”之名,意大利个人数据监管局(Guarantor for the Protection of Personal Data,GPDP)宣布禁用 ChatGPT,直到它尊重隐私法规;行政措施立即生效。同时,监管部门立案侦查。
而在 30 日就发出的行政措施文件中,GPDP 称,对 ChatGPT 进行多次测试,并就用户数据隐患问题先后指出以下几点:
1、ChatGPT 并未告知用户任何关于 OpenAI 通过该服务数据收集的相关信息。
2、缺失对于用户个人数据的处理,以及对其作为 ChatGPT 算法优化途径的合格评判基准。
3、服务方提供的数据相关信息与部分事实不符。
4、在 OpenAI 发布的条款中明确该公司产品不为 13 岁以下用户提供服务,ChatGPT 却缺失任何对于用户年龄的验证。
GPDP 还称,3 月 20 日发生了有关付费服务订阅者的用户与 ChatGPT 对话和支付信息的数据泄露。并指出,最重要的是 OpenAI 缺乏法律依据来证明其收集和大量存储个人数据是合理的,以便“训练”平台操作的基础算法。此外,根据 OpenAI 条款,服务用户是 13 岁以上的人,但 GPDP 强调,没有任何过滤器来验证用户的年龄,使未成年人面临对其发展程度和自我意识绝对不合适的答案。
OpenAI 在欧盟未设办事处,但在欧洲经济区任命了一名代表,GPDP 要求其必须在 20 天内反馈为实施 GPDP 要求而采取的措施,从该文件发布即日起,OpenAI 有二十天的时间根据欧盟相关法律对产品作出调整,否则同样根据欧盟法律,其将被处以最高 2000 万欧元或最高4% 的全球年营业额的罚款。
因此,OpenAi 需要在规定时间提供有关数据收集的所有文件,包括还必须明确要采用哪些系统来验证访问其服务的用户年龄,悉数满足要求后,才能继续在意大利运营。
就此,OpenAI 创始人 Sam Altman 在社交媒体上回应,当然会服从意大利政府,并已停止在意大利提供 ChatGPT(尽管其认为遵守所有的隐私法)。“意大利是我最喜欢的国家之一,期待很快再次访问。”
事实上,GPDP 叫停 ChatGPT 后,OpenAi 在意大利连夜暂停了对该服务的访问。4 月 1 日,当一早醒来的意大利用户尝试连接 OpenAI 时,得到的网页响应是:《网站所有者可能设置了阻止用户访问的限制》。
针对付费订阅用户,OpenAI 将向 3 月份购买 ChatGPTPlus 订阅的意大利所有用户退款;还暂停了意大利的订阅续订,以便在 ChatGPT 暂停期间不会向用户收费。
“我们致力于保护人们的隐私,并相信我们提供的 ChatGPT 符合 GDPR 和其他隐私法。我们将与意大利数据保护局合作,以尽快恢复您的访问权限。”OpenAI 支持团队在致意大利 ChatGPT 用户的公开信中表示,“许多人告诉我们,发现 ChatGPT 对日常任务很有帮助,我们期待很快再次提供它。”
是这样吗?据英国 BBC 报道,OpenAI 承认对数据的处理缺失存在漏洞,随后又称 ChatGPT 之所以有收集数据的机制,是为了让其“学习这个世界”,而非“学习用户个人”,并表示“希望早日恢复对意大利的服务”。
问题在于,意大利用户不知道,20 天“整改期”之后的结果如何。Sam Altman 认为,OpenAi 遵守了所有的隐私法;但 GPDP 有异议,需要 OpenAI 提供相关证明文件(但它们看起来并不容易),包括对用户年龄的核实系统问题何解?而且,意大利对基于欧盟人权法律下的个人隐私权极其重视,GPDP 行政措施中所列的每一项内容均引自相关法律。
“我们需要停止 ChatGPT,我们不知道它对我们的数据做了什么。”GPDP 董事会成员之一的律师 Guido Scorza 就此接受媒体采访时表示。
自 2020 年开始,就一直是 GPDP 董事会成员的 Guido Scorza 说,GPDP 此次是独立行动。现在 OpenAi 有 20 天的时间来遵守规定。
当被问及 ChatGPT 收集了哪些数据时,Guido Scorza 称,并不清楚。“我们唯一可以说的是(ChatGPT)收集个人数据是为了开发算法。如果不是这种情况,当我们向他询问或多或少有名的人物简介时,ChatGPT 无法回答我们的问题。”
提及律师与 OpenAI 的分歧或异议,Guido Scorza 直言,特别是三种不同的违规行为:(a) 收集了数十亿人的个人数据来训练他们的算法,而没有告知他们这种情况,并且可能没有适当的法律依据,(b)在对话期间收集用户的个人数据在不告知他们这些数据的命运的情况下,以及(c)生成内容以回答问题,这些内容有时会归因于人们不准确和不真实的事实和情况,从而提出对他们个人身份的歪曲表述。
Guido Scorza 举例称,如果他问聊天机器人 Guido Scorza 是什么时候进入数据保护局的,答案为 2016 年,但事实是 2020 年。“这(回答)还算不错;但如果他说我在海边撞到一个孩子然后逃跑了,而真相并非如此,那将永远毁了我的生活。而且我认为我们不允许发生这种情况。”Guido Scorza 说。
他强调,这次 GPDP 是独立行动,因为 OpenAi 不在欧洲相关隐私保护机构合作程序之内。不过,他认为,接下来的几天里,欧洲层面肯定会有讨论的空间,以了解是否以及如何合作和共同行动。
其画外音或是,GPDP“打响禁用 ChatGPT 头炮”之后,欧洲相关组织可能也会采取行动。
“AI 热潮下,意大利禁用 ChatGPT 也许不会是个案。”分析人士认为,“而 OpenAI 自身漏洞也是不可忽视的长期隐患。在完全不知走向的科技革命中,任何一步均可能演变为无法弥补或逆转的历史,无论对错、代价如何;因此,现阶段下的 AI 向前推进的每一步都需审慎评估。”
就在几天前,包括埃隆·马斯克(Elon Musk) 在内的 1000 多人联名呼吁暂停高级人工智能的开发,直到独立专家开发、实施和审计这类设计的共享安全协议。
当地时间 29 日,据路透社报道,马斯克和一群人工智能专家、行业高管在由非营利组织未来生命研究所(FLI)发布的一封公开信中,呼吁暂停开发比 GPT-4 更强大的系统,暂停 6 个月,并指出其对社会和人类存在潜在风险。他们在信中写道:只有在我们确信它们的效果是积极的,风险是可控的情况下,才应该开发强大的人工智能系统。
这种担忧其实由来已久。在派拓网络副总裁兼亚太及日本地区首席安全官 Sean Duca 看来,ChatGPT(AI)是把“双刃剑”。多年来,全世界都在猜测 AI 可能即将统治世界。如今,用户可以使用 AI 驱动的安全工具和产品,在几乎无需人为干预的情况下应对大量网络安全事件,但业余黑客也可以利用同样的技术开发智能恶意软件程序并发起隐形攻击。
Sean Duca 认为,ChatGPT 带来的网络安全隐患不容忽视。比如,此前在拉斯维加斯举行的黑帽和 Defcon 安全大会上,一个技术团队展示了 AI 在生成钓鱼邮件和鱼叉式钓鱼信息方面是如何超越人类的。当务之急是采取智能化的行动来化解这些不断发展的威胁。好消息是自主响应如今能够在无需人类干预的情况下有效解决威胁。但随着 AI 驱动的攻击成为常态,受到自动化恶意软件攻击的企业、政府和个人需要越来越多地依靠 AI 和机器学习(ML)等新兴技术做出自动化响应。
诚然,随着技术的发展,人们越来越多地意识到数据隐私和保护的重要性。根据 Gartner 预测,到 2024 年末,全球 75% 人口的个人数据将得到现代隐私法规的保护。面对愈发完善的数据法律法规,作为数据管理领域全球领导者的 Commvault 列出了 2023 年数据隐私和保护的十大工作重点。
其中,重点一是数据保护策略:在不断变化的数据环境中,企业应该创建整体数据保护策略中的数据隐私、备份和恢复,以及灾难恢复计划,并不断更新。重点二是“加密”,加密对于数据保护和保护隐私数据至关重要。数据加密有助于防止对个人信息的未授权访问。这对于医疗机构、金融机构等需要处理大量隐私数据的企业机构尤为重要。
此外的重点六是数据治理和洞察;调查显示,57% 的首席信息安全官承认,他们不清楚他们的一部分数据(或所有数据)位于何处,又是如何被保护的。随着隐私数据量的不断增长,法规的数量也在成倍增加。企业需要了解他们的数据,包括数据的位置以及哪些数据存在风险等等。企业如此,个人数据保护亦然。
“AI 和人类之间的微妙平衡将成为实现网络安全的关键因素。”Sean Duca 表示。
