标签: AI监管

  • 美国国会拿出269页AI监管草案,科技公司和工会打起来了

    美国国会本周拿出了一份269页的AI监管讨论草案,名字叫《伟大美国AI法案》。这是目前为止国会提出的最全面的联邦AI监管框架,而且它是两党合作的产物——共和党和民主党的议员一起写的。

    但这份草案从出炉那一刻起,就陷入了争议。科技行业团体表态支持,工会组织强烈反对,而各州已经在实施的AI法规,则面临着被”冻结”3年的前景。

    一份269页的”大家伙”

    这份草案由加州共和党众议员杰伊·奥伯诺尔特和马萨诸塞州民主党众议员洛里·特拉汉联合发布。光看页数就知道,这东西不简单——269页,比很多专著都厚。

    奥伯诺尔特说:”人工智能发展速度极快,国会必须采取审慎、两党合作的方式监管这项关键技术。这份讨论草案是建立清晰联邦框架的重要一步。”

    特拉汉的补充同样值得注意:”人工智能对国家安全、公共安全和劳动力市场的威胁已经出现,且每天都在加剧。这项两党框架旨在应对这项快速发展的技术带来的挑战,同时不会扼杀美国的创新活力。”


    最核心的争议:州法律被”冻结”3年

    这份草案最引人注目的一条,是它提议冻结州级前沿AI模型相关法规3年。具体来说,专门监管AI模型开发的州法律,在未来3年内将被联邦规则优先覆盖——也就是说,州级法规暂时不能执行。

    这个设计直接冲击了已经在运行的州级AI立法。加州的AB 2013法案(要求模型开发者公开训练数据摘要)、加州的SB 942法案(涉及内容水印)、纽约州刚刚通过的数据中心建设禁令,都可能被纳入”冻结”范围。

    支持这一条款的人认为,50个州各搞一套AI监管,最终会让美国公司在竞争中输给中国。反对者则说,这相当于把州级AI保护的底线变成了联邦的上限,实际上是在拉低全美的AI安全标准。


    大公司要被管起来了

    草案对”大型前沿AI开发者”提出了明确的监管要求。门槛是:上一日历年总收入超过5亿美元。

    被纳入这个范围的公司,需要建立一个公开的前沿AI框架,内容必须包括:模型是否存在”灾难性风险”(定义为可预见且实质性的、导致50人以上死亡或受伤、或造成10亿美元以上财产损失的风险)、判定风险的阈值、模型非公开权重的网络安全保护措施、重大安全事件的应对方案。

    不配合审计或者给监管机构提供虚假陈述的企业,违规期间每天最高可被罚100万美元。这个数字听起来很大,但比起这些公司的营收,其实也就是个零头。


    一个新机构要诞生了

    草案提议以法律形式正式设立”AI标准与创新中心”(CAISI),作为美国国家标准与技术研究院(NIST)下属机构。这个中心的职责包括制定AI系统安全提升的指南、最佳实践、自愿标准,评估美国及外国AI系统的安全漏洞。

    国会打算给这个中心每年拨1亿美元,连续拨3年。这笔钱说多不多,说少不少——考虑到AI行业的体量,1亿美元大概也就是几家大厂一个下午的算力账单。

    还有一个条款值得注意:草案要求对借助AI冒充政府官员的行为追究刑事责任。这条在当下深度伪造技术越来越成熟的环境里,看起来是很有现实意义的。


    各方反应:支持的和反对的都很坚决

    科技行业组织NetChoice总体上支持这份草案,认为它提供了统一的联邦框架,避免各州各自为政。但他们也对草案里的审计要求有顾虑,担心会泄露企业商业秘密。

    工会方面的反应则完全是另一个方向。负责任创新美国人组织(ARI)主席布拉德·卡森直接称冻结州AI法律是”代际错误”,认为这会阻止州议员在技术快速发展的时代应对新兴的AI危害。

    安全AI联盟(Alliance for Secure AI)CEO布伦丹·斯坦豪泽认可草案的两党属性和对灾难性风险的关注,但同样反对优先适用条款。他的论点是:国家AI标准的保护力度不应低于被优先适用的州标准,而目前多州已经出台的涉及儿童安全、消费者保护的法律,比这份草案的保护力度强得多。


    这只是个讨论草案

    需要明确的是,目前这份文件还只是”讨论草案”,不是正式的法律。奥伯诺尔特和特拉汉发布它的目的,是在正式提交法案之前征求利益相关方、专家和公众的意见。

    也就是说,草案的内容还可能发生相当程度的修改。但两份草案的亮相本身,已经向市场释放了一个清晰的信号:美国联邦层面的AI监管,正在从”要不要做”进入”怎么做”的阶段。

    距离这份草案真正成为法律,还有很长的路要走。但它的出现,已经让科技公司和监管机构同时进入了”备战”状态。

  • 纽约州通过法案,叫停新建数据中心一年

    美国第一个全州范围的数据中心禁令,离生效只差一个签名

    纽约州议会刚通过一项为期一年的大型数据中心建设暂停令。只要民主党州长凯西·霍楚尔签字,这就会成为美国第一个全州范围的数据中心禁令。

    暂停期只有一年,比之前提案里写的三年要短。但即便只有一年,数据中心行业已经跳起来了。长岛协会的代理总裁对媒体说,一刀切的暂停令会害了州经济——有些数据中心其实是能带来就业的好项目,不该被一竿子打死。

    纽约独立系统运营商正在审查24个数据中心提案,总容量超过9000兆瓦。光是奥尔巴尼附近一个180兆瓦的项目,就已经让当地居民睡不着觉了。

    住民不怕数据中心,怕的是措手不及

    盖洛普的民调说,70%以上的美国人反对在自己社区建数据中心。这不是党派问题——共和党选民和民主党选民一样不喜欢自家后院突然冒出一个几栋楼高、耗电量相当于一个小城市的设施。

    缅因州今年早些时候也走过这条路。州议会通过了类似法案,本打算暂停到2027年底,结果被民主党州长珍妮特·米尔斯否决了——理由是法案没有对已经规划好的项目做出豁免安排,太粗糙。

    纽约这次学乖了,暂停期只设一年。这一年的任务是让州环境机构出一份正经的影响报告——数据中心到底耗多少电、用多少水、占多少土地、排放多少污染,得有个数字出来再谈批准还是拒绝。

    听证会要企业自己出钱

    法案里有个细节值得注意:计划建设峰值需求至少20兆瓦的数据中心企业,必须在项目获批前至少三个月,自己出钱办一场公开听证会。不是走形式那种,是让社区居民真的能到场提问、表达反对意见。

    这对AI公司来说是个新麻烦。过去两年,它们习惯了的流程是:找个电价便宜、土地多、监管松的地方,跟当地政府签个税收减免协议,然后开工。现在纽约说——慢着,先让你的邻居们听听这是什么项目、耗多少电、用多少水,再决定批不批。

    霍楚尔还没有表态。她的发言人只说”州长将审查该法案”。按照程序,她有到12月的时间来决定签还是不签。但从她过去在AI政策上的表态来看,她对数据中心监管的态度偏积极——去年她就提过要保护儿童上网安全、要加强对AI公司的监管。


  • 纽约州通过法案,不准AI聊天机器人当儿童的”伴侣”

    一场官司打出来的法案

    加州的SB 243法案去年10月就已经签了,那是全美第一部专门管AI伴侣聊天机器人的法律。纽约这次跟上来,动作更快,直接把”禁止向未成年人提供AI伴侣服务”写进了州级法案。

    背后的推手很简单——人命。过去两年里,Character.AI、Google这些公司被好几起父母告上法庭,说自家的孩子跟AI聊天机器人聊到最后,出现了自杀或自残倾向。有些案子已经和解了,Google和Character.AI在今年1月同意向受害家庭赔偿,但更多的官司还在打着。

    Character.AI在2025年10月宣布,将对18岁以下用户限制聊天机器人使用,包括识别未成年人身份,并设置每日两小时的聊天上限。

    纽约这个法案的核心逻辑是:AI公司不能让聊天机器人假装自己是人类,尤其不能对未成年人这么干。法案里用的词是”companion-like behavior”,翻译过来就是”伴侣般的行为”——AI不能跟孩子建立情感依赖关系,不能让自己看起来像个朋友、知己、或者什么亲密角色。

    霍楚尔手握最后一票

    法案已经过了州议会,现在摆在州长凯西·霍楚尔桌上。她有到12月的时间来决定签还是不签。目前她还没有表态,发言人只说”州长将审查该法案”。

    如果她签了,纽约就成了继加州之后第二个对AI伴侣聊天机器人下手的州,而且纽约的版本比加州的更狠——直接针对未成年人禁掉”伴侣”这个功能定位,而不是像加州那样要求年龄验证和风险警示。

    这件事的讽刺之处在于:AI公司花了几年时间把聊天机器人包装成”陪伴者”,现在监管直接从”陪伴”这个定位开刀。Character.AI的整个产品逻辑就是让用户跟AI角色建立情感连接,现在这个逻辑在纽约可能直接违法。

    更大的 question 是定义

    法案真正难执行的地方在于:什么叫”暗示自己是人类”?AI说”我理解你的感受”,这算不算?AI记得你上周跟它说过什么,然后问你”后来怎么样了”,这算不算在建立情感连接?

    目前法案的具体实施细则还没有,霍楚尔签署之后,估计还要花不少时间把这个定义磨清楚。但方向已经很明确了:AI聊天机器人可以向未成年人提供信息、帮助完成任务,但不能充当”伴侣”。


  • 纽约州率先出手,AI聊天机器人不能再假装是孩子的朋友

    纽约州议会本周通过了一项法案,如果州长凯西·霍赫尔签字,AI公司将被禁止让聊天机器人以”陪伴者”的身份与儿童互动。这是美国第一个在州级层面针对AI陪伴聊天机器人出台的限制性法案。

    法案出台的背景并不令人意外。过去一年多,多家AI公司面临诉讼,指控其聊天机器人诱导青少年产生自残或自杀倾向。部分案件已经达成和解。立法者看到的证据让他们认为,是时候划一条线了。

    “陪伴”这门生意

    这类产品有一个共同的名字,叫”AI陪伴者”。它们的卖点不是帮你查资料或者写代码,而是跟你建立情感连接——记住你说过的话,在你需要的时候出现,甚至表现出好像真的在乎你的样子。

    对成年人来说,这可能只是一种新型的娱乐或消遣。但对青少年来说,情况要复杂得多。心理学家指出,青少年的情感依赖比成年人更容易形成,也更容易被利用。当一个AI聊天机器人被设计成”永远站在你这边”的角色,它可能在不知不觉中强化用户的负面情绪,而不是提供帮助。

    纽约州这份法案的核心逻辑很直接:AI聊天机器人不能假扮人类的朋友,至少不能对未成年人这么做。如果AI公司想要提供陪伴功能,它们需要先证明自己有能力保护用户,而不是把责任推给”用户自律”。

    行业反应

    AI公司这边还没有公开发声,但可以预见的是,他们会用”言论自由”和”家长选择权”来反驳。这个论点在之前的听证会上出现过多次——支持方认为,政府不该替家长决定孩子能不能用某个AI工具。

    反过来说,支持法案的人会问一个很简单的问题:如果一款手机App被设计成会让青少年产生情感依赖,甚至在特定情况下诱导自残,它还应该被允许以”AI助手”的名义自由分发吗?

    这个问题没有简单答案。但纽约州的议员们显然认为,至少值得先试试看。

    更大的版图

    这份法案目前还在等待州长霍赫尔签署。她有权利签,也有权利否决。如果签了,纽约州将成为美国第一个在AI陪伴机器人问题上划红线的州。

    更值得关注的是,纽约州的动作往往具有示范效应。加州的类似立法通常会跟进,而其他州也会开始认真考虑这个问题。这对AI公司来说,意味着”陪伴”这个赛道可能要被重新定义了。

    从另一个角度看,这件事也反映出AI监管的一个趋势:比起讨论”AI会不会毁灭人类”这种宏大命题,立法者更倾向于从具体伤害入手——青少年心理健康、深度伪造、选举干扰——这些东西选民能看懂,也愿意支持。


    纽约州的这份法案能不能最终生效,还有待观察。但它至少说明了一件事:AI行业过去那种”先发布、再道歉”的节奏,正在遇到越来越大的阻力。

  • 特朗普签了份AI行政令,要让政府提前看到最强模型

    6月2日,美国总统特朗普悄悄签了一份AI行政令,全名叫《推动先进人工智能创新与安全》。名字听上去很宏大,但核心内容其实只有一件事:让AI公司在把最强大的模型放出来之前,先给美国政府看一眼。

    不是强制,但分量不轻

    这份行政令用的是”自愿”框架——政府不会强制审模型,也不会搞审批许可。但话又说回来,当政府开口说”能不能先让我看看”,有几家公司真的敢说”不”?

    具体要求是:AI开发者如果愿意,可以在模型公开发布前最多30天,把模型提供给政府指定的合作伙伴做网络安全测试。这些”可信合作伙伴”再由政府来筛选。OpenAI、谷歌、Anthropic都在被邀请的名单上。

    白宫在情况说明书里写得很明白:目标是”在创新和国家安全之间取得适当平衡”。翻译成人话就是:别让AI跑太快,安全得跟上。


    和拜登那套不一样

    特朗普政府在文案里没少踩前任。情况说明书里直白地写道:拜登政府搞的是”自上而下”的监管,而特朗普要走”与美国产业界携手合作”的路线。

    具体差别在哪?拜登2023年那道行政令要求AI公司主动向政府报告安全测试结果,有一股”我管你”的架势。特朗普这道则换了个说法:”我们不审批,我们只是建议你让我们提前看看,顺便帮你找找漏洞。”

    行政令里还专门写了一句:本命令不得被解释为授权对AI模型的开发、发布、发行或分发设立任何强制性政府许可。这句话大概是律师们吵了好几轮才写进去的。


    具体要做什么

    行政令把任务分给了几个部门,时间节点也定得很清楚:

    • 30天内:国土安全部牵头,给联邦机构、地方政府、关键基础设施运营商(医院、社区银行、公用事业)提供AI赋能的网络安全工具
    • 60天内:财政部、战争部、国土安全部联合建立”AI网络安全信息交换中心”,让AI公司和基础设施运营商能共享漏洞信息
    • 60天内:建立涉密基准测试流程,用来评估前沿模型的网络能力——简单说就是给模型”考个试”,看它有没有可能帮坏人干坏事
    • 自愿框架:AI公司可以自愿把模型提前交给政府认可的合作伙伴做安全测试,时限不超过30天

    此外,司法部被要求优先打击利用AI实施的网络犯罪——非法入侵系统、窃取数据、用AI辅助其他犯罪活动,都在打击范围内。


    业界怎么看

    目前这份行政令是”请求”而非”命令”,业界反应相对克制。Anthropic和OpenAI都曾表示愿意与政府合作做安全测试,但具体的合作框架怎么搭, voluntarily到底volunteer到什么程度,都还是未知数。

    值得关注的是,这道行政令出台的时间点很微妙——Anthropic正在准备IPO,OpenAI的上市计划也箭在弦上。政府在这个节骨眼上伸出手来要”提前看模型”,很难说不会对资本市场的情绪产生影响。

    另一边,欧盟的《人工智能法案》8月2日就要全面生效了,监管铁拳是真真切切地要落下来。相比之下,美国这边还在用”自愿合作”的方式,两头一对比,AI公司的处境确实不太一样。

  • 英国出手了,谷歌AI搜索要让出版商能选择退出

    谷歌的AI搜索扩张在欧洲碰了钉子。英国竞争与市场管理局(CMA)本周迫使谷歌做出实质性让步:出版商很快就能选择不让自己的内容被塞进谷歌的AI搜索功能里。

    具体做法是谷歌将在Search Console里加一个切换开关。只要出版商打开这个开关,它的网站就不会出现在AI Overviews、AI Mode,以及Discover的AI概览里。对于一直担心流量被AI摘要”截胡”的新闻机构来说,这算是一个迟来的主动权。

    CMA称这一举措是”世界首创”,让出版商重新掌控其内容如何被使用,也让新闻机构在与谷歌谈判AI内容使用费时有了更多筹码。

    监管步步紧逼

    这件事的铺垫其实已经持续了大半年。去年10月,CMA首次认定谷歌具有”战略市场地位”,这为后续监管铺平了道路。今年1月,CMA正式要求谷歌让出版商能选择是否将其内容用于AI搜索功能或训练独立的AI模型。

    谷歌在公告里也没忘了给自己贴金——顺带公布AI Overviews的月活已经突破25亿,AI Mode的月活也超过了10亿。但与此同时,它必须兑现两项承诺:一是让出版商能真正选择退出,二是在AI功能里给出版商内容加上清晰的归属和链接。


    出版商的筹码多了,但够用吗

    谷歌表示选择退出AI搜索不会影响网站在传统搜索结果里的排名。同时它会在Search Console里展示新指标,告诉出版商哪些页面出现在了AI回复里、覆盖哪些国家地区,试图用数据说服出版商别急着退出。

    不过CMA明确表示,选择权只是第一步。真正的较量在于出版商能不能凭此跟谷歌谈出合理的AI内容授权费。这场博弈才刚刚开始,而英国的这个监管先例,很可能成为其他司法管辖区跟进的模板。

  • 特朗普签了份AI行政令:模型发布前可自愿接受政府审查

    美国总统特朗普本周二签了一份行政令,要求AI公司在模型正式发布前,可以自愿把模型提交给联邦政府审查。说自愿,是因为企业可以自己决定交不交,但一旦交了,政府会评估模型的高级网络能力,企业这边也能拿到相应的保密保护。

    之前说不监管,现在为什么改主意了

    特朗普对AI监管的态度转变挺有意思。他之前一直主张不让监管扼杀创新,甚至一度推迟签署AI相关行政令,理由是怕影响美国跟中国的AI竞争。结果这次的行政令写得挺明确:AI的新能力确实伴随安全风险,政府不能装看不见。

    触发这次转向的直接原因,很可能是Anthropic在今年4月有限度发布的Mythos模型。Anthropic自己说,这个模型发现了数千个高危漏洞,主流操作系统和网页浏览器全都中招。这话一出,华盛顿那边坐不住了。

    Anthropic的Mythos模型在测试中发现:所有主流操作系统和网页浏览器都存在高危漏洞——这话是Anthropic自己说的,不是政府说的。

    更有意思的是,Anthropic之前跟五角大楼因为AI用于自主致命武器和大规模监控的问题闹过法律纠纷。这次Mythos一发布,双方关系反而出现了缓和迹象。有时候,一个技术演示比十轮谈判都管用。

    行政令到底说了什么

    • 企业可以自愿提交模型,提交后最多30天内完成审查
    • 审查聚焦模型的高级网络能力,不是全面安全审计
    • 提交企业获得保密保护,政府不会随意公开模型细节
    • 联邦政府同步强化针对AI攻击的网络防御,重点保护关键基础设施
    • 行政令明确:这不是强制许可,也不是发布前审批

    这份行政令其实有个前传。去年5月,谷歌、微软、xAI就同意让美国商务部下属的AI标准与创新中心(CAISI)在模型发布前做审查。OpenAI和Anthropic更早,2024年拜登还在任的时候就签了类似协议。所以特朗普这次,某种程度上是把拜登时期的实际做法给正式化了,只是换了个”自愿”的名义。

    行业买账吗

    出乎意料的是,这份行政令居然获得了AI安全倡导团体的认可。美国负责任创新组织的主席布拉德·卡森发表声明说,”白宫正式接受了Mythos传递的信号”。安全AI联盟的CEO也表示,很高兴看到特朗普政府认真对待模型风险。

    但这帮人并不满足于自愿框架。他们还在敦促国会立法,把这些保护措施变成强制要求。自愿这个东西,换了届政府就可能不自愿了,他们心里清楚。

    Trump AI executive order signing
    特朗普签署AI行政令(图片来源:The Verge)
  • 亚马逊Ring门铃把路人脸偷偷存了,集体诉讼把亚马逊告上法庭

    亚马逊的Ring门铃最近摊上大事了。一位弗吉尼亚州的居民Charles Sigwalt在西雅图联邦法院提起集体诉讼,指控Ring的”熟悉面孔”(Familiar Faces)功能在路人完全不知情的情况下,用AI识别并存储了他们的面部数据。

    这个功能去年9月就宣布了,当时电子前沿基金会(EFF)和马萨诸塞州参议员Ed Markey就跳出来反对。但亚马逊还是去年12月硬着头皮把功能上线了。

    Ring门铃摄像头
    Ring门铃的摄像头覆盖着无数美国家庭的门口(图:Getty Images)

    功能本身没大问题,问题出在”被识别的人”没有选择权

    “熟悉面孔”的逻辑其实挺直观——Ring用户开启之后,门铃能识别出经常出现在门口的人,然后推送更精准的通知,比如”爸爸在门口”,而不是泛泛地说”有人在门口”。

    问题在哪?开启功能是Ring用户的主动选择,但那些每天路过这些门铃的路人——邮递员、邻居、散步的陌生人——对此完全不知情,也没有任何方式可以”选择退出”。诉讼文件里的说法很直接:”数百万美国人在不知情的情况下,被Ring摄像头采集了面部识别信息。”

    Ring用户需要主动开启这个功能,但路过的非用户完全无法得知自己被采集了面部信息,也无法选择退出。这个不对称的信息关系,是整起集体诉讼的核心。

    Ring的隐私黑历史不止这一桩

    亚马逊对这起诉讼暂时没有回应。但在功能上线时,公司曾表示面部数据是加密存储的,不会对外共享,未识别的面孔会在30天后自动删除。

    问题是,Ring在用户隐私这件事上,口碑一直不怎么样。2023年,亚马逊跟美国联邦贸易委员会(FTC)和解,赔了580万美元,原因是Ring的员工和承包商可以随意查看女性用户的私人视频——FTC的说法更狠:当时每个员工都能访问所有客户的视频,完全不需要什么业务理由。

    还有一件事,Ring跟执法部门的关系一直很暧昧,曾经允许警察在无搜查令的情况下向用户索要录像。这个权限后来在2024年1月取消了。今年超级碗期间,Ring推了一个用AI找走失宠物的功能”Search Party”,也引发了类似的隐私争议,随后Ring取消了跟监控公司Flock Safety的合作——这家公司被曝向ICE等联邦机构提供监控录像。


  • 黑客骗过Meta AI客服,直接把Instagram账号给接管了

    上周末,Reddit和X上突然冒出一大批”账号被黑”的投诉帖,受害者全是Instagram用户。被盯上的账号五花八门——有奥巴马时期白宫那个早已停用的账号,还有美国太空军总军士长的个人账号。安全研究员Jane Wong也中招了,她在X上吐槽:密码在她完全不知情的情况下被改掉,前一天她还收到一大堆密码重置尝试的请求,想想都觉得后怕。

    Meta AI聊天机器人安全漏洞示意图
    Meta AI支持聊天机器人被黑客利用,成为账号劫持的入口(图源:TechCrunch)

    漏洞到底出在哪

    攻击手法说起来挺荒唐的。黑客不需要偷你的密码,不需要碰你的邮箱,只要想办法骗过Meta的AI客服机器人就行。

    具体步骤是这样的:黑客先用VPN伪装成目标用户的大致地理位置,避免触发Instagram的异地登录保护。然后找到Meta AI支持助手,跟它说”帮我给这个账号加个新邮箱”。AI机器人居然真的照做了——它会把验证码发到黑客指定的邮箱,黑客把验证码回传给机器人,机器人就会弹出一个”重置密码”按钮,输入新密码,账号直接沦陷。

    黑客全程不需要碰你绑定的原始邮箱。AI客服机器人自己就把门给打开了。

    影响范围有多大

    目前还不清楚究竟有多少账号被这套手法攻破。Instagram发言人Andy Stone在X上回复相关帖子时只说”问题已经修复”,但对受影响用户数量闭口不谈。Meta方面也没有回应TechCrunch的置评请求。

    这件事暴露出的问题很直接:把账号恢复权限交给AI聊天机器人,却没有设置足够严格的身份验证门槛,等于在城门上挂了把纸锁。黑客不需要多高深的技术,只要会跟AI”好好说话”就够了。


  • 加拿大裁定OpenAI违反隐私法,训练数据收集首遭国家级认定违规

    五月底,加拿大隐私专员办公室联合魁北克、不列颠哥伦比亚和艾伯塔三省的对应机构,正式发布调查结果:OpenAI在开发ChatGPT的过程中,违反了加拿大隐私法。这是全球范围内第一个国家级别的隐私监管机构,正式认定AI模型训练数据收集构成隐私违规。

    调查持续了三年。起因是加拿大公民社会组织CAIDP在2023年向监管机构投诉,认为OpenAI从公开互联网大规模抓取个人信息用于训练,缺乏合法依据。调查最终认定了三项违规:第一,从公共网络过度收集个人信息,且没有做比例评估;第二,对被抓取数据的个人缺乏有效同意机制和透明度;第三,对敏感数据的保护不足,包括健康状况信息,以及从社交媒体、博客、新闻网站收集的儿童数据。

    加拿大成为第一个正式裁定AI训练数据收集违反隐私法的国家,而且几乎可以确定不会是最后一个。

    OpenAI承诺补救,但省级监管机构不买账

    联邦专员认为这起投诉已经”有条件地”解决,OpenAI方面承诺采取额外补救措施。但魁北克、不列颠哥伦比亚和艾伯塔三省的隐私专员并不认同这个解决方案,正在继续推进各自的执法程序。这种联邦与省级监管态度分裂的局面,让OpenAI在加拿大的合规前景变得复杂。

    OpenAI的标准回应一直是:公共网络数据用于模型训练是合理的,这是业界通行做法。但这个论点在拥有 comprehensive 隐私框架的司法管辖区,越来越站不住脚。英国的ICO、德国的数据保护机构(DPA)、法国CNIL都在进行类似调查。

    对企业用户意味着什么

    如果你在加拿大的组织里部署ChatGPT,这条裁定创造了实质性的合规风险。根据OpenAI的训练数据收集机制,通过ChatGPT处理的数据有可能被用于模型改进(除非企业用户明确退出),而加拿大隐私监管机构现在已经正式认定这种模式本身存在问题。

    • 受加拿大隐私法(PIPEDA)约束的组织,需要在部署前进行法律审查
    • 省级监管机构(特别是魁北克)的执法态度比联邦层面更严格
    • 训练数据同意框架是这根刺的核心,OpenAI需要提出比”公共数据例外”更有说服力的论辩