五月底,加拿大隐私专员办公室联合魁北克、不列颠哥伦比亚和艾伯塔三省的对应机构,正式发布调查结果:OpenAI在开发ChatGPT的过程中,违反了加拿大隐私法。这是全球范围内第一个国家级别的隐私监管机构,正式认定AI模型训练数据收集构成隐私违规。
调查持续了三年。起因是加拿大公民社会组织CAIDP在2023年向监管机构投诉,认为OpenAI从公开互联网大规模抓取个人信息用于训练,缺乏合法依据。调查最终认定了三项违规:第一,从公共网络过度收集个人信息,且没有做比例评估;第二,对被抓取数据的个人缺乏有效同意机制和透明度;第三,对敏感数据的保护不足,包括健康状况信息,以及从社交媒体、博客、新闻网站收集的儿童数据。
加拿大成为第一个正式裁定AI训练数据收集违反隐私法的国家,而且几乎可以确定不会是最后一个。
OpenAI承诺补救,但省级监管机构不买账
联邦专员认为这起投诉已经”有条件地”解决,OpenAI方面承诺采取额外补救措施。但魁北克、不列颠哥伦比亚和艾伯塔三省的隐私专员并不认同这个解决方案,正在继续推进各自的执法程序。这种联邦与省级监管态度分裂的局面,让OpenAI在加拿大的合规前景变得复杂。
OpenAI的标准回应一直是:公共网络数据用于模型训练是合理的,这是业界通行做法。但这个论点在拥有 comprehensive 隐私框架的司法管辖区,越来越站不住脚。英国的ICO、德国的数据保护机构(DPA)、法国CNIL都在进行类似调查。
对企业用户意味着什么
如果你在加拿大的组织里部署ChatGPT,这条裁定创造了实质性的合规风险。根据OpenAI的训练数据收集机制,通过ChatGPT处理的数据有可能被用于模型改进(除非企业用户明确退出),而加拿大隐私监管机构现在已经正式认定这种模式本身存在问题。
- 受加拿大隐私法(PIPEDA)约束的组织,需要在部署前进行法律审查
- 省级监管机构(特别是魁北克)的执法态度比联邦层面更严格
- 训练数据同意框架是这根刺的核心,OpenAI需要提出比”公共数据例外”更有说服力的论辩
