欧盟EDPB《ChatGPT工作组工作报告》：AI及大模型的数据合规之路

报名：首席人工智能官认证CCAIO™课程（上海班）

• 时间：CAIM人工智能管理专家（6月22日、23日）；CAIL人工智能法律专家(6月29日)；CAIT人工智能技术专家(6月30日)

• 形式：线下为主、线上同步

• 费用：CAIL和CAIT各3000元；CAIM6000元，早鸟价9折和团购价8折

• 地址：上海市徐汇区宜山路889号4号楼5楼SGS上海培训中心

• 咨询：138 1664 6268，11535782@qq.com

姓名+单位 实名加入咨询群

2024年5月23日，欧洲数据保护委员会发布了一篇重磅报告——《ChatGPT工作组工作报告》。该报告中的观点反映了ChatGPT工作组成员就OpenAI公司提供的ChatGPT服务的调查所协调一致的观点。这些观点基于对GDPR相关条款的解释，并不预示各监督机构在各自调查中最终的分析结果。

该报告旨在对ChatGPT数据处理的合法性、公平性、透明度、准确性及数据主体权利进行论述并就监管立场初步达成共识，对人工智能及大模型数据合规之路的探索具有积极意义。

背景

近年来，许多大型语言模型（LLMs）在各个领域中出现并被使用。这些模型在为公众提供巨大利益的同时，其相关的数据处理操作需要符合GDPR的规定。GPT系列模型是最受欢迎的大型语言模型之一，自2022年11月30日通过ChatGPT服务向公众推出以来，吸引了广泛关注。多国的监督机构对OpenAI进行的数据保护调查集中于GPT 3.5至GPT 4.0版本。由于OpenAI在2024年2月15日之前在欧盟没有设立机构，因此GDPR中的单一联络点机制不适用。

进行中的调查

报告详细列出了关于ChatGPT的数据处理操作的多个进行中的调查，包括数据收集、预处理、训练以及用户与ChatGPT的交互所产生的输入和输出数据。

合法性

1. 数据收集、预处理和训练：

• OpenAI在使用个人数据进行模型训练时需符合GDPR的合法性要求，特别是对于从公开来源（如网站）获取的数据，应考虑适用GDPR第14条关于信息提供的规定。

• 用户输入（即提示语）、输出和训练数据的处理需要符合合法性原则，特别是需要明确告知用户其输入数据可能会被用于训练模型。

公平性

1. 风险转移：

• 不应将确保GDPR合规的责任转移给数据主体。例如，不应在条款中规定数据主体对其输入内容负责。OpenAI需确保即使用户输入了个人数据，仍需遵守GDPR的规定。

透明度和信息义务

1. 从公开来源获取数据：

• 当通过网络抓取从公开来源获取个人数据时，GDPR第14条的规定适用，但在大规模数据抓取的情况下，通常难以逐一通知数据主体，因此可以适用第14条第5款(b)的例外条款，前提是符合所有要求。

• 当在用户与ChatGPT直接交互时收集个人数据，需要遵守GDPR第13条的规定，特别是应告知数据主体其输入内容可能会被用于训练目的。

数据准确性

1. 输入和输出数据的准确性：

• 输入数据和输出数据的准确性需符合GDPR第5(1)(d)条的要求。尽管ChatGPT生成的输出可能由于其概率性而存在偏差或虚构，但OpenAI需确保遵守数据准确性原则。

数据主体权利

1. 数据主体权利：

• GDPR赋予数据主体一系列权利，包括访问、删除、修改和限制处理等。OpenAI需在其隐私政策中提供如何行使这些权利的信息，并确保数据主体能够方便地行使这些权利 。

附录（问卷）

报告最后附有一套由ChatGPT工作组开发的问题，用于进一步调查和指导数据处理合规性。

通过这些内容，报告展示了对ChatGPT服务的数据处理操作的初步评估，并提供了合规性建议。这些观点为后续的具体调查和合规措施提供了指导。