扫码立即加入学习!
整理:何渊
《ChatGPT任务小组工作报告》于2024年5月23日发布,由欧洲数据保护委员会(EDPB)成立的任务小组撰写,旨在处理美国公司OpenAI提供的ChatGPT服务在欧盟地区的数据处理合规问题。报告探讨了ChatGPT的个人数据处理方式是否符合《通用数据保护条例》(GDPR)的相关要求,特别是在数据合法性、透明性、公平性、数据准确性以及数据主体权利等方面。
报告回顾了任务小组在与OpenAI的调查过程中取得的初步成果,指出在2024年2月15日之前,OpenAI并未在欧盟设立机构,因此不适用“单一联系点机制”(OSS),各国的监督机构独立展开了数据保护调查。自OpenAI设立欧盟单一机构后,跨境数据处理的监督权限归属主导监督机构。
报告提出了调查中关于个人数据处理合法性、训练数据的收集与使用、透明性、数据准确性以及数据主体权利的初步意见,并提供了任务小组向OpenAI提出的详细问卷,以进一步调查和评估其在ChatGPT服务中的数据处理行为。
任务小组强调,随着调查的深入,最终结论尚待明确,目前报告的内容仅为阶段性成果。
以下是全文:
本文档所展示的立场源自ChatGPT任务小组成员的协调,旨在处理美国公司OpenAI OpCo, LLC提供的ChatGPT服务相关调查。它们反映了监督机构在解释与其调查范围相关的GDPR条款时达成的共识。本文档所陈述的立场并不预判各监督机构在各自调查中需要进行的分析,尤其是考虑到调查的情况可能会随着时间的推移而发生变化。一、背景
- 最近,出现了大量用于不同领域的大型语言模型(以下简称“LLMs”)。尽管这些模型可以为公众带来巨大的益处,但与LLMs相关的处理操作必须符合GDPR的要求。需要注意的是,LLMs的训练和优化涉及海量数据,包括个人数据。
- 一些最受欢迎和广为人知的LLMs属于“GPT”类别,特别是2022年11月30日推出的ChatGPT。多个监督机构(以下简称“监督机构”)根据GDPR第58(1)(a)和(b)条款,针对OpenAI OpCo, LLC(以下简称“OpenAI”)在ChatGPT服务背景下进行的处理操作,启动了数据保护调查。
- 截至2024年2月15日,OpenAI并未在欧盟设立机构。因此,GDPR中的“单一联系点机制”(以下简称“OSS”)无法适用。欧洲数据保护委员会(以下简称“EDPB”)于2023年4月13日决定成立一个任务小组,以促进在ChatGPT个人数据处理背景下执法行动的信息交流和协调。
- 在EDPB于2024年1月16日的全体会议上,决定进一步明确任务小组的职责并发布一份报告,概述ChatGPT任务小组的中期成果。
二、正在进行的调查
5.自2024年2月15日起,OpenAI在欧盟设立了单一机构,因此从该日期起,OpenAI进行的“跨境处理”操作适用于“单一联系点机制”(OSS)框架。根据GDPR第56条,主导监督机构有责任在必要时行使纠正权力。然而,这不影响那些针对2024年2月15日之前处理操作的国家级调查,这些调查涉及到非持续性或非连续性的可能违法行为。6.在报告期内,ChatGPT任务小组举行了多次会议,开发了一套通用问题集(以下简称“问卷”),并作为本报告的附件。7.2024年2月15日之前的隐私政策版本已纳入相关监督机构的调查范围。需要注意的是,OpenAI在2023年12月15日更新了其“欧洲经济区(EEA)隐私政策”,该政策于2024年2月15日生效。- 此外,还需注意,OpenAI已实施了一系列措施,以遵守包括意大利监督机构发布的紧急决定,该决定对ChatGPT服务在意大利的临时禁令作出了相关规定,并在2023年4月11日发布了解除该临时限制的后续决定。
三、初步意见
各监督机构目前的调查正在进行中,因此尚无法提供完整的调查结果描述。报告中的观点仅为对调查中某些方面的初步看法。3.1 合法性
9.每次个人数据处理都必须至少满足GDPR第6(1)条的一个条件,并在适用时,满足第9(2)条的额外要求。10.在评估合法性时,有必要区分个人数据处理的不同阶段。在当前背景下,这些阶段可以分类为:i)训练数据的收集(包括使用网页抓取数据或重新使用数据集),ii)数据的预处理(包括过滤),iii)训练,iv)提示和ChatGPT输出,以及v)使用提示对ChatGPT进行训练。3.1.1 训练数据的收集、预处理及训练
11.“网页抓取”涉及从互联网中自动收集公开信息,这些信息随后用于训练ChatGPT。这些信息可能包含个人数据,甚至特殊类别的个人数据(GDPR第9(1)条)。12.OpenAI主张其数据收集基于GDPR第6(1)(f)条款的合法权益,需要考虑利益平衡并采取合理的保护措施,如排除敏感数据来源、删除收集到的个人数据等。3.1.2 ChatGPT输入、输出和训练
13.ChatGPT的输入指的是用户在与LLM(如ChatGPT)互动时提交的数据,OpenAI将其定义为“内容”,并公开声明会使用这些信息来训练和改进模型。OpenAI允许用户选择不将其“内容”用于训练目的。14.在任何情况下,都应明确并清楚地告知数据主体,这些“内容”可能会被用于训练目的。3.2 公平性
15.根据GDPR第5(1)(a)条的公平性原则,要求个人数据的处理不应对数据主体产生不正当的损害、非法的歧视、出乎意料或误导性。公平性的一个关键方面是,不应将企业的风险转移到数据主体身上。3.3 透明度和信息义务
16.当通过网页抓取从公开可访问的来源(如网站)收集个人数据时,GDPR第14条的要求适用。考虑到网页抓取通常收集大量数据,通常无法或不切实际地通知每个数据主体有关情况。17.与此相反,当通过直接与ChatGPT互动收集个人数据时,GDPR第13条的要求适用,尤其需要告知数据主体用户输入的“内容”可能会被用于训练目的。3.4 数据准确性
18.关于数据准确性,需要区分输入数据和输出数据。输入数据可以包括通过网页抓取收集的数据或数据主体在使用ChatGPT时提供的“内容”(例如“提示”),而输出数据是与ChatGPT互动后的输出。19.由于ChatGPT的输出可能存在偏差或虚构信息,必须遵守数据准确性原则。3.5 数据主体的权利
20.GDPR规定了数据主体的一系列权利,例如有权访问个人数据、了解其处理情况、有权删除、纠正等。21.OpenAI在其隐私政策(欧洲版)中提供了如何行使这些权利的信息。鉴于复杂的数据处理情况以及数据主体干预的实际限制,数据主体必须能够以简单易行的方式行使其权利。4. 附录(问卷)
I. 总体问题
a) 请提供有关ChatGPT软件基础设施的简要描述。b) 请提供OpenAI的一个联络点,以确保在必要时我们可以直接联系您。c) 请提供您的数据保护官(DPO)的联系方式。如果您未指定DPO,请解释原因。d) 根据GDPR第30(4)条,请提供您的处理活动记录副本。e) 根据GDPR第33(5)条,请提供您的个人数据泄露文档副本。II. 有关个人数据处理原则的问题
a) 请描述您如何确保符合GDPR第5(1)条中规定的个人数据处理原则的总体方法。b) 根据GDPR第5(1)(b)条,请描述您在ChatGPT软件基础设施背景下处理个人数据的不同目的。c) 根据GDPR第5(1)(c)条,请描述您如何确保个人数据处理限于必要范围。d) 根据GDPR第5(1)(d)条,请描述您如何处理与ChatGPT软件基础设施中使用和生成的个人数据准确性相关的问题。e) 根据GDPR第5(1)(e)条,请描述您保存个人数据的时间。如果适用,请提供您的保留政策副本。f) 根据GDPR第5(1)(f)条和第32条,请描述为确保在ChatGPT软件基础设施背景下处理的个人数据具有适当的安全性而实施的技术和组织措施。III. 数据保护影响评估(DPIA)及风险管理
a) 您是否根据GDPR第35条就ChatGPT软件基础设施背景下用户及第三方相关的个人数据处理进行过数据保护影响评估(DPIA)?b) 如果适用,您指定的数据保护官是否参与了您依据GDPR第35(2)条进行的数据保护影响评估?c) 您是否能够消除或充分减轻在进行DPIA时识别出的风险?d) 根据GDPR第24(1)条最后一句规定,您为DPIA的定期审查设定了哪些时间表?e) ChatGPT软件基础设施的使用年龄限制是多少?您如何确保这些服务不被低于此年龄限制的用户使用?IV. 处理的合法性
a) 请描述为训练、测试和验证ChatGPT软件基础设施,从哪些不同来源收集并使用个人数据。
请提供有关所有不同训练阶段的信息,以及个人使用过程中输入和输出的相关信息。b) 根据GDPR第6(1)条,请描述您在ChatGPT软件基础设施背景下处理个人数据的法律基础(如适用,还请描述依据GDPR第9(2)条的例外情况)。
在回答中,请具体说明每个不同处理操作的法律基础,特别是涉及用户个人数据处理与非用户(从第三方收集的)个人数据处理的区别。
请说明通过用户与聊天机器人互动传递的个人数据是否用于训练AI系统或用于OpenAI的其他目的,如果是,适用的法律基础是什么。c) 如适用,请提供以下详细信息,并区分不同的处理操作:
i) 如果法律基础是GDPR第6(1)条规定的同意(以及可能适用的第9(2)(a)条的例外情况),请解释如何获得同意,并说明如何确保符合第7条关于同意的条件。
ii) 如果法律基础是根据GDPR第6(1)(b)条规定的履行合同的必要性,请解释在哪些当事方之间签订了哪些内容的合同,以及为何处理个人数据对履行该合同是必要的。
此外,如果法律基础是GDPR第6(1)(b)条规定的履行合同的必要性,请说明在处理特殊类别个人数据时依赖于第9(2)条的哪些例外情况。
iii) 如果法律基础是GDPR第6(1)(f)条规定的合法利益,请提供您进行的利益平衡的详细信息,尤其是您为何得出结论认为这些利益并未被数据主体的利益所凌驾。
此外,如果法律基础是GDPR第6(1)(f)条的合法利益,请说明在处理特殊类别个人数据时依赖于第9(2)条的哪些例外情况。
iv) 如果未依赖上述任何法律基础,请解释为何适用其他法律基础。d) 请解释为什么数据主体(用户)必须在输入电子邮件地址的基础上还需提供电话号码?
此外,请解释电话号码的法律基础和用途,以及OpenAI将保存电话号码的时间期限。e) 根据GDPR第6(4)条,是否存在为与原收集目的不同的目的而处理个人数据(“进一步处理”)的情况?
如果有,请描述涉及哪些数据类别,并提供您依据GDPR第6(4)条进行的兼容性测试副本。V. 数据主体的权利与透明度
a) 请解释何时以及如何向数据主体提供GDPR第13条和第14条要求的信息。
鉴于您网站上当前公布的隐私政策,请特别说明您如何以及何时向非用户(例如,为训练算法而收集数据的第三方)提供第14条要求的信息。
请提供截图(例如,显示数据主体如何获得相关信息的网页部分截图)以及您最新的隐私政策副本。b) 请解释您如何确保符合GDPR第15至第22条中规定的数据主体权利。
请提供支持文件(如适用,例如处理数据主体请求的内部政策副本)。c) 针对GDPR第17条,您如何确保遵守删除权(“被遗忘权”)的规定?d) 针对GDPR第21条,您如何处理基于合法利益的处理操作中,用户提出的反对处理其个人数据的请求?e) 针对GDPR第22条,是否进行自动化个人决策,包括分析?
如果有,请解释如何确保符合GDPR第22条。f) 您是否向ChatGPT软件基础设施的用户提供有关模型能力和限制以及语言模型服务中个人数据处理的信息?如果有,如何提供?VI. 个人数据向第三国或国际组织的传输
a) 请提供您用于托管和提供ChatGPT软件基础设施的数据中心列表(例如,处理与这些服务相关的个人数据)。
如果个人数据的存储或处理位置取决于某些标准,请描述这些标准。b) 根据GDPR第44条,是否涉及用户个人数据向第三国(欧盟以外的国家)的传输?c) 如果有,您依赖于哪些工具进行此类传输(GDPR第45条、第46条和/或第49条)?
请详细解释您选择相应工具的原因,以及如何确保符合GDPR第44条的要求,即确保自然人所享有的GDPR保障水平不会被削弱。
请提供证明文件(例如,如适用,请提供根据GDPR第46(2)(c)条签署的标准数据保护条款副本)。在此背景下,请解释您是否以及如何遵循EDPB关于补充传输工具的建议(EDPB建议01/2020),以确保与欧盟数据保护标准的一致性。VII. 向其他方披露个人数据
a) OpenAI是否是根据GDPR第4(7)条定义的唯一控制者,负责ChatGPT软件基础设施背景下的个人数据处理?
如果是,如何确保没有其他方(例如,其他公司)决定ChatGPT软件基础设施背景下个人数据处理的目的和手段?
如果不是,谁是其他的(联合)控制者?在这种情况下,请提供您根据GDPR第26条第二句签订的协议副本。b) 您是否在ChatGPT软件基础设施背景下有GDPR第28条定义的处理者?
如果有,请提供根据GDPR第28(2)条签署的合同副本。c) 在ChatGPT软件基础设施背景下处理的个人数据会向哪些第三方披露(例如,处理由OpenAI生成并提供的个人数据的新控制者)?披露的法律依据是什么(GDPR第6(1)条和/或第9(2)条的例外情况)?d) 回答第VII部分问题时,请同时考虑将ChatGPT软件基础设施集成到其他产品中的情况,例如(但不限于)搜索引擎。
个人信息保护合规审计先行计划
DPOHUB数隐咨询深耕个保合规审计,具有丰富的实践经验和落地方法论:- 牵头发起个保合规审计先行计划,并已完成即刻APP等数家公司的试点工作;
- 参与个保合规审计标准编制工作,并形成一套完善的审计方法;
- 完成首款个保合规审计自动化软件,并获得软件著作权;
- 率先发起个保合规审计认证培训,已在北京、上海举办两期。
不备注不通过
