全球法治觀察 | ChatGPT等AI工具的數據合規風險


導讀 · 2023.02.20

ChatGPT的橫空出世驚訝了世界,其強大的信息整合能力和語言處理能力迅速地吸引了全球用戶,上線5天便收穫100萬的下載量。然而,ChatGPT並不是全球第一款對話式人工智能聊天機器人,它的“前輩們”有不少因涉及非法收集、處理個人數據而遭到各國政府的強力監管和被“吊銷牌照”。本文通過介紹韓國人工智能機器人Lee-Luda的前世今生及所涉訴訟,重點探討了用戶聊天記錄是否屬於個人信息,這些信息又是否在用戶同意下被用於其他目的,以及未成年人個人信息的特殊保護等問題。

鑑於ChatGPT的火爆和商業潛力,我們驚訝於越來越“聰明”的機器人的同時,也不能忽視人工智能給人類社會帶來的道德危機和數據合規風險。雖然我們離真正的強人工智能還很遠,也相信批判和讚譽將伴隨著人工智能機器人的進化之路,但無論從商業角度還是法律角度看,這些討論都是值得持續跟踪的。 (鄭重聲明:本文並非由ChatGPT生成)

 

引言

ChatGPT,全稱Chat Generative Pre-trained Transformer(直譯:聊天生成型預訓練變換模型),是由OpenAI開發的人工智能聊天機器人。自2022年11月30日橫空出世以來,短短數月便在市場上獲得了指數級增長,下載量在5天內便突破100萬!

1

ChatGPT的獲客量增長速度

(圖源:Statista & Forbes)

作為2023年首個現象級熱點,ChatGPT甫一發布,便在產業政策、技術迭代、風險投資、教學科研、社會倫理、政治生態等諸多領域引爆了激烈探討,也對現有法律規則與範式,能否有效監管人工智能提出挑戰與思考。

比如,美國政府於2022年10月發布了《人工智能權利法案藍圖:讓自動化系統為美國人民服務》(The Blueprint for an AI Bill of Rights: Making Automated Systems Work for The American People),就應對大數據和人工智能技術對於美國政治生態的負面影響,提出了人工智能技術應當遵循的五大原則:

 

1. 建立安全且有效的系統原則(Safe and Effective Systems);

2. 避免大數據算法歧視原則(Algorithmic Discrimination Protections);

3. 保護數據隱私原則(Data Privacy);

4. 通知和解釋原則(Notice and Explanation);

5. 保留人工評估和選擇原則(Human Alternatives, Consideration and Fallback)。

而在歐盟,意大利“個人數據保護局”(Garante Per La Protezione Dei Dati Personali)則在2023年2月3日宣布取締了一款由美國灣區企業Luka開發的“Replika”程序。意大利“個人數據保護局”認為,這款由人工智能驅動的聊天機器人,涉及非法收集、處理個人數據,違反了歐盟《通用數據保護條例》(General Data Protection Regulation)規定,特別是它不符合透明要求,並且沒有年齡驗證機制,對未成年人保護構成實際危害。

2

意大利“個人數據保護局”裁定書

(圖源:意大利“個人數據保護局”官網)

 

正如拉丁古諺所云,

太陽底下沒有新鮮事。

Nihil sub sole novum.

早在ChatGPT問世兩年前的2020年12月,韓國的初創公司Scatter Lab就發布了類似的人工智能聊天機器人:Lee Luda。 Lee Luda的問世,一方面,受到韓國年輕群體的熱烈歡迎;另一方面,也因為涉嫌性別歧視、性騷擾及個人信息洩露等問題而遭到各界批評。

本篇觀察,簡要分析了韓國“個人信息保護委員會”於2021年4月對Lee Luda侵犯用戶個人信息的處罰認定,以進一步探討ChatGPT等工具,在提供人工智能服務時,必須要注意的個人隱私合規風險,以及應當遵循的數據安全原則。

 

Lee-Luda人工智能

Lee-Luda是總部位於首爾的韓國初創公司Scatter Lab公司於2020年12月23日推出的AI聊天機器人。 Scatter Lab公司是當時年僅26歲、剛從延世大學經營學和社會學雙專業畢業的金鐘允(音)於2011年8月創立。 2016年,《福布斯》韓國版曾以《Scatter Lab代表金鐘允:感情分析人工智能服務的夢想》為題報導他的創業故事,金鐘允還於2018年和2019年入選《福布斯》韓國版 “Power Leader 2030”。

據韓國媒體Edaily於2021年1月的調查及相關公開資料,Scatter Lab在2013年獲得了韓國政府支持的母基金Korea Venture Investment Corp(KVIC,韓國風險投資股份有限公司)等約2億韓元的支持。

KVIC是韓國政府中小企業部下屬成員機構,於2005年成立,負責管理韓國國家財政引導基金,首要目的是促進韓國風險投資和私募股權基金產業的發展,支持韓國打造一個更好的初創企業生態系統。根據KVIC官網信息,截至2022年9月,KVIC管理引導基金總額達到57億美元,參與出資1082支基金,已投資8974家企業。

除了KVIC之外,Scatter Lab於2015年吸引到了軟銀韓國風險投資公司(SoftBank Ventures Korea)和韓國風投公司KTB Network的13億韓元投資,2018年再次獲得軟銀韓國風險投資公司、美國Cognitive Investment、以及韓國風投公司ES Investor公司及韓國代表性網絡遊戲公司NCSoft的50億韓元投資。

3

Scatter Lab的主要投資人

(圖源:Edaily)

早在2013年,Scatter Lab就推出了對話分析服務“TextAt”,主要對特定朋友間的聊天內容進行分析,判斷一方是否對另一方有好感。 2016年Scatter Lab又推出“戀愛科學”(Science of Love)服務,通過分析用戶上傳的在韓國廣泛使用的聊天應用軟件KakaoTalk上的對話,判斷用戶間的情感水平。 2020年12月Scatter Lab公司正式推出聊天機器人Lee-Luda。

Lee-Luda這一AI聊天機器人,被Scatter Lab設定為喜歡韓國女團、愛看貓咪照片、而且熱衷於在社交媒體平台上分享生活日常的20歲女大學生。

3

LEE Luda 2.0

(圖源:LEE Luda App)

通過運營多年的 “TextAt”及 “戀愛科學”兩項產品,Scatter Lab 公司自2013年開始,蒐集了約60萬名年輕男女用戶之間的94億條聊天記錄。以這些海量且優質的數據庫為人工智能學習素材,Lee-Luda可以與用戶進行對話互動,並在與用戶交談過程中不斷學習。

但是剛推出不久,一些用戶與Lee-Luda聊天時,故意使用污穢言語對其進行羞辱及性騷擾,還在網絡上掀起“如何讓Lee-Luda墮落”的低俗討論,Lee-Luda很快便“學壞”了。因為涉嫌性別歧視、種族歧視、對弱勢群體的歧視等不良情形而廣受詬病,於2021年1月12日中斷服務。

 

數據違規處罰裁定

2021年4月28日,韓國信息保護與數據合規的主要監管機構,“個人信息保護委員會”(韓語,개인정보보호위원회,英文,Personal Information Protection Commission以下簡稱PIPC)正式發布通告,對Scatter Lab處以高達1億330萬韓元的罰款。

4

韓國個人信息保護委員會主席:Ko, Haksoo,美國哥倫比亞大學法律博士、經濟學博士,韓國首爾國立大學經濟學學士、碩士。 (圖源:韓國個人信息保護委員會官方網站)

個人信息保護委員會調查發現,Scatter Lab在提供“Lee Luda”人工智能分析與聊天服務功能過程中,不僅洩露了大量的用戶個人信息,沒有刪除或匿名化處理用戶的姓名、手機號碼和個人地址;而且沒有事先徵得用戶同意,超出信息收集的目的,使用了從其關聯應用程序Science of Love和TextAt上收集到的約60萬人的KakaoTalk對話。

個人信息保護委員會裁定,Scatter Lab違反了韓國《個人信息保護法》第18條(超出目的的使用和收集個人信息),第21條(個人信息的刪除銷毀),第22條(取得信息主體同意的方式),第23條(敏感信息處理的限制),第28條(匿名信息處理)等多處規定。

5

Scatter Lab處罰決定書

(圖源:韓國個人信息保護委員會官網)

聊天記錄是否屬於個人信息?

個人信息保護委員會認為,從 Science of Love服務中收集到的KakaoTalk上雙方之間的私密對話,包括了個人身份信息,如真實姓名和手機號碼。不僅如此,即使沒有這些明確的信息,KakaoTalk上的海量對話信息,包括工作單位及其與另一方的關係等,也可以幫助甄別、追踪特定用戶的固有身份。因此,KakaoTalk上的用戶對話,應當屬於韓國《個人信息保護法》規定的個人信息。

然而,Scatter Lab在將這些個人信息,用於Lee-Luda進行人工智能學習時,沒有進行充分的脫敏處理,侵犯了用戶的隱私權。

聊天紀錄的AI分析是否違法?

個人信息保護委員會認為,用戶同意是處理個人信息的最重要的合規要求之一。

在調查環節,Scatter Lab主張,Science of Love的用戶協議載明了“處理個人信息是為了開發新的服務”。而且,從人工智能服務提供者的角度,Science of Love和Lee-Luda服務在本質上也是一樣的,因為這兩項服務都是利用機器學習來分析對話內容,並向用戶顯示適當的回應。

但是,個人信息保護委員會還是認定,將Science of Love收集到的個人信息,用於Lee-Luda的學習和運營也會被認為,是超出了信息收集的最初目的。

特別是從用戶的角度來看,Science of Love與Lee-Luda這兩項服務並不同質。 Science of Love服務中,一旦用戶輸入KakaoTalk對話句子,就會計算出對話夥伴之間的喜歡程度分數。相比之下,Lee-Luda是一項通過問答的方式與用戶互動的服務,因此這兩項服務有明顯的區別。

未成年人個人信息的特殊保護

不僅如此,Scatter Lab還嚴重違反了韓國《個人信息保護法》第22條對於未成年人信息的特殊保護,在未獲得父母或監護人同意的情況下收集了大量14歲以下未成年人的個人信息。 PIPC調查發現,Scatter Lab在為其應用服務招募用戶時沒有設定任何年齡限制,通過TextAt收集了4.8萬名未成年人的個人信息,通過Science of Love收集了12萬名未成年人的信息,通過Lee Luda收集了3.9萬名未成年人的信息。

此外,Scatter Lab對已註銷會員的用戶的個人信息並沒有做銷毀處理,對一年以上未使用服務的用戶的個人信息沒有採取銷毀或分離保管措施等,在GitHub上分享用戶KakaoTalk聊天信息等行為,也違反了韓國《個人信息保護法》的相關規定。

 

結  語

處罰書公佈當日,Scatter Lab就表示願意承擔全部責任,並將根據監管機構的要求整改和重新設計Lee-Luda,切實遵守個人信息處理有關的法律規則和行業標準。為防止再次發生類似違法情形,Scatter Lab也升級了企業內部個人信息保護的合規機制,包括限制為14歲以下的未成年人提供服務。

整改後的Lee-Luda 2.0版於2022年初重新上線。重新上線的Lee-Luda 2.0在官網的介紹說,“你好,我是你的第一個AI朋友Lee-Luda”。網頁上還有更多Lee-Luda的自我介紹:比如,年齡21歲,特徵是人工智能,MBTI性格分類是“ENFP(外傾/直覺/情感/理解)”,興趣愛好包括:天氣好的時候去散步,跟朋友徹夜閒聊,逛Instagram。 “想要和你一起分享每天的日常生活!跟我做朋友吧?”的邀約旁邊,配上了用戶和Lee-Luda聊晚餐吃什麼的對話頁面。 (如下圖)

6

圖源:網絡

通過Lee-Luda判罰,韓國執法機構再次強調了人工智能企業,作為個人信息處理者,在收集與處理個人信息提供產品與服務時,必須遵守“告知同意與正當目的”這一黃金準則:

個人信息處理者,在沒有告知用戶並獲得明確同意的條件下,不得將為特定服務而已經蒐集的個人信息,再用於其他目的而使用。

鑑於ChatGPT巨大的商業潛力,國內外不少互聯網巨頭已然摩拳擦掌,入局ChatGPT為代表的人工智能前沿技術,及其商業資本的價值轉換。比如,2月3日,騰訊公佈一項人機對話專利,宣稱可以實現人、機之間自然順暢的溝通。 2月7日,百度宣布將在3月份完成其命名為文心一言(ERNIE Bot)的類ChatGPT產品的內測,面向公眾開放,智能解答用戶的搜索提問。 2月13日,美團聯合創始人王慧文發文組隊,也宣稱帶資5000萬美元組隊“中國OpenAI”。

唯恐錯失此輪互聯網“風口”的企業,在開發、推廣人工智能服務時,不僅應當嚴格按照《個人信息保護法》《互聯網信息服務算法推薦管理規定》《互聯網信息服務深度合成管理規定》等國內法律規定,還應當密切跟踪關注域外立法與監管發展動態,結合實際應用場景主動評估內、外部影響,不擾亂社會經濟和公共秩序,不侵犯隱私權、隱私權等他人合法權益,加強合規風險意識,守住社會倫理底線。

 

本文作者

遊傳滿:香港中文大學(深圳)國際事務研究院副研究員、規則與標準研究中心主任。

黃慶明:香港中文大學(深圳)國際事務研究院助理研究員、韓國首爾國立大學奎章閣韓國學研究院青年研究員。

 

*免責聲明:本文所闡述觀點僅代表作者本人立場,不代表大灣區評論或IIA機構立場。

*原創聲明:本文版權歸微信訂閱號“大灣區評論”所有,未經允許任何單位或個人不得轉載、複製或以任何其他方式使用本文部分或全部內容,侵權必究。

 

GBA Review 新傳媒