域外观察 | 新西兰信息专员办公室发布《生成式人工智能指南》要求AI企业遵守《隐私法》
【关键词】生成式人工智能
2023年5月25日新西兰信息专员办公室(OPC)发布《生成式人工智能指南》,指出生成式人工智能对新西兰公民个人信息的使用应遵守新西兰2020年《隐私法》,公民如果认为自己的隐私受到侵犯,可以向OPC投诉。鉴于生成式人工智能技术的不断发展,OPC将持续关注这一领域,并将很快对该指南进行进一步更新。
一、背景情况
生成式人工智能是最近在媒体上备受关注的工具和应用程序。这些工具使用大量信息(包括个人信息)来转换和生成各种内容,包括类人对话、撰写论文、创建图像或视频以及计算机代码等。
著名的生成式人工智能工具包括:OpenAI 的ChatGPT,这是一款利用GPT-3 / GPT-4大型语言模型的应用程序;Microsoft的Bing搜索/Copilot产品,它利用GPT-4技术,并将其整合到其Office办公软件中;以及谷歌的Bard。
随着生成式人工智能工具及其功能的迅速演进和发展,其影响也不断深化。世界各地的监管机构都在积极对其进行相关审查,新西兰OPC呼吁新西兰监管机构齐心协力,共同确定如何最好地保护新西兰人的权利。
二、生成式人工智能工具的潜在隐私风险
新西兰隐私专员迈克尔·韦伯斯特 (Michael Webster) 认为,使用生成式人工智能工具的机构(包括公共部门、私营部门,以及非营利部门)对与这些工具相关的潜在隐私风险应有足够的认识。这些风险包括:
(一)生成式人工智能使用的训练数据包含个人信息
生成式人工智能模型是根据大量信息进行训练的,其中包括个人信息。这带来了各种隐私风险,包括个人信息是如何收集的,是否有足够的透明度,以及信息是否准确或包含偏见等。对此,信息专员办公室强烈警告,不要将敏感或机密数据用于训练。
(二)信息保密受生成式人工智能工具提供商的影响
生成式人工智能工具需要对其输入提示以进行活动。该提示可以是几句话或大量数据,并且可能包括个人信息和商业机密信息。输入生成式人工智能工具的个人信息存在被生成式人工智能工具提供商保留、披露,并用于继续训练模型的风险。
(三)生成式人工智能生成信息的准确性有待确认
生成式人工智能工具生成的信息经常出现事实或逻辑错误,但它又对其生成的信息非常自信,这可能进一步导致偏见和歧视永久存在。因此,首先应采取适当步骤进行事实核查并确认输出结果的准确性,如果未经上述确认,不要依赖生成式人工智能工具的输出结果。
(四)生成式人工智能工具不能保障获取和更正个人信息的权利
新西兰2020年《隐私法》规定个人有权访问和更正机构持有的个人信息,但生成式人工智能工具可能并不能完成保障这样的权利。
三、OPC对生成式人工智能工具相关机构的建议
OPC认为,2020年《隐私法》是技术中立的,并采取基于原则的方法,其规定的隐私权及相应保护措施应同样适用于生成式人工智能工具。生成式人工智能相关机构(无论是公共部门、私营部门还是非营利部门)都应遵守《隐私法》要求的责任,具体建议如下:
一是生成式人工智能工具的使用应获得高层领导的批准。确保高层领导充分考虑了采用生成式人工智能工具的风险和缓解措施,并明确批准其使用。
二是审查生成式人工智能工具的使用是否必要和相称。鉴于生成式人工智能工具存在隐私风险,应对使用生成人工智能工具的必要性和相称性,以及是否可以采取替代方法进行审查。
三是进行隐私影响评估。只有在进行隐私影响评估(和/或算法影响评估)后才能使用生成式人工智能工具,隐私影响评估可以帮助识别和缓解隐私和更广泛的风险。影响评估应广泛征求可能受影响的社群和群体(包括毛利人)的意见和反馈。同时,应确认生成式人工智能工具的提供者公布了关于如何将隐私保护设计到工具中的相关信息,并对使用生成式人工智能工具的潜在风险进行尽职调查。
四是保持透明度。如果生成式人工智能工具的使用方式可能会影响客户及其个人信息,则必须以通俗易懂的语言明确告知如何、何时以及为何使用生成式人工智能工具,以及如何解决潜在的隐私风险。在收集客户的任何信息之前,必须确定客户了解所收集的信息对他们的潜在影响。同时,必须特别关注儿童。
五是制定确保个人信息准确性和可访问性的流程。如果生成式人工智能工具涉及收集客户或委托人的个人信息,生成式人工智能工具相关机构应制定相应的流程,明确说明如何采取合理措施确保信息在使用或披露前准确无误,以及如何响应个人的访问请求和更正个人信息的请求。
六是确保在采取行动之前进行人工审查。机构在根据生成式人工智能工具的输出结果采取任何行动之前,应对输出结果进行人工审查,这可以降低信息不准确或信息偏见带来的风险。人工审查还应评估根据输出结果对输入信息进行再识别的风险。
七是确保个人信息或机密信息不被生成式人工智能工具保留或披露。勿将个人信息或机密信息输入到生成人工智能工具中,除非已明确确认输入的信息不会被工具提供者保留或披露。此外,不要输入任何能够进行再识别的匿名化个人信息。OPC强烈警告不要将敏感或机密数据用于训练目的。
参考资料:
1.https://www.privacy.org.nz/publications/guidance-resources/generative-artificial-intelligence/
2.https://www.dataguidance.com/news/new-zealand-privacy-commissioner-issues-guidance
域外观察 | 欧盟委员会根据《数字服务法》指定第一批超大型在线平台和搜索引擎域外观察 | OECD发布《人工智能语言模型》报告域外观察 | 欧洲议会关于“通用人工智能”的观察动态观察 | 欧盟成员国GDPR重点执法案例汇编(2023.04)动态观察 | 主要国家和地区AIGC监管动态汇总月度热点 | 国际ICT立法跟踪4月热点中心活动 | 网络空间治理“三人谈”:“吃瓜”要有度 底线不能丢域外观察 | FCC垃圾短信和骚扰电话治理规则简析中心研究 | 数据法案例(一)—Meta爱尔兰案(个性化广告的合法性基础之辩)域外观察 | 美国智库发布《全球云竞争概述》认为中国全球云竞争存在优势域外观察 | 欧盟稳步推进《媒体自由法》,将强化对媒体自由的保护域外观察 | 美-荷-日半导体出口管制协议“可窥一斑”中心研究|从最高检发布的典型案例看如何保护生物识别信息域外观察|美国发布《促进数据共享与分析中的隐私保护国家战略》域外观察|欧盟委员会发布2023-2024年数字欧洲工作计划动态观察|欧盟成员国GDPR重点执法案例汇编(2023.03)月度热点 | 国际ICT立法跟踪3月热点域外观察|ChatGPT遭遇数据泄露,人工智能安全如何保证?域外观察|国外隐私增强技术监管和实践域外观察 | 欧洲数字身份提案最新进展专家解读|推进依法行政 护航数字经济高质量发展域外观察|美国商会发布《人工智能委员会报告》专家解读|新时代网络法治建设稳步推进 制度体系持续完善专家解读|《新时代的中国网络法治建设》彰显网络法治建设是全面依法治国的题中应有之义月度热点|国际ICT立法跟踪2月热点
动态观察|欧盟成员国GDPR重点执法案例汇编(2023.02)动态观察|欧盟成员国GDPR重点执法案例汇编(2023.01)域外观察|美国CSIS发布《投资于联邦网络弹性》报告域外观察|美智库研究认为两类网络安全问题值得关注
中心研究|《个人信息出境标准合同办法》出台,具体场景适用可参考欧盟成熟经验中心研究|欧盟发布《医疗数据空间条例》,为重点行业数据共享提供经验域外观察|联合国发布《隐私增强技术指南》中心研究|我国主要立法中数据处理者相关评估义务规定研究域外观察|瑞典发布一份欧盟《数据法案》妥协方案域外观察|ITIF发布《不损害人工智能创新发展的十项监管原则》报告域外观察|美国NIST发布《人工智能风险管理框架》年度观察|2022年网络法治盘点与回顾(一):数据治理篇年度观察|2022年网络法治盘点与回顾(二):数字平台篇
年度观察|2022年网络法治盘点与回顾(三):数字内容篇
年度观察|2022年网络法治盘点与回顾(四):数字安全篇
中心会议│第六届互联网法律研讨会在京顺利召开中心研究 | 美欧之间能否再次顺利签署跨大西洋数据流动协议?中心研究|2022年美国ICT领域重要立法进展
中心研究|印尼《个人数据保护法》能否为全球数据跨境流动探索出替代数据本地化的新路径?
中心研究|《数字市场法》案例梳理系列—(一)谷歌购物案
中心研究 | 《个人信息保护法》实施一周年观察之数据保护带来的成本究竟几何中心研究 | 我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》,加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察 | 欧盟《网络弹性法案》研究报告域外观察|亚太地区数据保护法律中有关“个人数据处理的合法性基础”的比较分析
域外观察|爱尔兰DPC针对Meta爱尔兰公司的数据泄露问题做出决定
域外观察|美国出口管制政策真的能扼制中国AI发展未来吗?域外观察 | 印度个人数据保护法案为何历经四度更迭?(附最新版法案译文)
域外观察|国外聚焦“黑暗模式”探索监管路径域外观察|欧洲数据保护委员会发布新版《数据控制者、处理者识别牵头监管机构指南》专家解读|加快规范深度合成技术应用