本文来自微信公众号：财经E法 （ID：CAIJINGELAW），作者：姚佳莹，原文标题：《意大利封禁加拿大调查，ChatGPT会面临新“禁令”吗？》，题图来自：《银翼杀手2049》

当地时间4月4日，据加拿大隐私专员办公室（Office of the Privacy Commissioner，OPC）官网信息，OPC宣布开始调查OpenAI，涉及“OpenAI未经同意收集、使用和披露个人信息”的指控。隐私专员Philippe Dufresne表示，对于隐私的关注需要跟上、甚至领先于快速发展的技术。

欧盟国家已有动向。当地时间4月3日，德国联邦数据保护专员Ulrich Kelber在德国《商报》中表示，出于对数据安全问题的考量，德国存在暂时禁止使用ChatGPT的可能性。

当地时间3月31日，意大利个人数据保护局（Garante per la protezione dei dati personali，GPDP）宣布，即日起暂时禁止ChatGPT的使用，同时对ChatGPT背后的OpenAI公司展开调查，限制其处理意大利的用户信息。同一时间，作为回应，OpenAI已在意大利下线了ChatGPT的相关服务。

GPDP认为，3月20日，ChatGPT出现用户对话数据和付款服务支付信息丢失的情况，平台没有就处理用户信息情况进行告知，缺乏大量收集和存储个人信息的法律依据。

据Kelber介绍，德国联邦数据保护机构已要求意大利监管机构提供其禁止ChatGPT的进一步信息。

尽管暂无其他国家宣布关于ChatGPT的限制性措施，但意大利对ChatGPT的禁用显然已在世界范围内引起关注。北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括向财经E法表示，意大利封禁ChatGPT所主张的对于个人信息安全的考量，对欧洲其他国家甚至世界范围内进一步推动对ChatGPT的监管将产生很大影响，可能会引起连锁效应，“其他国家很可能跟进”。

更多欧洲国家禁用ChatGPT？

除了个人信息安全的考量，GPDP还对OpenAI忽略用户年龄审查表达了担忧。

OpenAI于2023年3月14日更新用户使用条款，规定用户必须年满13岁才能使用OpenAI及附属公司的服务，如果未满18岁，必须获得父母或法定监护人的许可才能使用服务。

GPDP指出，尽管OpenAI发布了年龄限制的规定，但并未对用户做年龄验证，考虑到ChatGPT的发展程度和自我意识，未成年人在使用时可能接触到不合适其浏览的回复内容。

GPDP要求OpenAI在20天内，通过其在欧洲的代表对GPDP的相应指控做出回应，否则将被处以2000万欧元或全球年营业额4%的罚款。同时，GPDP称，OpenAI需证明已解决GPDP发现的问题，封禁方会解除。

在意大利宣布关于ChatGPT的“禁令”后，除了德国外，法国和爱尔兰亦表现出对该事件走向的关注。公开消息显示，两个国家的隐私监管机构表示，已与意大利数据监管机构联系，讨论其调查结果。瑞典监管机构则称，暂无禁止ChatGPT的计划。

为何是意大利率先对ChatGPT说“不”？

吴沈括指出，意大利的个人信息保护主要依据本国的《个人数据保护法》，同时也遵循欧盟的统一立法，特别是通用数据保护条例（GDPR）。总体的个人信息保护特点是位阶高、效力高、处罚水平高，同时保持与欧盟统一立法高度一致。

吴沈括进一步表明，在欧盟的个人数据保护生态中，意大利具有举足轻重的地位。首先，意大利在欧洲个人数据保护机制的设计和落地中，贡献了很多具有意大利特色的方案，例如关于科研数据处理的一般许可机制，便属于比较突出的意大利特色机制设计；其次，欧盟个人数据保护领域的权威学者、监管机构中的高级别人士中，意大利籍占据的比例较高，如GDPR国际谈判首席代表是意大利人；此外，意大利在个人数据监管执法的案例典型，数量多，处罚力度高。“比如意大利是迄今为止世界上唯一动用刑事处罚谷歌高管的国家。”吴沈括表示。

2006年，一名唐氏综合症少年被4名青年殴打的视频在谷歌上传播，尽管谷歌在收到意大利政府删除视频的通知后，已配合删除视频，但2008年7月，意大利有关部门仍对谷歌4名高管提起刑事诉讼。2010年，意大利法院裁决，谷歌放任该视频传播，触犯了意大利关于个人隐私的法律规定，由此判处谷歌4位高管半年监禁，缓期执行，其中便包括谷歌负责全球范围个人隐私事务的法律顾问。

吴沈括表示，此次意大利封禁ChatGPT所主张的对于个人信息安全的考量，对整个欧洲下一步监管将产生很大影响。他认为，由于意大利所提出的OpenAI在个人数据处理当中的违法事由，在欧盟法的一般框架下是成立的。“所以其他国家很可能会跟进，甚至引起欧盟层面的高度关注，运用一站式解决机制统一对GPT应用场景做出规定或者树立执法案例。”吴沈括表示。

缘起数据丢失事件

意大利开出“禁令”的导火索是今年3月，ChatGPT的一次用户对话数据丢失事件。

当地时间3月20日，多名ChatGPT用户在Reddit等互联网平台上发帖称，其账号下的聊天历史栏出现了他人的聊天记录。3月21日，OpenAI回应表示，已暂时下线聊天历史功能，并强调发生泄漏的只涉及聊天历史的标题，用户无法看到他人的详细聊天内容。

3月23日，OpenAI首席执行官Sam Altman在社交媒体表示，此次严重问题是由开源代码库的一个程序错误导致，会有小部分用户可以看到其他用户的聊天记录标题。目前开发团队已发布修复程序，并完成验证。

该事件引发了对ChatGPT数据处理的普遍忧虑。

根据OpenAI的隐私政策，ChatGPT收集的数据包括用户账户信息、输入或上传的内容、通信信息、日志数据、使用数据、设备信息等，如果社交媒体上搭载了ChatGPT，还会收集社交媒体信息。

关于如何使用个人信息，隐私政策包括：提供、管理、维护、改进和分析服务；进行研究；开发新的项目和服务等，但OpenAI亦强调，将以匿名或去识别化的形式维护和使用去识别化信息，不会尝试重新识别信息。

浙江大学计算机科学与技术学院教授、中国人工智能学会智能创意与数字艺术专业委员会委员汤斯亮向财经E法表示，ChatGPT确实在收集个人数据时，存在数据泄露的可能性。目前ChatGPT的数据存储周期并不明晰，存在黑客侵入造成的数据泄露风险；另外，若OpenAI不当使用存储信息，也可能造成数据泄露。

“如果在训练时加入了个人隐私数据，而后续的安全机制又未能过滤这部分数据，那么通过提问和引导，ChatGPT便可能输出涉及这部分数据的回答。”汤斯亮说。

但汤斯亮同时表示，虽然ChatGPT收集了个人数据，但大部分数据未必可以用来训练ChatGPT。用于ChatGPT训练的高质量语料强调逻辑性，如代码和学术文献，而其他大部分对话语料在训练时会被筛除。“如果你把身份证号码告诉它，它可能只是存储，即使真的记住了身份证号码，这段信息在ChatGPT庞大如45TB的语料中，日后被用以生成回答的概率也是极小的。”汤斯亮说。

ChatGPT的横空出世，也打乱了欧盟对《人工智能法案》的推进节奏。

欧盟委员会（European Commission）、欧洲议会（European Parliament）和欧盟理事会（European Council）在2021年就提出了《人工智能法》（Artificial Intelligence Act）的草案，该草案系统阐述了人工智能的定义、禁止应用人工智能的领域、支持创新的举措等，旨在推动人工智能创新和发展的同时，保障公民的基本权利免受侵害。该草案还计划把人工智能的一些具体用途指定为“高风险”，将开发人员绑定到更严格的透明度、安全和人力监督要求上。按照流程，欧盟理事会于2022年12月批准了新版本的《人工智能法》草案，该法案将委托委员会为通用人工智能制定网络安全、透明度和风险管理要求。

此前，外界曾预计，该法案将于3月底在欧洲议会进行投票，届时各成员国将就法案的最终条款进行谈判。但分析人士认为，ChatGPT等生成式人工智能的话题在2月份的迅速崛起，在一定程度上扰乱了法案出台的节奏。

吴沈括表示，ChatGPT带来的立法挑战至少包括三个方面：第一，ChatGPT丰富多样的应用场景所反映的风险类型，风险等级存在不确定性，需要更多的时间观察其风险趋势；第二，ChatGPT所凸显的数据治理和人工智能治理之间的交叉融合，给原有的监管思路产生了极大冲击，其反映的数字生态更复杂，相关主体及业务链更多样，这意味着各方的权利义务和责任配置也需要更广泛的研判。

“今天的人工智能立法形势与欧盟当时草案形成的时期相较，已发生了很大变化。”吴沈括说。

本文来自微信公众号：财经E法 （ID：CAIJINGELAW），作者：姚佳莹