法律观点－生成式AI的隐私保护风险

图／美联社

春假期间笔者飞往美国华盛顿DC，参加国际隐私专家协会（IAPP）举办的2023年全球隐私高峰会。本次实体会议，吸引全球超过5,000名关注个资与隐私保护最新发展的参加者，开场的主讲人为Trevor Noah（前The Daily Show节目主持人及知名喜剧演员），闭幕的主讲人则包括Andrea Jelinek（欧盟个资保护委员会EDPB的主席）、 Elizabeth Denham（前英国资讯委员办公室ICO首长，现任Baker McKenzie的国际顾问）、Max Schrems（奥地利隐私保护行动者，其对Facebook提起的二次个资侵权诉讼导致欧洲法院二度宣告美国与欧盟间的跨太平洋个资传输协议无效），现场目睹几位重量级人物畅谈全球隐私保护的现在与未来，精采程度不输一场大型演唱会。

不难想像，今年最热门的议题环绕着近期爆红的生成式AI（如美国新创公司OpenAI于2022年11月推出的聊天机器人ChatGPT）的管制与隐私保护议题。

ChatGPT使用大型语言模型 ，以所有网路上公开资料作为数据集（dataset）进行语言模型训练，目前最新版GPT-4模型的聪明程度已可用于生成、编辑创意或技术内容（文章或程式码），其商业API并可应用于例如微软的Bing搜寻引擎、Office软体，NVIDIA的执行长黄仁勋更称ChatGPT为「AI的iPhone时刻」。各行各业都在谈论如何运用AI改变现有工作方式创造更多价值，或者思考哪些工作内容即将被AI取代，特别是部分白领工作。

然而，机会时常伴随着风险，我们期望AI改善生活，却也担心AI具有不透明、不实资讯、偏见、歧视等风险，尤其是大家对AI仍有魔鬼终结者的想像。欧盟执委会于2021年4月发布以风险为基础进行管制的人工智慧法草案（AI Act），对于属于高度风险的AI类型（例如将AI用于员工聘任或解雇之决定）要求必须事前取得合规评估，该法案目前仍在欧洲议会审议中。2023年3月22日包括马斯克（Elon Musk）在内之科技界重要人士以联名信表达对于AI开发竞赛过于迅速的忧虑，呼吁所有AI实验室立即暂停开发比GPT-4更强大的AI系统至少六个月，并利用这段时间共同制定和实施一套共享的先进AI设计和开发安全协议。

在隐私保护方面，2023年3月底义大利个资保护主管机关Garante开了西方国家的第一枪，基于ChatGPT违反欧盟GDPR的疑虑，暂时禁止OpenAI处理义大利用户资料，并给OpenAI 20日的改善期间，否则将科处2,000万欧元罚锾，理由包括ChatGPT大规模地搜集及储存个人资料以训练平台之演算法欠缺法定事由（例如经当事人同意），未执行用户年龄审查（确认是否非属儿童），及资料外泄、提供不正确资讯等疑虑。欧盟其他国家主管机关也在研拟是否采取措施，或加入义大利主管机关禁用ChatGPT的行列。

OpenAI随后发布一篇文章表示部分训练资料中可能包含网路上公开的个人资料，但模型训练系针对人们使用之语言，而非针对个人资料，且其已在可能的情况下删除dataset中的个人资料，并调整模型以拒绝用户有关个人资料之提问。

训练AI的dataset中如包含受著作权保护之内容，搜集及训练该等内容可能涉及重制而构成著作权侵害，但训练出来的模型中倘不包含受著作权保护之内容，则一般认为使用模型本身应无著作权侵权问题。但如训练AI的dataset中包含个人资料，情况可能不同。2022年美国联邦贸易委员会（FTC）在一件涉嫌违反儿童网路隐私保护法（COPPA）的和解案中，认定一间行销供儿童使用的减肥APP及网站的公司，因在未通知父母或取得父母同意之情况下搜集儿童个人资料而违反COPPA规定，FTC除了要求该公司删除其违法搜集之儿童个资外，更要求删除由该等违法搜集之个资所开发之模型或演算法，亦即，将模型或演算法视为「毒树上的果实」，即便模型或演算法之使用本身并不违法。

生成式AI的横空出现，确实创造了彻底改变我们现有生活及工作方式的机会，但其所涉及的隐私保护及其他风险，同样不容忽视。行政院现正规划各界盼望已久的我国独立个资保护主管机关，期望未来主管机关参考国外案例经验及考量我国国情，就AI隐私保护议题提供清楚的指引，让开发及使用AI的企业得据以遵循，共同推动我国资料经济的发展。