爱尔兰数据保护委员会(DPC)针对X公司(前Twitter)利用欧友邦平易近数据演习其天生式AI谈天机器人(Grok)的法律诉讼一案尘埃落定,X公司赞许永久停滞处理其来自欧盟和欧洲经济区(EEA)用户的个人数据以用于Grok模型演习。
这一诉讼的法律依据来自《通用数据保护条例》(GDPR),不久之前荷兰数据保护局(DPA)就以该法对Clearview AI开出3050 万欧元(约合公民币2.4亿元)的巨额罚单。
X公司永久停滞处理,DPC发文称对该结果欣然接管
作为欧盟/欧洲经济区的紧张监管机构,这是DPC首次利用借助《通用数据保护条例》第134 条[2]所采纳的诉讼维权。
事情发生于本年8月,有用户向DPC投诉指出,马斯克的X公司通过启用默认设置的办法,违法利用平台用户的公开帖子演习天生式AI谈天机器人Grok,而Grok也是由xAI(另一家马斯克旗下公司)开拓。
详细来说,便是X公司在未明确奉告用户的情形下,自动网络了用户的帖子、互动、输入和结果,用于演习天生式AI谈天机器人Grok的用户数据,以提高其作为搜索和谈天人工智能的性能。
在该投诉中,X公司存在多项违规行为:未清晰解释如何利用数据进行AI演习,网络的数据量超出必要范围,以及可能未经充分情由处理了敏感数据。这切实违反了《通用数据保护条例》,作为欧盟/欧洲经济区的紧张监管机构DPC即刻采纳了诉讼维权行动。
2024年9月4日DPC在公告中称,诉讼终极以“在X公司赞许永久停滞处理其来自欧盟和欧洲经济区(EEA)用户的个人数据用于人工智能模型演习”发布结束。
DCP主席委员Des Hogan 在对法院的裁决表示感谢,他说道,“DPC对该结果表示欣然接管,该结果保护了欧盟/欧洲经济区公民的权利。这一行动进一步表明,数据保护委员会致力于在必要时会与欧洲同行监管机构采纳适当的行动。”
北京盈科(成都)状师事务所状师张戈见告21世纪经济宣布,这或是双方达成的最好结果。
“这是一起DPC依照用户投诉向X公司发起的诉讼,考虑到DPC本身的性子在我国并没有特殊相似的组织能够类比,该起诉讼更类似海内公益诉讼的性子。随着X公司承诺‘赞许永久停滞处理其来自欧盟和欧洲经济区(EEA)用户的个人数据’,对广大用户而言,不仅节约了未来潜在的诉讼本钱而且还保护了用户的个人权柄,可以说是双方协商而成的最好结果。”
多个科技平台屡被投诉,已有公司面临2.4亿罚款
事实上,X 公司并不是唯一一个违规将用户数据用作演习AI模型而引起监管脱手的公司,已有多个科技平台因该行为引起监管关注。
9月5日,Clearview AI就因违反《通用数据保护条例》而面临荷兰监管机构(DPA) 3050 万欧元(约合公民币2.4亿元)的罚款。
Clearview AI是美国的一家面部识别初创公司,该机构在未经用户赞许的情形下建立了包含数十亿张人脸照片的造孽数据库,个中就包含荷兰公民照片。DPA依据《通用数据保护条例》对Clearview AI开出巨额罚单,并哀求其立即停滞所有违法行为,否则Clearview AI将面临最高510万欧元的额外违规罚款。
今年6月的一起投诉也与《通用数据保护条例》的适用干系。挪威消费者委员会(NCC)与奥地利隐私权倡导组织NOYB一同向挪威数据保护局提起了针对Meta的法律诉讼,指控其违反了通用数据保护条例。起因是Meta公司宣告将利用旗下Facebook和Instagram的用户内容来演习人工智能模型。在多方抵制之下,Meta随后宣告,停息利用欧盟和英国用户的数据演习AI,并推迟在欧洲推出自己的大模型。
《通用数据保护条例》是欧盟具有里程碑意义的数据保护法规。该条例于2018年生效,紧张目标为取回个人对付个人数据的掌握,以及为了国际商务而简化在欧盟内的统一规范。《通用数据保护条例》不仅哀求处理人们数据的合法依据,还哀求对任何此类操作的透明度和公正性。
依据《通用数据保护条例》的规定,如果数据透露对用户隐私产生不利影响,企业必须在72小时内向国家监管机构报告数据透露事宜。在某些情形下,违反GDPR的行为可能会被处以高达2000万欧元或前一财年环球业务额4%的罚款,详细罚款金额以更高数据为准。
本次DPC的行动有着积极意义,DPC委员Dale Sunderland就对该案评论道:“DPC也希望通过这次行动促进欧洲范围内对这一领域开展积极、有效且同等的监管。此外,该案例还将为其他的数据掌握者的投诉供应参考。”
随着AI模型市场的扩展,平台对付用户的个人数据资源几近渴求,当越来越多用户持有谨慎授权的态度时,不少平台选择铤而走险,关于个人数据合理利用的争议案例也逐渐呈上升趋势。
“相较于平台来说,用户的力量显然是微小的。”张戈坦言,“这次DPC能够顺利赢得X公司停滞侵权的结果得益于欧盟地区的立法先行。结合我国现行法律,用户如认为个人数据被违规网络利用,常日只能提起民事诉讼来维权,但在举证过程中存在困难,即如何证明平台存在侵权上(违法网络并利用了用户数据)。当然用户可以选择用脚投票,不去利用尚未做好数据合规的平台或产品,但是这对付个人用户来说显然不公正。”
为办理这一痛点,DPC在公告中说,目前正在根据GDPR第64(2)条向欧洲数据保护委员会(“EDPB”)要求见地。这一要求的目的是为了在EDPB层面引发谈论并促进就开拓和演习模型过程中涌现的一些核心问题达成共识,从而为这一繁芜领域带来一些急需的明确性。
更多内容请下载21财经APP