今天小編分享的财經經驗:永久停止處理!有公司面臨2.4億元罰款,歡迎閲讀。
作 者丨郭聰聰 劉欣
編 輯丨王俊
圖 源丨圖蟲
愛爾蘭數據保護委員會(DPC)針對 X 公司(前 Twitter)使用歐盟公民數據訓練其生成式 AI 聊天機器人(Grok)的法律訴訟一案塵埃落定,X 公司同意永久停止處理其來自歐盟和歐洲經濟區(EEA)用户的個人數據以用于 Grok 模型訓練。
這一訴訟的法律依據來自《通用數據保護條例》(GDPR),不久之前荷蘭數據保護局(DPA)就以該法對 Clearview AI 開出 3050 萬歐元(約合人民币 2.4 億元)的巨額罰單。
X 公司永久停止處理,DPC 發文稱對該結果欣然接受
作為歐盟 / 歐洲經濟區的主要監管機構,這是 DPC 首次利用借助《通用數據保護條例》第 134 條 [ 2 ] 所采取的訴訟維權。
事情發生于本年 8 月,有用户向 DPC 投訴指出,馬斯克的 X 公司通過啓用默認設定的方式,違法使用平台用户的公開帖子訓練生成式 AI 聊天機器人 Grok,而 Grok 也是由 xAI(另一家馬斯克旗下公司)開發。
具體來説,就是 X 公司在未明确告知用户的情況下,自動收集了用户的帖子、互動、輸入和結果,用于訓練生成式 AI 聊天機器人 Grok 的用户數據,以提高其作為搜索和聊天人工智能的性能。
在該投訴中,X 公司存在多項違規行為:未清晰説明如何使用數據進行 AI 訓練,收集的數據量超出必要範圍,以及可能未經充分理由處理了敏感數據。這切實違反了《通用數據保護條例》,作為歐盟 / 歐洲經濟區的主要監管機構 DPC 即刻采取了訴訟維權行動。
2024 年 9 月 4 日 DPC 在公告中稱,訴訟最終以 " 在 X 公司同意永久停止處理其來自歐盟和歐洲經濟區(EEA)用户的個人數據用于人工智能模型訓練 " 宣告結束。
DCP 主席委員 Des Hogan 在對法院的裁決表示感謝,他説道,"DPC 對該結果表示欣然接受,該結果保護了歐盟 / 歐洲經濟區公民的權利。這一行動進一步表明,數據保護委員會致力于在必要時會與歐洲同業監管機構采取适當的行動。"
北京盈科(成都)律師事務所律師張戈告訴 21 世紀經濟報道記者,這或是雙方達成的最好結果。
" 這是一起 DPC 依照用户投訴向 X 公司發起的訴訟,考慮到 DPC 本身的性質在我國并沒有特别相似的組織能夠類比,該起訴訟更類似國内公益訴訟的性質。随着 X 公司承諾‘同意永久停止處理其來自歐盟和歐洲經濟區(EEA)用户的個人數據’,對廣大用户而言,不僅節約了未來潛在的訴訟成本而且還保護了用户的個人權益,可以説是雙方協商而成的最好結果。"
多個科技平台屢被投訴,已有公司面臨 2.4 億罰款
事實上,X 公司并不是唯一一個違規将用户數據用作訓練 AI 模型而引起監管出手的公司,已有多個科技平台因該行為引起監管關注。
9 月 5 日,Clearview AI 就因違反《通用數據保護條例》而面臨荷蘭監管機構(DPA) 3050 萬歐元(約合人民币 2.4 億元)的罰款。
Clearview AI 是美國的一家面部識别初創公司,該機構在未經用户同意的情況下建立了包含數十億張人臉照片的非法數據庫,其中就包含荷蘭公民照片。DPA 依據《通用數據保護條例》對 Clearview AI 開出巨額罰單,并要求其立即停止所有違法行為,否則 Clearview AI 将面臨最高 510 萬歐元的額外違規罰款。
今年 6 月的一起投訴也與《通用數據保護條例》的适用相關。挪威消費者委員會(NCC)與奧地利隐私權倡導組織 NOYB 一同向挪威數據保護局提起了針對 Meta 的法律訴訟,指控其違反了通用數據保護條例。起因是 Meta 公司宣布将使用旗下 Facebook 和 Instagram 的用户内容來訓練人工智能模型。在多方抵制之下,Meta 随後宣布,暫停使用歐盟和英國用户的數據訓練 AI,并推遲在歐洲推出自己的大模型。
《通用數據保護條例》是歐盟具有裏程碑意義的數據保護法規。該條例于 2018 年生效,主要目标為取回個人對于個人數據的控制,以及為了國際商務而簡化在歐盟内的統一規範。《通用數據保護條例》不僅要求處理人們數據的合法依據,還要求對任何此類操作的透明度和公平性。
依據《通用數據保護條例》的規定,如果數據泄露對用户隐私產生不利影響,企業必須在 72 小時内向國家監管機構報告數據泄露事件。在某些情況下,違反 GDPR 的行為可能會被處以高達 2000 萬歐元或前一财年全球營業額 4% 的罰款,具體罰款金額以更高數據為準。
本次 DPC 的行動有着積極意義,DPC 委員 Dale Sunderland 就對該案評論道:"DPC 也希望通過這次行動促進歐洲範圍内對這一領網域開展積極、有效且一致的監管。此外,該案例還将為其他的數據控制者的投訴提供參考。"
随着 AI 模型市場的擴張,平台對于用户的個人數據資源幾近渴求,當越來越多用户持有謹慎授權的态度時,不少平台選擇铤而走險,關于個人數據合理使用的争議案例也逐漸呈上升趨勢。
" 相較于平台來説,用户的力量顯然是渺小的。"張戈坦言," 此次 DPC 能夠順利赢得 X 公司停止侵權的結果得益于歐盟地區的立法先行。結合我國現行法律,用户如認為個人數據被違規收集使用,通常只能提起民事訴訟來維權,但在舉證過程中存在困難,即如何證明平台存在侵權上(違法收集并使用了用户數據)。當然用户可以選擇用腳投票,不去使用尚未做好數據合規的平台或產品,但是這對于個人用户來説顯然不公平。"
為解決這一痛點,DPC 在公告中説,目前正在根據 GDPR 第 64 ( 2 ) 條向歐洲數據保護委員會("EDPB")請求意見。這一請求的目的是為了在 EDPB 層面引發讨論并促進就開發和訓練模型過程中出現的一些核心問題達成共識,從而為這一復雜領網域帶來一些急需的明确性。