永久停止处理!有公司面临2.4亿元罚款
作 者丨郭聪聪 刘欣
编 辑丨王俊
图 源丨图虫
爱尔兰数据保护委员会(DPC)针对 X 公司(前 Twitter)使用欧盟公民数据训练其生成式 AI 聊天机器人(Grok)的法律诉讼一案尘埃落定,X 公司同意永久停止处理其来自欧盟和欧洲经济区(EEA)用户的个人数据以用于 Grok 模型训练。
这一诉讼的法律依据来自《通用数据保护条例》(GDPR),不久之前荷兰数据保护局(DPA)就以该法对 Clearview AI 开出 3050 万欧元(约合人民币 2.4 亿元)的巨额罚单。
X 公司永久停止处理,DPC 发文称对该结果欣然接受
作为欧盟 / 欧洲经济区的主要监管机构,这是 DPC 首次利用借助《通用数据保护条例》第 134 条 [ 2 ] 所采取的诉讼维权。
事情发生于本年 8 月,有用户向 DPC 投诉指出,马斯克的 X 公司通过启用默认设置的方式,违法使用平台用户的公开帖子训练生成式 AI 聊天机器人 Grok,而 Grok 也是由 xAI(另一家马斯克旗下公司)开发。
具体来说,就是 X 公司在未明确告知用户的情况下,自动收集了用户的帖子、互动、输入和结果,用于训练生成式 AI 聊天机器人 Grok 的用户数据,以提高其作为搜索和聊天人工智能的性能。
在该投诉中,X 公司存在多项违规行为:未清晰说明如何使用数据进行 AI 训练,收集的数据量超出必要范围,以及可能未经充分理由处理了敏感数据。这切实违反了《通用数据保护条例》,作为欧盟 / 欧洲经济区的主要监管机构 DPC 即刻采取了诉讼维权行动。
2024 年 9 月 4 日 DPC 在公告中称,诉讼最终以 " 在 X 公司同意永久停止处理其来自欧盟和欧洲经济区(EEA)用户的个人数据用于人工智能模型训练 " 宣告结束。
DCP 主席委员 Des Hogan 在对法院的裁决表示感谢,他说道,"DPC 对该结果表示欣然接受,该结果保护了欧盟 / 欧洲经济区公民的权利。这一行动进一步表明,数据保护委员会致力于在必要时会与欧洲同业监管机构采取适当的行动。"
北京盈科(成都)律师事务所律师张戈告诉 21 世纪经济报道记者,这或是双方达成的最好结果。
" 这是一起 DPC 依照用户投诉向 X 公司发起的诉讼,考虑到 DPC 本身的性质在我国并没有特别相似的组织能够类比,该起诉讼更类似国内公益诉讼的性质。随着 X 公司承诺‘同意永久停止处理其来自欧盟和欧洲经济区(EEA)用户的个人数据’,对广大用户而言,不仅节约了未来潜在的诉讼成本而且还保护了用户的个人权益,可以说是双方协商而成的最好结果。"
多个科技平台屡被投诉,已有公司面临 2.4 亿罚款
事实上,X 公司并不是唯一一个违规将用户数据用作训练 AI 模型而引起监管出手的公司,已有多个科技平台因该行为引起监管关注。
9 月 5 日,Clearview AI 就因违反《通用数据保护条例》而面临荷兰监管机构(DPA) 3050 万欧元(约合人民币 2.4 亿元)的罚款。
Clearview AI 是美国的一家面部识别初创公司,该机构在未经用户同意的情况下建立了包含数十亿张人脸照片的非法数据库,其中就包含荷兰公民照片。DPA 依据《通用数据保护条例》对 Clearview AI 开出巨额罚单,并要求其立即停止所有违法行为,否则 Clearview AI 将面临最高 510 万欧元的额外违规罚款。
今年 6 月的一起投诉也与《通用数据保护条例》的适用相关。挪威消费者委员会(NCC)与奥地利隐私权倡导组织 NOYB 一同向挪威数据保护局提起了针对 Meta 的法律诉讼,指控其违反了通用数据保护条例。起因是 Meta 公司宣布将使用旗下 Facebook 和 Instagram 的用户内容来训练人工智能模型。在多方抵制之下,Meta 随后宣布,暂停使用欧盟和英国用户的数据训练 AI,并推迟在欧洲推出自己的大模型。
《通用数据保护条例》是欧盟具有里程碑意义的数据保护法规。该条例于 2018 年生效,主要目标为取回个人对于个人数据的控制,以及为了国际商务而简化在欧盟内的统一规范。《通用数据保护条例》不仅要求处理人们数据的合法依据,还要求对任何此类操作的透明度和公平性。
依据《通用数据保护条例》的规定,如果数据泄露对用户隐私产生不利影响,企业必须在 72 小时内向国家监管机构报告数据泄露事件。在某些情况下,违反 GDPR 的行为可能会被处以高达 2000 万欧元或前一财年全球营业额 4% 的罚款,具体罚款金额以更高数据为准。
本次 DPC 的行动有着积极意义,DPC 委员 Dale Sunderland 就对该案评论道:"DPC 也希望通过这次行动促进欧洲范围内对这一领域开展积极、有效且一致的监管。此外,该案例还将为其他的数据控制者的投诉提供参考。"
随着 AI 模型市场的扩张,平台对于用户的个人数据资源几近渴求,当越来越多用户持有谨慎授权的态度时,不少平台选择铤而走险,关于个人数据合理使用的争议案例也逐渐呈上升趋势。
" 相较于平台来说,用户的力量显然是渺小的。"张戈坦言," 此次 DPC 能够顺利赢得 X 公司停止侵权的结果得益于欧盟地区的立法先行。结合我国现行法律,用户如认为个人数据被违规收集使用,通常只能提起民事诉讼来维权,但在举证过程中存在困难,即如何证明平台存在侵权上(违法收集并使用了用户数据)。当然用户可以选择用脚投票,不去使用尚未做好数据合规的平台或产品,但是这对于个人用户来说显然不公平。"
为解决这一痛点,DPC 在公告中说,目前正在根据 GDPR 第 64 ( 2 ) 条向欧洲数据保护委员会("EDPB")请求意见。这一请求的目的是为了在 EDPB 层面引发讨论并促进就开发和训练模型过程中出现的一些核心问题达成共识,从而为这一复杂领域带来一些急需的明确性。