爱尔兰数据保护委员会(DPC)针对X公司(前Twitter)使用欧盟公民数据训练其生成式AI聊天机器人(Grok)的法律诉讼一案尘埃落定,X公司同意永久停止处理其来自欧盟和欧洲经济区(EEA)用户的个人数据以用于Grok模型训练。
这一诉讼的法律依据来自《通用数据保护条例》(GDPR),不久之前荷兰数据保护局(DPA)就以该法对Clearview AI开出3050 万欧元(约合人民币2.4亿元)的巨额罚单。
X公司永久停止处理,DPC发文称对该结果欣然接受
作为欧盟/欧洲经济区的主要监管机构,这是DPC首次利用借助《通用数据保护条例》第134 条[2]所采取的诉讼维权。
事情发生于本年8月,有用户向DPC投诉指出,马斯克的X公司通过启用默认设置的方式,违法使用平台用户的公开帖子训练生成式AI聊天机器人Grok,而Grok也是由xAI(另一家马斯克旗下公司)开发。
具体来说,就是X公司在未明确告知用户的情况下,自动收集了用户的帖子、互动、输入和结果,用于训练生成式AI聊天机器人Grok的用户数据,以提高其作为搜索和聊天人工智能的性能。
在该投诉中,X公司存在多项违规行为:未清晰说明如何使用数据进行AI训练,收集的数据量超出必要范围,以及可能未经充分理由处理了敏感数据。这切实违反了《通用数据保护条例》,作为欧盟/欧洲经济区的主要监管机构DPC即刻采取了诉讼维权行动。
2024年9月4日DPC在公告中称,诉讼最终以“在X公司同意永久停止处理其来自欧盟和欧洲经济区(EEA)用户的个人数据用于人工智能模型训练”宣告结束。
DCP主席委员Des Hogan 在对法院的裁决表示感谢,他说道,“DPC对该结果表示欣然接受,该结果保护了欧盟/欧洲经济区公民的权利。这一行动进一步表明,数据保护委员会致力于在必要时会与欧洲同业监管机构采取适当的行动。”
北京盈科(成都)律师事务所律师张戈告诉21世纪经济报道记者,这或是双方达成的最好结果。
“这是一起DPC依照用户投诉向X公司发起的诉讼,考虑到DPC本身的性质在我国并没有特别相似的组织能够类比,该起诉讼更类似国内公益诉讼的性质。随着X公司承诺‘同意永久停止处理其来自欧盟和欧洲经济区(EEA)用户的个人数据’,对广大用户而言,不仅节约了未来潜在的诉讼成本而且还保护了用户的个人权益,可以说是双方协商而成的最好结果。”
多个科技平台屡被投诉,已有公司面临2.4亿罚款
事实上,X 公司并不是唯一一个违规将用户数据用作训练AI模型而引起监管出手的公司,已有多个科技平台因该行为引起监管关注。
9月5日,Clearview AI就因违反《通用数据保护条例》而面临荷兰监管机构(DPA) 3050 万欧元(约合人民币2.4亿元)的罚款。
Clearview AI是美国的一家面部识别初创公司,该机构在未经用户同意的情况下建立了包含数十亿张人脸照片的非法数据库,其中就包含荷兰公民照片。DPA依据《通用数据保护条例》对Clearview AI开出巨额罚单,并要求其立即停止所有违法行为,否则Clearview AI将面临最高510万欧元的额外违规罚款。
今年6月的一起投诉也与《通用数据保护条例》的适用相关。挪威消费者委员会(NCC)与奥地利隐私权倡导组织NOYB一同向挪威数据保护局提起了针对Meta的法律诉讼,指控其违反了通用数据保护条例。起因是Meta公司宣布将使用旗下Facebook和Instagram的用户内容来训练人工智能模型。在多方抵制之下,Meta随后宣布,暂停使用欧盟和英国用户的数据训练AI,并推迟在欧洲推出自己的大模型。
《通用数据保护条例》是欧盟具有里程碑意义的数据保护法规。该条例于2018年生效,主要目标为取回个人对于个人数据的控制,以及为了国际商务而简化在欧盟内的统一规范。《通用数据保护条例》不仅要求处理人们数据的合法依据,还要求对任何此类操作的透明度和公平性。
依据《通用数据保护条例》的规定,如果数据泄露对用户隐私产生不利影响,企业必须在72小时内向国家监管机构报告数据泄露事件。在某些情况下,违反GDPR的行为可能会被处以高达2000万欧元或前一财年全球营业额4%的罚款,具体罚款金额以更高数据为准。
本次DPC的行动有着积极意义,DPC委员Dale Sunderland就对该案评论道:“DPC也希望通过这次行动促进欧洲范围内对这一领域开展积极、有效且一致的监管。此外,该案例还将为其他的数据控制者的投诉提供参考。”
随着AI模型市场的扩张,平台对于用户的个人数据资源几近渴求,当越来越多用户持有谨慎授权的态度时,不少平台选择铤而走险,关于个人数据合理使用的争议案例也逐渐呈上升趋势。
“相较于平台来说,用户的力量显然是渺小的。”张戈坦言,“此次DPC能够顺利赢得X公司停止侵权的结果得益于欧盟地区的立法先行。结合我国现行法律,用户如认为个人数据被违规收集使用,通常只能提起民事诉讼来维权,但在举证过程中存在困难,即如何证明平台存在侵权上(违法收集并使用了用户数据)。当然用户可以选择用脚投票,不去使用尚未做好数据合规的平台或产品,但是这对于个人用户来说显然不公平。”
为解决这一痛点,DPC在公告中说,目前正在根据GDPR第64(2)条向欧洲数据保护委员会(“EDPB”)请求意见。这一请求的目的是为了在EDPB层面引发讨论并促进就开发和训练模型过程中出现的一些核心问题达成共识,从而为这一复杂领域带来一些急需的明确性。