其一,建立生成式人工智能个人信息保护影响评估制度。风险评估是所有领域中风险控制的核心组成部分,它迫使信息处理者“识别、评估并最终管理个人信息处理给权利和自由带来的高风险”,有助于从源头上减少个人信息泄漏风险的发生。在生成式人工智能应用中,涉及敏感个人信息处理、利用个人信息进行自动化决策、委托处理个人信息等多项信息处理高风险情形,更容易造成个人信息泄露,应当将个人信息保护影响评估作为信息保护合规的一项核心任务。英国信息专员办公室(ICO)在2022年发布的《如何恰当且合法地使用AI及个人信息》中明确指出,数据控制者在使用AI系统之前应进行个人信息保护影响评估,并根据实际情况采取与其风险相适应的措施降低可能的损害。我国国家互联网信息办公室等部门于2023年7月13日公布的《生成式人工智能服务管理办法》暂未涉及生成式人工智能个人信息保护影响评估,相关内容尚需参照《个人信息保护法》第55条和第56条的规定。
但总体看,我国《个人信息保护法》中的个人信息保护影响评估制度仍较粗疏,在生成式人工智能应用方面需进一步完善。其中最关键的是缺乏向公众强制披露的机制,公共监督缺位将导致难以确保个人信息保护影响评估风险预防工具朝着公共利益的方向发展。对于该问题,《信息安全技术个人信息安全影响评估指南》已明确规定一系列措施。在生成式人工智能的个人信息保护影响评估中,可以该指南为参照,公开个人信息保护影响评估报告或组建公众代表委员会,确保评估过程接受外部监督。
其二,设置生成式人工智能个人信息保护独立监督机构。根据《个人信息保护法》第58条的规定,大型互联网平台企业需承担设立独立监督机构的特别义务,以确保其个人信息处理符合合规要求。此项义务的适用标准包括三个方面:提供重要互联网平台服务、用户数量众多、业务类型复杂的个人信息处理者。基于此标准,《互联网平台分类分级指南(征求意见稿)》和《互联网平台落实主体责任指南(征求意见稿)》对其进行了进一步详细阐述。以ChatGPT为代表的生成式人工智能作为一种新型的人工智能技术,仅用两个月时间便获得了一亿的用户量。其个人信息处理量与大型互联网平台企业相似,并且广泛应用于推动经济发展、保障民生、维护国家安全等重要领域,属于“提供重要互联网平台服务”的信息处理者。因此,生成式人工智能应设立独立监督机构以监督个人信息保护情况,充分履行社会责任。
鉴于生成式人工智能应用中的个人信息处理往往伴随高度复杂的算法和技术,独立监督机构人员应当包括具备相应专业知识和技术能力的专业人员。在职责范围上,独立监督机构应当从制度合规、技术合规和组织合规三方面着手,对生成式人工智能应用中的个人信息安全事前防范、事中规制和事后处置的合规情况进行监督。包括个人信息保护负责人的设立、个人信息跨境安全评估、个人信息安全事件应急预案、合规审计、发布个人信息保护社会责任报告等。总体来看,对生成式人工智能技术服务提供者施加个人信息保护特别义务,是风险控制的重要措施。
结语
生成式人工智能既有为人类生产生活与社会变革带来诸多便利的一面,也存在对人格尊严侵害的一面。近来ChatGPT用户个人信息泄漏及虚构法学教授性骚扰事件接连发生,深刻揭示了生成式人工智能的威胁范围和对社会稳定的潜在危害,也让个人信息保护及其风险防范机制的脆弱性暴露无遗。
尽管个人信息保护制度存在被技术侵蚀的风险,但我们不能放弃这些制度,而应该在风险控制的基础上进一步转型,以更好地保护个人信息权益和尊严。未来,我们需要加强对人工智能伦理和隐私保护问题的研究,推动更加完善的个人信息保护制度的建立,以保障人类尊严与科技进步的平衡发展。
喜欢入编的那些事儿请大家收藏:(www.suyingwang.net)入编的那些事儿三月天更新速度全网最快。