生成式AI带来的数据合规新挑战及其应对

日期：2023-06-27

全文约8300字，预计阅读40分钟。

作者按：

从前，作为埃森哲亚太区法律部合规、运营、法规与道德规范主管，公司所有与A（AI，人工智能）、B（Blockchain，区块链）、C（Cloud Computing，云计算）、D（Digital offerings and services，大数据）有关的技术或服务开发，都必须经过我们合规部门的合规性审查确认。长期处于科技审查的前沿位置让我对高新技术领域的发展始终保持关注。ChatGPT上线后，我曾撰写《ChatGPT的法律和道德伦理挑战》一文，对ChatGPT使用过程中可能存在的法律与道德伦理风险进行了梳理总结，并给出了我认为的可行性应对思路。而本文将以意大利数据保护局（GPDP）对ChatGPT的禁用与恢复使用事件为切入点，聚焦全球范围内对于ChatGPT及类ChatGPT的生成式AI的最新数据监管实践，就生成式AI及其运行带来的新数据合规挑战（合法性基础、透明度、未成年数据处理、数据准确性、数据权利行使、数据泄露）进行分析评价，并给出我的建议应对思路（构建符合要求的数据处理合法性基础、提高生成式AI运作透明度、保护未成年及其个人数据、提高数据准确性、保障用户数据权利的行使、防止数据泄露、保障数据安全）。

一、案例引入：意大利数据保护局（GPDP）对ChatGPT的禁用与恢复使用

当地时间2023年3月31日，意大利数据保护局（GPDP）发布了对ChatGPT的禁令，宣布暂时下架ChatGPT，并指控：其没有验证用户年龄，对未成年人缺乏过滤；为训练模型收集用户个人数据缺乏适当的法律依据；并在3月20日泄露了用户与其进行的对话内容和服务订阅者付款信息［1］。据此，ChatGPT背后的Open AI公司必须在20天内通报为解决上述问题而采取的措施，否则意大利数据保护局（GPDP）最高可对其处以2000万欧元或高达年度全球营业额4%的罚款。

此外，OpenAI 必须在4月30日之前遵守意大利数据保护局（GPDP）制定的有关透明度、数据主体权利以及算法训练的合法性措施。只有在这种情况下，意大利数据保护局（GPDP）才会取消其对ChatGPT施加的临时限制命令，ChatGPT才能再次从意大利市场上线。

当地时间2023年4月28日，意大利数据保护局（GPDP）再次发布声明，说明Open AI已经就此前其提出的要求进行了整改，包括对用户说明个人数据用于算法训练的情况、且用户有权对此拒绝，对用户年龄进行筛查，明确告知用户拥有的数据权利等方面，并将整改结果报告了意大利数据保护局（GPDP）。当局对Open AI采取的安全优化措施表示满意，于是对其解除了禁令，ChatGPT得以在意大利再次上线、恢复使用。

有媒体评论，意大利数据保护局（GPDP）对ChatGPT执行的禁令只是生成式AI面临相关监管的开端，这意味着各国对ChatGPT一类生成式AI的高密度、高强度监管措施可能正在路上。且由于ChatGPT背后的OpenAI公司尚未在欧盟27个国家/地区中的任何一处设立当地总部，因此，任何欧盟成员国的数据保护机构都可以对其发起新的调查并实施禁令［2］。

意大利的做法引发了欧洲多国的讨论和表态。包括德国联邦数据保护和信息自由托管局（BfDI）、法国国家信息自由委员会（CNIL）、西班牙数据保护局（AEPD）、挪威数据保护局（Datatilsynet）等在内的欧洲国家数据保护机关都对ChatGPT相关数据保护问题明确表达了关注和立场。欧洲《通用数据保护条例》（GDPR）在大模型上的合规执法是一个复杂议题，目前欧盟既有的调查、投诉、学术讨论中也只是触及棱角，并不全面。我们观察到的数据合规法律议题有如下六种（见下表）。其中，意大利数据保护局（GPDP）向OpenAI提出的合规清单列举的问题最为全面，其他介入的监管机关的焦点相对单一［3］。

二、生成式AI带来的6个数据合规新挑战

1.数据处理的合法性基础

从表1中可以看出，目前，欧洲各国对于以ChatGPT为代表的生成式AI带来的数据合规问题中，最重视也最强调生成式AI处理用户个人数据并将其应用于算法训练中的合法性基础问题。

以意大利数据保护局（GPDP）对ChatGPT的整改为例，其在官方新闻稿中明确强调，禁止Open AI以履行合同的方式来为其处理用户个人数据从而进行算法训练提供合法性基础，而应当以用户同意或合法利益作为其正当法律依据［6］。

而继意大利颁布监管措施后，加拿大成为第二个对Open AI启动调查的国家，其隐私专员办公室（OPC）公布的指控同样与数据处理合法性基础相关：“OpenAI未经同意收集、使用和披露个人信息”，且隐私专员办公室（OPC）将进一步调查Open AI是否在ChatGPT收集、使用和披露加拿大用户个人数据信息之前获得了用户有效且有意义的同意。

此外，美国人脸识别公司Clearview AI也因在未经用户同意的情况下，从公开网络及社交媒体平台上收集超过200亿张人脸图像和相关数据用于创建其面部识别的全球在线数据库，而被英国、美国、澳大利亚、意大利等国的数据监管机构指控［7］，各大监管机构对其进行处罚的理由无外乎均包括了“处理数据缺乏法律依据”一项。

生成式AI获取用户数据用于算法训练或构建数据库是其模型中的重要一环，若这一环节失去合法性基础，将对生成式AI的运营造成巨大合规风险，使其面临金钱处罚乃至全面下架的禁令。

2.透明度和解释性

根据表1，透明度和解释性问题是各国数据监管机构着重强调的另一热点问题，欧盟《通用数据保护条例》（GDPR）第三章第一节便规定了信息透明度问题，要求数据控制者应当以一种简单透明、明晰且易获取的方式，通过清楚明确的语言、采取合适措施提供其从数据主体与非数据主体中获得的个人数据。而以ChatGPT为代表的生成式AI模型通常是一个黑盒模型，其决策过程不易解释和理解。这可能导致模型研发者在解释其模型运行时、尤其是在解释模型如何对用户个人信息进行自动处理时面临困难。意大利数据保护局（GPDP）在对Open AI 提出的整改要求中明确提出，OpenAI必须起草并最终在其网站上提供一份公告信息，说明ChatGPT运行所需的数据处理安排和逻辑，及其赋予数据主体（用户和非用户）的权利。该公告信息必须易于访问，并需要用户在注册其服务之前就能够阅读到［8］。

该问题与用户其他的数据权利紧密相关，如若不妥善解决以适应相关规定，则可能导致生成式AI的运营与诸多行业监管要求相冲突。

3.未成年人数据处理

保护未成年人及其数据是生成式AI开发和应用过程中的重要问题。意大利数据保护局（GPDP）对ChatGPT提出的指控之一即在于其缺乏任何年龄验证机制。虽然根据条款，ChatGPT适用于13岁以上的人群，但其并未设置使用门槛，因此，儿童可能会在使用ChatGPT的过程中收到不适合他们年龄和意识的回复。年龄认证系统与前述合法性基础问题密切关联，如果个人数据的处理是基于同意，那么根据欧盟《通用数据保护条例》（GDPR）必须要求当事人或者未成年人的监护人进行同意［9］（事实上，其实大部分国家数据监管机构均要求未成年人注册使用相关应用或网站应当取得其监护人同意）。不同国家对于未成年人及其数据管理规定不尽相同，生成式AI尤其应当注意保护未成年人的隐私安全，防范相关合规风险的发生。

4.信息准确性和质量

ChatGPT等生成式AI的模型输出内容是基于训练数据的统计模式生成的，并不能保证总是提供准确和可靠的答案。由于“人工智能幻觉”的影响，其产出内容的信息准确性与质量频频引起人们的担忧。意大利数据保护局（GPDP）在合规指引中对信息准确性问题一带而过，主要是前文提到的因“人工智能幻觉”而发生的对回答胡乱编纂的情形。但是，ChatGPT的使用不一定涉及个人数据，究竟欧盟《通用数据保护条例》（GDPR）哪一机制适用这一问题目前尚不明晰［10］。

但在之前的文章《ChatGPT的法律和道德伦理挑战》中，笔者已经对ChatGPT损害用户个人数据的准确性问题（虚假信息问题）进行了介绍与分析，就澳大利亚的赫本（Hepburn）郡议会市长Brian Hood计划就虚假信息对ChatGPT采取诉讼一事来看，ChatGPT存在着损害个人数据准确性的情况，且Open AI有可能因此而面临诽谤案等诉讼的风险。此外，在法国国家信息自由委员会（CNIL）收到的投诉中，开发商 David Libeau 指控ChatGPT的理由也在于其编造了错误的用户个人信息数据，并将其用于和其他用户的对话中；而另5起均由国会议员艾瑞克·博托雷尔提出的投诉中，该议员也解释称ChatGPT伪造了他的出生日期和工作经历，而根据欧洲《通用数据保护条例》（GDPR），这类生成式AI系统有义务尽可能提供准确的个人数据［11］。

5.数据权利行使

不同国家对于用户行使数据权利的保护侧重点不同。在意大利数据保护局（GPDP）3月对ChatGPT禁令中，指控的是平台没有就收集处理用户信息进行告知，并在后续的整改要求中提出Open AI应当添加一系列附加措施，使数据主体（包括非用户）能够更正服务错误生成的个人数据，或者如果发现更正在技术上不可行，能够选择删除这些数据；并要求Open AI必须提供便于用户访问的工具，以允许非用户行使其反对处理其算法运行所依赖的个人数据的权利。如果选择“合法利益”作为处理用户数据的法律依据，则必须向用户提供相同的权利。

可见，意大利数据保护局（GPDP）侧重保护的是用户数据权利中的更正权与删除权（被遗忘权）。而与此不同，加拿大隐私专员办公室（OPC）与法国国家信息自由委员会（CNIL）则在ChatGPT的运用中侧重于保护用户数据权利的访问权、透明度与限制使用权等［12］。但不论数据监管机构计划在生成式AI运作中从哪一角度着手对用户的数据权利进行保护，都表明以ChatGPT为代表的生成式AI在用户数据权利行使方面存在着重大合规新挑战。

6.数据存储和访问控制——数据安全

ChatGPT的模型需要大量数据信息进行无监督自主训练和优化，而用户虽然在注册ChatGPT账户时被收集的个人信息种类相较于外卖、打车等为用户提供个性化服务的app来说相对较少，但用户在与ChatGPT对话的过程中，无法避免泄露较为敏感的个人信息。因此，相较于其他高新科技而言，生成式AI的数据安全风险集中在模型被攻击从而反向溯源数据库，以及用户通信内容泄露的隐患［13］。意大利数据保护局（GPDP）对ChatGPT的指控之一便在于，ChatGPT于当地时间2023年3月20日发生了泄露plus版本用户数据的情况，约有1.2%的ChatGPT Plus用户数据被泄露，一些用户有可能看到另一在线用户的姓名、邮箱地址、付款地址、信用卡号后四位等［14］。而其却没有在用户数据信息泄露后进行及时通报，而是在5天后方才发布道歉声明，此举违反了欧洲《通用数据保护条例》（GDPR）对于个人数据泄露处理方式的规定［15］，存在着巨大的数据合规风险。

三、如何应对生成式AI带来的数据合规新挑战

诚然，生成式AI目前仍在不断发展中，并持续给各大行业带来一系列创新性变革，其带来的数据合规新挑战也随着与各大行业的创新结合而不断增加，也因此不可尽举，但结合ChatGPT为了满足意大利数据监管局（GPDP）要求所做的整改以及业界对其的讨论来看，目前，在数据合规方面，生成式AI及其开发者面对自身带来的数据合规新挑战仍大有可为。

1.构建符合要求的数据处理合法性基础

Open AI在意大利数据保护局（GPDP）的要求下，对ChatGPT原来以合同方式获得的处理数据的合法性基础进行了修改，并准备在其网站上发布针对欧洲和世界其他地区所有用户和非用户的信息，以说明处理哪些个人数据以及使用哪些方法来训练算法。此外，Open AI在为用户保留的信息中澄清，虽然它会根据合同继续处理某些个人数据以保证服务的正确运行（如为改善服务质量、进行市场研究或开展内部统计分析而处理用户数据），但若用户基于合法利益行使反对权，其则会停止收集处理数据的行为。所有生活在欧洲的用户与非用户均有权反对Open AI处理他们个人数据用于训练算法的行为，反对可以通过在线填写易于访问的特殊表格进行。

Open AI从以合同方式获得合法性基础更改为了“合法利益”形式，虽然与意大利数据保护局（GPDP）发布的“通过用户同意或合法利益”要求有所出入，但其结果目前亦得到了意大利数据保护局（GPDP）的认可，为生成式AI核心业务开展的合法性保障提供了借鉴。但是对于合法性基础没有合法利益的国家和地区，取得用户同意仍是较为稳固的合法性基础［16］。

总的看来，生成式AI应当以用户同意、合同履行、法律义务和合法利益作为处理用户个人数据的合法性基础，但无论采用哪种合法性基础，生成式AI都应当确保数据收集的目的明确、合法合规，并严格限制数据的使用范围。此外，生成式AI收集用户个人数据所要求的合法性基础可能因地区、国家和不同法律体系而有所不同，其开发商应该了解并遵守适用于其运营地区的法律法规，并在数据收集过程中遵循相关的合法性要求。

2.提高生成式AI运作透明度

经济合作与发展组织（OECD）将透明度和可解释性（Transparency&Explainability）作为人工智能开发的核心原则之一。所以，将 AI 透明度和可解释性构建到系统的内部工具和框架中，是负责任开发者的必要之举［17］。根据Open AI向意大利数据保护局提供的个人数据保护说明，其准备在网站上发布信息说明ChatGPT将处理哪些个人数据、以及使用哪些方法来进行算法训练；此外，其扩展了为用户保留的数据处理信息范围，现在用户在注册前、注册中访问并了解这些信息［18］。

除此之外，基于生成式AI运作的特殊性，若将相关数据提供给第三方访问或共享，则开发者应当向公众清晰说明其允许第三方访问或与第三方共享的数据范围、内容与种类等信息；运营商也可以定期发布数据披露报告，从而向其用户和公众展示数据收集和处理的情况。报告内容可以包括数据收集量、数据收集类型、数据处理目的、数据共享情况以及数据安全措施的概述，以增加其处理用户个人数据的透明度。

全球各数据监管机构在未来亦可以考虑为生成式AI提供专门的审查、认证标准，以证明其数据处理实践符合透明度和隐私保护的最佳标准。这可以增加用户对生成式AI的信任，并确保其数据处理活动的合规性。

3.保护未成年及其个人数据

基于意大利数据保护局（GPDP）的整改要求，Open AI在意大利的服务注册中插入了出生日期请求，且在欢迎屏幕中要求已经注册的意大利用户重新确认其年龄，以阻止13岁以下的未成年人注册，并要求13 岁以上的未成年人用户必须通过其父母同意来使用该服务［19］。

正如前文所述，不同国家对于未成年人及其数据管理规定不尽相同：在美国，运营商应当遵守《儿童在线隐私保护法案》（Children's Online Privacy Protection Act，COPPA）等规定，开发者在家长提出要求时必须为其提供对所有未成年用户记录、个人资料和登录信息的完全访问权限［20］，并可基于COPPA提出的安全港计划［21］创建自我合规监管指南来保护儿童；而若生成式AI在我国进行相关合规建设，则应当按照《中华人民共和国个人信息保护法》的规定，将内置的相关儿童保护规定门槛提高至14岁，并制定专门的个人信息处理规则以保护不满14岁的未成年用户信息。

除了针对不同国家未成年人数据监管的要求设立不同的内嵌机制外，基于生成式AI运作的新颖性，开发者还应当设计未成年人内容过滤程序，以避免其接触到不适宜的信息；此外，还可以建立有效的报告和响应机制，以便未成年用户及其监护人能够报告任何安全问题或隐私侵犯情况，并能够及时采取适当的措施来解决这些紧急情况的出现。

4.提高数据准确性

ChatGPT在意大利重新上线后，宣布利益相关方可以声明其输出信息的不正确性，但其目前在技术上无法纠正这些错误［22］。要进一步解决信息准确性问题，生成式AI应建立实时的反馈机制来收集用户对输出准确度的反馈和评估，并利用该结果，结合人工审核和编辑机制，采用专家评估、双重审核或集体智慧的方式，帮助改善生成式AI的输出准确度。例如，维基百科主要是由来自互联网上的志愿者共同合作编写而成，由文字编辑工作小组、质量提升小组等维基社群对词条内容进行重复性审查、纠偏及润色等，并存在同行评审制度收集其他维基百科编者关于某个条目的意见与反馈，以提升条目内容的质量与准确性。生成式AI未来可借鉴其工作方式，提升对话内容的准确性。

2023年3月14日，OpenAI宣布正式发布GPT-4，称其在某些测试中的表现“可与人类相媲美”，并在大学入学和法律及医学等专业领域的许多模拟考试中优于其前身GPT-3.5。例如，在模拟律师考试中，与人类考生相比，GPT-4取得了全体排名前10%的好成绩，相比之下GPT-3.5则是倒数10%。在加拿大，为评估ChatGPT在国家放射学委员会考试问题上的表现并探索其优势和局限性，多伦多大学的拉杰什·哈瓦那博士及其同事用150道选择题对两代ChatGPT进行了测试，结果显示，基于GPT-3.5的ChatGPT的回答正确率为69%，接近70%的及格线，其中回答高阶思维问题的正确率仅为60%；而性能更优异的GPT-4的回答正确率则为81%，且在高阶思维问题上的正确率为81%，远好于GPT-3.5［23］。可见，生成式AI有效提高其信息准确性的方式在于持续学习和更新，以保持与新信息和知识的同步，并进一步据此定期更新训练模型、数据集和知识库，跟踪最新的发展和变化，从而促进生成式AI模型的迭代改进，修正模型中的问题和不准确性，提高输出内容的准确度和可信度。

专家评估、双重审核或集体智慧的机制加上ChatGPT本身迭代，笔者相信，生成式AI的准确性问题在未来会逐渐得到解决。

5.保障用户数据权利的行使

ChatGPT在意大利的整改确保了用户在使用时能够行使对个人数据的删除权、更正权、拒绝权及自主决定权，正如意大利数据保护局（GPDP）所言，Open AI在将技术进步与尊重公民数据权利相结合方面取得了进展，但其也希望Open AI能够在未来继续沿着这条适应欧洲数据保护立法的道路前进。

生成式AI开发者保障用户数据权利行使的方式包括但不限于前文提到的提高运作透明度、提高生成内容准确性及保护未成年人数据等措施，其也应于产品界面显著位置告知用户所享有的数据权利、用户投诉接收处理渠道及响应机制，同时，确保开发者能够及时处置用户个人关于更正、删除、屏蔽等个人信息权利请求［24］。此外，开发者还应遵循数据最小化原则，只收集和使用必要的用户数据，不超出所需范围，同时确保对已收集的数据进行及时清理和删除，避免不必要的数据保留；并积极限制自身的数据使用目的；定期进行数据隐私和安全的风险评估；并与数据处理的第三方供应商签订合适的合同，明确数据保护的责任和义务。当然，最重要的是，在开发生成式AI的过程中，应当采取综合性的数据保护措施，最终将数据隐私保护观念融入到开发组织的文化和价值观中。只有这样，才能确保用户数据权利的充分保护，并赢得用户的信任和支持。

6.防止数据泄露，保障数据安全

Open AI在整改后表示，其已经为用户提供了一个表格，从而允许所有欧洲用户行使反对Open AI处理其个人数据的权利，并能够从他们的算法训练中排除该用户对话和相关对话历史［25］。

除此之外，生成式AI开发者还应当采取数据加密、匿名化、脱敏等措施，以减少敏感信息的风险。确保对用户数据进行适当的隐私保护；并采取包括访问控制、身份验证、加密传输等在内的适当安全措施来保护存储在系统中的用户个人数据，从而防止数据泄露情况的发生；同时，开发者应当限制内部人员对用户个人敏感数据的访问权限，并确保只有授权人员能够访问和处理这些数据。

在数据泄露情况发生后，生成式AI开发者应当依照欧洲《通用数据保护条例》（GDPR）或运营所在地的其他数据监管规定，至少在获知泄露情况下的72小时内将包括泄露数据的性质、类别、数量在内的情况通知相关数据监管机构，并积极采取各种补救措施，从而便于数据监管机构对其行为合规性进行核查。

2023年5月18日，开源AI解决方案公司、Open AI的竞争对手ClearML宣布推出ClearGPT，一个安全的企业级生成式AI平台，该公司声称其产品的显著特点是为企业定制大型语言模型，以与企业的特定数据保持一致，在企业内部网络无缝运行并确保对知识产权 (IP)、合规性和知识的全面保护。ClearGPT通过在组织网络内提供安全环境来提供解决方案，确保完全控制并消除数据泄漏的可能性［26］。这是生成式AI在未来避免数据泄露风险的一个理想发展方向。

四、总结

英国技术哲学家大卫·科林格里奇在1980年出版的《技术的社会控制》一书中写道：“一项技术的社会后果不能在技术生命的早期被预料到。然而，当不希望的后果被发现时，技术却往往已经成为整个经济和社会结构的一部分，以至于对它的控制十分困难。”这就是控制的困境。与其他通用目的技术一样，ChatGPT所代表的自然语言处理技术也面临着“科林格里奇窘境”(Collingridge dilemma)，既充满希望，也隐含威胁［27］。在生成式AI技术狂奔的数据时代，我们既要看到其给生产与生活带来的便利性、给多业务场景带来的服务辐射能力，亦要看到其运行的特殊性给数据合规带来的新挑战，如此才能预防生成式AI“科林格里奇窘境”的出现。全球数据监管基于保护用户个人数据的目的对其进行监管无可厚非，但只有开发者自身针对相关风险亦进行合规建设，方才能够让生成式AI产业行稳致远。此外，学者、监管部门与相关专业人士亦在对ChatGPT相关数据合规风险进行持续调查研究，笔者相信，在未来，生成式AI能够得以更加规范地发展。

注释

1 参见https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9870847#english。

2 参见https://www.politico.eu/article/chatgpt-world-regulatory-pain-eu-privacy-data-protection-gdpr/。

3 参见李汶龙、尚博文：《ChatGPT在欧洲“被禁”的法律逻辑》，   https://mp.weixin.qq.com/s/jK7eFbaaAJSrrdcYsdga8w。

4 主要指用户同意、合同履行、法律义务和合法利益四种合法性基础。用户同意：数据主体已同意开发者为一项或多项特定目的而处理其个人数据；合同履行：处理用户个人数据是为履行以数据主体为一方的合同所必需的，或为在订立合同前应数据主体的要求采取步骤所必需的；法律义务：处理用户个人数据是为了遵守控制者受约束的法律义务所必需的；合法利益：处理用户个人数据是数据控制者或由第三方追求合法利益目的所必要的，除非该等利益被要求保护个人数据的数据主体的利益或基本权利及自由所超越，特别是数据主体是儿童的情况。

5 参见远洋：《ChatGPT官方App在更多地区上线，含欧洲、韩国、新西兰等》，https://www.ithome.com/0/695/294.htm。

6 参见https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9874751#english。

7  参见https://www.sohu.com/a/594573269_121255906。

8  参见https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9874751#english。

9、10  参见李汶龙、尚博文：《ChatGPT在欧洲“被禁”的法律逻辑》，https://mp.weixin.qq.com/s/jK7eFbaaAJSrrdcYsdga8w。

11 参见https://www.ncsti.gov.cn/kjdt/kjrd/202304/t20230417_117509.html。

12 参见https://www.priv.gc.ca/en/opc-news/news-and-announcements/2023/an_230525-2/，https://www.lemonde.fr/pixels/article/2023/04/05/chatgpt-premieres-plaintes-aupres-de-la-cnil-contre-le-logiciel-d-intelligence-artificielle_6168425_4408996.html。

13  参见王融：《ChatGPT类应用服务，数据合规有特殊性吗？》，https://www.tisi.org/25602。

14  参见朱之林：《ChatGPT，突然被禁》，https://mp.weixin.qq.com/s/laIPCArih6pGrjaSDzjNeg。

15  根据欧洲《通用数据保护条例》（GDPR）第33条，在个人数据泄露的情况下，数据控制者在可行情况下应当立即、或至少在72小时内依据第55条通知相关数据监督机构，除非个人数据的泄露不会产生危及自然人权利和自由的风险。如果通知迟于72小时，须附述迟延原因。

16 参见《AIGC研发及应用数据隐私合规义务识别——以意大利监管ChatGPT为切入点》，https://mp.weixin.qq.com/s/fkbY9MyLcZPwYJCWmg-LqQ。

17 参见李容佳：《Open Loop关于人工智能透明度及可解释性报告的解读》，https://mp.weixin.qq.com/s/ArOvzOaldih-FBFshXs40Q。

18 参见https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9881490。

19 参见https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9881490。

20 参见https://www.techtarget.com/searchcio/definition/COPPA-Childrens-Online-Privacy-Protection-Act。

21 安全港计划（COPPA Safe Harbor Program）：指经美国联邦贸易委员会（FTC）批准的第三方认证机构的隐私保护计划，这些计划并不直接免除运营者的合规义务，仅说明运营者的合规情况可能比较好。美国联邦贸易委员会（FTC）仍然会对这些认证机构进行监督，详情参见https://www.ecfr.gov/current/title-16/chapter-I/subchapter-C/part-312。

22 参见https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9881490。

23 参见《AI还可以相信吗？ChatGPT给出6个案例并称“千真万确”，30年老律师用来打官司，结果全是假的！》https://mp.weixin.qq.com/s/7knBHxanv7gxYbJm2yujJQ。

24 参见《AIGC研发及应用数据隐私合规义务识别——以意大利监管ChatGPT为切入点》，https://mp.weixin.qq.com/s/fkbY9MyLcZPwYJCWmg-LqQ。

25 参见https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9881490。

26 参见《ClearML 推出 ClearGPT，这是一个克服了 ChatGPT 挑战的生成式 AI 平台》，https://mp.weixin.qq.com/s/l73zV-BURCyR0UQKmYgOag。

27 参见《ChatGPT爆火背后的法律冷思考》，https://www.lvxinnews.com/details/e705040e-0c28-4852-adea-b5bb192f1c80。

审稿人：王宗鹏