反思人工智能时代的隐私问题

该白皮书中重点关注野生智能监管与两个特定范畴的穿插：隐私和数据庇护立法。隐私与野生智能之间的毗连构造是数据，几近所无形式的野生智能都需要大量的练习数据来开辟分类或决议才能。不管野生智能系统能否处置或供给有关小我的决议，假如一个系统的练习数据中包括小我信息，特别是可识此外小我信息，那末该系统就有能够遭到隐私和数据庇护律例的约束。

该白皮书就美国和欧盟现有及未来的隐私和数据庇护律例，将若何影响野生智能系统的开辟和摆设提出了一系列论点和猜测。此外，白皮书探讨了野生智能抵消耗者和小我隐私酿成的怪异风险。与很多首要影响小我的技术隐私风险分歧，这些风险会聚在一路会形成社会层面的风险，而现有的隐私监管框架并不是为了应对这些风险而设想的。白皮书指出，现有的治理方式首要基于全球公认的公允信息理论（Fair Information Practices，FIPs），不敷以应对这些系统性隐私风险。最初，白皮书提出了下降这些风险的处理计划，同时也为该范畴的监管供给了新的偏向。

大大都现代隐私立法的焦点都基于《公允信息理论》（FIPs），FIPs是全球公认的为小我供给小我数据正当法式权利的根基框架。FIPs提出了有关小我隐私的5项保障要求，作为确保“信息正当法式”的一种手段。

FIPs并没有像《结合国天下人权宣言》和《欧洲根基权利宪章》那样把信息隐私权作为一项根基人权，而是在小我（数据主体）和记录保存者（数据处置者）之间列出了一套法则和义务。这一假定——数据收集对于现代国家的运作是需要的和适当的，但必须公允地停止，并有法式保障——被归入了随后对FIPs的订正中，甚至越来越多天时用于私营部分。

最具国际影响力的版本由经济合作与成长构造（OECD）于1980年制定，并于2013年停止了订正，将最初的FIPs合并并扩大为8项原则，涵盖收集限制、数据质量、目标标准、利用限制、平安保障、公然性、小我介入和问责制。

虽然早在贸易互联网出现之前就已提出，更不用说交际媒体平台和天生式野生智能工具了，但FIPs的焦点内容（如数据最小化和目标限制），经过限制公司在多洪流平上可以重新操纵为某一布景或目标收集的数据来建立或练习新的野生智能系统，间接影响了现今的野生智能系统。欧盟的《通用数据庇护条例》（GDPR）、美国加利福尼亚州的隐私律例和拟议中的《美国数据隐私与庇护法案》（ADPPA）在很洪流平上都依靠于这些原则。

《通用数据庇护条例》（General Data Protection Regulation，GDPR）于2016年经过，2018年生效，是欧盟试对图更新 1995 年的《数据庇护指令》的更新，旨在调和欧盟各成员国之前各不相谋的国家数据隐私制度，并更有力地落实欧洲人的数据权利。GDPR的焦点是小我数据，其界说是“与已识别或可识此外自然人有关的任何信息”。它赋予小我（“数据主体”）处置其小我数据的权利，如知情权和有限的被忘记权，并指导企业若何处置小我信息。它可以说是现今天下上最重要的数据庇护立法，激发了仿效立法，影响了全球数据庇护的框架。由于GDPR对野生智能的间接适用性及其在全球范围内的主导职位，欧盟的野生智能法案在很洪流平根基上没有触及数据庇护和隐私题目。

虽然GDPR并没有明白包括“野生智能”一词，但它包括几项适用于野生智能系统的规定，虽然它并没有明白包括“野生智能”一词。相反，第22条规定庇护小我免受“完全基于自动化处置”的小我数据决议，这类决议无需野生干涉，也称为自动化决议（ADM）。鉴于在健康、存款审批、求职申请、法律和其他范畴普遍利用自动决议，该条目在确保此类决议进程中最低水平的人类介入方面发挥了相当重要的感化。

除第22条外，GDPR还制定了几项影响野生智能系统的关键数据庇护原则。最值得留意的是，“目标限制”原则制止为收集数据时指定的目标之外的其他目标而处置小我数据，“数据最小化”原则将数据的收集和保存限制在绝对需要的范围内。这些原则在理论上停止了数据麋集型野生智能利用中常见的不受约束的小我数据收集（或数据挖掘）。虽然人们普遍以为，数据越多，野生智能就越强大好，并以为而且这类对数据收集和利用的限制会障碍野生智能的成长，但大量研讨表白，在这些限制条件下构建自动化决议系统是可行的，甚至进而是可取的。

GDPR 还以法则的形式规定了通明度义务，即当小我信息处置的目标是为了停止特征分析或 自动化决议 时，应向小我发出告诉。GDPR还制定了法则，赋予小我“拜候自己数据的权利”，并确保数据处置的正确性。最初，它引入了数据庇护影响评价（DPIA），这是一种问责办法，要求收集构造在停止数据处置活动之前评价其潜伏的风险微风险（不但触及相关构造，还包括潜伏的社会层面的风险）。

停止2024年，美国仍未制定类似于GDPR的联邦综合消耗者隐私法。美国最接近经过消耗者隐私律例的是《美国数据隐私与庇护法》（American Data Privacy and Protection Act，ADPPA），该法案于2022年在众议院提出，但在该届会议上没有停止投票表决，至今尚未再次提出。与GDPR类似，ADPPA将对“小我信息的收集、利用和同享”施加限制，要求这一进程“需要且相当”。该法案认可信息隐私与百姓权利之间的联系，增强了相关的民权法令，本色上提出了拜登政府随后提出的《野生智能权利法案蓝图》中的隐私部分。

由于缺少专门针抵消耗者的联邦立法，几十年来，一些部分性法令已经构成了一套零星的隐私庇护办法，如《家庭教育权利和隐私法案》（FERPA）、《儿童在线隐私庇护法案》（COPPA）、《健康保险便携性和义务法案》（HIPAA），甚至还有《视频隐私庇护法案》（VPPA）等等。在这类分离的场面下，美国各州纷纷经过了自己的消耗者隐私法。停止2023年，已有12个州经过了消耗者隐私律例，但美国加利福尼亚州的《消耗者隐私法》（CCPA）影响最为深远。CCPA偶然被称为加州版的GDPR，它与2022年更新的《加州隐私权法案》（CPRA）一路，可以说是迄今为止州一级在制定严酷而普遍的消耗者隐私庇护方面所做的最重要尽力。

CCPA的最初版本规定了数据拜候权、删除权和可移植性，以及在两年周期内拒绝销售小我数据的权利和目标限制条目。企业有义务就其收集的数据范例发出告诉，在收集13至16岁儿童的数据时获得其赞成，并在收集、利用或再操纵数据时遵照目标限制，这些限制必须合适小我的一般期望和收集时所指定的目标。随后作为投票提案（第24号提案）获得经过的CPRA订正了CCPA，增加了数据最小化原则、改正小我数据的权利、挑选不处置各类敏感小我数据的权利。以及与GDPR相类似的，挑选不处置某些形式自动决议的权利（例如住房和失业等具有严重影响的自动决议），美国加州隐私监管机构在律例草案中将其诠释为包括野生智能系统。企业必须停止隐私风险评价和收集平安审计，为挑选退出者供给获得办事的替换计划，而且不得因消耗者利用这些权利而对其停止轻视。

美国加利福尼亚州隐私制度与其他州的一个明显区分是，加利福尼亚州照旧是唯逐一个设立了具有法则制定权的履行机构，即加利福尼亚州隐私庇护局（CPPA）的州，而不是像很多此类法令那样将这一职能拜托给州检察长办公室。在理论中，这能够意味着加利福尼亚州隐私庇护局比大大都州的总检察长具有更多的内部专业常识，以及经过公布指南停止自动法律、处理野生智能与小我数据穿插范畴复杂和突发题目标自在度。

在天生式野生智能系统于2022年末进入公众和政策制定者的视野之前，有关野生智能监管的会商首要集合在猜测式野生智能系统上，这些系统操纵数据对成果停止分类、排序和猜测。在猜测式野生智能的范围内，关注点首要集合在这些系统发生的成果上，而较少关注用于练习这些系统的数据。有关野生智能的政策会商和律例提案首要触及算法审计和影响评价、通明度和可诠释性以及利用百姓权利，以此来确保决议输出的公允和公道。

说天生式野生智能极大地改变了野生智能监管会商的条件并不为过。人们对图像天生器（如DALL-E或Midjourney）和大说话模子（如ChatGPT）的才能感应赞叹的同时，也对这些系统是若何构建的，以及利用了哪些数据为其供给动力的题目提出了质疑。随着人们越来越普遍地熟悉到，天生式野生智能系统主如果基于从互联网上汇集的数据建立起来的，人们起头关注究竟是什么数据，以及谁的数据，为这些系统供给了动力。

在本章中，白皮书提出了4项质疑和猜测，提出了我们在继续监管隐私和野生智能时必须面临的关键题目。第一，白皮书猜测，由于数据是野生智能系统的根本，野生智能的延续成长将继续增加开辟者对数据的需求。第二，白皮书夸大，数据收集在很洪流平上不受限制所酿成的隐私风险已经超越了小我层面，延长到了群体和社会层面，这些风险没法仅经过利用小我数据权利来消除。第三，白皮书以为，虽然基于FIPs的现有和拟议隐私立法将对野生智能成长停止隐性监管，但它们不敷以处理社会层面的隐私风险。第四，即使是包括关于算法决议，以及其他形式野生智能明白规定的立法也是有限的，并没有供给对野生智能系统中利用的数据停止成心义监管所需要的数据治理办法。

整体而言，基于FIPs的隐私和数据庇护法令没有预见到野生智能系统或天生式野生智能等变体的增加，没法对野生智能成长所需的数据停止充实监管。从底子上说，隐私和数据庇护框架没法扩大，让小我在数百甚至数千个数字关系和渠道中承当治理其数据的首要义务，没法成功庇护小我隐私，它也没法化解生齿或社会层面的隐私风险微风险。正如法令理论家萨洛姆·维尔乔恩（Salomé Viljoen）所指出的，“要充实应对数据生产的经济要求和社会影响，就必须超越小我主义数据主体权利的发起，转而从理论上探讨负义务的数据治理所需的个人制度形式。”

野生智能的快速成长和利用激发了人们对其能够给人类带来的风险的公道担忧。白皮书倡议，在评价这些题目时，政策制定者还必须斟酌到，除非采纳出格办法庇护数据隐私，否则利用野生智能的副感化能够是一切人的数据隐私大幅削减。下文中的倡议正是基于这个题目：数据隐私与野生智能若何才能共存？

虽然数据隐私是白皮书的重点，但它并不是斟酌若何监管野生智能的唯一视角或优先事项。非小我信息以及他人的小我信息也可用于对小我和群体停止揣度，这是数据隐私政策制定必须超越小我控制，更普遍地制定明白的数据收集和利用法则的另一个缘由。

另一个关键的方面是，具稀有据会发生相当大的市场气力。此外，提倡提升数据质量是一个重要事项，由于更高质量的数占有助于处理偏见和轻视题目，但我们必须认可，数据质量也可以成为权利和上风的来历，由于大型企业可以花费资本来改良自己的数据，或从其他企业获得高质量数据的答应。同时，也需要抵抗技术决群情。只要当模子可以发生正确牢靠的输出时，可以以类似人类的方式停止推论和推理的大说话模子才是有用的。

最初，需要指出的是，这些题目既触及贸易范畴，也触及政府范畴。白皮书首要关注的是贸易数据收集。但政府可以（也确切）从私营部分采办数据，并指导政府摆设野生智能系统，这些系统在小我信息上停止练习或处置小我信息，这激发了有关潜伏监控和对百姓自在影响的题目。