加拿大隐私法面对“生成式AI”：规管制度跟得上科技速度吗？

【星岛记者黄忆欣报道】在人工智能(AI)迅速渗透日常生活之际，加拿大隐私监管机构周三(6日)针对OpenAI作出的调查结论，再次将一个长期潜伏的问题推到台面：当既有法律框架面对生成式AI时，是否仍具备足够的规范能力？法律的制定跟得上AI的脚步吗？

联邦隐私专员杜弗雷纳 (Philippe Dufresne) 指出，OpenAI在早期训练其语言模型过程中，于个人资料的收集与使用上，未完全符合加拿大《隐私权法》(Privacy Act)的相关要求。当中涉及的问题，包括资料蒐集范围过广、未能取得有效同意，以及资讯使用方式缺乏足够透明度等。这些指控，若单独来看，并不陌生，甚至可说是传统数据经济中早已存在的监管议题。

然而，当这些问题出现在“生成式AI”之上，其意义已经不同。

• 【相关新闻】联邦报告指OpenAI在开发ChatGPT时违反了加拿大隐私权法
• 【相关新闻】儿童倡议团体今日国会山集会　促立法规管AI聊天机器人及网络游戏

星岛记者向ChatGPT查询后得到说明如下：

现行加拿大隐私法体系以《个人资讯保护和电子文件法》(Personal Information Protection and Electronic Documents Act，简称PIPEDA) 为代表，建立在一个相对清晰的前提之上：个人资料是可以被辨识、被收集、也可以被删除的。法律因此强调“知情同意”、“用途限制”与“最少收集”等原则，试图在个人权利与商业应用之间取得平衡。

ChatGPT甚至向记者提醒说，“生成式AI”的运作逻辑，已动摇了加拿大隐私法体系的前提。

与其说AI在“使用资料”，不如说它在“吸收资料”。当海量资讯被纳入模型训练之中，资料不再以原本的形式存在，而是转化为模型中的权重与关联。这种转化，使得个别资料难以被单独辨识，也难以被有效移除。换言之，隐私法所依赖的“可控性”，在技术层面正逐渐变得模糊。

这也直接冲击“同意”机制的可行性。在传统框架中，企业需在蒐集个资前取得当事人同意，但当训练资料来自公开网络且规模动辄以亿计时，逐一取得授权几乎不具操作性。更进一步，模型生成内容可能涉及真实个人的资讯，甚至出现错误或“幻觉”，亦为现行制度未曾充分默认的风险。

因此，此次事件的关键，或许不在于个别企业是否违规，而在于一个更根本的提问：当资料不再只是被储存与调用，而是被“内化”为模型能力时，原有的隐私保护逻辑是否仍然成立？

对监管机构而言，这意味着不能仅依赖既有框架进行修补，而可能需要重新思考资料权利的定义方式；对企业而言，则意味着在技术创新之外，必须更主动回应社会对透明度与责任的期待。

联邦隐私专员杜弗雷纳周三表示，OpenAI已采取重要措施来改善隐私保护，并同意实施进一步措施以解决其办公室提出的担忧。

但可以预见的是，类似的争议不会止于个案。随着AI应用持续扩展，隐私、知识与责任之间的界线，将变得更加难以划分。

(图：美联社资料图片)

V02