毫无疑问,AIGC正在给人类社会带来一场深刻的变革。 而剥开其令人眼花缭乱的华丽外表,运行的核心离不开海量的数据支持。
ChatGPT的“入侵”已经引起了各行各业对内容抄袭的担忧,以及网络数据安全意识的提高。 虽然AI技术是中立的,但并不能成为规避责任与义务的理由。
最近,英国情报机构——英国政府通讯总部(GCHQ)警告称,ChatGPT和其他人工智能聊天机器人将是一个新的安全威胁。
尽管ChatGPT的概念出现没有多久,但对网络安全和数据安全带来威胁的问题已经成为业内关注的焦点。
多国监管部门发声 科技界人士深表担忧
当地时间4月4日,加拿大隐私专员办公室官网宣布开始调查OpenAI,涉及“OpenAI未经同意收集、使用和披露个人信息”的指控。此前,德国联邦数据保护专员在德国《商报》中表示,出于对数据安全问题的考量,德国存在暂时禁止使用ChatGPT的可能性。
更早的还有意大利宣布对ChatGPT的封禁。当地时间3月31日,意大利个人数据保护局宣布禁止使用ChatGPT,在并限制开发这一平台的OpenAI公司处理意大利用户信息。同时,个人数据保护局开始对ChatGPT立案调查。
意大利个人数据保护局认为,3月20日ChatGPT平台出现了用户对话数据和付款服务支付信息丢失情况。该平台没有就收集处理用户信息进行告知,缺乏大量收集和存储个人信息的法律依据。意大利因此成为首个禁止ChatGPT的西方国家。
另据韩媒报道,三星半导体业务部门引入ChatGPT后,短短20天内已爆出三起机密资料外泄事故。三星称,如日后再有类似事故,可能会在公司网络禁用ChatGPT。
与此同时,科技界人士也对人工智能的潜在问题深表担忧。当地时间3月29日,美国非营利组织未来生命研究所发布了一封名为“暂停巨型AI实验”的公开信。上千名人工智能专家和行业高管在信中呼吁,所有人工智能实验室应当暂停对更强大的人工智能系统的开发和训练,至少暂停半年。“人工智能教父”杰弗里·辛顿、特斯拉和推特CEO埃隆·马斯克、图灵奖得主约书亚·本希奥等在这封公开信上签下了自己的名字。
争议不断的ChatGPT会带来哪些挑战?
ChatGPT问世只有短短几个月,但它引发的讨论和争议却是空前的。美国福布斯网站和英国《卫报》等媒体曾指出,ChatGPT能够收集不同的数据,可能触发隐私问题。
欧盟执法机构欧洲刑警组织也曾提出警告称,ChatGPT可能被滥用于网络钓鱼、虚假信息和网络犯罪等方面。
更多的质疑声音出现在教育领域。包括美国纽约市在内的多个地区,已在公立学校的网络和设备上限制使用ChatGPT。“虽然ChatGPT可能为问题提供快速简单的答案,但它并不能培养学生批判性思维和解决问题的技能,而这些技能对学业和终身成功至关重要。”当地教育监管部门负责人表示。
知名互联网专家郭涛认为,包括ChatGPT在内的人工智能研发与应用相关法律法规、标准体系和伦理规范还不健全,存在数据安全风险、著作侵权风险、深度伪造风险、商业秘密泄露风险等问题。
张孝荣则进一步表示,由于缺乏有效的法律法规规制,ChatGPT对信息的“索取”是肆无忌惮的。“据了解,为了训练模型,GPT5已经抓取了约2000P的互联网视频内容,这几乎是整个互联网上的视频文件。”张孝荣说。因此,个人用户上传的信息,涉及到的问题不只是个人信息安全,还可能带来国家安全的隐患。
眼下,有关ChatGPT的争议仍在持续。如何应对这一新技术带来的挑战,规避其带来的数据安全、网络安全与等方面的挑战,将是各国监管部门不得不面对的考验。
AI应用要打好安全底座
ChatGPT作为大语言模型,其核心逻辑事实上是海量数据的收集、加工、处理和运算结果的输出。总的来说,这几个环节可能会在技术要素、组织管理、数字内容三个方面伴生相关风险。
虽然ChatGPT表示,存储训练和运行模型所需的数据会严格遵守隐私和安全政策,但在未来可能出现网络攻击和数据爬取等现象,仍存在不可忽视的数据安全隐患。特别是涉及国家核心数据、地方和行业重要数据以及个人隐私数据的抓取、处理以及合成使用等过程,需平衡数据安全保护与流动共享。除了数据与隐私泄露隐患外,AI技术还存在着数据偏见、虚假信息、模型的难解释性等问题,可能会导致误解和不信任。
风口已至,AIGC浪潮奔涌而来,在前景向好的大背景下,关口前移,建立数据安全防护墙也至关重要。
尤其是当AI技术逐渐完善,它既能成为生产力进步的有力抓手,又易沦为黑产犯罪的工具。
奇安信威胁情报中心监测数据显示,2022年1月份-10月份,超过950亿条的中国境内机构数据在海外被非法交易,其中有570多亿条是个人信息。因此,如何确保数据存储、计算、流通过程中的安全问题,是数字经济发展的大前提。
从整体看,应该坚持顶层设计与产业发展齐头并进,在《网络安全法》的基础上,要细化风险与责任分析体系,确立安全问责机制。同时,监管部门可开展常态化监查工作,安全领域企业协同发力,构建全流程数据安全保障体系。对于数据合规和数据安全的问题,特别是在《数据安全法》推出后,数据隐私越来越重要。如果在应用AI技术的过程中无法保证数据安全和合规,可能会给企业造成很大风险。特别是中小企业对数据隐私安全方面的知识比较匮乏,不知道应当如何保护数据不会受到安全威胁。
数据安全合规并不是某个部门的事情,而是整个企业最为重要的事情。
企业要对员工进行培训,让他们意识到每个使用数据的人,都有义务保护数据,包括IT人员、AI部门、数据工程师、开发人员、使用报表的人等,人和技术要结合在一起。
面对前述潜藏风险,监管方和相关企业如何从制度和技术层面加强AIGC领域的数据安全保护?
相较于直接针对用户终端采取限制使用等监管措施,明确要求AI技术研发企业遵循科技伦理原则会更具成效,因为这些企业能够在技术层面限定用户的使用范围。
在制度层面,需要结合AIGC底层技术所需数据的特性和作用,建立健全数据分类分级保护制度。
例如,可根据数据主体、数据处理程度、数据权利属性等方面对训练数据集中的数据进行分类管理,根据数据对于数据权利主体的价值,以及数据一旦遭到篡改、破坏等对数据主体的危害程度进行分级。
在数据分类分级的基础上,建立与数据类型和安全级别相配套的数据保护标准与共享机制。
目光投向企业,还需加快推动“隐私计算”技术在AIGC领域的应用。
这类技术能够让多个数据拥有者在不暴露数据本身的前提下,通过共享SDK或者开放SDK权限的方式,在进行数据的共享、互通、计算、建模,在确保AIGC能够正常提供服务的同时,保证数据不泄露给其他参与方。
此外,全流程合规管理的重要性愈加凸显。
企业首先应关注其所运用的数据资源是否符合法律法规要求,其次要确保算法和模型运作的全流程合规,企业的创新研发还应最大限度地满足社会公众的伦理期待。
同时,企业应制定内部管理规范,设立相关的监督部门,对AI技术应用场景的各个环节进行数据监督,确保数据来源合法、处理合法、输出合法,从而保障自身的合规性。
AI应用的关键在于部署方式与成本间的考量,但必须注意的是,如果没有做好安全合规、隐私保护,对企业来说或将蕴含“更大风险点”。
如何防范数据安全风险
面对来势汹汹的数据安全风险,从某种意义上讲,要保证数据的绝对安全,就要将数据全部物理隔绝,变成“死”数据,这样显然是最“安全”的,既拿不走,也不能破坏。但这样做却也损失了数据的价值——数据只有在流动、分享、加工处理过程中才能创造价值。
数据安全治理的核心正是保障数据在安全可控的情况下使用并发挥价值。换言之,数据本身无罪,有罪的是数据没有被安全地保护或使用。也就是说,想要实现数据安全,关键要看具体实现的方法和管理措施。
因此,如何确保数据授权、界定数据安全的责任与科技公司的义务,规避隐私泄露、知识产权等风险,这些都将是以GPT技术为代表的人工智能在大规模介入公共领域后,必须首先解决的问题。
显然,以数据为中心,是数据安全工作的核心技术思想。这意味着,将数据的防窃取、防滥用、防误用作为主线,在数据的生命周期内各不同环节所涉及的信息系统、运行环境、业务场景和操作人员等作为围绕数据安全保护的支撑。并且,数据要素的所有权、使用权、监管权,以及信息保护和数据安全等都需要全新治理体系。这需要在法规制度方面“划清红线”。比如,明确ChatGPT的开发者和使用人等主体责任的划分和承担方式;落实数据分类分级,明确ChatGPT获取数据的途径和方法的相关法律规定。
其次,数据安全离不开“运用数字技术进行治理”,即运用数字与智能技术优化治理技术体系,进而提升治理能力。比如,将ChatGPT的语言训练方法及算法合规纳入数据安全合规体系,加强技术监管和定期进行安全审计。
事实上,在数据生命周期的不同阶段,数据面临的安全威胁、可以采用的安全手段也不一样。在数据采集阶段,可能存在采集数据被攻击者直接窃取,或者个人生物特征数据不必要的存储面临泄露危险等;在数据存储阶段,可能存在存储系统被入侵进而导致数据被窃取,或者存储设备丢失导致数据泄露等;在数据处理阶段,可能存在算法不当导致用户个人信息泄露等。
面对不同阶段不同角度的风险,对症下药,是技术治理的必要,改进治理技术、治理手段和治理模式,将有效实现复杂治理问题的超大范围协同、精准滴灌、双向触达和超时空预判。
最后,数据安全的实现不仅要自上而下,更要自下而上。数据安全治理的核心目的,是实现安全与发展的平衡。这一方面,需要让企业自己有提升和证明自身数据安全能力成熟度水平的积极性,让数据安全能力成熟度高的企业拥有更大的发展空间和竞争优势。另一方面,还需要提高使用人数据安全的风险意识,制定ChatGPT的安全使用指南。
面对人工智能的迅速发展,数据的基础性战略资源属性进一步突显。ChatGPT只是数据安全治理的第一步,也是不可回避的重要一步。
