2023年5月16，CNIL发布了一份人工智能行动计划，内容分为四个方面：

1. 了解人工智能系统的运作及其对个人的影响；

2. 支持和监管尊重隐私的人工智能的发展；

3. 整合和支持法国和欧洲生态系统中的创新者；

4. 审计和监控人工智能系统，保护个人。

考虑到保护个人数据是设计和使用生成式人工智能、大型语言模型和相关应用（尤其是聊天机器人）工具的一个重大问题，CNIL发布了旨在规范生成式人工智能开发等方面的行动计划。该计划是基于CNIL多年来对人工智能所涉及的数据保护和个人自由问题的相关研究。自2017年发布有关算法和人工智能的伦理问题的报告以来，CNIL已经多次就新技术所带来的问题发表声明。

近几个月以来，生成式人工智能在文本和会话领域迅速发展，大型语言模型（Large Language Models or LLMs），如GPT-3、BLOOM或Megatron NLG以及派生的聊天机器人（ChatGPT或Bard）相继出现。此外，它还在图像（Dall-E、Midjourney、Stable Diffusion等）和语音（Vall-E）领域得到了广泛应用。

这些基础模型（Foundation models）及基于此建立的技术组件已经在各个领域有了许多应用案例。然而，对于它们的运作、可能性和局限性以及围绕它们的开发和使用的法律、伦理和技术问题仍然存在广泛的争议。

因此，考虑到保护个人数据对于设计和使用这些工具的重大意义，CNIL公布了旨在规范生成式人工智能开发等方面的行动计划。

什么是生成式人工智能？

生成式人工智能是一种能够根据用户的指令创建文本、图像或其他内容（如音乐、视频、声音等）的系统。这些系统可以利用训练数据生成新的内容。由于使用了大量数据进行训练，因此它们的表现已经接近于人类的创作能力。然而，为了获得预期的结果，这些系统需要用户明确指定他们的需求。因此，围绕用户请求的设计方面也出现了真正的专业技能（prompt engineering）。

例如，下面这张名为“太空歌剧院”的图片就是由用户Jason M. Allen基于文字说明（包括舞台装置、长袍、艺术灵感等）在Midjourney工具上生成的。

版权归属：Jason M. Allen（2022）

四个方面的行动计划

多年来，CNIL一直在开展工作，以预见和应对人工智能及其不同形式（分类、预测、内容生成等）和不同用途所带来的挑战。

面对涉及保护自由、加速人工智能和与生成式人工智能有关的现状，智能技术监管是CNIL行动的主要方向。CNIL的工作围绕着四个目标来展开:

1.了解AI系统的运作方式及其对个人的影响；

2.允许和规范尊重个人数据的AI的发展；

3.集成和支持法国和欧洲AI生态系统的创新者；

4.审计和监控AI系统，并保护个人。

01 了解AI系统的运作方式及其对个人的影响

用于设计和运行AI工具的创新技术提出了有关数据保护的新问题，尤其包括：

• 这些工具所需数据处理的诚信和透明度；
• 公开访问网络数据的保护，以防止数据采集或“爬取”用于此类工具的情况；
• 用户在使用这些工具时传输的数据的保护，从通过接口进行的收集到潜在重新使用，以及由机器学习算法处理的数据；
• 对个人数据权利的影响，无论是对于为建立模型而收集的数据还是对于作为生成式人工智能产生的内容提供的数据等；
• 防止可能发生的偏见和歧视；
• 这些工具的未知安全挑战。

这些方面将成为智能技术服务和CNIL数字创新实验室（LINC）的优先工作方向之一。

LINC的文件

为了突出生成式人工智能所面临的某些特定挑战，CNIL数字创新实验室（LINC）发布了一份专门介绍生成式人工智能的文件。该文件包括四个部分，具体如下：

• 详细介绍最近聊天机器人的技术功能，并强调数据在构建底层基础模型中的核心作用；
• 阐述了创建这些模型所提出的各种法律问题，包括知识产权和数据保护等；
• 清晰阐明了生成式人工智能在信息可靠性、恶意使用以及检测并警告公众有关生成内容存在的意义伦理挑战；
• 通过不同的实验说明了这些工具可能带来的积极或消极用途。

这份文件补充了CNIL网站上为专业人士和大众提供的资源。

02 允许和规范尊重个人数据的AI的发展

许多机构向法国国家信息与自由委员会（CNIL）表达了对将《通用数据保护条例》（GDPR）应用于人工智能，特别是生成式人工智能训练的不确定性。

为了协助人工智能领域的各方并为欧盟“AI条例”（正在欧盟讨论中）的实施做好准备，CNIL已经展开以下工作：

• 2022年在cnil.fr上发布了关于人工智能的初步资料，其中包括有关人工智能的基本原则的教育内容和指南，以协助专业人士达成符合规定的目标；
• 2022年还发布了一份有关使用“增强”视频监控（使用公共空间图像的AI技术）的立场。

CNIL将继续进行学术研究，并即将发布多个文件。因此：

CNIL将很快提交一份关于共享和重复使用数据适用规则的指南的公开咨询。这些工作将特别涉及到在互联网上自由获取数据并用于多种AI模型的问题。该指南因此将针对用于设计生成式AI系统的数据处理的一部分。

CNIL还将继续研究人工智能系统的设计和机器学习数据库的建立。这些研究将自2023年夏天开始，在已经与多个利益相关者进行协商后，形成几个文件，并提出具体建议，特别是在ChatGPT等AI系统的设计方面。

未来，CNIL还将逐步讨论以下主题：

• 使用科学研究制度建立和重复使用训练数据库；
• 将最终原则应用于通用AI和基础模型，例如大语言模型；
• 明确构成数据库的实体之间的责任共担，那些从这些数据中开发模型的人和那些使用这些模型的人之间的责任共担；
• 在考虑到精确性和数据的最小化原则的情况下，适用于训练数据选择的规则和最佳实践；
• 管理人员权利，特别是访问、更正和反对权利的规则；
• 适用于保留期限的规则，特别是对于最复杂的训练库和模型的规则；
• 最后，CNIL认识到人工智能系统引起的问题不仅止于其设计，还继续就机器学习模型的使用和共享、预防和纠正偏见和歧视，以及AI系统的认证等伦理问题进行思考。

03 “联合并协助法国和欧洲AI生态系统的创新者”

CNIL的AI监管旨在推动并帮助那些在法国和欧洲价值观保护框架下发展壮大的创新者。这个已经启动的协助工作采取了三种形式：

• CNIL自两年前开始推出了一个“沙盒”计划，以协助创新项目和创新者，其中就包括基于AI的项目。2021年针对健康领域的“沙盒”（共12个项目），2022年针对教育领域的“沙盒”（共10个项目）提供了专业建议，为这些领域内的AI创新者提供适当的指导。CNIL将很快开放2023年的新一轮“沙盒”项目申请，重点关注公共领域中人工智能的应用；
• CNIL启动了一个特定的协助计划，以协助“增强”视频监控供应商参与法律规定的2024年奥运会和残奥会实验计划；
• 最后，CNIL在2023年开放了一个新的“强化协助”计划，以协助创新企业符合GDPR规定。该计划的首批得主是AI领域内的创新企业。

总而言之，CNIL希望与研究团队、研发中心和法国开发或希望开发AI系统的企业展开充分的对话，以确保符合个人数据保护规则。这些研究团队和企业可以通过ia@cnil.fr与CNIL联系。

04 审计和监控AI系统并保护个人

为了在尊重个人权利和自由的前提下开发人工智能系统的框架，必须在下游进行监控，确保CNIL的合规性。因此，CNIL至关重要的是开发一种工具，既能够事先受理AI系统的审计，也能够事后受理。

2023年，CNIL的监督行动将主要关注以下方面：

• 公共和私营机构遵守于2022年发布的“增强”视频监控使用立场；例如，针对社会保险欺诈的打击之类的AI技术的使用，考虑到使用此类算法所涉及的问题；
• 处理向CNIL提交的投诉。尽管培训和使用生成AI的法律框架需要得到澄清，CNIL将致力于处理已经提交的投诉。特别地，CNIL已收到针对OpenAI公司管理的ChatGPT服务的多项投诉，并已启动了一项监管程序。同时，在欧洲数据保护委员会（EDPB）内设立了一个专门的工作组，以确保欧洲当局的协调行动，并对OpenAI工具实施的数据处理进行协调分析。

CNIL将特别关注个人处理数据的行为者是否已经：

• 进行了数据保护影响评估（DPIA），以记录风险并采取减少其风险的措施；
• 采取了向个人提供信息的措施；
• 预见了适合这个特定背景的个人权利行使措施。

通过这项关键的协作工作，CNIL希望制定明确的规则，保护欧洲公民的个人数据，以促进尊重隐私的AI系统的发展。

来源：数据信任与治理