加拿大隱私法面對「生成式AI」：規管制度跟得上科技速度嗎？

【星島記者黃憶欣報道】在人工智能(AI)迅速滲透日常生活之際，加拿大隱私監管機構周三(6日)針對OpenAI作出的調查結論，再次將一個長期潛伏的問題推到檯面：當既有法律框架面對生成式AI時，是否仍具備足夠的規範能力？法律的制定跟得上AI的腳步嗎？

聯邦隱私專員杜弗雷納 (Philippe Dufresne) 指出，OpenAI在早期訓練其語言模型過程中，於個人資料的收集與使用上，未完全符合加拿大《隱私權法》(Privacy Act)的相關要求。當中涉及的問題，包括資料蒐集範圍過廣、未能取得有效同意，以及資訊使用方式缺乏足夠透明度等。這些指控，若單獨來看，並不陌生，甚至可說是傳統數據經濟中早已存在的監管議題。

然而，當這些問題出現在「生成式AI」之上，其意義已經不同。

• 【相關新聞】聯邦報告指OpenAI在開發ChatGPT時違反了加拿大隱私權法
• 【相關新聞】兒童倡議團體今日國會山集會　促立法規管AI聊天機械人及網絡遊戲

星島記者向ChatGPT查詢後得到說明如下：

現行加拿大隱私法體系以《個人資訊保護和電子文件法》(Personal Information Protection and Electronic Documents Act，簡稱PIPEDA) 為代表，建立在一個相對清晰的前提之上：個人資料是可以被辨識、被收集、也可以被刪除的。法律因此強調「知情同意」、「用途限制」與「最少收集」等原則，試圖在個人權利與商業應用之間取得平衡。

ChatGPT甚至向記者提醒說，「生成式AI」的運作邏輯，已動搖了加拿大隱私法體系的前提。

與其說AI在「使用資料」，不如說它在「吸收資料」。當海量資訊被納入模型訓練之中，資料不再以原本的形式存在，而是轉化為模型中的權重與關聯。這種轉化，使得個別資料難以被單獨辨識，也難以被有效移除。換言之，隱私法所依賴的「可控性」，在技術層面正逐漸變得模糊。

這也直接衝擊「同意」機制的可行性。在傳統框架中，企業需在蒐集個資前取得當事人同意，但當訓練資料來自公開網絡且規模動輒以億計時，逐一取得授權幾乎不具操作性。更進一步，模型生成內容可能涉及真實個人的資訊，甚至出現錯誤或「幻覺」，亦為現行制度未曾充分預設的風險。

因此，此次事件的關鍵，或許不在於個別企業是否違規，而在於一個更根本的提問：當資料不再只是被儲存與調用，而是被「內化」為模型能力時，原有的隱私保護邏輯是否仍然成立？

對監管機構而言，這意味着不能僅依賴既有框架進行修補，而可能需要重新思考資料權利的定義方式；對企業而言，則意味着在技術創新之外，必須更主動回應社會對透明度與責任的期待。

聯邦隱私專員杜弗雷納周三表示，OpenAI已採取重要措施來改善隱私保護，並同意實施進一步措施以解決其辦公室提出的擔憂。

但可以預見的是，類似的爭議不會止於個案。隨着AI應用持續擴展，隱私、知識與責任之間的界線，將變得更加難以劃分。

(圖：美聯社資料圖片)

V02