整理:何渊,DPOHUB主理人
一、处罚概述
意大利个人数据保护局(Garante per la Protezione dei Dati Personali)对 OpenAI 处以 15,00万欧元的行政罚款。OpenAI 涉嫌多项违反《欧盟通用数据保护条例》(GDPR)的行为,包括数据泄露通知不及时、处理合法性依据不明确、隐私政策信息不充分、缺乏未成年人年龄验证机制、数据不准确以及未遵守管理局纠正措施等。
二、调查背景与起因
(一)ChatGPT 技术问题引发关注
2023 年 3 月 20 日,ChatGPT 服务出现严重技术问题,部分用户的聊天记录标题在主页上被错误地展示给其他用户,而非显示用户自己的聊天记录。这一漏洞导致用户的个人数据面临泄露风险,涉及姓名、姓氏、电子邮件地址以及用于支付 ChatGPT Plus 服务的信用卡部分信息(最后四位数字和有效期)等敏感数据。该事件迅速引起广泛关注,不仅因为其涉及大量用户数据,更因为它引发了人们对人工智能服务数据安全和隐私保护的担忧。
(二)Garante依职权启动调查
鉴于此数据泄露事件可能对用户个人数据保护权益造成严重影响,意大利个人数据保护局迅速依职权启动调查程序。管理局旨在全面审查 OpenAI 在 ChatGPT 服务中对个人数据的处理是否符合相关法规要求,包括数据收集、存储、处理和保护等各个环节。调查过程中,管理局深入探究 OpenAI 的数据处理实践,重点关注其在数据处理合法性、用户告知、数据准确性、未成年人保护以及对管理局决议的遵守等方面的情况,以确定是否存在违反个人数据保护法规的行为。
三、OpenAI 的回应与Garante的初步措施
(一)OpenAI 的整改措施
OpenAI 在事件发生后积极采取了一系列整改措施,以应对管理局的关切和要求。在隐私政策方面,公司更新并发布了相关政策,明确了数据处理的目的、方式和范围,特别是在算法训练数据处理方面,试图向用户提供更清晰的信息。例如,在网站上详细说明了数据用于训练模型的情况,以及用户如何行使对数据处理的权利,包括反对权和删除权等。
(二)年龄验证机制的实施
OpenAI 实施了年龄验证机制,通过要求用户提供出生日期等信息,对新用户进行年龄限制,禁止 13 岁以下用户创建账户,对于 13 至 17 岁用户则要求获得法定监护人同意。同时,公司采用了多种技术手段进行年龄验证,如与第三方认证公司 Yoti 合作,通过 Yoti App、年龄估计和 ID 扫描等方式,确保用户年龄信息的准确性,并保证在验证过程中不向 OpenAI 提供除年龄验证结果外的其他用户数据,以保护用户隐私。
(三)宣传活动的开展
OpenAI 按照管理局要求开展了宣传活动,通过多种渠道向用户和公众传达个人数据处理相关信息。例如,在报纸上发表采访和公告,在公司网站上设置用户页面,制作教学视频等。然而,管理局对这些宣传活动的执行情况和效果表示不满,认为 OpenAI 在活动开展过程中未充分与管理局沟通协商,导致部分活动内容和方式不符合管理局预期,未能有效向公众传达关键信息。
(四)Garante的初步措施及要求
Garante在调查过程中采取了一系列措施,包括发布临时限制措施,如 2023 年 3 月 30 日的第 112/2023 号决议,限制 OpenAI 对意大利境内相关人员个人数据的处理,以防止数据泄露风险进一步扩大。随后,在 2023 年 4 月 11 日的第 114/2023 号决议中,管理局提出了更为详细和严格的整改要求,作为暂停临时限制措施的条件。这些要求涵盖了隐私政策完善、用户权利保障、年龄验证机制有效实施以及开展全面且符合规定的宣传活动等多个方面,旨在确保 OpenAI 全面整改其数据处理行为,切实保护用户个人数据权益。
四、调查过程中的关键问题与争议
(一)数据泄露通知的及时性与合规性
1. 事件经过与 OpenAI 的通知行为
2023 年 3 月 20 日上午 7:50(太平洋标准时间),OpenAI 收到用户报告 ChatGPT 服务运行异常,部分用户聊天记录保密性受损,涉及数据在特定时间段内被其他用户可见。OpenAI 在 72 小时内将此数据泄露事件通知了爱尔兰数据保护委员会(IDPC),认为该委员会会与其他相关机构共享信息,包括意大利个人数据保护局。同时,OpenAI 在 2023 年 3 月 24 日自愿在其网站上发布帖子,向可能受影响的用户通报了事件情况。
2. Garante的质疑与认定
然而,管理局认为 OpenAI 的通知行为存在违规。尽管 OpenAI 向 IDPC 进行了通知,但在事件发生时,OpenAI 在欧盟没有单一或主要机构,根据相关法规,一站式服务机制不适用,OpenAI 应直接将数据违规行为通知所有欧洲数据保护当局,尤其是涉及 440 名意大利用户时,应直接通知意大利管理局。因此,管理局认定 OpenAI 违反了《欧盟通用数据保护条例》第 33 条关于数据泄露通知的规定,该违规行为于 2023 年 3 月 23 日(数据泄露事件发生后 72 小时)完成,且性质上不具有连续性。
(二)数据处理合法性依据的确定
1. OpenAI 的业务发展与数据处理情况
OpenAI 于 2022 年 11 月 30 日将 ChatGPT 作为免费研究预览版发布,随后其用户数量迅速增长,服务范围不断扩大。在数据处理方面,OpenAI 从互联网、第三方授权和用户交互等多个来源收集数据,用于训练 GPT 模型。然而,在处理这些数据时,尤其是在为训练模型而处理个人数据的合法性依据确定上,OpenAI 的做法引发了管理局的质疑。
2. Garante对合法性依据的审查与结论
Garante发现,OpenAI 在 2022 年 11 月 30 日服务向公众提供之前,甚至在之后的一段时间内,未能明确并正式确定数据处理的合法依据。尽管 OpenAI 声称基于合同执行和合法利益进行数据处理,但提交的相关文件(如 DPIA 和 LIA)无法证明其在规定时间内完成了合法依据的充分评估和确定。例如,DPIA 的初稿于 2023 年 2 月 24 日完成,距 ChatGPT 服务发布已过去近三个月,且无法确定在此之前对处理依据进行了适当评估。因此,管理局认定 OpenAI 违反了《欧盟通用数据保护条例》第 5 条第 2 款(问责原则)和第 6 条关于处理合法性条件的规定。
(三)隐私政策的透明度与完整性
1. 隐私政策的内容与呈现方式
截至 2023 年 3 月 30 日,OpenAI 的隐私政策存在诸多问题。政策仅提供英文版本,且在公司网站上不易获取,注册流程中未在显眼位置提供链接,导致用户在注册前难以阅读。从内容上看,政策主要侧重于用户使用服务时的数据处理,对为训练模型而处理非用户数据的情况几乎未提及,缺乏对数据处理目的、法律依据、数据保留期限、用户权利等关键信息的明确说明。
2. Garante对隐私政策的评估与违规认定
Garante认为,这种不清晰和不完整的隐私政策无法满足《欧盟通用数据保护条例》第 5 条第 1 款 a 项(合法性、公正性和透明度)、第 12 条和第 13 条(数据控制者向数据主体提供信息的义务)以及第 25 条第 1 款(数据保护设计和默认保护)的要求。OpenAI 虽辩称已通过其他方式向用户和非用户提供了相关信息,但管理局认为这些方式不能替代隐私政策中应明确规定的内容,因此认定其违反了上述相关条款。
(四)未成年人数据保护措施的有效性
1. 服务对未成年人的潜在影响与风险
ChatGPT 服务性质决定其可能涉及未成年人数据处理,而未成年人在使用该服务时面临特殊风险,因其可能对个人数据处理风险意识不足,且服务提供的信息可能对其心理生理发展产生影响。然而,在 2023 年 3 月 30 日之前,OpenAI 在保护未成年人数据方面措施严重不足。
2. Garante对未成年人保护措施的审查与结论
Garante发现 OpenAI 未实施有效的年龄验证机制,尽管服务条款提及未成年人使用限制,但实际注册过程中未有效执行。此外,隐私政策仅规定了未成年人数据报告系统,缺乏实际的数据保护措施。虽然 OpenAI 辩称已采取其他保护措施,如限制不良内容输出、对输出安全性进行控制等,但管理局认为这些措施不足以弥补年龄验证机制缺失带来的风险。因此,管理局认定 OpenAI 违反了《欧盟通用数据保护条例》第 8 条(未成年人数据处理特殊保护)、第 24 条和第 25 条第 1 款(数据保护技术和组织措施)的规定。
(五)数据准确性与纠正措施
1. ChatGPT 输出数据的准确性问题
ChatGPT 服务的输出存在数据不准确情况,可能向用户提供错误的个人信息或虚假陈述,这对用户造成了误导,也违反了数据处理准确性原则。例如,在回答用户问题时,可能生成包含不准确事实或虚构内容的回复,影响用户对信息的正确判断。
2. OpenAI 的应对措施与管理局的评价
OpenAI 虽采取了一些措施,如告知用户可能存在不准确输出、提供反馈机制让用户报告问题、尝试通过微调模型纠正不准确之处或防止不准确信息出现等,但管理局认为这些措施仍不够充分。OpenAI 未能建立更有效的数据审核和更新机制,以确保数据的准确性。因此,管理局认定 OpenAI 违反了《欧盟通用数据保护条例》第 5 条第 1 款 d 项关于数据准确性的规定。
(六)对Garante决议的遵守情况
1. Garante决议的要求与 OpenAI 的执行情况
Garante在第 114/2023 号决议中明确规定了 OpenAI 应开展的一系列纠正措施,特别是在宣传活动方面,要求其在意大利主要大众传播媒体上开展非促销性质的宣传活动,内容需与管理局商定,以告知用户数据处理情况及用户权利。然而,OpenAI 在执行过程中出现诸多问题。其开展的宣传活动未事先与管理局充分沟通协商,导致活动内容和方式不符合管理局预期,例如在报纸上发布的信息未能有效传达关键数据处理信息,制作的教学视频也未按要求通过Garante官方渠道发布。
2. Garante对遵守情况的认定与违规指控
Garante认为 OpenAI 未正确遵守规定的纠正措施,违反了《欧盟通用数据保护条例》第 83 条第 5 款 d 项的规定,该条款涉及数据控制者对管理局规定纠正措施的遵守义务,违规行为对管理局监管工作和用户权益保障造成了负面影响,表明 OpenAI 在数据处理合规方面存在严重缺陷,需承担相应责任。
五、处罚决定及其依据
(一)罚款金额的计算与考量因素
违反第 83 条第 5 款 d 项,未遵守管理局规定的纠正措施,特别是宣传活动执行不力,影响公众对数据处理情况的了解和用户权利的行使,罚款金额为 5,680,000.00 欧元。管理局认为,综合这些因素确定的罚款金额合理、适当且具有威慑力,旨在促使 OpenAI 重视数据保护问题,遵守相关法规。
(二)责令开展宣传活动的目的与要求
宣传活动要求在意大利所有主要媒体(广播、电视、报纸和互联网)上进行,为期六个月,自管理局批准宣传计划后的 45 天内启动。OpenAI 需在决议通知后的 60 天内提交宣传计划,内容需事先得到管理局批准。活动结束后的 60 天内,OpenAI 还需向管理局通报有助于评估其遵守命令情况的信息,如向提出请求的相关人员提供权利保障的方式等。这一措施旨在确保 OpenAI 积极采取行动,纠正之前宣传活动的不足,增强公众对数据保护的意识,同时也便于管理局监督其整改效果,保障用户在数据处理中的知情权和选择权。
六、法律依据与相关法规解读
(一)《欧盟通用数据保护条例》(GDPR)的关键条款适用
在整个调查和处罚过程中,《欧盟通用数据保护条例》的多个条款起到了关键作用。第 3 条规定了法规的地域适用范围,确定了管理局对 OpenAI 在欧盟境内数据处理行为的管辖权。第 5 条阐述了数据处理的基本原则,包括合法性、公正性、透明度、数据最小化、准确性、保存限制和数据安全等,OpenAI 的多项违规行为均涉及对这些原则的违反。第 6 条明确了处理的合法性条件,OpenAI 未能及时确定数据处理的合法依据,违反了该条款规定。第 8 条针对未成年人数据处理的特殊保护要求,OpenAI 在年龄验证和数据处理方面的不足构成对该条款的违反。第 12 条和第 13 条规定了数据控制者向数据主体提供信息的义务,OpenAI 隐私政策的不清晰和不完整违反了这两条规定。第 24 条和第 25 条第 1 款强调数据控制者应采取技术和组织措施确保数据保护原则的有效实施,OpenAI 在未成年人保护和数据处理措施方面的缺陷违反了这些条款。第 33 条对数据泄露通知的及时性和方式作出规定,OpenAI 未按要求通知管理局,违反了此条款。第 83 条则涉及违反条例的处罚措施,管理局根据该条款对 OpenAI 进行了罚款处罚,并责令其开展宣传活动。
(二)《意大利个人数据保护法》及相关条例的补充作用
《意大利个人数据保护局条例》第 1/2019 号,尤其是第 12 条和第 13 条,对管理局内部程序和数据控制者的义务进行了细化。第 12 条规定了管理局启动程序的相关要求,确保程序的合法性和规范性。第 13 条涉及听证程序,为 OpenAI 提供了陈述和辩护的机会,保障了程序的公正性。这些意大利国内法律法规与 GDPR 相互补充,共同构成了管理局对 OpenAI 进行监管和处罚的法律框架,确保在欧盟统一法规框架下,结合意大利国内实际情况,对数据保护问题进行全面、有效的管理。
七、决议的生效、通知与上诉程序
(一)决议的生效时间与通知方式
本决议自通知 OpenAI 之日起生效,管理局将通过正式渠道向 OpenAI 传达决议内容。同时,决议将在意大利个人数据保护局官方网站上公布,确保公众能够获取相关信息。这种生效方式和通知程序遵循了相关法律法规的要求,保证了决议的合法性和透明度,使 OpenAI 能够及时了解管理局的决定,也便于公众监督决议的执行情况。
(二)OpenAI 的上诉权利与程序
OpenAI 有权在收到决议通知后的 30 天内,向意大利行政法院提起上诉,要求对本决议进行审查。上诉应按照意大利行政诉讼程序的规定进行,这为 OpenAI 提供了法律救济途径,确保其在认为处罚决定不公正或不合理时,能够通过合法程序维护自身权益。同时,上诉程序的存在也有助于监督管理局的决策,确保处罚决定的公正性和合法性,促进数据保护法规在执行过程中的公平与合理适用。
。。。。。。
全部AI及数据中译本及资讯请加入
