ChatGPT违反了欧洲的隐私法律，意大利数据保护机构告知OpenAI

意大利数据保护机构对OpenAI的AI聊天机器人ChatGPT进行了长达数月的调查后，怀疑其违反了欧洲联盟的隐私规定，并向OpenAI发出了警告通知。

意大利当局的初步调查结果细节尚未公布。但Garante今天表示，OpenAI已收到通知，并被给予30天时间回应对这些指控的辩护。

确认违反欧盟全体制度的行为可能会引发高达2000万欧元的罚款，或全球年度营业额的4%。对于像OpenAI这样的人工智能巨头来说，更令人不安的是，数据保护部门有权下达命令，要求改变数据处理方式以终止已确认的违规行为。因此，它可能被迫改变运营方式，或者从欧盟成员国撤出其服务，如果隐私机构试图强制实施它不喜欢的变更。

如果Garante通知违规，OpenAI将联系并回复。如果他们发送声明，我们将更新这份报告。

人工智能模型训练的合法性框架

去年意大利当局对OpenAI的合规性对欧盟的《通用数据保护条例》（GDPR）提出了关切，这导致他们下令暂停ChatGPT的本地数据处理，从而使这个AI聊天机器人在市场上暂时停用。

法律监管机构加兰泰3月30日向开放AI提供的“措施登记”强调了ChatGPT算法背后数据收集和处理的合适法律依据的缺乏，并指出该AI工具容易“产生幻觉”（即可能产生关于个人的不准确信息）——这是他们所关注的问题之一。该机构还提到了儿童安全问题。

总之，有关部门表示怀疑ChatGPT违反了《通用数据保护条例》的第5条、第6条、第8条、第13条和第25条。

尽管OpenAI已经确认了这些可疑违规行为，但去年在采取措施解决数据保护局提出的一些问题后，OpenAI能够相对较快地恢复在意大利的ChatGPT服务。然而，意大利当局表示将继续调查这些可疑违规行为。他们目前已经初步得出结论，认为该工具违反了欧盟法律。

尽管意大利当局尚未确定此前被怀疑的ChatGPT违规行为中的哪些被证实，但OpenAI声称以训练其人工智能模型所需的个人数据进行处理的合法依据似乎是一个特别关键的问题。

这是因为ChatGPT是使用从公共互联网上爬虫收集而来的大量数据开发的，其中包含了个人数据。而OpenAI在欧盟面临的问题是，处理欧盟人的数据需要具备有效的合法依据。

《GDPR》列出了六种可能的法律依据，其中大部分在其背景下并不相关。去年四月，Garante要求OpenAI将ChatGPT模型训练中与“履行合同”有关的参考资料删除，因此只剩下两个可能性：同意或合法利益。

鉴于这家人工智能巨头从未试图获得数以亿计的网民的同意，即使是对其为构建人工智能模型所摄取和处理的信息，声称其已经获得欧洲人的许可似乎注定会失败。而且，当OpenAI在Garante去年介入之后修改了其文件时，似乎是在试图依赖合法利益的主张。然而，这种法律依据仍要求数据处理者允许数据主体提出异议，并停止处理他们的信息。

在OpenAI AI聊天机器人的背景下，如何实现这一点是一个开放的问题。（从理论上讲，它可能需要撤销和销毁非法训练的模型，并重新训练新模型，但假设它能够在每个个体的基础上识别出所有非法处理的数据，那它就需要为每个提出抗议的欧盟个人的数据这样做... 嗯，听起来很昂贵。）

在解决那个棘手问题之外，还有一个更广泛的问题，即Garante是否最终会认定“合法利益”在这种情况下是否具备有效的法律依据。

坦白说，看起来不太可能。因为信息处理活动并不是任意行使权力的。信息处理者需要在平衡自身利益和数据受影响个人的权利和自由之间进行权衡，并考虑诸如个人是否会预料到其数据的这种使用，以及它可能给他们造成不合理伤害的潜在性。（如果个人不会预料到并存在这种伤害风险，信息处理活动将不能被视为合法依据。）

处理也必须是必要的，没有其他更少侵入方式让数据处理者达到他们的目的。

值得注意的是，欧盟最高法院先前已经裁定，以合法利益为基础进行个体追踪和个体特征分析，用于运营社交网络上的行为广告业务对Meta来说是不适当的。因此，对于另一种类型的人工智能巨头试图通过大规模处理个人数据来建立商业生成式人工智能业务的观念存在着巨大的疑问——尤其是当涉及到的工具为特定个人带来各种新的风险时（包括虚假信息、诽谤、身份盗窃和欺诈等）。

一位Garante的发言人证实，据其怀疑，ChatGPT违反了处理个人数据用于模型训练的法律依据。

但他们没有确切证实OpenAI违反了哪一篇（或多篇）文章。目前，相关机构的公告还不是最终定论，因为他们还将等待OpenAI的回应后才做出最终决定。

这是Garante的声明（我们使用人工智能从意大利进行了翻译）：

OpenAI在波兰也面临ChatGPT在GDPR合规方面的审查，此前有人投诉称该工具提供了关于某个人的不准确信息，并对OpenAI的回应提出了批评。这个独立的GDPR调查仍在进行中。

与此同时，OpenAI为了应对欧盟不断增加的监管风险，正试图在爱尔兰建立一个实体基地，并在一月份宣布，这个爱尔兰实体将成为未来欧盟用户数据的服务提供商。

通过这些举措，它希望在爱尔兰获得所谓的“主要机构”地位，并通过GDPR的一站式机制切换至由爱尔兰数据保护委员会主导的合规评估，而不再可能受到其业务所服务用户所在的欧盟任何地方的数据保护局监管的影响。

然而，OpenAI尚未获得这一地位，因此ChatGPT仍可能面临欧盟其他地区数据保护监管机构的调查。而且，即使获得这一地位，意大利的调查和执行仍将继续，因为有关数据处理发生在其处理结构发生变化之前。

该地区的数据保护机构已经设立了一个工作组，通过欧洲数据保护委员会来协调对ChatGPT的监督工作，以考虑《通用数据保护条例》对这个聊天机器人的适用情况。正如Garante的声明所指出的，这项努力可能最终会产生更加协调一致的结果，涵盖了ChatGPT在意大利和波兰的《通用数据保护条例》调查等不同案件。

然而，相关部门仍然保持独立并有能力在自己的市场上做出决策。因此，同样地，目前的ChatGPT调查也不保证能得出相同的结论。