OpenAI采取措施缩小在欧盟数据隐私方面的监管风险

上个月末，当欧洲大部分地区还沉浸在假日巧克力礼盒中时，ChatGPT的开发者OpenAI却忙着发送一封电子邮件，详细说明即将到来的更新条款，似乎是为了减少其在欧盟的监管风险。

这家人工智能巨头的技术在该地区引发了对ChatGPT对人们隐私的早期审查，一些对数据保护的关注引发了对聊天机器人处理个人信息和生成与个人有关的数据的调查，包括意大利和波兰的监管机构。（意大利的介入甚至导致ChatGPT在该国的暂时停用，直到OpenAI修改了其向用户提供的信息和控制方式。）

“我们已将为欧洲经济区（EEA）和瑞士居民提供ChatGPT等服务的OpenAI实体更改为我们的爱尔兰实体OpenAI Ireland Limited，” OpenAI在12月28日向用户发送的电子邮件中写道。

针对欧洲地区，OpenAI 还进行了隐私政策的并行更新，并明确规定：

新的使用条款将其最近成立的位于都柏林的子公司标注为欧洲经济区（EEA）和瑞士的用户数据控制者。此处是指适用欧盟的通用数据保护条例（GDPR）。这些条款将自2024年2月15日开始生效。

如果用户不同意OpenAI的新条款，他们可以删除他们的账户。

GDPR的一站式机制（OSS）允许处理欧洲人数据的公司在欧盟成员国的一个主要数据监管部门下进行隐私监督，以简化流程，实现隐私管理的一体化。根据监管术语，该机制指明了公司的“主要设立地”。

获得这一地位有效地降低了位于欧盟其他地方的隐私监管机构单方面处理问题的能力。相反，他们通常会将投诉转回主要的已建立公司的首席监管机构进行考虑。

其他GDPR监管机构仍然保留干预本地区域的权力，如果他们发现存在紧急风险的话。但是这样的干预通常是暂时性的。这些干预也是特殊的性质，大部分GDPR监管都通过一个主导机构进行。这也是为什么这种地位对于大型科技公司如此具有吸引力——它让最强大的平台能够简化跨境个人数据处理的隐私监管工作。

当被问及OpenAI是否正在与爱尔兰的隐私监管机构合作，以在其位于都柏林的实体中获得主要设立地位，根据欧盟通用数据保护条例的开源软件个案，爱尔兰数据保护委员会（DPC）的一位发言人告诉TechCrunch：“我可以确认，OpenAI已经与DPC和其他欧盟数据保护机构就此事进行了沟通。”

OpenAI也被联系以进行评论。

这家人工智能巨头在九月份开设了一家位于都柏林的办公室，最初招聘了几位政策、法律和隐私人员，以及一些后勤职位。

在撰写本文时，公司在其招聘页面上只有5个位于都柏林的职位空缺，总共有100个职位空缺，因此当地的招聘仍然有限。所以，总部位于布鲁塞尔的欧盟成员国政策与合作伙伴主管职位正在招聘中，并要求申请者指明是否能够在都柏林办公室工作三天。但是，这家人工智能巨头大部分的职位空缺都标注为位于旧金山/美国。

OpenAI正在招聘的五个位于都柏林的职位之一是隐私软件工程师。其他四个职位是：平台账户总监、国际薪资专家、欧洲媒体关系负责人以及销售工程师。

在都柏林雇佣了哪些人，以及雇佣了多少人将对OpenAI获得《通用数据保护条例》下的主要机构地位产生影响，因为这不仅仅是提交一些法律文件和勾选一个方框就能获得该地位的情况。该公司需要说服该区域的隐私监管机构，其以欧洲人数据负有法律责任的实体实际上能够对其周围的决策产生影响。

这意味着要拥有正确的专业知识和法律结构，对美国母公司施加影响并进行有意义的隐私审查。

换言之，在都柏林开设一个只是简单批准旧金山制定的产品决策的前台办事处是不够的。

话虽如此，OpenAI可能会对X这个公司（前身为Twitter）的例子感兴趣，该公司在2022年秋季所有权发生变更后引起了各种混乱。但在埃隆·马斯克接管后，尽管这位善变的亿万富翁缩减了X的区域人员数量，驱逐了相关专业人才，并做出了一些明显独断的产品决策，但X并没有摆脱开源软件社区的怀抱。（所以，唉，你自己看吧。）

如果OpenAI在爱尔兰获得GDPR主要的建立地位，并由爱尔兰数据保护委员会进行主要监督，它将与苹果、谷歌、Meta、TikTok以及其他一些选择在都柏林设立欧洲总部的跨国公司一起。

与此同时，数据保护委员会（DPC）在对本地科技巨头的GDPR监督方面仍然引起了大量的批评。近年来，尽管有一些抓人眼球的大型科技公司受到了爱尔兰的巨额罚款，但批评者指出，该监管机构往往主张比其同行要低得多的罚款数额。其他批评包括DPC的调查进展缓慢和/或不寻常的轨迹。或者选择不调查投诉，或者选择以方式重新定义投诉以规避核心问题（例如，查看这个谷歌广告技术投诉）。

ChatGPT目前可能存在的《通用数据保护条例》(GDPR)调查，比如来自意大利和波兰的监管机构的调查，可能对塑造OpenAI生成式AI聊天机器人在地区监管方面产生重要影响。因为这些调查很可能会继续进行，考虑到它们涉及的数据处理是在未来AI巨头取得任何主要建立地位之前的。但目前尚不清楚它们可能会产生多大影响。

作为一个提醒，意大利的隐私监管机构一直在关注对ChatGPT的许多担忧，包括OpenAI依赖于处理人们数据来训练其人工智能的法律依据。而波兰的监管机构则在收到了一份详细投诉有关ChatGPT的报告后，开展了调查，其中包括AI机器人会产生虚构的个人数据（即幻觉）。

值得注意的是，OpenAI的更新的欧洲隐私政策还包含了更多关于其处理用户数据的法律依据的详细信息 - 其中一些新的措辞表明，它声称依靠合法利益作为处理用户数据用于AI模型训练的法律依据是“符合我们自身及第三方以及广大社会的利益的必要条件”[我们的强调]。

鉴于目前OpenAI的隐私政策包含了对其声称法律依据中这个要素的更枯燥语句：“我们合法的利益在于保护我们的服务免受滥用、欺诈或安全风险，或者在开发、改进或推广我们的服务时，包括在我们训练我们的模型时也是如此。”

这表明OpenAI可能意图寻求在关注欧洲隐私监管机构时为其对互联网用户个人数据进行大规模、未经同意的收集、用于生成人工智能盈利的行为进行辩护，除了其自身（商业）利益外，还可能会提出某种与公共利益相关的论点。然而，GDPR对处理个人数据拥有严格限定的合法基础（仅有六种），数据控制者不能随意从这个列表中挑选组合，来自创造自己的理由的行为。

值得注意的是，欧洲数据保护委员会去年设立了一个专门小组，试图就数据保护法和大数据驱动的人工智能的复杂交集问题寻求共同立场。目前尚不清楚是否会在这一过程中达成任何共识。考虑到OpenAI现在在都柏林建立法律实体作为欧洲用户数据的控制者，未来爱尔兰很可能会在生成式人工智能和隐私权方面发表决定性意见。

如果数据保护委员会成为OpenAI的首席监管机构，例如，它将有能力在这一快速发展的技术上减慢任何GDPR执法的步伐。

去年四月份，意大利干预ChatGPT之后，数据保护专员海伦·迪克森警告称，隐私监管机构不应纵容对于数据问题急于禁止该技术 - 监管机构应该花时间来解决如何实施人工智能领域的数据保护法规。迪克森是数据保护委员会的现任专员。

注意：英国用户不包括在OpenAI将其法律依据转至爱尔兰的范围内，该公司指定他们属于其位于美国得克萨斯州的企业实体的监管范围之下。（自脱欧以来，欧盟的《一般数据保护条例》在英国不再适用，尽管英国保留了自己的英国《通用数据保护条例》，这是一项基于欧洲框架的数据保护法规，但随着英国与欧盟的标准相异而发生改变，这项权利削弱的“数据改革”法案目前正在议会审议中。）