爱尔兰：OpenAI ChatGPT的欧盟整改护盾。尽管欧盟《人工智能法案》尚未生效，但人工智能（AI）行业领军企业OpenAI在欧盟地区已经面临相当大的监管风险。欧洲数据保护委员会（EDPB）最近发布的调查报告指出，尽管OpenAI为遵守“透明度原则”采取了一些措施，有助于其聊天机器人ChatGPT减少错误输出，但该产品仍不完全符合欧盟的《通用数据保护条例》（GDPR）。

去年，以意大利为首的欧盟成员国监管机构对通用AI服务提出了担忧，随后EDPB于2023年4月成立了专门的ChatGPT特别工作组。调查报告称，目前一些成员国的调查仍在进行中，但上述结论已是各国的“共识点”。如果确认违反GDPR，对企业的处罚可以高达全球年收入的4%，监管机构还可以命令企业立即停止不合规的数据处理，即停止运营。

吴涵律师表示，从GDPR到尚未生效的欧盟《人工智能法案》，欧盟在数字治理方面的思路一脉相承，即以事前监管为重点，构建涵盖事前、事中和事后的全链条监管体系。然而，吴涵认为，正在制订中的以及既存的欧盟数字经济法案之间可能存在规范重叠、空白和不一致性等诸多问题，部分AI市场的领头羊企业未来可能会遇到一些棘手的合规问题。

EDPB工作组的调查认为，ChatGPT在合法性、公平性、透明度和信息义务以及数据准确性等方面仍不完全合规。在合法性方面，ChatGPT在使用网络抓取收集大量个人数据时，可能对人们的基本权利构成了“特殊风险”，因为其抓取的数据可能包括最敏感的个人数据，如健康信息等，这需要比一般个人数据更高的法律处理标准。根据GDPR，即使健康信息等特殊类别的敏感个人数据是公开的，也不意味着ChatGPT能直接使用，企业“有必要确定数据主体是否明确且通过清晰的肯定，同意使相关个人数据对公众可访问”。

在公平性问题上，工作组认为，ChatGPT不应将企业的合规责任转移给用户，例如通过条款和条件规定用户对其输入的聊天内容负责。“OpenAI仍有责任遵守GDPR，不应声称（自己）一开始就禁止某些个人数据的输入。”

在透明度及信息义务方面，工作组认为，ChatGPT在使用网络抓取从公开来源收集个人数据，或与用户直接交互时，都应遵循GDPR的有关信息义务的相关规定。在数据准确性上，由于ChatGPT系统的内部工作原理涉及概率计算，目前的训练方法会导致模型可能输出偏差或编造出来的结果，但用户可能并未意识到这种情况。因此，工作组建议OpenAI向用户提供一个“明确的参考”，说明生成的文本“可能有偏见或被捏造”。

来自爱尔兰的“保护伞”

欧盟的《通用数据保护条例》（GDPR）适用于任何收集和处理个人数据的情况，因此像ChatGPT这样的聊天机器人也必须遵循其规则。根据GDPR，欧盟成员国的数据保护机构（DPA）有权命令企业停止任何不合规的数据处理。同时，各成员国的DPA是相互独立的，有权在其各自辖区内执法，这也意味着GDPR在欧盟内的执行是分散的。

2023年3月底，意大利隐私监管机构动用了GDPR赋予的紧急权力，对OpenAI实施临时禁令，禁止其处理本地用户的ChatGPT数据。随后，去年4月，西班牙数据保护局请求欧盟就ChatGPT相关的隐私问题展开评估，法国国家信息自由委员会（CNIL）也表示正在调查关于ChatGPT的几起投诉。同年8月，波兰个人数据保护办公室宣布对OpenAI提起诉讼，指控ChatGPT“以非法、不可靠的方式处理数据，且处理数据的规则不透明”。今年4月，奥地利数据保护机构也接到了相关投诉。

但OpenAI也没有“坐以待毙”。根据工作组的报告，OpenAI在去年12月15日更新其“欧洲隐私政策”，并于2024年2月15日正式在爱尔兰设立了名为OpenAI Ireland Limited的实体。这一实体被指定为OpenAI在欧盟运营ChatGPT等服务的区域提供商。

根据这一安排，OpenAI可以利用GDPR中的单一窗口机制（OSS），申请爱尔兰数据保护委员会（DPC）作为其主要监督机构。这意味着，从此，欧盟内部任何针对ChatGPT的投诉，都不会像去年一样由欧盟各成员国的DPA分散执法，爱尔兰DPC将集中处理OpenAI在欧盟的合规事务，提供具有一致性的监管框架和决策。

不过，工作组称，这并不影响各成员国监督机构就今年2月15日之前的数据处理操作继续进行调查。工作组建议，各监督机构之间继续协调和交流关于ChatGPT的执法活动和信息，以便形成统一的执法标准。OpenAI则应根据监督机构的反馈和建议，改进其技术措施和合规策略，以确保其服务完全符合GDPR的要求。