整理:何淵,DPOHUB主理人
一、處罰概述
義大利個人資料保護局(Garante per la Protezione dei Dati Personali)對 OpenAI 處以 15,00萬歐元的行政罰款。OpenAI 涉嫌多項違反《歐盟通用資料保護條例》(GDPR)的行為,包括資料洩露通知不及時、處理合法性依據不明確、隱私政策資訊不充分、缺乏未成年人年齡驗證機制、資料不準確以及未遵守管理局糾正措施等。
二、調查背景與起因
(一)ChatGPT 技術問題引發關注
2023 年 3 月 20 日,ChatGPT 服務出現嚴重技術問題,部分使用者的聊天記錄標題在主頁上被錯誤地展示給其他使用者,而非顯示使用者自己的聊天記錄。這一漏洞導致使用者的個人資料面臨洩露風險,涉及姓名、姓氏、電子郵件地址以及用於支付 ChatGPT Plus 服務的信用卡部分資訊(最後四位數字和有效期)等敏感資料。該事件迅速引起廣泛關注,不僅因為其涉及大量使用者資料,更因為它引發了人們對人工智慧服務資料安全和隱私保護的擔憂。
(二)Garante依職權啟動調查
鑑於此資料洩露事件可能對使用者個人資料保護權益造成嚴重影響,義大利個人資料保護局迅速依職權啟動調查程式。管理局旨在全面審查 OpenAI 在 ChatGPT 服務中對個人資料的處理是否符合相關法規要求,包括資料收集、儲存、處理和保護等各個環節。調查過程中,管理局深入探究 OpenAI 的資料處理實踐,重點關注其在資料處理合法性、使用者告知、資料準確性、未成年人保護以及對管理局決議的遵守等方面的情況,以確定是否存在違反個人資料保護法規的行為。
三、OpenAI 的回應與Garante的初步措施
(一)OpenAI 的整改措施
OpenAI 在事件發生後積極採取了一系列整改措施,以應對管理局的關切和要求。在隱私政策方面,公司更新併發布了相關政策,明確了資料處理的目的、方式和範圍,特別是在演算法訓練資料處理方面,試圖向用戶提供更清晰的資訊。例如,在網站上詳細說明了資料用於訓練模型的情況,以及使用者如何行使對資料處理的權利,包括反對權和刪除權等。
(二)年齡驗證機制的實施
OpenAI 實施了年齡驗證機制,透過要求使用者提供出生日期等資訊,對新使用者進行年齡限制,禁止 13 歲以下使用者建立賬戶,對於 13 至 17 歲使用者則要求獲得法定監護人同意。同時,公司採用了多種技術手段進行年齡驗證,如與第三方認證公司 Yoti 合作,透過 Yoti App、年齡估計和 ID 掃描等方式,確保使用者年齡資訊的準確性,並保證在驗證過程中不向 OpenAI 提供除年齡驗證結果外的其他使用者資料,以保護使用者隱私。
(三)宣傳活動的開展
OpenAI 按照管理局要求開展了宣傳活動,透過多種渠道向用戶和公眾傳達個人資料處理相關資訊。例如,在報紙上發表採訪和公告,在公司網站上設定使用者頁面,製作教學影片等。然而,管理局對這些宣傳活動的執行情況和效果表示不滿,認為 OpenAI 在活動開展過程中未充分與管理局溝通協商,導致部分活動內容和方式不符合管理局預期,未能有效向公眾傳達關鍵資訊。
(四)Garante的初步措施及要求
Garante在調查過程中採取了一系列措施,包括髮布臨時限制措施,如 2023 年 3 月 30 日的第 112/2023 號決議,限制 OpenAI 對義大利境內相關人員個人資料的處理,以防止資料洩露風險進一步擴大。隨後,在 2023 年 4 月 11 日的第 114/2023 號決議中,管理局提出了更為詳細和嚴格的整改要求,作為暫停臨時限制措施的條件。這些要求涵蓋了隱私政策完善、使用者權利保障、年齡驗證機制有效實施以及開展全面且符合規定的宣傳活動等多個方面,旨在確保 OpenAI 全面整改其資料處理行為,切實保護使用者個人資料權益。
四、調查過程中的關鍵問題與爭議
(一)資料洩露通知的及時性與合規性
1. 事件經過與 OpenAI 的通知行為
2023 年 3 月 20 日上午 7:50(太平洋標準時間),OpenAI 收到使用者報告 ChatGPT 服務執行異常,部分使用者聊天記錄保密性受損,涉及資料在特定時間段內被其他使用者可見。OpenAI 在 72 小時內將此資料洩露事件通知了愛爾蘭資料保護委員會(IDPC),認為該委員會會與其他相關機構共享資訊,包括義大利個人資料保護局。同時,OpenAI 在 2023 年 3 月 24 日自願在其網站上釋出帖子,向可能受影響的使用者通報了事件情況。
2. Garante的質疑與認定
然而,管理局認為 OpenAI 的通知行為存在違規。儘管 OpenAI 向 IDPC 進行了通知,但在事件發生時,OpenAI 在歐盟沒有單一或主要機構,根據相關法規,一站式服務機制不適用,OpenAI 應直接將資料違規行為通知所有歐洲資料保護當局,尤其是涉及 440 名義大利使用者時,應直接通知義大利管理局。因此,管理局認定 OpenAI 違反了《歐盟通用資料保護條例》第 33 條關於資料洩露通知的規定,該違規行為於 2023 年 3 月 23 日(資料洩露事件發生後 72 小時)完成,且性質上不具有連續性。
(二)資料處理合法性依據的確定
1. OpenAI 的業務發展與資料處理情況
OpenAI 於 2022 年 11 月 30 日將 ChatGPT 作為免費研究預覽版釋出,隨後其使用者數量迅速增長,服務範圍不斷擴大。在資料處理方面,OpenAI 從網際網路、第三方授權和使用者互動等多個來源收集資料,用於訓練 GPT 模型。然而,在處理這些資料時,尤其是在為訓練模型而處理個人資料的合法性依據確定上,OpenAI 的做法引發了管理局的質疑。
2. Garante對合法性依據的審查與結論
Garante發現,OpenAI 在 2022 年 11 月 30 日服務向公眾提供之前,甚至在之後的一段時間內,未能明確並正式確定資料處理的合法依據。儘管 OpenAI 聲稱基於合同執行和合法利益進行資料處理,但提交的相關檔案(如 DPIA 和 LIA)無法證明其在規定時間內完成了合法依據的充分評估和確定。例如,DPIA 的初稿於 2023 年 2 月 24 日完成,距 ChatGPT 服務釋出已過去近三個月,且無法確定在此之前對處理依據進行了適當評估。因此,管理局認定 OpenAI 違反了《歐盟通用資料保護條例》第 5 條第 2 款(問責原則)和第 6 條關於處理合法性條件的規定。
(三)隱私政策的透明度與完整性
1. 隱私政策的內容與呈現方式
截至 2023 年 3 月 30 日,OpenAI 的隱私政策存在諸多問題。政策僅提供英文版本,且在公司網站上不易獲取,註冊流程中未在顯眼位置提供連結,導致使用者在註冊前難以閱讀。從內容上看,政策主要側重於使用者使用服務時的資料處理,對為訓練模型而處理非使用者資料的情況幾乎未提及,缺乏對資料處理目的、法律依據、資料保留期限、使用者權利等關鍵資訊的明確說明。
2. Garante對隱私政策的評估與違規認定
Garante認為,這種不清晰和不完整的隱私政策無法滿足《歐盟通用資料保護條例》第 5 條第 1 款 a 項(合法性、公正性和透明度)、第 12 條和第 13 條(資料控制者向資料主體提供資訊的義務)以及第 25 條第 1 款(資料保護設計和預設保護)的要求。OpenAI 雖辯稱已透過其他方式向用戶和非使用者提供了相關資訊,但管理局認為這些方式不能替代隱私政策中應明確規定的內容,因此認定其違反了上述相關條款。
(四)未成年人資料保護措施的有效性
1. 服務對未成年人的潛在影響與風險
ChatGPT 服務性質決定其可能涉及未成年人資料處理,而未成年人在使用該服務時面臨特殊風險,因其可能對個人資料處理風險意識不足,且服務提供的資訊可能對其心理生理發展產生影響。然而,在 2023 年 3 月 30 日之前,OpenAI 在保護未成年人資料方面措施嚴重不足。
2. Garante對未成年人保護措施的審查與結論
Garante發現 OpenAI 未實施有效的年齡驗證機制,儘管服務條款提及未成年人使用限制,但實際註冊過程中未有效執行。此外,隱私政策僅規定了未成年人資料報告系統,缺乏實際的資料保護措施。雖然 OpenAI 辯稱已採取其他保護措施,如限制不良內容輸出、對輸出安全性進行控制等,但管理局認為這些措施不足以彌補年齡驗證機制缺失帶來的風險。因此,管理局認定 OpenAI 違反了《歐盟通用資料保護條例》第 8 條(未成年人資料處理特殊保護)、第 24 條和第 25 條第 1 款(資料保護技術和組織措施)的規定。
(五)資料準確性與糾正措施
1. ChatGPT 輸出資料的準確性問題
ChatGPT 服務的輸出存在資料不準確情況,可能向用戶提供錯誤的個人資訊或虛假陳述,這對使用者造成了誤導,也違反了資料處理準確性原則。例如,在回答使用者問題時,可能生成包含不準確事實或虛構內容的回覆,影響使用者對資訊的正確判斷。
2. OpenAI 的應對措施與管理局的評價
OpenAI 雖採取了一些措施,如告知使用者可能存在不準確輸出、提供反饋機制讓使用者報告問題、嘗試透過微調模型糾正不準確之處或防止不準確資訊出現等,但管理局認為這些措施仍不夠充分。OpenAI 未能建立更有效的資料稽核和更新機制,以確保資料的準確性。因此,管理局認定 OpenAI 違反了《歐盟通用資料保護條例》第 5 條第 1 款 d 項關於資料準確性的規定。
(六)對Garante決議的遵守情況
1. Garante決議的要求與 OpenAI 的執行情況
Garante在第 114/2023 號決議中明確規定了 OpenAI 應開展的一系列糾正措施,特別是在宣傳活動方面,要求其在義大利主要大眾傳播媒體上開展非促銷性質的宣傳活動,內容需與管理局商定,以告知使用者資料處理情況及使用者權利。然而,OpenAI 在執行過程中出現諸多問題。其開展的宣傳活動未事先與管理局充分溝通協商,導致活動內容和方式不符合管理局預期,例如在報紙上釋出的資訊未能有效傳達關鍵資料處理資訊,製作的教學影片也未按要求透過Garante官方渠道釋出。
2. Garante對遵守情況的認定與違規指控
Garante認為 OpenAI 未正確遵守規定的糾正措施,違反了《歐盟通用資料保護條例》第 83 條第 5 款 d 項的規定,該條款涉及資料控制者對管理局規定糾正措施的遵守義務,違規行為對管理局監管工作和使用者權益保障造成了負面影響,表明 OpenAI 在資料處理合規方面存在嚴重缺陷,需承擔相應責任。
五、處罰決定及其依據
(一)罰款金額的計算與考量因素
根據《歐盟通用資料保護條例》第 83 條第 1 款至第 6 款,管理局對 OpenAI 處以總計 15,000,000.00 歐元的行政罰款。罰款金額的計算綜合考慮了多個因素,包括違規行為的性質、嚴重程度、持續時間和影響範圍等。
對於違反《歐盟通用資料保護條例》第 5 條第 1 款 a 項、第 5 條第 2 款、第 6 條、第 12 條、第 13 條、第 24 條和第 25 條第 1 款的行為,因其涉及資料處理的多個關鍵方面,如合法性、透明度、資料最小化、準確性和完整性等原則的違反,嚴重影響使用者資料權益和資料保護體系的有效執行,罰款金額確定為 9,000,000.00 歐元。
違反第 33 條關於資料洩露通知的規定,雖事件影響範圍有限,但通知不及時且未按規定通知相關當局,損害了監管機制的有效性,罰款金額為 320,000.00 歐元。
違反第 83 條第 5 款 d 項,未遵守管理局規定的糾正措施,特別是宣傳活動執行不力,影響公眾對資料處理情況的瞭解和使用者權利的行使,罰款金額為 5,680,000.00 歐元。管理局認為,綜合這些因素確定的罰款金額合理、適當且具有威懾力,旨在促使 OpenAI 重視資料保護問題,遵守相關法規。
(二)責令開展宣傳活動的目的與要求
除罰款外,管理局責令 OpenAI 開展機構宣傳活動。活動目的在於提高公眾對個人資料保護問題的認識,特別是關於 ChatGPT 服務中資料處理情況的瞭解,包括資料收集目的(如為訓練模型收集使用者和非使用者資料)、使用者權利(如反對權和刪除權)等。
宣傳活動要求在義大利所有主要媒體(廣播、電視、報紙和網際網路)上進行,為期六個月,自管理局批准宣傳計劃後的 45 天內啟動。OpenAI 需在決議通知後的 60 天內提交宣傳計劃,內容需事先得到管理局批准。活動結束後的 60 天內,OpenAI 還需向管理局通報有助於評估其遵守命令情況的資訊,如向提出請求的相關人員提供權利保障的方式等。這一措施旨在確保 OpenAI 積極採取行動,糾正之前宣傳活動的不足,增強公眾對資料保護的意識,同時也便於管理局監督其整改效果,保障使用者在資料處理中的知情權和選擇權。
六、法律依據與相關法規解讀
(一)《歐盟通用資料保護條例》(GDPR)的關鍵條款適用
在整個調查和處罰過程中,《歐盟通用資料保護條例》的多個條款起到了關鍵作用。第 3 條規定了法規的地域適用範圍,確定了管理局對 OpenAI 在歐盟境內資料處理行為的管轄權。第 5 條闡述了資料處理的基本原則,包括合法性、公正性、透明度、資料最小化、準確性、儲存限制和資料安全等,OpenAI 的多項違規行為均涉及對這些原則的違反。第 6 條明確了處理的合法性條件,OpenAI 未能及時確定資料處理的合法依據,違反了該條款規定。第 8 條針對未成年人資料處理的特殊保護要求,OpenAI 在年齡驗證和資料處理方面的不足構成對該條款的違反。第 12 條和第 13 條規定了資料控制者向資料主體提供資訊的義務,OpenAI 隱私政策的不清晰和不完整違反了這兩條規定。第 24 條和第 25 條第 1 款強調資料控制者應採取技術和組織措施確保資料保護原則的有效實施,OpenAI 在未成年人保護和資料處理措施方面的缺陷違反了這些條款。第 33 條對資料洩露通知的及時性和方式作出規定,OpenAI 未按要求通知管理局,違反了此條款。第 83 條則涉及違反條例的處罰措施,管理局根據該條款對 OpenAI 進行了罰款處罰,並責令其開展宣傳活動。
(二)《義大利個人資料保護法》及相關條例的補充作用
《義大利個人資料保護法》(2003 年 6 月 30 日第 196 號法令),特別是第 157 條和第 166 條,為管理局的調查和處罰提供了國內法依據。第 157 條可能涉及管理局獲取資訊的權力和程式,確保管理局能夠有效開展調查工作。第 166 條則與處罰程式相關,規定了管理局在發現違規行為後採取糾正和制裁措施的程式和依據。
《義大利個人資料保護局條例》第 1/2019 號,尤其是第 12 條和第 13 條,對管理局內部程式和資料控制者的義務進行了細化。第 12 條規定了管理局啟動程式的相關要求,確保程式的合法性和規範性。第 13 條涉及聽證程式,為 OpenAI 提供了陳述和辯護的機會,保障了程式的公正性。這些義大利國內法律法規與 GDPR 相互補充,共同構成了管理局對 OpenAI 進行監管和處罰的法律框架,確保在歐盟統一法規框架下,結合義大利國內實際情況,對資料保護問題進行全面、有效的管理。
七、決議的生效、通知與上訴程式
(一)決議的生效時間與通知方式
本決議自通知 OpenAI 之日起生效,管理局將透過正式渠道向 OpenAI 傳達決議內容。同時,決議將在義大利個人資料保護局官方網站上公佈,確保公眾能夠獲取相關資訊。這種生效方式和通知程式遵循了相關法律法規的要求,保證了決議的合法性和透明度,使 OpenAI 能夠及時瞭解管理局的決定,也便於公眾監督決議的執行情況。
(二)OpenAI 的上訴權利與程式
OpenAI 有權在收到決議通知後的 30 天內,向義大利行政法院提起上訴,要求對本決議進行審查。上訴應按照義大利行政訴訟程式的規定進行,這為 OpenAI 提供了法律救濟途徑,確保其在認為處罰決定不公正或不合理時,能夠透過合法程式維護自身權益。同時,上訴程式的存在也有助於監督管理局的決策,確保處罰決定的公正性和合法性,促進資料保護法規在執行過程中的公平與合理適用。
。。。。。。
全部AI及資料中譯本及資訊請加入