OpenAI 应对欧盟数据隐私监管风险的新策略

发表时间: 2024-01-02 22:24

上月底,当欧洲大多数国家还沉浸在节日巧克力的喜悦中时,ChatGPT 开发商 OpenAI 正忙着发送一封电子邮件,详细说明即将对其条款进行的更新,该更新似乎旨在降低其在欧盟的监管风险。

这家人工智能巨头的技术很早就受到了该地区有关 ChatGPT 对个人隐私影响的审查--意大利和波兰等国的监管机构对与聊天机器人如何处理人们的信息及其可能产生的个人数据有关的数据保护问题进行了多项公开调查。(意大利的干预甚至引发了 ChatGPT 在该国的暂时中止,直到 OpenAI 修改了向用户提供的信息和控制措施)。

"我们已将向欧洲经济区和瑞士居民提供 ChatGPT 等服务的 OpenAI 实体更名为爱尔兰实体 OpenAI Ireland Limited,"OpenAI 在 12 月 28 日发给用户的一封电子邮件中写道。

同时更新的 OpenAI 欧洲隐私政策进一步规定:

如果您居住在欧洲经济区(EEA)或瑞士,OpenAI 爱尔兰有限公司(注册地址为 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Ireland)为控制方,负责处理本隐私政策中所述的您的个人数据。

新的使用条款将其最近在都柏林成立的子公司列为欧洲经济区(EEA)和瑞士用户的数据控制方,该集团的《通用数据保护条例》(GDPR)将于 2024 年 2 月 15 日生效。

用户被告知,如果他们不同意 OpenAI 的新条款,可以删除他们的账户。

GDPR 的一站式服务(OSS)机制允许处理欧洲人数据的公司在位于欧盟成员国的单一牵头数据监管机构下简化隐私监管。

获得这一地位后,位于欧盟其他地方的隐私监管机构单方面处理问题的能力将被有效削弱。取而代之的是,它们通常会将投诉转回主要公司的主要监管机构进行审议。

其他 GDPR 监管机构如果发现紧急风险,仍保留在当地进行干预的权力。但这种干预通常是临时性的。它们在性质上也是特殊的,大部分 GDPR 监管工作都是通过牵头机构进行的。这也是为什么这种地位对大科技公司如此有吸引力--让最强大的平台能够简化对其跨境个人数据处理的隐私监督。

爱尔兰数据保护委员会(DPC)的一位女发言人表示,当被问及 OpenAI 是否正在与爱尔兰隐私监管机构合作,根据 GDPR 的 OSS 为其都柏林实体获得主要机构地位时:"我可以确认,Open AI 已经就此事与 DPC 和其他欧盟 DPA(数据保护机构)进行了接触。"

这家人工智能巨头早在九月份就在都柏林开设了办事处--最初招聘了一些政策、法律和隐私方面的工作人员,此外还招聘了一些后台办公人员。

截至发稿时,在其招聘页面上列出的 100 个职位中,都柏林仅有 5 个空缺职位,因此当地招聘似乎仍然有限。该公司目前还在招聘一个位于布鲁塞尔的欧盟成员国政策与合作关系领导职位,要求应聘者说明是否可以每周三天在都柏林办公室工作。但这家人工智能巨头的绝大多数空缺职位都被列为在旧金山/美国办公。

OpenAI 在都柏林招聘的五个职位中,有一个是隐私软件工程师。其他四个职位分别是:平台客户总监、国际薪资专员、欧洲媒体关系负责人和销售工程师。

OpenAI 在都柏林招聘了哪些人,招聘了多少人,这些都将关系到它能否获得 GDPR 规定的主要机构地位,因为这不仅仅是提交一些法律文件和打勾就能获得的。该公司需要让集团的隐私监管机构相信,它所指定的对欧洲人的数据负有法律责任的成员国实体实际上能够影响有关数据的决策。

这就意味着要有合适的专业知识和法律结构来施加影响,并对美国母公司进行有意义的隐私检查。换句话说,在都柏林设立一个前沿办公室,仅签署旧金山的产品决策是不够的。

如果 OpenAI 在爱尔兰获得了 GDPR 的主要地位,并由爱尔兰 DPC 主导监督,那么它将加入苹果、Google、Meta、TikTok 和 X 等跨国公司的行列。

与此同时,DPC 在对本地科技巨头进行 GDPR 监管的速度和节奏上仍招致大量批评。虽然近年来爱尔兰对大科技公司的处罚已经成为头条新闻,但批评者指出,监管机构经常主张比同行低得多的处罚。其他批评还包括,DPC 的调查步伐缓慢和/或轨迹不寻常。或根本不对投诉进行调查,或以回避关键问题的方式重构投诉。

意大利和波兰等国的监管机构目前对 ChatGPT 进行的任何 GDPR 调查,可能仍会对 OpenAI 的生成式 AI 聊天机器人的地区监管产生影响,因为这些调查很可能已经结束,因为它们涉及的数据处理时间早于这家 AI 巨头未来可能获得的主要机构地位。但目前还不太清楚它们会产生多大的影响。

而目前的 OpenAI 隐私政策在其所声称的法律依据的这一要素上,则包含了一句干巴巴得多的话:"我们在保护我们的服务免遭滥用、欺诈或安全风险,或在开发、改进或推广我们的服务(包括在我们训练我们的模型时)方面的合法权益"。

这表明,除了自身(商业)利益之外,OpenAI 可能还打算通过为其活动提出某种公共利益论据,来向相关的欧洲隐私监管机构为其大量、持续地收集互联网用户的个人数据以获取人工智能生成利润的行为辩护。然而,GDPR 对处理个人数据的有效法律依据有严格限制(六条);数据控制者不能随意从列表中"挑拣",编造自己的理由。

值得注意的是,GDPR 监督机构去年在欧洲数据保护委员会(European Data Protection Board)内部成立了一个特别工作组,试图就如何解决数据保护法与以大数据为驱动力的人工智能之间棘手的交叉问题找到共同点。尽管这一过程中能否达成共识还有待观察。考虑到 OpenAI 将在都柏林建立一个法律实体,作为欧洲用户数据的控制者,爱尔兰很可能会在生成式人工智能和隐私权方面获得决定性的发言权。

如果DPC成为OpenAI的主要监管者,它将有能力放慢对快速发展的技术实施GDPR的步伐。

去年四月,在意大利对 ChatGPT 进行干预之后,DPC 的现任专员海伦-迪克森(Helen Dixon)就曾警告过隐私监管机构不要因为数据问题而急于禁止这项技术--她说监管机构应该花点时间来弄清楚如何对人工智能执行集团的数据保护法。

注:OpenAI 将英国用户的法律依据转至爱尔兰,但不包括英国用户,该公司明确表示英国用户属于其位于美国德尔惠尔(Delware)的公司实体的管辖范围。(自英国脱欧以来,欧盟的 GDPR 不再适用于英国--虽然英国在国内法中保留了自己的英国 GDPR,但这一数据保护法规在历史上仍以欧洲框架为基础。)