波兰针对 ChatGPT 和 OpenAI 展开 GDPR 调查以应对日益增长的隐私关注

发表于 2023 年 9 月 29 日 由

波兰个人数据保护办公室正在调查对 ChatGPT 及其母公司 OpenAI 的 GDPR 投诉。根据波兰数据保护机构的说法：

投诉人因 OpenAI 未能处理他根据 GDPR 行使权利的请求而向波兰监管机构提出申诉。结果发现，ChatGPT
在回应请求时生成了关于投诉人的不准确信息。尽管每位数据控制者都必须处理准确数据，OpenAI 还是没有满足其更正请求。投诉人甚至无法得知 ChatGPT
实际上处理了哪些关于他的数据。

ChatGPT 被指控违反欧盟主要隐私法的情况并不令人惊讶——PIA 博客早在二月就指出 ChatGPT 是一场
。作为第一起被欧盟数据保护机构受理的投诉，此案将受到其他欧盟成员国及全球的密切关注。这次波兰的调查很可能会探讨 AI 程式所面临的许多关键
GDPR 问题，并将成为未来法律案例的基准。

波兰的个人数据保护办公室这次是首次正式调查，但这并不是欧盟数据保护机构第一次表达担忧。意大利的数据保护机构 Il Garante per laprotezione dei dati personali 由于担心违反 GDPR，曾在国内 。几周后，意大利数据保护机构在实施了一些旨在解决隐私问题的改变后，允许 OpenAI 再次提供
ChatGPT。然而，这一迅速的批准意味著核心的 GDPR 问题并未得到充分探讨，而新的波兰调查现在有机会进行全面调查。

意大利并不是唯一一个开始调查 ChatGPT 和 OpenAI 是否符合 GDPR 的欧盟国家。西班牙数据保护机构对 OpenAI展开了初步调查，以确定可能的违规行为。尽管没有公开更多信息，但值得注意的是，一个月后，来自 12 个国家的 16 个数据保护机构所组成的 Ibero-
American Network for the Protection of Personal Data 开始了对 ChatGPT 的
（翻译来源于 DeepL），其调查范围包括：

此类处理的法律依据、向用户提供的处理信息、行使数据保护法规中所确认的权利、在未经所有者同意的情况下可能向第三方转移个人数据、缺乏防止未成年人访问其技术的年龄控制措施，以及不确定是否具备保护和保密所收集个人数据的充分安全措施。

在法国，数据保护机构 CNIL 发布了其所称的 AI “”，这一计划基于四个主要方向：

• 理解 AI 系统的运作及其对人员的影响；
• 促进并指导隐私友好的 AI 开发；
• 联合并支持法国和欧洲 AI 生态系统中的创新参与者；
• 审计和监控 AI 系统，保护个人。

同月， 宣布进行一项更泛泛的“初步检讨，旨在考虑 AI基础模型开发和使用中的竞争及消费者保护问题。”

在北美，加拿大开始对 OpenAI展开调查，以回应一项指控，该指控称“在未经同意的情况下收集、使用和披露个人信息”。相比于全球日益增加的监管关注，美国在这方面的行动相对滞后。根据 AI 智库
Center for AI and Digital Policy的投诉，联邦贸易委员会在七月开展了一项所谓的，该调查涉及“探查受欢迎的 ChatGPT机器人是否因损害个人声誉和数据而违反了消费者保护法律。”

尽管以上提到的调查似乎对 OpenAI 和 ChatGPT 架构了一场攻势，但这可能仅仅是个开始。例如，监督 GDPR应用的机构——欧洲数据保护委员会在四月成立了一个专门的 ChatGPT 工作组，旨在促进欧盟数据保护机构之间的合作，并交流可能对 AI公司采取的执法行动的资讯。

此外，除了 GDPR 还有新的欧盟 AI 法案，该法案专门旨在监管 AI 的使用，并保护公众免受可能的伤害。如
，AI法案包含了许多重要的隐私保护措施，并且有针对最新一代 AI 公司的特定规范（如欧洲议会在 ）。

毫无疑问，AI 的世界正在快速发展。值得赞赏的是，或许是第一次，全球的数据保护机构几乎以同样的速度行动。因此，我们可以预期会有更多对新一代 AI系统的调查，并可能施加一些重大罚款，尤其是在欧盟内部。

封面图片由 OpenAI 提供。