开放人工智能移师爱尔兰:转移监管风险还是一锅GDPR金?
尽管欧洲大多数地区上个月仍在享受着假日巧克力,但ChatGPT的创建者OpenAI积极向其用户发送电子邮件,通知他们即将更新使用条款这次更新似乎旨在减少其在欧盟的监管风险
OpenAI采取措施,以减少与欧洲联盟数据隐私相关的监管风险。
上个月,当大多数欧洲人还在深陷节日巧克力选择盒的时候,ChatGPT制造商OpenAI正在忙着发送一封电子邮件,详细介绍了对其条款的即将到来的更新,看起来旨在缩小其在欧洲联盟的监管风险。
这家人工智能巨头的技术在该地区早期受到了对ChatGPT对个人隐私影响的关注,多个调查机构对聊天机器人处理个人信息及其产生的数据与个人有关的问题表示担忧,包括来自意大利和波兰的监管机构。(意大利的介入甚至引发了ChatGPT在该国的临时暂停,直到OpenAI修订了向用户提供的信息和控制措施。)
“我们已将提供ChatGPT等服务的OpenAI实体更改为服务于欧洲经济区(EEA)和瑞士居民的爱尔兰实体,OpenAI Ireland Limited,”OpenAI在12月28日发送给用户的电子邮件中写道。
OpenAI为欧洲的隐私政策也进一步规定:
如果您居住在欧洲经济区(EEA)或瑞士,负责处理您的个人数据的是位于爱尔兰都柏林上谢里夫街上的The Liffey Trust Centre,117-126号,注册办公地址:D01 YC43,爱尔兰的OpenAI Ireland Limited,并且OpenAI Ireland Limited是该隐私政策中描述的控制者。
新的使用条款将其最近成立的位于都柏林的子公司列为欧洲经济区(EEA)和瑞士用户的数据控制者,该地区实施了欧盟的《通用数据保护条例》(GDPR),将于2024年2月15日开始适用。
用户被告知,如果他们不同意OpenAI的新条款,可以删除他们的账户。
GDPR的一站式机制与OpenAI的都柏林雄心
GDPR的一站式(OSS)机制允许处理欧洲人数据的公司在一个欧盟成员国内的主管数据监管机构下协调隐私监督工作,这些公司在“主要设立地”享有这种地位,正如监管术语所说。
获得这种地位有效地降低了欧盟其他地区隐私监管机构单方面处理问题的能力。相反,它们通常会将投诉退回给主要设立公司的主管监管机构进行考虑。
其他GDPR监管机构仍然保留在他们看到紧急风险时进行地方干预的权力。但此类干预通常是临时的,也是特殊的性质,大部分GDPR监督工作通过主管机构进行。这也是为什么这种地位对大型科技公司如此有吸引力的原因-使最强大的平台能够简化其跨境个人数据处理的隐私监督。
当被问及OpenAI是否正在与爱尔兰的隐私监管机构合作,以获得其位于都柏林实体在GDPR的一站式机制下的主设立地地位时,爱尔兰数据保护委员会(DPC)的一名女发言人向ENBLE表示:“我可以确认Open AI已经与DPC和其他欧盟数据保护机构就此事进行了接触。”
我们也联系了OpenAI以便发表评论。
在都柏林建立存在
这家人工智能巨头在去年9月在都柏林开设了一个办事处,并最初为一些政策、法律和隐私员工以及一些后勤职位进行了招聘。
截至目前,它在都柏林只有五个空缺职位,总共有100个在其职业页面上列出的职位,因此当地的招聘仍然有限。它目前正在招聘基于布鲁塞尔的欧盟成员国政策与伙伴关系领导职位,并要求申请人说明他们是否能够在每周工作三天的情况下在都柏林办公室工作。但这家人工智能巨头的绝大部分空缺职位都是以旧金山/美国为基地。
其中一个由OpenAI在都柏林招聘的角色是隐私软件工程师。另外四个角色是:平台账号总监,国际薪资专员,媒体关系欧洲负责人和销售工程师。
OpenAI在都柏林招聘多少人以及他们都谁将与其在符合GDPR的主要设施地位有关,因为这不仅仅是一份法律文件的问题,不是简单地勾选一个方框就能获得该地位。该公司需要说服该区域的隐私监管机构,其作为法律上对欧洲数据负责的成员国实体实际上能够影响相关决策。
这意味着要具备正确的专业知识和合适的法律结构,以对美国母公司施加影响并进行有意义的隐私检查。
换句话说,如果OpenAI在都柏林建立一个仅仅是签署由旧金山制定的产品决策的前台办事处是不够的。
话虽如此,OpenAI可能会对曾经以Twitter而闻名的X公司的例子感兴趣。自从2022年秋天所有权发生变更后,该公司在许多方面引起了轰动,但自埃隆马斯克接管以来,尽管这位不按常理出牌的亿万富翁削减了X公司的地区员工人数,驱逐了相关专业知识,并做出了看似极端独断的产品决策,但该公司仍未从公开源代码逃脱(所以,呃,你猜吧)。
都柏林的新增
如果OpenAI在爱尔兰获得GDPR的主要设施地位,并获得爱尔兰数据保护委员会的主导监督,它将加入苹果、谷歌、Meta、TikTok和X等多家跨国公司的行列,这些公司选择将其欧盟总部设在都柏林。
与此同时,爱尔兰数据保护委员会在就本地科技巨头的GDPR监督速度和节奏上持续受到广泛批评。尽管近年来爱尔兰对大型科技公司进行了一些备受关注的罚款,但批评人士指出,相比其同行,监管机构往往倾向于提出较低的罚款额。其他批评包括爱尔兰数据保护委员会调查工作的进展缓慢和/或不寻常的轨迹,或者选择不对某项投诉进行调查,或者选择重新界定投诉以回避核心问题(例如,参见这则谷歌广告技术投诉)。
未来的影响
任何关于ChatGPT的现有GDPR调查,例如意大利和波兰的监管机构进行的调查,可能在塑造OpenAI生成式AI聊天机器人在该地区监管方面产生影响,因为这些调查可能会随着其影响的传播而继续进行,这些影响涉及的数据处理时间早于AI巨头未来可能获得的主要设施地位。但目前尚不清楚它们可能产生多大影响。
作为一个提醒,意大利的隐私监管机构一直在审查有关ChatGPT的一长串问题,包括OpenAI依赖哪些法律依据来处理人们的数据以训练其AI。而波兰的监管机构则在接到有关ChatGPT的详细投诉后开展了调查,其中包括AI机器人如何虚构(即伪造)个人数据。
值得注意的是,OpenAI的更新的欧洲隐私政策还包括了更多有关其所声称处理人们数据的法律依据的细节,其中一些新措辞表明,它声称依靠合法利益的法律依据来处理人们的数据,以进行AI模型训练,因为这对于我们自身(商业)利益和第三方以及更广泛的社会利益是“必要的” [我们的强调]。
而当前的OpenAI隐私政策在其所声称的法律依据的这一部分上包含了更加干燥的表述:“我们依靠合法利益来保护我们的服务免受滥用、欺诈或安全风险,并在训练我们的模型时开发、改进或推广我们的服务。”
这表明OpenAI可能打算在向关注的欧洲隐私监管机构为其大规模、无需征得同意而收集互联网用户的个人数据以用于生成式AI盈利的活动进行辩护时,除了自身(商业)利益外,还提出了一些公共利益论据。然而,GDPR仅对(六种)个人数据处理的有效法律依据进行了严格限制;数据控制者不能仅仅从列表中选择部分内容并编造自己的附加理由。
将这段HTML代码翻译成中文(保留HTML代码在结果中,并保留标签中src属性的原始信息不变。):
值得注意的是,GDPR监管机构已经在去年设立的欧洲数据保护委员会任务组内寻求共同立场,以应对数据保护法与大数据驱动的人工智能的复杂交集。
尽管尚不清楚是否会有任何共识从中产生,但考虑到OpenAI现在在都柏林设立法律实体作为欧洲用户数据的控制者,爱尔兰在生成式人工智能和隐私权方向上可能发挥决定性的影响。
如果数据保护委员会成为OpenAI的主要监管机构,它将有能力减缓对快速发展的技术实施GDPR的速度。
早在意大利对ChatGPT的干预之后的去年4月,DPC的现任委员海伦·迪克森就曾警告说,隐私监管机构不应因数据问题而急于禁止该技术,而应花时间解决如何对人工智能执行区块链数据保护法的问题。
注意:英国用户不在OpenAI切换到爱尔兰的法律依据范围内,该公司明确指出他们属于设在美国特拉华州的公司实体的监管范围(自英国脱欧以来,欧盟的GDPR不再适用于英国,尽管英国仍保留自己的英国GDPR,这是一部基于欧洲框架的历史悠久的数据保护法规,随着英国放弃该区块链的最高标准,这一情况将发生变化,通过权利稀释的“数据改革”法案)。
参考资料:- OpenAI在为监管障碍做准备时将开设其首个欧盟办事处 – ChatGPT制造商OpenAI在GDPR投诉中被指控串联多起数据保护违规事件的隐私研究员
