本文来自微信公众号: Internet Law Review ,作者:克里斯塔基斯,编译:《互联网法律评论》
2026年3月18日,罗马法院撤销了意大利数据保护局(Garante per la Protezione dei Dati Personali)于2024年11月2日发布的第755号决定。该决定曾因OpenAI的ChatGPT服务管理存在多项违反GDPR的行为而对其处以1500万欧元的罚款。此前,该决定已于2025年3月21日被同一法院暂停执行,随后意大利数据保护局也从其官网上撤下了其罚款决定。裁决推翻了该决定的实质内容。
这并非普通的执法决定。这是欧洲迄今为止唯一一项针对生成式人工智能向公众推出期间的最终GDPR执法行动。
就在罗马法院撤销意大利数据保护局(Garante)对ChatGPT的罚款几天前,卢森堡行政法院也撤销了2021年对亚马逊处以的7.46亿欧元GDPR罚款。该罚款是因亚马逊未经用户许可进行定向广告投放而产生的。法院基本认可了亚马逊GDPR违规行为的实质内容,但认为监管机构在实施处罚前未能充分评估过错程度和处罚比例。
短短一周之内,欧洲历史上两起最引人注目的GDPR罚款均被各国法院推翻。卢森堡国家数据保护委员会(CNPD)已被要求重新评估其案件,而意大利数据保护局的案件或许也尚未结束。但其中的信号显而易见——“不损害创新”的理念似乎也悄然蔓延到了欧洲的数据保护机构。
一、尚无任何结果的AI监管
2024年底,意大利数据保护局对ChatGPT处以罚款,并非没有道理。Garante发现,OpenAI在没有充分法律依据的情况下处理个人数据用于训练ChatGPT,违反了GDPR的透明度和信息披露义务,未能就2023年3月的数据泄露事件向监管机构进行适当通报,并且缺乏针对未成年人的年龄验证机制。除了罚款之外,意大利数据保护局还首次行使了《意大利数据保护法》第166条第7款赋予的权力,责令OpenAI在广播、电视、报纸和网络媒体上开展为期六个月的公众宣传活动。
当时欧盟对数据及AI的监管势头似乎不可阻挡。2023年春季,欧洲各地的数据保护机构相继对ChatGPT展开调查:西班牙数据保护局(AEPD)、波兰数据保护局(UODO,此前安全研究员卢卡什•奥莱尼克投诉ChatGPT存在虚假个人信息)、法国国家信息与自由委员会(CNIL,至少收到五起投诉)以及德国多个州的数据保护机构。随后,在2024年4月,NOYB在奥地利就数据准确性问题提起投诉。欧洲数据保护委员会(EDPB)于2023年4月成立了专门的ChatGPT工作组,负责协调欧盟范围内的执法工作。我记得在意大利对ChatGPT处以罚款后不久的一次通话中,另一位欧盟成员国的数据保护机构代表自信地宣布,“他们关于OpenAI的决定已经准备就绪,即将公布”。
此后,没有其他欧洲数据保护机构发布与ChatGPT上线期间(2022年11月至2023年3月)相关的GDPR违规行为的最终执法决定。
欧洲数据保护委员会(EDPB)工作组于2024年5月发布了报告,但其中仅包含“初步意见”,并明确指出调查“仍在进行中”。与此同时,OpenAI于2024年2月成立了OpenAI爱尔兰有限公司,触发了GDPR的一站式处理机制。特别工作组报告中的一个脚注承认,对于“持续或连续性质”的违规行为,未决诉讼“应移交”给牵头的数据保护机构,而该机构现在将是爱尔兰数据保护委员会。这一程序上的发展很可能已经吸收或冻结了多个国家层面的调查。
但最终结果却是相同的:欧洲针对其历史上最具影响力的人工智能应用所做出的监管回应,仅产生了一个执法决定。而这个决定如今已被撤销。
二、当时和现在的比例性问题
在意大利数据保护局做出决定时,笔者曾对罚款金额的比例提出质疑。1500万欧元的罚款几乎与Clearview AI公司被处以的2000万欧元罚款相当,而Clearview AI是一家因大规模生物识别监控而备受诟病的公司。
尽管如此,关于ChatGPT违反GDPR的根本性调查结果很难在实质上提出异议。ChatGPT面向欧洲公众推出时,明显无视了基本的数据保护要求:没有找到充分的法律依据,没有履行透明度义务,也没有进行年龄验证。这些并非轻微的违规行为。
至关重要的是,罗马法院的完整判决理由尚未公布。意大利数据保护局于3月19日上午收到判决书(第4153/2026号判决,RG 4785/2025),但由于判决理由尚未公布,该机构目前无法发表评论或评估是否提起上诉。这一点需要特别说明:撤销判决可能并非最终结果,意大利数据保护局提起上诉仍然是一种现实的可能性。
与此同时,一些关键问题仍然悬而未决:法院是否质疑了处罚的合理性?或者法院是否质疑了意大利数据保护局关于违反GDPR的认定本身?意大利数据保护局是否会根据法院的指示做出新的决定?
三、指导意见与正式执法之间的差距日益扩大
无论罗马法院的具体理由如何,其整体情况都值得关注。ChatGPT在欧洲推出之初,监管力度一度十分强劲,但随后却陷入了长时间的停滞。欧洲其他数据保护机构均未发布任何相关决定。唯一发布的决定也已被撤销。
与此同时,欧洲各地的数据保护机构已经并将继续投入大量精力,制定关于网络爬虫和利用公开数据训练大型语言模型的指导文件。李汶龙、张月明等近期在《国际数据隐私法》期刊上发表了一项比较研究(《人工智能训练的法律基础如何在数据保护指南和监管措施中构建:比较视角与全球趋同的前景》),对这一现象进行了有益的梳理。该研究记录了不同司法管辖区的数据保护指南和监管措施如何构建人工智能训练的法律基础。但此类指导文件的激增与几乎完全缺乏正式执法之间的差距正变得日益明显。
四、硬币的另一面:干预式监管的替代性作用
然而,如果不承认即使在没有最终制裁的情况下,DPA干预措施在实践中实际取得了哪些成就,那么这种评估就是不完整的。
意大利数据保护局于2023年对ChatGPT实施的临时禁令虽然没有造成永久性罚款,但其直接的运营影响却相当显著。几周之内,OpenAI就实施了隐私声明,引入了训练数据退出机制,并部署了年龄验证系统。这些针对数亿用户使用的产品做出的切实改变,并非源于罚款,而是监管机构的强制要求。2023年在欧洲各地展开的调查,以及欧洲数据保护委员会(EDPB)特别工作组的工作,无疑加剧了促使OpenAI和其他主要人工智能公司在欧洲设立分支机构、任命数据保护官(DPO)并发布专门针对欧洲经济区(EEA)的隐私政策的压力。所有这些举措都不可能在自愿的基础上发生。
最近,爱尔兰数据保护委员会(DPC)的案例表明,在不采取正式制裁措施的情况下,监管干预也能取得显著成效。2024年6月,经过密集沟通,DPC促使Meta同意暂停其利用欧盟/欧洲经济区成年人在Facebook和Instagram上分享的公共内容训练大型语言模型的计划。暂停期持续了近一年,期间DPC向欧洲数据保护委员会(EDPB)寻求正式意见,而Meta也大幅修改了其方案,实施了更完善的透明度通知、改进的异议机制以及包括数据去标识化和输出过滤在内的技术保障措施。2025年5月,Meta最终恢复训练时,其条件与最初的方案已大相径庭。
这一过程也促使数据保护委员会(DPC)提出请求,欧洲数据保护委员会(EDPB)于2024年12月通过了关于人工智能模型训练和部署的数据保护方面的第28/2024号意见,从而提供了该主题的第一个全欧洲范围的框架。
2024年8月,数据保护委员会(DPC)对X公司采取了前所未有的法律行动,向爱尔兰高等法院提交紧急申请,要求停止使用欧盟用户的公开帖子来训练xAI的Grok聊天机器人。X公司同意永久停止数据处理,相关程序于2024年9月在此基础上结束。这是主要监管机构首次在人工智能领域行使此类权力。
这些干预措施至关重要。它们表明,即使数据保护机构的行动最终没有导致罚款,也能重塑人工智能公司在欧洲的运营模式。意大利数据保护局对DeepSeek的禁令也是其中一个例证。
但监管干预旨在改进具体做法,而正式执法则旨在确立法律先例并向更广泛的市场发出规则明确的信号,两者之间存在区别。在后者方面,相关记录仍然匮乏。
五、欧盟已经改变?
两年前难以想象的局面已经发生了翻天覆地的变化。欧盟数据保护体系在正式执法方面,似乎已经从2023年和2024年监管热潮转向了谨慎观察的态度。这究竟是反映了程序上的实际限制,还是将传统数据保护规则应用于新型AI系统的复杂性,抑或是其他原因,目前尚无定论。