上月底，當歐洲大多數國家還沉浸在節日巧克力的喜悅中時，ChatGPT 開發商OpenAI 正忙著發送一封電子郵件，詳細說明即將對其條款進行的更新，該更新似乎旨在降低其在歐盟的監理風險。

這家人工智慧巨頭的技術很早就受到了該地區有關ChatGPT 對個人隱私影響的審查–意大利和波蘭等國的監管機構對與聊天機器人如何處理人們的信息及其可能產生的個人數據有關的資料保護問題進行了多項公開調查。(義大利的干預甚至引發了ChatGPT 在該國的暫時中止，直到OpenAI 修改了向使用者提供的資訊和控制措施）。

“我們已將向歐洲經濟區和瑞士居民提供ChatGPT 等服務的OpenAI 實體更名為愛爾蘭實體OpenAI Ireland Limited，”OpenAI 在12 月28 日發給用戶的一封電子郵件中寫道。

同時更新的OpenAI 歐洲隱私權政策進一步規定：

如果您居住在歐洲經濟區（EEA）或瑞士，OpenAI 愛爾蘭有限公司（註冊地址為1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Ireland）為控制方，負責處理本隱私權政策中所述的您的個人資料。

新的使用條款將其最近在都柏林成立的子公司列為歐洲經濟區（EEA）和瑞士用戶的資料控制方，該集團的《一般資料保護規範》（GDPR）將於2024 年2 月15 日生效。

用戶被告知，如果他們不同意OpenAI 的新條款，可以刪除他們的帳戶。

GDPR 的一站式服務（OSS）機制允許處理歐洲人資料的公司在位於歐盟成員國的單一牽頭資料監管機構下簡化隱私監管。

在獲得這一地位後，位於歐盟其他地方的隱私監管機構單方面處理問題的能力將被有效削弱。取而代之的是，它們通常會將投訴轉回主要公司的主要監管機構進行審議。

其他GDPR 監管機構如果發現緊急風險，仍保留在當地介入的權力。但這種幹預通常是臨時性的。它們在性質上也是特殊的，大部分GDPR 監管工作都是透過領導機構進行的。這也是為什麼這種地位對大科技公司如此有吸引力–讓最強大的平台能夠簡化對其跨國個人資料處理的隱私監督。

愛爾蘭資料保護委員會（DPC）的一位女發言人表示，當被問及OpenAI 是否正在與愛爾蘭隱私監管機構合作，根據GDPR 的OSS 為其都柏林實體獲得主要機構地位時：”我可以確認，Open AI已經就此事與DPC 和其他歐盟DPA（資料保護機構）進行了接觸。”

這家人工智慧巨頭早在九月就在都柏林開設了辦事處–最初招募了一些政策、法律和隱私方面的工作人員，此外還招募了一些後台辦公人員。

截至發稿時，在其招聘頁面上列出的100 個職位中，都柏林僅有5 個空缺職位，因此當地招聘似乎仍然有限。該公司目前也正在招募一個位於布魯塞爾的歐盟成員國政策與合作關係領導職位，要求應徵者說明是否可以每週三天在都柏林辦公室工作。但這家人工智慧巨頭的絕大多數職缺都被列為在舊金山/美國辦公室。

OpenAI 在都柏林招募的五個職位中，有一個是隱私軟體工程師。其他四個職位分別是：平台客戶總監、國際薪資專員、歐洲媒體關係負責人和銷售工程師。

OpenAI 在都柏林招募了哪些人，招募了多少人，這些都將關係到它能否獲得GDPR 規定的主要機構地位，因為這不僅僅是提交一些法律文件和打勾就能獲得的。該公司需要讓集團的隱私監管機構相信，它所指定的對歐洲人的資料負有法律責任的成員國實體實際上能夠影響有關資料的決策。

這意味著要有合適的專業知識和法律結構來施加影響，並對美國母公司進行有意義的隱私檢查。換句話說，在都柏林設立一個前沿辦公室，僅簽署舊金山的產品決策是不夠的。

如果OpenAI 在愛爾蘭獲得了GDPR 的主要地位，並由愛爾蘭DPC 主導監督，那麼它將加入蘋果、Google、Meta、TikTok 和X 等跨國公司的行列。

同時，DPC 在對本地科技巨頭進行GDPR 監管的速度和節奏上仍招致大量批評。雖然近年來愛爾蘭對大科技公司的處罰已經成為頭條新聞，但批評者指出，監管機構經常主張比同行低得多的處罰。其他批評還包括，DPC 的調查步伐緩慢和/或軌跡不尋常。或根本不對投訴進行調查，或以迴避關鍵問題的方式重構投訴。

義大利和波蘭等國的監管機構目前對ChatGPT 進行的任何GDPR 調查，可能仍會對OpenAI 的生成式AI 聊天機器人的地區監管產生影響，因為這些調查很可能已經結束，因為它們涉及的資料處理時間早於這家AI 巨頭未來可能獲得的主要機構地位。但目前還不太清楚它們會產生多大的影響。

而目前的OpenAI 隱私權政策在其所聲稱的法律依據的這一要素上，則包含了一句乾巴巴得多的話：”我們在保護我們的服務免遭濫用、欺詐或安全風險，或在開發、改進或推廣我們的服務（包括在我們訓練我們的模型時）方面的合法權益”。

這表明，除了自身（商業）利益之外，OpenAI 可能還打算透過為其活動提出某種公共利益論據，來向相關的歐洲隱私監管機構為其大量、持續地收集網路使用者的個人資料以獲取人工智能生成利潤的行為辯護。然而，GDPR 對處理個人資料的有效法律依據有嚴格限制（六條）；資料控制者不能隨意從清單中”挑揀”，編造自己的理由。

值得注意的是，GDPR 監督機構去年在歐洲資料保護委員會（European Data Protection Board）內部成立了一個特別工作小組，試圖就如何解決資料保護法與以大數據為驅動力的人工智慧之間棘手的交叉問題找到共同點。儘管這一過程中能否達成共識還有待觀察。考慮到OpenAI 將在都柏林建立一個法律實體，作為歐洲用戶資料的控制者，愛爾蘭很可能會在生成式人工智慧和隱私權方面獲得決定性的發言權。

如果DPC成為OpenAI的主要監管者，它將有能力放慢對快速發展的技術實施GDPR的步伐。

去年四月，在義大利對ChatGPT 介入後，DPC 的現任專員海倫-迪克森（Helen Dixon）就曾警告過隱私監管機構不要因為資料問題而急於禁止這項技術–她說監管機構應該花點時間時間來弄清楚如何對人工智慧執行集團的資料保護法。

註：OpenAI 將英國用戶的法律依據轉至愛爾蘭，但不包括英國用戶，該公司明確表示英國用戶屬於其位於美國德爾惠爾（Delware）的公司實體的管轄範圍。(自英國脫歐以來，歐盟的GDPR 不再適用於英國–雖然英國在國內法中保留了自己的英國GDPR，但這項資料保護法規在歷史上仍以歐洲框架為基礎。