OpenAI違反GDPR，被義大利政府判罰1,500萬歐元

義大利資料保護主管機關日前以非法蒐集用戶個資、未立即通報資料外洩，以及沒確實驗證用戶年齡為由，對OpenAI判罰1,500萬歐元。

2023年3月OpenAI的ChatGPT傳出存在漏洞，使用戶和ChatGPT的對話內容標題及支付資訊可被他人存取，促使又被稱為Garante的義大利資料防護管理署（Italian Data Protection Authority）啟動調查，調查於日前完成後，Garante對OpenAI做出判罰及矯正措施。

義大利主管機關指出，OpenAI非法蒐集用戶個資來訓練ChatGPT，違反了透明原則及相關的資訊義務，而且去年3月發生資料外洩時，也沒有第一時間通知義大利政府。再者，調查顯示，OpenAI並未提供驗證用戶年齡的機制，致使13歲以下兒童可能接觸不適當的回應內容。

考量OpenAI自去年義國政府調查以來的合作態度，最終Garante只判罰OpenAI 1,500萬歐元。

義國政府也要求OpenAI執行6個月涵括廣播、電視、報紙和網際網路的媒體宣導活動。宣導內容需經過主管機關同意，主要在告知義國民眾ChatGPT的功能，包括如何蒐集用戶和非使用者資訊來訓練生成式AI、資料主體（data subject）的權利，包括拒絕、以及修正和刪除資料的權利。這宣導的用意是在讓用戶知道如何拒絕生成式AI，進而發揮GDPR保障的權益。

OpenAI對此判罰表達不滿。OpenAI指出，Grante 2023年要求該公司暫停提供ChatGPT，在其配合下，一個月後又准許上線。OpenAI認為，義國政府已經了解到該公司AI隱私技術的領先性，卻還判處OpenAI事件期間在義國營收的將近20倍罰金。

OpenAI認為判決並不適當，將尋求申訴。然而該公司表示仍然會和各國隱私主管機關密切合作。