ChatGPT GDPR罚款被撤销：欧盟AI监管从“重罚”转向“干预式治理”

事件概述

2026年3月18日，罗马法院撤销了意大利数据保护局（Garante）于2024年11月发布的第755号决定。该决定曾认定OpenAI的ChatGPT服务存在多项违反《通用数据保护条例》（GDPR）的行为，并处以1500万欧元罚款及责令开展公众宣传活动。此前，该决定已于2025年3月被同一法院暂停执行。此次裁决直接推翻了原决定的实质内容。

核心事实与背景

• 双重撤销信号：在罗马法院做出裁决前一周，卢森堡行政法院也撤销了对亚马逊的7.46亿欧元GDPR罚款。虽然法院认可亚马逊违规事实，但认为监管机构在实施处罚前未充分评估过错程度和处罚比例。短短一周内，欧洲两起最具影响力的GDPR罚款案均被推翻。
• 监管调查停滞：自2023年春季起，西班牙、波兰、法国、德国等多国数据保护机构对ChatGPT展开调查，欧洲数据保护委员会（EDPB）亦成立专门工作组。然而，除意大利外，其他机构至今未发布针对ChatGPT上线期间（2022年11月至2023年3月）违规行为的最终执法决定。
• 管辖权转移：OpenAI于2024年2月成立爱尔兰子公司，触发GDPR“一站式处理机制”。根据EDPB特别工作组的报告，涉及持续或连续性质的违规行为应移交至牵头机构（即爱尔兰数据保护委员会），这在程序上可能冻结了多国层面的独立调查。

监管逻辑的转变

1. 从“高额罚款”到“比例原则”

意大利数据保护局最初拟定的1500万欧元罚款金额，与Clearview AI因生物识别监控被罚的2000万欧元相当。法院撤销判决的具体理由尚未完全公开，但焦点可能在于处罚是否遵循了“比例原则”，即处罚力度是否与违规性质相匹配。

2. “干预式监管”的实际成效

尽管缺乏最终制裁，监管机构的干预措施已产生实质性影响：

• OpenAI的整改：2023年意大利实施的临时禁令迫使OpenAI迅速引入隐私声明、训练数据退出机制及未成年人年龄验证系统。
• Meta的案例：爱尔兰数据保护委员会（DPC）通过密集沟通，促使Meta暂停利用欧盟用户公开内容训练大模型近一年。Meta随后大幅修改方案，增加了透明度通知、异议机制及技术保障措施（如数据去标识化）。
• X公司的先例：2024年8月，DPC向爱尔兰高等法院申请紧急禁令，阻止X公司使用欧盟用户帖子训练xAI的Grok模型。X公司同意永久停止数据处理，成为主要监管机构首次在AI领域行使此类权力的案例。

值得关注的影响

• 执法记录匮乏：目前欧洲针对AI领域的正式执法记录几乎为零，仅有一个被撤销的决定。监管重心似乎已从确立法律先例转向制定指导文件（如关于网络爬虫和公开数据训练的指南）。
• 隐性转向：欧洲数据保护体系正从2023-2024年的监管热潮转向“谨慎观察”。这种转变可能源于程序限制、将传统规则应用于新型AI系统的复杂性，或是为了平衡创新保护。
• 未来不确定性：意大利数据保护局仍有可能提起上诉，案件尚未彻底终结。同时，爱尔兰数据保护委员会作为新的牵头机构，其后续行动将成为观察欧盟AI治理走向的关键窗口。