事件经过
意大利数据保护机构(Garante per la protezione dei dati personali)对美国公司Character Technologies Inc.(生成式AI伴侣平台Character.AI的所有者)处以€158,000罚款,原因是存在多项GDPR违规行为。Garante发现该公司向用户提供的个人数据处理信息不充分,对未成年人的年龄验证保护措施不足(包括未能在"冷静期"内防止被封禁的未成年人重复注册),数据保护影响评估(DPIA)完成延迟,以及延迟任命EU代表。该命令要求Character Technologies修复年龄验证系统,加强对被封禁未成年人的反重复注册机制,并将未成年人用户资料默认设置为私密,规定了合规期限(据报道为120天内)。
影响分析
这是一项针对生成式AI伴侣/聊天机器人服务儿童安全和数据处理实践的具体GDPR执法行动,延续了Garante作为欧洲最活跃AI监管机构之一的记录(该机构曾在2023年禁止ChatGPT)。这表明EU数据保护机构正在积极对AI伴侣应用执行年龄验证和DPIA义务,这是一个不同于EU AI法案本身的日益增长的执法向量,对任何拥有EU用户的生成式AI服务,尤其是那些未成年人可访问的服务,都有直接影响。
建议行动
在EU运营的AI伴侣/聊天机器人提供商应审计年龄验证的有效性,确保在处理涉及未成年人的数据之前完成DPIA,在GDPR第27条要求的情况下任命EU代表,并将未成年人用户资料的默认设置为私密。Character Technologies必须在规定的合规期限内实施Garante命令的修复措施。