夜雨聆风
引言
2026年3月,据路透社报道,意大利数据保护机构(Garante)于2024年11月对OpenAI作出的1500万欧元罚款已在司法程序中被撤销。这一反转使该案从单一合规争议,转向对数据保护执法程序的关注焦点。
相关调查始于2023年3月。随着ChatGPT在欧洲的快速普及,监管机构开始审查其数据处理方式,并在调查阶段采取临时限制措施,随后在企业整改后恢复服务。在意大利数据保护执法日益活跃的背景下,该案凸显出一个关键问题:在欧盟《通用数据保护条例》(GDPR)统一框架下,成员国虽享有广泛执法权,但其行使仍受程序规则的严格约束。基于此,本文以OpenAI案件为切入点,分析欧盟框架下意大利数据保护执法的程序结构与运行逻辑,并总结企业的应对要点。
意大利数据保护执法框架
在GDPR框架下,数据保护执法属于欧盟统一制度安排。根据其第57条,各成员国应设立数据保护监管机构,负责监督法规适用、处理投诉并开展调查。第58条进一步赋予其调查权与纠正权,包括获取数据、开展审计以及直接处以行政罚款。由此,欧盟层面确立了“调查—处理—处罚”一体化的执法结构。
在此统一框架之下,各成员国通过本国立法对执法程序作出具体化安排。以意大利为例,其通过《个人数据保护法典》(Codice in materia di protezione dei dati personali)第166条对相关执法权进行程序化落实:一方面,明确Garante有权适用GDPR第58条第2款规定的纠正措施及第83条的罚款规则;另一方面,规定执法程序可以基于投诉或依职权启动,并通过违法指控通知机制保障当事人的程序性权利,同时赋予企业30日的抗辩期限。
在此基础上,意大利在承接GDPR统一执法框架的同时,也通过程序规则对执法权的具体行使进行细化与约束。
意大利数据保护执法流程
(一)程序启动与调查
在程序启动方面,意大利采取“双轨模式”。根据意大利《个人数据保护法典》第166条第4款,相关程序既可以基于数据主体投诉启动,也可以由监管机构依职权发起。这意味着企业的合规风险不仅来源于个体投诉,还可能源于监管主动执法或外部信息触发。在OpenAI案件中,相关调查是监管机构基于媒体报道并结合核查结果依职权启动。
进入调查阶段后,Garante享有广泛的调查权,其依据主要来源于GDPR第58条第1款,并通过《个人数据保护法典》第157条在国内法中具体化。监管机构不仅可以要求控制者、处理者及第三方提供信息和文件,还可以直接获取涉及数据处理活动的实质性资料,从而对企业的数据处理行为进行穿透式核查。
在调查阶段,如存在紧急干预必要,监管机构可以在调查尚未完成前依据GDPR第58条第2款采取临时措施。在OpenAI案件中,Garante即在初步认定存在违法风险的基础上实施临时限制,并将其作为调查阶段的过渡性安排,体现出其“先控制风险、后完成审查”的执法逻辑。
随后,OpenAI未采取对抗立场,而是与监管机构沟通并推进整改,包括完善信息披露、调整数据处理依据及引入年龄验证机制。经评估,监管机构认为相关措施能够缓解既有风险,遂附条件暂停临时限制,并继续推进后续调查。这表明,企业在调查阶段的配合与整改情况,可能直接影响临时措施的适用及后续处罚裁量。
(二)违法指控通知与陈述听证:处罚程序的核心阶段
在意大利数据保护执法体系中,处罚并非直接作出,而是以“违法指控通知—陈述与听证”为核心程序环节。
从法律依据上看,该机制并非仅源于GDPR第58条的抽象授权,而是明确规定于《个人数据保护法典》第166条。根据该条规定,在完成调查并初步认定存在违法行为后,监管机构应当向数据控制者或处理者通知涉嫌违法行为;自收到通知之日起30日内,当事人有权提交书面意见或申请听证,从而进入实质性抗辩程序。
但如果存在事先通知与拟采取措施的“性质和目的不相适应”的情况,即可能削弱监管措施效果时,可以例外不予通知。需要区分的是,该通知义务主要针对处罚程序的启动,并不适用于调查阶段的紧急临时措施。实践中,在存在即时干预必要的情况下,监管机构可以先行采取限制措施。在OpenAI案件中,监管机构基于未成年人保护缺失及数据处理合法性问题,在调查阶段即以紧急措施形式限制数据处理,而未进入需履行通知程序的处罚阶段。
需要注意的是,该例外适用条件严格。仅在违法行为已经造成并持续造成现实、具体且具有重大性的损害,且监管机构在决定中逐项说明理由的情况下,方可免除事先通知义务。否则,相关处罚决定可能被法院认定无效。
(三)处罚决定
在完成陈述与听证程序后,Garante可以直接作出行政处罚决定,包括罚款及相关整改要求。从本案来看,Garante于2024年11月作出处罚决定,对OpenAI认定存在多项违法行为并处以罚款,同时结合其前期整改情况进行裁量。该处罚决定经送达后即对当事人产生法律约束力,除非当事人提起诉讼并获得中止执行,否则原则上应予履行。
在罚款裁量方面,意大利监管机构虽享有一定自由裁量权,但通常参照欧洲数据保护委员会(EDPB)关于罚款计算的指引,以确保符合比例性、一致性原则。同时,处罚决定公开本身也具有独立的制裁效果,可能对企业声誉及市场行为产生持续影响。因此在法院撤销处罚决定后,Garante随后在其官网上也隐藏了相应的处罚决定。
(四)司法救济
在司法救济路径上,意大利并未设置行政复议程序。当事人如不服Garante的决定,可直接向普通法院提起诉讼。根据意大利第150号立法法令(2011年)(Decreto legislativo n. 150/2011)第10条,该类案件适用类似劳动争议的简化程序,由普通法院审理,具有程序集中、审理周期较短的特点。
在管辖方面,当事人原则上可以选择向数据控制者所在地法院或数据主体所在地法院提起诉讼。需要指出的是,在本案中,由于数据主体分布于全国范围,基于数据主体所在地的连接点在理论上普遍成立,从而导致多个法院均可能具有管辖权。在此情况下,为确保程序运行的可行性与统一性,相关争议在实践中呈现出向特定法院集中的趋势,并最终由罗马法院受理。在期限方面,诉讼应当在处罚决定送达后30日内提起(境外主体为60日),逾期将导致起诉不被受理。法院在必要情况下可以裁定中止处罚决定的执行。值得注意的是,程序合法性本身即可构成独立的抗辩理由进而导致处罚决定被撤销。此外,法院就数据保护争议作出的判决属于终局判决,不得提起上诉。但当事人仍可就法律适用问题向意大利最高法院提起上诉。
最后,在调查过程中,OpenAI在爱尔兰设立了其欧盟总部。由此,根据GDPR下的“一站式机制”(one-stop-shop),爱尔兰数据保护委员会(DPC)成为其针对后续数据处理活动的主导监管机构。需要指出的是,该变化并不影响意大利数据保护机构(Garante)就本案所涉违法行为行使管辖权,因为相关违规行为发生于欧盟实体设立之前。尽管如此,Garante仍可能就后续或持续性合规问题与DPC进行协作或移交相关材料。
企业应对要点
结合意大利数据保护执法实践,企业在应对监管程序时,应围绕不同阶段采取有针对性的策略,而不宜仅依赖单一程序性抗辩。
(一)调查阶段:快速自查与实质整改优先
在调查阶段,企业应将应对重点放在风险识别与实质整改上,而非单纯进行程序性抗辩。具体而言,应重点评估以下方面:是否已触发GDPR适用(如是否形成面向欧盟用户的业务连接);相关数据是否涉及行为监测或模型训练;数据处理是否形成持续性分析与利用机制;以及合规措施是否已落实至产品层面(如年龄验证、访问限制及历史数据补救)。
需要指出的是,GDPR虽未对具体技术路径作出明确规定,但实践表明,在生成式人工智能场景下,合规已不再局限于文件层面的声明,而是需要通过技术手段嵌入产品架构之中。
从OpenAI案件来看,企业在调查阶段的积极配合与整改,可能直接影响临时措施的适用及强度,并在后续处罚裁量中作为重要考量因素。
(二)指控通知阶段:程序权利与实体抗辩并行
在收到违法指控通知后,企业进入实质性抗辩阶段。该阶段不仅用于明确争议范围与法律依据,同时也是影响后续处罚的重要窗口。
企业应采取“主张程序权利+ 实体整改”的两手应对:一方面,应在法定期限(30天)内提交书面意见并主动申请听证,充分行使陈述与申辩权;另一方面,对于存在风险的事项,应同步披露整改措施及其落实情况,从而在责任认定中获得更为有利的评价。实践表明,企业在该阶段的应对方式,将直接影响违法认定范围及处罚幅度;相关配合与整改行为,即使进入司法程序,亦可能作为减轻责任的重要依据。
(三)处罚及司法阶段:程序审查与实体评估并重
在处罚决定作出后,企业应从程序与实体两个维度进行综合评估。
一方面,应重点审查执法过程是否存在程序性瑕疵,如未履行通知义务、超出法定期限或听证程序存在缺陷等。根据意大利行政程序法及数据保护相关规定,程序性保障构成处罚决定合法性的基础,如存在重大瑕疵,可能影响处罚决定的合法性,甚至导致其被撤销。另一方面,应评估实体违法认定的合理性及既有整改情况,以判断是否具备提起诉讼的必要性。在具备程序性瑕疵或裁量明显不当的情况下,企业应及时提起诉讼并申请中止执行;即使实体争议较大,前期的配合与整改亦可能在司法阶段影响责任认定与裁判结果。
结语
OpenAI罚款被撤销,并不意味着监管放松,而是表明:在GDPR框架下,数据保护执法不仅取决于实体合规,更取决于程序是否经得起司法审查。对企业而言,真正的风险并非“是否被监管”,而在于一旦进入执法程序,能否在每一个节点作出有效应对。本案表明,调查阶段的整改、指控阶段的抗辩以及司法阶段的策略选择,均可能对最终结果产生实质影响。因此,合规不应仅停留于制度层面,还应覆盖执法程序的识别与应对。对于涉及模型训练、数据利用或已面临问询与调查的企业,建议结合具体业务情况进行针对性评估,必要时可咨询相关专业机构,以提前识别风险并制定应对策略。
王彩琴
■ 北京市盈科(深圳)律师事务所 高级合伙人
■执业领域:数据合规、出海合规、通信及互联网综合法律服务
杨坤
■ 北京市盈科(深圳)律师事务所 专职律师
■ 执业领域:涉外法律服务、数据合规、跨境投融资、境外投资并购、国际商事合同和争议解决
