一、案件背景
随着生成式人工智能技术的发展,AI 聊天机器人在全球范围内迅速普及。Replika 是其中较为知名的一款产品,由美国初创公司 Luka Inc. 开发,旨在提供“虚拟朋友”服务,允许用户与 AI 进行个性化、情感化的对话。然而,这类产品在为用户带来心理陪伴的同时,也引发了严重的数据隐私和合规性问题,特别是在涉及未成年人时。
该调查针对 Luka 旗下人工智能聊天应用 Replika 的数据处理行为,最终认定其存在严重违反《通用数据保护条例》(GDPR)的行为,并处以 500 万欧元罚款。此案不仅在法律和技术层面具有典型意义,也反映了监管机构对生成式 AI 平台隐私风险的高度关注。
二、案涉公司简介:Luka Inc. 与 Replika 聊天机器人
Luka Inc. 是一家成立于美国加利福尼亚州的科技公司,专注于开发基于自然语言处理与机器学习技术的情感型人工智能(Emotional AI)。该公司于 2017 年发布 Replika 聊天机器人,初衷为帮助用户建立情感支持关系,通过个性化 AI 聊天伙伴进行日常互动,支持语音与文字交流。
Replika 允许用户创建拟人化 AI 角色,并通过持续互动形成"数字伴侣"关系。其用户群体覆盖全球数百万用户,尤其在欧美和亚洲部分国家获得广泛传播。然而,由于缺乏有效的年龄限制机制与不透明的数据处理机制,Replika 被多国监管机构质疑其合规性。
三、调查缘由与法律背景
意大利数据保护局于 2023 年 2 月发布临时紧急命令,禁止 Replika 处理意大利用户数据,原因包括:
- Replika 无法确认用户年龄,可能导致未成年人接触潜在不当内容;
- 公司未提供足够的隐私信息说明用户数据的处理方式;
- 存在使用用户数据训练 AI 模型的隐性数据再利用问题。
本次正式裁决的法律依据主要为 GDPR 中以下条款:
- 第 6 条:数据处理的合法性基础;
- 第 8 条:儿童数据的特殊保护;
- 第 13-14 条:信息公开义务与用户知情权;
- 第 5 条:数据最小化与目的限制原则。
四、违规行为分析
- 年龄验证缺失与儿童保护义务违反
Replika 在注册机制中未建立强有力的年龄验证机制,允许13岁以下用户使用服务,违反了 GDPR 第8条对儿童隐私的特别保护义务。该问题尤其严重,因为该平台生成的部分内容含有亲密、甚至性暗示性质,可能对心理尚未成熟的未成年人构成伤害。
- 数据处理缺乏合法依据
Luka Inc. 未能就用户数据(包括聊天记录、情绪标签、性格设定等)提供明确的处理基础,其“同意”条款未满足 GDPR 所要求的明示、自愿、具体和可撤回标准。
- 信息透明度严重不足
用户在使用 Replika 时无法有效了解其个人数据被如何使用、保存及用于 AI 模型训练的范围,违反了 GDPR 第13-14条的规定。此外,公司未说明其是否将数据共享给第三方或跨境转移的具体情况。
- 风险评估和保护措施缺位
Replika 没有证明其在引入情感型对话系统前进行过数据保护影响评估(DPIA),亦未提供足够证据显示其系统具备防范滥用内容生成的技术保障。
五、监管裁决与后果
意大利数据保护局最终裁定:
- Luka Inc. 违反 GDPR 多项核心条款,构成结构性违法行为;
- 罚款金额为 500 万欧元,为 GDPR 所允许的上限级别之一;
- 要求其在意大利境内立即终止一切数据处理行为,除非采取全面整改措施;
- 必须建立强制的年龄验证系统、修订隐私政策并保障用户控制其数据的能力;
该案件同时被纳入欧洲数据保护委员会(EDPB)的协同机制,其他成员国可参考意大利局裁决开展类似审查。
意大利数据保护局官网原文链接:https://www.gpdp.it/home/docweb/-/docweb-display/docweb/10132048#english
