Канадский уполномоченный по конфиденциальности Филипп Дюфрен признал OpenAI нарушителем закона PIPEDA — расследование длилось три года и завершилось 6 мая 2026 года

Жалоба признана «обоснованной и условно разрешённой»: штрафов не будет, поскольку OpenAI пошла на сотрудничество, но обязательства зафиксированы официально

В деле участвовали четыре регулятора: федеральный плюс Квебек, Альберта и Британская Колумбия — у трёх провинций законы строже, и по их версии OpenAI всё ещё в нарушении

Внимание к делу резко выросло после массовой стрельбы в Тамблер-Ридже в феврале 2026 года: ChatGPT отметил аккаунт предполагаемого стрелка ещё в 2025-м, но информацию полиции не передал

OpenAI обязалась за полгода доработать уведомления для незалогиненных пользователей, инструменты экспорта данных и защиту имён несовершеннолетних родственников публичных фигур

Филипп Дюфрен, уполномоченный по конфиденциальности Канады, 6 мая 2026 года официально объявил, что компания OpenAI «не соблюдала» федеральные и провинциальные законы страны о защите данных при обучении своих моделей ИИ. Совместно с коллегами из Альберты, Квебека и Британской Колумбии Дюфрен установил, что подход OpenAI к сбору данных и получению согласия нарушал сразу четыре закона: PIPEDA (Personal Information Protection and Electronic Documents Act), регулирующий сбор персональных данных в коммерческой деятельности на федеральном уровне, плюс провинциальные эквиваленты — PIPA-BC, PIPA-AB и Закон о защите личной информации в частном секторе Квебека.

Расследование было открыто весной 2023 года, через несколько месяцев после публичного запуска ChatGPT, и продолжалось ровно три года. На уровне формулировок исход аккуратный: жалоба признана «обоснованной и условно разрешённой». На практике это означает, что регуляторы не стали выписывать штрафы — OpenAI шла навстречу, и вместо санкций получили список обязательств с дедлайнами. Но сам факт нарушения зафиксирован в публичном отчёте, и теперь это ориентир для всех будущих расследований по AI-компаниям.

Iryna Tolmachova/ShutterstockIryna Tolmachova/Shutterstock

Что именно нашли регуляторы

Регуляторы выявили целый комплекс проблем с конфиденциальностью в подходе OpenAI. Главные:

  • Чрезмерно широкий сбор данных. Компания собирала «огромные объёмы личной информации» без должных защитных мер, включая чувствительные категории, через скрейпинг открытого интернета — то, что использовалось для обучения GPT-3.5 и GPT-4.
  • Отсутствие согласия. Хотя ChatGPT и предупреждает, что разговоры с ботом могут пойти на обучение модели, сторонние данные — купленные у брокеров, скрейпленные из открытых источников или полученные по лицензии — содержат персональную информацию людей, которые о существовании такого согласия даже не догадывались.
  • Нет доступа, коррекции и удаления. Пользователи ChatGPT не могли получить доступ к собственным данным внутри тренировочных корпусов, исправить ошибки или потребовать удаления.
  • Фактические неточности. ChatGPT уверенно выдавал ложные факты о реальных людях, и у компании не было адекватной процедуры для оспаривания таких ошибок.
  • Запуск без проверки. Дюфрен прямо процитировал внутренние заявления OpenAI: «мы чувствовали, что должны двигаться, мы знали, что есть другие — и запустились, проведя ограниченное тестирование». По выражению комиссара, «OpenAI запустила ChatGPT, не разобравшись с известными проблемами конфиденциальности» и тем самым «подвергла канадцев потенциальным рискам утечек и дискриминации».

Что OpenAI обязалась изменить

OpenAI, по характеристике канадского регулятора, «была открыта и шла навстречу» в течение всего расследования и уже частично выполнила требования. Среди уже сделанного — снятие с поддержки тех ранних моделей, которые обучались без новых защитных мер, и внедрение фильтрационного инструмента, который маскирует имена и телефоны в публичных интернет-данных и лицензированных датасетах ещё до тренировки. Помимо этого, компания согласилась на политику хранения персональных данных и, по словам Дюфрена, «значительно ограничила» информацию, используемую при обучении новых моделей.

Список оставшихся обязательств — с конкретными сроками:

  • В течение 3 месяцев. Добавить новое уведомление в версию ChatGPT для незалогиненных пользователей, поясняющее, что разговоры могут использоваться для обучения и не стоит делиться чувствительной информацией.
  • В течение 6 месяцев. Сделать инструменты экспорта данных более понятными и удобными, лучше объяснить, как оспорить точность ответов ChatGPT.
  • В течение 6 месяцев. Подтвердить регуляторам, что для устаревающих датасетов внедрена надёжная защита, исключающая их повторное использование в активной разработке.
  • В течение 6 месяцев. Протестировать защитные меры для несовершеннолетних родственников публичных фигур: модели должны отказывать в выдаче имени или даты рождения таких людей.

Разные провинции — разные приговоры

Тонкий, но важный нюанс: формулировка «условно разрешено» — это позиция федерального регулятора. У трёх провинциальных коллег картина другая, и более жёсткая. PIPA в Альберте и Британской Колумбии не допускает того понятия «подразумеваемого согласия» (implied consent), на которое опирается федеральный PIPEDA при гибкой трактовке. Поэтому, по их выводам, OpenAI всё ещё нарушает законы этих провинций — модели обучены на скрейпленных данных, согласия на которые компания не получила и физически уже не сможет получить. Альбертский и BC-комиссары будут отдельно мониторить выполнение обязательств.

Квебекская комиссия CAI пошла ещё дальше: признала OpenAI «в значительной мере несоответствующей» местному закону и оставила за собой право начать новое расследование, если компания не выполнит рекомендации в полном объёме. То есть с географической точки зрения у OpenAI всё ещё есть открытые тыкания со стороны трёх юрисдикций — даже после того, как федеральная страница вроде бы перевернута.

Тамблер-Ридж: почему дело резко стало громким

Хотя расследование тянулось с 2023 года, реальное общественное внимание оно привлекло только в 2026-м — после массовой стрельбы в Тамблер-Ридже, небольшом городке в Британской Колумбии, в феврале. По данным канадских СМИ, аккаунт предполагаемого стрелка ещё в 2025 году был помечен внутренними системами OpenAI как содержащий «предупреждения о реальном насилии». Однако компания не передала эти сигналы канадским правоохранительным органам — у OpenAI не было процедуры коммуникации с местной полицией такого рода случаев.

После стрельбы регуляторы потребовали от компании пересмотреть протоколы безопасности. В итоге OpenAI согласилась в будущем активнее сотрудничать с канадскими правоохранительными и медицинскими органами в случаях, когда система обнаруживает угрозу реального насилия. Это, по сути, открыло отдельную главу обязательств — параллельно с приватностью.

PIPEDA — закон не для эпохи ИИ

Главный политический вывод из отчёта — даже не про OpenAI. Все четыре комиссара в пресс-конференциях сошлись в одном: PIPEDA устарел. Закон писался в эпоху, когда «персональные данные» означали имя, адрес и кредитку, а не миллиарды постов с форумов, скрейпленные ради обучения нейросети. Британско-колумбийский комиссар Майкл Харви прямо отправил письмо министру по гражданским услугам с призывом модернизировать федеральное законодательство. Дюфрен на пресс-конференции напомнил: «законы писались для другой эпохи и натянуты до предела. Должны меняться и компании, и сам закон».

Министр AI Канады Эван Соломон обещал внести законодательство о модернизации PIPEDA «в этом году», но критики из индустрии и научных кругов отмечают, что темп слишком медленный для скорости развития ИИ. На запрос Globalnews пресс-служба министра не назвала точных сроков. На фоне этого отчёт по OpenAI выглядит как маркер: канадская система регулирования может ловить нарушения у крупных AI-компаний — но без обновлённых законов и реальных штрафных полномочий каждый такой кейс рискует превратиться в трёхлетние переговоры с условным финалом, который мало кого останавливает на старте.