Włoski urząd ochrony danych (DPA) powiedział, że jest zaniepokojony tym, że producent ChatGPT narusza ogólne rozporządzenie o ochronie danych, RODO i rozpoczyna dochodzenie.

Konkretnie, Garante powiedział, że wydał nakaz zablokowania ChatGPT w związku z obawami, że OpenAI bezprawnie przetwarzał dane ludzi, jak również w związku z brakiem jakiegokolwiek systemu zapobiegającego dostępowi nieletnich do technologii.

Firma z siedzibą w San Francisco ma 20 dni na odpowiedź na nakaz, poparty groźbą kar, jeśli nie zastosuje się do niego. (Przypomnienie: Grzywny za naruszenie unijnego systemu ochrony danych mogą sięgać 4% rocznego obrotu lub 20 milionów euro, w zależności od tego, która kwota jest większa).

Warto zauważyć, że ponieważ OpenAI nie ma podmiotu prawnego w UE, każdy organ ochrony danych jest uprawniony do interwencji, zgodnie z GDPR, jeśli widzi ryzyko dla lokalnych użytkowników. Tak więc tam, gdzie wkroczyły Włochy, inni mogą również działać.

Zestaw zagadnień związanych z GDPR

GDPR ma zastosowanie wszędzie tam, gdzie przetwarzane są dane osobowe użytkowników z UE. Nie ulega wątpliwości, że duży model językowy OpenAI przetwarza tego typu informacje, skoro potrafi na przykład stworzyć biografie osób z danego regionu na żądanie. Chociaż OpenAI odmówiło podania szczegółów dotyczących danych treningowych użytych w najnowszej wersji technologii, GPT-4, ujawniło, że wcześniejsze modele były trenowane na danych pozyskanych z Internetu, w tym z forów takich jak Reddit.

Co więcej, wykazano, że ChatGPT produkuje całkowicie fałszywe informacje o nazwanych osobach, najwyraźniej uzupełniając szczegóły, których brakuje w danych szkoleniowych. To potencjalnie budzi dalsze obawy GDPR, ponieważ rozporządzenie zapewnia Europejczykom zestaw praw dotyczących ich danych, w tym prawo do poprawiania błędów. Nie jest jasne, jak ludzie mogą prosić OpenAI o poprawienie błędnych wypowiedzi na ich temat wygenerowanych przez bota.

Oświadczenie Garante podkreśla również naruszenie danych, którego serwis doświadczył na początku tego miesiąca, kiedy OpenAI przyznał, że funkcja historii konwersacji wyciekła z czatów użytkowników i powiedział, że mogła ujawnić informacje o płatnościach niektórych użytkowników.

Naruszenia danych to kolejny obszar, który GDPR reguluje, skupiając się na zapewnieniu, że podmioty przetwarzające dane osobowe odpowiednio chronią te informacje. Ogólnoeuropejskie prawo wymaga również od firm powiadamiania odpowiednich organów nadzorczych o znaczących naruszeniach w ściśle określonych terminach.

Nad tym wszystkim unosi się pytanie, na jakiej podstawie prawnej OpenAI w ogóle przetwarza dane Europejczyków. Innymi słowy, legalność tego przetwarzania.

GDPR dopuszcza szereg możliwości - od zgody po interes publiczny - ale skala przetwarzania w celu trenowania tych wielkich modeli językowych komplikuje kwestię legalności. Jak zauważa Garante (wskazując na "masowe gromadzenie i przechowywanie danych osobowych"), minimalizacja danych to kolejna istotna zasada regulowana w rozporządzeniu, które zawiera również zasady wymagające przejrzystości i uczciwości. Jednak, co najmniej, (teraz) for-profit firma za ChatGPT nie wydaje się informować ludzi, których dane zostały ponownie wykorzystane do szkolenia swoich komercyjnych AI. To może być dla niej dość trudny problem.

Jeśli OpenAI przetwarzał dane Europejczyków niezgodnie z prawem, organy ochrony danych mogą nakazać usunięcie danych, choć to, czy zmusi to firmę do ponownego przeszkolenia modeli wyszkolonych na danych uzyskanych niezgodnie z prawem, jest kwestią otwartą, ponieważ istniejące prawo zmaga się z najnowszą technologią.

Z drugiej strony, Włochy mogły właśnie zakazać wszelkiego uczenia maszynowego.

"[T]warant prywatności zauważa brak informacji dla użytkowników i wszystkich zainteresowanych stron, których dane są zbierane przez OpenAI, ale przede wszystkim brak podstawy prawnej, która uzasadnia masowe zbieranie i przechowywanie danych osobowych, w celu 'szkolenia' algorytmów leżących u podstaw działania platformy" - napisała DPA w swoim dzisiejszym oświadczeniu [które przetłumaczyliśmy z włoskiego za pomocą AI].

"Jak wynika z przeprowadzonych kontroli, informacje przekazane przez ChatGPT nie zawsze odpowiadają rzeczywistym danym, co przesądza o niedokładnym przetwarzaniu danych osobowych" - dodano.

Organ dodał, że jest zaniepokojony ryzykiem przetwarzania danych osób niepełnoletnich przez OpenAI, ponieważ firma nie zapobiega aktywnie rejestracji osób poniżej 13 roku życia do korzystania z chatbota, np. poprzez zastosowanie technologii weryfikacji wieku.

Zagrożenia dla danych dzieci to obszar, w którym regulator był bardzo aktywny, ostatnio nakazując podobny zakaz dla wirtualnego chatbota AI przyjaźni, Replika, w związku z obawami o bezpieczeństwo dzieci. – treść decyzji publikujemy tutaj

W ostatnich latach ścigał również TikTok za korzystanie z usług przez osoby niepełnoletnie, zmuszając firmę do oczyszczenia ponad pół miliona kont, których nie mogła potwierdzić, że nie należą do dzieci.

Jeśli więc OpenAI nie jest w stanie ostatecznie potwierdzić wieku użytkowników, których zarejestrowało we Włoszech, może zostać zmuszone przynajmniej do usunięcia ich kont i rozpoczęcia od nowa z bardziej solidnym procesem rejestracji.

Źródło: techcrunch.com - link

Jeżeli chcesz być informowany na bieżąco o naszych publikacjach dołącz do nas i polub nas na Facebooku https://www.facebook.com/odoserwis.pl.2016/

-----------------------------------------------------

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl