Polska wszczyna dochodzenie w sprawie ochrony danych w ChatGPT w związku ze skargą dotyczącą RODO

OpenAI czeka dalsze dochodzenie w celu sprawdzenia, czy chatbot ChatGPT generujący sztuczną inteligencję jest zgodny z przepisami Unii Europejskiej dotyczącymi ochrony danych.

W zeszłym miesiącu złożono skargę na ChatGPT i OpenAI w Polsce, zarzucając firmie szereg naruszeń unijnego ogólnego rozporządzenia o ochronie danych (RODO). Wczoraj polskie władze zdecydowały się na nietypowy krok… publiczne ogłoszenie aby potwierdzić, że dochodzenie zostało wszczęte.

„Urząd Ochrony Danych Osobowych [UODO] rozpatruje skargę dotyczącą ChatGPT, w której składający skargę zarzuca twórcy narzędzia, firmie OpenAI, m.in. przetwarzanie danych w sposób niezgodny z prawem i nierzetelny oraz niejasne zasady, na jakich to się dzieje” – napisano w notatce prasowej UODO [translated from Polish to English using DeepL].

Agencja stwierdziła, że ​​spodziewa się „trudnego” śledztwa. Zauważyła, że ​​OpenAI ma siedzibę poza UE i wskazała na nowość technologii generatywnego chatbota AI, której zgodność będzie oceniać.

„Sprawa dotyczy naruszenia licznych przepisów o ochronie danych osobowych, dlatego zwrócimy się do OpenAI o udzielenie odpowiedzi na szereg pytań w celu rzetelnego przeprowadzenia postępowania administracyjnego” – poinformował w oświadczeniu Jan Nowak, prezes UODO.

Wiceprezydent Jakub Groszkowski dodał do agencji ostrzeżenie Komunikat prasowy – Napisz, że nowe technologie nie działają poza ramami prawnymi i muszą respektować RODO. Stwierdził, że skarga zawierała zarzuty podające w wątpliwość systemowe podejście OpenAI do europejskich zasad ochrony danych, dodając, że organ „wyjaśni te wątpliwości, szczególnie w świetle podstawowej zasady ochrony danych od samego początku zawartej w RODO”.

Skargę złożył lokalny badacz prywatności i bezpieczeństwa Łukasz OlejnikOpenAI zarzuca OpenAI szereg naruszeń ogólnounijnych regulacji – w obszarach podstawy prawnej, przejrzystości, uczciwości, praw dostępu do danych i wbudowanej ochrony danych.

Skupiono się na odpowiedzi OpenAI na prośbę Olejnika o poprawienie nieprawidłowych danych osobowych w biografii stworzonej na jego temat przez ChatGPT – co według OpenAI nie było możliwe. Oskarża także giganta sztucznej inteligencji o to, że nie odpowiedział właściwie na jego wniosek o dostęp do danych oraz o udzielanie wymijających, wprowadzających w błąd i wewnętrznie sprzecznych odpowiedzi podczas próby skorzystania z przysługującego mu prawa dostępu do danych.

Technologia leżąca u podstaw ChatGPT to tak zwany model dużego języka (LLM) – rodzaj generatywnego modelu sztucznej inteligencji, który jest szkolony na masach danych w języku naturalnym, umożliwiając obu reagowanie w sposób podobny do ludzkiego. Biorąc pod uwagę ogólną użyteczność narzędzia, zostało ono oczywiście przeszkolone do obsługi wszelkiego rodzaju informacji, co pozwala mu odpowiadać na różne pytania i wątpliwości – w wielu przypadkach włączając w to wprowadzanie danych o żyjących osobach.

Eksploatacja publicznego Internetu przez OpenAI w celu pozyskiwania danych szkoleniowych bez wiedzy i zgody ludzi jest jednym z głównych czynników powodujących kłopoty regulacyjne ChatGPT w UE. Wyraźnie nie jest w stanie określić, w jaki sposób przetwarza dane osobowe. lub korygowania błędów, gdy sztuczna inteligencja „ma halucynacje” i generuje fałszywe informacje na temat wymienionych osób lub innych osób.

Blokada reguluje przetwarzanie danych osobowych i wymaga, aby podmiot przetwarzający miał podstawę prawną do gromadzenia i wykorzystywania danych osobowych. Przetwarzający muszą także spełniać wymogi przejrzystości i uczciwości. Ponadto obywatelom UE przyznaje się szereg praw dostępu do danych, co oznacza, że ​​obywatele UE mają (między innymi) prawo do żądania poprawienia nieprawidłowych danych na ich temat.

Skarga Olejnika sprawdza zgodność OpenAI z RODO w wielu aspektach. Dlatego też wszelkie egzekwowanie przepisów może mieć znaczenie dla rozwoju generatywnej sztucznej inteligencji.

W odpowiedzi na potwierdzenie UODO, że bada skargę ChatGPT, Olejnik powiedział TechCrunch: „Nacisk na prywatność od samego początku jest absolutnie kluczowy i spodziewałem się, że to będzie główny aspekt”. Brzmi to całkiem rozsądnie. Dotyczyłoby to aspektów projektowania i dostarczania systemów LLM.

Wcześniej opisał doświadczenie uzyskiwania odpowiedzi od OpenAI na temat przetwarzania swoich informacji jako poczucie, że czuje się jak Josef K. z książki Kafki Proces. „Jeśli to mógłby być moment Josefa K. dla AI/LLM, mamy nadzieję, że rzuci on światło na zachodzące w nim procesy” – dodał teraz.

Na uwagę zasługuje względna szybkość, z jaką polski organ odpowiedział na skargę, a także jego otwartość na śledztwo.

To pogłębia rosnące problemy regulacyjne, przed którymi stoi OpenAI w Unii Europejskiej. Polskie dochodzenie jest następstwem interwencji włoskiego organu ochrony danych na początku tego roku, która doprowadziła do tymczasowego zawieszenia ChatGPT w kraju. Badanie przez gwarancja kontynuuje badanie również obaw związanych ze zgodnością z RODO związanych z takimi czynnikami, jak podstawa prawna i prawa dostępu do danych.

W innym miejscu hiszpański organ ochrony danych wszczął dochodzenie. Natomiast grupa zadaniowa utworzona przez Europejską Radę Ochrony Danych na początku tego roku bada, w jaki sposób organy ochrony danych powinny reagować na technologię chatbotów AI, w celu osiągnięcia konsensusu wśród organów nadzorujących prywatność w bloku w sprawie sposobu regulacji tej nowatorskiej technologii.

Grupa zadaniowa nie zastępuje dochodzeń prowadzonych przez poszczególne organy. Może to jednak w przyszłości doprowadzić do pewnej harmonizacji podejścia organów ochrony danych do regulacji najnowocześniejszej sztucznej inteligencji. Rozbieżności są jednak możliwe również wtedy, gdy wśród organów ochrony danych istnieją zdecydowane i odmienne poglądy. Czas pokaże, jakie dalsze działania w zakresie egzekwowania prawa mogą podjąć organy nadzoru bloku przeciwko narzędziom takim jak ChatGPT. (A właściwie, jak szybko mogą działać.)

W komunikacie prasowym UODO – który wspomina o istnieniu grupy zadaniowej – prezydent twierdzi, że agencja „bardzo poważnie” podchodzi do śledztwa ChatGPT. Zaznacza także, że zarzuty zawarte w skardze nie są pierwszymi, które podają w wątpliwość przestrzeganie przez ChatGPT europejskich przepisów o ochronie danych i prywatności.

Maciej Gawroński z kancelarii GP Partners, która reprezentuje Olejnika w skardze, w rozmowie z TechCrunch omówił otwartość i tempo działania agencji: „UODO coraz częściej wypowiada się na temat kwestii prywatności, ochrony danych, technologii i praw człowieka”. , że nasza skarga stwarza taką możliwość [it] pracować nad pogodzeniem postępu cyfrowego i społecznego z indywidualną sprawczością i prawami człowieka.

„Pamiętajcie, że Polska jest krajem bardzo zaawansowanym pod względem IT. Oczekuję, że UODO będzie bardzo rozsądne w swoim podejściu i podejściu. Oczywiście, o ile OpenAI pozostanie otwarte, podlega dyskusji.”

Zapytany, czy spodziewa się szybkiej decyzji w sprawie skargi, Gawroński dodał: „Agencja dość uważnie monitoruje postęp technologiczny. Jestem obecnie na konferencji UODO poświęconej nowym technologiom. Do UODO zwrócili się już różni interesariusze w sprawie sztucznej inteligencji. Nie spodziewam się jednak szybkiej decyzji. Nie jest moim zamiarem także przedwczesne zakończenie tego procesu. Wolałbym odbyć szczerą i wnikliwą dyskusję z OpenAI na temat tego, co, kiedy, jak i w jakim stopniu w odniesieniu do zgodności ChatGPT z RODO, a w szczególności jak chronić prawa osoby, której dane dotyczą.

Skontaktowano się z OpenAI w celu uzyskania komentarza w sprawie dochodzenia prowadzonego przez polski organ ochrony danych, ale nie przesłano odpowiedzi.

Gigant AI nie stoi w miejscu w obliczu coraz bardziej złożonej sytuacji regulacyjnej w UE. Firma ogłosiła niedawno otwarcie biura w Dublinie w Irlandii – prawdopodobnie w celu usprawnienia swojej sytuacji regulacyjnej w zakresie ochrony danych, jeśli będzie mogła kierować wszelkie skargi związane z RODO przez Irlandię.

Jednak ta amerykańska firma nie jest obecnie uważana za „siedzibę” do celów RODO w żadnym państwie członkowskim UE (w tym w Irlandii), ponieważ decyzje dotyczące lokalnych użytkowników są nadal podejmowane w jej amerykańskiej siedzibie w Kalifornii. Jak dotąd biuro w Dublinie to tylko mały satelita. Oznacza to, że organy ochrony danych w całej Unii nadal mają uprawnienia do zbadania zastrzeżeń ChatGPT zgłoszonych w ich łatce. Mogą więc nastąpić dalsze badania.

Skargi poprzedzające przyszłą zmianę statusu siedziby OpenAI można nadal składać w dowolnym miejscu w UE.