Kredyty obrazkowe: OLIVIER DOULIERY / AFP / Getty Images

OpenAI boryka się z kolejną skargą dotyczącą prywatności w Unii Europejskiej. Sprawa ta, złożona przez organizację non-profit noyb zajmującą się prawami prywatności w imieniu indywidualnego skarżącego, dotyczy niezdolności chatbota ChatGPT opartego na sztucznej inteligencji do korygowania błędnych informacji, które generuje na temat poszczególnych osób.

Tendencja narzędzi GenAI do generowania informacji, które są w oczywisty sposób błędne, została dobrze udokumentowana. Ale stawia to również technologię na kursie kolizyjnym z ogólnym rozporządzeniem o ochronie danych (RODO) bloku, które reguluje sposób przetwarzania danych osobowych użytkowników regionalnych.

Kary za nieprzestrzeganie RODO mogą sięgać nawet 4% globalnego rocznego obrotu. Raczej ważniejsze dla bogatego w zasoby giganta, takiego jak OpenAI: organy regulacyjne ds. ochrony danych mogą nakazać zmiany w sposobie przetwarzania informacji, więc egzekwowanie RODO może zmienić sposób, w jaki narzędzia generatywnej sztucznej inteligencji mogą działać w UE.

OpenAI było już zmuszone do wprowadzenia pewnych zmian po wczesnej interwencji włoskiego organu ochrony danych, który na krótko wymusił lokalne zamknięcie ChatGPT w 2023 roku.

Teraz noyb składa najnowszą skargę dotyczącą RODO przeciwko ChatGPT do austriackiego organu ochrony danych w imieniu anonimowego skarżącego (opisanego jako „osoba publiczna”), który stwierdził, że chatbot AI podał nieprawidłową datę urodzenia.

Zgodnie z RODO obywatelom UE przysługuje pakiet praw związanych z informacjami na ich temat, w tym prawo do poprawienia błędnych danych. noyb utrzymuje, że OpenAI nie wywiązuje się z tego obowiązku w odniesieniu do wyników działania chatbota. Stwierdzono, że firma odrzuciła prośbę skarżącego o poprawienie nieprawidłowej daty urodzenia, odpowiadając, że skorygowanie jej jest technicznie niemożliwe.

Zamiast tego oferował filtrowanie lub blokowanie danych w niektórych monitach, takich jak imię i nazwisko osoby składającej skargę.

Polityka prywatności OpenAI stanowi, że użytkownicy, którzy zauważą, że chatbot AI wygenerował „faktycznie niedokładne informacje o Tobie”, mogą przesłać „prośbę o sprostowanie” za pośrednictwem strony Privacy.openai.com lub wysyłając wiadomość e-mail na adres dsar@openai.com. Zawiera jednak zastrzeżenie, ostrzegając: „Biorąc pod uwagę techniczną złożoność działania naszych modeli, możemy nie być w stanie skorygować niedokładności w każdym przypadku”.

W takim przypadku OpenAI sugeruje użytkownikom zażądanie całkowitego usunięcia ich danych osobowych z wyników ChatGPT – poprzez wypełnienie formularza internetowego.

Problem giganta AI polega na tym, że prawa wynikające z RODO nie są à la carte. Mieszkańcy Europy mają prawo żądać sprostowania. Mają także prawo żądać usunięcia swoich danych. Jednak, jak zauważa Noyb, OpenAI nie ma decydować, które z tych praw będą dostępne.

Inne elementy skargi skupiają się na kwestiach związanych z przejrzystością RODO, przy czym noyb utrzymuje, że OpenAI nie jest w stanie powiedzieć, skąd pochodzą dane, które generuje na temat osób fizycznych, ani jakie dane o ludziach przechowuje chatbot.

Jest to ważne, ponieważ ponownie rozporządzenie przyznaje osobom fizycznym prawo do żądania takich informacji w drodze tzw. wniosku o dostęp do informacji (SAR). Per noyb OpenAI nie odpowiedziało odpowiednio na SAR skarżącego, nie ujawniając żadnych informacji na temat przetwarzanych danych, ich źródeł ani odbiorców.

Komentując skargę w oświadczeniu, Maartje de Graaf, prawnik ds. ochrony danych w firmie Noyb, powiedział: „Tłumaczenie fałszywych informacji samo w sobie jest dość problematyczne. Jednak fałszywe informacje na temat konkretnych osób mogą skutkować poważnymi konsekwencjami. Oczywiste jest, że firmy nie są obecnie w stanie zapewnić zgodności chatbotów takich jak ChatGPT z prawem UE podczas przetwarzania danych osobowych. Jeśli system nie może dawać dokładnych i przejrzystych wyników, nie można go używać do generowania danych o poszczególnych osobach. Technologia musi spełniać wymogi prawne, a nie odwrotnie.”

Firma oświadczyła, że ​​zwraca się do austriackiego organu ochrony danych o zbadanie skargi dotyczącej przetwarzania danych przez OpenAI, a także nalega, aby nałożył karę w celu zapewnienia zgodności w przyszłości. Dodał jednak, że „prawdopodobnie” sprawa zostanie rozpatrzona w ramach współpracy UE.

OpenAI boryka się z bardzo podobną skargą w Polsce. We wrześniu ubiegłego roku lokalny organ ochrony danych wszczął dochodzenie w sprawie ChatGPT w następstwie skargi złożonej przez badacza prywatności i bezpieczeństwa, który również stwierdził, że OpenAI nie może poprawić nieprawidłowych informacji na jego temat. W skardze tej zarzuca się także gigantowi sztucznej inteligencji niedopełnienie wymogów przejrzystości wynikających z rozporządzenia.

Tymczasem włoski organ ochrony danych nadal prowadzi otwarte dochodzenie w sprawie ChatGPT. W styczniu przedstawiła projekt decyzji, w którym stwierdziła wówczas, że według niej OpenAI naruszyła RODO na wiele sposobów, m.in. w związku z tendencją chatbota do wytwarzania dezinformacji na temat ludzi. Ustalenia dotyczą także innych kluczowych kwestii, takich jak zgodność przetwarzania z prawem.

Włoski organ dał OpenAI miesiąc na ustosunkowanie się do ustaleń. Ostateczna decyzja pozostaje w toku.

Teraz, po kolejnej skardze dotyczącej RODO skierowanej na jego chatbota, wzrosło ryzyko, że OpenAI będzie musiało stawić czoła szeregowi egzekwowań RODO w różnych państwach członkowskich.

Zeszłej jesieni firma otworzyła biuro regionalne w Dublinie – co, jak się wydaje, ma na celu zmniejszenie ryzyka regulacyjnego poprzez kierowanie skarg dotyczących prywatności do irlandzkiej Komisji Ochrony Danych, dzięki mechanizmowi zawartemu w RODO, który ma usprawnić nadzór nad skargami transgranicznymi poprzez kierowanie ich do jednego organu państwa członkowskiego, w którym firma ma „główną siedzibę”.