OpenAI, tehnološki velikan na področju umetne inteligence, se je znašel pred novo pritožbo zaradi zasebnosti v Evropski uniji. Tokratna pritožba, ki jo je vložila organizacija za pravice do zasebnosti noyb v imenu neimenovanega posameznika, opozarja na problematiko njihovega AI chatbota ChatGPT, ki ne omogoča popravljanja napačnih informacij, ki jih ustvari o posameznikih.
Znana težava orodij za generativno AI je njihova sposobnost proizvajanja napačnih informacij, kar pa posega v področje Splošne uredbe EU o varstvu podatkov (GDPR), ki ureja obdelavo osebnih podatkov uporabnikov v regiji.
Kršitve GDPR lahko privedejo do kazni do 4% letnega globalnega prometa podjetja. Še pomembnejše za podjetje z obilico virov, kot je OpenAI, pa je, da lahko regulatorji za varstvo podatkov naložijo spremembe načina obdelave informacij, kar bi lahko preoblikovalo delovanje orodij za generativno AI v EU.
OpenAI je že bil prisiljen narediti nekaj sprememb po zgodnji intervenciji italijanskega organa za varstvo podatkov, ki je začasno ustavil delovanje ChatGPT v letu 2023.
Sedaj je noyb vložil novo GDPR pritožbo proti ChatGPT pri avstrijskem organu za varstvo podatkov v imenu neimenovane pritožnice, opisane kot “javne osebnosti”, ki je ugotovila, da je AI chatbot napačno ustvaril datum njenega rojstva.
Pod GDPR imajo osebe v EU pravico zahtevati popravek napačnih podatkov. Noyb trdi, da OpenAI ne izpolnjuje te obveznosti glede izhodov njihovega klepetalnika. Podjetje je zavrnilo zahtevo pritožnika za popravek napačnega datuma rojstva, češ da tehnično ni mogoče izvesti popravka.
Namesto tega so ponudili, da filtrirajo ali blokirajo podatke na določenih vprašanjih, kot je ime pritožnika.
Politika zasebnosti OpenAI določa, da lahko uporabniki, ki opazijo, da je AI chatbot ustvaril “dejansko netočne informacije o vas”, oddajo “zahtevo za popravek” prek privacy.openai.com ali po e-pošti na dsar@openai.com. Vendar pa opozarjajo, da “glede na tehnično kompleksnost naših modelov morda ne bomo mogli popraviti netočnosti v vsakem primeru.”
V takem primeru OpenAI predlaga, da uporabniki zahtevajo popolno odstranitev svojih osebnih podatkov iz izhodov ChatGPT – s izpolnitvijo spletnega obrazca.
Problem za OpenAI je, da pravice GDPR niso po izbiri. Ljudje v Evropi imajo pravico zahtevati popravek, imajo tudi pravico zahtevati izbris svojih podatkov. Kot opozarja noyb, ni na OpenAI, da izbira, katere od teh pravic so na voljo.
Drugi elementi pritožbe se nanašajo na pomisleke glede transparentnosti GDPR, pri čemer noyb trdi, da OpenAI ne more natančno povedati, od kod izhajajo podatki, ki jih ustvarja o posameznikih, niti kateri podatki so shranjeni o ljudeh.
To je še posebej pomembno, saj uredba posameznikom daje pravico do zahteve takšnih informacij z izvedbo tako imenovane zahteve za dostop do podatkov (SAR). Po navedbah noyb, OpenAI ni ustrezno odgovoril na SAR pritožnika, saj ni razkril nobenih informacij o obdelanih podatkih, njihovih virih ali prejemnikih.
Ob pritožbi je Maartje de Graaf, odvetnica za varstvo podatkov pri noyb, izjavila: “Izmišljanje napačnih informacij je samo po sebi problematično. Ko pa gre za napačne informacije o posameznikih, lahko to ima resne posledice. Jasno je, da trenutna podjetja niso sposobna uskladiti klepetalnika, kot je ChatGPT, z evropsko zakonodajo, kadar obdelujejo podatke o posameznikih. Če sistem ne more proizvesti natančnih in transparentnih rezultatov, se ne sme uporabljati za generiranje podatkov o posameznikih. Tehnologija mora slediti pravnim zahtevam, ne obratno.”
Podjetje je sporočilo, da je prosilo avstrijski DPA, naj preišče pritožbo o obdelavi podatkov s strani OpenAI, obenem pa pozvalo k izreku globe za zagotovitev bodoče skladnosti. Dodali so, da je “verjetno”, da bo primer obravnavan preko sodelovanja EU.
OpenAI se sooča z zelo podobno pritožbo na Poljskem. Lani septembra je tamkajšnji organ za varstvo podatkov odprl preiskavo ChatGPT po pritožbi raziskovalca za zasebnost in varnost, ki je prav tako ugotovil, da ne more popraviti napačnih informacij o sebi s strani OpenAI. Ta pritožba obtožuje AI velikana tudi, da ni v skladu z zahtevami za transparentnost, ki jih določa uredba.
Italijanski organ za varstvo podatkov medtem še vedno vodi preiskavo ChatGPT. V januarju so objavili osnutek odločitve, v kateri so zapisali, da verjamejo, da je OpenAI kršil GDPR v več točkah, vključno s tendenco chatbota, da proizvaja dezinformacije o ljudeh. Ugotovitve se nanašajo tudi na druge ključne zadeve, kot je zakonitost obdelave.
Italijanski organ je OpenAI dal mesec dni časa, da odgovori na svoje ugotovitve. Končna odločitev še čaka.
Z novo pritožbo GDPR, usmerjeno proti svojemu chatbotu, se je tveganje, da bo OpenAI soočen z vrsto izvršb GDPR po različnih državah članicah, povečalo.
Peter Mesarec je verjetno najbolj poslušan predavatelj Chat GPT in UI v Sloveniji, njegovih predavanj o uporabi Chat GPT v podjetjih se je udeležilo več tisoč udeležencev, svoja znanja pa pogosto objavlja tukaj in na drugih spletnih straneh.
