ChatGPT schendt de Europese wetgeving inzake gegevensbescherming, aldus de Italiaanse toezichthouder voor gegevensbescherming OpenAI

By | January 30, 2024

Fotocredit: Didem Mente/Anadolu Agency/Getty Images

Na een maandenlang onderzoek naar zijn AI-chatbot ChatGPT door de Italiaanse gegevensbeschermingsautoriteit, is OpenAI verteld dat het verdacht wordt van het schenden van de privacy van de Europese Unie.

Details van de ontwerpbevindingen van de Italiaanse autoriteit zijn niet bekendgemaakt. Maar Garante zei vandaag dat OpenAI op de hoogte was gesteld en 30 dagen de tijd had om te reageren met verdediging op de beschuldigingen.

Bevestigde overtredingen van de EU-brede regelgeving kunnen worden bestraft met boetes tot 20 miljoen euro of tot 4% van de jaarlijkse mondiale omzet. Nog lastiger voor een AI-gigant als OpenAI is dat gegevensbeschermingsautoriteiten (DPA’s) bevelen kunnen uitvaardigen die wijzigingen in de gegevensverwerking vereisen om een ​​einde te maken aan bevestigde schendingen. Daarom kan het worden gedwongen om de manier waarop het werkt te veranderen. Of hij trekt zijn diensten terug uit EU-lidstaten waar gegevensbeschermingsautoriteiten veranderingen proberen af ​​te dwingen die hem niet bevallen.

Er is contact opgenomen met OpenAI voor een reactie op de inbreukmelding van Garante. We zullen dit verhaal bijwerken als ze een verklaring sturen.

Updaten: OpenAI zei:

Wij zijn van mening dat onze praktijken in overeenstemming zijn met de AVG en andere wetten op gegevensbescherming en nemen aanvullende maatregelen om de gegevens en privacy van mensen te beschermen. We willen dat onze AI leert over de wereld, niet over individuen. We werken actief aan het verminderen van persoonlijke gegevens door onze systemen te trainen, zoals ChatGPT, dat ook verzoeken om privé- of gevoelige informatie over mensen afwijst. Wij zijn van plan constructief met Garante samen te blijven werken.

Rechtmatigheid van AI-modeltraining in het raamwerk

De Italiaanse autoriteit uitte vorig jaar zorgen over de naleving door OpenAI van de Algemene Verordening Gegevensbescherming (AVG) – toen zij een tijdelijk verbod op de lokale gegevensverwerking door ChatGPT beval, wat ertoe leidde dat de AI-chatbot tijdelijk van de markt werd geschorst.

De voorziening van de 30 maart-garantie voor OpenAI, ook bekend als het “Register van Maatregelen”, benadrukte zowel het ontbreken van een passende rechtsgrondslag voor het verzamelen en verwerken van persoonlijke gegevens met als doel het trainen van de algoritmen die ten grondslag liggen aan ChatGPT; en de neiging van de AI-tool om te ‘hallucineren’ (dat wil zeggen het potentieel ervan om onnauwkeurige informatie over individuen te produceren) – behoorden destijds tot de problemen. Ook de veiligheid van kinderen werd als een punt van zorg aangemerkt.

Over het geheel genomen vermoedde de autoriteit dat ChatGPT de artikelen 5, 6, 8, 13 en 25 van de AVG had geschonden.

Ondanks het identificeren van deze lange lijst van vermoedelijke schendingen, kon OpenAI vorig jaar de ChatGPT-service in Italië relatief snel herstellen nadat het stappen had ondernomen om enkele problemen aan te pakken die door de gegevensbeschermingsautoriteit waren aangekaart. De Italiaanse autoriteit zei echter dat zij het onderzoek naar de vermeende schendingen zou voortzetten. Er zijn nu voorlopige conclusies getrokken dat het instrument in strijd is met het EU-recht.

Hoewel de Italiaanse autoriteit niet heeft gezegd welke van de eerder vermoedelijke ChatGPT-schendingen zij op dit moment heeft bevestigd, lijkt de rechtsgrondslag die OpenAI aanhaalt voor het verwerken van persoonsgegevens om haar AI-modellen te trainen een bijzonder netelige kwestie.

Dit komt omdat ChatGPT is ontwikkeld met behulp van bulkgegevens van het openbare internet – informatie die persoonlijke gegevens van individuen bevat. En het probleem waarmee OpenAI in de Europese Unie wordt geconfronteerd, is dat het verwerken van de gegevens van EU-burgers een geldige wettelijke basis vereist.

De AVG somt zes mogelijke rechtsgrondslagen op, waarvan de meeste eenvoudigweg niet relevant zijn in de context ervan. Afgelopen april kreeg OpenAI van Garante de opdracht om verwijzingen naar ‘contractprestaties’ voor het trainen van het ChatGPT-model te verwijderen – waardoor er slechts twee opties overbleven: toestemming of legitieme belangen.

Gezien het feit dat de AI-gigant nooit heeft geprobeerd toestemming te verkrijgen van de ontelbare miljoenen (of zelfs miljarden) internetgebruikers wier informatie hij heeft opgenomen en verwerkt om AI-modellen te bouwen, lijkt elke poging om dit te beweren de toestemming van de Europeanen te hebben voor verwerking , misplaatst, gedoemd te mislukken. En toen OpenAI vorig jaar na tussenkomst van Garante zijn documentatie herzag, leek het zich te willen beroepen op de claim van legitiem belang. Deze rechtsgrondslag vereist echter nog steeds dat een gegevensverwerker de betrokkenen de mogelijkheid geeft om bezwaar te maken – en de verwerking van hun gegevens stop te zetten.

Hoe OpenAI dit zou kunnen doen in de context van zijn AI-chatbot is een open vraag. (Theoretisch zou dit het buiten gebruik stellen en vernietigen van illegaal getrainde modellen en het opnieuw trainen van nieuwe modellen vereisen zonder de gegevens van het bezwaarde individu in de trainingspool – maar ervan uitgaande dat het zelfs alle illegaal verwerkte gegevens op individuele basis zou kunnen identificeren, zou dat het geval zijn zoals ik heb gedaan om dit te doen voor de gegevens van elke EU-burger die bezwaar maakte en zei dat er mee moest worden opgehouden… Wat, eh, duur klinkt.)

Naast deze netelige kwestie is de bredere vraag of Garante uiteindelijk zal concluderen dat legitieme belangen in deze context zelfs een geldige rechtsgrondslag vormen.

Eerlijk gezegd lijkt dat onwaarschijnlijk. Omdat LI geen alleskunner is. Het vereist van gegevensverwerkers dat ze hun eigen belangen afwegen tegen de rechten en vrijheden van de individuen wier gegevens worden verwerkt – en dat ze overwegen of individuen hadden verwacht dat hun gegevens op deze manier zouden worden gebruikt; en het potentieel om hen als gevolg daarvan ongerechtvaardigde schade toe te brengen. (Als ze dit niet hadden verwacht en er een risico op dergelijke schade bestond, zou LI niet als een geldige rechtsgrondslag worden beschouwd.)

De verwerking moet bovendien noodzakelijk zijn en er is geen andere, minder ingrijpende manier waarop de gegevensverwerker zijn doel kan bereiken.

In het bijzonder heeft het Hooggerechtshof van de EU eerder geoordeeld dat legitieme belangen een ongepaste basis vormen voor Meta om individuen te volgen en te profileren om haar activiteiten op het gebied van gedragsreclame op haar sociale netwerken uit te voeren. Het idee dat een ander soort AI-gigant grootschalige verwerking van menselijke gegevens zou willen rechtvaardigen om een ​​commercieel generatief AI-bedrijf op te bouwen, is dus een groot vraagteken, vooral wanneer de tools in kwestie allerlei nieuwe risico’s met zich meebrengen voor met name genoemde individuen (van desinformatie en laster tot identiteitsdiefstal en fraude, om er maar een paar te noemen).

Een woordvoerder van Garante bevestigde dat de wettelijke basis voor het verwerken van persoonsgegevens voor modeltraining de mix van vermeende ChatGPT-inbreuk blijft. Ze hebben op dit moment echter nog niet precies bevestigd welk artikel (of welke artikelen) OpenAI zou schenden.

De aankondiging van vandaag van de autoriteit is ook niet het laatste woord, omdat het ook zal wachten op de reactie van OpenAI voordat het een definitieve beslissing neemt.

Hier is de Gegarandeerd Verklaring (die we met behulp van AI uit het Italiaans hebben vertaald):

[Italian Data Protection Authority] heeft OpenAI, het bedrijf dat het kunstmatige-intelligentieplatform ChatGPT exploiteert, op de hoogte gebracht van zijn oproep wegens het overtreden van de regelgeving inzake gegevensbescherming.

Naar aanleiding van de voorlopige beperking van de verwerkingsopdracht uitgegeven door garantie op 30 maart tegen het bedrijf en als resultaat van het uitgevoerde voorlopige onderzoek concludeerde de Autoriteit dat de verworven elementen een of meer illegale handelingen konden vormen met betrekking tot de bepalingen van de EU-verordening.

OpenAI heeft 30 dagen de tijd om zijn verdedigingsverklaringen met betrekking tot de vermeende schendingen in te dienen.

Bij het definiëren van de procedure houdt de Garante rekening met de lopende werkzaamheden van de speciale werkgroep die is opgericht door het orgaan waarin de gegevensbeschermingsautoriteiten van de EU (EDPB) zijn verenigd.

OpenAI wordt ook geconfronteerd met onderzoek naar de naleving van de AVG door ChatGPT in Polen nadat afgelopen zomer een klacht werd ingediend die zich richtte op een incident waarbij de tool onnauwkeurige informatie over een individu verstrekte en de reactie van OpenAI op die klager. Dit afzonderlijke AVG-onderzoek is nog gaande.

OpenAI heeft intussen gereageerd op het toenemende regelgevingsrisico in de hele EU door te proberen een fysieke basis in Ierland te vestigen; en kondigde in januari aan dat dit Ierse bedrijf de toekomstige dienstverlener voor gegevens van EU-gebruikers zou worden.

Deze stappen hopen de zogenaamde ‘hoofdkantoor’-status in Ierland te bereiken en te evolueren naar het laten uitvoeren van GDPR-compliancebeoordelingen door de Ierse Data Protection Commission via het one-stop-shop-mechanisme van de verordening – in plaats van (zoals tot nu toe). ) Haar activiteiten kunnen onderworpen zijn aan toezicht van de gegevensbeschermingsautoriteit vanaf elke locatie in de Unie waar haar tools lokale gebruikers hebben.

OpenAI heeft deze status echter nog niet ontvangen, dus ChatGPT kan nog steeds te maken krijgen met verder onderzoek door gegevensbeschermingsautoriteiten in andere delen van de EU. En zelfs als het de status krijgt, zullen de Italiaanse onderzoeken en handhavingsacties doorgaan, aangezien de betreffende gegevensverwerking plaatsvond vóór de wijziging in de verwerkingsstructuur.

De gegevensbeschermingsautoriteiten van het blok hebben geprobeerd hun toezicht op ChatGPT te coördineren door via de Europese Raad voor Gegevensbescherming een taskforce op te zetten om te onderzoeken hoe de AVG van toepassing is op de chatbot, aldus de verklaring van Garante. Deze (voortdurende) inspanningen kunnen uiteindelijk leiden tot geharmoniseerde resultaten in individuele ChatGPT AVG-onderzoeken – bijvoorbeeld in Italië en Polen.

De autoriteiten blijven echter onafhankelijk en hebben de bevoegdheid om beslissingen te nemen op hun eigen markten. Daarom is er geen garantie dat een van de huidige ChatGPT-onderzoeken tot dezelfde conclusies zal komen.



Leave a Reply

Your email address will not be published. Required fields are marked *