ChatGPT bryter mot Europas integritetslagar, säger italienska DPA till OpenAI

By | January 29, 2024

Bildkrediter: Didem Mente/Anadolu Agency / Getty Images

OpenAI har fått veta att de misstänks för att kränka Europeiska unionens integritet, efter en månader lång utredning av dess AI-chattbot, ChatGPT, av Italiens dataskyddsmyndighet.

Detaljer om den italienska myndighetens utkast till slutsatser har inte avslöjats. Men Garante sa idag att OpenAI underrättades och fick 30 dagar på sig att svara med ett försvar mot anklagelserna.

Bekräftade överträdelser av den alleuropeiska ordningen kan resultera i böter på upp till 20 miljoner euro, eller upp till 4 % av den globala årliga omsättningen. Vad som är mer obekvämt för en AI-jätte som OpenAI är att dataskyddsmyndigheter (DPA) kan utfärda order som kräver ändringar av hur data behandlas för att sätta stopp för bekräftade överträdelser. Därför kan du bli tvungen att ändra ditt sätt att arbeta. Eller dra tillbaka din tjänst från EU-medlemsstater där integritetsmyndigheter försöker införa ändringar som du inte gillar.

OpenAI kontaktades för svar på Garantes meddelande om intrång. Vi kommer att uppdatera denna rapport om de lämnar ett uttalande.

Uppdatering: OpenAI sa:

Vi tror att vår praxis överensstämmer med GDPR och andra integritetslagar, och vi vidtar ytterligare åtgärder för att skydda människors data och integritet. Vi vill att vår AI ska lära sig om världen, inte privatpersoner. Vi arbetar aktivt för att minska personuppgifter i utbildningen av våra system som ChatGPT, som också avvisar förfrågningar om privat eller känslig information om individer. Vi planerar att fortsätta arbeta konstruktivt med Garante.

Lagligheten av AI-modellutbildning i ramverket.

Den italienska myndigheten uttryckte oro över OpenAI:s efterlevnad av blockets allmänna dataskyddsförordning (GDPR) förra året, när den beordrade ett tillfälligt förbud mot ChatGPT:s lokala databehandling, vilket ledde till chatbotens tillfälliga avstängning av AI på marknaden.

Garantbestämmelsen den 30 mars för OpenAI, även känd som en “registrering av åtgärder”, belyste både bristen på en adekvat rättslig grund för insamling och behandling av personuppgifter i syfte att träna algoritmerna bakom ChatGPT; och AI-verktygets tendens att “röra” (d.v.s. dess potential att producera felaktig information om individer), som en av de problem som var oroande vid den tiden. Han noterade också att barnsäkerhet är ett problem.

Totalt sa myndigheten att den misstänkte att ChatGPT bröt mot artiklarna 5, 6, 8, 13 och 25 i GDPR.

Trots att OpenAI identifierade denna långa lista med påstådda överträdelser, kunde OpenAI återuppta ChatGPT-tjänsten i Italien relativt snabbt förra året, efter att ha vidtagit åtgärder för att ta itu med några problem som tagits upp av DPA. Den italienska myndigheten sa dock att den skulle fortsätta att utreda de påstådda kränkningarna. Preliminära slutsatser har nu dragits om att verktyget bryter mot EU-lagstiftningen.

Även om den italienska myndigheten ännu inte har sagt vilka av de tidigare misstänkta ChatGPT-överträdelserna som bekräftas i detta skede, verkar den rättsliga grunden som OpenAI hävdar för att behandla personuppgifter för att träna sina AI-modeller vara en särskilt avgörande fråga.

Detta beror på att ChatGPT utvecklades med hjälp av stora mängder data som extraherats från det offentliga Internet, information som inkluderar personliga uppgifter om individer. Och problemet OpenAI står inför i EU är att behandling av data från EU-individer kräver att den har en giltig rättslig grund.

GDPR listar sex möjliga rättsliga grunder, varav de flesta helt enkelt inte är relevanta i ditt sammanhang. I april förra året sa Garante till OpenAI att ta bort referenser till “utförande av ett kontrakt” för att träna ChatGPT-modellen, vilket lämnade den med bara två möjligheter: samtycke eller legitima intressen.

Eftersom AI-jätten aldrig har försökt få medgivande från de otaliga miljoner (eller till och med miljarder) webbanvändare vars information den har tagit in och bearbetat för att bygga AI-modeller, skulle varje försök att hävda att den förlitade sig på europeiskt tillstånd för bearbetning verkar dömda att misslyckas. Och när OpenAI granskade sin dokumentation efter Garantes ingripande förra året, verkade den försöka förlita sig på ett legitimt intresseanspråk. Denna rättsliga grund kräver dock fortfarande att en databehandlare tillåter registrerade att göra en invändning och stoppa behandlingen av deras information.

Hur OpenAI kunde göra detta i samband med sin AI-chatbot är en öppen fråga. (I teorin kan det kräva att du tar bort och förstör olagligt utbildade modeller och omskolar nya modeller utan den invändande individens data i träningsuppsättningen, men om jag antar att du kan identifiera alla olagligt behandlade uppgifter individuellt, skulle jag behöva göra det med uppgifterna från varje EU-person som motsatte sig det och sa att man skulle sluta… Vilket, ja, låter dyrt.)

Utöver denna svåra fråga finns den bredare frågan om Garanten i slutändan kommer att dra slutsatsen att legitima intressen ens är en giltig rättslig grund i detta sammanhang.

Ärligt talat verkar det osannolikt. Eftersom LI inte är en strid. Det kräver att databehandlare balanserar sina egna intressen med rättigheterna och friheterna för de personer vars data behandlas, och att de överväger saker som om människor skulle ha förväntat sig denna användning av deras data; och möjligheten att orsaka dem omotiverad skada. (Om de inte skulle ha förväntat sig det och det finns risker för sådan skada, kommer LI inte att anses vara en giltig rättslig grund.)

Behandlingen ska också vara nödvändig, eftersom det inte finns några andra mindre ingripande medel för den som ansvarar för behandlingen för att uppnå sitt syfte.

Framför allt har EU:s högsta domstol tidigare slagit fast att legitima intressen är en olämplig grund för Meta att spåra och profilera personer för att driva sin beteendebaserade reklamverksamhet på sina sociala nätverk. Så det finns ett stort frågetecken över föreställningen om en annan typ av AI-jätte som försöker rättfärdiga att bearbeta människors data i stor skala för att bygga upp en kommersiell generativ AI-verksamhet, särskilt när verktygen i fråga genererar allt. typer av nya risker för specifika individer (från desinformation och förtal till identitetsstöld och bedrägeri, för att nämna några).

En talesperson för Garante bekräftade att den rättsliga grunden för att behandla människors data för modellutbildning förblir i blandningen av vad ChatGPT misstänks bryta mot. Men de bekräftade inte exakt vilken (eller flera) artikel(er) de misstänker att OpenAI har brutit mot just nu.

Dagens besked från myndigheten är inte heller det sista ordet än, då man också kommer att vänta på att få OpenAI:s svar innan man fattar ett slutgiltigt beslut.

Här är garanti uttalande (som vi har översatt från italienska med AI):

[Italian Data Protection Authority] har meddelat OpenAI, företaget som förvaltar ChatGPT artificiell intelligens-plattform, om sitt oppositionsbrev för brott mot dataskyddsbestämmelser.

Efter den provisoriska behandlingsbegränsningsförordningen, antagen av den Garanti mot bolaget den 30 mars och till följd av den genomförda förundersökningen ansåg myndigheten att de förvärvade elementen kan utgöra en eller flera olagliga handlingar med hänsyn till bestämmelserna i EU-förordningen.

OpenAI kommer att ha 30 dagar på sig att kommunicera sina försvarsinlägg angående de påstådda kränkningarna.

När förfarandet definieras kommer garantin att ta hänsyn till det pågående arbetet i den särskilda arbetsgrupp som skapats av styrelsen som sammanför EU:s dataskyddsmyndigheter (EDPB).

OpenAI står också inför granskning av ChatGPT:s efterlevnad av GDPR i Polen, efter ett klagomål förra sommaren som fokuserar på ett fall där verktyget producerade felaktig information om en person och OpenAI:s svar till den visselblåsaren. Den separata GDPR-utredningen pågår fortfarande.

Under tiden har OpenAI reagerat på växande regulatoriska risker i hela EU genom att försöka etablera en fysisk bas i Irland; och tillkännage, i januari, att denna irländska enhet skulle vara tjänsteleverantör för EU-användardata i framtiden.

Deras förhoppningar med dessa åtgärder kommer att vara att få status som “huvudkontor” i Irland och att låta den irländska dataskyddskommissionen leda bedömningen av deras överensstämmelse med GDPR, genom förordningens enda fönstermekanism, snarare än (som nu) din aktivitet kan vara föremål för DPA-övervakning var som helst i unionen där dina verktyg har lokala användare.

Men OpenAI har ännu inte fått denna status, så ChatGPT kan fortfarande ställas inför ytterligare utredningar av DPA i andra delar av EU. Och även om den erhåller statusen kommer den italienska utredningen och ansökan att fortsätta eftersom den aktuella databehandlingen föregår förändringen av dess behandlingsstruktur.

Blockets dataskyddsmyndigheter har försökt samordna sin tillsyn av ChatGPT genom att skapa en arbetsgrupp för att överväga hur GDPR gäller för chatboten, genom European Data Protection Board, som noterats i uttalandet. Den (fortsatta) ansträngningen kan i slutändan ge mer harmoniserade resultat i diskreta ChatGPT GDPR-utredningar, såsom de i Italien och Polen.

Myndigheterna förblir dock oberoende och behöriga att fatta beslut på sina egna marknader. Därför finns det heller inga garantier för att någon av ChatGPTs aktuella forskning kommer att nå samma slutsatser.



Leave a Reply

Your email address will not be published. Required fields are marked *