W ubiegłym tygodniu świat obiegła informacja o zablokowaniu ChatuGPT we Włoszech. Decyzję tę podjął Urząd Ochrony Danych (Garante per la protezione dei dati personali), gdyż, w jego ocenie, są niejasności w kwestii przetwarzania danych osobowych użytkowników. Za Włochami podobny krok rozważają m.in. Niemcy, Francuzi, Irlandczycy i Kanadyjczycy.
Filip Konopczyński z Fundacji Panoptykon w rozmowie z money.pl podkreśla, że "pogłoski o tym, jakoby prawo nie nadąża za rozwojem sztucznej inteligencji są cokolwiek przesadzone".
Włoski urząd dał sygnał, że obszar wprowadzanych na rynek systemów (i modeli) AI jak najbardziej podlega europejskim regulacjom dotyczącym prywatności. RODO ma bowiem zasięg eksterytorialny, musi go przestrzegać każda osoba i firma, która przetwarza dane ludzi mieszkających na terenie UE lub oferuje im produkt, niezależnie od tego, gdzie ma siedzibę lub gdzie przetwarzane są dane użytkowników – zauważa Filip Konopczyński.
Dalsza część artykułu pod materiałem wideo
Nieoczekiwany problem z przetwarzaniem danych osobowych przez AI
Fundacja Panoptykon przypomina też, że zgodnie z dyrektywą o RODO każdy mieszkaniec Unii Europejskiej w relacji z OpenAI ma prawo do:
- usunięcia swoich danych osobowych;
- wniesienia skargi (np. na wykorzystanie naszych danych);
- żądania sprostowania podawanych przez czat danych;
- uzyskania dostępu do danych, z których korzystał lub korzysta aplikacja (oraz informacji, w jakich celach jest przetwarzana);
- do sprzeciwu oraz niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu danych osobowych.
Jednak sposób, w jaki działa ChatGPT, stwarza niespotykany wcześniej problem. Otóż usunięcie danych osobowych z zasobów sztucznej inteligencji może okazać się technicznie niemożliwe.
Specyfiką dużych modeli językowych jest to, że nie jest możliwe usunięcie konkretnego rekordu z bazy bez konieczności trenowania modelu od nowa. Aby spełnić ten obowiązek prawny, firmy powinny dążyć do osiągnięcia tego efektu poprzez usunięcie danych osobowych z wyników generowanych przez system, np. poprzez prace programistyczne na poziomie aplikacji, tj. np. ChatGPT – tłumaczy Filip Konopczyński.
Kilka wątpliwości dotyczących sztucznej inteligencji i danych osobowych
Fundacja Panoptykon na prośbę money.pl wymienia kilka wątpliwości dotyczących funkcjonowania ChatuGPT i kwestii ochrony danych osobowych. Są to:
- Przetwarzanie danych, które trafiły do bazy, dzięki której "trenuje się" chatbota. Chodzi o uzasadnienie prawne, na jakiej podstawie się to odbywa. Fundacja Pantoptykon wskazuje, że nawet jeżeli OpenAI powołuje się w tym przypadku na "uzasadniony interes", to w świetle prawa wyklucza to możliwość korzystania z danych wrażliwych użytkowników. Osobną kwestią są dane osób poniżej 13 lat, gdyż na ich przetwarzanie jest wymagana zgoda opiekunów.
- Etykietowanie danych (przypisywanie im oznaczeń wskazujących konkretne osoby) w trakcie "trenowania" chatbota. RODO wprost wskazuje, że OpenAI musi uzyskać na to zgodę od osoby, do której dane nalezą.
- Kwestia odpowiedzialności za wykorzystanie cudzych danych. Zdaniem Fundacji Panoptykon odpowiedzialność tu jest taka sama, jak w przypadku autorów lub dostawców treści. Jeżeli zatem chatbot generuje dane osobowe (odnosi się do osób lub tworzy treści z nimi związane, jak np. mem z papieżem w kurtce), to ich właściciel ma prawo je skorygować lub domagać się usunięcia błędnych danych.
- Przechowywanie "promptów" (haseł wprowadzanych do aplikacji). Jeżeli OpenAI archiwizuje je poza terytorium UE i państw, z którymi Unia ma podpisane stosowne umowy, to też może naruszać RODO.
Fundacja Panoptykon zaznacza też, że to nie pierwszy konflikt z prawem chatbota i jego właściciela (choć pierwszy, który dotyczy ochrony prywatności). Wcześniej m.in. OpenAI, wraz z Microsoftem i Githubem, było pozwane w związku z ochroną własności intelektualnej w pozwie zbiorowym. Pozywający zarzucili, że firmy wykorzystały pracę programistów i naruszyły warunki licencji.
ChatGPT zablokowany. Ta decyzja wywołała lawinę
Włoskie Garante swoją decyzję o zablokowaniu ChatGPT tłumaczyło faktem, że aplikacja cechuje się "brakiem jakiejkolwiek podstawy prawnej, która uzasadnia masowe zbieranie i przechowywanie danych osobowych" w celu "trenowania" chatbota.
OpenAI dostało 20 dni, by ustosunkować się do wątpliwości urzędu i zastosować środki zaradcze. Inaczej firmie grozi grzywna w wysokości do 4 proc. rocznych globalnych obrotów.
Decyzja ta wywołała lawinę. Jak już pisaliśmy w money.pl, podobny krok rozważa niemiecki urząd ochrony danych. Berlin zresztą już miał się zwrócić do swojego włoskiego odpowiednika, by skonsultować się w tej kwestii – podawał "Handelsblatt". Z Włochami kontaktowały się również nadzory odpowiedzialne za ochronę danych osobowych: z Irlandii, Francji oraz Kanady. AI była też przedmiotem dyskusji w amerykańskim Białym Domu – podawały agencja Reutera i "The Canadian Press".
Dalsza część artykułu pod materiałem wideo
Polska na razie nie rozważa blokady ChatuGPT
Na razie nie należy się spodziewać podobnego kroku ze strony polskiego Urzędu Ochrony Danych Osobowych. UODO w odpowiedzi na pytania money.pl przyznaje, że jest w kontakcie ze swoim włoskim odpowiednikiem oraz innymi organami nadzoru. Zaraz jednak dodaje, że jest zbyt wcześnie na podjęcie decyzji w tej sprawie.
Na obecnym etapie jest za wcześnie rozstrzygać czy Urząd będzie podejmował działania, niezależnie od prowadzonego przez włoski organ postępowania. Jednocześnie informuję, że jak dotąd do UODO nie wpłynęły żadne skargi związane z przetwarzaniem danych osobowych w ramach korzystania z ChatGPT oraz nie była prowadzona kontrola w związku z jego funkcjonowaniem – wyjaśnia Adam Sanocki, rzecznik prasowy UODO, w odpowiedzi na nasze pytania.
W podobnym tonie, choć przy zaakcentowaniu innych kwestii, przed kilkoma dniami wypowiadał się świeżo upieczony minister cyfryzacji. "Regulacja rozwoju przełomowych technologii na rympał to doskonały sposób na to, aby technologia rozwijała się wszędzie, tylko nie w Europie" – napisał na Twitterze Janusz Cieszyński.
UE wyhamuje rozwój sztucznej inteligencji?
Adam Sanocki podkreśla też, że kwestia relacji pomiędzy ochroną danych osobowych a sztuczną inteligencją od dawna jest na orbicie zainteresowań Urzędu. UODO podjął już "wiele inicjatyw edukacyjnych i naukowych mających ułatwić jej zrozumienie". Przypomina zarazem, że na szczeblu unijnym trwają pracę nad Aktem o Sztucznej Inteligencji (AI Act). Parlament Europejski może go przegłosować jeszcze w maju.
Jako Panoptykon zabiegamy o to, aby w uchwalonej wersji Aktu znajdowały się przepisy gwarantujące ochronę naszych praw, na poziomie europejskim, działając w sieci EDRi (European Digital Rights). Walczymy m.in. o zakazanie groźnych i ryzykownych zastosowań AI (np. systemów oceny społecznej, systemów predykcji kryminalnej), dyskryminacji (np. w dostępie do usług, administracji itd.), inwigilacji i manipulacji (np. systemy rozpoznawania oparte na biometrii, wykorzystywania podatności psychicznych), większe uprawnienia dla obywateli czy transparentność – wymienia Filip Konopczyński.
W ostatnich dniach "Rzeczpospolita" przywołała odezwę unijnej społeczności start-upów ONE23, która zaapelowała do Brukseli, by ta nie zahamowała rozwoju sztucznej inteligencji nadmiernymi regulacjami. Inaczej Europa może przegrać wyścig w sektorze innowacyjności ze Stanami Zjednoczonymi i Chinami.
Krystian Rosiński, dziennikarz i wydawca money.pl
Jeśli chcesz być na bieżąco z najnowszymi wydarzeniami ekonomicznymi i biznesowymi, skorzystaj z naszego Chatbota, klikając tutaj.