Det Europæiske Databeskyttelsesråd oprettede ChatGPT-taskforcen for et år siden for at fastslå, om OpenAI's håndtering af persondata var i overensstemmelse med GDPR-lovene. En rapport med de foreløbige resultater er nu blevet udgivet.
EU er ekstremt streng med hensyn til, hvordan borgernes personlige data bruges, og GDPR-reglerne definerer udtrykkeligt, hvad virksomheder kan og ikke kan gøre med disse data.
Overholder AI-virksomheder som OpenAI disse love, når de bruger data til at træne og drive deres modeller? Et år efter at ChatGPT-taskforcen påbegyndte sit arbejde, er det korte svar: måske, måske ikke.
Rapporten siger, at de offentliggør foreløbige resultater, og at "det endnu ikke er muligt at give en fuldstændig beskrivelse af resultaterne."
De tre hovedområder, som taskforcen undersøgte, var lovlighed, retfærdighed og nøjagtighed.
Lovlighed
For at skabe sine modeller indsamlede OpenAI offentlige data, filtrerede dem, brugte dem til at træne sine modeller og fortsætter med at træne sine modeller med brugeranvisninger. Er det lovligt i Europa?
OpenAI's webscraping opsamler uundgåeligt personlige data. GDPR siger, at du kun må bruge disse oplysninger, hvis der er en legitim interesse, og tage hensyn til de rimelige forventninger, folk har til, hvordan deres data bruges.
OpenAI siger, at deres modeller er i overensstemmelse med artikel 6, stk. 1, litra f), i GDPR, som blandt andet siger, at brugen af personoplysninger er lovlig, når "behandlingen er nødvendig af hensyn til den dataansvarliges eller en tredjeparts legitime interesser".
Rapporten siger, at "der bør træffes foranstaltninger til at slette eller anonymisere persondata, der er blevet indsamlet via webscraping, før træningsfasen."
OpenAI siger, at de har indført sikkerhedsforanstaltninger for persondata, men taskforcen siger, at "bevisbyrden for at demonstrere effektiviteten af sådanne foranstaltninger ligger hos OpenAI."
Retfærdighed
Når EU-borgere interagerer med virksomheder, har de en forventning om, at deres personlige data håndteres korrekt.
Er det rimeligt, at ChatGPT har en klausul i vilkårene og betingelserne, der siger, at brugerne er ansvarlige for deres chatinput? GDPR siger, at en organisation ikke kan overføre ansvaret for overholdelse af GDPR til brugeren.
I rapporten står der, at hvis "ChatGPT gøres tilgængelig for offentligheden, bør det antages, at enkeltpersoner før eller siden vil indtaste personlige data. Hvis disse input derefter bliver en del af datamodellen og f.eks. deles med alle, der stiller et specifikt spørgsmål, er OpenAI fortsat ansvarlig for at overholde GDPR og bør ikke argumentere for, at input af visse persondata var forbudt i første omgang."
Rapporten konkluderer, at OpenAI skal være transparent og udtrykkeligt fortælle brugerne, at deres input kan blive brugt til træningsformål.
Nøjagtighed
AI-modeller hallucinere og ChatGPT er ingen undtagelse. Når den ikke kender svaret, finder den nogle gange bare på noget. Når den leverer forkerte fakta om enkeltpersoner, overtræder ChatGPT GDPR's krav om nøjagtighed i persondata.
Rapporten bemærker, at "de resultater, der leveres af ChatGPT, sandsynligvis vil blive opfattet som faktuelt korrekte af slutbrugerne, herunder oplysninger om enkeltpersoner, uanset deres faktiske nøjagtighed."
Selv om ChatGPT advarer brugerne om, at den nogle gange begår fejl, siger taskforcen, at det "ikke er tilstrækkeligt til at overholde princippet om datanøjagtighed".
OpenAI står over for en retssag, fordi ChatGPT bliver ved med at tage fejl af en kendt offentlig persons fødselsdato.
Virksomheden sagde i sit forsvar, at Problemet kan ikke løses og folk bør bede om, at alle henvisninger til dem slettes fra modellen i stedet.
I september sidste år oprettede OpenAI en irsk juridisk enhed i Dublin, som nu hører under Irlands databeskyttelseskommission (DPC). Det beskytter den mod GDPR-udfordringer fra de enkelte EU-stater.
Vil ChatGPT-taskforcen komme med juridisk bindende konklusioner i sin næste rapport? Kan OpenAI overholde dem, selv hvis de ville?
I deres nuværende form vil ChatGPT og andre modeller måske aldrig være i stand til helt at overholde de regler for beskyttelse af personlige oplysninger, der blev skrevet, før AI kom frem.
