Det europeiske personvernrådet opprettet ChatGPT Taskforce for et år siden for å finne ut om OpenAIs håndtering av personopplysninger var i samsvar med GDPR-lovene. En rapport med foreløpige funn er nå offentliggjort.
EU er ekstremt streng når det gjelder bruken av innbyggernes personopplysninger, og GDPR-regelverket definerer eksplisitt hva selskaper kan og ikke kan gjøre med disse dataene.
Overholder AI-selskaper som OpenAI disse lovene når de bruker data i opplæring og drift av modellene sine? Et år etter at ChatGPT Taskforce startet sitt arbeid, er det korte svaret: kanskje, kanskje ikke.
Rapporten sier at de publiserte foreløpige funn, og at "det ennå ikke er mulig å gi en fullstendig beskrivelse av resultatene".
De tre hovedområdene arbeidsgruppen undersøkte, var lovlighet, rettferdighet og nøyaktighet.
Lovlydighet
For å lage modellene sine har OpenAI samlet inn offentlige data, filtrert dem, brukt dem til å trene modellene sine, og fortsetter å trene modellene sine med brukerinstruksjoner. Er dette lovlig i Europa?
OpenAIs nettskraping samler uunngåelig inn personopplysninger. GDPR sier at du bare kan bruke denne informasjonen der det foreligger en legitim interesse, og ta hensyn til de rimelige forventningene folk har til hvordan dataene deres brukes.
OpenAI sier at modellene er i samsvar med artikkel 6(1)(f) i GDPR, som blant annet sier at bruk av personopplysninger er lovlig når "behandlingen er nødvendig for formålene til de legitime interessene som forfølges av den behandlingsansvarlige eller av en tredjepart".
I rapporten står det at "det bør iverksettes tiltak for å slette eller anonymisere personopplysninger som er samlet inn via nettskraping før opplæringsfasen".
OpenAI sier at de har innført sikkerhetstiltak for personopplysninger, men arbeidsgruppen sier at "bevisbyrden for å påvise effektiviteten av slike tiltak ligger hos OpenAI".
Rettferdighet
Når EU-borgere samhandler med bedrifter, forventer de at personopplysningene deres blir behandlet på en forsvarlig måte.
Er det rettferdig at ChatGPT har en klausul i vilkårene som sier at brukerne er ansvarlige for chat-inngangene sine? GDPR sier at en organisasjon ikke kan overføre ansvaret for overholdelse av GDPR til brukeren.
I rapporten står det at hvis "ChatGPT gjøres tilgjengelig for allmennheten, bør det antas at enkeltpersoner før eller senere vil legge inn personopplysninger. Hvis disse opplysningene blir en del av datamodellen og for eksempel deles med alle som stiller et spesifikt spørsmål, er OpenAI fortsatt ansvarlig for å overholde personvernforordningen og bør ikke hevde at det i utgangspunktet var forbudt å legge inn visse personopplysninger."
Rapporten konkluderer med at OpenAI må være transparent og eksplisitt informere brukerne om at deres innspill kan bli brukt til opplæringsformål.
Nøyaktighet
AI-modeller hallusinere og ChatGPT er ikke noe unntak. Når den ikke vet svaret, finner den noen ganger bare på noe. Når ChatGPT leverer feilaktige fakta om enkeltpersoner, bryter den GDPRs krav til nøyaktighet i personopplysningene.
I rapporten bemerkes det at "sluttbrukerne sannsynligvis vil oppfatte resultatene fra ChatGPT som faktuelt korrekte, inkludert informasjon om enkeltpersoner, uavhengig av hvor nøyaktige de faktisk er".
Selv om ChatGPT advarer brukerne om at det noen ganger gjøres feil, sier arbeidsgruppen at dette "ikke er tilstrekkelig for å overholde prinsippet om datanøyaktighet".
OpenAI står overfor et søksmål fordi ChatGPT stadig tar feil av fødselsdatoen til en kjent offentlig person.
Selskapet uttalte i sitt forsvar at problemet kan ikke løses og folk bør i stedet be om at alle referanser til dem slettes fra modellen.
I september i fjor etablerte OpenAI en irsk juridisk enhet i Dublin, som nå er underlagt Irlands databeskyttelseskommisjon (DPC). Dette beskytter selskapet mot GDPR-utfordringer fra de enkelte EU-statene.
Vil ChatGPT Taskforce komme med juridisk bindende konklusjoner i sin neste rapport? Kan OpenAI etterleve dette, selv om de skulle ønske det?
I sin nåværende form vil ChatGPT og andre modeller kanskje aldri være i stand til å overholde personvernreglene som ble skrevet før AI ble innført.
