De European Data Protection Board heeft een jaar geleden de ChatGPT Taskforce opgericht om vast te stellen of OpenAI's omgang met persoonlijke gegevens in overeenstemming was met de GDPR-wetgeving. Een rapport met voorlopige bevindingen is nu vrijgegeven.
De EU is extreem streng over hoe de persoonlijke gegevens van haar burgers worden gebruikt, met GDPR-regels die expliciet bepalen wat bedrijven wel en niet mogen doen met deze gegevens.
Voldoen AI-bedrijven zoals OpenAI aan deze wetten wanneer ze gegevens gebruiken bij het trainen en gebruiken van hun modellen? Een jaar na de start van de ChatGPT Taskforce is het korte antwoord: misschien wel, misschien niet.
Het verslag zegt dat het voorlopige bevindingen publiceert en dat "het nog niet mogelijk is om een volledige beschrijving van de resultaten te geven".
De drie belangrijkste gebieden die de taskforce onderzocht, waren rechtmatigheid, eerlijkheid en nauwkeurigheid.
Rechtmatigheid
Om zijn modellen te maken, verzamelde OpenAI openbare gegevens, filterde ze, gebruikte ze om zijn modellen te trainen en blijft zijn modellen trainen met gebruikersaanwijzingen. Is dit legaal in Europa?
OpenAI's web scraping haalt onvermijdelijk persoonlijke gegevens boven. GDPR zegt dat je deze informatie alleen mag gebruiken als er een legitiem belang is en rekening moet houden met de redelijke verwachtingen die mensen hebben over hoe hun gegevens worden gebruikt.
OpenAI zegt dat zijn modellen voldoen aan artikel 6(1)(f) GDPR, dat deels zegt dat het gebruik van persoonsgegevens legaal is wanneer "de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde".
In het rapport staat dat "er maatregelen moeten worden genomen om persoonlijke gegevens die via web scraping zijn verzameld, te verwijderen of anoniem te maken voordat ze worden getraind".
OpenAI zegt dat het waarborgen heeft voor persoonlijke gegevens, maar de taskforce zegt dat "de bewijslast voor het aantonen van de effectiviteit van dergelijke maatregelen bij OpenAI ligt".
Eerlijkheid
Wanneer EU-burgers contact hebben met bedrijven, verwachten ze dat er goed met hun persoonlijke gegevens wordt omgegaan.
Is het eerlijk dat ChatGPT een clausule in de algemene voorwaarden heeft die zegt dat gebruikers verantwoordelijk zijn voor hun chatinputs? GDPR zegt dat een organisatie de verantwoordelijkheid voor GDPR-naleving niet kan overdragen aan de gebruiker.
Het rapport zegt dat als "ChatGPT beschikbaar wordt gemaakt voor het publiek, moet worden aangenomen dat individuen vroeg of laat persoonlijke gegevens zullen invoeren. Als die invoer vervolgens onderdeel wordt van het datamodel en bijvoorbeeld wordt gedeeld met iedereen die een specifieke vraag stelt, blijft OpenAI verantwoordelijk voor de naleving van de GDPR en mag het niet aanvoeren dat de invoer van bepaalde persoonsgegevens in eerste instantie verboden was."
Het rapport concludeert dat OpenAI transparant moet zijn door gebruikers expliciet te vertellen dat hun prompt input gebruikt kan worden voor trainingsdoeleinden.
Nauwkeurigheid
AI-modellen hallucineren en ChatGPT is geen uitzondering. Als het het antwoord niet weet, verzint het soms gewoon iets. Wanneer het onjuiste feiten over individuen levert, overtreedt ChatGPT de GDPR-vereiste voor de nauwkeurigheid van persoonlijke gegevens.
Het rapport merkt op dat "de output van ChatGPT door eindgebruikers waarschijnlijk als feitelijk accuraat wordt beschouwd, inclusief informatie met betrekking tot individuen, ongeacht hun feitelijke accuraatheid."
Hoewel ChatGPT gebruikers waarschuwt dat het soms fouten maakt, zegt de taskforce dat dit "niet voldoende is om te voldoen aan het principe van nauwkeurigheid van gegevens".
OpenAI wordt geconfronteerd met een rechtszaak omdat ChatGPT steeds de geboortedatum van een opmerkelijk publiek figuur verkeerd heeft.
Het bedrijf verklaarde in zijn verdediging dat het probleem kan niet worden opgelost en mensen zouden moeten vragen om in plaats daarvan alle verwijzingen naar hen uit het model te verwijderen.
Afgelopen september heeft OpenAI een Ierse juridische entiteit opgericht in Dublin, die nu onder de Ierse Data Protection Commission (DPC) valt. Hierdoor is OpenAI beschermd tegen GDPR-uitdagingen van individuele EU-staten.
Zal de ChatGPT Taskforce juridisch bindende bevindingen doen in zijn volgende rapport? Zou OpenAI hieraan kunnen voldoen, zelfs als het dat zou willen?
In hun huidige vorm zullen ChatGPT en andere modellen misschien nooit volledig kunnen voldoen aan de privacyregels die zijn opgesteld voor de komst van AI.
