Europeiska dataskyddsstyrelsen inrättade ChatGPT Taskforce för ett år sedan för att fastställa om OpenAI:s hantering av personuppgifter var förenlig med GDPR-lagarna. En rapport som beskriver de preliminära resultaten har nu släppts.
EU är extremt strikt när det gäller hur medborgarnas personuppgifter används, och GDPR-reglerna definierar uttryckligen vad företag får och inte får göra med dessa uppgifter.
Följer AI-företag som OpenAI dessa lagar när de använder data för att träna och driva sina modeller? Ett år efter att ChatGPT Taskforce inledde sitt arbete är det korta svaret: kanske, kanske inte.
Rapporten säger att man publicerar preliminära resultat och att "det ännu inte är möjligt att ge en fullständig beskrivning av resultaten".
De tre huvudområden som arbetsgruppen undersökte var laglighet, rättvisa och korrekthet.
Laglighet
För att skapa sina modeller samlade OpenAI in offentliga data, filtrerade dem, använde dem för att träna sina modeller och fortsätter att träna sina modeller med hjälp av användarinstruktioner. Är detta lagligt i Europa?
OpenAI:s webbskrotning samlar oundvikligen in personuppgifter. Enligt GDPR får du bara använda den här informationen om det finns ett legitimt intresse och ta hänsyn till de rimliga förväntningar som människor har på hur deras uppgifter används.
OpenAI säger att dess modeller överensstämmer med artikel 6.1 f i GDPR, som bland annat säger att användningen av personuppgifter är laglig när "behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen".
I rapporten står det att "åtgärder bör vidtas för att radera eller anonymisera personuppgifter som har samlats in via webbskrapning före utbildningsstadiet".
OpenAI säger att de har skyddsåtgärder för personuppgifter på plats, men arbetsgruppen säger att "bevisbördan för att visa att sådana åtgärder är effektiva ligger hos OpenAI".
Rättvisa
När EU-medborgare interagerar med företag förväntar de sig att deras personuppgifter hanteras på ett korrekt sätt.
Är det rättvist att ChatGPT har en klausul i villkoren som säger att användare är ansvariga för sina chattinmatningar? GDPR säger att en organisation inte kan överföra ansvaret för GDPR-efterlevnad till användaren.
I rapporten står det att om "ChatGPT görs tillgängligt för allmänheten bör det antas att individer förr eller senare kommer att mata in personuppgifter. Om dessa uppgifter sedan blir en del av datamodellen och till exempel delas med alla som ställer en specifik fråga, är OpenAI fortfarande ansvarigt för att följa GDPR och bör inte hävda att det från början var förbjudet att mata in vissa personuppgifter."
I rapporten dras slutsatsen att OpenAI måste vara transparent och uttryckligen berätta för användarna att deras inmatningar kan komma att användas i utbildningssyfte.
Noggrannhet
AI-modeller hallucinera och ChatGPT är inget undantag. När de inte vet svaret hittar de ibland bara på något. När ChatGPT levererar felaktiga fakta om enskilda personer bryter den mot GDPR:s krav på att personuppgifter ska vara korrekta.
I rapporten konstateras att "slutanvändarna sannolikt kommer att uppfatta de resultat som ChatGPT tillhandahåller som faktamässigt korrekta, inklusive information som rör enskilda personer, oavsett hur korrekta de faktiskt är".
Även om ChatGPT varnar användare för att det ibland gör misstag, säger arbetsgruppen att detta inte är "tillräckligt för att följa principen om datanoggrannhet".
OpenAI står inför en stämning eftersom ChatGPT fortsätter att få fel födelsedatum för en anmärkningsvärd offentlig person.
Bolaget uppgav i sitt svaromål att problemet kan inte lösas och folk borde be om att alla referenser till dem raderas från modellen istället.
I september förra året etablerade OpenAI en irländsk juridisk enhet i Dublin, som nu lyder under Irlands dataskyddskommission (DPC). Detta skyddar företaget från GDPR-utmaningar från enskilda EU-länder.
Kommer ChatGPT:s arbetsgrupp att göra rättsligt bindande slutsatser i sin nästa rapport? Kan OpenAI följa den, även om de skulle vilja det?
I sin nuvarande form kommer ChatGPT och andra modeller kanske aldrig att helt kunna följa de integritetsregler som skrevs före AI:s intåg.
