Megpróbálja szabályok közé terelni az EU a ChatGPT-t

Az Európai Unió adatvédelmi biztosokból álló munkacsoportja több mint egy éven át vizsgálta, hogy a kontinens adatvédelmi szabályzata hogyan alkalmazható az OpenAI chatbotjára, a ChatGPT-re. Most közzétették előzetes következtetéseiket, de továbbra sem döntöttek sarkalatos jogi kérdésekben, például az OpenAI adatfeldolgozásának jogszerűségét és tisztességességét illetően. A kérdés azért fontos, mert a szervezet adatvédelmi paragrafusainak megsértése esetén kiszabható büntetések elérhetik a globális éves forgalom 4%-át és a felügyeleti szervek a nem megfelelő adatfeldolgozás leállítását is elrendelhetik. Az OpenAI tehát - elméletileg - jelentős szabályozási kockázattal néz szembe a régióban, hiszen a mesterséges intelligenciára vonatkozó törvények még alig születtek meg (és még az EU esetében is évek választják el attól, hogy teljes mértékben működőképesek legyenek).

De anélkül, hogy az EU adatvédelmi hatóságai egyértelművé tennék, hogy a jelenlegi adatvédelmi törvények hogyan vonatkoznak a ChatGPT-re, az biztos, hogy az OpenAI felhatalmazva érzi magát arra, hogy a szokásos módon folytassa a tevékenységét - annak ellenére, hogy egyre több panasz érkezik arra, hogy technológiája sérti az EU általános adatvédelmi rendeletének (GDPR) különböző aspektusait. A lengyel adatvédelmi hatóság (DPA) például azt követően indított vizsgálatot, hogy a chatbot személyre vonatkozó információkat hamisított, és nem volt hajlandó kijavítani a hibákat. Hasonló panasz érkezett nemrég Ausztriában is.

Papíron a GDPR minden olyan esetben alkalmazandó, amikor személyes adatokat gyűjtenek és dolgoznak fel - amit a nagy nyelvi modellek (LLM), mint például a ChatGPT mögött álló MI-modell - bizonyíthatóan hatalmas mennyiségben tesznek, amikor az internetről töltenek le adatokat modelljeik betanításához, többek között az emberek közösségi médiaplatformokra írt bejegyzéseik feldolgozásával. Az uniós rendelet felhatalmazza az adatvédelmi hatóságokat arra is, hogy elrendeljék a nem megfelelő adatfeldolgozás leállítását. Ez egy nagyon erős eszköz lehet a ChatGPT mögött álló mesterséges intelligencia-óriás működésének alakításában a régióban, ha a GDPR végrehajtói úgy döntenek, hogy bevetik.

Erre már tavaly is láthattunk példát, amikor az olasz adatvédelmi hatóság ideiglenesen megtiltotta az OpenAI-nak a helyi felhasználók adatainak feldolgozását. A GDPR-ban foglalt sürgősségi hatáskörökkel hozott intézkedés ahhoz vezetett, hogy az MI-óriás rövid időre leállította a szolgáltatást az országban. A ChatGPT csak azt követően indult újra Olaszországban, hogy az OpenAI a DPA által megfogalmazott követelmények listájára válaszul változtatásokat eszközölt a felhasználóknak nyújtott információk és ellenőrzések terén. A chatrobottal kapcsolatos olasz vizsgálat azonban folytatódik, beleértve olyan sarkalatos kérdéseket is, mint például az OpenAI által hivatkozott jogalap, amely alapján az emberek adatait feldolgozza az MI-modellek képzése céljából.

A GDPR értelmében minden olyan szervezetnek, amely emberekre vonatkozó adatokat kíván feldolgozni, rendelkeznie kell a művelet jogalapjával. A rendelet hat lehetséges jogalapot határoz meg, és a legtöbb nem áll rendelkezésre az OpenAI kontextusában. Az olasz adatvédelmi hatóság már utasította az MI-óriást, hogy nem hivatkozhat arra, hogy a modellek képzése érdekében szerződéses szükségességre hivatkozva feldolgozza az emberek adatait - így csak két lehetséges jogalap marad: vagy a hozzájárulás (azaz az egyes felhasználók engedélyének kérése az adataik felhasználásához); vagy a jogos érdekek (LI) nevű széles körű jogalap, amely mérlegelési tesztet igényel, és megköveteli, hogy az adatkezelő lehetővé tegye a felhasználók számára, hogy tiltakozzanak a feldolgozás ellen.

Olaszország beavatkozása óta az OpenAI úgy tűnik, hogy áttért arra, hogy a modellképzéshez használt személyes adatok feldolgozására vonatkozó jogos érdekre hivatkozik. Januárban azonban az adatvédelmi hatóság a határozattervezetében megállapította, hogy az OpenAI megsértette a GDPR-t. A megállapítások tervezetének részleteit nem tették közzé, így még nem láthatjuk a hatóság teljes értékelését a jogalappal kapcsolatban. A panasszal kapcsolatos végleges döntés még várat magára.

A munkacsoport jelentése foglalkozik ezzel a bonyolult jogszerűségi kérdéssel, rámutatva, hogy a ChatGPT-nek érvényes jogalapra van szüksége a személyes adatok feldolgozásának minden szakaszához - beleértve a képzési adatok gyűjtését; az adatok előfeldolgozását (például szűrést); magát a képzést; az utasításokat és a ChatGPT kimeneteit; valamint a ChatGPT-utasításokkal kapcsolatos képzést. A felsoroltak közül az első három szakasz a munkacsoport szerint „különös kockázatot” jelent az emberek alapvető jogaira nézve. A jelentés kiemeli, hogy a webes adatgyűjtés terjedelme és automatizáltsága nagy mennyiségű személyes adat rögzítéséhez vezethet, amely az emberek életének számos aspektusára kiterjed. A jelentés azt is megjegyzi, hogy a feltérképezett adatok a személyes adatok legérzékenyebb típusait is tartalmazhatják (amelyeket a GDPR „különleges kategóriájú adatoknak” nevez), például egészségügyi, szexuális, politikai stb. adatokat, amelyek feldolgozása még magasabb jogi korlátot igényel, mint az általános személyes adatoké.

A különleges kategóriájú adatokkal kapcsolatban a munkacsoport azt is állítja, hogy az, hogy az adatok nyilvánosak, még nem jelenti azt, hogy „nyilvánvalóan” nyilvánosnak tekinthetők - ami mentességet jelentene a GDPR-nak az ilyen típusú adatok feldolgozásához szükséges kifejezett hozzájárulásra vonatkozó követelménye alól. („Ahhoz, hogy a GDPR 9. cikke (2) bekezdésének e) pontjában meghatározott kivételre lehessen hivatkozni, fontos annak megállapítása, hogy az érintettnek kifejezett és egyértelműen megerősítő cselekedettel az volt-e a szándéka, hogy a szóban forgó személyes adatokat a nyilvánosság számára hozzáférhetővé tegye” - írja erről a munkacsoport.) Ahhoz, hogy az OpenAI általánosságban a jogos érdekre, mint jogalapra hivatkozhasson, bizonyítania kell, hogy szüksége van az adatok kezelésére; az adatkezelésnek az e szükséglethez szükséges mértékre kell korlátozódnia; és mérlegelési tesztet kell végeznie, mérlegelve az adatkezeléshez fűződő jogos érdekeit az érintettek (azaz az adatokkal érintett személyek) jogaival és szabadságával szemben.

A munkacsoportnak van egy másik javaslata is, amely szerint a „megfelelő biztosítékok” - például „technikai intézkedések”, „pontos adatgyűjtési kritériumok” meghatározása és/vagy bizonyos adatkategóriák vagy -források (például közösségi médiaprofilok) kizárása, hogy az egyénekre gyakorolt hatások csökkentése érdekében eleve kevesebb adatot lehessen gyűjteni. Ez a megközelítés arra kényszerítheti a mesterséges intelligenciával foglalkozó vállalatokat, hogy a magánéletet érintő kockázatok csökkentése érdekében nagyobb gondossággal mérlegeljék, hogyan és milyen adatokat gyűjtenek. "Továbbá intézkedéseket kell hozni a webes adatgyűjtés útján gyűjtött személyes adatok törlésére vagy anonimizálására a képzési szakasz előtt” - javasolja a munkacsoport.

Az OpenAI arra is törekszik, hogy a ChatGPT-felhasználók adatainak feldolgozásában a modellképzéshez a jogos érdekre támaszkodjon. Ezzel kapcsolatban a jelentés hangsúlyozza, hogy a felhasználókat „egyértelműen és bizonyíthatóan tájékoztatni kell” arról, hogy az ilyen tartalmak felhasználhatók képzési célokra - megjegyezve, hogy ez az egyik olyan tényező, amelyet a mérlegelési teszt során figyelembe kell venni. A panaszokat elbíráló adatvédelmi hatóságok feladata lesz eldönteni, hogy a mesterséges intelligencia óriás teljesítette-e a követelményeket ahhoz, hogy ténylegesen hivatkozhasson erre a jogalapra. Ha nem, akkor a ChatGPT készítőjének egyetlen jogi lehetősége marad az EU-ban: a polgárok beleegyezését kérni. Tekintettel arra, hogy a képzési adathalmazok milyen sok ember adatait tartalmazzák, nem világos, hogy ez mennyire lenne kivitelezhető.

A GDPR méltányossági elvével kapcsolatban a munkacsoport jelentése hangsúlyozza, hogy az adatvédelmi kockázat nem hárítható át a felhasználóra, például azáltal, hogy az általános szerződési feltételekbe beágyaznak egy záradékot, miszerint „az érintettek felelősek a csevegésbe bevitt adatokért”. "Az OpenAI továbbra is felelős a GDPR betartásáért, és nem érvelhet azzal, hogy bizonyos személyes adatok bevitele eleve tilos volt” - teszi hozzá a jelentés. Az átláthatósági kötelezettségekkel kapcsolatban a munkacsoport úgy tűnik, elfogadja, hogy az OpenAI élhet a mentességgel, hogy értesítse az egyéneket a róluk gyűjtött adatokról, tekintettel az LLM-ek képzéséhez szükséges adathalmazok megszerzéséhez szükséges webes adatgyűjtés nagyságrendjére. A jelentés azonban megismétli, hogy „különösen fontos” tájékoztatni a felhasználókat arról, hogy az általuk megadott adatok felhasználhatók képzési célokra.

A jelentés kitér a ChatGPT „hallucinálásának” (az információk kitalálásának) kérdésére is, figyelmeztetve, hogy a GDPR „adatpontossági elvét be kell tartani” - és hangsúlyozva, hogy az OpenAI-nak ezért „megfelelő tájékoztatást” kell nyújtania a chatbot „valószínűségi kimenetéről” és annak „korlátozott megbízhatósági szintjéről”. A munkacsoport azt is javasolja, hogy az OpenAI „kifejezett utalást” adjon a felhasználóknak arra, hogy a generált szöveg „lehet elfogult vagy kitalált”. Ami az érintettek jogait illeti, például a személyes adatok helyesbítéséhez való jogot - amely a ChatGPT-vel kapcsolatos számos GDPR-panasz középpontjában állt -, a jelentés szerint „elengedhetetlen”, hogy az emberek könnyen gyakorolhassák jogaikat. A jelentés az OpenAI jelenlegi megközelítésének korlátait is kritizálja, többek között azt, hogy a felhasználóknak nem teszi lehetővé a róluk generált helytelen személyes adatok helyesbítését, hanem csak a generálás blokkolását ajánlja fel.

A munkacsoport azonban nem ad egyértelmű iránymutatást arra vonatkozóan, hogy az OpenAI hogyan javíthatja a felhasználók számára az adatkezelési jogok gyakorlásához kínált „módozatokat” - csupán általános ajánlást tesz arra vonatkozóan, hogy a vállalat „az adatvédelmi elvek hatékony végrehajtását célzó megfelelő intézkedéseket” és „szükséges biztosítékokat” alkalmazzon a GDPR követelményeinek teljesítése és az érintettek jogainak védelme érdekében”. Ami nagyon úgy hangzik, hogy „mi sem tudjuk, hogyan kell ezt megoldani”.

Az olaszok és a lengyelek elől Írországba menekült az OpenAI

A ChatGPT munkacsoportot még 2023 áprilisában hozták létre, Olaszországnak az OpenAI-val kapcsolatos, nagy port kavart beavatkozása nyomán, azzal a céllal, hogy egyszerűsítsék a kontinens adatvédelmi szabályainak végrehajtását a születőben lévő technológiára vonatkozóan. A munkacsoport az Európai Adatvédelmi Testület (EDPB) nevű szabályozó szerven belül működik, amely az uniós jog alkalmazását irányítja ezen a területen. Fontos megjegyezni, hogy az adatvédelmi hatóságok továbbra is függetlenek maradnak, és hatáskörrel rendelkeznek a jogszabály saját országukban történő végrehajtására. Az adatvédelmi hatóságok helyi végrehajtásra vonatkozó elvitathatatlan függetlensége ellenére a felügyeleti szervek körében egyértelműen van némi idegesség azzal kapcsolatban, hogy miként reagáljanak egy olyan újonnan születő technológiára, mint a ChatGPT.

Az év elején, amikor az olasz adatvédelmi hatóság bejelentette határozattervezetét, hangsúlyozta, hogy eljárása során „figyelembe veszi” az EDPB munkacsoport munkáját. Más jelek pedig arra utalnak, hogy a felügyeleti szervek hajlamosabbak megvárni, amíg a munkacsoport - talán egy év múlva - végleges jelentéssel jelentkezik, mielőtt saját végrehajtó intézkedéseikbe bocsátkoznának. Tehát a munkacsoport puszta létezése már most is befolyásolhatja az OpenAI chatbotjával kapcsolatos GDPR-érvényesítést azáltal, hogy késlelteti a döntéseket és lassítja a panaszok kivizsgálását. A lengyel adatvédelmi hatóság például egy a helyi médiában megjelent interjúban felvetette, hogy az OpenAI-val kapcsolatos vizsgálatának meg kell várnia, amíg a munkacsoport befejezi munkáját.

A jelenlegi állás szerint az adatvédelmi hatóságok között jelentős a véleménykülönbség abban a tekintetben, hogy milyen sürgősséggel kell fellépniük a ChatGPT-vel kapcsolatos aggályok miatt. Így míg Olaszország felügyeleti hatósága tavaly gyors beavatkozásával került a címlapokra, addig Írország (most már volt) adatvédelmi biztosa, Helen Dixon 2023-ban egy Bloomberg-konferencián azt mondta, hogy az adatvédelmi hatóságoknak nem kellene elsietniük a ChatGPT betiltását - azzal érvelve, hogy időre van szükségük, hogy kitalálják, „hogyan szabályozzák megfelelően”. Valószínűleg nem véletlen, hogy az OpenAI tavaly ősszel Írországba költözött, hogy létrehozzon egy uniós telephelyet. Ezt a lépést decemberben csendben követte a vállalat általános szerződési feltételeinek módosítása, amely az új írországi egységet, az OpenAI Ireland Limitedet nevezte meg a ChatGPT-hez hasonló szolgáltatások regionális szolgáltatójaként, és olyan struktúrát hozott létre, amely lehetővé tette, hogy az MI-óriás kérelmezhesse, hogy az ír adatvédelmi bizottság (DPC) legyen a GDPR-felügyelet vezető felügyelője.

Úgy tűnik, hogy ez a szabályozási kockázatokra összpontosító jogi szerkezetátalakítás kifizetődő volt az OpenAI számára, mivel az EDPB ChatGPT munkacsoportjának jelentése szerint a vállalat idén február 15-től megkapta a letelepedési státuszt, ami lehetővé teszi számára, hogy kihasználja a GDPR-ban szereplő, egyablakos ügyintézésnek (OSS) nevezett mechanizmus előnyeit, ami azt jelenti, hogy az azóta felmerülő, határokon átnyúló panaszokat a fő letelepedés helye szerinti ország (azaz az OpenAI esetében Írország) vezető adatvédelmi hatóságán keresztül fogják továbbítani. Alapvetően ez azt jelenti, hogy a vállalat mostantól elkerülheti a GDPR további decentralizált végrehajtásának kockázatát - ahogyan azt Olaszországban és Lengyelországban láttuk -, mivel a jövőben az ír adatvédelmi hatóság fog dönteni arról, hogy mely panaszokat vizsgálják ki, hogyan és mikor.

Az ír felügyeleti hatóság hírnevet szerzett magának abban, hogy a GDPR nagyvállalatokkal szembeni érvényesítésében vállalkozásbarát megközelítést alkalmaz. Más szóval a „generatív mesterséges intelligencia” lehet a következő a sorban, amely részesülhet Dublin nagylelkűségéből a régió adatvédelmi szabálykönyvének értelmezésében.