OpenAI oskarżony o naruszenie europejskich przepisów dotyczących prywatności użytkowników

Redaktor NetMaster
Redaktor NetMaster
6 min. czytania

Po miesięcznym dochodzeniu prowadzonym przez włoski organ ochrony danych w sprawie chatbota ChatGPT opartego na sztucznej inteligencji, OpenAI zostało oskarżone o naruszenie unijnych przepisów dotyczących prywatności. Potwierdzone naruszenia w zakresie przetwarzania danych osobowych mogą skutkować karami finansowymi w wysokości do 20 milionów euro lub do 4% rocznego obrotu. OpenAI ma 30 dni na ustosunkowanie się do zarzutów.

Władze włoskie wyraziły w zeszłym roku obawy dotyczące zgodności OpenAI z ogólnym rozporządzeniem o ochronie danych (RODO), co doprowadziło do tymczasowego zawieszenia chatbota na rynku europejskim. Włoski organ ochrony danych w dniu 30 marca w tak zwanym „rejestrze środków” podkreślił brak odpowiedniej podstawy prawnej do gromadzenia i przetwarzania danych osobowych w celu szkolenia algorytmów leżących u podstaw ChatGPT, skłonności narzędzia AI do „halucynacje” i potencjalne obawy dotyczące bezpieczeństwa dziecka. Władze zarzuciły OpenAI naruszenie art. 5, 6, 8, 13 i 25 RODO.

Organy ochrony danych mają prawo żądać zmian w sposobie przetwarzania danych, aby zapobiec naruszeniom prywatności obywateli UE. Tym samym regulatorzy mogliby wymusić na OpenAI zmianę podejścia do przetwarzania danych osobowych lub zmusić firmę do zaprzestania oferowania swoich usług na terenie Unii Europejskiej.

Wiosną 2023 r. OpenAI było w stanie stosunkowo szybko reaktywować ChatGPT we Włoszech po wyeliminowaniu szeregu naruszeń zidentyfikowanych przez DPA. Władze włoskie kontynuowały jednak dochodzenie i doszły do ​​wstępnych wniosków, że narzędzie AI OpenAI narusza prawo UE. Władze włoskie nie opublikowały jeszcze listy potwierdzonych naruszeń ChatGPT, ale głównym zarzutem wobec OpenAI będzie najprawdopodobniej sama zasada przetwarzania danych osobowych w celu szkolenia modeli AI.

ChatGPT został opracowany w oparciu o bogactwo danych pochodzących z publicznego Internetu – informacji obejmujących dane osobowe osób fizycznych. A problem, przed którym stoi OpenAI w UE, polega na tym, że potrzebuje ważnej podstawy prawnej do przetwarzania danych mieszkańców UE. RODO wymienia sześć możliwych podstaw prawnych, z których większość jest po prostu nieistotna w tym kontekście. W kwietniu ubiegłego roku włoski organ ochrony danych pozostawił OpenAI jedynie dwie prawne możliwości szkolenia modeli sztucznej inteligencji: „potwierdzona zgoda” lub „uzasadnione interesy”.

Biorąc pod uwagę, że OpenAI nigdy nie próbowało uzyskać zgody milionów (a być może miliardów) użytkowników Internetu, których informacje gromadziło i przetwarzało w celu zbudowania modeli sztucznej inteligencji, jakakolwiek próba uzyskania od Europejczyków pozwolenia na przetwarzanie ich danych osobowych jest skazana na niepowodzenie. OpenAI pozostaje zatem jedynie możliwość powołania się na twierdzenie o „uzasadnionych interesach”. Ramy te zapewniają jednak również właścicielom danych prawo do sprzeciwu i żądania zaprzestania przetwarzania ich danych osobowych.

Teoretycznie każdy mieszkaniec UE ma prawo żądać, aby OpenAI przejęło i zniszczyło nielegalnie wyszkolone modele oraz przeszkoliło nowe modele bez wykorzystania jego danych. Ale nawet jeśli założymy możliwość zidentyfikowania wszystkich danych przetwarzanych nielegalnie, to w przypadku każdego zgłaszającego sprzeciw obywatela UE należałoby przeprowadzić podobną procedurę, co w praktyce jest prawie niemożliwe.

Istnieje również szersze pytanie, czy organ ochrony danych ostatecznie uznaje, że „uzasadnione interesy” w ogóle stanowią w tym kontekście ważną podstawę prawną. Taka decyzja regulatora wydaje się mało prawdopodobna. Przecież przetwarzający dane muszą wyważyć swoje interesy z prawami i wolnościami osób, których dane dotyczą, ocenić możliwość wyrządzenia im niepotrzebnej szkody, a także rozważyć, czy ludzie spodziewali się, że ich dane zostaną w ten sposób wykorzystane.

Warto zauważyć, że w podobnej sytuacji Sąd Najwyższy UE uznał wcześniej „uzasadnione interesy” za niewłaściwą podstawę dla Meta✴ podczas śledzenia i profilowania użytkowników w celu kierowania reklam w jej sieciach społecznościowych. Zatem istnieje negatywny precedens prawny dla OpenAI próbującej usprawiedliwić przetwarzanie danych osobowych na masową skalę w celu stworzenia komercyjnego biznesu generatywnego w zakresie sztucznej inteligencji – zwłaszcza gdy przedmiotowe narzędzia stwarzają wszelkiego rodzaju nowe zagrożenia dla wymienionych osób (dezinformacja, zniesławienie, kradzież tożsamości i oszustwa to tylko kilka z nich). OpenAI jest również badane pod kątem zgodności z RODO w Polsce, gdzie wszczęto osobne śledztwo w tej sprawie.

OpenAI stara się minimalizować potencjalne ryzyko regulacyjne w UE, tworząc w Irlandii odrębną organizację, która w przyszłości powinna stać się dostawcą usług AI dla użytkowników w UE. OpenAI ma nadzieję osiągnąć w Irlandii status „głównej placówki”, co umożliwi jej korzystanie z ocen zgodności z RODO dokonywanych wyłącznie przez irlandzką Komisję Ochrony Danych i prowadzenie działalności w UE za pośrednictwem mechanizmu regulacyjnego „jednego okienka”, unikając nadzoru każdego członka UE stanowe organy DPA.

Jednak OpenAI nie osiągnął jeszcze tego statusu, więc ChatGPT może nadal być przedmiotem dochodzeń prowadzonych przez organy ochrony danych w innych krajach UE. Nawet uzyskanie statusu „podstawowej agencji” w Irlandii nie zatrzyma już wszczętego dochodzenia i egzekwowania przepisów we Włoszech.

Włoski organ ochrony danych twierdzi, że organy ochrony danych starają się koordynować nadzór nad ChatGPT, powołując grupę roboczą w ramach Europejskiej Rady Ochrony Danych. Wysiłki te mogą ostatecznie doprowadzić do bardziej spójnych wyników poszczególnych badań OpenAI. Jednak na razie organy ochrony danych każdego członka UE pozostają niezależne i kompetentne do podejmowania decyzji na swoich własnych rynkach.

Udostępnij ten artykuł
Dodaj komentarz