ChatGPT vs італійський наглядовий орган: хто кого?

У 2023 році стався справжній технологічний “бум” — ринок заполонили продукти на основі штучного інтелекту, які можуть виконувати найрізноманітніші завдання. Midjourney генерує текст у картинки, Soundful дозволяє створити музику, а SlidesAI зробить за вас презентацію. Проте найвідоміший і найпопулярніший серед таких технологій однозначно ChatGPT. 

ChatGPT (англ. Generative Pre-trained Transformer) — це чат-бот на основі штучного інтелекту, розроблений американською лабораторією OpenAI, який надає інформацію та відповіді на запити користувачів. Чат може згенерувати есе в університет, придумати рецепт або навіть написати код для програми.

Не зважаючи на доведену практичну користь штучного інтелекту у різних сферах, його використання несе в собі певні ризики для приватності та захисту персональних даних користувачів.

Власне така показова історія і трапилась з ChatGPT в Італії, яка є першою європейською країною, що заборонила його використання.

Що саме сталось з ChatGPT в Італії, і чи мала ця історія happy end?

30 березня 2023 

• Італійський наглядовий орган приймає рішення про негайне накладення тимчасових обмежень на опрацювання персональних даних користувачів з Італії компанією OpenAI. А це безпосередньо означає заборону ChatGPT в Італії. 
• За повідомленням італійського наглядового органу, 20 березня стало відомо про витік даних, який стосувався розмов користувачів та інформації щодо оплати підписниками платних послуг ChatGPT. На підставі цього вони провели перевірку і виявили деякі проблеми.

Тож які причини заборони ChatGPT в Італії?

користувачам та зацікавленим сторонам не надається вся необхідна інформація про опрацювання їх персональних даних компанією	відсутність належної правової підстави для опрацювання персональних даних з метою тренування алгоритмів, які лежать в основі роботи ChatGPT	персональні дані, які опрацьовуються компанією, не є точними, оскільки інформація, надана ChatGPT, не завжди відповідає дійсності	відсутність механізму підтвердження віку дозволяє дітям отримувати відповіді, які не відповідають їхньому рівню свідомості.  *в умовах надання послуг OpenAI, зазначено, що ChatGPT адресований користувачам віком від 13 років.
Порушення  ст. 13 GDPR  (інформація, яку необхідно надати у разі збирання персональних даних від суб’єкта даних)	Порушення  ст. 6 GDPR  (законність опрацювання)	Порушення  ст. 5 GDPR   (принцип точності)	Порушення  ст. 8 GDPR  (умови, застосовні до згоди дитини в сфері послуг інформаційного суспільства)

Також було зазначено про порушення ст. 25 GDPR, в якій йдеться про захист даних за призначенням і за замовчуванням (“by design and by default”).

• Італійський наглядовий орган надає 20 днів на виправлення зазначених проблем і попереджає, що в іншому випадку буде накладено штраф.

4-8 квітня 

• Італійський наглядовий орган повідомляє, що OpenAI погодились співпрацювати для забезпечення інтересів італійських користувачів. 
• Відбувається зустріч, на якій OpenAI пропонують свої заходи для вирішення зазначених проблем, а італійський наглядовий орган займається їх оцінкою.

11 квітня 

• Італійський наглядовий орган повідомляє, що він перегляне своє рішення, якщо OpenAI до 30 квітня 2023 року фактично імплементує вказані заходи: 

Інформація

опублікує на сайті інформацію про те, як відбувається опрацювання персональних даних, логіку, що лежить в її основі, права, які мають суб’єкти даних, і іншу інформацію, передбачену GDPR, яка має бути відома суб’єктам даних, незалежно від того, чи є вони користувачами сервісу;

розмістить посилання на цю інформацію таким чином, щоб користувачі могли безпосередньо її прочитати перед реєстрацією у сервісі.

Правові підстави для опрацювання даних

замінить контракт на згоду або законний інтерес як правову підставу для опрацювання даних з метою тренування алгоритмів ChatGPT.

Здійснення прав суб’єктами даних

Додасть на сайт легко доступні засоби, за допомогою яких суб’єкти даних, незалежно від того, чи є вони користувачами ChatGPT, зможуть скористатись своїми правами на:

заперечення проти опрацювання їх даних компанією з ціллю тренування алгоритмів та надання послуг;

виправлення некоректних персональних даних або їх видалення, якщо виправлення технічно неможливе.

Захист дітей

імплементує систему перевірки віку для користувачів, незалежно від того, чи вони вже зареєстровані;

представить план щодо розробки інструменту для фільтрування допуску користувачів віком до 13 років та з 13 до 18, які не отримали згоди батьків чи опікунів. Реалізація цього плану має розпочатись не пізніше 30 вересня 2023 року.

Інформаційно-просвітницька кампанія (до 15 травня 2023)

проведе не маркетингову інформаційну кампанію у всіх італійських ЗМІ (включаючи радіо, телебачення, газети та інтернет) про те, які персональні дані будуть збиратись з метою тренування алгоритмів, і вказівкою на те, що детальна інформація вказана на сайті компанії.

27 квітня

• Компанія OpenAI оновлює політику приватності.

28 квітня 

• Італійський наглядовий орган повідомляє, що імплементувавши покращення системи у відповідності з GDPR, OpenAI відновлює доступ до ChatGPT для користувачів з Італії.

Які уроки можна винести з історії для розробки GDPR-compliant ШІ? 

1. Використовувати GDPR-compliant датасет для тренування моделі.

• Дані мають бути зібрані конкретно для цілі тренування алгоритмів ШІ.
• Правовою підставою для їх опрацювання має бути згода користувача або законний інтерес компанії. Використання з ціллю тренування алгоритмів даних, які були отримані для виконання контракту з користувачем, є порушенням GDPR.
• Такі дані мають відповідати принципу точності, тобто бути правильними.
• Датасет має бути достатньо різноманітним, щоб ШІ згодом не демонстрував дискримінаційні риси та упередження до певних осіб.
• У політиці приватності потрібно конкретно передбачити, які персональні дані збираються, та як довго вони будуть зберігатись.

2. Забезпечити суб’єктам даних легко доступні засоби для здійснення їхніх прав, зокрема на виправлення даних або на заперечення проти їх опрацювання.

3. Проводити попередню оцінку віку потенційних користувачів. У випадку, якщо сервісом користуватимуться діти, потрібно передбачити, як безпечно опрацьовувати їх дані. 

4. Забезпечити необхідні заходи безпеки для захисту персональних даних користувачів (наприклад, псевдомінімізація та шифрування) 

Висновок 

Як зрозуміло з хронології подій, історія із забороною ChatGPT в Італії закінчилась позитивно для усіх сторін. OpenAI імплементували додаткові заходи для захисту даних користувачів і знову відновили доступ до сервісу в Італії, а європейські наглядові органи навіть створили робочу групу для контролю за ChatGPT.

У той же час Європейська комісія після випадку в Італії почала ще прискіпливіше ставитись до генеративного штучного інтелекту, як ChatGPT. Зокрема, Європейська комісія планує відобразити в майбутньому Акті про штучний інтелект норму, яка вимагатиме розкриття будь-яких захищених авторським правом матеріалів, які використовуються для розробки систем ШІ.

Незважаючи на потенційну значущу користь від використання штучного інтелекту у різних сферах діяльності, досі залишається багато правових питань, серед яких і захист користувачів від незаконного використання їх персональних даних. Саме тому рекомендуємо бути уважними до інформації, доступ до якої ви надаєте чату та ділитесь з ним.