ЕС дагэтуль не ведае, што рабіць з апрацоўкай асабістых даных у ChatGPT

Згодна з правіламі ЕС, у выпадку парушэння рэжыму канфідэнцыйнасці карыстальнікаў кампанія можа быць аштрафаваная на суму да 4% ад яе гадавога абароту. Рэгулятар можа прыпыніць апрацоўку даных, якая не адпавядае патрабаванням закона. Такім чынам OpenAI сутыкаецца са значнымі рэгулятарнымі рызыкамі ў ЕС, аднак органы-рэгулятары дагэтуль не могуць вызначыцца, як менавіта дзейныя правілы маюць прымяняцца да ChatGPT.

Некалькі органаў ужо пачало расследавання ў дачыненні да OpenAI. Напрыклад, польскі орган па абароне даных (DPA) пачаў расследаванне пасля скаргі карыстальніка, які сцвярджаў, што чат-бот даваў ілжывую інфармацыю пра чалавека і адмаўляўся яе выпраўляць. Аналагічная скарга на бот была пададзеная ў Аўстрыі. Летась італьянскі рэгулятар ужо накладаў часовую забарону на апрацоўку даных мясцовых карыстальнікаў ChatGPT.

ChatGPT аднавіў працу ў Італіі пасля таго, як OpenAI унесла змены ў палітыку. Тым не менш рэгулятар працягнуў расследаванне і паказаў, што кампанія мае права апрацоўваць даныя карыстальнікаў паводле дзвюх падстаў агульнага рэгламенту абароны даных ЕС (GDPR): гэта згода самога карыстальніка (то-бок запыт у карыстальнікаў дазволу на выкарыстанне іх даных) і законныя інтарэсы, якія патрабуюць праверкі рэгулятара і маюць на ўвазе магчымасць пярэчыць супраць апрацоўкі.

Пасля ўмяшання італьянскага рэгулятара OpenAI стала сцвярджаць, што можа апрацоўваць даныя карыстальнікаў ЕС на аснове тых самых законных інтарэсаў (Legitimate Interests — LI). У справаздачы мэтавай групы абмяркоўваецца пытанне законнасці, паколькі прававая аснова мае быць для ўсіх этапаў апрацоўкі: збор, папярэдняя апрацоўка (напрыклад, фільтраванне), навучанне АІ-мадэлі, паказ адказаў чат-бота.

У справаздачы гаворыцца, што збор, папярэдняя апрацоўка і навучанне АІ-мадэлі нясуць «асаблівыя рызыкі» для фундаментальных правоў карыстальнікаў. Вычышчаныя для навучанне даныя могуць уключаць найбольш канфідэнцыйныя тыпы персанальных даных (якія GDPR называе «данымі асаблівай катэгорыі»), такія як інфармацыя пра здароўе, сэксуальную арыентацыю, палітычныя погляды і да т. п. Гэта патрабуе больш жорсткіх юрыдычных бар’ераў для апрацоўкі, чым агульныя асабістыя даныя, напрыклад, імя або ўзрост.

У выпадку з прававой падставай «законныя інтарэсы» кампанія не вызваляецца ад абавязку выконваць абарону даных. Мэтавая група прапаноўвае абавязаць OpenAI забяспечыць «адэкватныя меры абароны», якія ўключаюць вызначэнне дакладных крытэраў збору і блакаванне пэўных катэгорый даных (напрыклад, профіляў у сацыяльных сетках). Такі падыход можа прымусіць кампаніі, якія займаюцца распрацоўкай АІ, уважлівей ставіцца да таго, якія даныя яны збіраюць.

Калі пры разглядзе скаргаў нацыянальныя рэгулятары вырашаць, што кампанія не мае права спадзявацца на «законныя інтарэсы» пры апрацоўцы даных, у OpenAI застанецца толькі адная падстава для працягу працы ў ЕС — гэта запытаць згоду саміх карыстальнікаў. Эксперты сумняваюцца, што такі варыянт здзяйсняльны юрыдычна і тэхнічна, улічваючы, колькі даных пра карыстальнікаў ужо ўтрымліваюцца ў навучальных датасэтах.

Паводле еўрапейскіх законаў, OpenAI не зможа ўкладаць дамовы аб ліцэнзаванні з карыстальнікамі, як яна робіць гэта з навінавымі арганізацыямі і лэйбламі, паколькі GDPR не дазваляе фізічным асобам прадаваць сваю згоду на апрацоўку даных, згода мае быць дадзеная свабодна. Рызыка страты канфідэнцыйнасці не можа быць аднесеная да карыстальніка, так як суб’екты даных не нясуць адказнасці за даныя, якія ўводзяць.

Група адзначае, што адное з фундаментальных правоў, прапісаных у GDPR, — права на выпраўленне асабістых даных. Бягучы падыход OpenAI не дазваляе карыстальнікам выпраўляць няправільную асабістую інфармацыю, згенераваную пра іх, а толькі прапаноўвае заблакаваць генерацыю даных. Пры гэтым эксперты не даюць дакладных указанняў, якім чынам кампанія можа выправіць сітуацыю, толькі пазначыўшы праблемныя напрамкі.

У ЕС існуюць розныя пункты гледжання на рэгуляванне ChatGPT. Калі італьянскі орган абароны даных досыць хутка ўмяшаўся ў працу чат-бота, то камісарка па абароне даных Ірландыі Хелен Дыксан заявіла ў 2023 годзе, што мясцовым рэгулятарам не варта спяшацца з забаронай ChatGPT, сцвярджаючы, што неабходны час зразумець, «як правільна гэта рэгуляваць». Магчыма, праз ліберальную пазіцыю мясцовага органа OpenAI вырашыла адкрыць прадстаўніцтва ў ЕС якраз у Ірландыі.

Яшчэ адзін аргумент на карысць размяшчэння еўрапейскага офіса кампаніі ў Ірландыі — гэта выкарыстанне механізму One-Stop Shop (OSS), прапісанага ў GDPR. Ён дазваляе накіроўваць любыя скаргі карыстальнікаў рэгулятару ў краіне знаходжання асноўнага прадстаўніцтва кампаніі. Такім чынам менавіта ірландскі рэгулятар будзе прымаць рашэнні аб тым, якія скаргі неабходна расследаваць.