ЕС до сих пор не знает, что делать с обработкой личных данных в ChatGPT

Согласно правилам ЕС, в случае нарушения режима конфиденциальности пользователей компания может быть оштрафована на сумму до 4% от ее годового оборота. Регулятор может приостановить обработку данных, не соответствующую требованиям закона. Таким образом OpenAI сталкивается со значительными регуляторными рисками в ЕС, однако регулирующие органы до сих пор не могут определиться, как именно действующие правила должны применяться к ChatGPT.

Несколько органов уже начали расследования в отношении OpenAI. Например, польский орган по защите данных (DPA) начал расследование после жалобы пользователя, который утверждал, что чат-бот давал ложную информацию о человеке и отказывался ее исправлять. Аналогичная жалоба на бот была подана в Австрии. В прошлом году итальянский регулятор уже накладывал временный запрет на обработку данных местных пользователей ChatGPT.

ChatGPT возобновил работу в Италии после того, как OpenAI внесла изменения в политику. Тем не менее регулятор продолжил расследование и указал, что компания вправе обрабатывать данные пользователей согласно двум основаниям Общего регламента защиты данных ЕС (GDPR): это согласие самого пользователя (то есть запрос у пользователей разрешения на использование их данных) и законные интересы, которые требуют проверки регулятора и подразумевают возможность возражать против обработки.

После вмешательства итальянского регулятора OpenAI стала утверждать, что может обрабатывать данные пользователей ЕС на основе тех самх законных интересов (Legitimate Interests — LI). В отчете целевой группы обсуждается вопрос законности, поскольку правовая основа должна быть для всех этапов обработки: сбор, предварительная обработка (например, фильтрация), обучение ИИ-модели, представление ответов чат-бота.

В отчете указано, что сбор, предварительная обработка и обучение ИИ-модели несут «особые риски» для фундаментальных прав пользователей. Очищенные для обучение данные могут включать наиболее конфиденциальные типы персональных данных (которые GDPR называет «данными особой категории»), такие как информация о здоровье, сексуальной ориентации, политических взглядах и т. п. Это требет более жестких юридических барьеров для обработки, чем общие личные данные, например, имя или возраст.

В случае с правовым основанием «законные интересы» компания не освобождается от обязанности соблюдать защиту данных. Целевая группа предлагает обязать OpenAI обеспечить «адекватные меры защиты», которые включают определение точных критериев сбора и блокировка определенных категорий данных (например, профилей в социальных сетях). Такой подход может заставить компании, которые занимаются разработкой ИИ, более внимательно относиться к тому, какие данные они собирают.

Если при рассмотрении жалоб национальные регуляторы решат, что компания не имеет права полагаться на «законные интересы» при обработке данных, у OpenAI останется лишь одно основание для продолжения работы в ЕС — это запросить согласие самих пользователей. Эксперты сомневаются, что такой вариант осуществим юридически и технически, учитывая, сколько данных о пользователях уже содержатся в обучающих датасетах.

Согласно европейским законам, OpenAI не сможет заключать договоры о лицензировании с пользователями, как она делает это с новостными организациями и лейблами, поскольку GDPR не позволяет физическим лицам продавать свое согласие на обработку данных, согласие должно быть предоставлено свободно. Риск потери конфиденциальности не может быть отнесен к пользователю, так как субъекты данных не несут ответственности за вводимые ими данные.

Группа отмечает, что одно из фундаментальных прав, прописанных в GDPR, — право на исправление личных данных. Текущий подход OpenAI не позволяет пользователям исправлять неправильную личную информацию, сгенерированную о них, а только предлагает заблокировать генерацию данных. При этом эксперты не дают четких указаний, каким образом компания может исправить ситуацию, лишь обозначив проблемные направления.

В ЕС существуют различные точки зрения на регулирование ChatGPT. Если итальянский орган защиты данных достаточно быстро вмешался в работу чат-бота, то комиссар по защите данных Ирландии Хелен Диксон заявила в 2023 году, что местным регуляторам не следует спешить с запретом ChatGPT, утверждая, что необходимо время понять, «как правильно это регулировать». Возможно, из-за либеральной позиции местного органа OpenAI решила открыть представительство в ЕС именно в Ирландии.

Еще один аргумент в пользу размещения европейского офиса компании в Ирландии — это использование механизма One-Stop Shop (OSS), прописанного в GDPR. Он позволяет направлять любые жалобы пользователей регулятору в стране нахождения основного представительства компании. Таким образом именно ирландский регулятор будет принимать решения о том, какие жалобы необходимо расследовать.