Pasukan Tugas ChatGPT EU menawarkan pandangan pertama bagi memperjelas pematuhan privasi AI chatbot
Sebuah pasukan tugas perlindungan data yang telah menghabiskan lebih se tahun mempertimbangkan bagaimana buku panduan perlindungan data Kesatuan Eropah digunakan pada chatbot viral OpenAI, ChatGPT, melaporkan kesimpulan sementara pada hari Jumaat. Pengambilan utama adalah bahawa kumpulan kerja penguatkuasa privasi masih tidak pasti mengenai isu undang-undang utama, seperti kebolehan dan kesaksamaan pemprosesan OpenAI.
Isu ini penting kerana hukuman bagi pelanggaran sah di rejim privasi blok boleh mencapai sehingga 4% dari perolehan tahunan global. Badan pemantau juga boleh mengarahkan pemprosesan yang tidak patuh untuk berhenti. Oleh itu - secara teori - OpenAI menghadapi risiko peraturan yang besar di rantau itu pada masa di mana undang-undang yang diperuntukkan khas untuk AI adalah tipis (dan, malah dalam kes EU, bertahun-tahun lagi dari menjadi sepenuhnya operasi).
Namun tanpa kejelasan dari penguatkuasa perlindungan data EU mengenai bagaimana undang-undang perlindungan data semasa digunakan pada ChatGPT, adil untuk mengatakan bahawa OpenAI akan berasa berkeyakinan untuk meneruskan perniagaan seperti biasa - walaupun wujudnya jumlah aduan yang semakin meningkat bahawa teknologinya melanggar pelbagai aspek Peraturan Perlindungan Data Am (GDPR) blok.
Contohnya, siasatan ini dari pihak berkuasa perlindungan data Poland (DPA) dibuka selepas aduan tentang chatbot membuat maklumat palsu tentang individu dan enggan membetulkan kesilapan itu. Aduan yang serupa juga baru-baru ini diajukan di Austria.
Banyak aduan GDPR, jauh kurang penguatkuasaan
Bermula pada kertas, GDPR digunakan apabila data peribadi dikumpul dan diproses - sesuatu yang model bahasa besar (LLM) seperti OpenAI GPT, model AI di sebalik ChatGPT, jelas-jelas dilakukan secara skala besar apabila mereka mengumpulkan data daripada internet awam untuk melatih model mereka, termasuk dengan menyirap pos orang dari platform media sosial.
Peraturan EU juga memberikan kuasa kepada DPA untuk mengarahkan pemprosesan yang tidak patuh dihentikan. Ini boleh menjadi tuas yang sangat kuat untuk membentuk bagaimana raksasa AI di belakang ChatGPT boleh beroperasi di rantau itu jika penguatkuasa GDPR memilih untuk menariknya.
Memang, kami melihat sekelumit daripada ini tahun lalu apabila badan pengawas privasi Itali melarang sementara OpenAI daripada memproses data pengguna tempatan ChatGPT. Tindakan itu, diambil menggunakan kuasa kecemasan yang terdapat dalam GDPR, menyebabkan raksasa AI tersebut seketika menutup perkhidmatan itu di negara tersebut.
ChatGPT hanya dilanjutkan di Itali setelah OpenAI membuat perubahan kepada maklumat dan kawalan yang diberikan kepada pengguna sebagai tindak balas kepada senarai tuntutan oleh DPA. Tetapi siasatan Itali ke atas chatbot, termasuk isu-isu utama seperti asas undang-undang OpenAI yang diklaim untuk memproses data individu untuk melatih model AI-nya pada mulanya, berterusan. Jadi alat itu masih berada di bawah awan undang-undang di EU.
Bawah GDPR, mana-mana entiti yang ingin memproses data mengenai orang harus mempunyai asas undang-undang untuk operasi tersebut. Peraturan itu menetapkan enam asas yang mungkin - meskipun kebanyakan tidak tersedia dalam konteks OpenAI. Dan DPA Itali sudah mengarahkan raksasa AI itu bahawa ia tidak boleh bergantung pada klaim keperluan kontrak untuk memproses data individu untuk melatih AI-nya - meninggalkannya hanya dengan dua asas undang-undang yang mungkin: sama ada persetujuan (i.e. meminta keizinan pengguna untuk menggunakan data mereka); atau asas yang luas yang dipanggil kepentingan sah (LI), yang menuntut ujian imbangan dan memerlukan pihak kawal untuk membenarkan pengguna menghalang pemprosesan.
Sejak intervensi Itali, OpenAI kelihatan telah bertukar untuk menyatakan bahawa ia mempunyai LI untuk memproses data peribadi yang digunakan untuk melatih modelnya. Walau bagaimanapun, pada Januari, keputusan draf DPA tentang siasatannya mendapati OpenAI melanggar GDPR. Walaupun tiada butiran keputusan draf yang diterbitkan jadi kita masih belum melihat penilaian penuh pihak berkuasa tentang titik asas undang-undang. Keputusan akhir tentang aduan masih tertangguh.
Penyelesaian tepat untuk kesahan ChatGPT?
Laporan pasukan tugas membincangkan isu kesahan yang rumit ini, menunjukkan bahawa ChatGPT memerlukan asas undang-undang yang sah untuk semua peringkat pemprosesan data peribadi - termasuk pengumpulan data latihan; pra-pemprosesan data (seperti penapisan); latihan itu sendiri; prompt dan keluaran ChatGPT; dan sebarang latihan pada ChatGPT prompts.
Tiga peringkat yang disenaraikan itu membawa apa yang pasukan tugas gambarkan sebagai 'risiko yang aneh' untuk hak asasi manusia - dengan laporan menekankan bagaimana skala dan automasi penyerakan web boleh mengakibatkan sejumlah besar data peribadi diserap, meliputi banyak aspek kehidupan orang. Ia juga mencatat data yang diserap mungkin termasuk jenis data peribadi yang paling sensitif (yang GDPR merujuk kepada sebagai 'data kategori khas'), seperti maklumat kesihatan, seksualiti, pandangan politik dan lain-lain, yang memerlukan palang undang-undang yang lebih tinggi untuk pemprosesan daripada data peribadi umum.
Mengenai data kategori khas, pasukan tugas juga menegaskan bahawa hanya kerana ia adalah awam tidak bermakna ia boleh dianggap sebagai telah dibuat 'nyata' awam - yang akan mencetuskan pengecualian dari keperluan GDPR untuk persetujuan eksplisit untuk memproses jenis data ini. ('Untuk bergantung pada pengecualian yang ditetapkan di dalam Pasal 9(2)(e) GDPR, adalah penting untuk menentukan sama ada subjek data bermaksud, secara eksplisit dan dengan tindakan penerimaan yang jelas, untuk menjadikan data peribadi yang dipertanyakan itu boleh diakses kepada orang awam umum, 'ia menulis tentang ini.)
Untuk bergantung pada LI sebagai asas undang-undangnya secara umum, OpenAI perlu menunjukkan bahawa ia perlu memproses data itu; pemprosesan juga harus dihadkan kepada apa yang diperlukan untuk keperluan ini; dan ia harus menjalani ujian imbangan, menimbang kepentingan sahnya dalam pemprosesan terhadap hak dan kebebasan subjek data (iaitu orang yang data tersebut mengenainya).
Di sini, pasukan tugas mempunyai cadangan lain, menulis bahawa 'perlindungan yang mencukupi' - seperti 'langkah-langkah teknikal', menentukan 'kriteria pengumpulan yang tepat' dan/atau menyekat kategori data atau sumber tertentu (seperti profil media sosial), untuk membenarkan data yang kurang dikumpulkan pada permulaan untuk mengurangkan kesan pada individu - boleh 'menukarkan ujian imbangan dalam faedah pihak kawal'.
Pendekatan ini boleh memaksa syarikat AI untuk mengambil berhati-hati tentang bagaimana dan apa data yang dikumpul untuk menghadkan risiko privasi.
'Selain itu, langkah-langkah harus diambil untuk memadamkan atau menjadikan data peribadi yang dikumpul melalui penyerakan web menjadi tidak kembali ketika peringkat latihan,' cadangkan pasukan tugas juga.
OpenAI juga cuba bergantung pada LI untuk memproses data prompt pengguna ChatGPT untuk latihan model. Mengenai ini, laporan menekankan keperluan untuk pengguna 'diberitahu dengan jelas dan boleh dibuktikan' bahawa kandungan tersebut mungkin digunakan untuk tujuan latihan - mencatat ini adalah salah satu faktor yang akan diambil kira dalam ujian imbangan untuk LI.
Ia akan menjadi keputusan kepada individu DPA yang menilai aduan untuk memutuskan samada raksasa AI telah memenuhi keperluan untuk benar-benar dapat bergantung pada LI. Jika tidak, pembuat ChatGPT akan dibiarkan hanya dengan satu pilihan undang-undang di EU: meminta izin daripada warganegara. Dan mengambil kira berapa ramai data orang yang mungkin terdapat dalam data latihan, tidak jelas betapa mudahnya ia boleh dilakukan. (Perjanjian raksasa AI dalam memperoleh lesen dari penerbit berita untuk melisensikan kewartawanan mereka, sementara itu, tidak akan bermaksud menjadi templat untuk melisensikan data peribadi orang Eropah kerana undang-undang tidak membenarkan orang untuk menjual keizinan mereka; keizinan harus diberikan secara sukarela.)
Keadilan & menjadi terbuka tidak bersyarat
Di tempat lain, pada prinsip keadilan GDPR, laporan pasukan tugas menekankan bahawa risiko privasi tidak boleh dipindahkan kepada pengguna, seperti dengan membenamkan klausa dalam T&C bahawa 'subjek data bertanggungjawab atas input chat mereka'.
'OpenAI tetap bertanggungjawab untuk mematuhi GDPR dan sepatutnya tidak berhujah bahawa input data peribadi tertentu dilarang pada peringkat pertama,' tambahnya.
Mengenai kewajipan ketelusan, pasukan tugas kelihatan menerima bahawa OpenAI boleh menggunakan pengecualian (GDPR Artikel 14(5)(b)) untuk memberitahu individu mengenai data yang dikumpulkan mengenai mereka, mengambil kira skala penyerakan web yang terlibat dalam memperoleh data-sets untuk melatih LLMs. Tetapi laporannya menekankan 'kepentingan khusus' memaklumkan pengguna input mereka mungkin digunakan untuk tujuan latihan.
Laporan juga menyentuh isu ChatGPT 'halusinasi' (membuat maklumat palsu), memperingatkan bahawa 'prinsip ketepatan data mesti patuh' - dan menekankan perlunya OpenAI untuk menyediakan 'maklumat yang sewajarnya' tentang 'output probabilistik' chatbot dan 'tahap kebolehpercayaan yang terhad'nya.
Pasukan tugas juga mencadangkan agar OpenAI memberikan pengguna dengan 'rujukan eksplisit' bahawa teks yang dihasilkan 'boleh memihak atau dicipta'.
Menyelit dalam hak subjek data, seperti hak untuk membetulkan data peribadi - yang telah menjadi fokus beberapa aduan GDPR mengenai ChatGPT - laporan menggambarkan ia sebagai 'penting' orang dapat dengan mudah melaksanakan hak-hak mereka. Ia juga mengamati kelemahan dalam pendekatan semasa OpenAI, termasuk hakikat bahawa ia tidak membenarkan pengguna mempunyai maklumat peribadi yang tidak betul dihasilkan tentang mereka diperbetulkan, tetapi hanya menawarkan untuk menghalang penghasilan.
Bagaimanapun pasukan tugas tidak menawarkan panduan yang jelas tentang bagaimana OpenAI dapat meningkatkan 'modaliti' yang ditawarkan kepada pengguna untuk melaksanakan hak mereka - ia hanya memberikan cadangan umum yang syarikat menggalakkan 'langkah-langkah yang sesuai digunakan untuk melaksanakan prinsip perlindungan data secara berkesan' dan 'perlindungan yang diperlukan' untuk memenuhi keperluan GDPR dan melindungi hak subjek data'. Yang kedengarannya sangat mirip dengan 'kami juga tidak tahu bagaimana memperbetulkan ini'.
Penguatkuasaan GDPR ChatGPT tertangguh?
Pasukan tugas ChatGPT telah ditubuhkan, pada April 2023, setelah intervensi berita Itali terhadap OpenAI, dengan tujuan menyelaraskan penguatkuasaan undang-undang privasi blok ke atas teknologi baru ini. Pasukan tugas beroperasi dalam badan pentadbiran yang dipanggil Lembaga Perlindungan Data Eropah (EDPB), yang mengawal aplikasi undang-undang EU di bidang ini. Walaupun penting untuk diingat bahawa DPA kekal bebas dan berkemampuan untuk melaksanakan undang-undang di kawasan masing-masing di mana penguatkuasaan GDPR adalah terdesentralisasi.
Walaupun kemerdekaan tidak dapat dielakkan DPAs untuk melaksanakan secara tempatan, jelas terdapat sedikit ketakutan/penjauhan risiko di kalangan badan pemantau tentang cara untuk bertindak balas terhadap teknologi yang baru seperti ChatGPT.
Pada awal tahun ini, apabila DPA Itali mengumumkan keputusan drafnya, ia menyatakan bahawa prosidingnya akan 'mengambil kira' kerja pasukan tugas EDPB. Dan ada petanda lain bahawa badan pemantau mungkin lebih cenderung untuk menunggu pasukan kerja memberi pandangan dalam laporan akhir mereka - mungkin dalam masa setahun lagi - sebelum terlibat dengan penguatkuasaan mereka sendiri. Oleh itu, wujudnya pasukan tugas mungkin sudah mempengaruhi pelaksanaan GDPR ke atas chatbot OpenAI dengan menangguhkan keputusan dan memasukkan penyiasatan aduan ke dalam lorong perlahan.
Sebagai contoh, dalam temuramah baru-baru ini di media tempatan, pihak berkuasa perlindungan data Poland mengesyorkan bahawa penyiasatan ke atas OpenAI perlu menunggu pasukan tugas selesai dengan kerja mereka.
Pihak berkuasa perlindungan tersebut tidak memberi respons apabila kami bertanya sama ada ia menangguhkan penguatkuasaan kerana lanjutan pasukan kerja ChatGPT. Sementara jurucakap EDPB memberitahu kami bahawa kerja pasukan tugas 'tidak mencabar analisis yang akan dibuat oleh setiap DPA dalam penyelidikan mereka yang sedang berlangsung. Walau bagaimanapun, mereka menambah, 'Walaupun DPAs berkemampuan untuk melaksanakan, EDPB mempunyai peranan penting untuk mempromosikan kerjasama di antara DPAs dalam penguatkuasaan.'
Dengan ini, terdapat penelitian dalam spektrum yang besar pandangan di kalangan DPAs tentang sejauh mana mereka harus bertindak dengan segera mengenai kebimbangan tentang ChatGPT. Jadi, walaupun badan pemantau Itali membuat berita hebat untuk campur tangan cepat mereka tahun lalu, Pengerusi Perlindungan Data Ireland (kini bekas), Helen Dixon
