Stworzony przez OpenAI LLC model językowy ChatGPT w ostatnim czasie stał się przedmiotem dużego zainteresowania ze strony szerokiej publiki. ChatGPT w celu nauki algorytmu, korzystał z działań typu „data scrapping”, czyli techniki, w której przeszukując zasoby internetowe tworzy on system generacji tekstu – na podstawie przeanalizowanych informacji. W takim wypadku, w naturalny sposób dochodzi do analizy danych osobowych. Tym samym, narzędzie to stało się przedmiotem zainteresowania organów ochrony danych, ze względu na wykorzystanie przez ten podmiot danych osobowych do treningu algorytmów.
Włoski organ ochrony danych osobowych
W związku z funkcjonowaniem generatora, szczególnie aktywny jest włoski organ ochrony danych osobowych – Garante Privacy. Dwukrotnie w ostatnim czasie wypowiadał się on w kontekście funkcjonowania ChatGPT z punktu widzenia ochrony danych osobowych. W decyzji z 30 marca 2023 roku w trybie art. 58 art. 2 lit f) RODO Garante Privacy nałożył na OpenAI, obowiązek czasowego zaprzestania przetwarzania danych osobowych obywateli włoskich. Zakazał udostępniania danych na potrzeby trenowania algorytmu i wezwał podmiot do przedstawienia rozwiązań chroniących dane osobowe w terminie 20 dni.
Na jakie problemy w ochronie danych zwrócił uwagę Garante Privacy?
- OpenAI nie informował o przetwarzaniu danych osób, których dane osobowe pozyskiwał w związku ze skrapowaniem,
- odpowiedzi ChatGPT mogły zawierać dane osobowe – brak było jednak weryfikacji ich prawdziwości i zgodności ze stanem faktycznym,
- OpenAI nie wdrożył żadnych mechanizmów weryfikacji wieku , które zapewniałyby że użytkownicy mają ponad 13 lat.
Naruszenie general data protection regulation
Ponadto 20 marca 2023 roku w ChatGPT doszło do poważnego naruszenia poufności danych, w związku z czym wyciekły dane wielu osób – zarówno użytkowników jak i osób, które wykorzystywano w celu treningu algorytmu. Przez co, osoby zewnętrzne mogły przeglądać dane zebrane na potrzeby funkcjonowania algorytmu, a były to informacje od skrapowanych danych internetowych po dane płatnicze użytkowników. W zrozumiały sposób budziło to wątpliwości, co do stosowanych metod zabezpieczenia algorytmu i ochrony ich poufności.
Zgodnie z wezwaniem Garante Privacy, Open AI przedstawiło propozycje rozwiązań, które miałyby pomóc w osiągnieciu zgodności z wymogami RODO. W związku z tym decyzją z 11 kwietnia 2023 roku zakaz funkcjonowania został warunkowo zdjęty. Włoski organ ochrony danych zaproponował zestaw czynności naprawczych, które powinny być podjęte w celu zabezpieczenia przetwarzania danych przez ChatGPT, które obejmują:
- Klauzulę informacyjną dla osób, których dane są przetwarzane.
- Wdrożenie rozwiązania pozwalającego na wniesienie sprzeciwu wobec przetwarzania dla obywateli Włoch, w zakresie w którym dane te są przetwarzane na potrzeby treningu algorytmu i świadczenia usług.
- Wdrożenie rozwiązania, które pozwala na poprawienie danych wykorzystywanych przez ChatGPT, a jeżeli poprawienie takie nie jest możliwe – usuniecie tych danych.
- Wdrożenie weryfikacji wieku osób, które są badane.
- Przeprowadzenie kampanii, informującej obywateli Włoch, że ich dane mogą być wykorzystywane do trenowania algorytmu.
- Przedstawienie do końca maja do GP programu gwarantującego ochronę danych osobowych wykorzystywanych w związku z działaniem ChatGPT.
Na ostateczne rozwiązanie sprawy należy poczekać co najmniej do końca maja, aż upłynie okres na wdrożenie odpowiednich rozwiązań przez Open AI. Podmiot ten deklaruje zamiar postępowania w sposób zgodny z wymogami ochrony danych i będzie zapewne próbował dostosować się do wymogów wskazanych przez Garante Privacy.
Kraje UE o analizie danych przez ChatGPT
Włoski organ ochrony danych nie jest natomiast jedynym, który wyraził zainteresowanie funkcjonowaniem ChatGPT. Niemiecki federalny komisarz ochrony danych skomentował decyzję GP z marca, uznając że mogłaby być ona wprowadzona także w jego kraju.
Postępowanie takie zostało natomiast wszczęte przez organ ochrony danych landu Schleswig-Holstein, który bada kwestię analizy ryzyka dla ochrony danych przez Open AI.
Organy Francuskie (CNIL) oraz Hiszpańskie (AEPD) wszczęły własne postępowania, badające funkcjonowanie Chat GTP. Nie wskazały jednak dokładnie zakresu prowadzonych postępowań, ograniczając się do informacji, że dotyczą one zgodności z zasadami przetwarzania danych.
Z kolei organy nadzorcze Szwajcarski oraz Brytyjski wydały komunikaty, w których podkreślają ryzyka związane z funkcjonowaniem rozwiązań opartych na sztucznej inteligencji, takich jak ChatGPT, ale do tej pory nie poinformowały o wszczęciu odpowiednich postępowań.
Ochrona danych na szczeblu UE
Sprawa funkcjonowania tego narzędzia stała się także przedmiotem obrad Europejskiej Rady Ochrony Danych, która powołała specjalną grupę która ma koordynować działania organów nadzorczych państw członkowskich dotyczące algorytmu.
Dodatkowo sprawa ChatGPT stała się przedmiotem zainteresowania w obszarze ochrony konsumentów. Grupa BEUC, reprezentująca organizacje pozarządowe zajmujące się ochroną praw konsumenta przed organami unijnymi, zaapelowała do sieci urzędów ochrony konsumenta CPC, by rozpoczęła ona badanie zgodności funkcjonowania generatorów tekstu opartych na sztucznej inteligencji z wymogami ochrony konsumentów.
Zainteresowanie regulatorów i organów nadzorczych ChatGPT nie jest ograniczone przy tym do Europy. Także organy Amerykańskie wysyłają sygnały świadczące o zainteresowaniu regulacyjnym działaniem algorytmu. Spośród podmiotów prywatnych np. korporacje Samsung J.P Morgan Chase czy Verizon zakazuje korzystania z ChatGPT swoim pracownikom.
Analizy danych przez sztuczną inteligencję, a ich bezpieczeństwo
Trening algorytmów i programów też może wiązać się z przetwarzaniem danych osobowych. Pamiętajmy, by uwzględnić taką możliwość przy analizie wykorzystania odpowiedniego narzędzia. Jednocześnie w pewnych sytuacjach trzeba pamiętać by wprowadzić weryfikację wieku użytkowników, jeżeli jest to niezbędne ze względu na specyfikę działalności.
Przy okazji sprawa pokazuje, w jaki sposób współpraca z organem nadzorczym może rozwiązać problemy z decyzją przedsiębiorstwa – Open AI współpracując z Garante Privacy doprowadziło do zmiany niekorzystnej decyzji i zadeklarowało chęć wdrożenia odpowiednich rozwiązań chroniących użytkowników.
Jeżeli chcemy korzystać z ChatGPT dobrze jest uwzględnić potencjalne ograniczenia związane z decyzjami wyżej wymienionych organów. Trend światowy wydaje się zmierzać w stronę ograniczenia funkcjonowania tego narzędzia i wzmocnienia nadzoru regulatorów. Warto także zwrócić uwagę na wskazany przez Garante Privacy brak możliwości weryfikacji i uzgodnienia wyników z prawdą. Dane prezentowane przez ChatGPT z dużym prawdopodobieństwem mogą nie być prawdziwe.
Wyciek danych w pracy?
Należy także zwrócić uwagę na możliwe wykorzystanie i wyciek danych z ChatGPT. Z taką sprawą mieliśmy do czynienia w przypadku pracowników Samsunga. W jednym przypadku pracownik skopiował wadliwy kod źródłowy do narzędzia w celu znalezienia rozwiązania. W drugim, w celu utworzenia notatek ze spotkania zarządu, skopiował jego cały przebieg do ChatGPT. Dane te były objęte wyciekiem danych z 20 marca b.r.
Nawet jeżeli nie doszłoby do takiego wycieku, dane byłyby wykorzystywane przez ChatGPT do uczenia, co mogłoby być postrzegane jako wyciek tajemnicy przedsiębiorstwa. Musimy pamiętać, że dane nie znikają po zamknięciu narzędzia, ale często mogą być dalej wykorzystywane do poprawy funkcjonalności, chyba że OpenAI podejmie decyzję o ich usunięciu.
Warto zatem zastanowić się, czy na pewno chcemy pozwolić pracownikom na swobodne korzystanie z takiego narzędzia, jeżeli może się to wiązać z takim zagrożeniem dla poufności danych.
Badania prowadzone przez firmę Cyberhaven stwierdziły że 3% użytkowników korzystających z AI wprowadza do niego informacje poufne. Odsetek może wydawać się niski, ale już przy kilkudziesięciu pracownikach korzystających z takiego narzędzia mówimy o poważnym ryzyku ujawnienia danych do OpenAI.
