ChatGPT нарушила и продолжает нарушать европейские законы о конфиденциальности

Компания OpenAI получила сообщение о том, что ее подозревают в нарушении неприкосновенности частной жизни в Европейском союзе после многомесячного расследования деятельности ее ИИ-чат-бота ChatGPT, проведенного итальянским органом по защите данных. Ведомство направило OpenAI уведомление и дало компании 30 дней для ответа на обвинения.

Если нарушения будут подтверждены, это может повлечь за собой штрафы в размере до €20 млн, или до 4% от мирового годового оборота. Кроме того, органы по защите данных (DPA) могут издавать приказы, требующие внесения изменений в способ обработки данных. Таким образом, OpenAI может быть вынуждена изменить свои методы работы или вывести свой сервис из стран-членов ЕС.

Еще в прошлом году итальянское правительство выразило обеспокоенность по поводу соблюдения OpenAI общего регламента по защите данных (GDPR), когда распорядилось о запрете на локальную обработку данных ChatGPT. Это привело к временной приостановке работы чат-бота с искусственным интеллектом на итальянском рынке.

В документе, направленном в OpenAI, среди проблем, вызывающих обеспокоенность, были названы отсутствие надлежащей правовой основы для сбора и обработки персональных данных с целью обучения алгоритмов, лежащих в основе ChatGPT, а также склонность ИИ-инструмента к «галлюцинациям», то есть его способность выдавать неточную информацию о людях. Также была обозначена проблема безопасности несовершеннолетних.

Несмотря на выявление этого длинного списка предполагаемых нарушений, OpenAI смогла относительно быстро возобновить работу ChatGPT в Италии в прошлом году, предприняв шаги для решения некоторых проблем, поднятых DPA. Тем не менее итальянский регулятор заявил, что продолжит расследование предполагаемых нарушений. В настоящее время были сделаны предварительные выводы о том, что инструмент нарушает законодательство ЕС.

ChatGPT разработан с использованием массивов данных, извлеченных из общедоступного интернета, — информации, которая включает в себя личные данные людей. И проблема, с которой сталкивается OpenAI в Европейском Союзе, заключается в том, что обработка данных граждан ЕС требует наличия действительной правовой основы.

ИИ-гигант никогда не стремился получить согласие бесчисленных миллионов веб-пользователей, чью информацию он принимал и обрабатывал для построения модели ИИ. Когда OpenAI пересмотрела свою документацию после вмешательства регулятора в прошлом году, она ссылалась на заявление о законном интересе.

Тем не менее это правовое основание по-прежнему требует, чтобы субъекты данных имели возможность подать возражение и прекратить обработку их информации. Как OpenAI смогла сделать это в контексте своего чат-бота с искусственным интеллектом — вопрос открытый.

Помимо этого, существует более широкий вопрос, придет ли регулятор в конечном итоге к выводу о том, что законные интересы вообще являются действительным правовым основанием в этом контексте. Обработка также должна быть необходимой, и для стороны, обрабатывающей данные, не должно быть другого, менее навязчивого способа достижения своей цели.

OpenAI также подвергся проверке на соответствие ChatGPT требованиям GDPR в Польше, после того как летом прошлого года была подана жалоба, в которой описывался случай, когда ИИ выдал недостоверную информацию о человеке, и на ответ OpenAI этому заявителю.

Компания отреагировала на растущий регуляторный риск в ЕС, стремясь создать физическую базу в Ирландии и объявив в январе, что эта ирландская организация будет поставщиком услуг для данных пользователей из ЕС в будущем. С помощью этих шагов компания надеется получить ирландскую «прописку» и перейти к оценке соответствия GDPR под руководством Комиссии по защите данных Ирландии через механизм «одного окна» — вместо того чтобы ее бизнес потенциально подвергался надзору DPA из любой точки ЕС.

Однако OpenAI еще не получила этот статус, поэтому ChatGPT все еще может столкнуться с другими расследованиями со стороны DPA в других странах ЕС. И даже если это произойдет, итальянское расследование и правоприменение будут продолжаться, поскольку обработка данных, о которой идет речь, предшествовала изменению структуры компании.

Органы ЕС по защите данных стремились координировать свой надзор за ChatGPT через Европейский совет по защите данных, создав целевую группу для рассмотрения вопроса о том, как регламент по защите данных применяется к чат-боту. Эти усилия могут в конечном счете привести к более согласованным результатам в отдельных расследованиях, например в Италии и Польше.

Тем временем популярность ChatGPT продолжает расти, и в том числе среди детей. Исследование, в котором изучались привычки более 400 тыс. семей и школ по всему миру, показало, что почти 20% детей посетили веб-сайт OpenAI в прошлом году, что сделало его 18-м по посещаемости сайтом. В США его посетили 18,7% детей и он занял 32-е место в общем зачете.