W uzasadnieniu decyzji wskazano, że działanie chatbot’a opartego na tzw. sztucznej inteligencji narusza przepisy Unii Europejskiej dotyczące prywatności, w tym nie są stosowane mechanizmy weryfikujące, czy narzędzie wchodzi w interakcję z dziećmi.
Włoski DPA uzasadniając swoją decyzję wskazał na wątpliwości dotyczące istnienia podstawy prawnej dla masowego gromadzenia i przetwarzania danych osobowych w celu „szkolenia” algorytmów, na których opiera się narzędzie. Ponadto powołał się na to, że ChatGPT nie dokonuje żadnej weryfikacji wieku użytkowników, mimo że jest przeznaczony dla osób w wieku powyżej 13 lat. W efekcie włoski DPA stwierdził naruszenie artykułów 5, 6, 8, 13 i 25 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (w skrócie: „RODO”).
Przepisy RODO nakazują, aby przetwarzanie danych osobowych odbywało się zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (art. 5 ust. 1 lit a RODO). Ponadto dane powinny być zbierane w konkretnych i uzasadnionych celach (art. 5 ust. 1 lit b RODO), jak również ich zakres powinien być ograniczony do niezbędnego minimum (art. 5 ust. 1 lit c RODO).
Niestety sposób działania tzw. generatywnej sztucznej inteligencji nie do końca jest przejrzysty, co stawia liczne pytania o jego zgodność z zasadami określonymi w RODO. Przede wszystkim dużą niewiadomą stanowi źródło pozyskiwania danych osobowych. Duże modele językowe w celu „wytrenowania” sztucznej inteligencji wymagają ogromnych ilości danych. Dla tego procesu cenne są wszelkiego rodzaju dane osobowe.
Obecnie wiadomo, że narzędzie OpenAi stosuje tzw. „scraping”, polegający na wykorzystaniu „botów’ i innych programów komputerowych do przeszukiwania sieci Internet i kopiowania informacji ze stron internetowych. Takie dane są następnie indeksowane i przechowywane. W przypadku ChatGPT przeszukiwany, a właściwie „śledzony” jest cały Internet. Zbierane dane mogą obejmować między innymi wpisy z czatów online, innych form osobistej komunikacji jak interakcje z obsługą klienta online i rozmowy w mediach społecznościowych; ponadto grafiki pobrane z Internetu.
W konsekwencji OpenAi może dysponować informacjami o zainteresowaniach, przekonaniach religijnych, poglądach politycznych, orientacji seksualnej i tożsamości płciowej, informacjami o pracy i historii, szczegółami (w tym zdjęciami) dotyczącymi rodzin i dzieci, zachowaniach zakupowych, upodobaniach i niechęciach, sposobach w jaki mówimy i piszemy, lokalizacji, miejscu zamieszkania, informacjami o zdrowiu (w tym stanie psychiki), informacjami o stronach internetowych, które odwiedzamy. Katalog posiadanych danych może być jednak znacznie szerszy. Taki zakres danych może umożliwiać identyfikację poszczególnych osób, jak również zagrozić prywatności, w tym zostać wykorzystane do kradzieży tożsamości, oszustw finansowych, czy kierowania reklam.
W przypadku OpenAi wątpliwości budzi przede wszystkim podstawa prawna uzasadniająca gromadzenie i masowe przechowywanie danych osobowych, w celu „wyszkolenia” algorytmów, na których działaniu opiera się ChatGPT. Dotychczas OpenAi powoływała się na prowadzenie działalności badawczej, co jest jednak kwestionowane.
W uzasadnieniu wspomnianego powyżej pozwu wskazano, że OpenAI powstało w 2015 roku jako laboratorium badawcze o charakterze non-profit (tzn. niezarobkowym). Wówczas jego misją było rozwijanie sztucznej inteligencji w sposób, który przyniesie korzyści całemu społeczeństwu. Sytuacja uległa zmianie w 2019 r., gdy OpenAI przekierowała swoją działalność na generowanie zysków, skupiając się na komercjalizacji narzędzi sztucznej inteligencji, nad którymi pracowała. Stworzenie najpotężniejszej i najbardziej dochodowej sztucznej inteligencji wymaga znacznych ilości danych, dzięki którym OpenAI będzie w stanie „wytrenować” modele językowe, na których opierają się jej produkty. Proceder ma być realizowany przy użyciu superkomputera zbudowanego we współpracy z Microsoft. Powodowie wskazują, że postępowanie OpenAi stanowi strategię potajemnego pozyskiwania danych osobowych milionów osób z Internetu. W oparciu o te dane miały następnie zostać udostępnione produkty nie posiadające odpowiednich zabezpieczeń, zwłaszcza, że sam producent nie jest w stanie przewidzieć kierunku ewolucji działania algorytmów.
OpenAi w udostępnionej polityce prywatności wskazała, że przetwarza dane osobowe min. w celu ulepszania swoich usług i prowadzenia badań, jak również w celu opracowywania nowych programów i usług. Wymienione podstawy zostały jednak zakwestionowane przez włoski DPA. Brak prawidłowej podstawy dla zbierania, przechowywania i wykorzystywania danych osobowych stanowi również jeden z zarzutów w sprawie prowadzonej w USA. Aktualnie przeważa pogląd, że dane osobowe we wspomnianych celach, zwłaszcza ze względu na ich zakres, powinny być przetwarzane na podstawie zgody podmiotów danych (tj. art. 6 ust. 1 lit a RODO).
Należy zauważyć, że w uzasadnieniu wspomnianego powództwa zarzucono OpenAi zbieranie również danych dotyczących np. zdrowia, czy orientacji seksualnej. Co również istotne, takie i inne informacje o szczególnie wrażliwym charakterze mogą zostać dostarczone narzędziom przez samego użytkownika, w trakcie interakcji np. z ChatGPT. Z kolei, jak wynika z art. 9 ust. 1 RODO przetwarzanie tego typu danych jest co do zasady zabronione. Zgodnie z RODO przetwarzanie tzw. danych szczególnych jest dopuszczalne wyłącznie w przypadku spełnienia jednego z warunków określonych w art. 9 ust 2 RODO.
Co prawda jedno z kryteriów stanowi prowadzenie badań naukowych, jednakże przetwarzanie powinno być niezbędne do osiągnięcia takiego celu i nie może naruszać istoty prawa do ochrony danych, jak również musi odbywać się z zastosowaniem odpowiednich zabezpieczeń (art. 9 ust. 2 lit j RODO). Zabezpieczenia powinny obejmować środki techniczne i organizacyjne zapewniające minimalizację danych, obejmować pseudonimizację lub anonimizację danych, o ile pozwala ona realizować założone cele (art. 89 ust. 1 RODO). W żadnym z przypadków RODO nie przewiduje bezpośredniego zezwolenia na przetwarzanie tzw. danych szczególnych w celu rozwijania usług, czy tworzenia nowych usług. Takie działanie byłoby jednak dopuszczalne na podstawie wyraźnej zgody (art. 9 ust. 2 lit a RODO).
Jeden z zarzutów stwierdzonych przez włoski DPA dotyczy nieprawidłowej realizacji obowiązków wymienionych w art. 13 RODO. Polega on na niewystarczającym informowaniu użytkowników i wszystkich zainteresowanych stron, o tym jakie dane są gromadzone przez OpenAI. Należy zauważyć, że przepisy RODO nakazują przekazanie podmiotom danych określonych informacji, w przypadku gdy ich dane osobowe będą zbierane i przetwarzane, jak również dodatkowych informacji, w przypadku gdy dane osobowe pozyskiwane są z źródła innego niż bezpośrednio od podmiotów danych (art. 14 RODO).
Niewątpliwie osoby publikujące w Internecie, w tym w mediach społecznościowych, nie mogą przewidzieć, ani nie mają świadomości, że ich posty mogą zostać wykorzystane do trenowania modelu sztucznej inteligencji. Taka osoba nie została poinformowana o planowanym wykorzystaniu jej danych, jak również nigdy nie wyraziła zgody na takie działanie. Taka osoba nie będzie świadoma, że jej prywatność i prawa do danych osobowych zostały naruszone.
Doświadczenie korzystania z ChatGPT pokazuje, że program nie zawsze generuje poprawne odpowiedzi. Pojawiające się błędy dotyczą także informacji o różnych osobach. Dostarczone przez ChatGPT wyniki nie zawsze odpowiadają rzeczywistym danym, co świadczy o problemie z realizacją zasady określonej w art. 5 ust. 1 lit d RODO, tj. nieprawidłowym przetwarzaniu danych osobowych. W przypadku, gdy model sztucznej inteligencji jest szkolony na danych osobowych wyjętych z kontekstu, może to naruszyć kontekstową integralność danych poszczególnych osób, co z kolei przeczy zasadzie określonej w art. 5 ust. 1 lit f RODO.
Kolejne zagadnienie stanowi brak pewności, czy inne generatywne modele sztucznej inteligencji (w tym ChatGPT) umożliwiają realizację prawa do „bycia zapomnianym” określonego w art. 17 RODO. Zgodnie z przepisami osoba, której dane dotyczą, w pewnych sytuacjach przysługuje prawo żądania niezwłocznego usunięcia dotyczących jej danych osobowych (art. 17 ust. 1 RODO). Tymczasem dane tworzone przez systemy generatywnej sztucznej inteligencji zazwyczaj mają trwały charakter. Odpowiedzi są tworzone na podstawie zebranych danych, co skutkuje praktycznie brakiem możliwości usunięcia wszystkich śladów danych osobowych danej osoby.
Prawo.pl:
https://www.prawo.pl/biznes/openai-trafil-do-sadu,523023.html