Afbeeldingscredits: Olivier Daulieri/AFP/Getty Images
OpenAI wordt geconfronteerd met een nieuwe privacyklacht in de Europese Unie. Deze zaak is aangespannen door een non-profitorganisatie die zich bezighoudt met privacyrechten neeb Namens een individuele klager richt hij zich op het onvermogen van de AI-aangedreven chatbot ChatGPT om desinformatie die deze over individuen genereert, te corrigeren.
De neiging van GenAI-tools om valse informatie te produceren is goed gedocumenteerd. Maar het brengt de technologie ook op ramkoers met de Algemene Verordening Gegevensbescherming (AVG) van het blok, die regelt hoe de persoonlijke gegevens van regionale gebruikers worden verwerkt.
Sancties voor het niet naleven van de AVG kunnen oplopen tot 4% van de totale wereldwijde jaarlijkse omzet. Belangrijker voor een hulpbronnenrijke gigant als OpenAI: toezichthouders op het gebied van gegevensbescherming zouden veranderingen kunnen opleggen in de manier waarop informatie wordt verwerkt, zodat de introductie van de AVG een nieuwe vorm zou kunnen geven aan de manier waarop generatieve AI-instrumenten in de EU werken.
OpenAI is al gedwongen enkele wijzigingen aan te brengen na vroegtijdig ingrijpen door de Italiaanse gegevensbeschermingsautoriteit, die ChatGPT kortstondig dwong lokaal te sluiten in 2023.
Nu heeft noyb zijn laatste GDPR-klacht tegen ChatGPT ingediend bij de Oostenrijkse gegevensbeschermingsautoriteit namens een niet bij naam genoemde klager (beschreven als een “publieke figuur”) die ontdekte dat hun AI-aangedreven chatbot een onjuiste geboortedatum voor hen had geproduceerd.
Op grond van de Algemene Verordening Gegevensbescherming hebben mensen in de EU een reeks rechten die verband houden met informatie over hen, waaronder het recht om onjuiste gegevens te laten corrigeren. noyb stelt dat OpenAI deze verplichting niet nakomt met betrekking tot de output van zijn chatbot. Ze zei dat het bedrijf het verzoek van klager om de onjuiste geboortedatum te corrigeren, had afgewezen, omdat het van mening was dat het technisch onmogelijk was om deze te corrigeren.
In plaats daarvan bood het aan om gegevens te filteren of te blokkeren op basis van bepaalde aanwijzingen, zoals de naam van de klager.
OpenAI privacybeleid Daarin staat dat gebruikers die merken dat hun AI-chatbot “onjuiste informatie over u” heeft gegenereerd, een “correctieverzoek” kunnen indienen via Privacy.openai.com Of via e-mail naar [email protected]. Hij maakt echter een kanttekening bij deze zin: “Vanwege de technische complexiteit van de manier waarop onze modellen werken, zijn we mogelijk niet in staat om onnauwkeurigheden in alle gevallen te corrigeren.”
In dit geval suggereert OpenAI dat gebruikers verzoeken dat hun persoonlijke gegevens volledig uit de ChatGPT-uitvoer worden verwijderd – door een formulier in te vullen digitaal formulier.
Het probleem voor de AI-gigant is dat zijn AVG-rechten niet selectief zijn. Mensen in Europa hebben het recht om correctie te vragen. Ze hebben ook het recht om te verzoeken dat hun gegevens worden verwijderd. Maar zoals Noib opmerkt, heeft OpenAI niet het recht om een van deze beschikbare rechten te kiezen.
Andere elementen van de klacht richten zich op zorgen over de transparantie van de AVG, waarbij Noib beweert dat OpenAI niet in staat is de bron te identificeren van de gegevens die het over individuen genereert, noch de gegevens die de chatbot over mensen opslaat.
Dit is belangrijk omdat de Verordening individuen wederom het recht geeft om dergelijke informatie op te vragen door het indienen van een zogenaamd Subject Access Request (SAR). OpenAI reageerde echter niet adequaat op de SAR van klager en maakte geen enkele informatie openbaar over de verwerkte gegevens, de bronnen ervan of de ontvangers ervan.
In een reactie op de klacht zei Maartje de Graaf, advocaat gegevensbescherming bij noyb: “Het verzinnen van valse informatie is op zichzelf een groot probleem. Maar als het om valse informatie over individuen gaat, kunnen er ernstige gevolgen zijn duidelijk dat bedrijven momenteel niet in staat zijn om chatbots zoals ChatGPT te laten voldoen aan de EU-wetgeving, bij het verwerken van gegevens over individuen als een systeem geen nauwkeurige en transparante resultaten kan produceren, kan het niet worden gebruikt om gegevens over individuen te genereren. De technologie moet aan wettelijke vereisten voldoen, niet andersom.
Het bedrijf zei dat het de Oostenrijkse DPA vraagt om de klacht over de gegevensverwerking van OpenAI te onderzoeken, en dringt er bij haar op aan een boete op te leggen om toekomstige naleving te garanderen. Maar ze voegde eraan toe dat het “waarschijnlijk” was dat de kwestie zou worden aangepakt via samenwerking met de Europese Unie.
OpenAI wordt geconfronteerd met een zeer vergelijkbare klacht in Polen. Afgelopen september opende de lokale gegevensbeschermingsautoriteit een onderzoek naar ChatGPT na een klacht van een privacy- en beveiligingsonderzoeker die eveneens niet in staat bleek onjuiste informatie hierover door OpenAI te corrigeren. Deze klacht beschuldigt de AI-gigant er ook van niet te voldoen aan de transparantievereisten die in de verordening zijn vastgelegd.
Ondertussen voert de Italiaanse gegevensbeschermingsautoriteit nog steeds een open onderzoek naar ChatGPT. In januari bracht het een ontwerpbesluit uit, waarin het destijds zei dat het geloofde dat OpenAI de AVG op verschillende manieren had geschonden, onder meer met betrekking tot de neiging van de chatbot om misleidende informatie over mensen te produceren. De bevindingen hebben ook betrekking op andere inhoudelijke kwesties, zoals de rechtmatigheid van de behandeling.
De Italiaanse autoriteiten hebben OpenAI een maand de tijd gegeven om op de bevindingen te reageren. De definitieve beslissing laat nog op zich wachten.
Nu er weer een AVG-klacht op de chatbot is gelanceerd, is het risico dat OpenAI te maken krijgt met een reeks AVG-handhavingsacties in verschillende lidstaten toegenomen.
Afgelopen najaar opende het bedrijf een regionaal kantoor in Dublin – in een stap die gericht lijkt te zijn op het verminderen van regelgevingsrisico’s door het omleiden van privacyklachten door de Ierse Data Protection Commission, dankzij een mechanisme in de AVG dat gericht is op het vereenvoudigen van het grensoverschrijdende toezicht op klachten. Door ze door te verwijzen naar de autoriteit van één lidstaat waar het bedrijf een “hoofdonderneming” is.
‘Webgeek. Wannabe-denker. Lezer. Freelance reisevangelist. Liefhebber van popcultuur. Gecertificeerde muziekwetenschapper.’
