OpenAI wordt geconfronteerd met een nieuwe privacyklacht in de Europese Unie. Deze is ingediend door een non-profitorganisatie voor privacyrechten nacht richt zich namens een individuele klager op het onvermogen van zijn AI-chatbot ChatGPT om verkeerde informatie die hij over individuen genereert, te corrigeren.
De neiging van GenAI-tools om informatie te produceren die ronduit verkeerd is, is goed gedocumenteerd. Maar het zet de technologie ook op ramkoers met de Algemene Verordening Gegevensbescherming (AVG) van het blok – die regelt hoe de persoonlijke gegevens van regionale gebruikers kunnen worden verwerkt.
De boetes voor het niet naleven van de AVG kunnen oplopen tot 4% van de wereldwijde jaaromzet. Nog belangrijker voor een hulpbronnenrijke gigant als OpenAI: toezichthouders op het gebied van gegevensbescherming kunnen veranderingen opleggen in de manier waarop informatie wordt verwerkt, zodat de handhaving van de AVG een nieuwe vorm kan geven aan de manier waarop generatieve AI-instrumenten in de EU kunnen functioneren.
OpenAI werd al gedwongen enkele wijzigingen aan te brengen na een vroege interventie van de Italiaanse gegevensbeschermingsautoriteit, die in 2023 kortstondig een lokale sluiting van ChatGPT dwong.
Nu dient noyb de nieuwste GDPR-klacht tegen ChatGPT in bij de Oostenrijkse gegevensbeschermingsautoriteit namens een niet bij naam genoemde klager (beschreven als een publieke figuur) die ontdekte dat de AI-chatbot een onjuiste geboortedatum voor hen had geproduceerd.
Onder de AVG hebben mensen in de EU een reeks rechten die verbonden zijn aan informatie over hen, waaronder het recht om foutieve gegevens te laten corrigeren. noyb beweert dat OpenAI deze verplichting niet nakomt met betrekking tot de output van zijn chatbot. Het bedrijf zei dat het bedrijf het verzoek van klager om de onjuiste geboortedatum te corrigeren had afgewezen, en antwoordde dat het technisch onmogelijk was om dit te corrigeren.
In plaats daarvan bood het aan om de gegevens op bepaalde aanwijzingen, zoals de naam van de klager, te filteren of te blokkeren.
OpenAI's privacybeleid stelt dat gebruikers die merken dat de AI-chatbot feitelijk onjuiste informatie over u heeft gegenereerd, een correctieverzoek kunnen indienen privacy.openai.com of door te e-mailen [email protected] . Er wordt echter een waarschuwing gegeven: gezien de technische complexiteit van de manier waarop onze modellen werken, zijn we mogelijk niet in staat om de onnauwkeurigheid in alle gevallen te corrigeren.
In dat geval suggereert OpenAI dat gebruikers vragen om hun persoonlijke gegevens volledig uit de uitvoer van ChatGPT te verwijderen – door een formulier in te vullen digitaal formulier .
Het probleem voor de AI-gigant is dat GDPR-rechten niet à la carte zijn. Mensen in Europa hebben het recht om rectificatie te vragen. Zij hebben ook het recht om verwijdering van hun gegevens te verzoeken. Maar zoals noyb opmerkt, is het niet aan OpenAI om te kiezen welke van deze rechten beschikbaar zijn.
Andere elementen van de klacht richten zich op zorgen over de transparantie van de AVG, waarbij noyb beweert dat OpenAI niet kan zeggen waar de gegevens die het over individuen genereert vandaan komen, noch welke gegevens de chatbot over mensen opslaat.
Dit is belangrijk omdat de verordening individuen opnieuw het recht geeft om dergelijke informatie op te vragen door een zogenaamd subject access request (SAR) in te dienen. Helaas heeft OpenAI niet adequaat gereageerd op de SAR van klager en heeft het geen informatie openbaar gemaakt over de verwerkte gegevens, de bronnen ervan of de ontvangers ervan.
In een reactie op de klacht zei Maartje de Graaf, advocaat gegevensbescherming bij noyb: Het verzinnen van valse informatie is op zichzelf behoorlijk problematisch. Maar als het gaat om valse informatie over individuen, kunnen er ernstige gevolgen zijn. Het is duidelijk dat bedrijven momenteel niet in staat zijn om chatbots zoals ChatGPT te laten voldoen aan de EU-wetgeving bij het verwerken van gegevens over individuen. Als een systeem geen nauwkeurige en transparante resultaten kan opleveren, kan het ook niet worden gebruikt om gegevens over individuen te genereren. De technologie moet voldoen aan de wettelijke vereisten, en niet andersom.
hoogtijdagen
Het bedrijf zei dat het de Oostenrijkse DPA vraagt om de klacht over de gegevensverwerking van OpenAI te onderzoeken, en dringt er bij het bedrijf op aan een boete op te leggen om toekomstige naleving te garanderen. Maar het voegde eraan toe dat de zaak waarschijnlijk zal worden afgehandeld via EU-samenwerking.
OpenAI wordt geconfronteerd met een zeer vergelijkbare klacht in Polen. Afgelopen september opende de lokale gegevensbeschermingsautoriteit een onderzoek naar ChatGPT nadat het in januari een ontwerpbesluit had opgesteld en zei toen dat het van mening is dat OpenAI de AVG op een aantal manieren heeft geschonden, onder meer met betrekking tot de neiging van de chatbot om verkeerde informatie over mensen te produceren. . De bevindingen hebben ook betrekking op andere cruciale kwesties, zoals de rechtmatigheid van de verwerking.
De Italiaanse autoriteit gaf OpenAI een maand de tijd om op haar bevindingen te reageren. Een definitieve beslissing blijft in behandeling.
Nu er opnieuw een AVG-klacht op de chatbot is afgevuurd, is het risico dat OpenAI te maken krijgt met een reeks AVG-handhavingen in verschillende lidstaten groter geworden.
Afgelopen najaar opende het bedrijf een regionaal kantoor in Dublin – in een actie die bedoeld lijkt om het risico op regelgeving te verkleinen door privacyklachten te laten doorsturen door de Ierse Data Protection Commission, dankzij een mechanisme in de AVG dat bedoeld is om het toezicht op grensoverschrijdende klachten te stroomlijnen. door ze door te sturen naar één autoriteit in de lidstaat waar het bedrijf zijn hoofdvestiging heeft.
ChatGPT schendt de Europese privacywetten, vertelt de Italiaanse DPA aan OpenAI
Polen opent een privacyonderzoek naar ChatGPT na een AVG-klacht