Tech Blog

OpenAI:s ChatGPT under granskning för överträdelser av GDPR

OpenAI, skaparna bakom den generativa AI-chatboten ChatGPT, står inför en ny granskning rörande efterlevnad av Europeiska unionens (EU) dataskyddsförordning (GDPR) i Polen. Detta följer efter ett klagomål som lämnades in förra månaden, där företaget anklagas för flera överträdelser av GDPR.

Granskningen av ChatGPT

Den polska dataskyddsmyndigheten (UODO) meddelade den 20 september att de inlett en utredning angående ChatGPT och OpenAI, efter klagomål som lämnades in av en polsk integritets- och säkerhetsforskare. Klagomålet berör en rad påstådda överträdelser av GDPR, inklusive avsaknad av rättslig grund, transparensproblem, icke-uppfyllnad av den registrerades rättigheter, avsaknad av inbyggt dataskydd.

Kärnan i klagomålet ligger i OpenAI:s svar på en begäran från den registrerade att korrigera felaktiga personuppgifter som ChatGPT genererade. Den registrerade hade bett ChatGPT att skapa en biografi om honom och upptäckte att texten innehöll fel. När den registrerade informerade OpenAI om detta och bad om rättelse svarade företaget att de inte hade möjlighet att göra detta, vilket strider mot art. 16 i GDPR avseende den registrerades rätt till rättelse. Vidare så anger klagomålet även att den registrerade inte blivit informerad om hur personuppgifterna skulle användas vilket är en överträdelse enligt art. 15 samt att behandlingen saknar rättslig grund enligt art. 5(1)(a). Dessa överträdelser leder även till att en överträdelse av art. 25 avseende inbyggt dataskydd och dataskydd som standard också skett. Den registrerade anser att eftersom modellen är byggd på ett sådant sätt att rättelse inte är möjlig och det faktum att ingen information utgår till de individer vars personuppgifter processas som ett led i träningen av OpenAI:s modeller, blir slutsatsen att ChatGPT:s inbyggda dataskydd är otillräckligt.

ChatGPT och dess GDPR-utmaningar

Denna utredning utgör bara en del av den växande regulatoriska problematiken som OpenAI står inför i EU. Tidigare i år ledde en undersökning från Italiens dataskyddsmyndighet till en tillfällig blockering av ChatGPT i landet och tjänsten återvände till Italien först efter att OpenAI förändrat sin datapolicy. Åtgärderna omfattade att lägga till information på sin webbplats om hur man samlar in och använder data som används för att träna de algoritmer som driver ChatGPT, ge EU-användare ett formulär som de kan använda för att invända mot att deras data används för träning, och lägga till ett verktyg för att verifiera användarnas ålder när de registrerar sig. Även Spaniens dataskyddsmyndighet har öppnat en utredning, medan en arbetsgrupp inrättats av Europeiska dataskyddsstyrelsen för att överväga en harmoniserad ansats mot reglering av ChatGPT inom EU. Du kan läsa mer om detta här.

ChatGPT drivs av en så kallad stor språkmodell (LLM), som tränats på stora mängder naturlig språkdata för att kunna svara på frågor på ett människolikt sätt. Trots dess imponerande prestanda, har OpenAI:s skrapning av offentlig data från internet för att träna sina modeller, utan människors vetskap eller samtycke, lett till att ChatGPT har hamnat i blåsväder i EU. Bloggen har tidigare skrivit om detta här. Företagets uppenbara oförmåga att förklara exakt hur man behandlar personuppgifter, eller att korrigera misstag när dess AI ”hallucinerar” och producerar falsk information om namngivna individer, är andra.

Slutsats

Den polska dataskyddsmyndighetens utredning av OpenAI och ChatGPT understryker de komplexa juridiska utmaningar som generativa AI-system står inför inom EU. Medan OpenAI försöker navigera i den regulatoriska miljön genom att öppna ett kontor på Irland, kommer denna utredning sannolikt endast vara en av många som företaget måste hantera i sin strävan efter att göra ChatGPT tillgänglig och förenligt med de regulatoriska kraven på den europeiska marknaden.

 

Denna artikel är skriven av Associate David Suh.