Zwei Tage nachdem in einem offenen Brief ein Moratorium für die Entwicklung leistungsfähigerer generativer KI-Modelle gefordert wurde, damit die Regulierungsbehörden mit ChatGPT Schritt halten können, hat die italienische Datenschutzbehörde gerade rechtzeitig daran erinnert, dass einige Länder Tun haben Gesetze, die bereits für hochmoderne KI gelten – von Bestellung OpenAI stellt mit sofortiger Wirkung die lokale Verarbeitung von Personendaten ein.
Die italienische Datenschutzbehörde sagte, sie sei besorgt, dass der Hersteller von ChatGPT gegen die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union verstoße.
Insbesondere die Garantie sagte, es habe die Anweisung erlassen, ChatGPT wegen Bedenken zu blockieren, dass OpenAI die Daten von Personen unrechtmäßig verarbeitet hat – und auch wegen des Fehlens eines Systems, um Minderjährige am Zugriff auf die Technologie zu hindern.
Das in San Francisco ansässige Unternehmen hat 20 Tage Zeit, um auf die Anordnung zu reagieren – unterstützt durch die Androhung einiger saftiger Strafen, wenn es sich nicht daran hält. (Erinnerung: Bußgelder für Verstöße gegen das EU-Datenschutzregime können bis zu 4 % des Jahresumsatzes oder 20 Mio. € betragen, je nachdem, welcher Betrag höher ist.)
Es ist erwähnenswert, dass, da OpenAI keine juristische Person mit Sitz in der EU hat, jede Datenschutzbehörde befugt ist, gemäß der DSGVO einzugreifen, wenn sie Risiken für lokale Benutzer sieht. (Wo also Italien eingreift, können andere folgen.)
Suite von DSGVO-Problemen
Die DSGVO gilt immer dann, wenn personenbezogene Daten von EU-Nutzern verarbeitet werden. Und es ist klar, dass das große Sprachmodell von OpenAI diese Art von Informationen verarbeitet hat – da es beispielsweise Biografien von namentlich genannten Personen in der Region auf Abruf erstellen kann (wir wissen; wir haben es ausprobiert). OpenAI hat sich jedoch geweigert, Einzelheiten zu den Trainingsdaten bereitzustellen, die für die neueste Iteration der Technologie, GPT-4, verwendet werden. Aber es hat sich herausgestellt, dass frühere Modelle mit Daten aus dem Internet trainiert wurden, einschließlich Foren wie Reddit. Wenn Sie also halbwegs online waren, kennt der Bot wahrscheinlich Ihren Namen.
Hinzu kommt, dass ChatGPT nachweislich völlig falsche Informationen über namentlich genannte Personen produziert – offenbar um Details zu erfinden, die seinen Trainingsdaten fehlen. Was möglicherweise weitere DSGVO-Bedenken aufwirft – da die Verordnung den Europäern eine Reihe von Rechten in Bezug auf ihre Daten einräumt, einschließlich des Rechts auf Berichtigung von Fehlern. Und es ist nicht klar, wie/ob Menschen in nur einem Beispielszenario OpenAI bitten können, fehlerhafte Äußerungen über sie zu korrigieren, die vom Bot generiert wurden.
Der GarantieDie Erklärung von hebt auch eine Datenschutzverletzung hervor, die der Dienst Anfang dieses Monats erlitten hat – als OpenAI zugelassen Eine Konversationsverlaufsfunktion hatte die Chats von Benutzern durchgesickert und sagte, sie habe möglicherweise die Zahlungsinformationen einiger Benutzer offengelegt.
Datenschutzverletzungen sind ein weiterer Bereich, den die DSGVO regelt – mit einem Schwerpunkt darauf, sicherzustellen, dass Unternehmen, die personenbezogene Daten verarbeiten, die Informationen angemessen schützen. Das EU-weite Recht enthält auch Anforderungen, um die zuständigen Aufsichtsbehörden innerhalb enger Fristen über erhebliche Verstöße zu informieren.
All dies überlagernd ist die große(ger)e Frage, auf welche Rechtsgrundlage sich OpenAI für die Verarbeitung der Daten der Europäer überhaupt gestützt hat? Aka, die Rechtmäßigkeit dieser Verarbeitung.
Die DSGVO lässt eine Reihe von Möglichkeiten zu – von der Einwilligung bis zum öffentlichen Interesse –, aber der Umfang der Verarbeitung zum Trainieren dieser großen Sprachmodelle erschwert die Frage der Rechtmäßigkeit, da die Garantie Hinweise (mit Hinweis auf die „Massenerfassung und -speicherung personenbezogener Daten“), wobei die Datenminimierung ein weiterer großer Schwerpunkt der Verordnung ist – die auch Grundsätze enthält, die Transparenz und Fairness erfordern. Zumindest scheint das (jetzt) gewinnorientierte Unternehmen hinter ChatGPT die Leute, deren Daten es zum Trainieren seiner kommerziellen KIs umfunktioniert, nicht informiert zu haben. Das könnte ein ziemlich klebriges Problem dafür sein.
Wenn OpenAI die Daten von Europäern unrechtmäßig verarbeitet hat, könnten Datenschutzbehörden im gesamten Block die Löschung der Daten anordnen – obwohl es eine offene Frage ist, ob dies sie dazu zwingen würde, Modelle neu zu trainieren, die mit unrechtmäßig erlangten Daten trainiert wurden, da ein bestehendes Gesetz mit modernster Technologie zu kämpfen hat.
Auf der anderen Seite hat Italien möglicherweise gerade das gesamte maschinelle Lernen durch, äh, Unfall verboten … 😬
„[T]Der Datenschutzgarant weist auf den Mangel an Informationen für Benutzer und alle interessierten Parteien hin, deren Daten von OpenAI gesammelt werden, vor allem aber auf das Fehlen einer Rechtsgrundlage, die die massenhafte Sammlung und Speicherung personenbezogener Daten rechtfertigt, um die zugrunde liegenden Algorithmen zu „trainieren“. den Betrieb der Plattform“, schreibt die DPA in ihrer heutigen Stellungnahme [which we’ve translated from Italian using AI].
„Wie aus den durchgeführten Kontrollen hervorgeht, entsprechen die von ChatGPT bereitgestellten Informationen nicht immer den tatsächlichen Daten, wodurch eine ungenaue Verarbeitung personenbezogener Daten festgestellt wird“, fügte sie hinzu.
Die Behörde fügte hinzu, dass sie besorgt über das Risiko ist, dass Daten von Minderjährigen von OpenAI verarbeitet werden – da das Unternehmen Personen unter 13 Jahren nicht aktiv daran hindert, sich für die Nutzung des Chatbots anzumelden, beispielsweise durch den Einsatz von Altersüberprüfungstechnologie.
Risiken für die Daten von Kindern sind ein Bereich, in dem die Aufsichtsbehörde sehr aktiv war – kürzlich ordnete sie ein ähnliches Verbot des KI-Chatbots für virtuelle Freundschaften, Replika, wegen Bedenken hinsichtlich der Sicherheit von Kindern an. In den letzten Jahren hat es TikTok auch wegen der Nutzung durch Minderjährige verfolgt und das Unternehmen gezwungen, über eine halbe Million Konten zu löschen, von denen es nicht bestätigen konnte, dass sie nicht Kindern gehörten.
Wenn OpenAI also das Alter von Benutzern, die sich in Italien angemeldet haben, nicht definitiv bestätigen kann, könnte es – zumindest – gezwungen sein, ihre Konten zu löschen und mit einem robusteren Anmeldeprozess neu zu beginnen.
OpenAI wurde wegen einer Antwort auf die kontaktiert Garantie’s Bestellung.