Zwei Tage nachdem in einem offenen Brief ein Moratorium für die Entwicklung leistungsfähigerer generativer KI-Modelle gefordert wurde, damit die Regulierungsbehörden mit ChatGPT Schritt halten können, hat die italienische Datenschutzbehörde gerade rechtzeitig daran erinnert, dass einige Länder Tun haben Gesetze, die bereits für hochmoderne KI gelten: sie hat bestellt OpenAI stellt mit sofortiger Wirkung die lokale Verarbeitung von Personendaten ein.
Die italienische Datenschutzbehörde sagte, sie sei besorgt, dass der ChatGPT-Hersteller gegen die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union verstoße, und leitete eine Untersuchung ein.
Insbesondere die Garantie sagte, es habe die Anordnung erlassen, ChatGPT wegen Bedenken zu blockieren, dass OpenAI die Daten von Personen unrechtmäßig verarbeitet habe, sowie wegen des Fehlens eines Systems, um Minderjährige am Zugriff auf die Technologie zu hindern.
Das in San Francisco ansässige Unternehmen hat 20 Tage Zeit, um auf die Anordnung zu reagieren, unterstützt durch die Androhung einiger saftiger Strafen, wenn es sich nicht daran hält. (Erinnerung: Bußgelder für Verstöße gegen das EU-Datenschutzregime können bis zu 4 % des Jahresumsatzes oder 20 Millionen Euro betragen, je nachdem, welcher Betrag höher ist.)
Es ist erwähnenswert, dass, da OpenAI keine juristische Person mit Sitz in der EU hat, jede Datenschutzbehörde befugt ist, gemäß der DSGVO einzugreifen, wenn sie Risiken für lokale Benutzer sieht. (Wo also Italien eingreift, können andere folgen.)
Aktualisieren: OpenAI hat jetzt ChatGPT in Italien geoblockt – siehe unseren Folgebericht für weitere Details.
Suite von DSGVO-Problemen
Die DSGVO gilt immer dann, wenn personenbezogene Daten von EU-Nutzern verarbeitet werden. Und es ist klar, dass das große Sprachmodell von OpenAI diese Art von Informationen verarbeitet hat, da es beispielsweise Biografien von namentlich genannten Personen in der Region auf Abruf erstellen kann (wir wissen; wir haben es versucht). Obwohl OpenAI sich weigerte, Einzelheiten zu den Trainingsdaten bereitzustellen, die für die neueste Iteration der Technologie, GPT-4, verwendet wurden, hat es offengelegt, dass frühere Modelle mit Daten trainiert wurden, die aus dem Internet, einschließlich Foren wie Reddit, stammen. Wenn Sie also halbwegs online waren, kennt der Bot wahrscheinlich Ihren Namen.
Darüber hinaus wurde gezeigt, dass ChatGPT völlig falsche Informationen über namentlich genannte Personen produziert und anscheinend Details erfindet, die seinen Trainingsdaten fehlen. Dies wirft möglicherweise weitere Bedenken hinsichtlich der DSGVO auf, da die Verordnung den Europäern eine Reihe von Rechten in Bezug auf ihre Daten einräumt, einschließlich des Rechts auf Berichtigung von Fehlern. Es ist nicht klar, wie/ob Leute OpenAI bitten können, beispielsweise falsche Äußerungen über sie, die vom Bot generiert wurden, zu korrigieren.
Der GarantieDie Erklärung von hebt auch eine Datenschutzverletzung hervor, die der Dienst Anfang dieses Monats erlitten hat, als OpenAI zugelassen Eine Konversationsverlaufsfunktion hatte die Chats von Benutzern durchgesickert und sagte, dass sie möglicherweise die Zahlungsinformationen einiger Benutzer offengelegt habe.
Datenschutzverletzungen sind ein weiterer Bereich, den die DSGVO regelt, wobei der Schwerpunkt darauf liegt, sicherzustellen, dass Unternehmen, die personenbezogene Daten verarbeiten, die Informationen angemessen schützen. Das EU-weite Recht verlangt von Unternehmen auch, die zuständigen Aufsichtsbehörden innerhalb enger Fristen über erhebliche Verstöße zu informieren.
Über all dem steht die große(ger)e Frage, auf welche Rechtsgrundlage sich OpenAI überhaupt für die Verarbeitung der Daten der Europäer berufen hat. Mit anderen Worten, die Rechtmäßigkeit dieser Verarbeitung.
Die DSGVO lässt eine Reihe von Möglichkeiten zu – von der Einwilligung bis zum öffentlichen Interesse –, aber der Umfang der Verarbeitung zum Trainieren dieser großen Sprachmodelle erschwert die Frage der Rechtmäßigkeit. Als die Garantie Hinweise (mit Hinweis auf die „massenhafte Erfassung und Speicherung personenbezogener Daten“), wobei die Datenminimierung ein weiterer großer Schwerpunkt der Verordnung ist, die auch Grundsätze enthält, die Transparenz und Fairness erfordern. Zumindest scheint das (jetzt) gewinnorientierte Unternehmen hinter ChatGPT die Personen, deren Daten es für das Training seiner kommerziellen KIs umfunktioniert hat, nicht informiert zu haben. Das könnte ein ziemlich klebriges Problem dafür sein.
Wenn OpenAI die Daten von Europäern unrechtmäßig verarbeitet hat, könnten Datenschutzbehörden im gesamten Block die Löschung der Daten anordnen, obwohl es eine offene Frage ist, ob dies das Unternehmen dazu zwingen würde, Modelle neu zu trainieren, die mit unrechtmäßig erlangten Daten trainiert wurden, da ein bestehendes Gesetz mit modernster Technologie zu kämpfen hat.
Auf der anderen Seite hat Italien möglicherweise gerade das gesamte maschinelle Lernen durch, äh, Unfall verboten … 😬
„[T]Der Datenschutzgarant weist auf den Mangel an Informationen für Benutzer und alle interessierten Parteien hin, deren Daten von OpenAI gesammelt werden, vor allem aber auf das Fehlen einer Rechtsgrundlage, die die massenhafte Sammlung und Speicherung personenbezogener Daten rechtfertigt, um die zugrunde liegenden Algorithmen zu „trainieren“. den Betrieb der Plattform“, schrieb die DPA in ihrer heutigen Erklärung [which we’ve translated from Italian using AI].
„Wie aus den durchgeführten Kontrollen hervorgeht, entsprechen die von ChatGPT bereitgestellten Informationen nicht immer den tatsächlichen Daten, wodurch eine ungenaue Verarbeitung personenbezogener Daten festgestellt wird“, fügte sie hinzu.
Die Behörde fügte hinzu, dass sie besorgt über das Risiko ist, dass Daten von Minderjährigen von OpenAI verarbeitet werden, da das Unternehmen Personen unter 13 Jahren nicht aktiv daran hindert, sich für die Nutzung des Chatbots anzumelden, beispielsweise durch die Anwendung von Altersüberprüfungstechnologie.
Risiken für Kinderdaten sind ein Bereich, in dem die Aufsichtsbehörde sehr aktiv war und kürzlich ein ähnliches Verbot des KI-Chatbots für virtuelle Freundschaften, Replika, wegen Bedenken hinsichtlich der Sicherheit von Kindern angeordnet hat. In den letzten Jahren hat es TikTok auch wegen der Nutzung durch Minderjährige verfolgt und das Unternehmen gezwungen, über eine halbe Million Konten zu löschen, von denen es nicht bestätigen konnte, dass sie nicht Kindern gehörten.
Wenn OpenAI also das Alter von Benutzern, die sich in Italien angemeldet haben, nicht definitiv bestätigen kann, könnte es zumindest gezwungen sein, ihre Konten zu löschen und mit einem robusteren Anmeldeprozess neu zu beginnen.
OpenAI wurde wegen einer Antwort auf die kontaktiert Garantie’s Bestellung.
Lilian Edwards, Expertin für Datenschutz und Internetrecht an der Newcastle University, die bei der Durchführung von Untersuchungen zu den Auswirkungen von „Algorithmen, die sich erinnern“, sagte TechCrunch: „Faszinierend ist, dass Replika mehr oder weniger kopiert und eingefügt wurde, um den Zugang von Kindern zu unangemessenen Inhalten zu betonen. Aber die echte Zeitbombe ist die Verweigerung der Rechtsgrundlage, die für ALLE oder zumindest viele maschinelle Lernsysteme gelten sollte, nicht nur für die generative KI.“
Sie wies auf den entscheidenden Fall des „Rechts auf Vergessenwerden“ im Zusammenhang mit der Google-Suche hin, in dem eine Anfechtung der einwilligungslosen Verarbeitung personenbezogener Daten durch eine Einzelperson in Spanien vorgebracht wurde. Aber während europäische Gerichte Einzelpersonen das Recht einräumten, Suchmaschinen aufzufordern, ungenaue oder veraltete Informationen über sie zu entfernen (abgewogen gegen eine Prüfung des öffentlichen Interesses), wurde die Verarbeitung personenbezogener Daten durch Google in diesem Zusammenhang (Internetsuche) von den EU-Regulierungsbehörden nicht unterbunden über die Rechtmäßigkeit des Verarbeitungspunkts, anscheinend mit der Begründung, dass es einen öffentlichen Nutzen erbringt. Aber letztlich auch, weil Google den betroffenen Personen in der EU das Recht auf Löschung und Berichtigung gewährt hat.
„Große Sprachmodelle bieten diese Abhilfen nicht und es ist nicht ganz klar, ob sie das tun würden, könnten oder was die Konsequenzen wären.“ Edwards fügte hinzuwas darauf hindeutet, dass erzwungenes Umschulen von Modellen eine mögliche Lösung sein könnte.
Oder, nun ja, dass Technologien wie ChatGPT einfach gegen Datenschutzgesetze verstoßen haben …
Dieser Bericht wurde mit zusätzlichen Kommentaren aktualisiert. Wir haben auch einen Rechtschreibfehler beim Namen der Aufsichtsbehörde behoben.