ChatGPT מפר את הוראות הGDPR ואינו מספק זכויות כמו גישה למידע, תיקון מידע ועיבוד בצורה חוקית, הוגנת ושקופה - כך טוענת חוקר אבטחת מידע ופרטיות, לוקאש אולייניק, לרשות הגנת הפרטיות הפולנית.
התלונה הוגשה בשבוע שעבר לאחר שאולייניק השתמש ב ChatGPTכדי ליצור ביוגרפיה על עצמו מצא כי בפועל הטקסט שנוצר על ידי הצ'אט מכיל שגיאות רבות (surprise surprise, אומר law.co.il, מתברר שלצ'אטקה יש הזיות – hallucinations – גם בפולנית).
אולייניק פנה ל- OpenAI אבל הוא טוען כי החברה התעלמה מחובתה לפי סעיף 16 ל-GDPR לאפשר לנושאי המידע לתקן את המידע שעל עצמם. בתלונתו הוא מפרט אוסף ארוך של הפרות של ה-GDPR המשקף בעליל עד כמה קשה למודלים של בינה מלאכותית לעמוד ברגולציה של הגנת הפרטיות באירופה. בין השאר, לדבריו -
- OpenAI מעבדת מידע "באופן לא חוקי, לא הוגן ובאופן לא שקוף" בניגוד לסעיף 5(1) לגידי פאר.
- היא לא מספקת את כל המידע שהיא חייבת לספקו לפי חוק, בעיקר מפני שאינה מספקת את המידע שמשמש לאימון ChatGPT, בניגוד לדרישות סעיף 15 לGDPR (זכות הגישה למידע). הוא אפילו טוען ש-OpenAIמסתירה בכוונה את עיבוד מידע אישי כחלק מאימון טכנולוגיית הבינה המלאכותית מחשש שמדובר בפעולה שאינה חוקית.
- אינה מספקת מידע לנושאי המידע שאת הנתונים האישיים שלהם היא מעבדת, בניגוד להוראת סעיף 14 ל-GDPR.
- ומכל זה נובע לדבריו ש-OpenAI לא עיצבה את צ'אטקה לפרטיות (privacy by design and by default), בניגוד לדרישות המפורשות בחקיקה האירופאית.
- ... וכמובן, לא התייעצה ברגולטורים באירופה בנושא הסיכונים לפרטיות בניגוד לסעיף 36 בגידי פאר.
אולייניק קורא לרגולטור הפולני, בין השאר, לדרוש מ-OpenAI להגיש תסקיר של השפעת עיבוד המידע האישי (Data Protection Impact Assessment (DPIA)),
Law.co.il מבקש להזכיר כי זו לא הפעם הראשונה ש-OpenAI מתמודדת עם בעיות הקשורות ל-GDPR באירופה: כך, הרשות להגנת הפרטיות באיטליה הורתה לחברה בשעתו לחסום את המשך עיבוד נתוני המשתמשים האיטלקיים ב-ChatGPT והיא מוסיפה לחקור את החברה, כמו גם רגולטורים נוספים של פרטיות באירופה, גם לאחר ששוכנעה להסיר את החסימה. מקור: TechCruch (מאת: נטשה לומס).