Do polskiego Urzędu Ochrony Danych Osobowych wpłynęła kilkunastostronicowa skarga na firmę OpenAI, złożona przez kancelarię adwokacką w imieniu Łukasza Olejnika. Łukasz Olejnik jest badaczem i ekspertem w dziedzinie bezpieczeństwa technologicznego. O sprawie poinformował sam Olejnik na platformie X (dawniej Twitter). Piszą o niej także amerykańskie media technologiczne, zwłaszcza Techcrunch. Łukasz Olejnik oraz jego prawnik, radca Maciej Gawroński z kancelarii GP Partners odpowiedzieli uprzejmie na kilka pytań, które wysłałem im w meju.

Sprawa zaczęła się od tego, że czat GPT wygenerował błędne informacje dotyczące biografii Olejnika. Gdy ten zwrócił się do OpenAI z prośbą o wprowadzenie poprawek i usunięcie błędnych informacji na swój temat, okazało się również, że firma – jego zdaniem – nie respektuje unijnego prawa – dyrektywa RODO (GDPR) i nie udziela odpowiednio wyczerpujących odpowiedzi, w jaki sposób przetwarza prywatne dane osobowe.

Dlaczego RODO/GDPR ma tu zastosowanie?

To jest europejskie prawo, które chroni prywatność ludzi oraz dane osobowe. To prawo narzuca firmom szereg warunków:

1. Prawna podstawa: firmy muszą mieć podstawę prawną do przetwarzania danych (np.: zgoda osoby, obowiązek prawny, uzasadniony interes, wykonanie umowy).
2. Przejrzystość: muszą wyjaśnić, dlaczego przetwarzają dane (cel i sposób przetwarzania danych).
3. Rzetelność: Dane muszą być chronione a także nie można ich użyć do skrywanych celów.
4. Prawo dostępu do danych: Ludzie mają prawo wglądu do swoich danych oraz mają prawo do usunięcia, sprostowania lub ograniczenia swoich danych.
5. Privacy by Design: tłumaczone jako „prywatność w fazie projektowania” oznacza, że od samego początku prywatność danych musi być wartością respektowaną w momencie budowy systemu a nie tylko na końcu, w procesie przetwarzania.

Główne problemy i pytania:

1. Brak przejrzystości: Łukasz Olejnik złożył skargę twierdząc, że Open AI nie informowała go wystarczająco dokładnie o sposobie przetwarzania jego danych oraz generalnie nie informuje o tym ludzi. Dotyczy to szczególnie procesu trenowania sztucznej inteligencji na danych osobowych (imiona i nazwiska, szczegóły biografii itd).
2. Błędy i sprostowania: gdy czat GPT zrobił błąd pisząc o Olejniku, OpenAI nie poprawiła tych informacji, choć RODO nakazuje uwzględnić takie poprawki.
3. Prywatność nie jest wartością centralną czata: GDPR/RODO nakazuje stosowanie zasady „privacy by design”, ale prawdopodobnie sam sposób zbudowania czata GPT zaprzecza tej zasadzie i czat nie jest w stanie dostosować się do litery prawa.

Co ta skarga może oznaczać dla OpenAI?

To nie jest łatwa sytuacja dla Open AI, bo faktycznie firma ani nie prosiła ludzi o zgodę na przetwarzanie informacji na temat osób/danych osobowych (które wzięła sobie z internetu), ani nie informowała o sposobie w jaki czat będzie te dane przetwarzał.
Wymiana mejli między Łukaszem Olejnikiem a firmą OpenAI zdaniem skarżącego pokazuje, że Open AI generalnie ma problem z tego typu skargami i pytaniami. To może zostać uznane za poważne złamanie unijnego prawa. Możliwa kara to nawet 4% rocznej wartości sprzedaży wszystkich usług (obrót). W 2023 roku firma chce zarobić 200 mln $. W kolejnym roku planuje zysk wysokości 1 miliarda $. Obrót jest wielokrotnie wyższy i to od niego naliczana byłaby kara.

Szerszy obraz sytuacji:

Nawet pomijając samo OpenAI, ta sprawa rodzi pytania dotyczące tego, czy teraz istniejące prawo i technologie w ogóle do siebie pasują. Czy tak zapisanych praw można respektować jednocześnie używając najnowszych technologii? Sam sposób budowy dużych modeli językowych może na to nie pozwalać. Na blogu cytowałem niedawno klasyka tej technologii, Yanna Le Cuna, który mówił, że potrzebna jest zmiana sposobu budowy sieci neuronowych, żeby przestały zmyślać lub produkować toksyczne treści. Ale czy to może być usprawiedliwienie dla firmy łamiącej prawo?

Polski Urząd Ochrony Danych Osobowych przyjął skargę i podobno powiadomił o niej inne europejskie urzędy. Jednocześnie UODO działa z nimi analizując zgodność usług czata GPT z prawem europejskim.

Co przed nami:

Może okazać się, że OpenAI przejdzie proces nadzoru i przeglądu swoich działań. W procesie konsultacji otrzyma zalecenia, jak dochować zgodności z europejskim prawem. Tak czy owak, byłoby to działanie spóźnione a ewentualne problemy stałyby się nauczką dla innych firm z tego sektora, by najpierw sprawdzać a potem działać. Nie na odwrót.

Ciekaw jestem, co oni w ogóle mogą zrobić oprócz obietnicy poprawy i wyrażenia żalu. Zdaniem niektórych specjalistów czat GPT ani nie może przestać zmyślać (bo tak jest zbudowany), ani nie może „zapomnieć” nauczonych rzeczy – czyli nie może usunąć informacji nt Olejnika bez usuwania olbrzymich ilości danych.

Czy powinniśmy w tej sprawie kibicować Olejnikowi oraz urzędom?

Ja uważam, że tak. Słyszałem opinię, że to pieniactwo i że facet nie ma nic innego do roboty tylko robić aferę o błędy, które napisał czat na jego temat. Jednak jeśli OpenAI się w tej sprawie upiecze będzie to potwierdzać, że znowu zadziałała zasada w ramach której największe firmy mają ulgowe traktowanie, którego nie mają ani zwykli ludzie, ani mniejsze firmy. Po ang. mówi się „too big to comply”. Tego nikt nie powinien sobie życzyć. Szczególnie, że firmy AI już niebawem będą miały nie tylko znacznie więcej informacji na nasz temat, niż zwykłe ciasteczka czy ulubione strony – one będą miały jeszcze dokładniejsze niż teraz informacje dotyczącego tego, co mówimy, jak mówimy, jak myślimy, jak argumentujemy. Będą miały realistyczny, cyfrowy odcisk naszej psychiki. I będą też miały narzędzia do jego użycia. Czy będą poza prawem? Czy będą musiały stosować się wobec prawa?

Na podstawie: ChatGPT-maker OpenAI accused of string of data protection breaches in GDPR complaint filed by privacy researcher | TechCrunch