OpenAI’nin, İtalya’nın veri koruma otoritesi tarafından AI chatbot ChatGPT üzerinde aylarca süren araştırmasının ardından, OpenAI’nin Avrupa Birliği mahremiyetini ihlal ettiğinden şüphelenildiği söylendi.
İtalyan otoritenin taslak bulgularının ayrıntıları açıklanmadı. Ama Garanti bugün dedi OpenAI’ye bildirimde bulunuldu ve iddialara karşı bir savunma ile yanıt vermesi için 30 gün süre verildi.
Pan-AB rejiminin teyit edilen ihlalleri, 20 milyon Euro’ya kadar veya küresel yıllık cironun %4’üne kadar para cezalarına neden olabilir. OpenAI gibi bir yapay zeka devi için daha da rahatsız edici olanı, veri koruma yetkililerinin (DPA’lar), onaylanmış ihlallere son vermek için verilerin işlenme biçiminde değişiklik gerektiren emirler çıkarabilmesidir. Bu nedenle işleyiş şeklini değiştirmek zorunda kalabilir. Veya hizmetini, gizlilik otoritelerinin hoşuna gitmeyen değişiklikleri dayatmaya çalıştığı AB Üye Devletleri’nin dışına çekin.
Cevap için OpenAI ile iletişime geçildi. Garantiihlal bildirimi. Bir açıklama gönderirlerse bu raporu güncelleyeceğiz.
Yapay zeka modeli eğitimi çerçevesinde yasallık
İtalyan makamı geçen yıl OpenAI’nin bloğun Genel Veri Koruma Yönetmeliği’ne (GDPR) uyumuyla ilgili endişelerini dile getirmişti; ChatGPT’nin yerel veri işlemesinin geçici olarak yasaklanması emrini vermesi, AI chatbot’un piyasada geçici olarak askıya alınmasına yol açmıştı.
Garanti30 Mart karşılık Bir “önlem kaydı” olarak da bilinen OpenAI, hem ChatGPT’nin temelini oluşturan algoritmaların eğitimi amacıyla kişisel verilerin toplanması ve işlenmesi için uygun bir yasal dayanağın bulunmadığını vurguladı; ve yapay zeka aracının ‘halüsinasyon’ eğilimi (yani bireyler hakkında yanlış bilgi üretme potansiyeli) – bu noktada endişe verici konular arasında yer alıyor. Aynı zamanda çocuk güvenliğini de bir sorun olarak işaretledi.
Otorite, ChatGPT’nin GDPR’nin 5, 6, 8, 13 ve 25. Maddelerini ihlal ettiğinden şüphelendiğini söyledi.
OpenAI, şüpheli ihlallerden oluşan bu kirli listeyi tanımlamasına rağmen, DPA tarafından dile getirilen bazı sorunları çözmek için adımlar attıktan sonra geçen yıl İtalya’da ChatGPT hizmetine nispeten hızlı bir şekilde devam edebildi. Ancak İtalyan makamı şüpheli ihlalleri araştırmaya devam edeceğini söyledi. Artık aracın AB yasalarını ihlal ettiği yönünde ön sonuçlara varıldı.
İtalyan otoritesi daha önce şüphelenilen ChatGPT’den hangisinin ihlal edildiğini henüz söylememiş olsa da bu aşamada onaylandı; OpenAI’nin yapay zeka modellerini eğitmek için kişisel verileri işlemeye yönelik iddialarının yasal dayanağı özellikle önemli bir sorun gibi görünüyor.
Bunun nedeni, ChatGPT’nin, bireylerin kişisel verilerini içeren bilgiler olan, halka açık İnternet’ten alınan yığınla veri kullanılarak geliştirilmiş olmasıdır. OpenAI’nin Avrupa Birliği’nde karşılaştığı sorun, AB vatandaşlarının verilerinin işlenmesinin geçerli bir yasal temele sahip olmasını gerektirmesidir.
GDPR, çoğu kendi bağlamıyla ilgili olmayan altı olası yasal dayanağı listeliyor. Geçen Nisan ayında OpenAI’ye şunlar söylenmişti: Garanti ChatGPT model eğitimi için “sözleşmenin yerine getirilmesine” ilişkin referansları kaldırmak ve ona yalnızca iki olasılık bırakmak: Rıza veya meşru menfaatler.
Yapay zeka devinin hiçbir zaman bilgilerini aldığı ve yapay zeka modeli oluşturmak için işlediği sayısız milyonlarca (hatta milyarlarca) web kullanıcısının rızasını almaya çalışmadığı göz önüne alındığında, işleme için Avrupalıların iznine sahip olduğunu iddia etmeye yönelik herhangi bir girişim görünür. başarısızlığa mahkum. Ve OpenAI, belgelerini revize ettikten sonra GarantiGeçen yılki müdahalede meşru menfaat iddiasına dayanmaya çalışıyor gibi görünüyordu. Ancak bu yasal dayanak hâlâ bir veri işleyicisinin veri sahiplerinin itirazda bulunmasına ve bilgilerinin işlenmesinin durdurulmasına izin vermesini gerektirmektedir.
OpenAI’nin yapay zeka sohbet robotu bağlamında bunu nasıl yapabileceği açık bir sorudur. (Teorik olarak, yasadışı olarak eğitilmiş modelleri geri çekmesini ve yok etmesini ve itiraz eden kişinin eğitim havuzundaki verileri olmadan yeni modelleri yeniden eğitmesini gerektirebilir – ancak yasa dışı olarak işlenen tüm verileri bireysel olarak tanımlayabildiğini varsayarsak, bu durum Ona durmasını söyleyen, itiraz eden her AB üyesinin verileri için bunu yapmamız gerekiyor… Ki bu da kulağa pahalı geliyor.)
Bu çetrefilli konunun ötesinde, daha geniş bir soru var: Garanti Nihayetinde meşru menfaatlerin bu bağlamda geçerli bir hukuki dayanak olduğu sonucuna varılacaktır.
Açıkçası bu pek olası görünmüyor. Çünkü LI herkes için ücretsiz bir uygulama değil. Veri işleyicilerin kendi çıkarları ile verileri işlenen bireylerin hak ve özgürlükleri arasında denge kurmasını ve bireylerin verilerinin bu şekilde kullanılmasını bekleyip beklemeyecekleri gibi hususları dikkate almasını gerektirir; ve onlara haksız zarar verme potansiyeli. (Eğer beklemezlerse ve bu tür bir zarar riski mevcutsa, LI geçerli bir hukuki dayanak olarak görülmeyecektir.)
Veri işlemenin aynı zamanda veri işleyenin amacına ulaşması için daha az müdahaleci başka bir yol olmaksızın gerekli olması gerekir.
Özellikle, AB’nin yüksek mahkemesi daha önce Meta’nın sosyal ağlarda davranışsal reklamcılık işini yürütmek üzere bireylerin takibini ve profilini oluşturmasını gerçekleştirmek için meşru çıkarların uygunsuz bir temel olduğunu tespit etmişti. Bu nedenle, ticari, üretken bir yapay zeka işi kurmak için insanların verilerinin geniş ölçekte işlenmesini haklı çıkarmaya çalışan başka türde bir yapay zeka devi kavramı üzerinde büyük bir soru işareti var; özellikle de söz konusu araçlar, adı geçen kişiler için her türlü yeni risk oluşturduğunda (örn. dezenformasyon ve iftiradan kimlik hırsızlığı ve dolandırıcılığa kadar).
Bir sözcüsü Garanti Model eğitimi için insanların verilerini işlemenin yasal dayanağının, ChatGPT’nin ihlal ettiğinden şüphelendiği şeylerin karışımında kaldığını doğruladı.
Ancak bu noktada OpenAI’nin ihlal ettiğinden şüphelendiği bir (veya daha fazla) makaleyi tam olarak doğrulamadılar. Otoritenin bugünkü duyurusu da henüz son söz değil; zira nihai bir karar almadan önce OpenAI’nin yanıtını bekleyecek.
Burada Garanti’nin beyanı (yapay zeka kullanarak İtalyanca’dan tercüme ettik):
[Italian Data Protection Authority] ChatGPT yapay zeka platformunu işleten şirket OpenAI’ye veri koruma düzenlemelerini ihlal ettiği gerekçesiyle itiraz bildirimini bildirdi.
İşleme emrinin geçici olarak kısıtlanmasının ardından, Garanti Kurum, 30 Mart’ta şirket aleyhine dava açmış ve yapılan ön soruşturma sonucunda, elde edilen unsurların AB Mevzuatı hükümlerine göre bir veya birden fazla hukuka aykırı eylem teşkil edebileceği kanaatine varmıştı.
OpenAI’nin iddia edilen ihlallere ilişkin savunma brifinglerini iletmek için 30 günü olacak.
Garanti, işlemleri tanımlarken, AB Veri Koruma Otoritelerini (EDPB) bir araya getiren Kurul tarafından oluşturulan özel görev gücünün devam eden çalışmalarını dikkate alacak.
OpenAI ayrıca, geçen yaz aracın bir kişi hakkında yanlış bilgi üreten bir örneğine ve OpenAI’nin bu şikayetçiye verdiği yanıta odaklanan bir şikayetin ardından ChatGPT’nin Polonya’daki GDPR uyumluluğu konusunda da incelemeyle karşı karşıya. Bu ayrı GDPR araştırması devam ediyor.
Bu arada OpenAI, İrlanda’da fiziksel bir üs kurmaya çalışarak AB genelinde artan düzenleme riskine yanıt verdi; ve Ocak ayında bu İrlandalı kuruluşun AB kullanıcılarının verilerinin hizmet sağlayıcısı olacağının duyurulması.
Bu hamlelerle umutları, İrlanda’da sözde “ana kuruluş” statüsü kazanmak ve (şu anki gibi) yerine, düzenlemenin tek noktadan hizmet mekanizması aracılığıyla, İrlanda Veri Koruma Komisyonu tarafından yürütülen GDPR uyumluluğu değerlendirmesine geçiş yapmak olacaktır. ) işinin potansiyel olarak Birliğin herhangi bir yerinden DPA gözetimine tabi olması ve araçlarının yerel kullanıcılara sahip olması.
Ancak OpenAI henüz bu statüyü elde edemedi, bu nedenle ChatGPT hala AB’nin başka yerlerindeki DPA’lar tarafından başka soruşturmalarla karşı karşıya kalabilir. Statüyü alsa bile, söz konusu veri işleme, işleme yapısındaki değişiklikten önce gerçekleştiği için İtalya’daki soruşturma ve yaptırım devam edecek.
Bloğun veri koruma yetkilileri, Avrupa Veri Koruma Kurulu aracılığıyla GDPR’nin chatbot’a nasıl uygulanacağını değerlendirmek üzere bir görev gücü oluşturarak ChatGPT’nin gözetimini koordine etmeye çalıştı. Garanti‘nin açıklama notları. Bu (devam eden) çaba, sonuçta, İtalya ve Polonya’dakiler gibi ayrı ChatGPT GDPR araştırmalarında daha uyumlu sonuçlar üretebilir.
Ancak yetkililer bağımsız olmayı ve kendi pazarlarında karar verme yetkisini koruyor. Dolayısıyla mevcut ChatGPT araştırmalarının aynı sonuçlara ulaşacağının da garantisi yok.