Blokada ChatGPT we Włoszech – czy to początek nowego trendu?

W ostat­nim cza­sie obser­wu­je­my rosną­cą popu­lar­ność dużych mode­li języ­ko­wych (lar­ge lan­gu­age models, LLMs) z ChatGPT na cze­le. Mode­le opar­te na sie­ciach neu­ro­no­wych mogą być wyko­rzy­sty­wa­ne na róż­ne spo­so­by, jed­nak żeby taki model był fak­tycz­nie uży­tecz­ny i dawał odpo­wied­nie wyni­ki (obar­czo­ne jak naj­mniej­szym błę­dem), w pierw­szej kolej­no­ści musi zostać wytre­no­wa­ny na ogrom­nej ilo­ści danych – docho­dzą­cej nawet do miliar­dów rekordów.

Zuzan­na Cho­iń­ska, ana­li­tycz­ka DELab UW

W ten spo­sób powstał ChatGPT. Jego udo­stęp­nie­nie szer­sze­mu gro­nu odbior­ców spra­wi­ło, że zro­bi­ło się o nim gło­śno tak­że w śro­do­wi­skach nie­zwią­za­nych bez­po­śred­nio ze sztucz­ną inte­li­gen­cją. W związ­ku z tym zaczę­ło poja­wiać się wie­le mate­ria­łów ana­li­zu­ją­cych moż­li­wo­ści zasto­so­wa­nia narzę­dzia, ale też to, jak wpły­nie on na rynek pra­cy czy edu­ka­cję w naj­bliż­szych latach. W kwe­stii edu­ka­cji poja­wia się na przy­kład wie­le wąt­pli­wo­ści w kon­tek­ście wyko­rzy­sty­wa­nia LLMs przez stu­den­tów, któ­rzy mogą się nimi posłu­gi­wać do wyko­ny­wa­nia wszel­kich prac pisem­nych na stu­diach. Jako DELab  zor­ga­ni­zo­wa­li­śmy nawet deba­tę doty­czą­cą poten­cjal­nych szans oraz zagro­żeń wyni­ka­ją­cych z roz­wo­ju sztucz­nej inte­li­gen­cji, w szcze­gól­no­ści LLMs, dla uniwersytetu.

Pośród tych wszyst­kich mate­ria­łów poja­wia­ły się rów­nież gło­sy doty­czą­ce legal­no­ści dzia­ła­nia ChatGPT, przede wszyst­kim w kon­tek­ście prze­twa­rza­nia przez nie­go danych oso­bo­wych. Ope­nAI (dalej jako “Spół­ka”), czy­li ame­ry­kań­ska spół­ka tech­no­lo­gicz­na zależ­na od Micro­soft, wypusz­cza­jąc swój pro­dukt na rynek euro­pej­ski powin­na speł­niać wyma­ga­nia unij­nych prze­pi­sów o ochro­nie danych, czy­li przede wszyst­kim RODO. Oka­zu­je się jed­nak, że model tre­no­wa­ny był na danych pozy­ska­nych ze stron inter­ne­to­wych, mediów spo­łecz­no­ścio­wych czy ksią­żek. Pośród nich znaj­do­wa­ły się rów­nież dane oso­bo­we, któ­rych prze­twa­rza­nie nie było w żaden spo­sób kontrolowane.

W związ­ku z tym 20 mar­ca wło­ski organ nad­zor­czy ds. danych oso­bo­wych (Garan­te per la pro­te­zio­ne dei dati per­so­na­li, dalej jako „Garan­te”) został poin­for­mo­wa­ny o wycie­ku danych w posta­ci kon­wer­sa­cji użyt­kow­ni­ków oraz infor­ma­cji o ich płat­no­ściach. Na tej pod­sta­wie wsz­czął postę­po­wa­nie wyja­śnia­ją­ce, w wyni­ku któ­re­go 30 mar­ca wydał wstęp­ną decy­zję. Stwier­dził w niej, że:

• Ope­nAI jest admi­ni­stra­to­rem danych oso­bo­wych milio­nów Wło­chów, prze­twa­rza­nych pod­czas tre­no­wa­nia narzędzia;
• Spół­ka nie prze­ka­zy­wa­ła swo­im użyt­kow­ni­kom – a więc pod­mio­tom danych –  odpo­wied­nich infor­ma­cji o prze­twa­rza­niu ich danych;
• Dane prze­twa­rza­ne były bez wła­ści­wej pod­sta­wy prawnej;
• Ze wzglę­du na brak mecha­ni­zmów wery­fi­ka­cji wie­ku, ChatGPT nara­ża dzie­ci na otrzy­my­wa­nie tre­ści nie­od­po­wied­nich do ich wieku. 

W związ­ku z tymi usta­le­nia­mi, na pod­sta­wie art. 58 ust. 2 lit. f RODO, Garan­te zażą­dał tym­cza­so­we­go zaprze­sta­nia prze­twa­rza­nia tych danych. W odpo­wie­dzi Spół­ka zablo­ko­wa­ła dostęp do narzę­dzia na tery­to­rium Włoch, a 6 kwiet­nia dostar­czy­ła do orga­nu doku­men­ty zawie­ra­ją­ce pro­po­zy­cję środ­ków, któ­re mia­ły­by zapew­nić zgod­ność prze­twa­rza­nia z prze­pi­sa­mi RODO.

Po prze­ana­li­zo­wa­niu doku­men­ta­cji oraz oko­licz­no­ści, 11 kwiet­nia Garan­te wydał decy­zję, w któ­rej nało­żył na Spół­kę całą listę wymo­gów, wśród któ­rych zna­la­zły się:

1. obo­wiąz­ki infor­ma­cyj­ne wobec, zarów­no, użyt­kow­ni­ków, jak i nie-użyt­kow­ni­ków narzę­dzia – dokład­na infor­ma­cja o prze­twa­rza­niu danych w celu tre­no­wa­nia algo­ryt­mów powin­na zna­leźć się na głów­nej stro­nie Cha­ta GPT;
2. zapew­nie­nie na stro­nie narzę­dzia do egze­kwo­wa­nia swo­ich praw przez użyt­kow­ni­ków oraz narzę­dzia, za pomo­cą któ­re­go mogą zażą­dać i uzy­skać spro­sto­wa­nie doty­czą­ce ich danych oso­bo­wych lub żądać ich usu­nię­cia (co naj­mniej dla użyt­kow­ni­ków łączą­cych się z tery­to­rium Włoch);
3. umiesz­cze­nie lin­ku do poli­ty­ki pry­wat­no­ści w pro­ce­sie reje­stra­cji na stronie;
4. zmia­na pod­sta­wy prze­twa­rza­nia dla celów tre­no­wa­nia algo­ryt­mów z umo­wy (art. 6 ust. 1 lit. b RODO) na zgo­dę (art. 6 ust. 1 lit. a RODO) lub uza­sad­nio­ny inte­res (art. 6 ust. 1 lit. f RODO);
5. włą­cze­nie “bram­ki wie­ku” dla wszyst­kich użyt­kow­ni­ków, tak­że tych już zare­je­stro­wa­nych przy pierw­szym dostę­pie po reak­ty­wa­cji usłu­gi dla Włoch oraz przed­ło­że­nie Garan­te pla­nu wdro­że­nia narzę­dzi wery­fi­ka­cji wie­ku, a następ­nie ich implementacja;
6. prze­pro­wa­dze­nie, w poro­zu­mie­niu z Garan­te, kam­pa­nii infor­ma­cyj­nej w radiu, tele­wi­zji, gaze­tach oraz Inter­ne­cie w celu poin­for­mo­wa­nia pod­mio­tów danych o wyko­rzy­sta­niu ich danych oso­bo­wych do tre­no­wa­nia algorytmów.

Jed­no­cze­śnie organ zastrzegł, że postę­po­wa­nie wobec Ope­nAI będzie nadal pro­wa­dzo­ne i w razie wykry­cia innych naru­szeń, mogą zostać pod­ję­te kolej­ne środ­ki. Dodat­ko­wo po serii dys­ku­sji z Garan­te, Euro­pej­ska Rada Ochro­ny Danych pod­ję­ła decy­zję o utwo­rze­niu gru­py robo­czej poświę­co­nej pro­ble­mom nara­sta­ją­cym wraz z roz­wo­jem ChatGPT. Ma ona na celu wspie­ra­nie współ­pra­cy i wymia­ny infor­ma­cji na temat ewen­tu­al­nych dzia­łań podej­mo­wa­nych przez unij­ne orga­ny ochro­ny danych.

Na dosto­so­wa­nie się do więk­szo­ści z powyż­szych wytycz­nych (wyłą­cza­jąc imple­men­ta­cję narzę­dzi do wery­fi­ka­cji wie­ku czy prze­pro­wa­dze­nie kam­pa­nii) Spół­ka ma czas jedy­nie do 30 kwiet­nia. Ma jesz­cze moż­li­wość odwo­ła­nia się od powyż­szej decy­zji. Jed­nak­że, bio­rąc pod uwa­gę szyb­kość oraz skru­pu­lat­ność dzia­łań Garan­te, nie wyda­je się, aby decy­zja mia­ła­by ulec znacz­nej zmia­nie. Co wię­cej, w razie nie­do­sto­so­wa­nia się, Ope­nAI gro­zi kara w wyso­ko­ści do 20 milio­nów euro lub 4% cał­ko­wi­te­go rocz­ne­go świa­to­we­go obrotu.

Wło­ski organ nad­zor­czy jako pierw­szy w Euro­pie zajął się bada­niem mode­li języ­ko­wych opar­tych na sztucz­nej inte­li­gen­cji pod kątem prze­twa­rza­nia przez nich danych oso­bo­wych. Ostra reak­cja Garan­te wzbu­dzi­ła zain­te­re­so­wa­nie innych euro­pej­skich orga­nów, któ­re jed­nak, na ten moment, jedy­nie przy­glą­da­ją się spra­wie. Nie­któ­re z nich (Niem­cy, Fran­cja, Irlan­dia) skon­tak­to­wa­ły się z Garan­te i popro­si­ły o dostęp do zebra­nej przez nie­go doku­men­ta­cji. Rów­nież pol­ski Urząd Ochro­ny Danych Oso­bo­wych (UODO) popro­sił o dostęp do akt i obser­wu­je roz­wój wyda­rzeń, jed­no­cze­śnie nie podej­mu­jąc na ten moment żad­nych dzia­łań. Pomi­mo aktu­al­nej ostroż­no­ści, zain­te­re­so­wa­nie ze stro­ny innych orga­nów może pro­wa­dzić do kolej­nych, podob­nych postę­po­wań. Z dru­giej stro­ny Ope­nAI rów­nież nie zigno­ro­wa­ło wsz­czę­te­go postę­po­wa­nia i roz­po­czę­ło współ­pra­cę z wło­skim regu­la­to­rem w celu usu­nię­cia niezgodności.

Postę­po­wa­nie toczą­ce się przed Garan­te to waż­ny krok w kon­tek­ście poja­wia­nia się w przy­szło­ści nowych narzę­dzi tego typu – opar­tych przede wszyst­kim na danych. Jed­no­cze­śnie to rów­nież odważ­ne posu­nię­cie roz­po­czy­na­ją­ce, praw­do­po­dob­nie dłu­gą i żmud­ną, dro­gę do regu­la­cji sztucz­nej inte­li­gen­cji w taki spo­sób, aby korzy­sta­nie z niej zapew­nia­ło rów­nież ochro­nę pry­wat­no­ści użyt­kow­ni­ków. Acz­kol­wiek w tym momen­cie nie ma inne­go spo­so­bu, aby zmu­sić gigan­tów tech­no­lo­gicz­nych do dzia­ła­nia zgod­nie z prze­pi­sa­mi. Dla­te­go tak waż­ne jest, aby tak­że inne euro­pej­skie orga­ny ds. danych oso­bo­wych zaan­ga­żo­wa­ły się w te dzia­ła­nia oraz spra­wo­wa­ły nad­zór nad imple­men­ta­cją tech­no­lo­gii w pań­stwach człon­kow­skich UE.