После многомесячного расследования, проведённого итальянским органом по защите данных DPA (Data Protection Authority) в отношении ИИ-чат-бота ChatGPT, компанию OpenAI обвинили в нарушении законов о конфиденциальности ЕС. Подтверждённые нарушения в обращении с персональными данными могут повлечь за собой штрафы на сумму до €20 млн, или до 4 % годового оборота. У OpenAI есть 30 дней, чтобы ответить на обвинения.
Итальянские власти выразили обеспокоенность по поводу соблюдения OpenAI Общего регламента защиты данных (GDPR) в прошлом году, что привело к временной приостановке работы чат-бота на европейском рынке. DPA Италии 30 марта в так называемом «реестре мер», подчеркнул отсутствие подходящей правовой основы для сбора и обработки персональных данных с целью обучения алгоритмов, лежащих в основе ChatGPT, склонность инструмента ИИ к «галлюцинациям» и потенциальные проблемы с безопасностью детей. Власти обвинили OpenAI в нарушении статей 5, 6, 8, 13 и 25 GDPR.
DPA располагают полномочиями требовать внесения изменений в способы обработки данных, чтобы прекратить нарушения конфиденциальности граждан ЕС. Таким образом, регуляторы могут заставить OpenAI изменить свой подход к обработке персональных данных или вынудить компанию прекратить предлагать свои услуги в странах Евросоюза.
Весной 2023 года OpenAI смогла относительно быстро возобновить функционирование ChatGPT в Италии после того, как устранила ряд нарушений, указанных DPA. Однако итальянские власти продолжили расследование и пришли к предварительным выводам, что инструмент ИИ от OpenAI нарушает законодательство ЕС. Итальянские власти пока не опубликовали список подтверждённых нарушений ChatGPT, но главной претензией к OpenAI, скорее всего, станет сам принцип обработки персональных данных для обучения моделей ИИ.
ChatGPT был разработан с использованием массы данных, извлечённых из общедоступного интернета — информации, которая включает личные данные отдельных лиц. А проблема, с которой OpenAI сталкивается в ЕС, заключается в том, что для обработки данных жителей ЕС требуется действительная правовая основа. GDPR перечисляет шесть возможных правовых оснований, большинство из которых просто не имеют отношения к данному контексту. В апреле прошлого года DPA Италии оставил для OpenAI только две законные возможности для обучения моделей ИИ: «подтверждённое согласие» или «законные интересы».
Учитывая, что OpenAI никогда и не пыталась получить согласие миллионов (а, возможно, миллиардов) пользователей интернета, чью информацию она собирала и обрабатывала для построения моделей ИИ, любая попытка заявить о наличии разрешения от европейцев на обработку их персональных данных обречена на провал. Поэтому у OpenAI осталась лишь возможность опираться на утверждение о «законных интересах». Однако эта основа также предусматривает право владельцев данных выдвигать возражения и требовать прекращения обработки своей персональной информации.
Теоретически, каждый житель ЕС имеет право потребовать от OpenAI изъять и уничтожить незаконно обученные модели и переобучить новые модели без использования его данных. Но даже если предположить возможность идентификации всех незаконно обработанных данных, подобную процедуру предстоит произвести для каждого возражающего гражданина ЕС, что практически невозможно реализовать на практике.
Существует и более широкий вопрос: признает ли в конце концов DPA, что «законные интересы» вообще являются действительной правовой основой в этом контексте. Такое решение регулятора выглядит маловероятным. Ведь обработчики данных должны сбалансировать свои собственные интересы с правами и свободами людей, чьи данные обрабатываются, оценить возможность причинения им неоправданного вреда, а также учесть, ожидали ли люди такого использования их данных.
Примечательно, что в подобной ситуации Верховный суд ЕС ранее признал «законные интересы» неподходящим основанием для Meta✴ при отслеживании и профилировании пользователей в целях таргетирования рекламы в своих социальных сетях. Таким образом, существует негативный судебный прецедент для OpenAI, стремящейся оправдать обработку данных людей в огромных масштабах для создания коммерческого генеративного ИИ-бизнеса — особенно когда рассматриваемые инструменты создают всевозможные новые риски для названных лиц (дезинформация, клевета, кража личных данных и мошенничество лишь некоторые из них). OpenAI также находится под пристальным вниманием к соблюдению GDPR в Польше, где начато отдельное расследование по этому поводу.
OpenAI пытается нивелировать потенциальные регуляторные риски в ЕС, создавая отдельную организацию в Ирландии, которая в будущем должна стать поставщиком услуг ИИ для пользователей из ЕС. OpenAI надеется получить статус так называемого «основного учреждения» в Ирландии, что позволит ей использовать оценку соответствия требованиям GDPR только от Ирландской комиссии по защите данных и действовать в Евросоюзе через механизм «единого окна» регулирования, избежав надзора органов DPA каждой страны-члена ЕС.
Однако пока OpenAI ещё не получила этот статус, поэтому ChatGPT все ещё может столкнуться с расследованиями со стороны DPA в других странах ЕС. И даже получение статуса «основного учреждения» в Ирландии не прекратит уже открытое расследование и правоприменение в Италии.
DPA Италии сообщает, что органы по защите данных стремятся координировать надзор за ChatGPT, создав рабочую группу при Европейском совете по защите данных. Эти усилия могут, в конечном итоге, привести к более согласованным результатам в рамках отдельных расследований в отношении OpenAI. Тем не менее, на данный момент DPA каждого члена ЕС остаются независимыми и компетентными принимать решения на своих рынках самостоятельно.