Bombaként robbant a hír, hogy az olasz adavédelmi hatóság (Garante) a ChatGPT olaszországi használatának, illetve az ezzel összefüggő adatkezelésnek az azonnali hatályú blokkolásról hozott döntést. Az elmúlt hónapok mesterséges intelligencia sztárja, a ChatGPT használata kapcsán számos aggály megfogalmazódott már, illetve a napokban vált ismertté egy adatvédelmi incidens a ChatGPT használóit (pontosabban a ChatGPT Plus előfizetőit) érintően (az incidensre - a felfüggesztés kapcsán kiadott sajtóközleményben - a Garante is hivatkozott).
Szintén nagy port vert fel az a nyílt levél, amely a GPT4-nél fejlettebb MI rendszerek fejlesztésének moratóriumára hívott fel legalább 6 hónapig, amíg a kockázatok felmérésére és kezelésük lehetséges módjának megtalálására lehetőség nyílik. Az Egyesült Államokban pedig a Federal Trade Commission (FTC), mint illetékes hatóság részére benyújtott panaszról érkeztek hírek, amely kapcsán a nyelvi modellek újabb verziói közzétételének felfüggesztése, mint lehetőség is felmerül.
Ma pedig érkezett a Garante döntése, miszerint az OpenAI-nak azonnali hatállyal fel kell függszetenie a ChatGPT alkalmazásán keresztül történő adatkezeléseket az olasz érintettek vonatkozásában mindaddig, amíg a jogszerű adatkezelés feltételei megteremtésre nem kerülnek. Egyidejűleg a Garante vizsgálatot is indított a ChatGPT-vel összefüggő adatkezelések kapcsán.
Mit kifogásol a Garante?
Az elérhető rövid sajtóközlemény alapján az olasz adatvédelmi hatóság az alábbi főbb pontokon emelt kifogást a ChatGPT-vel megvalósuló adatkezelések kapcsán:
- megfelelő jogalap hiánya az MI tanítására használt nagy számú személyes adat kezelésére vonatkozóan,
- megfelelő tájékoztatás hiánya,
- hibás, téves outputok szolgáltatása ("hallucináció"), amely pontatlan személyes adatok kezeléséhez vezet,
- bár a felhasználási feltételek szerint a szolgáltatást 13 év feletti felhasználóknak szánja az OpenAI, semmilyen, az életkori küszöb ellenőrzésére szolgáló mechanizmust nem alkalmaznak.
Mi következik most?
A sajtóközlemény rögzíti, hogy az OpenAI nem az EU-ban letelepedett adatkezelő (ugyanakkor a GDPR extraterritoriális hatályának köszönhetően - az EU-s polgárok adatainak kezelése miatt - a GDPR hatálya kiterjed az OpenAI által a ChatGPT révén folytatott adatkezelésre, lásd GDPR 3. cikk (2) bekezdés), de képviselőt kijelölt a GDPR-nak megfelelően. Az OpenAI-nek 20 napja van, hogy nyilatkozzon azon intézkedések implementálásáról, amelyeket a Garante az OpenAI-nek küldött felhívásában megkövetelt.
Érdemes megemlíteni, hogy a Garante nem először "akaszkodik össze" mesterséges intelligencia alapú szolgáltatást nyújtó adatkezelővel. 2022-ben az olasz hatóság 20 millió eurós bírságot szabott ki a Clearview AI-ra, amely arcfelismerő rendszert fejleszt és ehhez óriási mennyiségben kezel személyes adatokat (többek között az internetről, számos forrásból összegyűjtött arcképeket). A bírság mellett a hatóság elrendelte a jogszerűtlenül kezelt adatok törlését és újabb adatok gyűjtését is megtiltotta. (Az olasz hatóság után a francia adatvédelmi hatóság is 20 millió euróra bírságolta a Clearview AI-t, szintén 2022-ben. A Clearview AI persze ennek ellenére él és virul, egy friss hír szerint az USA-ban már közel 1 millió alkalommal használták a rendőri szervezetek és mostanra már több, mint 30 milliárd - hozzájárulás nélkül gyűjtött - arcképet tartalmazó adatbázissal rendelkezik. A New York Times 2020-as tényfeltáró anyagát is érdemes elolvasni a Clearview AI-ról.)
A ChatGPT-t érintő eljárásól kevés információ áll egyelőre rendelkezésre, mindenesetre az eljárás megindítása előrevetíti, hogy az elkövetkezendő időszakban a technológiai fejlesztések, a formálódó jogszabályi környezet és a jogalkalmazás terén nagyon turbulens, nagy visszhangot kiváltó események várhatók. Szintén fokozódik a nyomás az uniós jogalkotáson, hogy az előkészítés alatt álló MI rendeletet minél előbb fogadják el, nehogy túl késő legyen.
