A ChatGPT-vel a mesterséges intelligencia (MI) alapú megoldások alkalmazása szinte berobbant a köztudatba. Az OpenAI által fejlesztett alkalmazás - a felhasználói bázisa alapján - a leggyorsabban növekvő alkalmazássá vált, két hónappal a közzététele után már 100 millió rendszeres havi felhasználóval büszkélkedhetett. A ChatGPT használatának széles körben való terjedésével párhuzamosan előtérbe kerültek a ChatGPT-vel, illetve általánosabban, a nagy nyelvi modellekkel (large language models, LLMs) kapcsolatos adatvédelmi kérdések is.
Az adatvédelmi kérdések fókuszba helyezésében nagy szerepet játszott az olasz adatvédelmi hatóság (Garante) határozott fellépése, amellyel felfüggesztette a ChatGPT működését Olaszországban. Az olasz hatóság március végi döntése nagy visszhangot váltott ki és sorra jelentek meg más hatóságoktól is nyilatkozatok a ChatGPT működését érintő esetleges további vizsgálatok megindításáról. A legfrisebb hírek szerint pedig az Európai Adatvédelmi Testület egy külön csoportot (task force) állított fel a ChatGPT-vel kapcsolatos adatvédelmi kérdések vizsgálatára, az összehangolt uniós fellépés érdekében.
Az alábbiakban röviden áttekintem a ChatGPT olaszországi felfüggesztése óta történteket és egyes lehetséges jövőbeni kilátásokat.
1. Adatvédelmi hatósági reakciók az olasz döntés kapcsán
Az olasz hatóság határozott reakciója jókora követ dobott az uniós adatvédelmi hatósági jogérvényesítés tavába/tengerébe. Több kérdés felmerülhetett az elmúlt időszakban a Garante döntése nyomán:
- egy ChatGPT-hez hasonló megoldás esetén, amely az uniós polgárokat egyformán érinti, milyen fokú koordináció szükséges és lehetséges a tagállami hatóságok között*,
- egységes jogalkalmazás hiánya milyen hatással lehet az uniós adatvédelmi keretrendszerre,
- hatékony lehet-e a fellépés az új technológiák kapcsán, ha - bár közös alapról (GDPR) indulva - az egyes tagállamokban jelentős eltérések mutatkozhatnak a jogalkalmazás módját (pl. felfüggesztés egyik tagállamban, míg mindenhol máshol folytatódhat a megoldás használata) és tartalmát (azaz milyen, a GDPR-ban meghatározott követelmények sérelme merülhet fel) illetően is.
* A GDPR az egységes uniós jogalkalmazás előmozdítása érdekében külön fejezetben foglalkozik az adatvédelmi hatóságok közötti együttműködés és az egységesség kérdésével (lásd GDPR VII. fejezet). A GDPR Preambuluma szerint a GDPR "[...] Unió-szerte történő egységes alkalmazásának biztosítása érdekében, a felügyeleti hatóságok közötti együttműködést szolgáló egységességi mechanizmust kell létrehozni. Ezt a mechanizmust különösen akkor kell alkalmazni, amikor egy felügyeleti hatóság célja olyan intézkedés elfogadása, amely több tagállamban nagyszámú érintettet jelentős mértékben érintő adatkezelési műveletekre vonatkozóan joghatást ér el. A mechanizmus abban az esetben is alkalmazni kell, ha valamely érintett felügyeleti hatóság vagy a Bizottság kéri egy ilyen ügy egységességi mechanizmus keretében történő kezelését. [...]" (kiemelés tőlem; lásd (135) Preambulum bekezdés)
A ChatGPT-t érintő eljárások kapcsán érdemes azt is figyelembe venni, hogy az OpenAI az EU-ban nem letelepedett adatkezelő, az EU-n belüli tevékenységi központtal sem rendelkezik, így fő felügyeleti hatóság illetékessége sem megállapítható a határon átnyúló adatkezelések kapcsán (lásd GDPR 56. cikk).
Az olaszországi intézkedés kapcsán több tagállami adatvédelmi hatóság részéről felmerült, hogy a ChatGPT-t érintő intézkedések meghozatalára kerülhet sor. Németországban is felvetődött, hogy az olaszországihoz hasonló intézkedés (felfüggesztés) meghozatala felmerülhet, de erre mindeddig nem került sor. A francia hatóság (CNIL) a ChatGPT-t érintő vizsgálódásról számolt be, amelyre a hatósághoz érkező több panasz adott alapot. A spanyol hatóság (AEPD) pedig hivatalból kezdett vizsgálódni és a téma Európai Adatvédelmi Testület általi napirendre vételét kérte (ami meg is történt azóta, lásd az alábbi 3. pontot).
2. Az olasz hatóság feltételei a ChatGPT további olaszországi működéséhez
Időközben az olasz hatóság nyilvánosságra hozta azt is, hogy milyen elvárásokat támasztott az OpenAI felé a ChatGPT további olaszországi működése érdekében:
- Átláthatóság, tájékoztatás: Az OpenAI-nak tájékoztatást kell közzétennie a honlapján az adatkezelésre vonatkozóan, beleértve a ChatGPT működéséhez szükséges adatkezelés logikájára vonatkozó tájékoztatást, valamint információt az érintetti jogokról. Az olaszországi felhasználóknak a regisztráció befejezése előtt kell elérhetővé tenni a tájékoztatást. A felhasználóknak arról is nyilatkzniuk kell, hogy elmúltak 18 évesek. A regisztrált felhasználóknak pedig a szolgáltatáshoz való hozzáféréskor kell elérhetővé tenni ezt a tájékoztatást, miután az - a tilalom feloldását követően - újra elérhetővé válik és ennek során az életkori szűrésen is át kell esniük.
- Jogalap: Az OpenAI a tanításra használt adatok tekintetében nem támaszkodhat a szerződéses jogalapra (az erre való hivatkozást mindenhonnan el kell távolítani). Az adatkezelés jogalapja a hozzájárulás vagy a jogos érdek lehet (a Garante ugyanakkor fenntartja magának a jogot, hogy az adatkezelés jogalapját és annek megfelelőségét a későbbiekben vizsgálja és megfelelő intézkedéseket hozzon ezzel kapcsolatban is).
- Érintetti jogok: Az érintetti jogok gyakorolhatóságát a felhasználóknak és az egyéb érintetteknek (nem felhasználók) is biztosítani kell, különüs tekintettel a helyesbítés jogára, illetve a törléshez való jogra. Az adatok kezeléséhez való tiltakozás jogát egyszerű eszközökkel kell biztosítani azoknak, akik nem felhasználói az alkalmazásnak, de az adataik kezelésre kerülnek, illetve a felasználók számára is, ha az adatkezelés jogalapja az ő tekintetükben is jogos érdek és nem hozzájárulás.
- Gyermekek védelme: Az életkori szűréseket illetően az OpenAI-nak olyan megoldást kell kialakítania, amely a regisztrációkor biztosítja az életkori szűrést és május 31-ig arra vonatkozóan is tervet kell előterjesztenie (amelyet szeptember 30-ig implementálnia kell), hogy az életkor ellenőrzése megtörténjen, kiszűrje a 13 év alatti felhasználókat és azon 13-18 év közöttieket, akiknél a szükséges szülői hozzájárulás nem áll rendelkezésre.
- Figyelemfelhívó kampány: Az OpenAI-nak - a Garante-val együttműködve - tájékoztató kampányt kell folytatnia (TV-ben, rádióban, interneten, újságokban) annak érdekében, hogy az érintettek figyelmét felhívja az adataik MI tanításához történő felhasználására.
Az OpenAI április 30-ig kapott határidőt, hogy megfeleljen a fenti feltételeknek. Természetesen a folyamatban lévő vizsgálat nyomán további szükséges intézkedések előírására is sor kerülhet.
3. Az Európai Adatvédelmi Testület ChatGPT-vel foglalkozó munkacsoportja
Az egységes megközelítés szükségességét felismerve az Európai Adatvédelmi Testület úgy döntött, hogy külön munkacsoportot hoz létre, amely elősegíti a tagállami hatóságok közötti együttműködést és információcserét a jogalkalmazás kapcsán. A munkacsoport működésével, az esetlegesen tárgyalt témákkal, stb. kapcsolatban azonban további részletekről egyelőre nincs információ.
4. További kilátások
Jól látható a fentiekből is, hogy a ChatGPT kapcsán a mesterséges intelligenciát érintő adatvédelmi kérdések a figyelem középpontjába kerültek (még akkor is, ha messze nem az első olyan esetről van szó, amikor MI-alapú alkalmazás adatvédelmi szempontú hatósági vizsgálatára kerül sor, lásd pl. a Clearview AI-t érintő ügyeket).
A ChatGPT-t érintő adatvédelmi hatósági eljárásoknak azonban nagyon komoly jelentősége lehet, többek között, az alábbi szempontok miatt is:
- széles körben használt alkalmazásról van szó, így sokan kapják fel a fejüket a téma kapcsán, így az MI alkalmazásokkal kapcsolatos adatvédelmi szempontok is többekhez juthatnak el,
- olyan kérdések kerülhetnek napirendre, amelyek nem csupán egyetlen alkalmazás, a ChatGPT tekintetében, hanem bizonyos MI alapú megoldások szélesebb körét illetően, így különösen a nagy nyelvi modellek (large language models) fejlesztése és alkalmazása tekintetében szolgálhatnak kiindulási pontként,
- az egységes uniós jogalkalmazás, a hatósági intézkedések összehangoltságának szükségessége is erősen megmutatkozik és széles körben válik nyílvánvalóvá,
- a fejleményeknek szerepük lehet az MI-t érintő további jogalkotás (pl. az EU MI rendelete) kapcsán is.
A ChatGPT bizonyos korrekciók mellett, de vélhetően működik majd tovább, ugyanakkor nem lefutott meccsről van szó és sok forog kockán, mert ha kellő időben nem sikerül a megfelelő - adatvédelmi - működési kereteket kialakítani (illetve érvényesíteni), akkor könnyen olyan helyzet alakulhat ki, mint pl. a közösségi média, illetve az online hirdetési piac kapcsán, ahol hosszú évek óta tart az adatvédelmi iszapbirkózás igazán átütő eredmény nélkül....