EU:n tietosuoja-asetuksessa edellytetään, että henkilöitä koskevat tiedot ovat täsmällisiä ja että heillä on täysi oikeus tutustua tallennettuihin tietoihin sekä tietolähdettä koskeviin tietoihin. Yllättäen OpenAI kuitenkin myöntää avoimesti, ettei se pysty korjaamaan virheellisiä tietoja ChatGPT:ssä. Lisäksi yritys ei voi kertoa, mistä tiedot ovat peräisin tai mitä tietoja ChatGPT tallentaa yksittäisistä ihmisistä. Yhtiö on hyvin tietoinen tästä ongelmasta, mutta ei näytä välittävän siitä. Sen sijaan OpenAI yksinkertaisesti väittää, että "suurten kielimallien faktatarkkuus on edelleen aktiivisen tutkimuksen kohteena". Siksi, noyb tänään kantelun OpenAI:ta vastaan Itävallan tietosuojaviranomaiselle.
ChatGPT näkee jatkuvasti harhoja - eikä edes OpenAI voi pysäyttää sitä. ChatGPT:n lanseeraus marraskuussa 2022 käynnisti ennennäkemättömän tekoälyhypen. Ihmiset alkoivat käyttää chatrobottia kaikenlaisiin tarkoituksiin, myös tutkimustehtäviin. Ongelmana on, että OpenAI:n itsensä mukaan sovellus tuottaa vain "vastauksia käyttäjän pyyntöihin ennustamalla seuraavat todennäköisimmät sanat, jotka voivat esiintyä vastauksena kuhunkin kehotukseen". Toisin sanoen: Vaikka yrityksellä on käytössään laaja harjoitusaineisto, tällä hetkellä ei ole mitään keinoa taata, että ChatGPT todella näyttää käyttäjille asiallisesti oikeaa tietoa. Päinvastoin, generatiivisten tekoälytyökalujen tiedetään säännönmukaisesti "harhauttavan", eli ne yksinkertaisesti keksivät vastauksia.
Se sopii kotitehtäviin, mutta ei yksilöitä koskeviin tietoihin. Vaikka epätarkat tiedot voidaan hyväksyä, kun opiskelija käyttää ChatGPT:tä kotitehtäviensä tekemiseen, sitä ei voida hyväksyä, kun kyse on henkilöitä koskevista tiedoista. Vuodesta 1995 lähtien EU:n lainsäädännössä on edellytetty, että henkilötietojen on oltava tarkkoja. Tällä hetkellä tämä on kirjattu yleisen tietosuoja-asetuksen 5 artiklaan. Yksilöillä on myös oikeus oikaisuun yleisen tietosuoja-asetuksen 16 artiklan nojalla, jos tiedot ovat virheellisiä, ja he voivat pyytää, että väärät tiedot poistetaan. Lisäksi 15 artiklassa säädetyn tiedonsaantioikeuden nojalla yritysten on pystyttävä osoittamaan, mitä tietoja niillä on hallussaan henkilöistä ja mistä lähteistä.
Maartje de Graaf, tietosuojalakimies noyb: "Väärien tietojen keksiminen on sinänsä varsin ongelmallista. Mutta kun kyse on henkilöitä koskevista vääristä tiedoista, sillä voi olla vakavia seurauksia. On selvää, että yritykset eivät tällä hetkellä pysty saamaan ChatGPT:n kaltaisia chat-robotteja noudattamaan EU:n lainsäädäntöä käsitellessään yksityishenkilöitä koskevia tietoja. Jos järjestelmä ei pysty tuottamaan tarkkoja ja läpinäkyviä tuloksia, sitä ei voida käyttää yksilöitä koskevien tietojen tuottamiseen. Teknologian on noudatettava oikeudellisia vaatimuksia, ei päinvastoin."
Pelkkä yksilöitä koskevien tietojen keksiminen ei ole vaihtoehto. Tämä on hyvin pitkälti rakenteellinen ongelma. New York Timesin tuoreen raportin mukaan "chatbotit keksivät tietoja vähintään 3 prosenttia ajasta - ja jopa 27 prosenttia". Havainnollistamaan tätä ongelmaa voimme tarkastella kantelijaa (julkisuudenhenkilöä) OpenAI:ta vastaan nostamassamme jutussa. Kun häneltä kysyttiin hänen syntymäpäiväänsä, ChatGPT antoi toistuvasti virheellistä tietoa sen sijaan, että olisi kertonut käyttäjille, ettei sillä ole tarvittavia tietoja.
Eikö ChatGPT:n kaappaamilla henkilöillä ole GDPR-oikeuksia? Huolimatta siitä, että ChatGPT:n ilmoittama kantelijan syntymäaika on virheellinen, OpenAI kieltäytyi hänen pyynnöstään oikaista tai poistaa tiedot väittäen, että tietojen korjaaminen ei ole mahdollista. OpenAI:n mukaan se voi suodattaa tai estää tiettyjen kehotteiden tiedot (kuten kantelijan nimen), mutta se ei voi estää ChatGPT:tä suodattamasta kaikkia kantelijaa koskevia tietoja. OpenAI ei myöskään vastannut asianmukaisesti kantelijan pyyntöön saada tietoja. Vaikka yleinen tietosuoja-asetus antaa käyttäjille oikeuden pyytää yrityksiltä kopiota kaikista heistä käsitellyistä henkilötiedoista, OpenAI ei antanut mitään tietoja käsitellyistä tiedoista, niiden lähteistä tai vastaanottajista.
Maartje de Graaf, tietosuojalakimies noyb: "Velvollisuus noudattaa tietopyyntöjä koskee kaikkia yrityksiä. On selvää, että on mahdollista pitää kirjaa käytetyistä koulutustiedoista ja ainakin saada käsitys tietolähteistä. Näyttää siltä, että jokaisen 'innovaation' myötä toinen yritysryhmä ajattelee, että sen tuotteiden ei tarvitse noudattaa lakia."
Valvontaviranomaisten toistaiseksi tuloksettomat yritykset. ChatGPT:n äkillisen suosion kasvun jälkeen generatiiviset tekoälytyökalut ovat joutuneet nopeasti eurooppalaisten yksityisyydensuojan valvojien tarkkailun kohteeksi. Muun muassa Italian tietosuojaviranomainen puuttui chatbotin epätarkkuuteen, kun se määräsi tietojenkäsittelylle väliaikaisen rajoituksen maaliskuussa 2023. Muutamaa viikkoa myöhemmin Euroopan tietosuojaneuvosto (EDPB) perusti ChatGPT:tä käsittelevän työryhmän koordinoimaan kansallisia toimia. Nähtäväksi jää, mihin tämä johtaa. Toistaiseksi OpenAI ei näytä edes teeskentelevän, että se voi noudattaa EU:n tietosuoja-asetusta.
Kantelu jätetty. noyb pyytää nyt Itävallan tietosuojaviranomaista (DSB) tutkimaan OpenAI:n tietojenkäsittelyä ja toimenpiteitä, jotka on toteutettu yrityksen suurten kielimallien yhteydessä käsiteltyjen henkilötietojen oikeellisuuden varmistamiseksi. Lisäksi pyydämme DSB:tä määräämään OpenAI:n noudattamaan kantelijan pyyntöä saada pääsy tietoihin ja saattamaan tietojenkäsittelynsä yleisen tietosuoja-asetuksen mukaiseksi. Viimeisenä mutta ei vähäisimpänä noyb pyytää viranomaista määräämään sakon, jolla varmistetaan, että sääntöjä noudatetaan tulevaisuudessa. On todennäköistä, että tämä tapaus käsitellään EU-yhteistyön kautta.
