I EU kräver GDPR att information om individer är korrekt och att de har full tillgång till den lagrade informationen, samt information om källan. Förvånansvärt nog medger OpenAI öppet att man inte kan korrigera felaktig information på ChatGPT. Dessutom kan företaget inte säga varifrån uppgifterna kommer eller vilka uppgifter ChatGPT lagrar om enskilda personer. Företaget är väl medvetet om detta problem, men verkar inte bry sig. Istället argumenterar OpenAI helt enkelt för att "faktanoggrannhet i stora språkmodeller fortfarande är ett område med aktiv forskning". Det är därför, noyb idag lämnat in ett klagomål mot OpenAI till den österrikiska dataskyddsmyndigheten.
ChatGPT fortsätter att hallucinera - och inte ens OpenAI kan stoppa det. Lanseringen av ChatGPT i november 2022 utlöste en aldrig tidigare skådad AI-hype. Människor började använda chatboten för alla möjliga ändamål, inklusive forskningsuppgifter. Problemet är att applikationen, enligt OpenAI självt, bara genererar "svar på användarförfrågningar genom att förutsäga de nästa mest sannolika orden som kan visas som svar på varje fråga". Med andra ord: Även om företaget har omfattande träningsdata finns det för närvarande inget sätt att garantera att ChatGPT faktiskt visar användarna faktamässigt korrekt information. Tvärtom är generativa AI-verktyg kända för att regelbundet "hallucinera", vilket innebär att de helt enkelt hittar på svar.
Okej för läxor, men inte för data om individer. Medan felaktig information kan tolereras när en student använder ChatGPT för att hjälpa honom med sina läxor, är det oacceptabelt när det gäller information om individer. Sedan 1995 kräver EU-lagstiftningen att personuppgifter måste vara korrekta. För närvarande är detta inskrivet i artikel 5 i GDPR. Enskilda personer har också rätt till rättelse enligt artikel 16 i GDPR om uppgifterna är felaktiga, och kan begära att falsk information raderas. Dessutom måste företag, enligt "rätten till tillgång" i artikel 15, kunna visa vilka uppgifter de har om enskilda personer och vilka källorna är.
Maartje de Graaf, dataskyddsjurist på noyb: "Att hitta på falsk information är i sig ganska problematiskt. Men när det handlar om falsk information om enskilda personer kan det få allvarliga konsekvenser. Det är tydligt att företag för närvarande inte kan få chatbottar som ChatGPT att följa EU-lagstiftningen när de behandlar uppgifter om enskilda personer. Om ett system inte kan producera korrekta och transparenta resultat kan det inte användas för att generera uppgifter om enskilda personer. Tekniken måste följa de rättsliga kraven, inte tvärtom."
Att helt enkelt hitta på uppgifter om enskilda personer är inte ett alternativ. Det här är i högsta grad ett strukturellt problem. Enligt en färsk rapport från New York Times"hittar chatbottar på information minst 3 procent av tiden - och så mycket som 27 procent". För att illustrera detta problem kan vi ta en titt på den klagande (en offentlig person) i vårt fall mot OpenAI. På frågan om hans födelsedag gav ChatGPT upprepade gånger felaktig information istället för att berätta för användarna att de inte har de nödvändiga uppgifterna.
Inga GDPR-rättigheter för personer som fångats av ChatGPT? Trots att den klagandes födelsedatum som ChatGPT angett är felaktigt, avslog OpenAI hans begäran om att rätta eller radera uppgifterna med motiveringen att det inte var möjligt att rätta uppgifterna. OpenAI säger att de kan filtrera eller blockera uppgifter på vissa uppmaningar (t.ex. namnet på den klagande), men inte utan att förhindra ChatGPT från att filtrera all information om den klagande. OpenAI underlät också att på ett adekvat sätt besvara den klagandes begäran om tillgång. Trots att GDPR ger användarna rätt att be företag om en kopia av alla personuppgifter som behandlas om dem, lämnade OpenAI inte ut någon information om de uppgifter som behandlades, deras källor eller mottagare.
Maartje de Graaf, dataskyddsjurist på noyb: "Skyldigheten att tillmötesgå begäran om tillgång gäller alla företag. Det är helt klart möjligt att föra register över utbildningsdata som använts och åtminstone ha en uppfattning om informationskällorna. Det verkar som om det för varje "innovation" finns en annan grupp företag som anser att deras produkter inte behöver följa lagen."
Hittills fruktlösa ansträngningar från tillsynsmyndigheternas sida. Sedan ChatGPT:s plötsliga popularitetsökning har generativa AI-verktyg snabbt hamnat under europeiska integritetsmyndigheters lupp. Bland annat tog den italienska datainspektionen upp chatbotens felaktigheter när den införde en tillfällig begränsning av databehandling i mars 2023. Några veckor senare inrättade Europeiska dataskyddsstyrelsen (EDPB) en arbetsgrupp för ChatGPT för att samordna nationella insatser. Det återstår att se vad detta kommer att leda till. För närvarande verkar OpenAI inte ens låtsas om att de kan följa EU:s GDPR.
Klagomål inlämnat . noyb ber nu den österrikiska dataskyddsmyndigheten (DSB) att undersöka OpenAI:s databehandling och de åtgärder som vidtagits för att säkerställa riktigheten i de personuppgifter som behandlas i samband med företagets stora språkmodeller. Vidare ber vi DSB att beordra OpenAI att efterkomma den klagandes begäran om tillgång och att anpassa sin behandling till GDPR. Sist men inte minst begär noyb att myndigheten ska utdöma böter för att säkerställa framtida efterlevnad. Det är troligt att detta ärende kommer att hanteras inom ramen för EU-samarbetet.
