Після того як штучний інтелект буквально захопив увесь світ, увага органів захисту даних (DPA) прикута до того, що відбувається з персональними даними користувача в процесі навчання та використання ШІ в різних країнах.
У цій статті ми проаналізуємо, які конкретні кроки роблять DPA для того, щоб сфера ШІ стала більш регульованою щодо захисту даних.
Нещодавно Комісія з ІТ-права Асоціації юристів Стамбула опублікувала статтю «Як органи захисту даних де-факто регулюють генеративний штучний інтелект» у щомісячному бюлетені робочої групи штучного інтелекту «Право в епоху штучного інтелекту». Чому це питання стає дедалі гострішим і актуальнішим?
Минулого року Generative AI захопив світ штурмом, а такі сервіси, як ChatGPT, стали «найшвидше зростаючою споживчою програмою в історії». Для навчання та функціонування генеративних додатків штучного інтелекту необхідні величезні обсяги даних, у тому числі персональних даних. Немає нічого дивного в тому, що органи захисту даних («DPA») були першими регуляторними органами в усьому світі, які вжили заходів, від початку розслідувань до фактичного видання наказів про призупинення послуг, якщо вони виявили порушення законодавства про захист даних.
Їхнє занепокоєння поширюється на наступному:
У широкому сенсі DPA є наглядовими органами, наділеними повноваженнями запроваджувати комплексне законодавство про захист даних у своїй юрисдикції. За останні шість місяців, коли популярність генеративного штучного інтелекту зростала серед споживачів і компаній у всьому світі, DPA розпочали розслідування того, як постачальники таких послуг дотримуються юридичних зобов’язань щодо того, як збираються та використовуються персональні дані, як це передбачено у відповідному національному законодавстві про захист даних. Зараз їхні зусилля зосереджені на OpenAI як постачальнику ChatGPT. Лише два з розслідувань наразі завершилися офіційними правоохоронними діями, нехай і попередніми, в Італії та Південній Кореї.
30 березня 2023 року Італійське DPA (Garante) видало надзвичайний наказ, щоб заблокувати OpenAI обробку особистих даних людей в Італії.Garante виклала кілька потенційних порушень положень GDPR, включаючи законність, прозорість, права суб’єкта даних, обробку персональних даних дітей і захист даних за проектом і за замовчуванням. Він скасував заборону через місяць, після того, як OpenAI оголосив про зміни відповідно до вимог DPA. Розслідування по суті ще триває.
Після італійського наказу 13 квітня 2023 року Європейська рада із захисту даних створила робочу групу для «сприяння співпраці та обміну інформацією» щодо розгляду скарг і розслідувань щодо OpenAI і ChatGPT на рівні ЄС.
Федеральний офіс уповноваженого з питань приватності (OPC) Канади оголосив 4 квітня 2023 року, що розпочав розслідування щодо ChatGPT після скарги на те, що сервіс обробляє персональні дані без згоди. 25 травня OPC оголосив, що розслідуватиме ChatGPT спільно з провінційними органами приватності Британської Колумбії, Квебеку та Альберти, розширивши розслідування, щоб також з’ясувати, чи дотримувався OpenAI зобов’язань щодо відкритості та прозорості, доступу, точності та підзвітність, а також обмеження мети.
Іберо-американська мережа DPA, яка об’єднує наглядові органи з 21 іспаномовної та португаломовної країни Латинської Америки та Європи, оголосила 8 травня 2023 року, що розпочала скоординовану дію щодо ChatGPT.
Комісія із захисту персональної інформації Японії (PPC) опублікувала попередження для OpenAI 1 червня 2023 року, у якому підкреслювалося, що вона не повинна збирати особисті дані від користувачів ChatGPT або інших осіб без отримання згоди, а також повинна давати повідомлення японською мовою про мету, з якою він збирає особисті дані користувачів.
27 липня 2023 року DPA Бразилії оголосило, що розпочало розслідування того, як ChatGPT дотримується закону про захист персональних даних - Lei Geral de Proteção de Dados (LGPD) після отримання скарги та повідомлень у засобах масової інформації, які стверджують, що наданий сервіс не відповідає вимогам законом країни про захист даних.
У липні 2023 року Федеральна торгова комісія США (FTC) розпочала розслідування щодо ChatGPT, щоб з’ясувати, чи застосовував його провайдер «несправедливі чи оманливі методи захисту приватності чи безпеки даних або несправедливі чи оманливі дії, пов’язані з ризиками заподіяння шкоди споживачам» у порушення п.5 Закону про FTC.
Комісія із захисту особистої інформації Південної Кореї (PIPC) оголосила 27 липня 2023 року, що наклала адміністративний штраф у розмірі 3,6 мільйона корейських вон (приблизно 3000 доларів США) на OpenAI за те, що вона не повідомила про порушення даних у зв’язку з процедурою оплати. Водночас PIPC оприлюднив перелік випадків невідповідності Закону країни про захист персональних даних, пов’язаних із прозорістю, законними підставами для обробки (відсутність згоди), відсутністю ясності, пов’язаною з відносинами контролер-обробник, а також проблемами з відсутністю згоди батьків на дітей молодше 14 років. PIPC дав OpenAI півтора місяці до
15 вересня 2023 року, щоб привести обробку персональних даних у відповідність.
Цей огляд розслідувань показує значні спільні риси між юридичними зобов’язаннями та їх застосуванням до обробки персональних даних за допомогою цієї нової технології. Існує також збіг у занепокоєннях DPA щодо впливу генеративного штучного інтелекту на права людей щодо їхніх особистих даних. Це забезпечує хорошу основу для співпраці та координації між наглядовими органами як регуляторами генеративного ШІ.
У цьому дусі DPA членів G7 прийняли в Токіо 21 червня 2023 року Заяву про генеративний штучний інтелект, яка викладає їхні ключові питання, пов’язані з тим, як технологія обробляє персональні дані. Комісар розпочав свою заяву з визнання того, що «зростає занепокоєння щодо того, що генеративний штучний інтелект може становити ризики та потенційну шкоду для конфіденційності, захисту даних та інших основних прав людини, якщо його не розробляти та регулювати належним чином».
Основні проблемні питання, висвітлені в Заяві, стосуються:
Засоби безпеки від інвертування генеративної моделі штучного інтелекту для вилучення або відтворення персональних даних, спочатку оброблених у наборах даних, які використовуються для навчання моделі, також були додані як ключове питання. Також були пропозиції щодо впровадження заходів пом’якшення та моніторингу для забезпечення того, що персональні дані, створені через такі інструменти є точними, повними та оновленими, не мають дискримінаційного, незаконного чи іншого невиправданого впливу.
Серед інших питань, які викликають занепокоєння, були:
Ключова рекомендація, викладена в Заяві, яка також випливає з наведених вище розслідувань, полягає в тому, щоб розробники та постачальники впроваджували приватність у розробку, концепцію, роботу та керування новими продуктами та послугами, які використовують генеративні технології ШІ, і документували їх вибір в оцінці впливу на захист даних.
LinkedIn
Instagram
Facebook
Telegram
Medium
Звертайтесь до нас та отримуйте консультацію: business@avitar.legal
Віолетта Лосєва
,
