Związane ze sztuczną inteligencją problemy, które nie tak dawno temu pozostawały jedynie w sferze rozważań teoretycznych, stały się faktem, z którym musi się zmierzyć także polski organ nadzorczy - pisze Jakub Groszkowski, zastępca prezesa UODO.
Jeszcze kilka miesięcy temu zagadnienia związane z przetwarzaniem danych osobowych w kontekście coraz powszechniejszego wykorzystywania sztucznej inteligencji były wymieniane jako jedno z wyzwań, z jakimi będzie się musiał zmierzyć Urząd Ochrony Danych Osobowych. Te wyzwania już stały się faktem – do UODO wpłynęła pierwsza skarga na OpenAI – firmę, która stworzyła ChatGPT, generatywną sztuczną inteligencję, która potrafi nie tylko odpowiadać na pytania, lecz także komponować piosenki, pisać teksty, a nawet programy komputerowe.
W związku ze skargą prezes UODO skierował do OpenAI pytania, które mają na celu wnikliwe zweryfikowanie zarzutów podniesionych w skardze na tę spółkę. Organ nadzorczy chce się dowiedzieć, z jakich źródeł są pozyskiwane dane osobowe – w tym skarżącego – wykorzystywane w ramach usługi ChatGPT i w jakim celu są one przetwarzane. Domaga się także wskazania podstawy prawnej, na jakiej są przetwarzane. Jest to bardzo istotne nie tylko w kontekście danych zwykłych, lecz także kategorii szczególnej, gdyż niewykluczone, że i takie dane są przetwarzane w ramach usługi ChatGPT.
Urząd potrzebuje informacji
Z praktyki UODO wynika, że wiele podmiotów jako podstawę przetwarzania danych wskazuje zgodę osób, których dane dotyczą. Gdyby spółka wskazała taką podstawę, powinna też wyjaśnić, w jaki sposób te zgody uzyskuje – o to również został poproszony administrator danych przetwarzanych w ramach ChatGPT.
Prezes UODO w piśmie do OpenAI zwrócił się o szczegółowe wyjaśnienie, w jaki sposób realizowany jest przez spółkę obowiązek informacyjny, zarówno wobec użytkowników usługi ChatGPT, jak i osób, które nie korzystają z tej usługi, ale w jej ramach są przetwarzane ich dane osobowe.
Wśród pytań są i takie, w których polski organ nadzorczy domaga się od OpenAI szczegółowych informacji dotyczących realizacji żądań skarżącego, a więc m.in. wskazania odbiorców danych, źródła danych skarżącego czy ich sprostowania. UODO zapytał również o to, czy w stosunku do skarżącego miało miejsce zautomatyzowane indywidualne podejmowanie decyzji, w tym profilowanie.
Ci, którzy spodziewają się szybkiego zakończenia sprawy, muszą jednak uzbroić się w cierpliwość. Sam zakres skargi jest szeroki, firma OpenAI ma siedzibę poza Unią Europejską, a decyzja w tej sprawie nie tylko będzie musiała odnosić się do stanu faktycznego, lecz także uwzględniać zasadę jednolitego podejścia do stosowania przepisów RODO w UE, a więc wziąć pod uwagę prace specjalnej grupy roboczej ds. OpenAI powołanej w ramach Europejskiej Rady Ochrony Danych Osobowych, której polski organ nadzorczy jest członkiem.
To pierwsze postępowanie dotyczące generatywnej sztucznej inteligencji, ale UODO nie pierwszy raz zwraca się bezpośrednio do spółki, która ma siedzibę poza Unią Europejską. W 2021 r. po bardzo dużym wycieku danych z platformy Facebook prezes Urzędu Ochrony Danych Osobowych wystąpił z pismem do władz spółki – właściciela platformy i zwrócił uwagę na konieczność podjęcia działań w celu ograniczenia ryzyka wykorzystania danych osobowych objętych naruszeniem poprzez zaoferowanie usługi umożliwiającej wszystkim polskim użytkownikom sprawdzenia, czy naruszenie to ich dotyczy.
ChatGPT na manowcach
ChatGPT przetwarza duże ilości dostępnych powszechnie danych w celu generowania treści adekwatnych do podpowiedzi, zapytań użytkowników. Podstawowy schemat działania wygląda następująco: na wejściu program otrzymuje fragment tekstu w języku naturalnym, np. zapytanie, i ma za zadanie wygenerować inny tekst, sensowny i poprawny gramatycznie, który najbardziej pasuje jako kontynuacja danego fragmentu. Dopasowanie określone jest przez bazę danych tekstowych, na której program był trenowany. Można powiedzieć, że program generuje najbardziej prawdopodobną kontynuację tekstu na podstawie tekstów występujących w bazie. Poprawność i aktualność odpowiedzi są w dużej mierze zależne od danych, którymi ChatGPT został zasilony, oraz od skuteczności modeli językowych.
Biorąc pod uwagę, że niektóre dane służące do trenowania tego mechanizmu mogą być nieprawdziwe, generowane odpowiedzi mogą być dezinformacją lub promować błędne informacje. Również tego aspektu dotyczy skarga złożona do UODO. Otóż narzędzie to przedstawiło nieprawdziwe informacje w odpowiedzi na zapytanie skarżącego. Prośba o ich sprostowanie nie została przez OpenAI zrealizowana, choć wymaga tego RODO.
Wierzchołek góry lodowej
Brak przejrzystości, prawidłowości danych, na których uczyła się sztuczna inteligencja, może jednak być tylko niewielką częścią nieprawidłowości związanych z działaniem mechanizmów sztucznej inteligencji. Nie wiadomo, jakie w ogóle dane osobowe przetwarzają takie narzędzia. Problemy te były również poruszane przez ekspertów podczas zorganizowanego przez UODO Forum Nowych Technologii, które odbyło się 20–21 września 2023 r. (omówiono m.in. wymagania, jakim musi odpowiadać sztuczna inteligencja, jej styk z ochroną danych i ryzyka, jakie mogą wystąpić w związku z korzystaniem z takich rozwiązań na coraz większą skalę).
Odpowiedzialne korzystanie z narzędzi opartych na sztucznej inteligencji jest istotne w kontekście potencjalnych zagrożeń dla naszej prywatności. Udostępniając swoje informacje i dane osobowe w sieci, stajemy się podatni na ryzyko, że mogą one być wykorzystywane w niepożądany sposób. Istnieje realne zagrożenie, że mechanizmy AI, korzystając z tych danych, mogą tworzyć profile, analizować nasze nawyki i preferencje, a nawet podejmować decyzje dotyczące naszego życia. To może prowadzić do naruszeń prywatności oraz manipulacji naszymi danymi osobowymi. Dlatego konieczne jest, abyśmy byli świadomi tego zagrożenia i starali się zachować ostrożność w udostępnianiu naszych danych online, aby chronić naszą prywatność i bezpieczeństwo. To podejście privacy by design i privacy by default staje się niezbędne w obliczu rosnącej roli sztucznej inteligencji i jej potencjalnych zagrożeń dla naszych danych osobowych.
Bez danych nie zadziała
Pamiętajmy też, że rozwój nowych technologii jest często uwarunkowany dostępem do olbrzymiej liczby danych. Wynikające z tego wyzwania zagrożenia mogą się różnić w zależności od branży czy rodzaju zastosowanej technologii. Wśród najbardziej realnych wymienia się możliwość naruszenia praw podstawowych, w tym związanych z ochroną danych osobowych czy prywatnością.
Ważne jest, aby poznać zasady privacy by design oraz privacy by default, które wywodzą się z RODO. Privacy by design (zasada prywatności w fazie projektowania) zakłada, że administratorzy danych mają obowiązek uwzględniania ochrony danych i prywatności na każdym etapie tworzenia i istnienia technologii, która obejmuje przetwarzanie danych. Oznacza to, że już od samego początku projektowania systemów AI należy brać pod uwagę zabezpieczenia i środki techniczne oraz organizacyjne, które umożliwią spełnienie wymogów RODO oraz ochronę praw osób, których dane są przetwarzane. Głównymi zadaniami wynikającymi z tej zasady jest dokonanie oceny, wdrożenie odpowiednich środków oraz stały monitoring. Oceny dokonuje się, uwzględniając stan wiedzy technicznej, koszty wdrażania, ryzyko naruszenia praw oraz charakter, zakres, kontekst i cele przetwarzania. Dodatkowo po wdrożeniu środków ochrony należy dokonywać bieżącego monitoringu tych środków, aby upewnić się, że realizują one założone cele.
Jako przykład można podać zakaz wykorzystywania systemów zdalnej identyfikacji biometrycznej w czasie rzeczywistym i w przestrzeni publicznej, zwłaszcza w celu zapewnienia przestrzegania prawa. W AI Act znalazła się regulacja, która wprost tego zabrania – a jednocześnie zazębia się z zakazem przetwarzania danych biometrycznych służących do identyfikacji, który przewidziano w RODO. Wątpliwości dotyczyły także obowiązków w zakresie przejrzystości w odniesieniu do użytkowników systemów rozpoznawania emocji lub systemów kategoryzacji biometrycznej. AI Act rozszerza obowiązki przejrzystości wymagane przepisami RODO w przypadku przetwarzania danych biometrycznych, ponownie relacja między tymi dwoma aktami nie została jednak sprecyzowana. Wątpliwości ekspertów wzbudziła też kwestia nakładania kar administracyjnych przewidzianych w obu regulacjach. Możliwy jest też zbieg sankcji z art. 71 AI Act i art. 83 RODO. Należy przy tym zwrócić uwagę na istotne rozbieżności zakresowe co do okoliczności branych pod uwagę przy określaniu wysokości kary pieniężnej w obu regulacjach.
Przepisy RODO są dość ogólne. Ich stosowanie w kontekście przetwarzania danych przez sztuczną inteligencję może być trudne, ponieważ rozporządzenie nie bierze pod uwagę ich specyfiki.
Rozwój systemów sztucznej inteligencji stanowi wyzwanie dla ochrony danych osobowych z kilku powodów. Przede wszystkim systemy AI mają zdolność do przetwarzania ogromnych ilości danych w ekspresowym tempie, co zwiększa ryzyko naruszeń danych. Ponadto algorytmy mogą odkrywać związki i tworzyć profile na podstawie tzw. danych peryferyjnych, które na pierwszy rzut oka mogą wydawać się nieistotne lub niepowiązane ze sobą, co rodzi obawy dotyczące prywatności podmiotów danych. Poza tym decyzje podejmowane przez systemy AI mogą być trudne do zrozumienia lub wyjaśnienia, co utrudnia kontrolę nad przetwarzaniem danych osobowych. Te wyzwania wymagają specjalnego podejścia i regulacji, aby zapewnić odpowiednią ochronę danych osobowych w erze rosnącego wpływu AI.
Rozwoju sztucznej inteligencji nie zatrzymamy i nikt nie ma takiego zamiaru. Widzimy jednak, że istnieją poważne ryzyka dla ochrony danych w związku z coraz powszechniejszym korzystaniem z takich narzędzi. Dlatego konieczne jest dbanie o to, by nowoczesne technologie pogodzić z przepisami o ochronie danych osobowych. Zapewnić to muszą sami twórcy takich rozwiązań jako administratorzy danych, które są przetwarzane w takich systemach, a organy nadzorcze muszą im się bacznie przyglądać, aby prywatność człowieka nie została odsunięta na boczny tor w imię rozwoju technologii. ©℗