Новости ChatGPT: GDPR vs AI

Комментарий даёт консультант практики ФинТех и IP – Алиса Ерёмина.

13 мая произошло ожидаемое всеми фанатами нейросетей событие: OpenAI представила новую улучшенную модель GPT-4o.

С каждым витком развития ИИ возникают все новые и новые правовые проблемы. Конец прошлого года прошел под знаком огромного числа исков к OpenAI по вопросам нарушения авторских прав, поток которых не заканчивается до сих пор.

И не так давно была опубликована жалоба по еще одной правовой проблематике  – использование генеративными моделями персональных данных. Об этом сегодня расскажем подробнее.

Что произошло?

NOYB, европейский центр цифровых прав (НКО), подал жалобу на OpenAI, компанию-создателя и владельца ChatGPT, Sora, Dall-E и др.) о нарушении генерального регламента ЕС о защите персональных данных (GDPR).

OpenAI (контроллер) управляет ChatGPT, который использует языковые модели для предоставления ответов на запросы пользователей.

Субъект персональных данных (публичное лицо) направил чату запрос о своей дате рождения. В ответ ChatGPT предоставил неточную информацию. На просьбы пользователя её скорректировать, удалить или предоставить точные данные реакции не последовало. Выяснилось, что удалить часть данных о лице, которые ChatGPT выдумал, невозможно, если и удалять, то сразу все.

Публичным лицом был направлен запрос к OpenAI о том, какие данные о нем известны, обрабатываются ли они чатом и на каком правовом основании, но за несколько месяцев он так и не получил ответа.

Как резюмирует в своей жалобе заявитель: «ChatGPT не может исправить информацию, не может выборочно блокировать информацию, и любой субъект персональных данных должен просто жить с этим. Похоже, ChatGPT может просто распространять ложную информацию и, в отличие от СМИ и других обработчиков, не нести за это ответственности».

Правовые основания

По мнению заявителя, вышеперечисленные действия ChatGPT и OpenAI содержат нарушения статей 5(1)(d), 12(3) and 15 GDPR.

Требования заявителя

1. Провести расследование обработки данных и мер, принимаемых для обеспечения точности данных.
2. Принять решение в отношении нарушений GDPR.
3. Привести деятельность компании в соответствие с нормами GDPR.
4. Наложить административный штраф для обеспечения соблюдения норм GDPR в будущем.

Сама по себе правовая проблема использования генеративными моделями ИИ персональных данных как-будто все это время лежала на поверхности и ждала своего первого иска.

Видимо, этот час настал. При создании и развитии новых технологий неотвратимо поднимаются вопросы публичного интереса, который призван защитить обычных пользователей. Как будет развиваться конкретно эта ситуация пока неясно. Мы с огромным интересом будем следить за реакцией компетентных органов.