Het recente verbod van Italië op ChatGPT heeft veel media-aandacht en een behoorlijke hoeveelheid kritiek van technologieliefhebbers opgeleverd. Vorige week heeft de Europese Raad voor gegevensbescherming (de EU-instelling waar alle privacywaakhonden zetelen) een taskforce opgericht voor de ChatGPT-zaak, en de zaken werden nog interessanter.
(Update: vanaf 29 april is ChatGPT weer beschikbaar in Italië. De Italiaanse gegevensbeschermingsautoriteit heeft nog geen nieuwe besluiten over ChatGPT gepubliceerd, maar wel een persbericht beschikbaar gesteld)
Deze task force zou wel eens van groot belang kunnen zijn. De door ChatGPT opgeworpen juridische kwesties zijn niet uniek: in feite zijn de meeste ervan algemene kwesties voor generatieve AI's. Gezien de betrokkenheid van de EDPB zal de ChatGPT-zaak waarschijnlijk een aanzienlijke impact hebben op de toekomst van generatieve AI's in de EU. Laten we eens kijken wat er precies is gebeurd en welke juridische kwesties er op het spel staan.
Laten we erin duiken!
Het verhaal tot nu toe
Op 30 maart publiceerde de Italiaanse gegevensbeschermingsautoriteit (GPDP) na een onderzoek uit eigen beweging een urgent besluit om de activiteiten van ChaptGPT op het Italiaanse grondgebied voorlopig te blokkeren. De autoriteit kondigde later aan dat zij contact had met ChatGPT-eigenaar Open AI en mogelijke manieren had besproken om ChatGPT GDPR-conform te maken.
Op 11 april publiceerde de GPDP nog een voorlopig besluit over ChatGPT. Het besluit beval OpenAI om verschillende nalevingsmaatregelen uit te voeren en beloofde dat het verbod zou worden opgeheven als het bedrijf zich voor 30 april aan de regels zou houden.
Het tweede besluit is geen groen licht voor ChatGPT. Het eerste besluit vloeide voort uit een spoedprocedure en niet uit een diepgaand onderzoek. De GPDP kan de gegevensverwerking door ChatGPT verder onderzoeken en zo nodig nieuwe besluiten nemen.
Ten slotte heeft de EDPB op 14 april aangekondigd dat zij een taskforce heeft opgericht om de zaak ChatGPT te behandelen. De taskforce zal proberen overeenstemming te bereiken tussen de autoriteiten over de juridische kwesties die door de ChatGPT-zaak aan de orde zijn gesteld. Omdat de gegevensbeschermingsautoriteiten zelf bij de taskforce betrokken zijn, zullen de werkzaamheden van de taskforce gevolgen hebben voor de manier waarop toekomstige zaken in heel Europa worden behandeld.
Update: het verbod is sinds 29 april opgeheven. De GPDP heeft in een persbericht verklaard dat OpenAI aan een aantal van haar eisen heeft voldaan, waaronder de invoering van systemen om te voldoen aan verzoeken om af te zien van de verwerking van de gegevens voor de transformatie van het AI-model en verzoeken om onjuiste gegevens te wissen. Aan andere eisen moet nog worden voldaan, waaronder de invoering van een robuuster systeem voor leeftijdsverificatie.
De GDPD merkt ook op dat haar onderzoek naar ChatGPT nog loopt.
Wat zijn de juridische problemen met ChatGPT?
De besluiten van de GPDP zijn vrij beknopt, wat standaard is voor spoedprocedures. We zullen de problemen waarop de GPDP wijst dus vanuit een breed perspectief bekijken en nagaan wat ze betekenen voor generieke AI's in het algemeen.
Voordat we in het diepe duiken, moet ook worden opgemerkt dat ChatGPT gegevens verwerkt van twee categorieën mensen (of betrokkenen in het juridische jargon). ChatGPT is getraind (en wordt voortdurend bijgeschoold) op zowel zijn conversatie met gebruikers als op een grotere database die eerder van het internet is verzameld. De database is waar de echt grote problemen vandaan komen, omdat de gegevens toebehoren aan miljoenen mensen die helemaal niets met ChatGPT te maken hebben.
Rechtsgrondslag
De belangrijkste kwestie waar het om gaat is het ontbreken van een rechtsgrondslag. Zoals onze blog uitlegt, heb je, als je persoonsgegevens verwerkt, een rechtsgrondslag nodig onder de GDPR - in wezen een juridische rechtvaardiging.
Gegevens van gebruikers zijn geen groot probleem omdat je gewoon toestemming kunt verzamelen (OpenAI heeft dit niet gedaan, maar dit kan eenvoudig worden opgelost). Het echte probleem is iedereen - en met iedereen bedoelen we eigenlijk de hele wereld.
Volgens de FAQ's van OpenAI is ChatGPT getraind op "enorme hoeveelheden gegevens van het internet die door mensen zijn geschreven, inclusief gesprekken." De FAQ suggereert dat ChatGPT nu niet het internet schraapt, maar dat wel deed tot 2021 (of op zijn minst dat het tot dat jaar gevoed werd met geschraapte gegevens). Kortom, ChatGPT zou tot 2021 persoonsgegevens kunnen verwerken van iedereen die inhoud heeft geschreven op een publiek toegankelijke webpagina.
Dat zijn veel persoonsgegevens en een grote verantwoordelijkheid voor Open AI. Het is niet gemakkelijk voor een bedrijf om een rechtsgrondslag te vinden voor de verwerking van tonnen gegevens van mensen die niets met zijn diensten te maken hebben. Daarom zijn rechtsgrondslagen een groot probleem voor generatieve AI's in het algemeen.
Wat zou de oplossing kunnen zijn? Toestemming is uiteraard uitgesloten gezien het aantal betrokkenen. Dat geldt ook voor de rechtsgrondslag van het contract, aangezien de meeste betrokkenen Chat GPT niet zelf gebruiken.
Op basis van het tweede besluit1 denken wij dat de GPDP kijkt naar gerechtvaardigd belang. Legitiem belang is een lastige rechtsgrondslag omdat het vereist dat de voor de verwerking verantwoordelijke ervoor zorgt dat de verwerking fundamenteel eerlijk is - zo nodig door het implementeren van waarborgen voor de rechten van de betrokkenen. Deze vereisten zijn niet triviaal wanneer het gaat om een black box AI, dus het zal interessant zijn om te zien met welke oplossingen OpenAI komt.
Transparantie
De GPDP wees erop dat ChatGPD de betrokkenen geen privacyverklaringen heeft verstrekt. Ook dit is gemakkelijk op te lossen voor de gebruikers en niet zo gemakkelijk voor alle anderen, omdat OpenAI een groot publiek moet bereiken. Zoals de GPDP aangaf, zal OpenAI waarschijnlijk de media moeten inschakelen voor een grootschalige informatiecampagne.
Maar hoe zit het met alle andere generatieve AI's? Moeten zij allemaal hetzelfde doen? Hoe gek het ook klinkt, moeten we een toekomst verwachten waarin elke andere krantenadvertentie een privacyverklaring voor een of andere AI is?
Gegevensrechten uitoefenen
Privacyverklaringen zijn belangrijk omdat ze je vertellen wat je gegevensrechten zijn (bijvoorbeeld toegang tot je gegevens of het laten wissen ervan) en hoe je ze kunt uitoefenen. In zijn tweede besluit heeft de GPDP OpenAI opgedragen de betrokkenen een manier te bieden om deze rechten uit te oefenen. Dit zal niet eenvoudig zijn, vooral niet voor de miljoenen niet-gebruikers van wie de gegevens worden verwerkt.
Een enigszins vergelijkbaar probleem dook op in het pre-GDPR tijdperk toen mensen Google begonnen te vragen hun persoonsgegevens uit Google Search te verwijderen. Zo kregen we Google Spanje, een baanbrekende uitspraak van het Hof van Justitie van de EU die het recht op wissen in de EU-privacywetgeving versterkte.
Strikte handhaving van het recht om gegevens te wissen en andere rechten van betrokkenen zou kunnen helpen sommige privacyproblemen die door AI's worden opgeworpen, te verlichten. Maar met Google Search kun je gewoon je naam intypen en kijken wat er tevoorschijn komt. Met een AI is dat lang niet zo eenvoudig.
Stel dat je OpenAI vraagt om toegang tot je persoonlijke gegevens. ChaptGPT zal eerst al je persoonsgegevens uit de dataset moeten halen. De definitie van persoonsgegevens in de GDPR is vrij breed, dus om uw gegevens op te halen is meer nodig dan alleen het filteren van de dataset op uw naam of andere identificatoren (bijvoorbeeld een forumgebruikersnaam). Er zullen meer verfijnde technische benaderingen nodig zijn, en naar alle waarschijnlijkheid is er geen garantie dat ChatGPT al uw persoonsgegevens nauwkeurig zal terugvinden.
Moeten we gewoon aannemen dat als een zo geavanceerde AI als ChatGPT bepaalde gegevens niet als persoonsgegevens kan herkennen, het in de praktijk veilig genoeg is ze niet als zodanig te behandelen? Deze pragmatische aanpak klinkt niet zo slecht en is misschien zelfs logisch vanuit juridisch oogpunt2.
Maar ChatGPT wordt met de dag slimmer en breidt zijn dataset voortdurend uit door met zijn gebruikers te praten. Dat het vandaag bepaalde gegevens niet als persoonsgegevens kan herkennen, betekent niet dat het dat morgen niet kan. Moeten de betrokkenen voor de zekerheid elke dag toegangsverzoeken doorsturen? Moet OpenAI periodiek de dataset scannen en elke betrokkene die in het verleden een toegangsverzoek heeft ingediend bijwerken?
Het recht om je gegevens te laten corrigeren en updaten lijkt ook problematisch. Alle gegevens in de oorspronkelijke trainingsdataset zijn inmiddels twee jaar of langer verouderd, wat geen goed begin is.
Bovendien kunnen zowel invoer- als uitvoergegevens persoonsgegevens zijn. Dit betekent dat u recht heeft op een nauwkeurige uitvoer met betrekking tot uw persoonsgegevens. Maar hoe kom je erachter dat iemand, ergens, via ChatGPT onjuiste informatie over jou te weten is gekomen? En hoe kan OpenAI ervoor zorgen dat de output van ChatGPT accuraat is wanneer deze voortdurend verandert, zelfs in antwoord op identieke vragen?
Verzoekverificatie wordt ook een puzzel. Als iemand je een verzoek om toegang tot zijn gegevens stuurt, moet je daaraan voldoen. Maar je moet er ook voor zorgen dat het verzoek afkomstig is van de betrokkene zelf, om te voorkomen dat zijn persoonsgegevens aan iemand anders worden verstrekt. De authenticatie van een verzoek kan lastig zijn, zeker als de betrokkene niets te maken heeft met de dienst die je levert (en niet kan worden gevraagd zijn identiteit te bewijzen door bekende informatie te verstrekken, zoals inloggegevens). OpenAI kan binnenkort te maken krijgen met veel van dergelijke verzoeken, en het zal geen wandeling in het park zijn.
Kleine authenticatie
De GPDP wees erop dat OpenAI geen leeftijdsverificatie voor gebruikers heeft ingevoerd, waardoor minderjarigen van 13 jaar de dienst konden gebruiken en mogelijk werden blootgesteld aan inhoud die niet geschikt is voor hun leeftijd. Dit is waarschijnlijk niet al te relevant voor AI's in het algemeen, maar voor de volledigheid toch het vermelden waard.
Zal de AI-wet helpen bij deze kwesties?
ChatGPT werpt verschillende juridische kwesties op, en het zal interessant zijn om te zien hoe de EDPB-taakgroep daarmee omgaat. Maar de last van het reguleren van AI in de EU ligt natuurlijk niet alleen bij de EDPB.
De EU werkt aan een voorstel voor een verordening die bekend staat als de AI-wet. Het ontwerp voorziet in een uitgebreide reeks AI-regels, waaronder normen voor gegevenskwaliteit en verplichtingen inzake risicobeheer. Zal de komende verordening helpen bij enkele van de privacykwesties die AI's opwerpen?
Waarschijnlijk wel, tot op zekere hoogte. Maar het zal geen wondermiddel zijn.
De AI-wet is zogezegd geen GDPR voor AI. Het is niet echt een privacywet: hij is vooral gericht op het reguleren van de EU-markt door middel van gemeenschappelijke veiligheidsnormen voor AI-producten. Sommige bepalingen kunnen de privacy versterken, maar dat is niet het hoofddoel.
Bovendien zijn de strengste verplichtingen uit hoofde van de wet voorbehouden aan specifieke soorten AI-systemen met een hoog risico, waartoe generatieve AI volgens het huidige ontwerp niet behoort.
Maar in de nabije toekomst kan het Europees Parlement aandringen op een herziening van het ontwerp van de AI-wet om generatieve AI's in de risicocategorie op te nemen, zoals gemeld door Euractiv. Het risicoclassificatiesysteem is een van de meest omstreden punten van de ontwerpverordening en de ChatGPT-zaak heeft zeker invloed gehad op de verandering van mening van het Parlement.
Update: het Europees Parlement heeft een voorlopig akkoord bereikt over een nieuw ontwerp voor de AI-wet. Het nieuwe voorstel classificeert generatieve AI's zoals ChatGPT als systemen met een hoog risico.
Hoe dan ook, we mogen niet verwachten dat de AI-wet alle privacykwesties die AI's opwerpen, zal oplossen. De GDPR blijft in dit verband cruciaal, wat het werk van de EDPB-taakgroep des te belangrijker maakt.
Conclusie
Wij van Simple Analytics geloven dat privacy belangrijk is. Daarom streven we ernaar om privacynieuws op een accurate en toegankelijke manier uit te leggen. Wij geloven dat er geen privacyvriendelijke toekomst is zonder een publiek dat zich bewust is van zijn privacy.
We geloven ook dat we allemaal kunnen bijdragen aan de zaak van privacy. Daarom bouwen we een webanalysetool die u alle inzichten verschaft die u nodig hebt, zonder persoonlijke gegevens te verzamelen en bezoekers te volgen. Privacy is onze absolute prioriteit, daarom is Simple Analytics gebouwd om meer te doen, met minder. Als dit u goed in de oren klinkt, probeer ons dan gerust eens uit!
#1 De GPDP vermeldt dat de betrokkenen, ook niet-gebruikers, bezwaar moeten kunnen maken tegen de verwerking. Dit is een goede hint omdat betrokkenen alleen een recht van bezwaar hebben wanneer de verwerking is gebaseerd op een legitiem belang, en in andere specifieke situaties (zie art. 21 GDPR). [^2]: Aannemelijk is dat in dit scenario de gegevens niet echt persoonsgegevens zijn onder de GDPR. Het begrip persoonsgegevens onder de GDPR is op de context gebaseerd, wat een grappige redenering mogelijk maakt. Als je nieuwsgierig bent, zie overweging 26 GDPR en het commentaar van gdprhub.