Przetwarzanie na potrzeby sztucznej inteligencji (AI) opiera się na gromadzeniu i przetwarzaniu dużych ilości danych. Duże modele językowe (LLM) mają potężne zdolności generowania treści.
Dla kontekstu, najpierw kilka zdań wyjaśnienia. Nie jestem aktywistą ani organizacją pozarządową. Jestem badaczem i ekspertem. Obserwowałem prace nad regulacją GDPR/RODO od początku poprzedniej dekady. Nigdy nie nadużywałem mechanizmu RODO ani systemu skarg. adekwatnie to jest to moja pierwsza skarga. Uważam, iż obecna sytuacja uzasadnia podjęcie działań i wyrażenie pewnych wątpliwości.
Skarga RODO
W tym wpisie opisuję moją skargę RODO dotyczącą ChatGPT/OpenAI. Kwestia dotyczy projektu tego systemu, jego użycia i związanej z tym wymianie koresponencji z OpenAI, próbując zrozumieć, co się dzieje. Moja wiedza i doświadczenie to wystarczająca przesłanka by wyrazić pewne wątpliwości. Sprawa ta dotyczy kwestii systemowych związanych ze sztuczną inteligencją, w szczególności dotyczących (1) przetwarzanie danych wejściowych i generacji wyjściowych przez system AI/LLM oraz (2) udzielanie informacji związanych z takim przetwarzaniem. Dodam, iż to obawy motywowane także podstawowymi zasadami określonymi w unijnym akcie dotyczącym sztucznej inteligencji nad którym realizowane są końcowe prace. Unijna regulacja o sztucznej inteligencji w swej istocie podkreśla znaczenie wyjaśniania użytkownikom sytuacji oraz kwestie projektowe.
Projektowanie, wdrażanie i utrzymywanie takich systemów wymaga starannośc, rzetelności i adekwatnego uwzględnienia ryzyka. Choć jest to kwestia ochrony danych, warto pomyśleć o tym w znaczeniu szerszym – o prawach człowieka i godności ludzkiej. RODO dotyczy aspektów ochrony danych. Chodzi więc o poszanowanie podstawowych praw i wolności. Jako to motywowane wartościami europejskimi.
Poruszone kwestie ochrony danych osobowych krytyczne w tej sprawie to zasady zgodności z prawem, rzetelności, przejrzystości i ochrony danych (prywatności) w fazie projektowania. Sprawa może mieć szczególne znaczenie w przyszłości i potencjalnie stać się jedną z bardziej znaczących związanych ze sztuczną inteligencją. Zwłaszcza jeżeli chodzi o niuanse art. 25 – dotyczące ochrony danych w fazie projektowania. Ten przepis podkreśla ogromne znaczenie włączenia kwestii ochrony danych do samej struktury projektu technologicznego.
Co
Podczas testów i zabaw z ChatGPT, zauważyłem, iż generuje on fałszywe dane na mój temat. Nieprawidłowe, zatem wręcz fałszywe. Z pewnością nie można tego opisać mianem „halucynacji”, określenia którego niektórzy zdecydowali się używać, a które nieprawidłowo opisuje to co zachodzi. W tym konkretnym przypadku wątpliwości budzą wygenerowane fałszywe dane. W tym fikcyjne prace (np. rzekome, nieistniejące artykuły naukowe) błędnie mi przypisane. Konsekwencje wykraczają poza drobne nieścisłości. Przecież to zrozumiałe, iż rzesze użytkowników mogą dziś w jakiś sposób ufać informacjom dostarczanym przez ChatGPT, lub inne tego typu systemy. Są one popularne, często opisywane w mediach, są użyteczne i są używane. To zatem normalne, iż ktoś może ufać w wytworzoną tym treść. Inną wątpliwością są działania o charakterze indukcyjnego (?) profilowania, w jaki narzędzie to przypisuje mi dane demograficzne.
Jako zaniepokojony, uczciwy obywatel, moje początkowe działania były naturalne. Skontaktowałem się z OpenAI by próbować zrozumieć, co się dzieje i jak to jest możliwe. Zwróciłem się z prośbą o skorzystanie z przysługujących mi praw na mocy RODO (art. 12, 14, 15), pragnąc prawdy i jasności. Korespondencja trwała ok. trzy miesiące. Jednak podczas tej wymiany wiadomości z jakiegoś powodu niemożliwe było podanie mi wyjaśnień: co się dzieje, jak działa ten system oraz w jaki sposób dane zostały pozyskane lub wykorzystane. Ostatecznie zrozumiałej odpowiedzi nigdy nie udzielono. W szczególności, jakie dane na mój temat były przechowywane (niezależnie od formy), oraz w jaki sposób zostały pozyskane i przetworzone? Innymi słowy, OpenAI nie spełniło żądań wynikających z praw mi przysługujących. W pewnym momencie doszło choćby do próby “rozwiązania” poprzez zablokowanie generowania danych o mnie, co nie było moją intencją. Nieporozumienie. W całej naszej komunikacji dało się odczuć niejednoznaczności, odpowiedzi wydawały się mylące, wewnętrznie sprzeczne. Może nawet: fasadowe?
Podsumowanie problemów zgodnie ze skargą
“Okoliczności faktyczne oraz prawne opisane w niniejszej skardze potwierdzają, że doszło do niezgodnego z prawem przetwarzania danych osobowych Pana Łukasza Olejnika przez OpenAI. Działanie OpenAI naruszało:art. 5 ust. 1 lit. a RODO – OpenAI przetwarzało dane Pana Łukasza Olejnika niezgodnie z prawem, nierzetelnie oraz w sposób nieprzejrzysty,art. 12 i 15 RODO – OpenAI nieprawidłowo wykonało prawo Pana Łukasza Olejnika dostępu do danych osobowych oraz do informacji o przetwarzaniu danych osobowych,art. 12 i 16 RODO – OpenAI nie wykonało prawa Pana Łukasza Olejnika do sprostowania jego nieprawidłowych danych,art. 25 ust. 1 RODO – OpenAI, projektując i wdrażając narzędzie ChatGPT, naruszyło zasadę data protection by design.”OpenAI nie dostarczyło informacji, a problem dotyczy nie tylko danych do których zyskują dostęp dostawcy OpenAI, bo także innych użytkowników korzystających z ChatGPT.
Z moim wkładem skarga została przygotowana pod kierownictwem rpr Macieja Gawrońskiego z GP Partners, jednego z najlepszych europejskich prawników od ochrony danych osobowych. GP Partners to kancelaria zajmująca się prawem technologii, w tym ochroną danych osobowych, rozwiązywaniem sporów, fuzjami i przejęciami, regulacjami finansowymi, zamówieniami publicznymi i prawem pracy, a także przeciwdziałaniem praniu pieniędzy, własnością intelektualną, konkurencją, prawem spółek, nieuczciwą konkurencją, mediami. GP Partners są autorami najpopularniejszej w Polsce książki o ochronie danych osobowych „RODO. Przewodnik ze wzorami” (rekomendowanej przez Urząd Ochrony Danych Osobowych), a w 2021 roku Maciej Gawroński otrzymał Nagrodę Prezesa UODO.
Po wstępnej dyskusji i zrozumieniu charakteru sprawy i jej ważkiego znaczenia społecznego, GP Partners uprzejmie zaproponowała, iż zajmie się sprawą na zasadzie pro bono, za co obywatele Polski i Europy powinni być wdzięczni.
Niezłożony w Irlandii
Skarga została złożona do Urzędu Ochrony Danych Osobowych w sierpniu. Pomimo jakiegoś rodzaju siedziby OpenAI w Irlandii (na terenie Unii Europejskiej), sprawa nie została zgłoszona do irlandzkiego odpowiednika UODO (DPC). Wynika to z (1) terminu złożenia i (1) tzw. metody francuskiej (podmiot z siedzibą w Irlandii „nie miał uprawnień decyzyjnych” dotyczących celów i sposobów transgranicznego przetwarzania danyc”), jak wyjaśniono w skardze.
Ponieważ chodzi o kwestie projektowe, może dotyczyć wielu osób – nie tylko na mnie.
Zachodzi podejrzenie, czy zasada RODO dotycząca ochrony danych od samego początku projektowania nie była całkowicie zignorowana, a to jest samo sedno RODO. jeżeli tak było to powstaje pytanie, dlaczego nie poświęcono temu należytej uwagi?
Przetwarzanie danych dotyczy kwestii wejścia i wyjścia. To znaczy: danych wejściowych do przetworzenia, oraz danych wyjściowych (wygenerowanych). Jednak w ogólności, ochrona danych, prywatność i godność ludzka w związku z przetwarzaniem AI to nie jedyne kwestie wobec których podejmowane są działania. Nie żyję w szałasie, wobec tego jestem świadomy innych postępowań dotyczących przetwarzania AI/LLM. Uwzględniających inne kwestie prawne, takie jak prawa autorskie. Przykładowo, są sprawy: New York Times, Getty Images. Wyrażane są również obawy autorów, np. książek (a iż sam jestem autorem artykułów, prac i książek, to mogę to zrozumieć).
Sprawa godności człowieka
Stawką jest także kwestia naszych praw, w tym praw człowieka, godności i jak podchodzi do tego przemysł generatywnej sztucznej inteligencji. Projektowanie technologii zgodnie z wartościami jest możliwe. Natomiast nie zrobi się to samo.
W końcu
Zasady ochrony danych mogą wydawać się dziś podminowywane przez rozwój AI. Zacznijmy od tego, iż będzie mi bardzo miło, jeżeli w końcu otrzymam rzetelną informację o przetwarzaniu moich danych.
W rezultacie Ty natomiast możesz wtedy dowiedzieć się, iż podanie takich informacji jest w ogóle możliwe.
Pełna treść skargi jest tutaj. Suplement jest tutaj.
Ps. Darmowa rada dla kontrolerów danych lub podmiotów przetwarzających. Odpowiadając na żądania dostępu do danych i spełnienia obowiązku informacyjnego, odpowiedzi powinny być sensowne, merytoryczne. Nie jedynie sprawiać wrażenie, iż są zgodne z RODO. Oferowanie “czegokolwiek” jako odpowiedzi niekoniecznie pozwala “odhaczyć obowiązek”. jeżeli zaś chodzi o kwestie Data Protection by Design and by Design, to należy to podejście stosować zgodnie z nazwą.