OpenAI telah diberitahu bahwa mereka diduga melanggar privasi Uni Eropa, setelah penyelidikan selama berbulan-bulan terhadap chatbot AI-nya, ChatGPT, oleh otoritas perlindungan data Italia.
Rincian rancangan temuan otoritas Italia belum diungkapkan. Tetapi Memastikan kata hari ini OpenAI telah diberitahu dan diberi waktu 30 hari untuk menanggapi dengan pembelaan terhadap tuduhan tersebut.
Pelanggaran yang terkonfirmasi terhadap rezim pan-UE dapat dikenakan denda hingga €20 juta, atau hingga 4% dari omset tahunan global. Yang lebih tidak nyaman bagi raksasa AI seperti OpenAI adalah otoritas perlindungan data (DPA) dapat mengeluarkan perintah yang memerlukan perubahan pada cara data diproses untuk mengakhiri pelanggaran yang terkonfirmasi. Jadi bisa saja terpaksa mengubah cara kerjanya. Atau menarik layanannya keluar dari Negara Anggota UE di mana otoritas privasi berupaya menerapkan perubahan yang tidak mereka sukai.
OpenAI telah dihubungi untuk menanggapi Memastikanpemberitahuan pelanggaran. Kami akan memperbarui laporan ini jika mereka mengirimkan pernyataan.
Model AI melatih keabsahan dalam bingkai
Otoritas Italia mengemukakan kekhawatiran tentang kepatuhan OpenAI terhadap Peraturan Perlindungan Data Umum (GDPR) blok tersebut tahun lalu – ketika mereka memerintahkan larangan sementara terhadap pemrosesan data lokal ChatGPT yang menyebabkan chatbot AI untuk sementara ditangguhkan di pasar.
Itu Memastikantanggal 30 Maret persediaan terhadap OpenAI, alias “daftar tindakan”, menyoroti kurangnya dasar hukum yang sesuai untuk pengumpulan dan pemrosesan data pribadi untuk tujuan pelatihan algoritme yang mendasari ChatGPT; dan kecenderungan alat AI untuk 'berhalusinasi' (yaitu potensinya menghasilkan informasi yang tidak akurat tentang individu) — sebagai salah satu isu yang menjadi perhatian pada saat itu. Hal ini juga menandai keselamatan anak sebagai sebuah masalah.
Secara keseluruhan, pihak berwenang mengatakan mereka mencurigai ChatGPT melanggar Pasal 5, 6, 8, 13 dan 25 GDPR.
Meskipun mengidentifikasi daftar dugaan pelanggaran ini, OpenAI dapat melanjutkan layanan ChatGPT di Italia dengan relatif cepat tahun lalu, setelah mengambil langkah-langkah untuk mengatasi beberapa masalah yang diangkat oleh DPA. Namun pihak berwenang Italia menyatakan akan terus menyelidiki dugaan pelanggaran tersebut. Kini telah sampai pada kesimpulan awal bahwa alat tersebut melanggar hukum Uni Eropa.
Meskipun otoritas Italia belum menyatakan dugaan pelanggaran ChatGPT mana yang telah dikonfirmasi pada tahap ini, dasar hukum yang diklaim OpenAI untuk memproses data pribadi guna melatih model AI-nya sepertinya merupakan masalah yang sangat penting.
Hal ini karena ChatGPT dikembangkan menggunakan banyak data yang diambil dari Internet publik — informasi yang mencakup data pribadi individu. Dan masalah yang dihadapi OpenAI di Uni Eropa adalah pemrosesan data masyarakat UE memerlukan dasar hukum yang valid.
GDPR mencantumkan enam kemungkinan dasar hukum – yang sebagian besar tidak relevan dengan konteksnya. April lalu, OpenAI diberitahu oleh Memastikan untuk menghapus referensi ke “kinerja kontrak” untuk pelatihan model ChatGPT — sehingga hanya menyisakan dua kemungkinan: Persetujuan atau kepentingan yang sah.
Mengingat raksasa AI ini tidak pernah berusaha mendapatkan persetujuan dari jutaan (atau bahkan miliaran) pengguna web yang informasinya telah diserap dan diproses untuk pembuatan model AI, segala upaya untuk mengklaim bahwa mereka mendapat izin dari Eropa untuk pemrosesan tersebut akan terlihat seperti sebuah hal yang tidak masuk akal. ditakdirkan untuk gagal. Dan ketika OpenAI merevisi dokumentasinya setelahnya MemastikanIntervensi yang dilakukan tahun lalu tampaknya berupaya untuk mengandalkan klaim kepentingan yang sah. Namun dasar hukum ini masih memerlukan pemroses data untuk mengizinkan subjek data mengajukan keberatan — dan menghentikan pemrosesan informasi mereka.
Bagaimana OpenAI dapat melakukan hal ini dalam konteks chatbot AI-nya masih menjadi pertanyaan terbuka. (Secara teori, hal ini mungkin mengharuskan perusahaan untuk menarik dan menghancurkan model yang dilatih secara ilegal dan melatih kembali model baru tanpa data individu yang keberatan dalam kumpulan pelatihan — namun, dengan asumsi bahwa perusahaan tersebut bahkan dapat mengidentifikasi semua data yang diproses secara tidak sah pada setiap individu, hal ini akan perlu melakukan hal tersebut untuk data setiap orang di Uni Eropa yang menolak dan meminta mereka untuk berhenti… Yang mana, eh, kedengarannya mahal.)
Di luar permasalahan pelik tersebut, terdapat pertanyaan yang lebih luas mengenai apakah hal ini akan terjadi Memastikan pada akhirnya akan menyimpulkan bahwa kepentingan yang sah bahkan merupakan dasar hukum yang sah dalam konteks ini.
Sejujurnya, hal itu tampaknya tidak mungkin terjadi. Karena LI bukanlah sesuatu yang gratis untuk semua. Hal ini mengharuskan pemroses data untuk menyeimbangkan kepentingan mereka dengan hak dan kebebasan individu yang datanya sedang diproses – dan untuk mempertimbangkan hal-hal seperti apakah individu mengharapkan penggunaan data mereka; dan potensi hal tersebut menyebabkan kerugian yang tidak dapat dibenarkan. (Jika mereka tidak menduganya dan ada risiko kerugian seperti itu, LI tidak akan menjadi dasar hukum yang sah.)
Pemrosesan juga harus diperlukan, tanpa cara lain yang tidak terlalu mengganggu bagi pemroses data untuk mencapai tujuannya.
Khususnya, pengadilan tinggi UE sebelumnya telah menemukan bahwa kepentingan yang sah merupakan dasar yang tidak tepat bagi Meta untuk melakukan pelacakan dan pembuatan profil individu untuk menjalankan bisnis periklanan perilakunya. Jadi, ada tanda tanya besar mengenai gagasan raksasa AI lain yang berupaya membenarkan pemrosesan data manusia dalam skala besar untuk membangun bisnis AI generatif komersial — terutama ketika alat tersebut menghasilkan segala macam risiko baru bagi individu yang disebutkan namanya (dari disinformasi dan pencemaran nama baik hingga pencurian identitas dan penipuan, dan masih banyak lagi).
Seorang juru bicara untuk Memastikan menegaskan bahwa dasar hukum untuk memproses data masyarakat untuk pelatihan model masih dalam campuran apa yang diduga dilanggar oleh ChatGPT.
Namun mereka tidak mengkonfirmasi secara pasti satu (atau lebih) artikel mana yang dicurigai telah dilanggar oleh OpenAI pada saat ini. Pengumuman pihak berwenang hari ini juga belum merupakan keputusan akhir — karena pihak berwenang juga masih menunggu tanggapan OpenAI sebelum mengambil keputusan akhir.
Ini dia Penjamin pernyataan (yang kami terjemahkan dari bahasa Italia menggunakan AI):
[Italian Data Protection Authority] telah memberi tahu OpenAI, perusahaan yang menjalankan platform kecerdasan buatan ChatGPT, tentang pemberitahuan keberatannya karena melanggar peraturan perlindungan data.
Mengikuti pembatasan sementara pemrosesan pesanan, yang diadopsi oleh Memastikan terhadap perusahaan pada tanggal 30 Maret, dan berdasarkan hasil penyelidikan awal yang dilakukan, Otoritas menganggap bahwa unsur-unsur yang diperoleh mungkin merupakan satu atau lebih tindakan yang melanggar hukum sehubungan dengan ketentuan Peraturan UE.
OpenAI, memiliki waktu 30 hari untuk menyampaikan laporan pembelaannya mengenai dugaan pelanggaran tersebut.
Dalam menentukan prosesnya, Garante akan mempertimbangkan pekerjaan yang sedang berlangsung dari gugus tugas khusus yang dibentuk oleh Dewan yang menyatukan Otoritas Perlindungan Data UE (EDPB).
OpenAI juga menghadapi pengawasan ketat atas kepatuhan ChatGPT terhadap GDPR di Polandia, menyusul keluhan pada musim panas lalu yang berfokus pada contoh alat yang menghasilkan informasi tidak akurat tentang seseorang dan tanggapan OpenAI terhadap pengadu tersebut. Penyelidikan terpisah terhadap GDPR masih berlangsung.
OpenAI, sementara itu, telah merespons meningkatnya risiko peraturan di seluruh UE dengan berupaya membangun basis fisik di Irlandia; dan mengumumkan, pada bulan Januari, bahwa entitas Irlandia ini akan menjadi penyedia layanan untuk data pengguna UE di masa mendatang.
Harapan mereka melalui langkah-langkah ini adalah untuk mendapatkan apa yang disebut sebagai status “perusahaan utama” di Irlandia dan beralih ke penilaian kepatuhan GDPR yang dipimpin oleh Komisi Perlindungan Data Irlandia, melalui mekanisme satu pintu dalam peraturan tersebut — dan bukan (seperti sekarang ) bisnisnya berpotensi tunduk pada pengawasan DPA dari mana saja di Uni dimana alatnya mempunyai pengguna lokal.
Namun OpenAI belum mendapatkan status ini sehingga ChatGPT masih dapat menghadapi penyelidikan lain oleh DPA di negara lain di UE. Dan, meskipun mereka mendapatkan status tersebut, penyelidikan dan penegakan hukum di Italia akan terus berlanjut karena pemrosesan data yang dipermasalahkan sudah ada sebelum adanya perubahan pada struktur pemrosesannya.
Otoritas perlindungan data di blok tersebut telah berupaya untuk mengoordinasikan pengawasan mereka terhadap ChatGPT dengan membentuk satuan tugas untuk mempertimbangkan bagaimana GDPR berlaku pada chatbot, melalui Dewan Perlindungan Data Eropa, sebagai Memastikancatatan pernyataan. Upaya (yang sedang berlangsung) tersebut pada akhirnya dapat menghasilkan hasil yang lebih harmonis di seluruh investigasi GDPR ChatGPT yang terpisah — seperti yang dilakukan di Italia dan Polandia.
Namun pihak berwenang tetap independen dan kompeten untuk mengambil keputusan di pasar mereka sendiri. Jadi, tidak ada jaminan bahwa pemeriksaan ChatGPT saat ini akan menghasilkan kesimpulan yang sama.
