ChatGPT heeft de eerste juridische test in Europa doorstaan – maar de spanningen tussen AI en regelgeving op het gebied van gegevensbescherming lijken van blijvende aard te zijn
ChatGPT De snelheid waarmee kunstmatige intelligentie het publieke bewustzijn is binnengedrongen, veroorzaakt grote schade aan onze perceptie van tijd. Nog geen half jaar geleden waren generatieve AI-toepassingen vooral bekend bij onderzoekers en technologen. Nu worden deze tools door bedrijven, creatievelingen en hobbyisten op steeds geavanceerdere en interessantere manieren gebruikt – van het produceren van realistische beelden en liedjes tot het ontwerpen van aandelenhandel en strategieën voor het genereren van bedrijven.
Dit verbuigen van de tijd heeft ook invloed op de wetten die de ontwikkeling en het gebruik van AI-technologieën in Europa, de Verenigde Staten en Azië regelen. Hoewel wetgevers en beleidsmakers over de hele wereld verschillende benaderingen van regelgeving hanteren, delen ze een gemeenschappelijk probleem: worstelen met de manier waarop bestaande wetten kunnen worden toegepast op technologieën die hun wettelijke kaders snel voorbijstreven.
Het recente toezichtonderzoek naar de razend populaire ChatGPT-tool van het Amerikaanse AI-bedrijf OpenAI – de eerste in zijn soort in de Europese Unie – geeft aanwijzingen over hoe de spanningen tussen innovatie en regelgeving er de komende maanden en jaren uit kunnen zien.
Op 30 maart gaf de Italiaanse toezichthouder voor gegevensbescherming (ook bekend als de Garante) OpenAI de opdracht om de toegang tot ChatGPT in Italië op te schorten, in afwachting van de uitkomst van een onderzoek naar de naleving door ChatGPT van de Algemene Verordening Gegevensbescherming van de EU.
De Garante noemde vier gebieden van mogelijke niet-naleving: (1) de aan individuen verstrekte privacyverklaring voldeed niet aan de vereisten van artikel 13 en 14 van de AVG; (2) ChatGPT heeft geen leeftijdsverificatiemechanisme opgenomen in het aanmeldingsproces; (3) het ontbreken van een wettelijke basis onder de AVG om de persoonlijke gegevens van individuen te gebruiken om de algoritmen van ChatGPT te trainen; en (4) de onnauwkeurigheid van sommige van de persoonlijke gegevens die door de dienst worden verwerkt – inclusief eenvoudige fouten en meer problematische AI-‘hallucinaties’ (dat wil zeggen resultaten die plausibel klinken maar onjuist of onnauwkeurig zijn).
Hier komen we terug bij de snelheid van de tijd. Doorgaans hebben gegevensbeschermingsautoriteiten in de EU en het Verenigd Koninkrijk organisaties drie, zes of zelfs twaalf maanden de tijd gegeven om hun AVG-nalevingspraktijken te corrigeren na een onderzoek door de toezichthouders. Op zijn beurt vertelde de Garante op dinsdag 11 april aan OpenAI dat het ChatGPT weer in Italië zou laten opereren als het de hierboven beschreven zorgen kon wegnemen. Er was slechts één probleem: OpenAI had 19 dagen de tijd om zijn activiteiten te herzien om te voldoen aan de AVG.
Het is indrukwekkend dat ChatGPT dat tot tevredenheid van de Garante lijkt te hebben gedaan – en niet minder dan twee dagen vóór de deadline. Op vrijdag 19 april werd de dienst beschikbaar gesteld in Italië.
Zonder de partij echter te willen bederven, moeten we nadenken over de vraag of twee van de stappen die OpenAI heeft genomen om aan de eisen van de Garante te voldoen – de wettelijke basis van de AVG voor het gebruik van persoonlijke gegevens om de algoritmen van ChatGPT te trainen, en het vermogen van OpenAI om de persoonlijke gegevens van individuen te corrigeren of te verwijderen. gegevens op verzoek – zijn zo geregeld als beide partijen zouden willen.
Gezien de keuze tussen het verkrijgen van toestemming van gebruikers of het vertrouwen op de legitieme belangen van het bedrijf om persoonlijke gegevens te verwerken voor algoritmische trainingsdoeleinden, is het begrijpelijk dat OpenAI voor de laatste optie heeft gekozen.
En het lijkt erop dat de Garante het met OpenAI eens is dat haar commerciële belangen zwaarder wegen dan de rechten en belangen van haar gebruikers. Echter, met de groei in gebruik, verfijning en, in sommige gevallen, potentiële schade van publieke AI-toepassingen, zouden bedrijven en consumenten niet verbaasd moeten zijn als toezichthouders nader kijken naar toestemming als de voorkeur – of misschien wel vereiste – Wettelijke basis van de AVG voor de verwerking van persoonsgegevens in deze context.
Een even interessante vraag is hoe OpenAI individuen in staat stelt hun gegevens te corrigeren of te verwijderen. Het bedrijf zegt dat zijn diensten deze verzoeken nu ondersteunen – en soms zal dit gemakkelijk gedaan kunnen worden, bijvoorbeeld wanneer gebruikers vragen om hun inloggegevens of chatgeschiedenis te wissen. Wat gebeurt er als er al data zijn gebruikt om de algoritmen te trainen?
Het honoreren van deze verzoeken zal waarschijnlijk veel moeilijker zijn, en in sommige gevallen kan het zelfs onmogelijk zijn. Als dat klopt, en de persoonlijke gegevens van gebruikers voor onbepaalde tijd in de dienst worden ingebakken, kunnen toezichthouders van mening zijn dat de afweging van legitieme belangen in het voordeel van individuen valt en dat in plaats daarvan toestemming vereist is.
Voorlopig laat de ervaring van OpenAI in Italië zien dat generatieve AI-tools kunnen worden gebruikt op een manier die voldoet aan de AVG – althans volgens de Garante. Dat is een kleine steekproefomvang, en andere Europese gegevensbeschermingsautoriteiten kijken naar ChatGPT, maar het zou ongebruikelijk zijn als ze tot een heel andere conclusie zouden komen.
Als belangrijke vroege ontwikkeling in de regulering van AI wereldwijd zal het besluit van de Garante zeker ook van belang zijn voor toezichthouders, bedrijven en individuen buiten de Europese kusten. En hoewel tijd misschien een illusie is, zijn de ontwikkeling van AI en de juridische en regelgevende uitdagingen die de Garante en ChatGPT als eersten hebben getest, dat zeker niet.