EDPB: Poročilo o ChatGPT
Delovna skupina za ChatGPT v okviru EDPB je objavila vmesno poročilo o svojem delu, ki ponuja nekaj zanimivih vpogledov v njeno zgodnje razmišljanje o skladnosti velikih jezikovnih modelov z GDPR
Poročilo je bilo objavljeno 24.5.2024
Poročilo je rezultat koordiniranega dela skupine z namenom vodenja preiskav v zvezi s storitvijo ChatGPT, ki jo zagotavlja ameriško podjetje OpenAI OpCo, LLC. Odražajo skupni imenovalec, o katerem so se dogovorili nadzorni organi v svoji razlagi veljavnih določb GDPR v zvezi z zadevami, ki so v obsegu njihovih preiskav. Stališča, predstavljena v tem dokumentu, ne prejudicirajo analize, ki jo bodo morali opraviti nadzorni organi v vsaki preiskavi. Zlasti je treba upoštevati, da se lahko okoliščine preiskav sčasoma spremenijo.
Nekaj poudarkov iz poročila:
Preglednost: EDPB ugotavlja, da ko se "velike količine podatkov zberejo s spletnim strganjem, običajno ni izvedljivo ali mogoče obvestiti vsakega posameznika. Zato bi lahko veljala izjema v skladu s členom 14(5)(b) GDPR".
Zakonitost: EDPB je načeloma zavzel mnenje, da se je pri spletnem strganju za usposabljanje LLM-jev mogoče sklicevati na zakoniti interes, pri čemer ugotavlja, da: "imajo ustrezni zaščitni ukrepi posebno vlogo pri zmanjševanju nepotrebnega vpliva na posameznike in lahko zato obrnejo test ravnovesja pravic v korist upravljavca«. Kot primer navajajo zaščitne ukrepe: zagotavljanje, da se nekatere kategorije podatkov ne zbirajo ali da so določeni viri (kot so javni profili v družabnih medijih) izključeni iz zbiranja podatkov in uvedba ukrepov za izbris ali anonimizacijo osebnih podatkov, ki so bili zbrani prek spletnega strganja pred usposabljanjem.
Posebne vrste osebnih podatkov: Postrgani podatki za usposabljanje LLM bodo skoraj neizogibno vključevali posebne vrste osebnih podatkov in zdi se, da EDPB sprejema, da to tveganje ne izključuje uporabe strganja za usposabljanje LLM, če so vzpostavljeni zaščitni ukrepi. Pri tem ugotavlja, da: "zaščitni ukrepi lahko prispevajo k izpolnjevanju skladnosti z GDPR (na primer vzpostavitev kriterijev, kateri podatki se zbirajo in takojšnje brisanje določenih kategorij podatkov)".
Uporabniški pozivi za ChatGPT: Dejavniki, ki so pomembni za določanje, ali lahko ponudnik LLM uporablja sprotne podatke za usposabljanje, vključujejo, ali so bili uporabniki jasno in dokazljivo obveščeni, da se njihovi pozivi lahko uporabljajo za namene usposabljanja in ali obstaja »možnost zavrnitve uporabe pozivov za namene usposabljanja«.
Natančnost: O halucinacijah EDPB pravi: "pomembno je, da upravljavec zagotovi ustrezne informacije o mehanizmih ustvarjanja verjetnostnih izhodov in o njihovi omejeni stopnji zanesljivosti, vključno z izrecnim sklicevanjem na dejstvo, da je ustvarjeno besedilo, čeprav sintaktično pravilno, lahko pristransko ali izmišljeno."
Pravice povezane s podatki: Zdi se, da EDPB predlaga, da ni dovolj, da ponudniki LLM povedo posameznikom, da popravek ni mogoč, pri čemer ugotavlja, da morajo: "še naprej izboljševati načine, ki so na voljo za olajšanje uveljavljanja pravic posameznikov, na katere se nanašajo osebni podatki".
Celotno poročilo je dostopno tukaj
Vir: EDPB
