イタリアのデータ保護監視機関は、先月末に発行された ChatGPT に対する命令を解除するために OpenAI が何をする必要があるかを説明しました。 AI チャットボット サービスは、EU の一般データ保護規則 (GDPR) に違反しており、米国を拠点とする会社に地元住民のデータの処理を停止するよう命じました。
EU の GDPR は、個人データが処理されるたびに適用されます。また、OpenAI の GPT などの大規模な言語モデルが、生成 AI モデルを人間のような形で応答できるようにトレーニングするために、公共のインターネットから膨大な量のものを収集したことは間違いありません。自然言語プロンプトへの道。
OpenAI はイタリアのデータ保護機関の命令に迅速に対応しました ジオブロッキング アクセス ChatGPT。 簡潔な公式声明の中で、CEO の Sam Altman も つぶやいた イタリアでのサービスの提供を停止したことを確認しました。[s] 私たちはすべてのプライバシー法に従っています。」
イタリアの ガランテ 明らかに違う見方をしている。
規制当局の新しいコンプライアンス要求の短いバージョンは次のとおりです。 未成年者が技術にアクセスするのを防ぐために年齢ゲーティングを直ちに採用し、より堅牢な年齢確認手段に移行する必要があります。 AIをトレーニングするために人々のデータを処理することについて主張している法的根拠を明確にする必要があります(また、契約の履行に依存することはできません。つまり、同意または正当な利益のどちらかを選択する必要があります)。 また、ユーザー (および非ユーザー) が個人データに対して権利を行使する方法を提供する必要があります。これには、ChatGPT によって生成された偽情報の修正を要求する (またはデータを削除する) ことが含まれます。 また、OpenAI がアルゴリズムをトレーニングするためにデータを処理することに反対する機能をユーザーに提供する必要があります。 また、AI をトレーニングするために情報を処理していることをイタリア人に知らせるために、地元の意識向上キャンペーンを実施する必要があります。
DPA は OpenAI に 4 月 30 日の締め切りを与え、そのほとんどを完了させました。 (地元のラジオ、テレビ、インターネットの意識向上キャンペーンは、5 月 15 日という、もう少し寛大なタイムラインで実行されます。)
すぐに必要な(しかし弱い)年齢ゲーティングの子供の安全技術から、回避がより困難な年齢確認システムに移行するための追加要件についても、もう少し時間がかかります. OpenAI は 5 月 31 日まで提供されています 13 歳未満のユーザー (および保護者の同意が得られていない 13 歳から 18 歳のユーザー) を除外するための年齢確認技術を実装する計画を提出すること。
で プレスリリース OpenAI が ChatGPT の一時的な停止を解除するために何をしなければならないかを詳述し、規制当局が GDPR 違反の疑いの正式な調査を開始すると発表した 2 週間前に命じました。
OpenAI は、4 月 30 日までに、イタリアの SA によって設定された措置に準拠する必要があります。 [supervisory authority] 透明性、ユーザーおよび非ユーザーを含むデータ主体の権利、およびユーザーのデータに依存するアルゴリズムトレーニングの処理の法的根拠に関するものです。 その場合にのみ、イタリアの SA は、イタリアのユーザーのデータの処理に一時的な制限を課した注文を解除し、注文を支える緊急性がなくなり、ChatGPT がイタリアから再び利用できるようになります。
必要な「具体的な措置」のそれぞれについて詳しく説明すると、DPA は、義務付けられた情報通知には、「ChatGPT の運用に必要なデータ処理の配置とロジック、およびデータ主体 (ユーザーと非ユーザー)」、「サービスにサインアップする前に、簡単にアクセスして読めるように配置する必要がある」と付け加えた.
イタリアのユーザーは、サインアップする前にこの通知を提示し、18 歳以上であることを確認する必要があります。 DPA のデータ処理停止命令の前に登録したユーザーは、再開されたサービスにアクセスするときに通知を表示する必要があります。
OpenAI のアルゴリズムをトレーニングするための人々のデータの処理に付随する法的根拠の問題については、 ガランテ 利用可能なオプションを 2 つに絞り込みました: 同意または正当な利益 – 契約の履行に関するすべての言及を直ちに削除する必要があると規定しています。 [GDPR’s] 説明責任の原則」。 (OpenAI のプライバシー ポリシー は現在、3 つの理由すべてを挙げていますが、ChatGPT のようなサービスを提供するための契約の履行に最も大きく依存しているようです。)
「これは、この点に関するSAの調査と執行権限の行使を損なうものではありません」と付け加え、残りの2つの根拠がOpenAIの目的にも合法的に使用できるかどうかについての判断を差し控えていることを確認しました.
さらに、GDPR はデータ主体に一連のアクセス権を提供します。これには、個人データの修正または削除の権利が含まれます。 そのため、イタリアの規制当局は、OpenAI がツールを実装して、データ主体 (ユーザーと非ユーザーの両方を意味します) が権利を行使し、チャットボットが生成した虚偽を修正できるようにすることも要求しています。 または、名前が付けられた個人に関する AI によって生成された嘘を修正することが「技術的に実行不可能」であることが判明した場合、DPA は、会社が個人データを削除する方法を提供する必要があると規定しています。
「OpenAIは、非ユーザーがアルゴリズムの操作に依存する個人データの処理に異議を唱える権利を行使できるように、簡単にアクセスできるツールを利用できるようにする必要があります。 正当な利益がデータ処理の法的根拠として選択された場合、同じ権利がユーザーに与えられる必要があります」と付け加え、データ処理の法的根拠として正当な利益に依存している場合に GDPR がデータ主体に与える別の権利について言及しています。個人データ。
すべての対策は、 ガランテ 予備的な懸念に基づいて、不測の事態を発表しました。 また、そのプレスリリースでは、「法律違反の可能性を立証するため」の正式な調査が継続されており、「進行中の事実調査の完了時に必要であることが判明した場合は、追加または異なる措置」を講じる決定につながる可能性があると述べています。 .
私たちは OpenAI に返答を求めましたが、同社はプレス時に私たちの電子メールに返信していません.