Jak jsme již dříve informovali, AI chatbot společnosti Google Bard byl konečně spuštěn v Evropské unii. Chápeme, že se tak stalo po provedení určitých změn, které posílily transparentnost a uživatelské kontroly – ale regulátoři ochrany soukromí bloku zůstávají ostražití a zbývá učinit velká rozhodnutí o tom, jak vynutit blokový zákon na ochranu dat o generativní umělé inteligenci.
Hlavní regulátor ochrany dat společnosti Google v regionu, Irská komise pro ochranu dat (DPC), nám řekl, že bude pokračovat ve spolupráci s technologickým gigantem na Bard po uvedení na trh. DPC také uvedl, že Google souhlasil s tím, že za tři měsíce (přibližně v polovině října) provede kontrolu a podá zprávu hlídacímu psu. V nadcházejících měsících se tedy bude AI chatbotovi věnovat více regulační pozornost – pokud (zatím) nebude formální vyšetřování.
Zároveň má Evropská rada pro ochranu údajů (EDPB) pracovní skupinu, která se zabývá tím, jak AI chatboty dodržují obecné nařízení o ochraně osobních údajů GDPR v celé EU. Pracovní skupina se původně soustředila na ChatGPT OpenAI, ale chápeme, že záležitosti týkající se Barda budou začleněny do práce, jejímž cílem je koordinace akcí, které mohou podniknout různé úřady pro ochranu údajů (DPA), aby se pokusily harmonizovat vymáhání.
„Google provedl řadu změn předem [Bard’s] spuštění, zejména zvýšení transparentnosti a změny ovládacích prvků pro uživatele. Budeme pokračovat v naší spolupráci s Googlem ve vztahu k Bard po uvedení na trh a Google souhlasil s provedením kontroly a poskytnutím zprávy DPC po třech měsících od zahájení provozu Bard v EU,“ řekl zástupce komisaře DPC Graham Doyle.
„Evropská rada pro ochranu údajů navíc začátkem tohoto roku zřídila pracovní skupinu, jejímž jsme členem, a která se bude zabývat širokou škálou problémů v tomto prostoru,“ dodal.
Spuštění konkurenta Google ChatGPT v EU bylo zpožděno minulý měsíc poté, co irský regulátor naléhavě hledal informace, které mu Google neposkytl. To zahrnovalo neposkytnutí DPC posouzení dopadu na ochranu údajů (DPIA) – kritický dokument o shodě pro identifikaci potenciálních rizik pro základní práva a posouzení zmírňujících opatření. Takže neschopnost podrazit DPIA je jedna velmi velká regulační červená vlajka.
Doyle potvrdil TechCrunch, že DPC nyní vidělo DPIA pro Barda.
Řekl, že to bude jeden z dokumentů, které podle něj budou tvořit součást tříměsíčního přezkumu, spolu s další „relevantní“ dokumentací a dodal: „DPIA jsou živé dokumenty a podléhají změnám.“
V oficiálním příspěvku na blogu Google nenabídl žádné podrobnosti o konkrétních krocích podniknutých ke snížení regulačního rizika v EU – ale tvrdil, že „proaktivně spolupracuje s odborníky, tvůrci politik a regulátory ochrany soukromí na tomto rozšíření“.
Obrátili jsme se na technologického giganta s otázkami ohledně transparentnosti a vylepšení uživatelské kontroly provedených před uvedením Bard v EU a mluvčí zdůraznila řadu oblastí, kterým věnoval pozornost a kterým navrhla, aby zajistily, že bude technologii zavádět zodpovědně – včetně omezení přístupu k Bard na uživatele starší 18 let, kteří mají účet Google.
Jednou velkou změnou je, že označila nové centrum ochrany osobních údajů Bard, které podle ní uživatelům usnadňuje kontrolu vysvětlení dostupných ovládacích prvků ochrany osobních údajů.
Podle informací v tomto centru zahrnují právní základy společnosti Google pro společnost Bard plnění smlouvy a oprávněné zájmy. Ačkoli se zdá, že se nejvíce opírá o posledně uvedený základ pro většinu souvisejícího zpracování. (Také poznamenává, že jak se produkt vyvíjí, může požádat o souhlas se zpracováním údajů pro konkrétní účely.)
Také podle Hubu se zdá, že jedinou jasně označenou možností smazání dat, kterou Google uživatelům nabízí, je možnost smazat jejich vlastní aktivitu používání Barda – neexistuje žádný zřejmý způsob, jak by uživatelé mohli požádat Google o smazání osobních údajů používaných k výcviku chatbota.
I když nabízí webový formulář, který lidem umožňuje nahlásit problém nebo právní problém – kde specifikuje, že uživatelé mohou požádat o opravu nepravdivých informací o nich vygenerovaných nebo vznést námitku proti zpracování svých údajů (druhé je požadavkem, pokud se při zpracování podle práva EU spoléháte na oprávněné zájmy).
Jiný webový formulář, který Google nabízí, umožňuje uživatelům požádat o odstranění obsahu podle svých vlastních zásad nebo platných zákonů (což samozřejmě znamená porušování autorských práv, ale společnost Google také uživatelům doporučuje, aby tento formulář využili, pokud chtějí vznést námitku proti zpracování svých dat nebo požádat o opravu – zdá se tedy, že je to tak blízko, jako byste se dostali k možnosti „smazat moje data z vašeho modelu AI“).
Další vylepšení, na která mluvčí Googlu poukázala, souvisí s uživatelskými kontrolami nad uchováváním údajů o jejich aktivitě Barda – nebo dokonce se schopností nezaznamenat jejich aktivitu.
„Uživatelé si také mohou vybrat, jak dlouho bude Bard ukládat jejich data s jejich účtem Google – ve výchozím nastavení Google ukládá jejich aktivitu Bard do jejich účtu Google po dobu až 18 měsíců, ale uživatelé to mohou změnit na tři nebo 36 měsíců, pokud chtějí. Mohou to také úplně vypnout a svou aktivitu Barda snadno smazat na g.co/bard/myactivity,“ uvedla mluvčí.
Na první pohled vypadá přístup Google v oblasti transparentnosti a uživatelské kontroly s Bardem dost podobně jako změny, které OpenAI provedla v ChatGPT po regulační kontrole ze strany italské DPA.
Garante na začátku tohoto roku nařídila OpenAI, aby lokálně pozastavila službu – současně označila seznam problémů s ochranou dat.
ChatGPT byl schopen obnovit službu v Itálii po několika týdnech tím, že jednal podle původního seznamu úkolů DPA. To zahrnovalo přidání informací o ochraně osobních údajů o zpracování dat používaných k vývoji a školení ChatGPT; poskytovat uživatelům možnost odhlásit se ze zpracování údajů pro školení jejich AI; a nabízí Evropanům způsob, jak požádat o smazání svých dat, včetně případů, kdy nebyl schopen opravit chyby, které o lidech vytvořil chatbot.
OpenAI bylo také požádáno, aby v blízké době přidalo věkovou bránu a pracovalo na přidání robustnější technologie pro zajištění věku, aby se zmenšily obavy o bezpečnost dětí.
Itálie navíc společnosti OpenAI nařídila, aby odstranila odkazy na plnění smlouvy o právním základu požadovaném pro zpracování – uvedla, že se může spoléhat pouze na souhlas nebo oprávněné zájmy. (V případě, že ChatGPT obnovil službu v Itálii, zdálo se, že OpenAI se spoléhá na LI jako na právní základ.) A v tomto ohledu chápeme, že právní základ je jedním z problémů, kterými se pracovní skupina EDPB zabývá.
Kromě donucení OpenAI provést řadu okamžitých změn v reakci na její obavy zahájil italský DPA své vlastní vyšetřování ChatGPT. Mluvčí Garante nám dnes potvrdil, že vyšetřování stále probíhá.
Jiné EU DPA také uvedly, že vyšetřují ChatGPT – který je otevřen regulačnímu dotazu z celého bloku, protože na rozdíl od Google nemá hlavní sídlo v žádném členském státě.
To znamená, že existuje potenciálně větší regulační riziko a nejistota pro chatbota OpenAI v porovnání s Googlem (který, jak říkáme, zatím není formálně vyšetřován DPC) – jistě je to složitější obrázek o dodržování předpisů, protože společnost se musí vypořádat s příchozími od více regulátorů, spíše než jen s hlavním DPA.
Pracovní skupina EDPB může pomoci snížit určitou regulační nejistotu v této oblasti, pokud se orgány EU pro ochranu údajů dokážou dohodnout na společných vynucovacích pozicích ohledně AI chatbotů.
To znamená, že některé úřady již připravují svůj vlastní strategický stánek s generativními technologiemi umělé inteligence. Francouzská CNIL například počátkem tohoto roku zveřejnila akční plán pro umělou inteligenci, ve kterém stanovila, že bude věnovat zvláštní pozornost ochraně veřejně dostupných dat na webu proti scarp – praxi, kterou OpenAI i Google používají pro vývoj velkých jazykových modelů, jako je ChatGPT a Bard.
Je tedy nepravděpodobné, že pracovní skupina povede k úplné shodě mezi DPA o tom, jak řešit chatboty, a některé rozdíly v přístupu se zdají nevyhnutelné.