A ChatGPT berobbanásával tömegek számára vált beszélgetőpartnerré és 2023 legfontosabb beszédtémájává a mesterséges intelligencia. Az MI használata által felvetett etikai és jogi kérdések ezzel párhuzamosan hirtelen a szakmai diskurzusokból a közbeszédbe kerültek át.
A jogi aggályok közül elsőként az adatvédelmi kifogások értek célba. Az olasz adatvédelmi hatóság 2023 március végén azonnali hatállyal megszüntette a ChatGPT használatát.
Milyen adatvédelmi problémákat rejt a mesterséges intelligencia általában? És mi volt az olasz adatvédelmi hatóság aggálya a ChatGPT-vel? Milyen követelményeket kell teljesítenie a reaktiváláshoz? Blogcikkemben ezeket a kérdéseket járom körül, a lehető legközérthetőbb formában.
MI A MESTERSÉGES INTELLIGENCIA?
A mesterséges intelligencia (MI) egy gép, program vagy mesterségesen létrehozott tudat által megnyilvánuló intelligencia. A gépek emberhez hasonló képességeit jelenti, mint például az érvelés, a tanulás, a tervezés és a kreativitás.
Lehetővé teszi a technika számára, hogy érzékelje környezetét, foglalkozzon azzal, amit észlel, problémákat oldjon meg és konkrét cél elérése érdekében tervezze meg lépéseit.
Maga a fogalom John McCarthy nevéhez köthető, aki így határozta meg: „A mesterséges intelligencia az intelligens gépek gyártásának tudománya és mérnöki gyakorlata.”
A MESTERSÉGES INTELLIGENCIA RÖVID TÖRTÉNETE[1]
Az MI kutatása 1956-ban kezdődött az amerikai Dartmouth College egyik nyári workshopján. Úgy gondolták, tíz tudós két hónap munkával le tudja fektetni egy olyan masina alapjait, amely képes
- nyelvhasználatra,
- elvont fogalmak kezelésére,
- olyan problémák megoldására, amelyek addig kizárólag embereknek sikerültek, illetve
- önmaga tökéletesítésére.
Az első kulcsfontosságú lépéseket ők tették meg, még ha az optimizmusok túlzottnak is bizonyult.
Az 1980-as években John Hopfield és David Rumelhart népszerűsítette a mély tanulási (deep learning) technikákat, amelyek lehetővé tették a számítógépek számára, hogy a tapasztalatok felhasználásával tanuljanak.
Másrészt Edward Feigenbaum olyan szakértői rendszereket vezetett be, amelyek a humán szakértő döntéshozatali folyamatát utánozták. A program egy adott terület szakemberét kérdezné meg, hogyan reagáljon egy adott szituációban. Miután a megszerzett tudást gyakorlatilag minden helyzetre elsajátították a gépek a laikusok tanácsokat kaphatnak az adott programtól.
1990-es és 2000-es években a mesterséges intelligencia számos mérföldkőnek számító célja megvalósult.
Az MI történetének egyik fordulópontja az volt, amikor 1997-ben a regnáló sakkvilágbajnok és nagymester, Gary Kasparov vereséget szenvedett az IBM Deep Blue nevű sakkjátszó számítógépes programjától. A gép győzelme az ember felett új távlatokat nyitott a mesterséges intelligenciának akár az emberi szintet meghaladó képessége tekintetében.
A másik fordulópontot annak felismerése jelentette, hogy az intelligencia nem egyenlő a tudással. Az ember ugyanis sok dolgot nem szabályalapon, hanem ösztönösen végez, és a gépekbe amúgy is lehetetlen lenne minden létező tudást és szabályt beprogramozni. Az intelligencia sokkal inkább a tanulás és a tanulásból az általánosítás képessége.
A hatékony tanuláshoz azonban megfelelő mennyiségű adat szükséges. 2012 környékén jött el az a pont, amikor a gépi tanulás és a big data kombinációjából létrejött az úgynevezett deep learning, vagyis mélytanulás.
Ennek számos látványos, mindennapi életünkben is érezhető eredménye lett, mint például a hangfelismerő rendszerek pontosságának ugrásszerű javulása, az egyre megbízhatóbb önvezető autók, a rendkívül hatékony arcfelismerő rendszerek.
A MESTERSÉGES INTELLIGENCIA HASZNOSÍTÁSA
A mesterséges intelligencia mostanra a mindennapjaink részévé vált. Az online vásárlások és a célzott online reklámok, a gépi fordítóprogramok, a navigáció az okos eszközök az otthonunkban, a mezőgazdaságban és az iparban és az önvezető autók mind-mind mesterséges intelligenciát használnak. Az MI tehát az Open AI ChatGPT alkalmazása előtt is az életünk számos területét befolyásolta. Mindez pedig nem csak lehetőséget, de kockázatokat is magában rejt.
AZ ADATOK FONTOSSÁGA
A mesterséges intelligencia egy ún. gépi tanulást (machine learning) alkalmaz: a betáplált adatok alapján az algoritmus mintákat keres, a minták alapján pedig modellt generál. A rendszer a modell segítségével a már azonosított adatok alapján képes feldolgozni a későbbi mintákat. Az új adatokat a modell alapján a rendszer a megtanult mintázatokhoz rendeli, majd a minták alapján döntést hoz.
A felhasználási fázist tehát egy tanulási fázisnak kell megelőzni. A modellek tanításához pedig sok és jó minőségű adat kell. Sokszor nem is a technológia, valamint az MI modellek építéséhez és futtatásához szükséges számítógépes kapacitás a szűk keresztmetszet, hanem a gépi tanuláshoz szükséges adattömeg jogszerű beszerzése.
A MESTERSÉGES INTELLIGENCIA HASZNÁLATA ÉS A GDPR
A tanulási fázis során a személyes adatokon automatizált műveletek összessége, vagyis a GDPR szerinti adatkezelés történik. Az a személy vagy szerv, aki a személyes adatok kezelésének céljait és eszközeit ennek során meghatározza, adatkezelőnek minősül.
A felhasználási fázisban a GDPR szerinti profilalkotásra és/vagy automatizált döntéshozatalra kerülhet sor.
Profilalkotás a személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, vagy előrejelzésére használják.
Az értékelés vagy elemzés a GDPR által felhozott pékdák szerint munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzőkhöz kapcsolódhat.
Profilalkotás lehet az is, ha a végső döntést az ember hozza.
Amennyiben az MI emberi beavatkozás nélkül hoz döntéseket, úgy automatizált döntéshozatalról beszélünk.
Önmagában az automatizált döntéshozatal az a képesség, hogy technológiai eszközök segítségével, emberi beavatkozás nélkül hoznak döntéseket.
Az automatizált döntéshozatal hatóköre eltérő, és részben átfedheti a profilalkotást, vagy abból eredhet.
Az automatizált döntéseket meg lehet hozni profilalkotással vagy anélkül; a profilalkotás történhet automatizált döntéshozatal nélkül. Azonban a profilalkotás és az automatizált döntéshozatal nem feltétlenül elkülönült tevékenységek. Valami, ami egyszerű automatizált döntéshozatali folyamatként indul, átalakulhat profilalkotáson alapuló folyamattá attól függően, hogy az adatokat hogyan használják fel.
A GDPR főszabálya szerint az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
Az automatizált döntésekre vonatkozó speciális szabályok alapján az MI akkor használható jogszerűen, ha arra vagy szerződés, jogszabály, kifejezett hozzájárulás megfelelő jogalapot szolgáltat, illetve ha az érintett kérésére lehetőséget biztosítunk az emberi beavatkozással hozott döntésre is.
AZ ÁTLÁTHATÓSÁG PROBLÉMÁJA
Az igazi probléma akkor van, amikor az MI „elszabadul” és már a rendszert tanító programozó sem tudja átlátni, hogy az adatokat az algoritmus miként használta fel. Egyes mesterséges intelligenciák ugyanis a tanulásukból egyáltalán nem következő eredménnyel látják el a feladataikat, és nem látható az, hogy az MI „fekete dobozában” milyen folyamat játszódott le a döntés meghozataláig. A mesterséges intelligenciák ugyanis rengeteg matematikai műveletet látnak el, amelyek egy része az ember számára már nem érthető.
Márpedig a GDPR az alapelvek között rögzíti az adatkezelés átláthatóságát, méghozzá a jogszerűség és a tisztességes eljárás követelményével egy sorban.
Az átláthatóság követelményének pedig az érintett könnyen hozzáférhető tájékoztatásával lehet eleget tenni, méghozzá az automatizált döntéshozatalra vonatkozó speciális elvárásoknak megfelelve:
- tájékoztatni kell az érintettet az automatizált döntéshozatal tényéről,
- az alkalmazott logikáról,
- és arról, hogy ez milyen várható következményekkel fog járni az érintettre nézve.
A tájékoztatás során nem elvárás, hogy a „fekete dobozt” kinyissuk, és üzleti titkot vagy szellemi tulajdonhoz való jogot sértsünk, de egyszerű módszerrel érdemi információt kell nyújtani a fentiekről az érintettnek.
NAGY ADATIGÉNY VS. ADATTAKARÉKOSSÁG
Az MI adatvédelmi jogi megfelelőségének másik kulcskérdése, hogy hogyan egyeztethető össze a tanulási fázis nagy adatigénye az adattakarékosság elvével? A GDPR szintén fontos alapelve ugyanis, hogy a személyes adatoknak az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell lenniük és a szükségesre kell korlátozódniuk. A tanulási fázishoz szükséges megfelelő mennyiségű és minőségű adat tehát nem vezethet korlátlan adatigényhez például azért, mert a mesterséges intelligencia nem a megfelelő hatékonysággal működik.
A jó gyakorlat az, ha először korlátozott mennyiségű tesztadatot használunk, és később is folyamatosan monitorozni kell a rendszer hatékonyságát.
AZ EU MI RENDELET JAVASLATA ÉS AZ ADATVÉDELEM
Az Európai Bizottság MI rendelet javaslata nem elsősorban adatvédelmi jogi fókuszú, de helyenként adatvédelmi aspektusokat is érint.
Az MI-rendszerek kockázati kategóriákba sorolásakor a javaslat rögzíti, hogy azok a foglalkoztatással és a munkavállalók irányításával kapcsolatos nagy kockázatú rendszerek, amelyek az érintettek teljesítményének és magatartásának nyomon követésére szolgálnak, hatással lehetnek az érintettek adatvédelemhez és magánélethez való jogára.
A javaslat indokolása kifejezetten előírja a rendelet GDPR-ral való összhangban történő alkalmazás szükségességét.
A BUDAPEST BANK ÜGY – A MAGYAR MI ADATVÉDELMI JOGESET
A Budapest Bank Zrt. az ügyfélszolgálati hívások rögzített hanganyagának elemzése céljából alkalmazott MI-megoldásokat alkalmazó szoftvert. A beszédjel-felismerő és értékelő rendszer elemezte a beszélő érzelmi állapotát, kulcsszavakat és egyéb jellemzőket, amely alapján egy sorrendet állított fel az ügyfelek visszahívására. A visszahívásról való döntést ezt követően a bank munkavállalói hozzák meg. A bank állítása szerint az alkalmazást panasz és ügyfél elvándorlás megelőzése érdekében üzemeltette. Az így nyert adatokat azonban az ügyfélszolgálati munkatársai munkájának minősítésére is felhasználta. Mindezt anélkül, hogy erről az érintetteket megfelelően tájékoztatta volna.
A bank honlapján ugyan megtalálható volt az érintetteknek nyújtott, telefonos ügyfélszolgálattal kapcsolatos adatkezelési tájékoztató, azonban az csak általánosságokat tartalmazott. Az adatkezelési tájékoztatóból annak ellenére hiányzott a hangelemzéssel kapcsolatos érdemi információ, hogy a saját adatvédelmi hatásvizsgálata is magas kockázatúnak minősítette az adatkezelést.
Ilyen magas kockázatnak minősítette a profilalkotás lehetőségét, a pontozást és az érintettre gyakorolt joghatást, azonban nem adott érdemi megoldásokat ezen kockázatok kezelésére.
Bár a bank készített érdekmérlegelési tesztet a jogos érdekre alapított adatkezelésre vonatkozóan, de azt a NAIH érvénytelennek minősítette. A bank ugyanis csak azt állapította meg, hogy az általa elérni kívánt érdeke érvényesítéséhez szükséges az adatkezelés, az arányosságot és az érintetti oldalt ténylegesen nem vizsgálta.
A NAIH az adatkezelés vizsgálatakor azt is értékelte, hogy a hangelemző szoftver ráadásul meglehetősen alacsony hatékonysággal működött: az érzelem az esetek 91,96%-ban nem volt felismerhető, így a rendszer eleve nem volt alkalmas a kitűzött célok elérésére.
Az adatvédelmi hatóság rögtön az első jogszerűtlen MI használattal kapcsolatos döntésében rekord összegű, 250 millió forintos bírságot szabott ki.
AZ OLASZ ADATVÉDELMI HATÓSÁG CHAT GPT-VEL KAPCSOLATOS DÖNTÉSE
Az olasz adatvédelmi hatóság (Garante) 2023. március 30-án azonnal hatállyal tiltotta meg a ChatGPT olasz érintetteket érintő adatkezelését jogellenes adatgyűjtés és a kiskorúak életkorát ellenőrző (age gate) rendszer hiánya miatt.
A döntés előzményeként hivatkozott a Garante arra a 2022 márciusi incidensre, amikor a ChatGPT a felhasználók beszélgetésével és az előfizetők fizetési információival kapcsolatos adatok szivárogtak ki.
A Guarante döntésében kifogásolta a ChatGPT-t üzemeltető OpenAI megfelelő tájékoztatását az érintettekre és az algoritmus tanulását szolgáló adattömeg kezelésének jogalapjára vonatkozóan.
Az olasz adatvédelmi hatóság az adatok pontosságát illetően is jogsértést állapított meg arra tekintettel, hogy a ChatGPT által szolgáltatott információk gyakran nem aktuálisak, illetve nem egyeznek meg a valós adatokkal.
Végül azzal kapcsolatban is jogsértést állapított meg a Garante, hogy a ChatGPT annak ellenére nem alkalmaz semmilyen életkor-ellenőrző technikai megoldást, hogy az alkalmazást 13 éven felülieknek kínálja az ÁSZF szerint.
Az OpenAi ugyan nem rendelkezik az EU területén képviselettel, de szolgáltatásait nyilvánvalóan EGT térségben is kínálja. Ezért a GDPR szerint kell 20 napon belül számot adjon a Garante felhívása szerint a kifogásolt adatkezelésekkel kapcsolatos intézkedéseiről, 20 millió eurós vagy az éves globális átbevétel 4%-ának megfelelő bírság terhe mellett.
A Garante további információkat kért az Open AI-től, és a következő állítólagos GDPR-sértéseket kifogásolta:
- a ChatGPT nem biztosította az átláthatósághoz szükséges információkat a felhasználók és más érintettek számára, akiknek adatait a ChatGPT gyűjti;
- az algoritmusok „képzése” céljából történő adatkezelés megfelelő jogalapjának hiánya;
- a ChatGPT által megadott téves információk a pontosség elvét sérthetik;
- a felhasználók életkorának ellenőrzésének elmulasztása, amelynek következtében a 13 éven aluli felhasználók életkori sajátosságaiknak nem megfelelő információkhoz is hozzáférhetnek.
A GARANTE MESTERSÉGES INTELLINGENCIÁVAL KAPCSOLATOS DÖNTÉSÉNEK JELENTŐSÉGE
Az olasz adatvédelmi hatóság döntése az első olyan intézkedés, amelyet egy európai uniós adatvédelmi hatóság a generatív mesterséges intelligencia eszköz által végzett adatkezeléssel kapcsolatban hozott. A döntés különös jelentőségét az adja, hogy a machine learning szoftver tanulási fázisának kontextusa hot topic az adatvédelemben. Ráadásul egy olyan alkalmazást érint, ami állítólag a történelem eddigi leggyorsabban növekvő fogyasztói applikációja.
A Garante azonnali hatályú döntése sem a jogos érdek jogalap használatainak, sem az érdekmérlegelési teszt jogszerűségének feltételeit nem részletezte. Az viszont látható, hogy a döntés nem tesz különbséget az algoritmus tanulási fázisában felhasznált személyes adatok, és a más lefejlesztett algoritmusba bevitt személyes adatok között.
Ugyanakkor ez a döntés nem az első MI-vel kapcsolatos döntése az olasz adatvédelmi hatóságnak. 2023 februárjában ugyanis a felhasználók virtuális barátjaként működő Replika nevű chat-bot alkalmazás kapcsán tiltotta meg az olaszországban lakóhellyel rendelkező természetes személyek adatainak kezelését.
A CHATGPT ÜGY FOLYTATÁSA
A hatósági döntés után az OpenAI azonnal reagált, és kifejezte hajlandóságát, hogy a Garante felhívását tejesítse. A felek között rövidesen egyeztetésre kerül sor videokonferencia útján. A társaság arra kérte az olasz adatvédelmi hatóságot, hogy helyezze hatályon kívül az azonnali tiltást elrendelő végzését.
A Garante 2023 április 11-i döntésében megállapította, hogy a társaság megfelelési hajlandósága fényében lehetőség van az ideiglenes korlátozást megalapozó körülmények újraértékelésére.
MILYEN ELVÁRÁSOKAT TÁMASZT A HATÓSÁG A CHATGPT-VEL SZEMBEN?
Az OpenAi-nak a ChatGPT weboldalán kell tájékoztatást adnia azon érintettek számára, akiknek adatait algoritmus fejlesztése céljából gyűjtötték és kezelték. Ebben külön ki kell térni arra, hogy az algoritmus által használt logika minden egyes jellemzőjére (ChatGPT, API-k stb.). Az érintetteket megillető jogokról az adatkezelés minden lényeges elemére tekintettel tájékoztatni kell az érintetteket.
A weboldalon elérhetővé kell tenni egy olyan eszközt, amellyel az érintettek gyakorolhatják tiltakozási jogukat az algoritmusok betanítása és a szolgáltatás nyújtása céljából végzett adatkezelés ellen, ha ezeket az adatokat harmadik személyektől szerezték be.
A weboldalon elérhetővé tenni egy eszközt, amellyel az érintettek kérhetik és megszerezhetik a rájuk vonatkozó, hibás személyes adatok helyesbítését, vagy a törlését – ha a helyesbítés a technológia jelenlegi állása szerint nem lehetséges.
A regisztrációs folyamatban a felhasználói adatkezelési tájékoztatóra mutató hivatkozást olyan helyen kell elhelyezni, amely még a regisztráció folytatása előtt lehetővé teszi annak elolvasását.
A felhasználók személyes adatainak algoritmikus képzés céljából történő kezelésére a szerződéses jogalap helyett a jogos érdek jogalapot kell használni, a megfelelő érdekmérlegelés elégzésével.
A tiltakozást könnyen elérhető eszközzel kell biztosítani azon felhasználók számára is, akik a szolgáltatás igénybevétele során szerzett adataik kezelése ellen szeretnének tiltakozni.
A szolgáltatás újraaktiválása esetén age gate-et kell bevezetni a kiskorú felhasználók szűrésére.
Az Open AI-nak 2023. május végéig az olasz tömegmédiában közzétett, marketing célokat mellőző kampányban kell tájékoztatást adni arról, hogy az érintettek adatait a ChatGPT az algoritmus tanítására felhasználja. A kampányban az adatkezelési tájékoztatóra, az érintetti jogokat biztosító eszközökre, 13 év alatti kiskorú felhasználók szűrésére, és a 18 év alattiak esetében a szülői hozzájárulás szükségességére is fel kell hívni a figyelmet.
KIKRE VONATKOZIK A GARANTE INTÉZKEDÉSE?
Fontos, hogy valamennyi intézkedést az Olaszországban tartózkodási hellyel rendelkező érintettekre vonatkozóan hozott meg a Garante, függetlenül attól, hogy használják -e az alkalmazást.
A Garante joghatósága ugyanais egyelőre csak erre terjedt ki.
A Garanténak azonban már a tiltó akcióját követően is sorra erősítették meg a mesterséges intelligencia terén kifejtett felügyeleti tevékenységüket európai adatvédelmi hatóságok. Így akár közös fellépésre is lehet számítani a közeljövőben ChatGPT ügyben.
Az EDPB 2023. április 13-án bejelentette, hogy külön munkacsoportot hozott létre a ChatGPT-vel kapcsolatos együttműködés előmozdítása és az adatvédelmi hatóságok által hozott intézkedésekkel kapcsolatos információcsere érdekében.
MIRE KÖVETKEZTETHETÜNK AZ ÚJABB OLASZ HATÓSÁGI INTÉZKEDÉSBŐL?
A Garante intézkedéséből az látszik, hogy nem a tiltás, hanem az alkalmazás GDPR-nek megfelelő szolgáltatása a célja.
A GDPR-nek megfelelő MI használatat tekintetében a hatóság valamennyi MI-t használó fejlesztő cégnek fontos iránymutatást nyújt. A Garante által megfogalmazott elvárásokat tulajdonképpen checklistként is lehet használni a mesterséges intelligenciát használó alkalmazások jogszerűségéenk megteremtésében.
Az érintetti jogok gyakorlására szolgáló eszközök könnyen elérhetőségének követelménye a UX/UI fejlesztők számára fontos elvárás. (E tárgyban épp a közelmúltban adott ki egyébként iránymutatást az Eurólai Adatvédelmi Testület).
Az olasz hatóság a tájékoztatás és az érintetti jogok biztosításának megfelelő láthatóságára is gondolt: tájékoztató kampány kifejezetten előremutató gondolat. Mivel a tanulási fázis bárkit érinthet, ezért praktikus elvárás, hogy a tájékoztatás ne csak interneten történjen meg. A rádiós, televíziós és print sajtóban közzétett kampánnyal azok is elérhetők, akik nem felhasználói a ChatGPT-nek.
Bár ezzel szemben elvárás, hogy elsősorban ne marketing célokat szolgáljon („non-marketing orented), azonban ez nem zárja ki a marketing szempontból is eredményes megvalósítást.
A határidők meglehetősen rövidek, de ha a köbvetelmények megfelelően teljesülnek, akár árpilis végére újra elérhető lesz a ChatGPT Olaszországban.
Olaszország – és a világ – szeme most tehát az OpenAI-on van. Vajon tud -e történelmet írni a ChatGPT a gyors adatvédelmi megfelelésben is?
Források
Eszteri Dániel: Mesterséges intelligencia fejlesztés, üzemeltetés és a személyes adatok védelme
https://www.naih.hu/files/wp251rev01_hu.pdf
https://www.muszaki-magazin.hu/2023/02/06/mesterseges-intelligencia/
[1] https://www.muszaki-magazin.hu/2023/02/06/mesterseges-intelligencia/
Legutóbbi hozzászólások