Fejléc

A ChatGPT és a GDPR viszonya

Szerző ikon Hüvelyes Péter

Dátum ikon 2023.06.15

A mesterséges intelligencia (MI) fogalma egyáltalán nem újkeletű; az eredetileg sci-fi regényekben megjelenő AI már évtizedek óta fejlesztés alatt áll, sőt az első csevegő bot már 1966-ban megjelent. Azért folyik a téma mostanában a csapból is, mert a ChatGPT által először van lehetőség arra, hogy bárki kapcsolatba lépjen a mesterséges intelligenciával, ráadásul napjainkra értek az AI-fejlesztések olyan szintre, hogy élethű párbeszédet tudnak folytatni. A ChatGPT az egyik első nyilvánosan elérhető, és a Turing-teszten -ami azt nézi, hogy mennyire nehéz eldönteni, hogy gép van-e a túloldalon-, talán a legjobb eredményeket produkáló megoldás. Az általános, mindenfajta MI fejlesztésre vonatkozó felvezetést követően jelen blogcikkben is a ChatGPT-re, valamint annak adatvédelmi szempontjaira helyezzük a hangsúlyt.

A mesterséges intelligencia tagadhatatlanul jelentős fejlesztés, mivel képes szimulálni az emberi elme gondolkodási képességét, de sokkal több információt, és sokkal gyorsabban képes elemezni. Ugyanakkor ezek adatvédelmi aspektusairól lényegesen kevesebbet lehet hallani annak ellenére, hogy a GDPR is külön rendelkezéseket szentel a kizárólag automatizált úton létrejövő, személyes adatokat érintő döntéshozatalnak.

Miért fontos az adatvédelem az MI csevegésben?

A modern MI rendszerek működése már nem előre meghatározott szabályokon alapul, hanem természetes nyelvi tanulási technikákat alkalmaznak. Ezek több forrásból származó beszélgetési adatokat használnak, ami által élethűbb párbeszéd érhető el, viszont újfajta biztonsági kockázatok is felmerülnek.

A felhasználók többnyire nem tudják, hogy érzékeny személyes adataikat hogyan kezelik, használják, tárolják és osztják meg. Ráadásul mint minden rendszernek, úgy természetesen az online MI rendszereknek is lehetnek sebezhetőségei, amiket kihasználva a személyes adatok kiszivároghatnak, támadók ellophatják és rosszindulatú célokra használhatják fel azokat.

A gépi tanuló rendszereket gyakran használják arra, hogy a felhasználók viselkedését elemezzék, és így felhasználói profilokat hozzanak létre. Egy adott felhasználóról alkotott profil olyan személyes jellemzőkről, személyiségjegyekről is adhat információt, amely alapján akár egyértelműen be lehet azonosítani egy adott embert.

Az adatvédelem háttere

A nyelvi tanulási technikákkal fejlődő MI lényege, hogy minél nagyobb mennyiségű adatot -köztük személyes adatokat is- dolgoz fel, elemez, és tárol. Ugyanakkor az adatvédelem elveinek való megfelelés érdekében az MI fejlesztő vállalkozásoknak az adatgyűjtés célját kezdettől fogva egyértelműen meg kell határozniuk, a személyes adatok gyűjtését és tárolását pedig korlátozniuk kell. Biztosítaniuk kell, hogy a felhasználók személyes adatait nem tárolják- és használják fel profitszerzésre a beleegyezésük nélkül.

A gyűjtött és feldolgozott személyes adatok köre

A nagy mennyiségű és jó minőségű adatok elemzése kulcsfontosságú az MI csevegőeszköz fejlesztése érdekében, emiatt az MI chatbotok a személyes adatok széles körét gyűjtik, például:

  • teljes neveket
  • földrajzi címeket, geolokációt (helymeghatározó koordinátákat)
  • e-mail címeket
  • telefonszámokat
  • személyes preferenciákat.


Természetesen, minél többet tudnak a vállalatok az ügyfeleikről, annál jobb felhasználói élményt tudnak nyújtani, viszont ugyanezeket az adatokat többek között a célzott reklámozás javítására is használják.

GDPR előírások és követelmények

Az MI chatbotok szükségszerűen a GDPR hatálya alá tartoznak, mivel hozzáférhetnek az uniós állampolgárságú felhasználók személyes adataihoz. Adatvédelmi szempontból a legfőbb aggály a chatbot hatékonysága érdekében történő széleskörű személyes adatgyűjtés, ami ütközik a GDPR rendelet adatminimalizálásra és célhoz kötöttségre vonatkozó elvével.

A ChatGPT GDPR megfelelése

Az OpenAI (ChatGPT-re vonatkozó) adatvédelmi szabályzata részletezi, hogy a vállalat milyen erőfeszítéseket tesz annak érdekében, hogy megfeleljen a California Consumer Privacy Act adatvédelmi törvénynek. Az EU GDPR-ral kapcsolatban azonban meglehetősen kevés részletet közöl, annak ellenére, hogy kiemeli; az EU állampolgárok személyes adatait is az USA-ban lévő szervereken dolgozzák fel. A felhasználó személyes adatainak kezelésével kapcsolatos konkrét kérdések megválaszolására külön erre a célra létrehozott csatorna is rendelkezésre áll, a felhasználók kérelmezhetik adataik törlését vagy korlátozását. Az adatvédelmi szabályzat ugyanakkor csak általános tájékoztatást nyújt a személyes adatok felhasználásáról, az adatmegőrzési irányelvekről és a harmadik felek hozzáféréséről.
Az alábbi néhány területen az OpenAI ChatGPT-re vonatkozó adatvédelmi politikájának GDPR megfelelése kétséges:

Adattakarékosság

A ChatGPT modellt emberi visszajelzésekkel megerősítő tanulással képezték ki, amihez a világhálóról származó adatokkal kellett ellátni. Az ilyen képzés során a modellt címkézett adatok segítségével megtanítják arra, hogy adott bemeneteket a kívánt kimenetekhez rendelje. A ChatGPT képzésének folyamatáról részletes bemutató található az OpenAI blogján.


A GDPR előírja, hogy a felhasználók személyes adatait felhasználó megoldásoknak minimális mennyiségű, jogszerűen, tisztességesen és átlátható módon szerzett információkat szabad csak használniuk. A gépi tanulás az emberi agyhoz képest jellemzően sokkal nagyobb mennyiségű nyers adatot kíván meg annak érdekében, hogy hatékonyan tudjon mintázatokat azonosítani és erre épülő döntési modelleket felállítani.  A ChatGPT MI-motorjának betanításához és fejlesztéséhez több milliárd (!) webes adatpontra volt szükség. Az OpenAI cikkei nem nyilatkoznak egyértelműen az adatforrásokról, különösen arról nem, hogy a felhasználók személyes adatait hogyan használták és használják fel a tanulási folyamat során.

Célhoz kötöttség

A célhoz kötöttség a GDPR alapvető irányelve, amely szerint a személyes adatokat csak meghatározott, egyértelmű és jogszerű célokra lehet felhasználni. A ChatGPT esetében az általa feldolgozott adatokat gépi tanulási célokra is használják.
Ennek értelmében, ha egy vállalat a felhasználók személyes adatait kezeli, és emellett alkalmazza a ChatGPT-t, akkor a vállalatnak ezt egyértelműen kommunikálnia kell, a felhasználóknak pedig bele kell egyezniük, hogy adataikat a ChatGPT továbbképzésére használják fel.

Elszámoltathatóság

A GDPR külön rendelkezésekben szabályozza a személyes adatokat érintő, automatizált döntéshozatalt, így a GDPR vált az első jelentősebb jogi eszközzé, amely kifejezettem foglalkozik az algoritmikus döntések joghatásainak szabályozásával.
A GDPR azt is hangsúlyozza, hogy az automatizált döntéshozatali programoknak képesnek kell lenniük döntéseik megindoklására. Bár a ChatGPT kétségtelenül értékes meglátásokat nyújthat különböző témákban, a GDPR-nak való megfelelés érdekében a mesterséges intelligenciamotort használó szervezeteknek képesnek kell lenniük a ChatGPT érvelését alátámasztani.

Harmadik féllel való adatmegosztás

A GDPR előírja, hogy a felhasználókat mindig tájékoztatni kell a harmadik féllel történő adatmegosztásról, és pontosan tudatni kell, hogy az adatokat mire fogják felhasználni, különösen, ha profitszerzés is történik. Az ilyen adatmegosztási gyakorlatokhoz a felhasználók hozzájárulását kell kérni és biztosítani kell, hogy szabadon dönthessenek megadásáról. Az OpenAI adatkezelési szabályzatában azonban az alábbi áll:

„Bizonyos körülmények között az Ön személyes adatait az Ön további értesítése nélkül átadhatjuk harmadik feleknek, kivéve, ha a törvény ezt előírja.” („In certain circumstances we may provide your Personal Information to third parties without further notice to you, unless required by the law”)

Arról, hogy a harmadik felekkel való adatmegosztást hogyan hozzák összhangba a GDPR követelményeivel, nem találhatók további részletek a szabályzatban. Azt azonban részletezi, hogy az OpenAI milyen típusú harmadik felekkel oszthatja meg a felhasználók adatait:

  • Az OpenAI külső beszállítói és szolgáltatói, tehát bármely, az OpenAI-t az üzleti tevékenységében segítő harmadik fél. Ezek hosting szolgáltatók, felhő szolgáltatók, email és hírlevél szolgáltatások, web-analitikai szolgáltatások, és egyéb, nem részletezett IT szolgáltatók.
  • Üzleti átalakulások (pl. esetleges stratégiai átalakítás, szolgáltatásátadás, csődeljárás) esetén a felhasználói adatokat megosztják a másik féllel.
  • Az OpenAI-val közös irányítás alatt álló, az OpenAI adatvédelmi szabályzatának betartására kötelezett szervezetek.
  • Jogi követelmények esetén (amikor az OpenAI-t nemzetbiztonsági vagy egyéb sürgős esetben törvény kötelezi a felhasználói adatok megosztására).


Integritás és bizalmas jelleg

A GDPR értelmében technikai és logikai intézkedésekkel kell biztosítani az adatforrások elkülönítését, különös kritikussággal, ha az adatok harmadik felekkel kerülnek megosztásra.
A ChatGPT képes a különböző adatforrások közötti információk összevonására, következtetésekre. Ha egy szervezet egy ügyfélről az adatai alapján akar dönteni, és ebben felhasználja a ChatGPT-t, aminek javaslatai más ügyfelek adatjellemzőiből felhalmozott információkat tartalmaznak, az a GDPR megsértését jelentheti. Ha ezt az ismeretet még meg is osztják harmadik felekkel, az szintén sértheti GDPR-t.

Jövőbeni megfontolások

A mesterséges intelligencia még nagyon gyerekcipőben jár, hasonlóan ahhoz, ahol az internet volt húsz-harminc évvel ezelőtt. Az online beszélgetések csak a kezdetét jelentik annak, amire az MI képes. Bár a mesterséges intelligencia gyors fejlődésére és elterjedésére számíthatunk, nagyon nehéz megjósolni, hogy hosszú távon milyen hatása lesz. Nem feltétlenül kell félni tőle, ugyanakkor tisztában kell lennünk a vele járó kockázatokkal is, és az információk megosztásakor is körültekintő tudatosság szükséges.

Az EU GDPR a ChatGPT-re is vonatkozik, és ez jóval szigorúbb, mint az Egyesült Államok adatvédelmi törvényei. Az OpenAI csapatának a megfelelés érdekében a felhasználói adatok gyűjtése, tárolása és megosztása során nagyobb átláthatóságát kell biztosítaniuk. Ennél is fontosabb, hogy a ChatGPT eredményeinek „megmagyarázhatósága”, alátámasztása is követelmény.

Az eszköz egészségügyi, pénzügyi, és egyéb kritikus területeken történő alkalmazása esetén az OpenAI-nak együtt kell működnie a szabályozókkal a felhasználói adatok védelméhez szükséges további kontrollok kialakításában.

Kapcsolódó bejegyzések

További cikkek →

Filmekből a valóságba: a ChatGPT előnyei és hátrányai

Szerző ikon Polyák Bea

Dátum ikon 2023.04.19

A ChatGPT nemcsak a kiberbiztonság javítására alkalmas, hanem komoly kockázatokat is rejt, például adathalászat, ransomware és social engineering támadások formájában.

Valójában beszélhetünk-e AI-ról a kiberbiztonságban?

Szerző ikon Corne van Roij

Dátum ikon 2021.11.09

Az AI és a kiberbiztonság: valójában alkalmazható-e a mesterséges intelligencia a biztonsági fenyegetések elleni védelemben?