" Согласно GDPR и похожим законам других стран, компании должны принимать адекватные меры конфиденциальности и безопасности для защиты данных людей, такие как псевдонимизация и шифрование личных данных.
Большинство штрафов GDPR были связаны с нарушением принципов обработки данных, согласно которым персональные данные должны обрабатываться законно, справедливо и прозрачно и собираться только в законных целях. Кроме того, персональные данные должны быть адекватными, актуальными и ограничиваться тем, что необходимо, и сохраняться только необходимый период времени. Данные могут быть обработаны только в том случае, если пользователь дал согласие.
Несоблюдение GDPR может привести к серьезным санкциям и штрафам для бизнеса. После Brexit Великобритания и ЕС установили следующие санкции:
Однако не все нарушения GDPR приводят к штрафам за защиту данных. Компаниям могут:
• Вынести предупреждения и выговоры.
• Ввести временного или постоянного запрета на обработку данных.
• Приказать исправить, ограничить или удалить данные.
• Приостановить передачу данных в третьи страны.
При этом штрафы — это лишь одна из возможных мер. Как правило такие меры применяются при более серьезных нарушений GDPR, а именно отказ от получения согласия на обработку данных или обработку конфиденциальных персональных данных без соответствующих мер безопасности.
Соответствие GDPR от ChatGPT
Политика конфиденциальности данных OpenAI, касающаяся ChatGPT, подробно описывает усилия компании по соблюдению Закона Калифорнии о конфиденциальности потребителей. Тем не менее в политике конфиденциальности относительно международных законов, включая GDPR. Политика содержит общую информацию об использовании персональных данных, политиках хранения данных и доступе третьих лиц.
Также предусмотрены каналы для связи с выделенными группами для конкретных запросов, касающихся обработки персональных данных пользователя. Однако есть области, в которых политика конфиденциальности данных OpenAI для ChatGPT может иметь проблемы с соблюдением GDPR.
В предыдущих разделах были освещены аспекты конфиденциальности данных, подчеркнутые GDPR, которые должны соблюдаться организациями, собирающими пользовательские данные. Организации, использующие эти решения для обработки данных о клиентах и получения информации через ChatGPT, должны учитывать эти последствия.
Это области, в которых у ChatGPT могут возникнуть проблемы с соблюдением стандартов GDPR, поскольку он обрабатывает, хранит и передает личные данные пользователей.
Минимизация данных
Модель ChatGPT была обучена с использованием обучения с подкреплением на основе отзывов людей. Этот метод включает обучение модели посредством взаимодействия с людьми и подкрепления. Однако для того, чтобы контролируемое обучение состоялось, ИИ должен был получать данные из Интернета. Обучение с учителем включает в себя обучение модели с использованием помеченных данных, где модель обучается отображать входные данные в желаемые выходные данные.
GDPR требует, чтобы решения, использующие личные данные пользователей, содержали минимальный объем информации, полученной законным, честным и прозрачным образом. ChatGPT потребовалось бы несколько миллиардов точек данных из Интернета для обучения и улучшения механизма искусственного интеллекта.
Любой подобный источник информации для обучения движка ИИ является нарушением требований GDPR. В блогах OpenAI не было явных сведений об источниках данных, особенно в тех случаях, когда личная информация пользователей использовалась для обучения ИИ. Однако процесс обучения ChatGPT подробно описан в блоге OpenAI.
Ограничение цели
В соответствии с GDPR ограничение цели является важным правилом, когда решение, использующее персональные данные, использует их только для конкретных, явных и законных целей, а не для целей, выходящих за рамки указанных. Однако обрабатываемые ChatGPT данные используются для машинного обучения, что со временем делает их более точными.
В результате организации, использующие ChatGPT для доступа к своей аналитике, продолжая обрабатывать личную информацию пользователей, должны дать четкое согласие на то, что их данные будут использоваться для дальнейшего обучения ChatGPT.
Объяснимость
В GDPR также подчеркивается необходимость автоматизированных программ принятия решений, чтобы они могли давать объяснения своим решениям. Хотя ChatGPT может предоставить ценную информацию по различным темам, компания, использующие механизм искусственного интеллекта, должны разработать возможности, объясняющие информацию ChatGPT для соответствия требованиям GDPR.
Разделение данных
В соответствии с требованиям GDPR должны быть приняты технические и организационные меры для гарантии того что источники данных не будут объединены. Это особенно важно, когда данные передаются третьим лицам.
ChatGPT может объединять информацию из источников данных для формирования выводов. Если организация хочет принять решение о клиенте на основе его данных, а предложения ChatGPT включают информацию, полученную из атрибутов данных других клиентов, это может быть нарушением GDPR. Передача такой информации третьим лицам может не соответствовать требованиям GDPR.
Обмен данными со сторонними организациями
GDPR требует, чтобы пользователи всегда были проинформированы о передаче данных третьим лицам и характере их использования особенно в случае монетизации последних. В таком случае должно быть запрошено и добровольно предоставлено согласие пользователя. Однако политика данных OpenAI гласит следующее.
«В определенных обстоятельствах мы можем предоставить вашу личную информацию третьим лицам без дополнительного уведомления, если только это не требуется по закону».
Подробностей о том, как обмен данными с третьими сторонами будет приведен в соответствие с требованиями GDPR в его политике, нет. Однако есть сведения о том, с какими третьими сторонами OpenAI может делиться данными пользователей.
К таким третьим лицам относятся:
• Сторонние продавцы и поставщики услуг, которые помогают OpenAI в выполнении ее бизнес-задач.
• Деловые передачи, при участии OpenAI участвует в стратегических транзакциях, когда необходима передача пользовательских данных организации-контрагенту.
• Юридические требования, согласно которым OpenAI обязана делиться данными пользователей в интересах национальной безопасности или в других неотложных ситуациях.
• Аффилированные лица, которые сотрудничают с OpenAI и обязаны соблюдать политику конфиденциальности данных OpenAI.
Сбор и обработка данных ChatGPT
ChatGPT собирает широкий спектр информации. Различные атрибуты пользовательских данных описаны в политике конфиденциальности данных OpenAI. Это данные собираются при создании пользователями учетной записи для использования службы:
• Атрибуты информации об учетной записи (имя, контактная информация, учетные данные, информация о платежной карте и история транзакций).
• Пользовательский контент, а именно загруженные файлы или отзывы, предоставленные пользователем относительно услуг, предлагаемых OpenAI.
• Атрибуты информации для связи (имя, контактная информация и содержание сообщения, которое пользователь отправляет, когда хочет связаться с OpenAI).
• Информация из социальных сетей (учетные записи Instagram, Facebook, Medium, Twitter, YouTube и LinkedIn, которыми пользователь решил поделиться с OpenAI).
Помимо вышеперечисленного, ChatGPT и OpenAI автоматически получают данные от тех, кто пользуется их услугами. К таким атрибутам данных относится:
• Регистрация данные о том, как пользователь взаимодействовал с веб-сайтом ChatGPT/OpenAI. Это также включает информацию об IP-адресе, сведениях о браузере, а также дату и время конкретных запросов, размещенных на веб-сайте.
• Данные об использовании типа контента, который пользователь просматривает и с которым взаимодействует, предпринимаемых пользователем действиях, часовых поясах и используемых устройствах.
• Данные о файлах cookie, которые используются для работы и предоставления услуг. Однако у пользователей есть возможность принять или отклонить файлы cookie. Отказ от файлов cookie может привести к неполному предоставлению возможностей OpenAI. Данные, собранные с помощью файлов cookie, будут проанализированы с использованием аналитических продуктов для настройки взаимодействия с пользователем.
Несмотря на сбор всей этой информации, политики конфиденциальности OpenAI предлагают пользователям право запросить удаление их личных данных. Тем не менее, еще неизвестно, насколько эффективным будет это требование в эпоху машинного обучения.
Меры защиты данных: ChatGPT или BERT
BERT и ChatGPT — популярные языковые модели ИИ, разработанные Google и OpenAI. В качестве двунаправленной модели представления двунаправленного кодировщика от преобразователей (BERT) учитывают левый и правый контексты слова при построении его представления.
Он обучается с использованием техники моделирования маскированного языка. Модель должна предсказывать исходное слово в предложениях, в которых случайные слова были заменены уникальными токенами. BERT часто используется для идентификации именованных объектов, категоризации предложений и ответов на вопросы.
И наоборот, ChatGPT — это генеративная модель, созданная с использованием неконтролируемого процесса обучения. Первоначально он обучается на значительном корпусе текстов, которые затем редактируются для дальнейшего использования. Благодаря своей репутации производителя высококачественного контента ChatGPT удобен для создания текста, выводов и перевода
ChatGPT и BERT принимают соответствующие меры для защиты пользовательских данных и обеспечения безопасности и конфиденциальности своих пользователей.
Далее сравнение мер защиты данных, принятых ChatGPT и BERT
Важно помнить, что конкретные методы защиты данных, используемые ChatGPT и BERT, могут различаться в зависимости от требований приложения и конкретного варианта использования.
Права пользователя и согласие
В соответствии с GDPR пользователи имеют несколько прав, связанных с защитой данных, включая право на доступ, исправление и удаление своих данных, а также право ограничивать или возражать против обработки своих данных. Пользователи также имеют право передавать свои данные другому контроллеру данных и получать их в машиночитаемом формате. Эти права должны дать пользователям больший контроль над своими данными и гарантировать, что они будут обрабатываться открыто и законно.
Чтобы пользователи знали и могли пользоваться своими правами, ChatGPT принимает несколько мер предосторожности. Например, политика конфиденциальности ChatGPT определяет, как пользователи могут осуществлять свои права пользователя в отношении защиты данных с подробным описанием. Кроме того, отдельные лица могут запросить доступ к своим личным данным у ChatGPT, которые они затем могут изменить или удалить по мере необходимости.
ChatGPT может использовать множество методов для определения и записи согласия пользователя на сбор и обработку данных. Например, когда пользователь впервые взаимодействует с моделью, ему может быть дано краткое объяснение данных, которые будут собраны, и их предполагаемого использования. Затем пользователю может быть предложено дать четкое разрешение на сбор и обработку своих данных, что может быть прозрачно задокументировано.
Дальнейшее развитие
ChatGPT потенциально может подпадать под действие GDPR в ряде сфер применения. Запрет программного обеспечения в Италии указывает на то, что будущее ChatGPT может быть непростым, особенно в Европе, где законы о защите данных намного строже, чем в Соединенных Штатах. Например, законы о защите данных в США различаются в зависимости от штата, и ни один федеральный закон о защите данных не обеспечивает такой же уровень регулирования, как GDPR.
Команде OpenAI необходима большая прозрачность в отношении данных, используемых для соблюдения законов о защите данных. Они должны использовать такой же прозрачный подход при сборе, хранении и обмене пользовательскими данными. Кроме этого, регулирующие структуры заинтересованы в «объяснимости» выходных данных ChatGPT.
По мере расширения использования ChatGPT в сфере здравоохранения и финансовых услуги, OpenAI следует с регулирующими структурами для разработки мер, необходимых для защиты потребителей и обработки их личных.
