Den europeiske personvernorganisasjonen noyb har levert inn en klage mot OpenAI på grunn av selskapets manglende evne til å korrigere unøyaktig informasjon generert av ChatGPT. Gruppen hevder at OpenAIs manglende evne til å sikre at personopplysningene som behandles av tjenesten, er korrekte, er i strid med EUs personvernforordning (GDPR).

 

“Det er problematisk i seg selv å finne på falsk informasjon. Men når det gjelder uriktige opplysninger om enkeltpersoner, kan det få alvorlige konsekvenser”, sier Maartje de Graaf, personvernadvokat i noyb.

“Det er tydelig at selskaper i dag ikke er i stand til å få chatboter som ChatGPT til å overholde EU-lovgivningen når de behandler opplysninger om enkeltpersoner. Hvis et system ikke kan produsere nøyaktige og transparente resultater, kan det ikke brukes til å generere data om enkeltpersoner. Teknologien må følge de juridiske kravene, ikke omvendt.”

Personvernforordningen krever at personopplysninger skal være nøyaktige, og enkeltpersoner har rett til å få opplysningene rettet hvis de er feilaktige, samt rett til å få tilgang til informasjon om dataene som behandles og kildene til dem. OpenAI har imidlertid åpent innrømmet at de ikke kan korrigere feilaktig informasjon generert av ChatGPT eller oppgi kildene til dataene som er brukt til å trene opp modellen.

“Faktanøyaktighet i store språkmodeller er fortsatt et område som det forskes aktivt på”, har OpenAI hevdet.

Interesseorganisasjonen trekker frem en rapport fra New York Times som viser at chatboter som ChatGPT “finner opp informasjon i minst 3 prosent av tilfellene – og så mye som 27 prosent”. I klagen mot OpenAI nevner noyb et eksempel der ChatGPT gjentatte ganger oppga feil fødselsdato for klageren, en offentlig person, til tross for forespørsler om retting.

 

“Til tross for at klagerens fødselsdato oppgitt av ChatGPT er feil, avslo OpenAI hans anmodning om å rette eller slette dataene, med den begrunnelse at det ikke var mulig å rette data”, skriver noyb.

OpenAI hevdet at de kunne filtrere eller blokkere data på visse spørsmål, for eksempel klagerens navn, men ikke uten å hindre ChatGPT i å filtrere all informasjon om personen. Selskapet unnlot også å svare tilstrekkelig på klagerens innsynsbegjæring, noe GDPR krever at selskaper skal gjøre.

 

“Plikten til å etterkomme innsynsbegjæringer gjelder for alle selskaper. Det er helt klart mulig å føre oversikt over treningsdata som ble brukt, slik at man i det minste kan få en idé om kildene til informasjonen”, sier de Graaf. “Det ser ut til at for hver “innovasjon” er det en ny gruppe selskaper som mener at produktene deres ikke trenger å overholde loven.”

Europeiske personvernvakter har allerede gransket ChatGPTs unøyaktigheter, og det italienske datatilsynet har innført en midlertidig begrensning på OpenAIs databehandling i mars 2023, og Det europeiske personvernrådet har opprettet en arbeidsgruppe om ChatGPT.

I klagen ber noyb det østerrikske datatilsynet om å undersøke OpenAIs databehandling og tiltak for å sikre nøyaktigheten av personopplysningene som behandles av de store språkmodellene. Interessegruppen ber også om at tilsynet pålegger OpenAI å etterkomme klagerens innsynsbegjæring, bringe behandlingen i tråd med personvernforordningen og ilegge en bot for å sikre fremtidig etterlevelse.