Googles Bard og andre AI-chatboter forblir under personvernovervåking i EU
Som vi rapporterte tidligere, har Googles AI chatbot Bard endelig lansert i EU. Vi forstår at det gjorde det etter å ha gjort noen endringer for å øke åpenheten og brukerkontrollene – men blokkens personvernregulatorer forblir på vakt, og store beslutninger om hvordan de skal håndheve blokkens databeskyttelseslov om generativ AI gjenstår å ta.
Googles ledende databeskyttelsesregulator i regionen, den irske databeskyttelseskommisjonen (DPC), fortalte oss at de vil fortsette å samarbeide med teknologigiganten om Bard etter lanseringen. DPC sa også at Google har gått med på å gjennomføre en gjennomgang og rapportere tilbake til vakthunden om tre måneder (rundt midten av oktober). Så de kommende månedene vil se mer regulatorisk oppmerksomhet på AI chatbot – om ikke (ennå) en formell undersøkelse.
Samtidig har European Data Protection Board (EDPB) en arbeidsgruppe som ser på AI-chatboters samsvar med den pan-EU General Data Protection Regulation GDPR). Arbeidsstyrken var opprinnelig fokusert på OpenAIs ChatGPT, men vi forstår at Bard-saker vil bli innlemmet i arbeidet som tar sikte på å koordinere tiltak som kan iverksettes av forskjellige databeskyttelsesmyndigheter (DPA) for å prøve å harmonisere håndhevelsen.
«Google har gjort en rekke endringer i forkant av [Bard’s] lansering, spesielt økt åpenhet og endringer i kontroller for brukerne. Vi vil fortsette vårt engasjement med Google i forhold til Bard etter lanseringen, og Google har gått med på å gjennomføre en gjennomgang og levere en rapport til DPC etter tre måneder etter at Bard ble operativ i EU, sa DPCs visekommissær Graham Doyle.
“I tillegg opprettet European Data Protection Board en arbeidsgruppe tidligere i år, som vi er medlem av, som vil se på en lang rekke saker i dette området,” la han til.
EU-lanseringen av Googles ChatGPT-rival ble forsinket forrige måned etter at den irske regulatoren raskt søkte informasjon som Google ikke hadde klart å gi den. Dette inkluderte å ikke gi DPC innsyn i en databeskyttelseskonsekvensvurdering (DPIA) – et kritisk samsvarsdokument for å identifisere potensielle risikoer for grunnleggende rettigheter og vurdere avbøtende tiltak. Så det å unnlate å stupe opp en DPIA er et veldig stort regulatorisk rødt flagg.
Doyle bekreftet overfor TechCrunch at DPC nå har sett en DPIA for Bard.
Han sa at dette vil være et av dokumentene han sa vil utgjøre en del av den tre måneder lange gjennomgangen, sammen med annen “relevant” dokumentasjon, og la til: “DPIA-er er levende dokumenter og kan endres.”
I et offisielt blogginnlegg ga Google ikke umiddelbart noen detaljer om spesifikke skritt tatt for å redusere regulatorisk risiko i EU – men hevdet at de har “proaktivt engasjert seg med eksperter, beslutningstakere og personvernregulatorer om denne utvidelsen”.
Vi tok kontakt med teknologigiganten med spørsmål om justeringene av åpenhet og brukerkontroll som ble gjort før lanseringen av Bard i EU, og en talskvinne fremhevet en rekke områder den har lagt vekt på, og som hun foreslo ville sikre at den ruller ut teknologien på en ansvarlig måte – inkludert å begrense tilgangen til Bard til brukere i alderen 18+ som har en Google-konto.
En stor endring er at hun flagget en ny Bard Privacy Hub som hun foreslo gjør det enkelt for brukere å se forklaringer på tilgjengelige personvernkontroller.
I henhold til informasjon på denne Huben inkluderer Googles påståtte juridiske grunnlag for Bard oppfyllelse av en kontrakt og legitime interesser. Selv om det ser ut til å lene seg mest på sistnevnte grunnlag for hoveddelen av tilhørende prosessering. (Det bemerker også at etter hvert som produktet utvikler seg, kan det be om samtykke til å behandle data for bestemte formål.)
Også i henhold til Hub, ser det ut til at det eneste tydelig merkede alternativet for sletting av data Google tilbyr brukere muligheten til å slette sin egen Bard-bruksaktivitet – det er ingen åpenbar måte for brukere å be Google om å slette personlige data som brukes til å trene chatboten.
Selv om det tilbyr et nettskjema som lar folk rapportere et problem eller et juridisk problem – der det spesifiserer at brukere kan be om en rettelse av falsk informasjon generert om dem eller protestere mot behandling av dataene deres (sistnevnte er et krav hvis du stoler på legitime interesser for behandlingen i henhold til EU-lovgivningen).
Et annet nettskjema Google tilbyr lar brukere be om fjerning av innhold i henhold til egne retningslinjer eller gjeldende lover (som mest åpenbart innebærer brudd på opphavsretten, men Google foreslår også at brukere benytter seg av dette skjemaet hvis de vil motsette seg behandlingen av dataene deres eller be om en korrigering – så dette, tilsynelatende, er så nært som du kommer til alternativet «slett mine data fra AI-modellen din»).
Andre justeringer Googles talskvinne peker på er relatert til brukerkontroller over oppbevaring av Bard-aktivitetsdataene deres – eller faktisk muligheten til å ikke få aktiviteten deres logget.
«Brukere kan også velge hvor lenge Bard lagrer dataene sine med Google-kontoen sin – som standard lagrer Google Bard-aktiviteten deres i Google-kontoen sin i opptil 18 måneder, men brukere kan endre dette til tre eller 36 måneder hvis foretrukket. De kan også slå av dette helt og enkelt slette Bard-aktiviteten sin på g.co/bard/myactivity, sa talskvinnen.
Ved første øyekast ser Googles tilnærming på området åpenhet og brukerkontroll med Bard ganske lik ut som endringer OpenAI gjort i ChatGPT etter regulatorisk gransking av den italienske DPA.
Garante fanget øynene opp tidligere i år ved å beordre OpenAI til å suspendere tjenesten lokalt – samtidig med å flagge en vaskeliste med bekymringer om databeskyttelse.
ChatGPT var i stand til å gjenoppta tjenesten i Italia etter noen uker ved å handle på den første DPA-oppgavelisten. Dette inkluderte å legge til personvernavsløringer om databehandlingen som ble brukt til å utvikle og trene ChatGPT; gi brukere muligheten til å velge bort databehandling for opplæring av AI-er; og tilby en måte for europeiske å be om at dataene deres skal slettes, inkludert hvis de ikke var i stand til å rette opp feil generert om mennesker av chatboten.
OpenAI ble også pålagt å legge til en aldersgrense på kort sikt og jobbe med å legge til mer robust aldersforsikringsteknologi for å redusere bekymringer om barnesikkerhet.
I tillegg beordret Italia OpenAI til å fjerne referanser til oppfyllelse av en kontrakt for det juridiske grunnlaget som kreves for behandlingen – og sa at det bare kunne stole på enten samtykke eller legitime interesser. (I tilfelle, da ChatGPT gjenopptok tjenesten i Italia, så det ut til at OpenAI var avhengig av LI som det juridiske grunnlaget.) Og på den fronten forstår vi at juridisk grunnlag er et av problemene EDPB-arbeidsgruppen ser på.
I tillegg til å tvinge OpenAI til å gjøre en rekke umiddelbare endringer som svar på sine bekymringer, åpnet den italienske DPA sin egen undersøkelse av ChatGPT. En talsmann for Garante bekreftet overfor oss i dag at etterforskningen fortsatt pågår.
Andre EU-datatilsynsmyndigheter har også sagt at de undersøker ChatGPT – som er åpent for regulatoriske undersøkelser fra hele blokken siden det, i motsetning til Google, ikke er hovedetablert i noen medlemsstat.
Det betyr at det er potensielt større regulatorisk risiko og usikkerhet for OpenAIs chatbot vs Googles (som, som vi sier, ikke er under formell etterforskning av DPC ennå) – det er absolutt et mer komplekst samsvarsbilde ettersom selskapet må forholde seg til inngående fra flere regulatorer, i stedet for bare en ledende DPA.
EDPB-arbeidsstyrken kan bidra til å krympe noe av den regulatoriske usikkerheten på dette området hvis EUs datatilsynsmyndigheter kan bli enige om felles håndhevelsesposisjoner for AI-chatbots.
Når det er sagt, har noen myndigheter allerede satt ut sin egen strategiske stall på generative AI-teknologier. Franske CNIL, for eksempel, publiserte en AI-handlingsplan tidligere i år der den fastslo at det ville være spesielt oppmerksom på å beskytte offentlig tilgjengelige data på nettet mot scarping – en praksis som både OpenAI og Google bruker for å utvikle store språkmodeller som ChatGPT og Bard.
Så det er usannsynlig at arbeidsgruppen vil føre til fullstendig konsensus mellom DPA-er om hvordan de skal takle chatboter, og noen forskjeller i tilnærmingen virker uunngåelige.