OpenAI переезжает в Ирландию перемещение регуляторного риска или горшок с золотом GDPR?
Несмотря на то, что большинство европейцев еще наслаждалось праздничными шоколадными конфетами в прошлом месяце, OpenAI, создатель ChatGPT, активно отправлял электронное письмо, уведомляя пользователей о предстоящем обновлении своих условий использования. Это обновление, похоже, направлено на снижение регуляторного риска в Европейском союзе.
OpenAI предпринимает шаги к уменьшению потенциальных регуляторных проблем, связанных с конфиденциальностью данных, в Европейском союзе.
В то время как большая часть Европы все еще находилась в глубокой праздничной шоколадной коробке в конце прошлого месяца, создатель чат-бота ChatGPT OpenAI занялся отправкой электронной почты с подробностями о готовящемся обновлении своих условий, которое, кажется, направлено на снижение риска для компании в Европейском союзе.
Технология гиганта искусственного интеллекта уже вызвала интерес регуляторных органов региона из-за влияния ChatGPT на конфиденциальность людей. Ведутся расследования в отношении нарушения защиты данных, связанных с тем, как чат-бот обрабатывает информацию о людях и данные, которые он может сгенерировать о конкретных индивидах, включая регуляторные органы из Италии и Польши. (Во время вмешательства Италии даже произошла временная приостановка работы ChatGPT в стране, пока OpenAI не пересмотрела предоставляемую пользователям информацию и средства контроля.)
«Мы сменили филиал OpenAI, оказывающий услуги, такие как ChatGPT, для жителей EEA и Швейцарии, на ирландский филиал OpenAI Ireland Limited», – написала OpenAI в письме пользователям, отправленном 28 декабря.
В параллельном обновлении Политики конфиденциальности OpenAI для Европы также указывается:
- Революция искусственного интеллекта 5 проблем кибербезопасности к 2...
- 🛡️ Байден подписывает оборонный закон и продлевает контроверзионную...
- Возникновение помощи искусственного интеллекта при написании кода к...
Если вы проживаете в Европейском экономическом пространстве (EEA) или Швейцарии, OpenAI Ireland Limited, зарегистрированный по адресу 1-й этаж, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Ирландия, является контролером и несет ответственность за обработку ваших личных данных в соответствии с этой Политикой конфиденциальности».
Новые условия использования, которые перечисляют его недавно созданный подразделение в Дублине в качестве контролера данных для пользователей в Европейском экономическом пространстве (EEA) и Швейцарии, где действует Общий регламент по защите данных (GDPR) блока, начнут применяться с 15 февраля 2024 года.
Пользователи уведомляются, что в случае несогласия с новыми условиями OpenAI они могут удалить свою учетную запись.
Механизм единого контроля GDPR и дублинские амбиции OpenAI
Механизм единого контроля (OSS) GDPR позволяет компаниям, которые обрабатывают данные европейцев, упростить надзор за конфиденциальностью с помощью одного ведущего органа по надзору за данными, расположенного в государстве-члене ЕС, где они «основаны», как говорится в регуляторном жаргоне.
Такой статус фактически снижает возможность регуляторных органов, находящихся в других частях блока, действовать самостоятельно по проблемам конфиденциальности. Вместо этого они, как правило, направляют жалобы обратно в ведущий орган компании для рассмотрения.
Другие органы по защите данных GDPR все равно сохраняют полномочия для местных вмешательств в случае неотложных рисков. Но такие вмешательства, как правило, являются временными и исключительными по своей природе, с основной частью надзора GDPR, которая проходит через ведущий орган. Вот почему этот статус оказался настолько привлекательным для «больших» технологических компаний – это позволяет им упростить надзор за конфиденциальностью персональных данных при их обработке в различных странах.
На вопрос, сотрудничает ли OpenAI с комиссией по защите данных в Ирландии в целях получения статуса главной организации для своего подразделения в Дублине в соответствии с OSS GDPR, представитель комиссии по защите данных (DPC) Ирландии сообщил ENBLE: «Я могу подтвердить, что Open AI была вовлечена в деятельность DPC и других органов по защите данных ЕС по этому вопросу».
Также был обратились с просьбой о комментарии в OpenAI.
Создание присутствия в Дублине
Гигант искусственного интеллекта открыл офис в Дублине в сентябре – исходно нанимая нескольких сотрудников в области политики, права и конфиденциальности, а также некоторых должностей в бэк-офисе.
На данный момент есть только пять открытых позиций, связанных с Дублином, из общего числа в 100, перечисленных на его странице карьеры, поэтому местная аренда по-прежнему кажется ограниченной. В настоящий момент компания также рекрутирует должность руководителя политики и партнерских отношений в Европейском союзе с базированием в Брюсселе, для которого кандидатам предлагается указать, доступны ли они для работы в офисе в Дублине три дня в неделю. Но большинство открытых позиций гиганта искусственного интеллекта перечислены как с базированием в Сан-Франциско/США.
Одна из пяти вакансий компании OpenAI, рекламирующихся в Дублине, предназначена для инженера по защите конфиденциальности. Остальные четыре – для: директора по аккаунтам, платформа; специалиста по международной заработной плате; руководителя по связям с общественностью, Европа; и инженера по продажам.
Кто и сколько сотрудников нанимает OpenAI в Дублине, будет иметь значение для получения статуса главного учреждения в соответствии с GDPR. Ведь это не просто вопрос заполнения юридических документов и отметки галочкой, чтобы получить статус. Компании придется убедить регуляторов конфиденциальности в ЕС, что организация, указанная как юридически ответственная за данные европейцев, действительно способна влиять на принятие решений в этой области.
Это означает, что необходимо иметь правильные знания и законные структуры, чтобы оказывать влияние и устанавливать значимые приватность-проверки для американской материнской компании.
Другими словами, простое открытие фронтального офиса в Дублине, который просто утверждает принимаемые в Сан-Франциско продуктовые решения, не должно быть достаточным.
Сказанное не значит, что OpenAI может с интересом посмотреть на пример X, ранее известной как Twitter, которая создала шум после смены владельца в осенью 2022 года. Но X не успела выйти из OSS с момента, когда Илон Маск стал владельцем — несмотря на то, что эксцентричный биллионер сократил региональные отделы X, убрав сотрудников с соответствующими навыками, и принимает явно односторонние решения о продукте. (Так что, ну, догадайтесь).
Добавление Дублина в список
Если OpenAI получит статус главного учреждения GDPR в Ирландии и надзор за ним возьмет на себя Irish DPC, то она присоединится к таким компаниям, как Apple, Google, Meta, TikTok и X, чтобы упомянуть лишь несколько многонациональных компаний, которые выбрали Дублин в качестве своего дома в ЕС.
Тем временем, Irish DPC продолжает привлекать значительную критику из-за скорости и качества своего надзора по GDPR над местными гигантами технологической отрасли. И хотя в последние годы в Ирландии начали применяться значительные штрафы к Big Tech, критики указывают на то, что регулятор часто отстаивает значительно более низкие штрафы, чем его коллеги. Другие критики включают медленный ход и/или необычное направление расследований Irish DPC. Или случаи, когда он выбирает игнорировать жалобу, или перефразирует ее так, чтобы обойти ключевое беспокойство (на этот счет можно взглянуть, например, эта жалоба на рекламу Google).
Последствия для будущего
Любые существующие расследования GDPR в отношении ChatGPT, проводимые регуляторами в Италии и Польше, могут оказывать конкретное влияние на региональное регулирование генеративного чат-бота OpenAI, так как эти расследования, вероятно, завершат свой ход, поскольку касаются обработки данных, предшествующей будущему получению статуса главного учреждения этого интеллектуального гиганта. Однако пока неясно, насколько существенным может быть их влияние.
В частности, обновленная политика конфиденциальности OpenAI также содержит более подробные сведения о юридических основаниях, которые компания указывает для обработки данных пользователей — с новым формулировками, которые описывают утверждение OpenAI о необходимости обработки данных пользователей для обучения своих искусственных интеллектов на основании “объективно необходимых интересов нашей компании, третьих лиц и более широкого общества” [мы подчеркнули].
Тогда как в текущей политике конфиденциальности OpenAI говорится о многом другом: “Наши объективные интересы в защите нашей Службы от злоупотреблений, мошенничества или угроз безопасности, или в разработке, улучшении или продвижении наших Служб, включая обучение наших моделей”.
Это может означать, что OpenAI намеревается попытаться защитить свою обширную, основанную на согласии, сбору личных данных пользователей Интернета для реализации прибыли от генерации искусственного интеллекта перед волнами беспокойства европейских органов надзора за конфиденциальностью, представляя публичное интересное основание для такой деятельности, в дополнение к своим (коммерческим) интересам. Однако GDPR содержит строго ограниченный набор (шести) законных основ для обработки личных данных; владельцы данных не могут случайно выбирать некоторые элементы из этого списка, чтобы изобрести свое собственное оправдание.
Важно отметить, что GDPR-наблюдатели уже пытаются найти общую почву в отношении решения сложной проблемы пересечения законодательства о защите данных с АИ на основе больших данных через рабочую группу, созданную в рамках Европейской комиссии по защите данных в прошлом году. Остается неясным, будет ли достигнут какой-либо консенсус в результате этого процесса. И учитывая, что OpenAI перенесла установку правового лица в Дублин в качестве контролера данных европейских пользователей сейчас и в будущем, можно сказать, что именно Ирландия, скорее всего, окажет решающее влияние на направления развития в области генеративного искусственного интеллекта и прав на конфиденциальность.
Если Комиссия по защите данных станет главным надзирателем OpenAI, она сможет, например, замедлить темп применения GDPR к стремительно развивающейся технологии.
Уже в прошлом апреле в связи с итальянским вмешательством в ChatGPT, действующий комиссар Комиссии по защите данных Хелен Диксон предупредила о том, что регуляторы должны не спеша запретить такую технологию из-за проблем с данными, а потратить время на выработку механизмов применения законодательства Европейского союза в отношении искусственного интеллекта.
Примечание: Пользователи из Великобритании исключены из перехода OpenAI на правовую основу Ирландии, поскольку компания указала, что они подпадают под юрисдикцию американской юридической сущности на территории Делавэра. (После Brexit, GDPR ЕС больше не применяется в Великобритании, хотя сохраняется собственный ГПР в национальном законодательстве, регулирующий защиту данных, основанный на европейской системе, который также будет изменен, поскольку Великобритания отказывается от золотого стандарта ЕС в области защиты данных через закон о “реформе данных”, рассчитанный на сокращение прав пользователей.)
Ссылки: – OpenAI открывает свой первый офис в ЕС, готовясь к регуляторным препятствиям – OpenAI, создатель ChatGPT, обвинен в ряде нарушений законодательства о защите данных в жалобе GDPR, поданной исследователем в области конфиденциальности
