De belangrijkste privacytoezichthouder van Google in de Europese Unie heeft een onderzoek geopend naar de vraag of het voldoet aan de gegevensbeschermingswetten van het blok met betrekking tot het gebruik van de informatie van mensen om generatieve AI te trainen.
In het bijzonder wordt onderzocht of de technologiegigant een gegevensbeschermingseffectbeoordeling (DPIA) had moeten uitvoeren om proactief na te denken over de risico’s die zijn AI-technologieën kunnen opleveren voor de rechten en vrijheden van individuen wier informatie werd gebruikt om de modellen te trainen.
Generatieve AI-tools zijn berucht vanwege het creëren van geloofwaardig klinkende onwaarheden. Deze neiging, gecombineerd met de mogelijkheid om op verzoek persoonlijke informatie te verstrekken, creëert een groot juridisch risico voor de makers ervan. De Ierse Data Protection Commission (DPC), die toezicht houdt op de naleving door Google van de Algemene Verordening Gegevensbescherming (AVG) van het blok, heeft de bevoegdheid om boetes op te leggen tot 4% van de wereldwijde jaaromzet van Alphabet (de moedermaatschappij van Google) voor elke bevestigde inbreuk.
Google heeft verschillende generatieve AI-tools ontwikkeld, waaronder een hele familie van grote algemene taalmodellen (LLM’s) onder de naam Gemini (voorheen Bard). Het maakt gebruik van technologie om AI-chatbots aan te drijven, inclusief het verbeteren van het surfen op het web. De kern van deze op de consument gerichte AI-tools wordt gevormd door een Google LLM genaamd PaLM2, die vorig jaar werd gelanceerd tijdens de I/O-ontwikkelaarsconferentie.
Hoe Google dit onderliggende AI-model heeft ontwikkeld, is wat de Ierse DPC zegt te onderzoeken, op grond van sectie 110 van de Ierse Data Protection Act 2018, die de AVG omzet in nationaal recht.
Het trainen van GenAI-modellen vereist doorgaans enorme hoeveelheden gegevens, en de soorten informatie die LLM-makers hebben verkregen, evenals hoe en waar ze deze hebben verkregen, worden steeds meer onder de loep genomen in verband met een reeks juridische kwesties, waaronder auteursrecht en privacy. .
In het laatste geval is informatie die wordt gebruikt als AI-trainingsvoer en die persoonlijke gegevens van EU-burgers bevat, onderworpen aan de gegevensbeschermingsregels van het blok, ongeacht of deze van het openbare internet wordt verwijderd of rechtstreeks van gebruikers wordt verkregen. Hierdoor zijn een aantal LLM’s al geconfronteerd met vragen – en een deel van de AVG-handhaving – met betrekking tot de naleving van de privacy, waaronder OpenAI, de maker van GPT (en ChatGPT); en Meta, dat het Llama AI-model ontwikkelt.
X, eigendom van Elon Musk, heeft ook AVG-klachten en de woede van de DPC opgeleverd vanwege het gebruik van menselijke gegevens om AI te trainen – wat heeft geleid tot juridische stappen en een verplichting voor X om zijn gegevensverwerking te beperken, maar geen sancties. Hoewel X nog steeds een AVG-boete kan krijgen als de DPC de verwerking van gebruikersgegevens vaststelt om zijn AI-tool te trainen, heeft Grok het regime overtreden.
Het DPIA-onderzoek van de DPC naar de GenAI van Google is de nieuwste regelgevende actie op dit gebied.
“Het juridische onderzoek heeft betrekking op de vraag of Google heeft voldaan aan de eventuele verplichtingen die zij had om een beoordeling uit te voeren, in overeenstemming met artikel 35 van de Algemene Verordening Gegevensbescherming (Data Protection Impact Assessment), alvorens over te gaan tot de verwerking van persoonsgegevens of gegevens onderwerpen in de EU/EER gerelateerd aan de ontwikkeling van het onderliggende AI-model, Pathways Language Model 2 (PaLM 2)”, schreef de DPC in een persbericht.
Het wijst erop dat de DPIA van “cruciaal belang kan zijn om ervoor te zorgen dat de fundamentele rechten en vrijheden van individuen naar behoren worden overwogen en beschermd wanneer de verwerking van persoonsgegevens tot een hoog risico kan leiden”.
“Dit wettelijke onderzoek maakt deel uit van een bredere inspanning van de DPC, die samenwerkt met zijn EU/EER-tegenhangers [European Economic Area] peer-regulators, bij het reguleren van de verwerking van persoonlijke gegevens van betrokkenen in de EU/EER bij de ontwikkeling van AI-modellen en -systemen”, voegde de DPC eraan toe, daarbij verwijzend naar de voortdurende inspanningen van het GDPR-netwerk van het blok om een soort consensus te bereiken over de beste manier om pas de privacywet toe op GenAI-tools.
Google ging niet in op vragen over de gegevensbronnen die worden gebruikt om zijn GenAI-tools te trainen, maar woordvoerder Jay Stoll stuurde een verklaring per e-mail waarin Google schreef: “We nemen onze verplichtingen onder de AVG serieus en zullen constructief samenwerken met de DPC om hun vragen te beantwoorden vragen. ”