- Risikerer at ChatGPT forteller deg hva slags sex naboen liker

Advokat håper ChatGPT tar GDPR på alvor, så den ikke stenges i Norge - eller forteller deg for mye.

Vebjørn Søndersrød, advokat og partner i Advokatfirmaet Ræde, tror ikke det er sannsynlig at ChatGPT blir sperret i Norge. 📸: Ole Petter Baugerød Stokke / Privat
Vebjørn Søndersrød, advokat og partner i Advokatfirmaet Ræde, tror ikke det er sannsynlig at ChatGPT blir sperret i Norge. 📸: Ole Petter Baugerød Stokke / Privat Vis mer

Etter et datainnbrudd har Italia besluttet å stenge tilgangen til skriveroboten ChatGPT, mens de undersøker om personvernet er godt nok ivaretatt.

Det italienske datatilsynet vil undersøke mulige brudd på EUs strenge personvernregler og sier de har satt i verk tiltak "fram til ChatGPT respekterer personvernet", meldte NTB nylig.

OpenAI, selskapet bak ChatGPT, bekrefter at de er bedt om å stenge tilgangen for italienske brukere. Selskapet mener de følger reglene i EUs regelverk og håper roboten snart kan gjøres tilgjengelig igjen.

NRK opplyste mandag om at tyske styresmakter kan komme til å følge Italia og blokkere ChatGPT av hensyn til datasikkerheten. Det er ikke snakk om umiddelbare grep, men Tyskland har bedt om mer informasjon fra italienske styresmakter.

Risikerer vi det samme skjer i Norge?

«Hvis ikke kan du få den til å fortelle deg - med skremmende treffsikkerhet - hva slags sex naboen din liker best.»

Kan kreve samtykke

Vebjørn Søndersrød, advokat og partner i Advokatfirmaet Ræde, forklarer at den italienske avgjørelsen - slik den har blitt gjengitt i media - ikke er et forbud mot ChatGPT som sådan.

- Jeg oppfatter at Italia, basert på GDPR-regelverket, for det første er kritiske til om persondata ChatGPT samler inn om den enkelte bruker har et gyldig behandlingsgrunnlag etter GDRP. Og for det andre om vi som brukere har fått god nok informasjon om hvordan tjenesten samler inn og bruker våre persondata når vi logger på og stiller spørsmål til tjenesten, sier han til kode24.

Søndersrød legger til at han har brukt tjenesten mye selv i det siste for å teste hva den er villig til å fortelle ham om andre personer, og å konstatere at han ikke har gitt tjenesten et samtykke til å behandle sine data.

- Dersom det er slik at ChatGPT samler inn persondata om brukerne, og deretter bruker disse til trening av AI-en, så vil jeg grovt sagt si at det vil måtte kreves et samtykke for at dette skal være lov under GDPR, sier han.

En alternativ løsning

Søndersrød mener at OpenAI definitivt må utføre en såkalt DPIA, som er en utvidet vurdering av personvernskonsekvenser.

- Hvor jeg ikke utelukker at risikoen ved å trene AI-en basert på våre persondata, dersom det er dette de gjør, er såpass høy at OpenAI må ta en formell prat med et EU-datatilsyn under reglene for DPIA.

Søndersrød mener alternativet er at ChatGPT samler inn brukerdata, deretter anonymiserer dataene og så lar AI-en trene på dem.

- Da tror jeg de går klar av DPIA-kravet. Da kan de også utbedre den italienske kritikken ved å innhente samtykke fra oss brukere, og respektere dem som ikke samtykker. Dette bær være greit løsbart teknisk.

Kan skje i Norge

Italia anklager OpenAI for å mislykkes i å sjekke om alderen til ChatGPT-brukerne er over 13 år. Ifølge Søndersrød referer dette til at personer under 13 ikke på egenhånd kan gi samtykke til behandling av persondata, eller akseptere brukervilkår, som medfører behandling av persondata.

- Dette er grunnen til at sosiale medier har 13 års aldersgrense, og det hadde det vært fornuftig av også ChatGPT å operere med. Det er vanskelig for enhver internettjeneste som ikke tar kortbetaling eller bruker BankID å sikkert verifisere alder. Her er ChatGPT i samme gode båt som en rekke andre aktører, sier advokaten.

- Kan vi se noe lignende i Norge?

- Ja, gitt at min analyse av medieomtale av den italienske saken er riktig, så er svaret ja. GDPR skal i prinsippet forstås likt i Italia og Norge. Dette forutsetter dog at Datatilsynet enten ser på tjenesten på eget initiativ, eller at tilstrekkelig mange norske sluttbrukere klager. Jeg tror ingen av delene kommer til å skje, sier Søndersrød.

En større problemstilling

Søndersrød tror OpenAI fint klarer å løse diskusjonen med Italia.

- Det som er mye mer spennende er diskusjonen om tjenesten som sådan er grei under GDPR, sier advokaten.

Han trekker fram en rekke ubesvarte spørsmål: Faller tjenesten inn under ytringsfrihetsunntaket fra GDPR eller ikke? Samler den mer private persondata fra for eksempel Facebook og kommentarfelt, eller nøyer den seg med redaksjonelle medier og bedrifters offisielle nettsider?

- Begge deler har potensielt stor betydning for om tjenesten kan havne i mer alvorlig GDPR-bråk enn det jeg oppfatter er tilfellet i Italia.

Potensielt kritisk for personvern

Søndersrød mener at det vil være synd om GDPR stopper en "så spennende tjeneste" som ChatGPT. Samtidig sier han at kombinasjonen med AI, skraping av all offentlig tilgjengelig informasjon, samt å trene på promptene til sluttbrukeren, er potensielt kritisk for personvernet.

Søndersrød tar forbehold om hvorvidt ChatGPT har bygget inn tilstrekkelige sikkerhetsmekanismer for å beskytte personvernet, noe som han vet for lite om i dag.

- Det er derfor helt nødvendig at OpenAI bygger inn mekanismer med tilstrekkelige sperrer for at tjenesten skal være lovlig over tid. Hvis ikke kan du få den til å fortelle deg - og med skremmende treffsikkerhet - hva slags sex naboen din liker best, hvor mye sjefen drikker eller om ektefellen din er skap-Trump tilhenger, sier advokaten.

Han legger til at ChatGPT da selvsagt vil vite at du lever gjennom å invadere andre, og at du har et kjedelig liv selv, ettersom du stilte nettopp disse spørsmålene.

- Noe den dessuten forteller ektefellen din, som siden sist ble sint, som følge av det med Trump, og vil ta igjen, avslutter Søndersrød.