يتحرك OpenAI لتقليص المخاطر التنظيمية في الاتحاد الأوروبي حول خصوصية البيانات

في حين أن معظم أوروبا كانت لا تزال غارقة في صندوق اختيار الشوكولاتة للعطلات في أواخر الشهر الماضي، كان صانع ChatGPT OpenAI مشغولاً بإرسال بريد إلكتروني يحتوي على تفاصيل التحديث الوارد لشروطه والذي يبدو أنه يهدف إلى تقليص المخاطر التنظيمية في الاتحاد الأوروبي.

خضعت تقنية الذكاء الاصطناعي العملاق للتدقيق المبكر في المنطقة بشأن تأثير ChatGPT على خصوصية الأشخاص – مع عدد من التحقيقات المفتوحة في مخاوف حماية البيانات المرتبطة بكيفية معالجة Chatbot لمعلومات الأشخاص والبيانات التي يمكن أن يولدها عن الأفراد، بما في ذلك من هيئات المراقبة في إيطاليا وبولندا. (حتى أن التدخل الإيطالي أدى إلى تعليق مؤقت لتطبيق ChatGPT في البلاد إلى أن قامت شركة OpenAI بمراجعة المعلومات والضوابط التي توفرها للمستخدمين).

“لقد قمنا بتغيير OpenAI الكيان الذي يقدم خدمات مثل ChatGPT إلى المنطقة الاقتصادية الأوروبية والمقيمين السويسريين لكياننا الأيرلندي، OpenAI Ireland Limited،” كتب OpenAI في رسالة بريد إلكتروني إلى المستخدمين أُرسلت في 28 ديسمبر.

وينص التحديث الموازي لسياسة خصوصية OpenAI لأوروبا على ما يلي:

إذا كنت تعيش في المنطقة الاقتصادية الأوروبية (EEA) أو سويسرا، فإن شركة OpenAI Ireland Limited، التي يقع مكتبها المسجل في الطابق الأول، The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Ireland، هي وحدة التحكم و مسؤول عن معالجة بياناتك الشخصية كما هو موضح في سياسة الخصوصية هذه.

ستبدأ شروط الاستخدام الجديدة التي تدرج الشركة التابعة التي تم إنشاؤها مؤخرًا ومقرها دبلن باعتبارها وحدة التحكم في البيانات للمستخدمين في المنطقة الاقتصادية الأوروبية (EEA) وسويسرا، حيث تسري اللائحة العامة لحماية البيانات (GDPR) للكتلة، في فبراير. 15 2024.

يتم إخبار المستخدمين في حالة عدم موافقتهم على شروط OpenAI الجديدة، أنه يجوز لهم حذف حساباتهم.

تسمح آلية الشباك الواحد (OSS) الخاصة باللائحة العامة لحماية البيانات (GDPR) للشركات التي تعالج بيانات الأوروبيين بتبسيط مراقبة الخصوصية تحت إشراف جهة إشرافية واحدة على البيانات تقع في دولة عضو في الاتحاد الأوروبي – حيث تكون “منشأة بشكل رئيسي”، كما يقول المصطلح التنظيمي. .

إن الحصول على هذه الحالة يقلل بشكل فعال من قدرة هيئات مراقبة الخصوصية الموجودة في أماكن أخرى من الكتلة على التصرف من جانب واحد بشأن المخاوف. وبدلاً من ذلك، يقومون عادة بإحالة الشكاوى إلى المشرف الرئيسي للشركة القائمة للنظر فيها.

ولا تزال الهيئات التنظيمية الأخرى للقانون العام لحماية البيانات تحتفظ بصلاحيات التدخل محليًا إذا رأوا مخاطر عاجلة. لكن مثل هذه التدخلات عادة ما تكون مؤقتة. كما أنها استثنائية بطبيعتها، حيث يتم توجيه الجزء الأكبر من الرقابة على القانون العام لحماية البيانات (GDPR) عبر سلطة رائدة. ولهذا السبب ثبت أن هذا الوضع جذاب للغاية بالنسبة لشركات التكنولوجيا الكبرى – مما يمكّن أقوى المنصات من تبسيط مراقبة الخصوصية لمعالجة بياناتها الشخصية عبر الحدود.

عند سؤالها عما إذا كانت OpenAI تعمل مع هيئة مراقبة الخصوصية الأيرلندية للحصول على حالة المؤسسة الرئيسية لكيانها الذي يقع مقره في دبلن، بموجب OSS الخاص باللائحة العامة لحماية البيانات، قالت متحدثة باسم لجنة حماية البيانات الأيرلندية (DPC) لـ TechCrunch: “أستطيع أن أؤكد أن Open AI قد شاركت مع DPC واتفاقيات حماية البيانات الأخرى في الاتحاد الأوروبي [data protection authorities] حول هذه المسألة.”

تم الاتصال بـ OpenAI أيضًا للتعليق.

افتتحت شركة الذكاء الاصطناعي العملاقة مكتبًا في دبلن في سبتمبر الماضي، حيث وظفت في البداية مجموعة من موظفي السياسة والقانون والخصوصية، بالإضافة إلى بعض أدوار المكتب الخلفي.

في وقت كتابة هذا التقرير، كان لديها خمسة وظائف مفتوحة فقط مقرها في دبلن من إجمالي 100 وظيفة مدرجة في صفحة الوظائف الخاصة بها، لذلك يبدو أن التوظيف المحلي لا يزال محدودًا. إن الدور الرئيسي الذي تقوم به سياسات وشراكات الدول الأعضاء في الاتحاد الأوروبي ومقره بروكسل، والذي تقوم أيضًا بتوظيفه في الوقت الحالي، يطلب من المتقدمين تحديد ما إذا كانوا متاحين للعمل من مكتب دبلن ثلاثة أيام في الأسبوع. لكن الغالبية العظمى من المناصب المفتوحة لعملاق الذكاء الاصطناعي مدرجة على أنها مقرها في سان فرانسيسكو/الولايات المتحدة.

أحد الأدوار الخمسة في دبلن التي تعلن عنها OpenAI هي لمهندس برمجيات الخصوصية. الأربعة الأخرى مخصصة لمدير الحساب، والمنصة؛ أخصائي كشوف المرتبات الدولي؛ العلاقات الإعلامية، قيادة أوروبا؛ ومهندس مبيعات.

سيكون عدد الموظفين الذين تقوم بهم OpenAI في دبلن وعدد الموظفين الذين تقوم بهم OpenAI في دبلن ذا صلة بالحصول على حالة المؤسسة الرئيسية بموجب اللائحة العامة لحماية البيانات، حيث إنها ليست مجرد حالة تقديم القليل من الأوراق القانونية وتحديد المربع للحصول على الحالة. ستحتاج الشركة إلى إقناع منظمي الخصوصية في الكتلة بأن الكيان الموجود في الدول الأعضاء والذي سمته مسؤولاً قانونيًا عن بيانات الأوروبيين قادر بالفعل على التأثير على عملية صنع القرار حوله.

وهذا يعني وجود الخبرة المناسبة والهياكل القانونية المناسبة لممارسة النفوذ ووضع ضوابط ذات معنى على خصوصية الوالدين الأمريكيين.

وبعبارة أخرى، فإن فتح مكتب أمامي في دبلن يقوم ببساطة بالتوقيع على قرارات المنتج التي يتم اتخاذها في سان فرانسيسكو لا ينبغي أن يكون كافيا.

ومع ذلك، ربما تنظر OpenAI باهتمام إلى مثال X، الشركة المعروفة سابقًا باسم Twitter، والتي هزت جميع أنواع القوارب بعد تغيير الملكية في خريف عام 2022. لكنها فشلت في الخروج من OSS منذ إيلون ماسك. تولى زمام الأمور – على الرغم من أن المالك الملياردير غريب الأطوار قد هاجم عدد الموظفين الإقليميين لشركة X، مما أدى إلى استبعاد الخبرة ذات الصلة واتخاذ ما يبدو أنه قرارات أحادية الجانب للغاية بشأن المنتج. (حسنًا، اذهب إلى الشكل.)

إذا اكتسبت OpenAI مكانة رئيسية ثابتة في القانون العام لحماية البيانات (GDPR) في أيرلندا، وحصلت على إشراف رئيسي من قبل DPC الأيرلندية، فإنها ستنضم إلى أمثال Apple وGoogle وMeta وTikTok وX، على سبيل المثال لا الحصر من الشركات متعددة الجنسيات التي اختارت أن تجعل من الاتحاد الأوروبي موطنًا لها. دبلن.

وفي الوقت نفسه، تواصل لجنة حماية البيانات (DPC) جذب انتقادات كبيرة بشأن وتيرة وإيقاع إشرافها على القانون العام لحماية البيانات (GDPR) لعمالقة التكنولوجيا المحليين. وبينما شهدت السنوات الأخيرة عددًا من العقوبات التي تصدرت العناوين الرئيسية على شركات التكنولوجيا الكبرى والتي خرجت أخيرًا من أيرلندا، يشير النقاد إلى أن الهيئة التنظيمية غالبًا ما تدعو إلى فرض عقوبات أقل بكثير من نظيراتها. تشمل الانتقادات الأخرى الوتيرة الجليدية و/أو المسار غير المعتاد لتحقيقات DPC. أو الحالات التي تختار فيها عدم التحقيق في الشكوى على الإطلاق، أو تختار إعادة صياغتها بطريقة تتجنب الاهتمام الرئيسي (فيما يتعلق بالأخير، راجع، على سبيل المثال، شكوى Google Adtech هذه).

قد تظل أي تحقيقات موجودة في القانون العام لحماية البيانات (GDPR) بشأن ChatGPT، مثل تلك التي تجريها الجهات التنظيمية في إيطاليا وبولندا، ذات أهمية من حيث تشكيل التنظيم الإقليمي لروبوت الدردشة الآلي المولد للذكاء الاصطناعي الخاص بـ OpenAI، حيث من المرجح أن تأخذ التحقيقات مسارها نظرًا لأنها تتعلق بمعالجة البيانات التي سبقت أي عمليات رئيسية مستقبلية. حالة التأسيس التي قد يكتسبها عملاق الذكاء الاصطناعي. لكن من غير الواضح مدى التأثير الذي قد يكون لها.

لتجديد المعلومات، كان منظم الخصوصية في إيطاليا يبحث في قائمة طويلة من المخاوف بشأن ChatGPT، بما في ذلك الأساس القانوني الذي تعتمد عليه OpenAI لمعالجة بيانات الأشخاص لتدريب الذكاء الاصطناعي الخاص بها. بينما فتحت هيئة الرقابة في بولندا تحقيقًا في أعقاب شكوى مفصلة حول ChatGPT – بما في ذلك كيفية قيام روبوت الذكاء الاصطناعي بالهلوسة (أي تلفيق) البيانات الشخصية.

ومن الجدير بالذكر أن سياسة الخصوصية الأوروبية المحدثة لشركة OpenAI تتضمن أيضًا مزيدًا من التفاصيل حول الأسس القانونية التي تدعي أنها تعالج بيانات الأشخاص – مع بعض الصياغة الجديدة التي تعبر عن ادعائها بأنها تعتمد على أساس قانوني للمصالح المشروعة لمعالجة بيانات الأشخاص للتدريب على نموذج الذكاء الاصطناعي على أنها “ضروري من أجل مصالحنا المشروعة وتلك الخاصة بالأطراف الثالثة والمجتمع الأوسع” [emphasis ours].

في حين أن سياسة خصوصية OpenAI الحالية تحتوي على خط أكثر جفافًا حول هذا العنصر من أساسها القانوني المزعوم: “مصالحنا المشروعة في حماية خدماتنا من إساءة الاستخدام أو الاحتيال أو المخاطر الأمنية، أو في تطوير خدماتنا أو تحسينها أو الترويج لها، بما في ذلك عندما نحن ندرب نماذجنا.”

يشير هذا إلى أن OpenAI ربما تنوي السعي للدفاع عن جمعها الواسع وغير الموافق للبيانات الشخصية لمستخدمي الإنترنت من أجل تحقيق أرباح الذكاء الاصطناعي التوليدية أمام منظمي الخصوصية الأوروبيين المعنيين من خلال تقديم نوع من حجة المصلحة العامة للنشاط، بالإضافة إلى حجة (تجارية) خاصة بها. الإهتمامات. ومع ذلك، فإن اللائحة العامة لحماية البيانات لديها مجموعة محدودة للغاية من (ستة) أساس قانوني صالح لمعالجة البيانات الشخصية؛ لا يمكن لوحدات التحكم في البيانات تشغيل مزيج من البتات من هذه القائمة لابتكار مبررات مخصصة خاصة بهم.

تجدر الإشارة أيضًا إلى أن هيئات مراقبة القانون العام لحماية البيانات (GDPR) تحاول بالفعل إيجاد أرضية مشتركة حول كيفية معالجة التقاطع الصعب بين قانون حماية البيانات والذكاء الاصطناعي الذي يغذي البيانات الضخمة من خلال فريق عمل تم تشكيله داخل المجلس الأوروبي لحماية البيانات العام الماضي. على الرغم من أنه يبقى أن نرى ما إذا كان سيتم التوصل إلى أي توافق في الآراء من هذه العملية. وبالنظر إلى تحرك OpenAI لإنشاء كيان قانوني في دبلن ليكون المتحكم في بيانات المستخدمين الأوروبيين الآن، فقد يكون لأيرلندا الكلمة الحاسمة في اتجاه السفر عندما يتعلق الأمر بالذكاء الاصطناعي التوليدي وحقوق الخصوصية.

لو يصبح DPC المشرف الرئيسي على OpenAI، وسيكون لديه القدرة، على سبيل المثال، على إبطاء وتيرة أي تطبيق للقانون العام لحماية البيانات (GDPR) على التكنولوجيا سريعة التقدم.

بالفعل، في أبريل الماضي، في أعقاب التدخل الإيطالي في ChatGPT، حذرت المفوضة الحالية للجنة حماية البيانات، هيلين ديكسون، من تسرع هيئات مراقبة الخصوصية في حظر التكنولوجيا بسبب مخاوف تتعلق بالبيانات – قائلة إن المنظمين يجب أن يأخذوا وقتًا لمعرفة كيفية فرض حماية بيانات الكتلة. قانون الذكاء الاصطناعي.

ملاحظة: يتم استبعاد المستخدمين في المملكة المتحدة من الأساس القانوني لـ OpenAI للانتقال إلى أيرلندا، مع تحديد الشركة أنهم يقعون ضمن نطاق كيانها المؤسسي الذي يقع مقره في الولايات المتحدة في Delware. (منذ خروج بريطانيا من الاتحاد الأوروبي، لم تعد اللائحة العامة لحماية البيانات للاتحاد الأوروبي قابلة للتطبيق في المملكة المتحدة – على الرغم من احتفاظها باللائحة العامة لحماية البيانات في المملكة المتحدة في القانون الوطني، وهي لائحة حماية البيانات التي لا تزال تعتمد تاريخيًا على الإطار الأوروبي، والتي من المقرر أن تتغير مع انحراف المملكة المتحدة عن الكتلة. المعيار الذهبي لحماية البيانات من خلال مشروع قانون “إصلاح البيانات” المخفف للحقوق والذي يمر حاليًا عبر البرلمان.)