– seuraa lopun ajan aiheita

Gdpr vastaan tekoäly

Italian tietosuojavirasto Garante esitti maaliskuun lopussa vaatimuksensa ChatGPT-tekoälypalvelun kehittäjälle.

Kirjoittaja on tietokirjailija ja tutkija.
Kirjoittaja on tietokirjailija ja tutkija.

Italian tietosuojavirasto Garante esitti maaliskuun lopussa vaatimuksensa ChatGPT-tekoälypalvelun kehittäjälle: muuttakaa tekoälyä niin, että se noudattaa tietosuoja-asetuksen vaatimuksia. Muussa tapauksessa Garante uhkasi yhtiötä jättisakoilla.

OpenAI ei tarvinnut tekoälyn apua päättäessään, miten reagoida. Se esti vapaaehtoisesti italialaisten pääsyn palveluunsa ja näyttää heille enää vain virheilmoituksen: ”Accesso disabilitato per gli utenti in Italia”.

Garanten reaktio näyttää ylimitoitetulta, mutta pahinta on, että sen seurauksena ChatGPT voisi sulkeutua myös meiltä suomalaisilta. Koska gdpr on EU:n alueella suoraan sovellettavaa oikeutta, sitä on tulkittava samalla tavalla kaikissa jäsenvaltioissa. Myöhemmin huhtikuun lopussa ChatGPT palasi kuitenkin käyttöön Italiassa, kun OpenAI teki palveluun vaadittuja muutoksia.

Fakta on, ettei ChatGPT ole gdpr-yhteensopiva. Syntilista on pitkä: epäselvä henkilötietojen käsittelyperuste, omia tietoja ei voi vaatia poistettavaksi, henkilötiedot saattavat olla vanhentuneita tai suorastaan valheellisia eikä käyttäjien ikärajaa valvota.

Tekoälyn kielimalli ei ota kantaa käsittelemiensä lauseiden todenperäisyyteen. Lupien kysyminen kaikkiin netistä löytyviin henkilötietoihin olisi mahdotonta. Siksi kielimallien toimintaperiaate on EU:n näkökulmasta kestämätön.

Jos tekoäly imee henkilötiedot, vahinkoa on mahdotonta korjata jälkikäteen.

Tilanne muistuttaa lohkoketjuja, joiden tietoja pitäisi gdpr:n vuoksi pystyä poistamaan. Samalla se tuhoaisi koko lohkoketjujen idean. Kielimalli on tekoälyn lohkoketju.

EU on syystäkin huolissaan it-yritystensä kilpailukyvystä. Nettijätit ovat yhdysvaltalaisia, eikä sama kehitys saisi toistua tekoälyn suhteen. Sääntelyn pitäisi tukea kehittämistä, ei jarruttaa sitä.

Sattumoisin juuri näinä päivinä tulee kuluneeksi viisi vuotta gdpr-ajan alkamisesta. Kritiikistä huolimatta gdpr on ollut eurooppalainen menestystarina, ainakin henkisellä tasolla. Henkilötietojen merkitykseen on havahduttu kaikkialla maailmassa ja tietosuoja-asetusta on kopioitu soveltuvin osin muiden maiden lainsäädäntöön.

Kansalaisen näkökulma on hieman toinen. Tietosuojaa tarvitaan, mutta se on myös johtanut ylilyönteihin. Väärässä osoitekentässä näkyvät vastaanottajien sähköpostiosoitteet ylittävät mediassa uutiskynnyksen, vaikka aiemmin sellaista ei pidetty minään.

Pahinta ovat gdpr:n myötä tulleet evästekyselyt, jotka ovat kääntyneet tarkoitustaan vastaan ja ainoastaan ärsyttävät ihmisiä. Italian tapaus osoittaa, ettei edes tavoite yhtenäisestä laista ja tulkinnasta kaikissa jäsenmaissa ole toteutunut.

Yhdysvalloissa henkilötietoja käytetään puolihuolimattomasti, mikä johtaa tietovuotoihin ja aiheuttaa ylimääräisiä kustannuksia lisääntyneinä tilauspetoksina ja huijauksina.

Toisaalta data on uuden liiketoiminnan polttoainetta. Ilman henkilötietoja ei synny uusia palveluita. Tässä suhteessa gdpr on pettänyt odotukset. Se ei ole synnyttänyt EU-alueelle uusia yrityksiä, joille parempi tietosuoja olisi kilpailuvaltti.

Asiakkaat luottavat edelleen vanhoihin nettijätteihin ja antavat suostumuksen tietojensa käytölle, kun palvelu on riittävän haluttava. Amerikkalainen asenne tehdä ensin ja kysellä lupia vasta jälkikäteen näyttää toimivan. Annetaan kakun ensin kasvaa ja säännellään alaa vasta sitten.

Jenkkien mallissa on riskinsä. Jos tekoäly imee henkilötiedot, vahinkoa on mahdotonta korjata jälkikäteen. Maassa on kuitenkin katsottu, että riski kannattaa ottaa, koska se antaa yrityksille globaalin kilpailuedun.

Yhdysvallat on osoittautunut sitkeäksi ja sopeutuvaksi. Kerta toisensa jälkeen maassa pärjätään huonoilla henkilöllisyystodistuksilla, pätkivällä sähköverkolla, surkeilla vaalijärjestelmillä – ja huonolla tietosuojalla. Varovainen, tekoälyä ja yksityisyyttä sääntelevä EU välttelee ongelmia, mutta tulee monta askelta perässä.

Kielimallit ja gdpr eivät mahdu samaan tietokoneeseen, joten edessä on mielenkiintoinen tilanne. Kumpi joustaa?

Ainakin saamme vastauksen kysymykseen, joka on askarruttanut filosofeja jo antiikin ajoista lähtien: mitä tapahtuu, kun vastustamaton voima kohtaa ylipääsemättömän esteen?

Päivitys klo 9.00 – Kirjoitusta täsmennetty, koska ChatGPT on taas käyttettävissä Italiassa.

LÄHDE: TIVI/Petteri Järvinen 12.05.2023