A Replika chatbot „virtuális társat” hoz létre, akit a felhasználó barátként, terapeutaként, partnerként vagy mentorként konfigurálhat, és írásbeli vagy hangalapú felületen keresztül kommunikálhat vele. A chatbot ennek nyomán képes például nyomon követni a felhasználó hangulatát és javítani rajta, segít továbbá a felhasználónak megküzdési stratégiákat elsajátítani (pl. stresszkezelés), csillapítani szorongását, és célokat kitűzni számára (pl. pozitív gondolkodás, szocializáció, szerelem).
Az adatvédelmi hatóság GDPR szerinti megállapításai és elvárásai hasznos iránymutatásként szolgálhatnak minden, mesterséges intelligencia segítségével működő chatbotot fejlesztő vagy használó szervezet és társaság számára.
Milyen jogszerűtlen gyakorlatokat azonosított a hatóság az MI-alapú chatbottal kapcsolatban?
1. Az adatvédelmi hatásvizsgálaton nem szerepelt dátum– így az adatkezelő nem tudta igazolni, hogy azt már a chatbot bevezetése előtt elkészítette volna.
2. Az adatkezelési tájékoztató nem volt megfelelő– így különösen, nem tartalmazta az alábbiakat:
- a chatbot működése során kezelt adatok felsorolását,
- az adatok megőrzésének időtartamát vagy az annak meghatározására szolgáló feltételeket,
- sor kerül-e személyes adatok továbbítására az EGT-n kívülre, és ha igen, milyen, GDPR szerinti jogalap és milyen garanciák alapján, valamint
- az egyes adatkezelési műveletekhez kapcsolódó jogalapok pontos megjelölését.
A hatóság azt is aggályosnak tartotta, hogy a tájékoztatóban ugyan szerepelt utalás a „szerződés teljesítése” (GDPR 6. cikk (1) b) pont) és az „érintetti hozzájárulása” (GDPR 6. cikk (1) a) pont) jogalapokra, valamint egy általános „jogszabályi felhatalmazásra” az adatkezeléssel kapcsolatban, de az adatkezelő ezeket nem társította konkrét adatkezelési műveletekhez.
Ezen túlmenően, bár a chatbot automatizált eljárásokkal működik, a gyakorlatban a GDPR 22. cikk szerinti (jelentős) döntéshozatalra nem került sor, így a hatóság szerint a tájékoztatóban az erre történő általános utalás félrevezethette a felhasználókat.
Végül, a hatóság azt is aggályosnak tartotta, hogy az adatkezelési tájékoztató kizárólag angol nyelven volt elérhető – helyi nyelven (olaszul) nem.
- A chatbot fejlesztésével és működtetésével kapcsolatos két külön adatkezelési cél nem különült el: a „chatbot interakció” és a nagy nyelvi modell (LLM) fejlesztéséhez szükséges „modellfejlesztés”. A „modellfejlesztéssel” kapcsolatos adatkezelés jogalapjaként az adatkezelő a „jogos érdeket” (GDPR 6. cikk (1) f) pont) jelölte meg, de az adatkezelő nem készített megfelelő „érdekmérlegelési tesztet”.
- Nem állt rendelkezésre a felhasználók életkorát ellenőrző szűrőmechanizmus. A hatóság ezzel kapcsolatban kiemelte: az, hogy az EU-ban jelenleg nincs egységes, 100%-osan hatékony életkor-ellenőrzési szabvány és a kérdés még uniós szinten is vita tárgyát képezi, nem mentesíti az adatkezelőt az életkor-ellenőrzési kötelezettség bevezetése alól, különösen, ha az egy szolgáltatás igénybevételéhez kapcsolódó cselekvőképesség vizsgálatához szükséges. Az adatkezelő ennek nyomán vállalta életkor-ellenőrző mechanizmus (ún. „age gate”) bevezetését, valamint a chatbot megfelelő korhatár-besorolását a vonatkozó alkalmazás áruházakban. Az adatkezelő 24 órás várakozási időszak (ún. „cooling-off period”) bevezetését is vállalta – annak megakadályozására, hogy kiskorúak ismételten megpróbálják elérni a chatbotot más születési dátum megadásával. (A lehetséges technikai megoldás erre pl. a kiskorú felhasználói fiók hitelesítő adatainak felismerése, vagy olyan cookie alkalmazása, amely megakadályozza, hogy ugyanarról a böngészőről a felhasználó más születési dátumot adjon meg.)
- A chatbot által előállított kimenetek olyan tartalmakat javasolhatnak, amelyek ellentétesek a kiskorúakat és a sérülékenyebb személyeket megillető védelemmel. Az adatkezelő ezzel kapcsolatban olyan specifikus funkciók bevezetését vállalta, amelyek lehetővé teszik a felhasználók számára, hogy valós időben jelezzék a káros tartalmakat vagy beszélgetéseket, és ezzel megakadályozzák, hogy a chatbot újból előállítson ilyen kimeneteket.
Mik a tanulságok az MI-alapú chatbotok fejlesztői és üzemeltetői számára?
A Replika chatbottal kapcsolatos adatvédelmi hatósági megállapításokra figyelemmel fontos tehát, hogy az MI-alapú chatbotok fejlesztése és üzemeltetése során az érintett szervezetek, illetve társaságok biztosítsák az alábbi, a GDPR alapján kötelező intézkedéseket:
- Az adatvédelmi hatásvizsgálat és a jogos érdek teszt megfelelő elvégzése. (GDPR 6. és 35. cikkei)
- A kötelező belső adatkezelési nyilvántartás hatályosítása. (GDPR 30. cikk)
- Az adatkezelési tájékoztató átlátható megszövegezése. (GDPR 13 és 14. cikkei)
- Életkor-ellenőrzés, és a regisztráció során kezelt adatok körének minimalizálása – ide tartozik elsősorban: név, e-mail-cím, az életkor ellenőrzésére szolgáló születési dátum, valamint esetleges harmadik fél által biztosított bejelentkezési adatok. (GDPR 5. cikk)
- Megfelelő adathozzáférési, adatmegőrzési és adattörlési eljárások, valamint további specifikus adatbiztonsági intézkedések alkalmazása (pl. titkosítás, hozzáférés-szabályozás, sérülékenység-kezelés, a munkatársak képzése és szankciók a kötelezettségszegések esetére). (GDPR 32. cikk)
- A felhasználói beszélgetések harmadik féllel való megosztásának szabályozása. (GDPR 28. cikk)
- Annak biztosítása, hogy a felhasználók egyszerű és hatékony módon gyakorolhassák személyes adataik védelméhez fűződő jogaikat, beleértve az adatkezelés elleni tiltakozás jogát, valamint az adatokhoz való hozzáférés, a helyesbítés és az adattörlés kérésének lehetőségét. (GDPR III. fejezet)