Trénování AI modelů z pohledu GDPR
Trénování velkých jazykových modelů (LLM) jako GPT-4, Claude nebo Llama na rozsáhlých datasetech scraped z internetu představuje jednu z nejkomplexnějších výzev v oblasti ochrany osobních údajů. Tato data nevyhnutelně obsahují osobní údaje milionů osob, které o tomto zpracování nebyly informovány a nedaly k němu souhlas.
Právní základ pro zpracování trénovacích dat
Poskytovatelé AI modelů typicky argumentují oprávněným zájmem (článek 6 odst. 1 písm. f) GDPR) jako právním základem pro zpracování osobních údajů při trénování. Tato argumentace je však sporná a dozorové úřady k ní přistupují s rostoucí skepsí.
Italský dozorový úřad Garante dočasně zakázal ChatGPT právě kvůli pochybnostem o právním základu zpracování. Následné vyšetřování vedlo k uložení povinnosti implementovat mechanismy pro výkon práv subjektů údajů.
- Test proporcionality — oprávněný zájem vyžaduje vyvážení zájmů správce s právy a svobodami dotčených osob. Při masovém zpracování dat z internetu je obtížné toto vyvážení prokázat.
- Rozumná očekávání — lze argumentovat, že uživatelé internetu mohli rozumně očekávat, že jejich veřejně dostupné příspěvky budou použity k trénování AI? Většina právních odborníků se shoduje, že nikoli.
- Zvláštní kategorie údajů — trénovací data nevyhnutelně obsahují i citlivé údaje (zdravotní stav, politické názory, sexuální orientace), pro které oprávněný zájem jako právní základ nestačí.
Výkon práv subjektů údajů
GDPR zaručuje subjektům údajů řadu práv, jejichž výkon je v kontextu AI modelů technicky náročný:
Právo na přístup — jak zjistit, jaké konkrétní osobní údaje jsou „zakódovány" v parametrech neuronové sítě? Právo na výmaz — je technicky možné „smazat" konkrétní osobní údaje z natrénovaného modelu bez jeho kompletního přetrénování? Právo na opravu — jak opravit nepřesné údaje, které model může generovat o konkrétních osobách?
Techniky jako machine unlearning nebo RLHF (Reinforcement Learning from Human Feedback) nabízejí částečná řešení, ale jejich účinnost je předmětem debat.
AI Act a trénovací data
AI Act přináší dodatečné požadavky na poskytovatele modelů obecného účelu (GPAI). Od srpna 2025 musí poskytovatelé GPAI modelů mimo jiné zpracovat a zveřejnit dostatečně podrobný přehled obsahu použitého pro trénování, včetně respektování výhrad autorských práv (opt-out mechanismus).
Doporučení pro firmy vyvíjející AI
- Pečlivě dokumentujte zdroje trénovacích dat a proveďte analýzu výskytu osobních údajů.
- Implementujte techniky anonymizace a filtrování osobních údajů z trénovacích datasetů.
- Zvažte využití syntetických dat jako alternativy k reálným osobním údajům.
- Připravte mechanismy pro výkon práv subjektů údajů včetně práva na výmaz.
Oblast trénování AI modelů a GDPR je dynamicky se vyvíjející a firmy musí sledovat aktuální vývoj judikatury a stanovisek dozorových úřadů.
GDPR24 tým
Specialisté na ochranu osobních údajů