Notkun gervigreindarþjónusta eins og ChatGPT verður sífellt algengari. Þegar gervigreindarþjónusta er notuð þarf að leiða hugann að því hvaða upplýsingum er deilt og hverjir geta haft aðgang að þeim.

Persónuupplýsingar eru verðmætar og þær á að vernda. Meginábyrgðin á vernd persónuupplýsinga hvílir á þeim sem vinna með persónuupplýsingarnar, en ekki á notandanum, en samt eru nokkur atriði sem er vert að hafa í huga.

Hugsaðu um það sem þú deilir

Þegar skrifast er á við spjallmenni getur virst eins og um sé að ræða einkasamtal í lokuðu herbergi. Í raun geta upplýsingarnar sem er deilt verið notaðar af öðrum.

Notandinn ætti ekki að deila upplýsingum um sig eða aðra sem hann eða þeir vilja ekki að gervigreindin eða fyrirtækið á bak við þjónustuna geti notað. Í sumum gervigreindarþjónustum geta samskipti milli notenda og netþjóna fyrirtækisins verið ódulkóðuð, sem þýðir að hætta er á að aðrir geti komist yfir upplýsingarnar. Þá er gjarnan áskilinn réttur fyrirtækisins á bak við þjónustuna til að lesa samskiptin, undir því yfirskini að það sé til að bæta gæði þjónustunnar.

Einnig þarf að hafa í huga að gervigreindarþjónustan kann að vera rekin utan Evrópska efnahagssvæðisins (EES) og að persónuupplýsingar sem slegnar eru inn geti verið fluttar, geymdar eða unnar í ríkjum þar sem evrópskar persónuverndarreglur gilda ekki með sama hætti og innan EES. Í slíkum tilvikum geta önnur lög og verndarúrræði átt við og möguleikar einstaklinga til að hafa áhrif á leita réttar síns eða fylgjast með meðferð upplýsinga sinna verið takmarkaðri en þeir eiga að venjast innan EES.

Áður en persónuupplýsingum er deilt með gervigreindarþjónustu er því mikilvægt að velta fyrir sér hvort maður væri sáttur við að upplýsingarnar kynnu að verða vistaðar eða unnar utan EES. Ef svarið er nei er almennt ráðlegt að sleppa því að deila þeim upplýsingum.

Vertu meðvitaður/meðvituð um áhættuna

Mikilvægt er að velta fyrir sér hvaða áhætta gæti skapast ef einhver annar fær aðgang að þeim upplýsingum sem eru settar inn í gervigreindarþjónustuna. Ekki ætti að deila viðkvæmum upplýsingum þar sem ekki er víst að þær séu verndaðar. Til dæmis kennitölum, heimilisföngum, lykilorðum, kortaupplýsingum eða öðrum einkamálum.

Notandi spjallmennis ætti að spyrja sig hvort hann hefði birt upplýsingarnar opinberlega á internetinu og hvort honum sé sama þó að hver sem er geti lesið upplýsingarnar? Ef svarið er nei ætt ekki að deila þeim með gervigreind.

Erfitt að eyða gögnum sem eru notuð til að þjálfa gervigreind

Upplýsingarnar sem þú deilir geta verið notaðar til að þjálfa og þróa gervigreindarlíkanið sem þjónustan byggir á. Þörfin á að þjálfa spjallmenni og önnur gervigreindarlíkön á notendagögnum er oft skýrð með því að það skapi betri notendaupplifun og stuðli að þróun nýrrar þjónustu.

Þegar persónuupplýsingar eru notaðar til að þjálfa gervigreindarlíkan verður erfiðara að hafa stjórn á því hvernig persónuupplýsingarnar eru síðan notaðar. Gögn sem hafa verið notuð einu sinni til að þjálfa og þróa gervigreindarlíkan er yfirleitt ekki hægt að fjarlægja úr þjálfaða líkaninu eftir á.

Gervigreind safnar meiru en bara því sem þú skrifar inn

Það eru ekki bara kvaðningarnar, svokölluð prompts, sem eru sendar til fyrirtækisins á bak við þjónustuna. Það er mismunandi eftir gervigreindarþjónustum hvað er sent, en það getur meðal annars falið í sér:

• netfang

• IP-tölu

• tegund vafra

• tegund tækis sem þú notar (síma eða tölvu)

• stýrikerfi

• staðsetningargögn

Jafnvel þótt notuð sé gervigreindarþjónusta án notandaaðgangs er hætta á að samt sé hægt að bera kennsl á notandann með því einstaka „fingrafari“ sem er skilið eftir – t.d. með upplýsingum um hvaða vafra og stýrikerfi er notað, skjáupplausn, leturgerðir, vafrahegðun (e. browsing behavior) og fleira.

Þú ættir að geta ákveðið hvað má gera með gögnin

Þegar átt er í samskiptum við gervigreindarþjónustu eru persónuupplýsingar eða aðrar upplýsingar oft unnar. Notandinn ætti að geta ákveðið sjálf/ur hvernig upplýsingunum er deilt með öðrum.

Notandinn ætti að geta valið hvort heimilt sé að deila upplýsingunum áfram eða ekki. Í þjónustum þar sem ætlast er til að notandinn deili upplýsingunum án þess að fá skýra beiðni um það, þarf hann að geta valið með virkum hætti að taka ekki þátt — svokallað opt out.

Ef notandinn dregur til baka áður gefið samþykki fyrir miðlun ætti að vera hægt að láta eyða persónuupplýsingunum. Þetta ræðst af réttindum samkvæmt almennu persónuverndarreglugerðinni.

Þá er ekki alltaf hægt að eyða persónuupplýsingum sem á annað borð eru komnar inn í gervigreindarþjónustur.