Конец Genesis, OpenAI на волоске, Google копирует Apple и новые утечки в приложениях. Дайджест AdGuard

В этом выпуске дайджеста AdGuard: ChatGPT грозит первый иск о клевете и очередные проблемы с регуляторами, даркнет-платформа, торгующая украденными учётными данными, прекращает работу, стартапы по избавлению от алкоголизма сливают данные рекламодателям, Google даёт пользователям больше контроля над данными в приложениях.

Италия выдвигает условия для возвращения ChatGPT

Италия предоставила OpenAI, американскому стартапу, стоящему за ChatGPT, список требований, которые он должен выполнить, если хочет, чтобы его популярный чат-бот был разблокирован в стране. ChatGPT стал недоступен в Италии с 31 марта, после того как местный регулятор обвинил его в нарушении закона ЕС о защите данных GDPR.

Среди требований регулятора — разъяснить правовую основу для обработки данных пользователей с целью обучения ИИ-алгоритмов; предоставить пользователям и не-пользователям возможность исправить любую ложную информацию, которую чат-бот распространил о них, или, если это «технически неосуществимо», удалить эти данные. Кроме того, как пользователи, так и не-пользователи должны быть вправе отказаться от обработки своих данных. Наконец, итальянский регулятор потребовал от OpenAI внедрить систему проверки возраста, которая не позволит пользователям младше 13 лет получить доступ к чат-боту. Не только Италия предъявляет претензии OpenAI — европейская организация по защите конфиденциальности создала специальную целевую группу ChatGPT, чтобы помочь странам-членам ЕС согласовать позиции по этому вопросу.

Будет интересно посмотреть, удастся ли OpenAI соответствовать требованиям GDPR, потому что ИИ-инструменты, включая ChatGPT, по своей сути не дружат с конфиденциальностью. Модели, на которых построены ChatGPT и другие ИИ-инструменты, такие как DALLE-E, обучались на больших объёмах данных, собранных со всего интернета без согласия пользователя. Хотя можно исключить свои данные из учебного набора ChatGPT и удалить свой аккаунт, заставить ИИ забыть изученное — сложная задача. Кроме того, нет верного способа узнать, что ваши данные действительно были удалены навсегда. В любом случае, если Италия и OpenAI смогут разобраться в своих проблемах, это может послужить примером для других стран, где действует GDPR.

Эй, ИИ-бот, увидимся в суде! Мэр-разоблачитель утверждает, что ChatGPT опорочил его

Пока же ChatGPT сталкивается со всё новыми юридическими проблемами. Известно, что большие языковые модели могут ошибаться, то есть распространять ложную информацию или даже «придумывать» факты. Именно это, по-видимому, и произошло в случае с мэром одного из городов в Австралии, который может подать первый в истории иск о клевете против OpenAI. По словам чиновника, ChatGPT ложно утверждает, что он отбывал срок за взяточничество, тем самым нанося ущерб его репутации. На самом деле, мэр только рассказал о схеме взяточничества, а его самого никогда не обвиняли в преступлении. Предствители мэра дали OpenAI 28 дней на исправление недостоверной информации перед переходом к судебному разбирательству. Если мэр приведёт в исполнение свою угрозу подать в суд на OpenAI, то потенциально он может потребовать более 200 000 долларов за нанесённый ущерб.

По большому счёту OpenAI снимает с себя ответственность за ответы чат-бота, предупредждая, что он «иногда даёт правдоподобно звучащие, но неправильные или бессмысленные ответы». Трудно сказать, выполнит ли мэр свою угрозу подать в суд на OpenAI, но если да, то мы, конечно, запасёмся попкорном и будем внимательно следить за процессом, потому что это может создать прецедент на будущее.

Каким бы ни был результат, одно можно сказать наверняка: генеративный ИИ становится всё искуснее в создании правдоподобных ответов и всё больше людей используют его на рабочем месте. Возникает закономерный вопрос: кто должен нести ответственность за его ошибки и как остановить распространение ложных сведений?

Стартапы по восстановлению от алкогольной зависимости передают данные пользователей рекламодателям

Едва ли найдётся человек, которому вы доверяете больше, чем своему врачу, и едва ли существует более уязвимое время, чем то, когда вы боретесь с зависимостью. Но 100 тысяч пациентов, чьи личные данные утекли из онлайн-стартапов по восстановлению от алкогольной зависимости Monument и Tempest, теперь подумают дважды, прежде чем доверять свои данные медицинским онлайн-платформам.

В заявлении изданию TechCrunch компания Monument, которая приобрела Tempest в 2022 году, призналась, что она могла передать огромное количество личных и медицинских данных пациентов рекламодателям, включая Facebook, Google, Microsoft и Pinterest. Данные попадали к рекламным гигантам через пиксели отслеживания, которые были встроены в сайт Monument с 2020 года и в сайт Tempest с 2017 года. Компания заявила, что полностью удалила сторонние трекеры только в феврале этого года. Пиксели отслеживания — это фрагменты кода, которые владельцы сайтов могут размещать на своих сайтах для отслеживания действий пользователей; также они помогают рекламодателям измерять эффективность объявлений и таргетировать их. Информация, которая могла быть передана: имена пациентов, даты рождения, адреса электронной почты, номера телефонов, домашние адреса, идентификаторы страховых номеров, а также фотографии, информация о назначенном лечении, выбранных услугах и ответы на опросы.

Разумеется, пациенты не давали согласия на то, чтобы их личные данные и схемы лечения передавались рекламным компаниям. Этот случай, к сожалению, далеко не единичный. В прошлом месяце стало известно, что две платформы онлайн-терапии также передавали личные данные клиентов при помощи пикселя отслеживания. Такая практика использования данных плоха, но, к сожалению, широко распространена. Если вы непременно хотите доверить свои данные поставщикам медицинских услуг в интернете, убедитесь, что вы отдаете их надёжным компаниям. Однако даже это не может быть гарантией.

«Куки-монстры» уничтожили сайт, торговавший крадеными учётными данными

Маркетплейс Genesis, популярная площадка для торговли краденными учётными данными и цифровыми отпечатками пальцев (подробнее о том, что такое цифровой отпечаток пальца), прекратил свою деятельность благодаря совместным усилиям ФБР и представителей правоохранительных органов по всему миру.

Печально известный рынок даркнета, работающий только по приглашениям, был уничтожен в ходе операции «Куки-монстр». В результате операции было арестовано 120 человек, включая предполагаемых пользователей сайта, и проведено 200 обысков по всему миру. Власти сделали упор на пользователей, а не только на администраторов сайта: «Genesis обманчиво обещал новую эру анонимности и безнаказанности, но в итоге предоставил лишь новый способ идентификации, поиска и ареста онлайн-преступников». С момента появления в 2018 году и до своего бесславного конца рынок предлагал доступ к примерно 80 миллионам украденных учётных данных, таких как имена пользователей и пароли. Отпечатки пальцев устройств, также предлагаемые на сайте, позволяли преступникам обходить средства защиты от мошенничества.

Расправа над Genesis — хорошая новость, но едва ли мы увидели последнюю версию этого сайта. И его исчезновение отнюдь не означает конец кражи личных данных в интернете. Проблема в том, что многие люди добровольно разглашают свою конфиденциальную информацию, делясь ею в соцсетях или передавая её недобросовестным третьим лицам.

Удалить аккаунт в любом приложении на Android станет проще

Google обязал разработчиков приложений в Play Store облегчить пользователям процесс удаление их учётных записей и связанных с ними данных. Пользователи получат возможность сделать это как внутри приложения, так и в сети. Google утверждает, что нововведние даст пользователям больше контроля над их данными в приложениях.

После введения этого правила пользователям не придётся снова загружать приложение, чтобы удалить свой аккаунт — они смогут сделать это по веб-ссылке. При удалении аккаунта в приложении, разработчики также должны будут удалить все данные, связанные с этим аккаунтом, если у них нет «законных оснований» для их сохранения. Они также должны будут пояснить, что это за «законные основания», например, предотвращение мошенничества. У разработчиков есть время до 7 декабря этого года, чтобы предоставить больше информации о своих методах удаления данных, а пользователи могут увидеть изменения в следующем году. Правило, которое вводит Google, аналогично тому, которое App Store ввёл в 2021 году. Apple потребовал, чтобы приложения, позволяющие создавать аккаунты, также позволяли пользователям удалять их, правда, только в самом приложении.

Всегда приятно, когда крупные технологические компании, такие как Google, возвращают пользователям право распоряжаться своими личными данными, и жаль только, что это не произошло раньше. Но при этом стоит отметить, что если нет способа проверить, что данные действительно были удалены, недобросовестные поставщики приложений могут продолжать хранить их.