📣 Lähetä tiedotteenne meille
Sivusto päivittyy 15 minuutin välein
Ammatilliset palvelut

HHamburgin tietosuojavaltuutettu linjaa tekoälyn ja kielimallien käyttöä

Hamburgin tietosuojavaltuutettu on julkaissut keskustelupaperin, joka käsittelee suurten kielimallien (LLM) käyttöä ja sen yhteensopivuutta EU:n tietosuoja-asetuksen (GDPR) kanssa. Paperi linjaa, että LLM-mallit eivät itsessään sisällä henkilötietoja.

12. heinäkuuta 2026
HHamburgin tietosuojavaltuutettu linjaa tekoälyn ja kielimallien käyttöä

Hamburgin tietosuojavaltuutettu (HmbBfDI) on julkaissut linjauksia tekoälyn (AI) ja suurten kielimallien (LLM), kuten ChatGPT:n, käytöstä. Uudessa keskustelupaperissa arvioidaan, miten näiden teknologioiden hyödyntäminen on sopusoinnussa Euroopan unionin yleisen tietosuoja-asetuksen (GDPR) kanssa.

Hamburgin tietosuojaviranomaisen mukaan LLM-mallit ovat osa laajempaa tekoälyjärjestelmää, joka käsittelee käyttäjien syötteitä ja tuottaa vastauksia datan todennäköisyysmallien perusteella. Vaikka LLM-mallit koulutetaan valtavilla datamäärillä, jotka voivat sisältää henkilötietoja, viranomaisen näkemyksen mukaan tämä koulutusprosessi abstrahoi tiedon siten, että suoraa yhteyttä yksittäisiin henkilöihin ei enää ole. Malli oppii yleisiä kuvioita ja yhteyksiä, ei tunnistettavia yksityiskohtia henkilöistä. Siksi nämä mallit eivät itsessään sisällä henkilötietoja, eikä GDPR-oikeuksia voi niihin vedoten vaatia.

Hamburgin tietosuojavaltuutetun arvio kattaa myös "yksityisyyshyökkäykset" (privacy attacks), joissa pyritään kaivamaan esiin mallien koulutusdataa. Viranomainen toteaa, että tällaisten hyökkäysten onnistuminen vaatisi yleensä kohtuutonta teknistä ja ajallista panostusta, minkä vuoksi ne eivät useimmiten täytä kriteereitä henkilötietojen paljastamiseksi Euroopan unionin tuomioistuimen oikeuskäytännön mukaisesti. Tällaiset toimet ovat tällä hetkellä lähinnä tieteellisen tutkimuksen ja mallien kehittämisen rajamailla.

Käytännössä tämä tarkoittaa, että yritysten ei tarvitse huolestua siitä, että LLM-mallien käyttö itsessään rikkoisi GDPR:ää, vaikka mallia olisi koulutettu laittomasti kerätyllä datalla. Yrityksen vastuu syntyy siinä tapauksessa, että se itse käyttää tai kouluttaa malleja henkilötiedoilla ilman asianmukaista oikeusperustetta tai jos se ei varmista esimerkiksi kolmannen osapuolen mallien tarjoajien tietosuojakäytäntöjä ja vastuunjakoa.

Alkuperäinen lähde: dhpg.de