Hoe aansprakelijk wordt OpenAI voor de zakelijke versie van ChatGPT?

OpenAI werkt aan een zakelijke, betaalde versie van zijn chatbot ChatGPT. Dat meldde Tweakers onlangs. Momenteel is de chatbot gratis maar niet voor bedrijfsdoeleinden inzetbaar (wat natuurlijk geen hond tegenhoudt om er zakelijk gebruik van te maken). Het onderscheid zal vooral zitten in beschikbaarheid, snelheid en meer berichten per minuut. Het riep wel vele vragen op, die in de comments mooi samengevat werden als “Hoe wordt er in de professionele variant rekening gehouden met data die proprietary is of waar, op zijn minst, een copyright op berust?”

Het GPT-3 taalmodel waar de chatbot mee werkt, is getraind op vele miljarden tekstvoorbeelden. Het doel is leren wat het meest logische volgende woord is – kort gezegd – op basis van een prompt en de reeds gegeven woorden. Dat is met genoeg voorbeelden prima mogelijk, zeker op het niveau van chats waarbij je een vraag moet beantwoorden. ChatGPT produceert dan ook verbluffend goede resultaten, hoewel er ook volkomen waanzinnige reacties tussen zitten die met de grootste overtuiging worden gebracht.

Die tekstvoorbeelden komen natuurlijk van internet, ‘gewoon’ met een crawler die heel internet downloadt en daar machine-leesbare chocola van maakt. De makers leggen uit dat ze meer dan een biljoen (Amerikaans trillion, 1012) woorden hebben verwerkt. Dat kan niet anders dan zonder toestemming, maar iedereen stelt dat dit onder fair use te rechtvaardigen is en weet bovendien dat het ontzettend moeilijk is aan te tonen dat specifiek iemands werk opgenomen is in de dataset, plus dat een rechtszaak om dít punt uit te vechten veel te duur is voor iedere individuele rechthebbende. Uitgesloten is het niet – zie de rechtszaak over CoPilot, waarbij software-eigenaren wel degelijk zagen hoe deze AI-tool herkenbare fragmenten uit hun werk reproduceerde als “AI-generated”.

In de VS zou er misschien nog een lichtpuntje zijn wanneer je aannemelijk kunt maken dat jouw werk is gebruikt, omdat je dan via de zogeheten discovery procedure inzage kunt krijgen in documentatie rondom de bronbestanden. Dan heb je in ieder geval het feitelijke bewijs dat jouw werk is gebruikt. Vervolgens zit je nog met het juridische punt of het inbreuk is om een AI te trainen op jouw data, of dat het pas inbreuk is als de AI jouw werk reproduceert (dat laatste lijkt me evident).

In het auteursrecht geldt nu eenmaal de regel dat het bronwerk herkenbaar terug moet komen in het beweerdelijk inbreukmakende werk. Als ik iemands artikel lees en me laat inspireren tot een hoofdstuk in een boek, dan schend ik geen auteursrechten, hooguit pleeg ik academisch plagiaat. Maar als ik het artikel min of meer naschrijf, dan komt het auteursrecht wel om de hoek kijken. De academische grap is dan ook: één bron gebruiken is plagiaat, honderd bronnen gebruiken is onderzoek. En laat AI nou dus heel duidelijk die laatste kant op gaan: als honderd bronnen gebruiken mag, dan zal varen op honderd miljoen bronnen toch zeker ook wel mogen.

Het nieuwe aan de discussie is vooral dat we nu een betaalde dienst krijgen met een SLA. Afnemers daarvan zullen meer garanties gaan eisen, waaronder dus met name een vrijwaring (indemnification) tegen claims van derden. Want als ik als rechthebbende lees dat er ergens een adviesbureau komt dat een juridische chatbot heeft, dan ga ik die natuurlijk aanklagen en niet OpenAI uit San Francisco. Want ik durf de stelling wel aan dat mijn blog ergens in die dataset zit. Dat bureau heeft dan een probleem, want die is zelfstandig aansprakelijk. Dus dan moeten ze OpenAI zo ver krijgen de verdediging te gaan voeren, en dan wordt het een groot verhaal waar best wat nuttige puntjes uit te slepen zijn.

Arnoud

Wordt de directie persoonlijk aansprakelijk voor IT-fouten onder de NIS2-richtlijn?

| AE 13781 | Ondernemingsvrijheid, Security | 6 reacties

De NIS2-richtlijn lijkt nog ver weg, maar omdat de gevolgen groot kunnen zijn, moeten bedrijven niet te lang wachten met actie. Dat las ik bij Dutch IT Channel.  “Heel belangrijk detail is dat de directie van bedrijven persoonlijk aansprakelijk wordt voor het conformeren aan deze wetgeving”, zo werd uitgelegd tijdens een bijeenkomst van de Dutch Cybersecurity Assembly. Oh wacht even, heb ik iets gemist?

NIS-2 is de tweede versie van de Europese Network and Information Systems-richtlijn, die voor het eerst in 2016 uitkwam. Bij Computable leggen ze uit waar het om gaat:

[De] kern bestaat uit twee elementen: de zorgplicht en de meldplicht. De zorgplicht verplicht organisaties om de hele infrastructuur op orde te brengen. Zo wordt het verplicht om de faciliteiten te hebben om te monitoren wat er gebeurt op het netwerk. De meldplicht wil dat organisaties melding moeten maken wanneer ze te maken krijgen met een cyberincident. Voor alle organisaties die gezien worden als leverancier van ‘essentiële diensten’ is er dus (veel) werk aan de winkel.
En de ophef is groot, want waar de eerste NIS-richtlijn alleen enkele specifieke sectoren betrof, is de reikwijdte nu zo groot dat ook bijvoorbeeld managed hostingbedrijven eronder gaan vallen. Computable noemt een aantal van zesduizend bedrijven dat binnenkort met deze regels te maken krijgt.

Nou is dat niet de eerste keer – ik noem de AVG – maar er lijkt nu extra veel herrie te komen, wat mogelijk komt door die angst voor persoonlijke aansprakelijkheid. Bij de AVG viel dat wel mee, daar kun je als directeur alleen persoonlijk een claim krijgen als je niet-naleving zo ernstig is dat we van wanbestuur kunnen spreken.

Bij de NIS2-richtlijn is er meer. Het governance-artikel (20) bepaalt namelijk in lid 1:

De lidstaten zorgen ervoor dat de bestuursorganen van essentiële en belangrijke entiteiten de door deze entiteiten genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren om te voldoen aan artikel 21, toezien op de uitvoering ervan en aansprakelijk kunnen worden gesteld voor inbreuken door de entiteiten op dat artikel.
Dus bestuursorganen van de entiteiten die onder de richtlijnen vallen, moeten zorgen dat ze toezicht houden op de uitvoering en de wetgever moet zorgen dat ze aansprakelijk gesteld kunnen worden als ze artikel 21 schenden. Artikel 21 is dan het artikel met de algemene beveiligingseisen. Maar wat is een “bestuursorgaan”? De NIS-richtlijn definieert het niet, en het begrip is duidelijk niet bedoeld als het bestuursrechtelijke begrip ‘bestuursorgaan’. Vermoedelijk zocht men een generieke term voor zaken zoals een holding, of de bestuursafdeling.

Maar het gaat verder, in artikel 29 staat letterlijk (lid 6):

De lidstaten zorgen ervoor dat elke natuurlijke persoon die verantwoordelijk is voor of optreedt als wettelijke vertegenwoordiger van een essentiële entiteit op basis van de bevoegdheid om deze te vertegenwoordigen, de bevoegdheid om namens deze entiteit beslissingen te nemen of de bevoegdheid om controle uit te oefenen op deze entiteit, de bevoegdheid heeft om ervoor te zorgen dat deze entiteit deze richtlijn nakomt. De lidstaten zorgen ervoor dat dergelijke natuurlijke personen aansprakelijk kunnen worden gesteld voor het niet nakomen van hun verplichtingen om te zorgen voor de naleving van deze richtlijn.
Kort gezegd: iedere bestuurder van een bedrijf moet wettelijk bevoegd zijn om security-maatregelen te nemen, zodat directeur A dat niet klein kan houden “vanwege de kosten” terwijl directeur B graag breed wil uitpakken. Maar ook zijn deze personen dus zélf aansprakelijk voor het niet-nakomen.

Dat wil natuurlijk niet zeggen dat iedereen ter wereld maar even geld mag komen eisen bij de directeur privé zodra een bedrijf een of andere maatregel niet is nagekomen. De crux zit hem erin dat de beveiligingseis een open norm is: je moet adequaat beveiligen, en pas als je dus écht onder maat bent gebleven, is er mogelijk een aansprakelijkheidsdiscussie te voeren. En dan moet er ook nog eens geldelijk schade geleden zijn die aan die directeur te verwijten is.

Arnoud

 

ING mag tarief voor wekelijkse papieren afschriften verhogen naar vier euro

| AE 13778 | Ondernemingsvrijheid | 18 reacties

ING mag het tarief voor wekelijkse papieren afschriften verhogen naar vier euro per maand, las ik bij Security.nl. Financiële klachteninstituut Kifid deed deze bindende uitspraak in een zaak tegen de ING-bank, die vorig jaar de kosten voor het gebruik van wekelijkse papieren afschriften verhoogde van 2,50 naar 4 euro per maand. De verhoging is volgens de bank zeer zeker geen ontmoedigingsbeleid.

De klagende consument houdt haar financiën zorgvuldig bij, maar doet dat al sinds jaar en dag op papier. Zij wil daarbij wekelijks een overzicht ontvangen, en zij heeft de middelen niet om van internetbankieren gebruik te maken. Voor papieren afschriften rekenen alle banken kosten (soms maakt men uitzonderingen), en dat is op zich te billijken gezien het een duurder kanaal is. Alleen is dan wel gek dat als je een maandelijks overzicht op papier vraagt, je dat gratis krijgt.

De consument noemt het een ontmoedigingsbeleid, door het steeds duurder maken van de papieren route zal iedereen vanzelf naar digitaal gaan (of overstappen van bank). Dat zou natuurlijk wel zeer onbillijk zijn.

Het Kifid gaat er zeer juridisch-zakelijk in; men opent met dat de algemene voorwaarden de bevoegdheid geven tot tariefswijziging. Men leest dit als een blanco cheque, slechts wanneer het naar redelijkheid en billijkheid onaanvaardbaar zou zijn (art. 6:248 BW) kan een tariefswijziging tegengehouden worden. Dus “alleen maar” heel onredelijk is niet genoeg, het moet echt schandalig onredelijk zijn.

De bank ontkent dat sprake is van ontmoedigingsbeleid, en wijst erop dat je gratis maandelijkse afschriften kunt krijgen, zodat een tarief voor wekelijkse afschriften niet onredelijk zou zijn. En het Kifid gaat daarin mee:

De commissie heeft begrip voor de situatie van de consument, maar is tegelijkertijd van oordeel dat hetgeen de consument naar voren gebracht heeft en de overige omstandigheden van het geval (de hoogte van de tarieven en de redenen voor verhoging vanuit de bank) er niet toe leiden dat de kostenverhoging naar maatstaven van redelijkheid en billijkheid onaanvaardbaar is.
Die redenen komen volgens mij niet verder dan dit:
[De bank] vindt het van belang dat klanten op een nietdigitale manier kunnen blijven bankieren, maar omdat die vorm van bankieren weinig gebruikt wordt, wordt dat duur in verhouding tot digitaal bankieren. Daarbij geldt dat de kosten niet alleen gemaakt worden voor het papier zelf, maar ook voor daarvoor benodigde faciliteiten als personeel, gebouwen en met name de verzendkosten.
Kennelijk werken er dus fulltimers bij ING die papieren afschriften verzorgen vanuit aparte daartoe gehuurde gebouwen, en kan ING geen bulktarief onderhandelen met PostNL. (Het is te flauw om op te merken dat de directeur van ING 1,7 miljoen per jaar verdient en het bedrijf aandeelhouders 1,5 miljard aan winst kon uitkeren in 2022).

Arnoud

 

 

Is het toegestaan iemands stem na te doen met een AI zoals Vall-E?

| AE 13776 | Intellectuele rechten, Privacy | 27 reacties

Een lezer vroeg me: Recent presenteerde Microsoft een nieuw AI-model, genaamd Vall-E. Dit text-to-speechmodel kan gesproken zinnen in vrijwel ieder stemgeluid genereren na een sample van drie seconden gehoord te hebben. Het AI-model kan daarbij ook intonatie en emotie nabootsen. Is dat strafbaar, als ik het train op iemands stem en die dan van alles… Lees verder

Word specialist ICT-recht met de ICTRecht Academy

| AE 13772 | Informatiemaatschappij | Er zijn nog geen reacties

In uw werk als jurist heeft u dagelijks te maken met nieuwe vragen over technologie, AI en security. U zoekt de kennis en skills om daarmee om te gaan, of u wilt meer diepgang en leren fundamentele vragen en aannames ter discussie te stellen. Als enige in Nederland heeft mijn ICTRecht Academy daarvoor een eenjarige opleiding… Lees verder

Amazon mogelijk aansprakelijk voor nepproducten van verkopers

| AE 13766 | Intellectuele rechten, Ondernemingsvrijheid | 19 reacties

Amazon kan aansprakelijk zijn als anderen namaakproducten verkopen op zijn platform, las ik bij RTL Nieuws. Het Europese Hof van Justitie oordeelde namelijk op 22 december dat de alleswebwinkel zich niet kan beroepen op de juridische bescherming voor tussenpersonen. Amazon doet te weinig om duidelijk te maken wanneer ze zelf iets verkoopt en wanneer een… Lees verder

Waarom vragen Wifi hotspots nog zo vaak om akkoord op vage disclaimers?

| AE 13763 | Ondernemingsvrijheid | 3 reacties

Een lezer vroeg me: Zou je eens kunnen uitleggen of uitzoeken waarom zoveel WiFi hotspots een soort van bevestiging, of login vragen? Met daarbij een pagina met allerlei disclaimers of voorwaarden. Wat een leuke vraag om het nieuwe jaar mee te beginnen, disclaimers én juridisch cargoculten. Mijn inschatting is dat iedereen het doet omdat iedereen… Lees verder

Valt een datacentrum in de ruimte onder de AVG?

| AE 13760 | Informatiemaatschappij | 29 reacties

Waarom een datacenter in de ruimte een interessant idee is, kopte AG Connect onlangs. Koeling is iets minder een issue, energietoevoer gaat ook wel goed maar kosmische straling is iets meer een dingetje en even een monteur langs sturen om de server te powercyclen is geen optie. Maar dat zijn engineering problems my friends dus daar… Lees verder