Tech

OpenAI rikkoi Kanadan tietosuojalakeja ChatGPT:n koulutuksessa

Kanadan yksityisyysvalvojat totesivat OpenAI:n keränneen laajasti henkilötietoja ilman suostumusta ja riittäviä suojatoimia.

Kaisa Mäkinen· Päätoimittaja

keskiviikkona 6. toukokuuta 2026 · 20.303 min

OpenAI rikkoi Kanadan tietosuojalakeja ChatGPT:n koulutuksessa — Kanadan yksityisyysvalvojat totesivat OpenAI:n keränneen laajasti henkilötietoja ilman suostumusta ja riittäviä suojatoiCredit · CBC

FINLAND —

Faktat

OpenAI rikkoi Kanadan tietosuojalakeja ChatGPT:n alkuperäisessä koulutuksessa.
Tutkinta alkoi vuonna 2023 valituksen jälkeen tietojen luvattomasta keräämisestä ja käytöstä.
Valvojat löysivät "useita huolenaiheita" liittyen tietojen keräämiseen ilman suostumusta.
Kerättyyn tietoon saattoi sisältyä arkaluonteisia tietoja, kuten terveydentilaa ja poliittisia näkemyksiä.
OpenAI on suostunut toteuttamaan lisätoimia tietosuojan parantamiseksi.
Kanadan tietosuojakomissaari Philippe Dufresne totesi, että ongelmat on "ehdollisesti ratkaistu".
Brittiläisen Kolumbian tietosuojakomissaari Michael Harvey epäili ChatGPT:n olevan lain mukainen sellaisenaan.

Kanadan tietosuojavaltuutetut löysivät puutteita ChatGPT:n koulutuksessa

Kanadan yksityisyysvalvojat ovat todenneet, että OpenAI rikkoi maan tietosuojalakeja kehittäessään suosittua ChatGPT-tekoälyään. Yhteinen tutkinta, johon osallistuivat liittovaltion sekä Quebecin, Brittiläisen Kolumbian ja Albertan provinssien tietosuojaviranomaiset, paljasti "useita huolenaiheita" liittyen siihen, miten yritys oli alun perin kouluttanut chatbotiaan. Tutkinta käynnistettiin vuonna 2023 valituksen jälkeen, joka koski henkilötietojen laitonta keräämistä, käyttöä ja luovuttamista ilman asianmukaista suostumusta. Viranomaiset totesivat, että OpenAI oli kerännyt valtavia määriä henkilötietoja ilman riittäviä suojatoimia, mikä mahdollisti tietojen käytön mallien kouluttamiseen. Raportin mukaan kerättyyn tietoon saattoi sisältyä arkaluonteisia yksityiskohtia, kuten tietoja yksilöiden terveydentilasta, poliittisista näkemyksistä ja jopa lapsista. Monet käyttäjät eivät olleet tietoisia siitä, että heidän tietojaan kerättiin ja käytettiin ChatGPT:n kouluttamiseen, mikä altisti kanadalaiset mahdollisille riskeille, kuten tietomurroille ja syrjinnälle.

Yritys lanseerasi tuotteen ennen yksityisyysongelmien ratkaisemista

Kanadan tietosuojakomissaari Philippe Dufresne totesi, että OpenAI lanseerasi ChatGPT:n "ilman, että tunnettuja yksityisyysongelmia oli täysin ratkaistu". Hän kritisoi yrityksen "vastuun puutetta" sen suhteen, miksi se julkaisi tuotteen, joka ei noudattanut Kanadan lakeja. Johtajien lausunnot viittaavat siihen, että yritys tunsi painetta julkaista tuote nopeasti. Tutkijat löysivät, että OpenAI oli kerännyt tietoja "liian laajasti" ja ilman läpinäkyvyyttä tai suostumusta. Lisäksi kanadalaisilla ei ollut mahdollisuutta tarkastaa tai poistaa henkilötietojaan. Raportti moitti OpenAI:ta kiireestä tuotteiden markkinoille saattamisessa ilman asianmukaisia yksityisyydensuojatoimia, mikä rikkoi liittovaltion henkilötietojen suojaa koskevaa lakia (PIPEDA). OpenAI on kuitenkin kiistänyt osan löydöksistä ja väittänyt noudattaneensa lakeja "useimmissa suhteissa". Yritys on kuitenkin suostunut toteuttamaan viranomaisten vaatimia lisätoimia huolenaiheiden ratkaisemiseksi ja tulevien tietosuojaloukkausten estämiseksi.

OpenAI sitoutuu parannuksiin ja lisäsuojatoimiin

Tutkinnan seurauksena OpenAI on sitoutunut useisiin toimiin yksityisyydensuojansa parantamiseksi. Näihin kuuluvat muun muassa henkilötietojen säilytyskäytännön määrittäminen ja tietojen poistaminen, sekä uusien ja tulevien ChatGPT-mallien koulutuksessa käytettävän tiedon määrän merkittävä rajoittaminen. Yritys on myös luvannut parantaa läpinäkyvyyttä tiedonkeruun, käytön ja säilytyksen osalta, ja tiedottaa kanadalaisia näistä käytännöistä molemmilla virallisilla kielillä. Lisäksi on otettu käyttöön suodattimia, jotka havaitsevat ja peittävät henkilötietoja, sekä teknisiä työkaluja, jotka estävät ChatGPT:tä paljastamasta tiettyjen julkisuuden henkilöiden yksityisiä tietoja. OpenAI julkaisi keskiviikkona pitkän selityksen siitä, miten kanadalaisten tietoja voidaan käyttää mallien koulutuksessa. Yritys ilmoitti käyttävänsä vain vapaasti ja avoimesti saatavilla olevaa tietoa ja yksityisyyssuodattimia henkilötietojen peittämiseksi tekstistä. Lisäksi he tiedottavat paremmin kirjautumattomia käyttäjiä siitä, että heidän keskustelujaan voidaan käyttää mallien koulutukseen ja kehottavat välttämään arkaluonteisten tietojen jakamista.

Viranomaiset pitävät tilannetta ratkaistuna, mutta huomauttavat lain puutteista

Kanadan tietosuojakomissaari Philippe Dufresne totesi keskiviikkona, että OpenAI:n toteuttamat ja tulevat toimenpiteet "ratkaisevat tutkinnan aikana tunnistetut huolenaiheet". Hän vahvisti myös, että ChatGPT on nykyisellään turvallinen käyttää, ja että raportissa esitetyt ongelmat on "ehdollisesti ratkaistu" edellyttäen OpenAI:n jatkuvaa vaatimustenmukaisuuden seurantaa. Brittiläisen Kolumbian tietosuojakomissaari Michael Harvey oli kuitenkin varovaisempi. Hän ehdotti, että ChatGPT ei "voi olla vaatimustenmukainen" provinssin nykyisen tietosuojalain kanssa, koska laki kieltää yrityksiä nojaamasta "implisiittiseen suostumukseen", jos tietoja ei kerätä suoraan vaan kolmansilta osapuolilta. Harvey kuitenkin myönsi olevansa rohkaistunut OpenAI:n tekemistä parannuksista ja sitoumuksista. Viranomaiset myös peräänkuuluttivat päivitettyä lainsäädäntöä nopeasti kehittyvien tekoälyteknologioiden hallitsemiseksi. He korostivat, että OpenAI:n kaltaisten yritysten on otettava vastuu siitä, että niiden tuotteet noudattavat lakeja jo lanseerausvaiheessa, eikä vasta jälkikäteen.

Tietojenkeruun laajuus ja läpinäkyvyyden puute keskiössä

Tutkinta keskittyi erityisesti siihen, miten OpenAI keräsi eli "skraappasi" julkisesti saatavilla olevaa tietoa internetistä kouluttaakseen aikaisempia GPT-3.5- ja GPT-4-mallejaan. Viranomaisten mukaan tämä tiedonkeruu tapahtui ilman läpinäkyvyyttä ja ilman kanadalaisten suostumusta, joiden tietoja käytettiin. Lisäksi kerätyt tiedot sisälsivät "tosiasiallisia epätarkkuuksia". OpenAI:n johtohenkilöiden lausunnot, joissa he totesivat tunteneensa painetta julkaista tuote nopeasti kilpailun vuoksi, korostivat yrityksen prioriteetteja julkaisuajankohtana. "Tiesimme, että muita oli olemassa, joten lanseerasimme sen", eräs johtaja totesi, viitaten rajalliseen testaukseen ennen julkaisua. Komissaarit totesivat, että oli olemassa toimenpiteitä, joita OpenAI olisi voinut ja nyt onkin toteuttanut, ja joiden olisi pitänyt tapahtua jo ennen tuotteen lanseerausta. He korostivat, että yrityksen tulisi kantaa vastuu ja varmistaa lakien noudattaminen jo kehitysvaiheessa.

Yhteenveto

OpenAI rikkoi Kanadan tietosuojalakeja ChatGPT:n alkuperäisessä koulutusvaiheessa.
Tutkinnassa selvisi, että henkilötietoja kerättiin laajasti ja ilman asianmukaista suostumusta tai suojatoimia.
Kerättyyn tietoon saattoi sisältyä arkaluonteisia tietoja, ja käyttäjät eivät olleet tietoisia tietojensa käytöstä.
OpenAI on suostunut toteuttamaan useita parannuksia ja lisätoimia tietosuojansa vahvistamiseksi.
Kanadan viranomaiset pitävät tilannetta ratkaistuna, mutta kehottavat päivittämään lainsäädäntöä tekoälyn osalta.
Vaikka OpenAI on tehnyt parannuksia, yksi komissaari epäilee ChatGPT:n vaatimustenmukaisuutta nykyisen provinssilainsäädännön kanssa.

Galerie