AI में गोपनीयता एक समस्या नहीं है — यह आपस में जुड़ी समस्याओं का एक ढेर है जो एक मॉडल के पूरे जीवनचक्र और हर उस चीज़ को फैलाता है जो इसे छूती है। प्रशिक्षण डेटा में बिना सहमति के web से scrape की गई व्यक्तिगत जानकारी हो सकती है। मॉडल स्वयं उस जानकारी को शब्दशः याद रख सकता है और पुन: उत्पन्न कर सकता है। Inference logs कैप्चर करते हैं कि उपयोगकर्ता क्या पूछते हैं, जो अक्सर उनके बारे में उनकी कल्पना से कहीं अधिक प्रकट करता है। और कई AI प्रदाताओं के व्यावसायिक मॉडल आपकी interactions का उपयोग करके अपने सिस्टम में सुधार पर निर्भर करते हैं, जिसका अर्थ है कि आपका डेटा अगले प्रशिक्षण रन में प्रवाहित होता है जब तक कि आप स्पष्ट रूप से opt out नहीं करते (और कभी-कभी तब भी)। यह समझने के लिए कि गोपनीयता कहाँ टूटती है, हर परत को अलग-अलग देखने की आवश्यकता है।
बड़े भाषा मॉडलों को open web से scrape किए गए datasets पर प्रशिक्षित किया जाता है — Common Crawl, Reddit archives, सार्वजनिक forums, व्यक्तिगत blogs, leaked databases जिन्हें search engines द्वारा index किया गया था। इसका अर्थ है कि GPT-4, Claude, Gemini और हर दूसरे फ्रंटियर मॉडल के लिए प्रशिक्षण डेटा में वास्तविक नाम, पते, फ़ोन नंबर, चिकित्सा चर्चाएँ, क़ानूनी दस्तावेज़ और निजी बातचीत शामिल हैं जिन्हें लोगों ने इस कल्पना के बिना पोस्ट किया कि वे एक न्यूरल नेटवर्क के अंदर समाप्त होंगे। यहाँ क़ानूनी परिदृश्य तेज़ी से विकसित हो रहा है। EU AI Act प्रशिक्षण डेटा स्रोतों के दस्तावेज़ीकरण की आवश्यकता है। इटली ने GDPR चिंताओं के कारण ChatGPT पर अस्थायी रूप से प्रतिबंध लगाया। कई न्यायालयों में class-action मुक़दमे जारी हैं। लेकिन तकनीकी वास्तविकता यह है कि एक बार जब जानकारी प्रशिक्षण के माध्यम से मॉडल weights में embed हो जाती है, तो उसे साफ़ तरीके से हटाया नहीं जा सकता। Machine unlearning जैसी तकनीकें विशिष्ट डेटा को चुनिंदा रूप से भूलने का प्रयास करती हैं, लेकिन वे सबसे अच्छे रूप में अनुमानित हैं — एक समस्या जिसे नियामकों ने अभी तक पूरी तरह से नहीं संबोधित किया है।
मॉडल केवल प्रशिक्षण डेटा से पैटर्न नहीं सीखते — वे कभी-कभी विशिष्ट अनुक्रमों को शब्दशः याद रखते हैं। Google DeepMind के शोधकर्ताओं ने प्रदर्शित किया कि GPT-3.5 को व्यक्तिगत फ़ोन नंबरों और ईमेल पतों सहित याद किए गए प्रशिक्षण डेटा को उत्सर्जित करने के लिए prompt किया जा सकता है। बड़े मॉडल अधिक याद रखते हैं, और जो डेटा प्रशिक्षण sets में अक्सर दिखाई देता है उसे निकालना आसान होता है। यह एक सैद्धांतिक चिंता नहीं है: यदि किसी की व्यक्तिगत जानकारी पर्याप्त web पृष्ठों में दिखाई देती है, तो एक पर्याप्त चतुर prompt एक मॉडल को उसे पुन: उत्पन्न करने के लिए मना सकता है। Differential privacy (किसी भी एकल डेटा बिंदु के बारे में जो सीखा जा सकता है उसे सीमित करने के लिए प्रशिक्षण के दौरान कैलिब्रेटेड noise जोड़ना) सबसे सैद्धांतिक तकनीकी रक्षा है, लेकिन यह मॉडल गुणवत्ता पर एक वास्तविक लागत के साथ आती है। Apple अपने on-device मॉडलों में differential privacy का उपयोग करता है। अधिकांश cloud प्रदाता नहीं करते, क्योंकि वर्तमान तकनीकों पर सटीकता का व्यापार-बंद प्रतिस्पर्धी फ्रंटियर मॉडलों के लिए बहुत खड़ा है।
भले ही कल प्रशिक्षण डेटा की समस्या हल हो जाए, inference अपनी खुद की गोपनीयता सतह बनाता है। जब आप सारांश के लिए ChatGPT में एक अनुबंध paste करते हैं, तो वह टेक्स्ट OpenAI के servers पर हिट करता है। जब आपकी कंपनी एक ग्राहक-सहायता चैटबॉट बनाती है, तो हर ग्राहक interaction आपके AI प्रदाता के बुनियादी ढाँचे के माध्यम से प्रवाहित होती है। एंटरप्राइज़ ग्राहक तेज़ी से डेटा प्रोसेसिंग समझौतों, SOC 2 अनुपालन, और संविदात्मक गारंटी की माँग कर रहे हैं कि उनके डेटा का प्रशिक्षण के लिए उपयोग नहीं किया जाएगा। प्रदाताओं ने प्रतिक्रिया दी है: OpenAI, Anthropic, Google और अन्य बिना-प्रशिक्षण गारंटी के साथ एंटरप्राइज़ tiers प्रदान करते हैं। लेकिन architecture को अभी भी किसी और के servers को डेटा भेजने की आवश्यकता है। विकल्प — मॉडलों को स्थानीय रूप से या अपने स्वयं के cloud वातावरण में चलाना — ओपन-वेट मॉडलों के सुधार के साथ अधिक व्यावहारिक होता जा रहा है, लेकिन इसके लिए महत्वपूर्ण तकनीकी निवेश की आवश्यकता होती है और आम तौर पर इसका अर्थ है सबसे सक्षम मॉडलों तक पहुँच छोड़ना।
क्षेत्र स्थिर नहीं खड़ा है। Federated learning कई पक्षों को कभी भी अपने कच्चे डेटा को संयोजित किए बिना एक साझा मॉडल को प्रशिक्षित करने देता है — आपका डेटा आपके डिवाइस या आपके server पर रहता है, और केवल मॉडल अपडेट साझा किए जाते हैं। Homomorphic encryption, जिसे कभी व्यावहारिक उपयोग के लिए बहुत धीमा माना जाता था, उस बिंदु तक पहुँच रहा है जहाँ कुछ inference workloads encrypted डेटा पर बिना कभी decrypt किए चल सकते हैं। Apple Intelligence में जैसे on-device मॉडल संवेदनशील कार्यों को स्थानीय रूप से प्रोसेस करते हैं, केवल उन अनुरोधों के लिए cloud तक पहुँचते हैं जो स्थानीय क्षमता से अधिक हैं। Retrieval-augmented generation आपको संवेदनशील दस्तावेज़ों को अपने स्वयं के बुनियादी ढाँचे में रखने और inference समय पर प्रासंगिक context inject करने देता है बिना उसके प्रशिक्षण पाइपलाइन में प्रवेश किए। इनमें से कोई भी दृष्टिकोण सब कुछ हल नहीं करता, और अधिकांश में लागत, latency, या मॉडल गुणवत्ता में व्यापार-बंद शामिल हैं। लेकिन वे "हम पर अपने डेटा के साथ भरोसा करें" से ऐसे architectures की ओर एक वास्तविक बदलाव का प्रतिनिधित्व करते हैं जहाँ गोपनीयता केवल नीति के बजाय डिज़ाइन द्वारा लागू की जाती है।