Nowa funkcja w ChatGPT pod lupą: dlaczego chatbot chce naszych kontaktów
ChatGPT w bardzo krótkim czasie przeszedł drogę od ciekawostki technologicznej do jednej z najczęściej instalowanych aplikacji mobilnych wykorzystujących sztuczną inteligencję. Dla wielu użytkowników stał się codziennym narzędziem pracy – od szybkiego generowania tekstów, przez pomoc w programowaniu, po wsparcie w analizie dokumentów. Działy marketingu, prawnicy, programiści i menedżerowie korzystają z niego zarówno na komputerach, jak i na smartfonach z Androidem i iOS.
Wraz z kolejnymi aktualizacjami aplikacji pojawiają się nowe funkcje, z których część budzi więcej pytań niż entuzjazmu. Do tej kategorii należy możliwość synchronizacji kontaktów z książki adresowej telefonu z kontem ChatGPT. Funkcja ta, sugerowana użytkownikowi w interfejsie aplikacji, ma charakter opcjonalny: to użytkownik decyduje, czy udzielić dostępu do kontaktów i pozwolić na okresową synchronizację numerów telefonów.
Po jej włączeniu aplikacja informuje, którzy znajomi z książki adresowej również korzystają z ChatGPT, a także – w zależności od konfiguracji – może powiadamiać o nowych użytkownikach pojawiających się wśród kontaktów. Tego typu rozwiązanie znamy z komunikatorów czy serwisów społecznościowych, ale w przypadku konwersacyjnego narzędzia AI nie jest to funkcja oczywista. To naturalnie rodzi pytania o prywatność, zgodność z RODO oraz bezpieczeństwo danych, szczególnie jeśli w książce adresowej znajdują się także kontakty służbowe, dane klientów lub wpisy synchronizowane z CRM.
Znaczenie tej zmiany jest inne dla różnych grup odbiorców. Użytkownicy mobilni często bezrefleksyjnie klikają „Zgadzam się”, aby szybko skorzystać z obiecywanej funkcji. Administratorzy IT odpowiadają za bezpieczeństwo całej floty urządzeń oraz polityki bezpieczeństwa w organizacji i muszą ocenić, czy tego typu integracja jest akceptowalna. Z kolei zawodowi i hobbystyczni specjaliści ds. cyberbezpieczeństwa widzą w synchronizacji kontaktów kolejny element większej układanki – rosnącej centralizacji danych w rękach dużych dostawców AI, o której szerzej pisałem w tekście o chińskich gigafabrykach AI w Europie.
Analiza tej funkcji wymaga spojrzenia na kilka elementów: jakie dane są rzeczywiście przesyłane, jak są przetwarzane, jakie ryzyka powstają dla użytkowników indywidualnych i organizacji, jak interpretować zapisy polityki prywatności, w jaki sposób funkcję wyłączyć oraz jak przygotować się na kolejne, prawdopodobne rozszerzenia o charakterze społecznościowym.
Jak działa synchronizacja kontaktów w ChatGPT i jakie dane są faktycznie transferowane
Z perspektywy użytkownika proces aktywacji synchronizacji kontaktów jest stosunkowo prosty. W pewnym momencie korzystania z aplikacji pojawia się ekran informujący o nowej możliwości: połączeniu książki adresowej telefonu z ChatGPT. Użytkownik otrzymuje obietnicę, że dzięki temu łatwiej sprawdzi, którzy z jego znajomych także korzystają z usługi, a w przyszłości może otrzymywać powiadomienia o nowych użytkownikach wśród kontaktów. Aby funkcja zadziałała, konieczne jest wyrażenie zgody na dostęp do kontaktów na poziomie systemu operacyjnego (Android/iOS).
Technicznie rzecz biorąc, podstawowym identyfikatorem, który interesuje OpenAI, jest numer telefonu przypisany do każdego wpisu w książce adresowej. To on służy do powiązania kontaktu z ewentualnym kontem ChatGPT innej osoby. Przedstawiciele firmy deklarują, że numery telefonów, zanim trafią do systemów po stronie serwera, przechodzą proces haszowania.
Haszowanie to technika kryptograficzna polegająca na przekształceniu danych wejściowych (np. numeru telefonu) w ciąg znaków o stałej długości, zwany skrótem (hash). Kluczową cechą dobrych funkcji haszujących jest to, że działanie jest jednokierunkowe: z hasha nie da się w praktyce odtworzyć oryginalnych danych. W komunikacji marketingowej często mówi się o takim przekształceniu jako „nieodwracalnym”, co ma budować poczucie bezpieczeństwa.
Warto jednak pamiętać, że „nieodwracalny” nie zawsze oznacza „bezużyteczny”. Jeżeli jakiś podmiot ma dostęp zarówno do bazy zhaszowanych numerów, jak i do bazy znanych numerów użytkowników, może porównywać ich hashe i w ten sposób ustalać, czy dany numer znajduje się w zbiorze odniesienia. W praktyce jest to fundament działania wielu systemów dopasowywania tożsamości, profilerów reklamowych czy mechanizmów antyfraudowych.
OpenAI zapewnia, że w ramach synchronizacji nie są zbierane inne pola z książki adresowej, takie jak imię, nazwisko czy adres e‑mail. To ważna informacja z punktu widzenia minimalizacji danych, ale nie zmienia faktu, że sama lista zhaszowanych numerów telefonów stanowi bardzo cenny zasób analityczny. Pozwala bowiem budować tzw. graf powiązań społecznych, czyli siatkę relacji między numerami, a pośrednio – między użytkownikami.
Przykład jest prosty: użytkownik A ma w kontaktach osoby B i C, ale tylko A włącza synchronizację. System po stronie OpenAI otrzymuje zhaszowane numery B i C, mimo że te osoby same nie podejmowały żadnego działania. Jeśli w innym momencie użytkownik B również włączy funkcję, system będzie w stanie powiązać informacje o tym, że A i B mają siebie nawzajem w kontaktach, a dodatkowo wykorzystać te dane do identyfikacji „hubów” – numerów pojawiających się masowo w książkach adresowych wielu użytkowników.
W skali pojedynczego telefonu taka operacja może wydawać się mało istotna. Jednak w skali milionów użytkowników powstaje pełnowartościowy zasób analityczny, który można wykorzystać do wielu celów: od budowy funkcji społecznościowych, przez wykrywanie nadużyć, po bardziej zaawansowane profilowanie sposobu korzystania z usługi.
Wniosek jest prosty: dane, które na pierwszy rzut oka wyglądają niewinnie – zhaszowane numery telefonów, bez nazw i adresów e‑mail – w masowej skali zyskują znaczenie porównywalne z pełnoprawną bazą powiązań społecznych.
Co na to polityka prywatności: jak interpretować zapisy i domyślne zgody
Ocena ryzyka związanego z synchronizacją kontaktów nie może się odbyć bez analizy polityki prywatności i dokumentów prawnych OpenAI. To właśnie tam opisane jest, jakie dane są przetwarzane, w jakich celach, na jakiej podstawie prawnej i komu mogą być udostępniane.
Akceptując regulaminy i zgody w aplikacji, użytkownik wyraża przede wszystkim zgodę na przetwarzanie numerów telefonów z książki adresowej w celu identyfikacji innych użytkowników ChatGPT. Na tym jednak lista potencjalnych zastosowań się nie kończy. Zazwyczaj wskazuje się również cele takie jak poprawa jakości usług, wykrywanie i zwalczanie nadużyć, analiza sposobu wykorzystania aplikacji, a także zapewnienie bezpieczeństwa systemów.
W politykach prywatności dużych dostawców technologii pojawia się ponadto zapis o możliwości współdzielenia danych z podmiotami powiązanymi, np. spółkami z tej samej grupy kapitałowej, a także z dostawcami usług chmurowych i innymi podmiotami przetwarzającymi dane w imieniu administratora. To standardowy element ekosystemu chmurowego, ale w praktyce oznacza, że dane – nawet jeśli w postaci zhaszowanej – mogą krążyć pomiędzy różnymi centrami danych i organizacjami uczestniczącymi w świadczeniu usługi.
Bardzo istotna jest ogólnikowość wielu zapisów. Nawet jeśli w danym momencie OpenAI deklaruje, że nie używa danych z kontaktów do trenowania modeli bez wyraźnej zgody użytkowników, praktyczna egzekwowalność tej deklaracji zależy od kilku czynników: skuteczności wewnętrznych procesów kontroli, możliwości przeprowadzenia niezależnych audytów oraz stabilności samych zapisów w czasie. Warunki świadczenia usług i polityki prywatności potrafią zmieniać się dynamicznie, a użytkownicy rzadko śledzą każdą korektę.
Czytając takie dokumenty, warto zwrócić uwagę na kilka kluczowych elementów:
- zakres danych objętych przetwarzaniem (czy są to tylko numery telefonów, czy także inne identyfikatory),
- cele przetwarzania (wyłącznie niezbędne do działania funkcji, czy również analityka, marketing, badania i rozwój),
- podstawę prawną (zgoda użytkownika, uzasadniony interes administratora, obowiązek prawny),
- listę kategorii odbiorców danych (podmioty powiązane, dostawcy chmury, partnerzy technologiczni),
- okres przechowywania danych i zasady ich usuwania,
- mechanizmy sprzeciwu i wycofania zgody, a także prawa użytkownika do informacji, sprostowania i usunięcia danych.
Równolegle w innych obszarach AI obserwujemy podobny wzorzec: ogromne, scentralizowane systemy przetwarzania danych, które stają się infrastrukturą krytyczną dla gospodarek. W artykule o chińskich gigafabrykach AI w Europie analizuję, jak budowa ogromnych centrów obliczeniowych w naszym regionie zmienia równowagę sił w zakresie przetwarzania danych. Synchronizacja kontaktów w ChatGPT jest pozornie drobnym elementem, ale opiera się na tym samym fundamencie – centralizacji danych w rękach kilku globalnych graczy.
Potencjalne zagrożenia dla prywatności i bezpieczeństwa – od zwykłego użytkownika po firmowe CRM
Z punktu widzenia przeciętnego użytkownika prywatnego włączenie synchronizacji kontaktów może wydawać się niewinne – ot, szybki sposób, aby dowiedzieć się, którzy znajomi też używają ChatGPT. Ryzyka ujawniają się dopiero po głębszej analizie.
Po pierwsze, powstaje profil kontaktów danej osoby: liczba i struktura relacji, częste węzły (np. numery firmowe, infolinie, kluczowi kontrahenci), a także możliwość powiązania numeru telefonu z konkretnym kontem w usłudze. Nawet jeśli firma nie przetwarza jawnie imion i nazwisk z książki adresowej, powiązanie numeru telefonu z aktywnym kontem ChatGPT jest już informacją osobową.
Po drugie, dane z kontaktów mogą być łączone z innymi źródłami, takimi jak zachowanie użytkownika w aplikacji (typowe zapytania, częstotliwość korzystania, godziny aktywności) czy – w przyszłości – dane lokalizacyjne, jeśli będą używane w innych funkcjach aplikacji lub samego systemu operacyjnego. W efekcie powstaje coraz pełniejszy obraz nie tylko jednostki, ale i jej otoczenia społeczno‑zawodowego.
Po trzecie, trzeba brać pod uwagę scenariusz wycieku lub nieautoryzowanego dostępu do bazy zhaszowanych kontaktów. Nawet jeśli hasze same w sobie są trudne do odwrócenia, połączenie ich z innymi bazami danych – na przykład tymi znajdującymi się w rękach cyberprzestępców – może umożliwić identyfikację konkretnych numerów. Wówczas rośnie ryzyko ataków typu phishing lub smishing, w których osoby atakujące wykorzystują wiedzę o relacjach między numerami, aby uwiarygodnić swoje wiadomości.
W środowisku firmowym ryzyka są jeszcze poważniejsze. W wielu organizacjach telefony służbowe są zintegrowane z systemami CRM i narzędziami sprzedażowymi, co oznacza, że książka adresowa odzwierciedla bazę klientów, leadów, partnerów i dostawców. Zgoda pracownika na synchronizację kontaktów z ChatGPT może oznaczać, że dane tych podmiotów trafiają – choćby w postaci zhaszowanej – do zewnętrznego dostawcy spoza struktury organizacyjnej.
Może to pozostawać w sprzeczności z wewnętrznymi politykami bezpieczeństwa, zobowiązaniami wynikającymi z RODO oraz postanowieniami umów z klientami, w tym z klauzulami poufności (NDA). Problem jest szczególnie palący w działach sprzedaży i obsługi klienta, w kancelariach prawnych, firmach doradczych i w sektorze medycznym – wszędzie tam, gdzie w kontaktach widnieją dane wrażliwe lub szczególnie chronione.
Dodatkową warstwą jest kwestia zgody osób trzecich. Nawet jeśli pracownik świadomie zgadza się na udostępnienie swojej książki adresowej, osoby wpisane w kontaktach nie były pytane o zdanie. Z perspektywy ochrony danych osobowych trudno uznać, że akceptacja warunków przez jednego użytkownika automatycznie obejmuje wszystkich jego znajomych.
Do tego dochodzi szerszy kontekst dyskusji o ryzykach generatywnej sztucznej inteligencji. Symbolicznym wydarzeniem było głośne odejście Geoffreya Hintona z jednego z największych koncernów technologicznych, o czym pisałem szerzej w tekście „AI Pioneer Geoffrey Hinton Leaves Google, Warns of Potential Dangers”. Hinton podnosił m.in. obawy związane z nadużyciami danych i nieprzewidywalnymi konsekwencjami masowego wdrażania systemów AI. Synchronizacja kontaktów w ChatGPT nie jest abstrakcyjną wizją „AGI”, lecz bardzo konkretną funkcją, która przenosi część naszych relacji interpersonalnych do chmury kontrolowanej przez prywatną firmę.
Konsekwencje dla administratorów IT i polityk bezpieczeństwa w organizacjach
Dla działów IT, CISO, inspektorów ochrony danych (DPO) oraz osób odpowiedzialnych za compliance pojawienie się synchronizacji kontaktów w popularnej aplikacji AI oznacza konieczność przeanalizowania i często zaktualizowania istniejących polityk bezpieczeństwa.
Po pierwsze, polityki korzystania z urządzeń mobilnych – zarówno w modelu BYOD (Bring Your Own Device), jak i COPE (Corporate Owned, Personally Enabled) czy klasycznych smartfonów firmowych – powinny wprost odnosić się do instalowania i używania aplikacji typu ChatGPT. W wielu organizacjach dotychczasowe zasady koncentrowały się na komunikatorach, poczcie elektronicznej i aplikacjach chmurowych. Teraz konieczne staje się doprecyzowanie, czy i w jakim zakresie dopuszczalne jest udzielanie takim aplikacjom dostępu do kontaktów.
Po drugie, warto przejrzeć konfigurację systemów MDM/EMM (Mobile Device Management / Enterprise Mobility Management). Nowa funkcja ChatGPT powinna skłonić administratorów do weryfikacji, czy istnieje możliwość centralnego blokowania dostępu do książki adresowej dla wybranych aplikacji, wymuszania określonych ustawień prywatności oraz monitorowania, jakie aplikacje zostały zainstalowane na urządzeniach służbowych.
Po trzecie, funkcja synchronizacji kontaktów musi zostać uwzględniona w analizach ryzyka i dokumentach takich jak ocena skutków dla ochrony danych (DPIA). W wielu organizacjach ChatGPT był dotąd traktowany jako narzędzie wspierające pracowników na poziomie treści, bez bezpośredniego dostępu do baz klientów. Zmiana sytuacji, w której aplikacja potencjalnie synchronizuje książkę adresową powiązaną z CRM, wymaga ponownego przemyślenia zakresu powierzenia danych, zapisów w umowach z dostawcą oraz ewentualnego zawarcia dodatkowych klauzul umownych.
Po czwarte, należy wziąć pod uwagę odpowiedzialność prawną i reputacyjną organizacji w przypadku incydentu dotyczącego kontaktów służbowych. Nawet jeśli formalnym administratorem tych danych jest dostawca usługi, klienci i partnerzy będą postrzegać wyciek jako problem firmy, z którą współpracują, a nie operatora narzędzia AI.
Warto rozważyć kilka scenariuszy praktycznych. W małej firmie, w której wszyscy pracownicy używają jednego komunikatora i ChatGPT do obsługi klientów na swoich smartfonach, włączenie synchronizacji kontaktów przez jedną osobę może w istocie oznaczać „wypchnięcie” do chmury niemal całej bazy klientów. W dużej korporacji z rozbudowanym CRM i rygorystycznymi procedurami bezpieczeństwa narzędzia takie jak ChatGPT często są oficjalnie dopuszczone tylko w kontrolowanym środowisku. Jednak pracownicy mogą instalować aplikację na prywatnych telefonach z dostępem do służbowych kont i kontaktów, omijając tym samym zabezpieczenia organizacji.
Dlatego sensowne jest potraktowanie synchronizacji kontaktów jako elementu szerszej strategii bezpiecznej automatyzacji z udziałem AI. W artykule o human‑in‑the‑loop chatbotach w finansach, zdrowiu i prawie podkreślam, że kluczowe jest zachowanie kontroli nad przepływem danych i pozostawienie człowiekowi roli ostatecznego decydenta w procesach wrażliwych. W przypadku aplikacji mobilnych oznacza to m.in. precyzyjne zarządzanie uprawnieniami, centralne wyłączanie nowych, ryzykownych funkcji oraz systematyczne szkolenie pracowników.
Jak bezpiecznie wyłączyć synchronizację kontaktów i ograniczyć ślad danych w ChatGPT
Dobrą wiadomością jest to, że synchronizacja kontaktów w ChatGPT ma charakter opcjonalny i może zostać wyłączona. Zarówno zwykli użytkownicy, jak i administratorzy IT powinni znać podstawowe kroki pozwalające ograniczyć przekazywanie danych do usługi.
Na poziomie samej aplikacji ChatGPT na Androidzie i iOS punkt wyjścia stanowi sekcja ustawień. W zależności od wersji interfejsu odpowiednie opcje znajdują się najczęściej w obszarze „Prywatność”, „Bezpieczeństwo” lub „Zarządzanie danymi”. Tam można sprawdzić, czy synchronizacja kontaktów jest włączona, a następnie ją dezaktywować. Warto także przejrzeć inne ustawienia dotyczące danych, takie jak zgoda na wykorzystywanie historii czatów do trenowania modeli czy opcje usuwania dotychczasowych konwersacji.
Kolejnym poziomem kontroli są ustawienia systemowe urządzenia. Zarówno w Androidzie, jak i w iOS dostępna jest sekcja poświęcona uprawnieniom aplikacji. Po odszukaniu ChatGPT na liście aplikacji można przejrzeć, do jakich zasobów ma dostęp (kamera, mikrofon, lokalizacja, kontakty) i cofnąć udzielone wcześniej zgody. Cofnięcie dostępu do kontaktów na poziomie systemu powoduje, że nawet jeśli w samej aplikacji funkcja jest teoretycznie aktywna, nie będzie miała dostępu do aktualnej książki adresowej.
Warto także zapoznać się z dodatkowymi opcjami zarządzania danymi oferowanymi przez samo konto OpenAI, szczególnie w planach firmowych. Użytkownicy biznesowi często mają możliwość wyłączenia wykorzystania danych organizacji do trenowania modeli, skonfigurowania okresów retencji danych oraz składania wniosków o usunięcie określonych informacji. Dobrą praktyką jest, aby administratorzy organizacyjnych kont ChatGPT regularnie przeglądali te ustawienia.
Dla użytkowników indywidualnych lista dobrych praktyk obejmuje m.in. korzystanie z osobnych profili lub kont do testowania nowych funkcji, ograniczanie liczby aplikacji z dostępem do książki adresowej, a także regularny przegląd uprawnień nadanych aplikacjom w ustawieniach systemowych. Wiele osób przez lata akceptowało zgody bez zastanowienia, co w praktyce oznacza, że dziesiątki aplikacji mają dostęp do listy kontaktów, choć nie jest to niezbędne do ich działania.
Administratorzy IT powinni z kolei rozważyć centralne wyłączanie uprawnień do kontaktów dla wybranych klas aplikacji, przygotowanie krótkiej instrukcji postępowania dla pracowników oraz włączenie zagadnienia synchronizacji kontaktów do szkoleń z cyberbezpieczeństwa. Rekomendowane jest również okresowe przeprowadzanie audytu ustawień urządzeń i kont w najważniejszych usługach AI, tak aby identyfikować nowe funkcje domyślnie włączane przez dostawców.
Należy podkreślić, że szczegóły interfejsu i nazwy opcji mogą się zmieniać wraz z kolejnymi wersjami aplikacji i systemów operacyjnych. Dlatego warto traktować powyższe wskazówki jako ogólne drogowskazy, a nie instrukcję „klik po kliku”. Kluczowe jest zrozumienie, gdzie w ogóle szukać ustawień odpowiedzialnych za dostęp do kontaktów i inne wrażliwe dane.
Co dalej z funkcjami społecznościowymi w narzędziach AI i jak przygotować się na kolejne zmiany
Synchronizacja kontaktów w ChatGPT wpisuje się w szerszy trend stopniowego „uspołeczniania” narzędzi AI. Możliwe kierunki rozwoju obejmują wprowadzenie czatów grupowych z udziałem AI, prostsze udostępnianie rozmów między użytkownikami, a nawet elementy przypominające klasyczne sieci społecznościowe – obserwowanie innych kont, rekomendacje treści czy listy znajomych w obrębie platformy.
W tym kontekście synchronizacja kontaktów może być fundamentem pod przyszłe funkcje: umożliwia automatyczne odnajdywanie znajomych w ekosystemie ChatGPT, upraszcza współdzielenie wyników pracy z botem i może stać się bazą do budowy bardziej zaawansowanych funkcji współpracy. Dla biznesu i specjalistów ds. cyberbezpieczeństwa oznacza to konieczność zmiany podejścia z reaktywnego („wyłączymy, jeśli pojawi się problem”) na proaktywne („projektujemy procesy z założeniem, że aplikacje AI będą żądały coraz szerszego zakresu danych”).
Na poziomie indywidualnym oznacza to świadome zarządzanie zgodami i zrozumienie konsekwencji udostępniania kontaktów czy historii rozmów. Każdy użytkownik powinien umieć odpowiedzieć sobie na pytanie, czy korzyści z danej funkcji przewyższają potencjalne ryzyka, oraz wiedzieć, jak w praktyce cofnąć udzielone zgody.
Na poziomie organizacyjnym niezbędne są jasne polityki i procedury dotyczące korzystania z narzędzi AI przez pracowników, regularne szkolenia oraz audyty aplikacji instalowanych na urządzeniach służbowych. Organizacje, które chcą bezpiecznie korzystać z potencjału automatyzacji, muszą zintegrować rozwiązania AI z istniejącą infrastrukturą bezpieczeństwa, a nie traktować ich jako dodatku pozostawionego w gestii poszczególnych działów.
Na poziomie systemowym toczy się równolegle debata o regulacjach, standardach branżowych i roli państw oraz regulatorów w kształtowaniu ram dla rozwoju sztucznej inteligencji. Dyskusje o odpowiedzialności dostawców, przejrzystości algorytmów czy transgranicznym przepływie danych są bezpośrednio powiązane z pozornie drobnymi decyzjami, takimi jak włączenie synchronizacji kontaktów w popularnej aplikacji.
Teksty o gigafabrykach AI w Europie czy ostrzeżeniach Geoffreya Hintona pokazują, że ryzyka związane z AI mają zarówno charakter makro (geopolityczny, infrastrukturalny), jak i mikro – związany z bardzo konkretnymi funkcjami w naszych codziennych aplikacjach. Synchronizacja kontaktów w ChatGPT jest jednym z tych punktów styku, w których abstrakcyjne debaty o etyce i regulacjach spotykają się z praktyką użytkownika klikającego „Zgadzam się” na ekranie swojego telefonu.
Funkcje takie jak synchronizacja kontaktów nie są z natury „złe”. Mogą realnie zwiększyć wygodę korzystania z usługi, ułatwić współpracę i przyspieszyć przepływ informacji. Warunkiem ich akceptowalności jest jednak wysoka transparentność, realna – a nie tylko deklaratywna – kontrola użytkownika nad danymi oraz dojrzałe polityki bezpieczeństwa po stronie organizacji. W przeciwnym razie nawet pozornie niewinne dane, takie jak numer telefonu w książce adresowej, mogą stać się źródłem bardzo realnych problemów dla osób prywatnych, firm i całych sektorów gospodarki.