2024. június 9. 11:13, Vasárnap
A Noyb néven ismert Európai Digitális Jogok Központja 11 európai országban nyújtott be panaszt, hogy megállítsa a Meta azon tervét, hogy az Európai Unióban élő Facebook- és Instagram-felhasználók személyes posztjain és képein elkezdje új MI-technológiáinak kiképzését. Az uniós Facebook-felhasználóknak június 26-ig van lehetőségük ennek megtiltására, de a panasz szerint a cég mindent megtesz, un. "sötét mintákat” használ ennek meghiúsítására.
A Meta MI-tréningre használt adatai harmadik felektől, valamint a Meta generatív MI-funkcióinak használatából és az oldalaival való interakcióból is származnak majd - közölte a vállalat. Emellett a Meta azt tervezi, hogy olyan emberekről is gyűjt adatokat, akik nincsenek a Facebookon vagy az Instagramon, de szerepelnek a felhasználók posztjaiban vagy fotóin. Az MI-képzés alól csak a barátok és családtagok között küldött magánüzenetek képeznek kivételt, amelyeket nem fognak feldolgozni, áll
a Meta blogjában, de a vállalkozásoknak és a Metának küldött magánüzenetek bekerülnek az adatbázisba. Az MI-képzéshez gyűjtött adatok pedig harmadik felekkel is megoszthatók.
„Ellentétben azzal a már eddig is problémás helyzettel, amikor a vállalatok bizonyos nyilvános adatokat egy adott MI-rendszer (pl. egy chatbot) kiképzésére használnak fel, a Meta új adatvédelmi irányelvei lényegében azt mondják, hogy a vállalat minden nyilvános és nem nyilvános felhasználói adatot, amelyet 2007 óta gyűjtött, el akar venni, és felhasználni bármilyen meghatározatlan típusú jelenlegi és jövőbeli mesterséges intelligencia technológiához” - írja a Noyb a sajtóközleményben. És „ha az adatok egyszer már a rendszerben vannak” - mondta Noyb - „a felhasználóknak úgy tűnik, nincs lehetőségük arra, hogy valaha is eltávolítsák őket”.
Mivel a Meta június 26-ig adott időt az uniós felhasználóknak arra, hogy lemondjanak az adatfeldolgozásról, a Noyb arra kérte az EU adatfeldolgozó hatóságait, hogy sürgősen lépjenek közbe. Ezt követően „nem lesz visszaút” - mondta Noyb -, és a személyes adatokat nem lehet törölni a Meta mesterséges intelligencia modelljeiből. "A tanulóadatokat eseti alapon addig őrizzük meg, amíg szükség van rájuk annak biztosításához, hogy az adott MI-modell megfelelően, biztonságosan és hatékonyan működjön. ” - áll a Meta
adatvédelmi oldalán. "Az adatokat megőrizhetjük továbbá saját magunk és más felek érdekeinek védelme céljából, illetve jogi kötelezettségek teljesítéséhez.” A Noyb szerint több mint 400 millió uniós felhasználó lehet érintett, és sok Facebook-felhasználó, aki már rég nem használja fiókját, valószínűleg nincs is tudatában annak, hogy régebbi adatait ilyen céllal fogják feldolgozni. Noyb szerint a Meta szándékosan megbonyolította a lemondási folyamatot „sötét minták” használatával, hogy minél kevesebb felhasználó blokkolja az adatfeldolgozást.
A Meta szerint a személyes adatok gyűjtésére azért van szükség, hogy olyan mesterséges intelligencia-szolgáltatásokat képezzenek ki, amelyek tükrözik „az őket használó európai közösségek különböző kultúráit és nyelveit”. A részvétel segít a Metának „a mesterséges intelligencia technológiát biztosítani és kurátorként kezelni a termékeinkben, lehetővé téve az olyan tartalmak létrehozását, mint a szöveg, hang, kép és videó, többek között azáltal, hogy megérti és felismeri a funkciókban a tartalom használatát” - áll irányelveik oldalán. "Ez magában foglalja az Európában még nem elérhető funkciókat, például azt, hogy az emberek személyre szabott matricákat hozhatnak létre a csevegésekhez és történetekhez, valamint a Meta AI-t, a virtuális asszisztensünket, amelyet elérhetsz, hogy válaszoljon kérdésekre, képeket generáljon és még sok mást az alkalmazáscsaládunkban és az eszközökön” - olvasható a Meta blogján. Az MI kezdeményezés a Facebook vezetőjének, Tom Alison
blogja szerint része a közösségi médiavállalat azon törekvésének, hogy a fiatalabb felhasználókat is megszólítsa.
A Noyb azt tervezi, hogy az elkövetkező napokban valamennyi uniós tagállamban panaszt nyújt be,
panaszosokat keres, és végső soron azt reméli, hogy az Európai Adatvédelmi Testület (EDPB) kivizsgálja az ügyet. A csoport azzal érvel, hogy az ír adatvédelmi bizottság (DPC) - amely a Meta uniós szabályozója - alkut kötött a Metával, amely lehetővé teszi a közösségi óriás számára, hogy a GDPR-t megkerülve dolgozzon. Az Írországban
benyújtott Noyb-panasz szerint a DPC beleegyezett, hogy nem késlelteti tovább a Meta mesterséges intelligenciát oktató kezdeményezésének elindítását, ha a Meta beleegyezik bizonyos változtatásokba. Ezek közé tartozott, hogy a felhasználóknak kiemelt értesítést, további átláthatósági intézkedéseket, külön tiltakozási mechanizmust és négy hét felmondási időt biztosítanak a képzés megkezdése előtt. A Meta azt is megígérte, hogy csak „az EU-ban élő felhasználók által a képzés idején az Instagramon és a Facebookon nyilvános közönség számára megosztott személyes adatokat (posztokat, nem kommenteket) használnak fel, és hogy ez nem tartalmaz 18 év alatti felhasználók fiókjainak személyes adatait”.
A Noyb elnöke, Max Schrems azzal vádolta a DPC-t, hogy illegális üzleteket köt az amerikai nagy technológiai vállalatokkal, és azt állítja, hogy a DPC „továbbra is hagyja, hogy több százmillió európai felhasználó nem nyilvános személyes adataival való visszaélést ellenőrizetlenül hagyják. "Reméljük, hogy az Írországon kívüli hatóságok gyorsan intézkednek, és legalább a teljes kivizsgálás idejére leállítják a projektet” - mondta Schrems. "Az EDPB már két ilyen sürgősségi határozatot hozott a Meta és az ír adatvédelmi biztos ellen. Szomorú látni, hogy erre az intézkedésre úgy tűnik, újra és újra szükség van.” A Noyb eddig Ausztriában, Belgiumban, Franciaországban, Németországban, Görögországban, Olaszországban, Írországban, Hollandiában, Norvégiában, Lengyelországban, Németországban és Spanyolországban nyújtott be panaszt.
Az Írországban benyújtott panaszában a Noyb azt állítja, hogy a Meta azon terve, hogy személyes adatokat gyűjtsön még meghatározatlan MI-technológiák kifejlesztéséhez sérti az EU általános adatvédelmi rendeletét (GDPR). Az általános adatvédelmi rendelet jogalapot ír elő a személyes adatok feldolgozásához, és a Noyb azzal érvel, hogy a Meta MI-tréningadatok gyűjtésének megfelelő jogalapja az lenne, ha a felhasználók beleegyezésüket adnák a feldolgozáshoz. Ehelyett a Meta a „jogos érdekek” jogalapot tervezi használni, áll a Meta blogjában. "Jogos érdekeink fűződnek az adatok feldolgozásához, hogy ezeket a szolgáltatásokat létrehozzuk, és ez azt jelenti, hogy az emberek tiltakozhatnak az Adatvédelmi Központunkban található űrlap segítségével, ha akarnak” - áll a Meta blogjában.
A Noyb azzal érvel, hogy „a Meta megpróbálja az adatfeldolgozási technológiák egy egész csoportját a GDPR szerinti adatgyűjtés állítólagos céljává tenni”, holott „általában a technológiák nem célt, hanem eszközt jelentenek a GDPR-ban”. "A személyes adatok feldolgozását nem lehet egy adatbázis-rendszer, egy merevlemez vagy egy analitikai szoftver használatának kívánalmával indokolni” - áll a Noyb panaszában. "Azt egy cél, cél vagy érdek elérésének szükségességével kell indokolni. A Meta nem is érvel céllal". Ha a Meta számára engedélyeznék e jogalap használatát, Noyb szerint ez megnyitná az utat bármelyik technológiai vállalat számára, hogy azzal érveljen, hogy új szolgáltatások létrehozása invazív adatgyűjtést igényel. "Ha a személyes adatoknak a különböző rendszerekből történő puszta kinyerése bármilyen új típusú, bármilyen meghatározatlan célú feldolgozás támogatása érdekében jogos érdeknek minősülne, ez szó szerint azt jelentené, hogy bármely adatkezelő bármilyen forrásból származó bármilyen személyes adatot felhasználhatna bármilyen új célra” - áll a Noyb panaszában. „Ez a Meta által közölt narratíva ezért teljesen kívül esik a GDPR szerinti általános felfogáson”.
A Meta úgy véli, hogy a jogos érdek megfelelő jogalap az MI-tréningadathalmazok összegyűjtésére, mivel az OpenAI és a Google ugyanerre a célra ugyanezt a jogalapot használta. A norvég adatvédelmi hatóság azonban a Meta AI-adatgyűjtésre vonatkozó politikájáról szóló figyelmeztetésben
azt sugallja, hogy a Meta adatgyűjtése eltér más MI-vállalatokétól. "A Meta AI-szolgáltatása ellentmondásos, mivel az internetről származó nyílt adatok mellett a felhasználók bejegyzéseit és képeit is fel kell használnia a képzéshez” - írja a norvég hatóság. „Sokan reagálnak arra, hogy a tartalmukat ilyen módon használják fel, mivel a közösségi médiában található posztok és képek gyakran magánjellegűek”. A norvég ügynökség szerint kétséges, hogy a Meta jogalapja megfelel-e a GDPR-nak. „Véleményünk szerint a legtermészetesebb az lett volna, ha a felhasználók hozzájárulását kérik, mielőtt a posztjaikat és képeiket ilyen módon felhasználják” - írja a norvég ügynökség.
Schrems egyetért az ügynökséggel, mondván, hogy az EU már korábban is tagadta, hogy a Metának „jogos érdeke” lenne személyes adatokat gyűjteni személyre szabott reklámozás céljából, így valószínűtlennek tűnik, hogy a bíróság jóváhagyja a még homályosabban meghatározott „jogos érdeket”. "Az Európai Bíróság (EUB) már világossá tette, hogy a Meta nem rendelkezik olyan jogos érdekkel, amely felülírná a felhasználók adatvédelemhez való jogát, amikor reklámozásról van szó” - mondta Schrems. "A vállalat mégis ugyanezekkel az érvekkel próbál élni a meghatározatlan mesterséges intelligencia technológia képzésére. Úgy tűnik, hogy a Meta ismét szemérmetlenül figyelmen kívül hagyja az EUB ítéleteit.”
Noyb az írországi panaszban azt is megjegyezte, hogy annak ellenére, hogy más MI-vállalatok „alacsonyra tették a lécet” a GDPR-nak való megfelelés tekintetében, a Meta terve rendkívülinek tűnik. "Nem tudunk olyan a fogyasztókkal kapcsolatban álló adatkezelőről, amely azt közölte volna, hogy a rendszereibe valaha is bevitt összes személyes adatot mesterséges intelligencia technológia képzésére használja fel” - áll a Noyb panaszában.
A Meta és a DPC közötti „alku” része volt, hogy a Facebook és az Instagram felhasználói számára módot biztosítanak arra, hogy lemondjanak az MI-képzési adathalmazokról. A Noyb azonban kritizálta a Metát, amiért nem egyszerűen egy kattintásos lehetőséget biztosított, hanem a felhasználóknak be kellett jelentkezniük, hogy hozzáférjenek egy nyilvános űrlaphoz, és meg kellett indokolniuk a kilépést. A norvég adatvédelmi hatóság szerint a Meta látszólag bármilyen indokot elfogad a lemondásra, és a Noyb szerint ez bizonyíték arra, hogy a Meta szándékosan bonyolítja a lemondási folyamatot. A gondolatmenet szerint, ha bármilyen indok elfogadható, akkor miért kérnek egyáltalán indoklást, ha nem azért, hogy akadályt gördítsenek a felhasználó és az érvényes leiratkozási kérelem közé?
Noyb szerint a Meta "sötét mintájának" használata a felhasználókat a szabályzat változásáról értesítő e-maillel kezdődik. Azok a felhasználók, akik valóban megnyitották az e-mailt, és rákattintottak a kilépésre utaló linkre, egy bejelentkezési oldalra lettek átirányítva, amely után a kilépési űrlap helyett a hírfolyamukra lettek átirányítva. "Az érintetteknek ezért vissza kellett térniük az e-mailhez, és másodszor is rákattintaniuk a linkre (miközben már bejelentkeztek), hogy egyáltalán elérjék az űrlapot” - áll a Noyb panaszában. A Meta felhasználóknak küldött e-mailje a Noyb szerint nem tájékoztatta a felhasználókat egy különálló, „rejtett" opt-out űrlapról sem, amelyet a Meta kifejezetten „a harmadik felektől származó, a Meta MI fejlesztésére és javítására használt személyes adatokkal kapcsolatos kérésekhez” használ. Ahhoz, hogy megtalálják ezt az űrlapot, a Meta felhasználóinak egy másik Meta
adatvédelmi irányelvek oldal aljára kellett volna görgetniük, jegyzi meg Noyb.
„A felelősséget a felhasználóra hárítani teljesen abszurd” - mondta Schrems. "A törvény megköveteli, hogy a Meta opt-in beleegyezést szerezzen, nem pedig azt, hogy egy rejtett és félrevezető opt-out űrlapot adjon. Ha a Meta fel akarja használni az Ön adatait, akkor az Ön engedélyét kell kérnie. Ehelyett arra kényszerítik a felhasználókat, hogy könyörögjenek a kizárásért." Talán a legaggasztóbb, hogy "a Meta az opt-out űrlapon elismeri, hogy nem igazán tudja elkülöníteni a kilépő emberek személyes adatait a többi felhasználó személyes adataitól”. Ez azt sugallja, hogy az uniós felhasználók kizárása még technikailag sem feltétlenül megvalósítható, állítja Noyb. Ráadásul a Meta csak annyit ígér, hogy „a vonatkozó adatvédelmi törvényekkel összhangban vizsgálja felül a tiltakozási kérelmeket”, ami azt jelenti, hogy nem minden opt-outot tartanak tiszteletben.
A norvég adatvédelmi hatóság megerősítette, hogy már érkeztek panaszok a Meta mesterséges intelligencia képzésére vonatkozó tervével kapcsolatban és ígéretet tett arra, hogy komolyan veszi és kiemelt fontossággal kezeli ezeket a panaszokat. A Noyb arra figyelmeztetett, hogy a Meta uniós politikája a világ összes Meta-felhasználójára hatással lehet, akiket ezután „lényegében korlátlanul felhasználhatnak kísérleti technológiákhoz”. Annak érdekében, hogy megakadályozzák, hogy a Meta folytassa ezt az elsietettnek tűnő tervet, a Noyb azt kérte, hogy az EU adatvédelmi hatóságai indítsanak „sürgősségi eljárást”, amely „gyors ideiglenes betiltáshoz és az EDPB néhány hónapon belül meghozott végleges döntéséhez vezethet”. A sürgősségi eljárás során - javasolta Noyb - a Metának elegendő ideje lenne arra, hogy „megmagyarázza, hogy ez a megközelítés hogyan jogszerű”. Ha azonban az adatvédelmi hatóságok úgy döntenek, hogy a Meta mesterséges intelligencia terve nem felel meg a GDPR-nak, Noyb arra számít, hogy a hatóságok elég nagy bírságokat fognak kiszabni ahhoz, hogy azok „hatékonyak, arányosak és visszatartó erejűek” legyenek.