През последните няколко дни Meta информира милиони европейци, че политиката ѝ за поверителност отново се променя. Едва при по-внимателно разглеждане на линковете в уведомлението стана ясно, че компанията планира да използва години наред лични постове, лични изображения или данни за онлайн проследяване за неопределена "AI технология", която може да поглъща лични данни от всеки източник и да споделя всякаква информация с неопределени "трети страни". Вместо да поиска съгласието на потребителите (opt-in), Meta твърди, че има легитимен интерес, който надделява над основното право на защита на данните и неприкосновеността на личния живот на европейските потребители. Веднъж попаднали в системата, потребителите изглежда нямат възможност да ги премахнат ("право да бъдат забравени"). noyb вече е подал жалби в 11 европейски държави, като иска от властите да започнат спешна процедура за незабавно спиране на тази промяна, преди тя да влезе в сила на 26 юни 2024 г.
- 11 жалби (подадени в Австрия, Белгия, Франция, Германия, Гърция, Италия, Ирландия, Нидерландия, Норвегия (с NCC)*, Полша и Испания)
- Преглед на (неверните) твърдения на Meta относно Meta AI
Всички непублични данни за някаква неопределена бъдеща "технология за изкуствен интелект". За разлика от вече проблематичната ситуация, при която компаниите използват определени (публични) данни за обучение на конкретна система за изкуствен интелект (напр. чатбот), в новата политика за поверителност на Meta основно се казва, че компанията иска да вземе всички публични и непублични потребителски данни, които е събрала от 2007 г. насам, и да ги използва за някакъв неопределен вид настояща и бъдеща "технология за изкуствен интелект". Това включва и многото "спящи" акаунти във Facebook, с които потребителите вече почти не взаимодействат, но които все още съдържат огромни количества лични данни. Освен това Meta твърди, че може да събира допълнителна информация от всяка "трета страна" или да извлича данни от онлайн източници. Единственото изключение изглежда са чатовете между физически лица - но дори чатовете с компания са честна игра. На потребителите не се предоставя никаква информация за целите на "технологията за изкуствен интелект" - което е в разрез с изискванията на GDPR. Политиката за поверителност на Meta теоретично би позволила всякаква цел. Тази промяна е особено тревожна, тъй като включва личните данни на около 4 милиарда потребители на Meta, които ще бъдат използвани за експериментална технология по същество без ограничения. Поне потребителите в ЕС/ЕИП би трябвало (на теория) да са защитени от подобни злоупотреби чрез GDPR.
Макс Шремс: "Meta по същество казва, че може да използва "всякакви данни от всякакви източници за всякакви цели и да ги предоставя на всеки по света", стига това да става чрез "технология с изкуствен интелект". Това очевидно е обратното на спазването на GDPR. "Технология на изкуствения интелект" е изключително широк термин. Подобно на "използването на вашите данни в бази данни", то няма реални правни граници. Meta не казва за какво ще използва данните, така че това може да бъде както обикновен чатбот, така и изключително агресивна персонализирана реклама или дори дрон убиец. Meta също така казва, че потребителските данни могат да бъдат предоставени на всяка "трета страна" - което означава всеки по света."
Интересите на Meta надделяват ли над правата на потребителите? Обикновено обработването на лични данни в Европейския съюз е незаконно по подразбиране. Следователно Meta трябва да се позове на едно от шестте правни основания по член 6, параграф 1 от ОРЗД, за да обработва лични данни. Въпреки че логичният избор би бил съгласие за избор, Meta отново твърди, че има "законен интерес", който има предимство пред основните права на потребителите. Meta и преди е твърдяла това в контекста на използването на всички лични данни за реклама - и е била отхвърлена от Съда на ЕС(вж. C-252/21). Сега Meta използва същото правно основание, за да обоснове още по-широко и агресивно използване на личните данни на хората.
Макс Шремс: "Съдът на Европейския съюз вече даде ясно да се разбере, че Meta няма "законен интерес", който да надделява над правото на потребителите на защита на данните, когато става въпрос за реклама. Въпреки това компанията се опитва да използва същите аргументи за обучението на неопределена "технология за изкуствен интелект". Изглежда, че Meta за пореден път демонстративно пренебрегва решенията на Съда на ЕС."
Възражението е фарс. Meta дори се опитва да направи потребителите отговорни за грижата за тяхната поверителност, като ги насочва към формуляр за възражение (opt-out), който потребителите трябва да попълнят, ако не искат Meta да използва всичките им данни. Макар че на теория отказът може да бъде реализиран по такъв начин, че да изисква само едно кликване (като бутона "отписване" в бюлетините), Meta прави възражението изключително сложно, като дори изисква лични причини. Техническият анализ на връзките за отказ дори показа, че Meta изисква влизане в системата, за да се види иначе публична страница. Като цяло Meta изисква от около 400 милиона европейски потребители да "възразяват", вместо да иска тяхното съгласие.
Макс Шремс: "Прехвърлянето на отговорността върху потребителя е напълно абсурдно. Законът изисква от Meta да получи съгласие за отказ, а не да предоставя скрит и подвеждащ формуляр за отказ. Ако Meta иска да използва вашите данни, тя трябва да поиска вашето разрешение. Вместо това те карат потребителите да молят да бъдат изключени. Бяхме особено изненадани, че Meta дори си е направила труда да вгради тонове малки разсейващи елементи, за да гарантира, че само малък брой потребители действително ще си направят труда да възразят."
Ирландската ДКП е съучастник (отново). Според съобщенията това грубо нарушение на GDPR се основава (отново) на "сделка" с Ирландската комисия за защита на данните (DPC е регулаторният орган на Meta в ЕС). DPC и преди е имала сделка с Meta, която е позволила на компанията да заобиколи GDPR - и е завършила с глоба от 395 млн. евро срещу Meta, след като Европейският съвет за защита на данните (EDPB) е отменил решението на ирландската DPC.
Макс Шремс: "Изглежда, че новото ръководство на DPC просто продължава да сключва незаконни "сделки" с големи технологични компании от САЩ. Умопомрачително е, че КЗД продължава да оставя без контрол злоупотребата с непубличните лични данни на около 400 милиона европейски потребители."
Краен срок 26 юни: Изисква се спешна процедура. Като се има предвид, че обработването на данни от Meta за неразкрита "технология за изкуствен интелект" вече е предвидено да влезе в сила на 26 юни 2024 г., а Meta твърди, че няма възможност да се откажете на по-късен етап, за да бъдат премахнати данните ви (както е предвидено в член 17 от ОРЗД и "правото да бъдеш забравен"), noyb поиска "спешна процедура" съгласно член 66 от ОРЗД. Органите за защита на данните (ОЗД) в 11 европейски държави (Австрия, Белгия, Франция, Германия, Гърция, Италия, Ирландия, Нидерландия, Норвегия, Полша и Испания) получиха такова искане от името на местни субекти на данни. Член 66 позволява на ОЗД да издават предварителни спирания в ситуации като описаната по-горе и дава възможност за вземане на решение в целия ЕС чрез ЕЗЗД. Ирландският ДЗД и Meta Ireland вече са били обект на две "спешни обвързващи решения" от страна на ЕНОЗД (вж. спешно обвързващо решение 01/2023 и спешно обвързващо решение 01/2021) в подобни ситуации преди.
Макс Шремс: "Надяваме се, че органите извън Ирландия ще предприемат бързи действия и поне ще спрат този проект за пълно разследване. EDPB вече е издал две такива спешни решения срещу Meta и ирландския комисар по защита на данните. Тъжно е да се види, че тази мярка изглежда е необходима отново и отново"
Допълнителни проблеми. В допълнение към липсата на каквото и да е правно основание за изсмукване на потребителски данни за повече от десетилетие, Meta вече е заявявала, че технически не е в състояние да прави разлика между данни от потребители в ЕС/ЕИП и други държави, в които хората не се ползват от защитата на GDPR. Meta също така заяви, че не може да прави разлика между чувствителни данни по член 9 от GDPR, като етническа принадлежност, политически възгледи, религиозни убеждения (за които аргументът за "законен интерес" не е наличен по закон), и други данни, за които теоретично може да се твърди, че има "законен интерес". С въвеждането на своята технология за изкуствен интелект Meta изглежда е нарушила редица други разпоредби на ОРЗД, включително принципите на ОРЗД, правилата за прозрачност и оперативните правила. Като цяло в жалбите на noyb са изброени нарушения на поне член 5, параграфи 1 и 2, член 6, параграф 1, член 9, параграф 1, член 12, параграфи 1 и 2, член 13, параграфи 1 и 2, член 17, параграф 1, буква в), член 18, параграф 1, буква г), член 19, член 21, параграф 1 и член 25 от ОРЗД.
Макс Шремс: "С подхода за просто използване на всякакви данни за всякакви цели за всяка "технология за изкуствен интелект" Meta явно е напуснала почти цялата рамка на GDPR. Преброихме нарушения на поне десет члена от закона."
Следващи стъпки. Съответните ОЗД сега ще трябва да вземат бързо решение дали да започнат спешна процедура или да разглеждат жалбите в рамките на нормална процедура. Преди два дни норвежкият ДЗД вече публикува публикация в блога си, в която твърди, че е "съмнително" ("tvilsomt") дали подходът на Meta е законен. Спешната процедура би могла да доведе до бърза временна забрана и окончателно решение на ЕНОЗД в рамките на няколко месеца. Макар че днешните жалби са първата стъпка, изглежда правдоподобно, че други организации ще предприемат последващи действия със съдебни забрани, граждански дела или дори колективни искове, ако Meta продължи с плановете си. Това потенциално би могло да завлече Meta в нов кръг от правни проблеми в Европейския съюз. само действията на noyb срещу Meta досега са довели до административни глоби в размер на повече от 1,5 млрд. евро.
*Жалбата в Норвегия е подадена съвместно с Норвежкия съвет за защита на потребителите ("НСЗП"). Намерете повече информация на адрес www.forbrukerradet.no.