Неотдавна Twitter International (сега преименувана на "X") започна незаконно да използва личните данни на повече от 60 милиона потребители в ЕС/ЕИП, за да обучава своите технологии за изкуствен интелект (като "Grok") без тяхното съгласие. За разлика от Meta (която наскоро също трябваше да спре обучението на ИИ в ЕС), Twitter дори не информира предварително своите потребители. Това отиде твърде далеч дори за ирландската Комисия за защита на личните данни (КЗЛД): Миналата седмица тя започна съдебно производство срещу Twitter, за да спре незаконното обработване, но ирландската DPC изглежда е спряла да прилага изцяло GDPR. noyb сега следва девет жалби.
- Жалби, подадени в Австрия, Белгия, Франция, Гърция, Ирландия, Италия, Нидерландия, Испания и Полша
- Съдебен протокол по делото DPC срещу Twitter в Ирландия
- Новинарски репортаж за съдебното дело, заведено от ирландския DPC
Лични данни на 60 милиона души за обучение на изкуствен интелект? Като че ли Неуспешен опит на Meta да използва незаконно личните данни на хората за проекти за изкуствен интелект не е достатъчно ясно послание, Twitter е следващата американска компания, която просто изсмуква данните на потребителите от ЕС, за да обучава изкуствен интелект. През май 2024 г. Twitter започна необратимо да вкарва данните на европейските потребители в своята технология за изкуствен интелект "Grok", без изобщо да ги информира или да поиска съгласието им.
Ирландският ДКП предприема половинчати действия. Очевидното игнориране на закона от страна на Twitter предизвика изненадващ отговор от страна на (прословутия прокорпоративен) ирландски DPC: Органът е предприел съдебни действия срещу Twitter за прекратяване на незаконното обработване и за налагане на заповед за привеждане на системите на Twitter в съответствие с GDPR. Съдебното заседание миналия четвъртък обаче разкри, че DPC изглежда е бил загрижен главно за т.нарсмекчаващи мерки" мерки и факта, че Twitter е започнал обработката, докато все още е бил в задължителен процес на консултация с ДЗД съгласно член 36 от ОРЗД. Изглежда, че ДПК не се занимава с основните нарушения.
Макс Шремс, председател на noyb: "Съдебните документи не са публични, но от устното изслушване разбираме, че ДКП не е поставяла под въпрос законосъобразността на самата обработка. Изглежда, че КЗД е била загрижена за така наречените "мерки за смекчаване на последиците" и липсата на сътрудничество от страна на Twitter. Изглежда, че КЗД предприема действия по периферията, но избягва основния проблем."
noyb подава молба за пълно разследване. Още по време на първото изслушване ирландският DPC се споразумя с Twitter (чрез така наречения "ангажимент") само да спре по-нататъшното обучение на алгоритъма с данни от ЕС до септември. Не е взето решение относно законосъобразността и много въпроси остават без отговор. Например: Какво се е случило с данните от ЕС, които вече са били въведени в системите, и как Twitter може (правилно) да раздели данните от ЕС и тези извън него? По тази причина, noyb е подала жалби по GDPR до органите за защита на данните в девет държави, за да гарантира, че основните правни проблеми около обучението на Twitter с изкуствен интелект са напълно решени. Колкото повече други органи за защита на данните в ЕС се включат в производството, толкова по-голям ще бъде натискът върху ирландския орган за защита на данните да продължи делото си и върху Twitter да спазва действително правото на ЕС.
Макс Шремс, председател на noyb: "През последните години станахме свидетели на безброй случаи на неефективно и частично прилагане на законодателството от страна на ДПК. Искаме да гарантираме, че Twitter спазва изцяло законодателството на ЕС, което - като минимум - изисква да поиска съгласие от потребителите в този случай."
Просто решение: Просто попитайте потребителите! ОРЗД на ЕС предоставя лесно решение за потребителите да "дарят" личните си данни за разработване на изкуствен интелект - просто поискайте от потребителите ясното им съгласие за такава обработка. Ако само малък брой от 60-те милиона потребители на Twitter дадат съгласието си за обучение на системите за ИИ, Twitter ще разполага с повече от достатъчно данни за обучение за всеки нов модел на ИИ. Но искането на разрешение от хората не е настоящият подход на Twitter, вместо това те просто вземат потребителски данни, без да информират потребителите или да получат разрешение от тях.
Макс Шремс, председател на noyb: "Компаниите, които взаимодействат директно с потребителите, просто трябва да им покажат подкана с "да/не", преди да използват техните данни. Те правят това редовно за много други неща, така че определено би било възможно и за обучението на ИИ."
Бизнес интересите са по-важни от основните права на потребителите? Обикновено обработването на лични данни е незаконно по подразбиране в Европейския съюз. Следователно, за да обработва лични данни, Twitter трябва да се позове на едно от шестте правни основания съгласно член 6, параграф 1 от ОРЗД. Въпреки че логичният избор би бил съгласие за избор, Twitter - подобно на Meta - твърди, че има "легитимен интерес", който има предимство пред основните права на потребителите. Този подход вече беше отхвърлен от Съда на ЕС по дело, свързано с използването на лични данни от Meta за целева реклама. Въпреки това изглежда, че през последните месеци ирландският ДКП "преговаря" по отношение на "законния интерес" в рамките на "консултация" съгласно член 36 от ОРЗД.
Макс Шремс: "Фактите, които сега знаем от ирландското съдебно производство, показват, че ДПК всъщност не е поставила под въпрос основния въпрос, а именно вземането на всички тези лични данни без съгласието на потребителя."
Информация, предоставена чрез "вирусна" публикация X. Както беше споменато по-горе, Twitter никога не е информирал активно своите потребители, че личните им данни се използват за обучение на изкуствен интелект - въпреки че ги засипва с известия всеки път, когато някой харесва или повторно туитва техни публикации. Напротив, изглежда, че повечето хора са разбрали за новата настройка по подразбиране чрез вирусен пост на потребител на име "@EasyBakedOven на 26 юли 2024 г. - повече от два месеца след началото на обучението на изкуствения интелект.
Какво ще кажете за другите права по GDPR? В момента доставчиците на системи с ИИ до голяма степен твърдят, че не са в състояние да спазват други изисквания на GDPR, като например правото да бъдеш забравен (член 17 от GDPR), след като данните са били погълнати в техните системи с ИИ. По подобен начин дружествата са склонни да твърдят, че не могат да отговорят на искания за получаване на копие от личните данни, съдържащи се в данните за обучение, или на източниците на тези данни (съгласно изискванията на член 15 от ОРЗД), нито могат да коригират неточни лични данни (съгласно изискванията на член 16 от ОРЗД). Това повдига допълнителни въпроси, когато става въпрос за неограниченото поглъщане на лични данни в системите с изкуствен интелект.
Широкомащабните нарушения на GDPR изискват спешна процедура. Като се има предвид, че Twitter вече е започнал да обработва данните на хората за своята технология за ИИ и че по същество няма възможност за премахване на погълнатите данни, нойб има поиска "спешна процедура" съгласно член 66 от ОРЗД. Органите за защита на данните (ОЗД) в девет европейски държави (Австрия, Белгия, Франция, Гърция, Ирландия, Италия, Нидерландия, Полша и Испания) са получили такова искане от името на местни субекти на данни. Член 66 разрешава на ОЗД да издават предварителни спирания в ситуации като описаната по-горе и дава възможност за вземане на решение в целия ЕС чрез ЕЗЗД. Ирландският ДЗД и Meta Ireland вече са били обект на две "спешни обвързващи решения" от страна на ЕНОЗД в подобни ситуации (вж. спешно обвързващо решение 01/2023 и спешно обвързващо решение 01/2021).
Нарушени са няколко разпоредби на ОРЗД. В допълнение към липсата на валидно правно основание е много малко вероятно Twitter да прави правилно разграничение между данните на потребителите в ЕС/ЕИП и други държави, в които хората не се ползват със защита по GDPR. Същото важи и за чувствителните данни съгласно член 9 от ОРЗД (за които "легитимен интерес" не е наличен аргумент съгласно закона), като например данни, разкриващи етническа принадлежност, политически възгледи и религиозни убеждения, както и други данни, за които "легитимен интерес" теоретично може да се претендира. С въвеждането на своята технология за изкуствен интелект Twitter изглежда е нарушил редица други разпоредби на ОРЗД, включително принципите на ОРЗД, правилата за прозрачност и оперативните правила. Като цяло, noyb'изброява в жалбите си нарушения на поне член 5, параграфи 1 и 2, член 6, параграф 1, член 9, параграф 1, член 12, параграфи 1 и 2, член 13, параграфи 1 и 2, член 17, параграф 1, буква в), член 18, параграф 1, буква г), член 19, член 21, параграф 1 и член 25 от ОРЗД.