Hiljattain Twitter International (joka on nykyään nimetty uudelleen nimellä "X") alkoi käyttää laittomasti yli 60 miljoonan EU/ETA-käyttäjän henkilötietoja tekoälyteknologiansa (kuten "Grok") kouluttamiseen ilman heidän suostumustaan. Toisin kuin Meta (joka myös joutui hiljattain lopettamaan tekoälykoulutuksen EU:ssa), Twitter ei edes ilmoittanut siitä käyttäjilleen etukäteen. Tämä meni liian pitkälle jopa Irlannin tietosuojakomissiolle (DPC): Viime viikolla se käynnisti oikeudenkäynnin Twitteriä vastaan lopettaakseen laittoman käsittelyn, mutta Irlannin tietosuojavaltuutettu ei näytä pysähtyneen panemaan GDPR:ää täysimääräisesti täytäntöön. noyb seuraa nyt yhdeksän valitusta.
- Valitukset, jotka on jätetty Itävalta, Belgia, Ranska, Kreikka, Irlanti, Italia, Alankomaat, Espanja ja Puola
- DPC vs. Twitter -tapauksen oikeudenkäyntitiedot Irlannissa
- Uutisraportti irlantilaisen DPC:n oikeustoimista
60 miljoonan ihmisen henkilötiedot tekoälyn kouluttamiseen? Ikään kuin Metan epäonnistunut yritys käyttää laittomasti ihmisten henkilötietoja tekoälyhankkeisiin, Twitter on seuraava yhdysvaltalainen yritys, joka imee EU:n käyttäjien tietoja tekoälyn kouluttamista varten. Twitter alkoi toukokuussa 2024 syöttää eurooppalaisten käyttäjien tietoja peruuttamattomasti Grok-teknologiaan ilman, että siitä olisi koskaan tiedotettu heille tai pyydetty heidän suostumustaan.
Irlannin tietosuojavaltuutettu ryhtyy puolittaisiin toimiin. Twitterin räikeä piittaamattomuus laista on saanut Irlannin (tunnetusti yritysmyönteisen) kuluttajansuojaviranomaisen yllättävän reaktion: viranomainen on ryhtynyt oikeustoimia Twitteriä vastaan lopettaakseen laittoman käsittelyn ja saadakseen määräyksen saattaa sen järjestelmät GDPR:n mukaisiksi. Viime torstaina järjestetyssä tuomioistuinkäsittelyssä kävi kuitenkin ilmi, että DPC näyttää olleen huolissaan lähinnä niin sanotuista "lieventäminen" toimenpiteistä ja siitä, että Twitter aloitti tietojenkäsittelyn, vaikka se oli vielä GDPR:n 36 artiklan mukaisessa pakollisessa kuulemismenettelyssä tietosuojaneuvoston kanssa. Tietosuojaneuvosto ei näytä puuttuvan keskeisiin rikkomuksiin.
Max Schrems, puheenjohtaja noyb: "Tuomioistuimen asiakirjat eivät ole julkisia, mutta suullisen kuulemisen perusteella olemme ymmärtäneet, että DPC ei kyseenalaistanut itse käsittelyn laillisuutta. Vaikuttaa siltä, että DPC oli huolissaan niin sanotuista "lieventämistoimenpiteistä" ja Twitterin yhteistyön puutteesta. DPC näyttää ryhtyvän toimenpiteisiin reunoilla, mutta välttelee ydinongelmaa."
noyb hakee täyttä tutkintaa. Jo ensimmäisen kuulemisen aikana Irlannin tietosuojaviranomainen on sopinut Twitterin kanssa (niin sanotun "sitoumuksen" kautta), että algoritmin jatkokoulutus EU:n tiedoilla keskeytetään syyskuuhun asti. Laillisuutta ei määritetty, ja monet kysymykset ovat edelleen vailla vastauksia. Esim: Mitä tapahtui EU:n tiedoille, jotka oli jo syötetty järjestelmiin, ja miten Twitter voi (asianmukaisesti) erottaa EU:n ja EU:n ulkopuoliset tiedot toisistaan? Tästä syystä, noyb on tehnyt GDPR-valituksen yhdeksän maan tietosuojaviranomaisille varmistaakseen, että Twitterin tekoälykoulutukseen liittyvät keskeiset oikeudelliset ongelmat ratkaistaan kokonaisuudessaan. Mitä enemmän muita EU:n tietosuojaviranomaisia osallistuu menettelyyn, sitä suurempi paine kohdistuu Irlannin tietosuojaviranomaisiin, jotta he saattaisivat asian loppuun ja Twitter todella noudattaisi EU:n lainsäädäntöä.
Max Schrems, puheenjohtaja noyb: "Olemme nähneet viime vuosina lukemattomia tapauksia, joissa tietosuojaviranomaiset eivät ole panneet tehokkaasti ja osittain täytäntöön lainsäädäntöä. Haluamme varmistaa, että Twitter noudattaa täysimääräisesti EU:n lainsäädäntöä, joka edellyttää vähintäänkin, että tässä tapauksessa käyttäjiltä pyydetään suostumus."
Yksinkertainen ratkaisu: Kysy vain käyttäjiltä! EU:n yleinen tietosuoja-asetus tarjoaa käyttäjille helpon ratkaisun "lahjoittaa" henkilötietojaan tekoälyn kehittämiseen - pyydä vain käyttäjiltä selkeä suostumus tällaiseen käsittelyyn. Jos vain pieni osa Twitterin 60 miljoonasta käyttäjästä antaisi suostumuksensa tekoälyjärjestelmiensä kouluttamiseen, Twitterillä olisi enemmän kuin tarpeeksi harjoitusdataa mitä tahansa uutta tekoälymallia varten. Twitter ei kuitenkaan pyytäisi ihmisiltä lupaa, vaan se vain ottaa käyttäjätietoja ilman käyttäjille tiedottamista tai heidän lupaansa.
Max Schrems, puheenjohtaja noyb: "Yritysten, jotka ovat suoraan vuorovaikutuksessa käyttäjien kanssa, on yksinkertaisesti näytettävä heille kyllä/ei-kehote ennen kuin ne käyttävät heidän tietojaan. Näin tehdään säännöllisesti monien muidenkin asioiden kohdalla, joten se olisi varmasti mahdollista myös tekoälyn koulutuksessa."
Yritysten edut ohittavat käyttäjien perusoikeudet? Yleensä henkilötietojen käsittely on Euroopan unionissa lähtökohtaisesti lainvastaista. Sen vuoksi Twitterin on henkilötietojen käsittelyä varten vedottava johonkin kuudesta yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan mukaisesta oikeusperustasta. Vaikka looginen valinta olisi opt-in-suostumus, Twitter - aivan kuten Meta - väittää, että sillä on "oikeutettu etu", joka menee käyttäjien perusoikeuksien edelle. Yhteisöjen tuomioistuin on jo hylännyt tämän lähestymistavan tapauksessa, joka koski henkilötietojen käyttöä kohdennettua mainontaa varten. Näyttää kuitenkin siltä, että Irlannin tietosuojaneuvosto on viime kuukausien aikana "neuvotellut" asiasta "oikeutetusta edusta" lähestymistavasta "kuulemisessa" menettelystä yleisen tietosuoja-asetuksen 36 artiklan mukaisesti.
Max Schrems: "Irlantilaisesta oikeudenkäynnistä nyt tiedossa olevat seikat osoittavat, että tietosuojaneuvosto ei ole kyseenalaistanut ydinkysymystä, joka on kaikkien näiden henkilötietojen ottaminen ilman käyttäjän suostumusta."
Tiedot toimitettu "virallisen" X-postin kautta. Kuten edellä mainittiin, Twitter ei ole koskaan ennakoivasti ilmoittanut käyttäjilleen, että heidän henkilötietojaan käytetään tekoälyn kouluttamiseen - vaikka se roskapostittaa käyttäjille ilmoituksia joka kerta, kun joku tykkää tai uudelleentwiittaa heidän viestejään. Päinvastoin, näyttää siltä, että useimmat ihmiset saivat tietää uudesta oletusasetuksesta erään käyttäjän nimeltä '@EasyBakedOven' 26. heinäkuuta 2024 - yli kaksi kuukautta tekoälyn harjoittelun aloittamisen jälkeen.
Entä muut GDPR-oikeudet? Tällä hetkellä tekoälyjärjestelmien tarjoajat väittävät suurelta osin, että ne eivät pysty noudattamaan muita GDPR:n vaatimuksia, kuten oikeutta tulla unohdetuksi (GDPR:n 17 artikla), sen jälkeen kun tiedot on tallennettu niiden tekoälyjärjestelmiin. Samoin yritykset väittävät, että ne eivät voi vastata pyyntöihin saada kopio koulutustietoihin sisältyvistä henkilötiedoista tai niiden lähteistä (kuten tietosuoja-asetuksen 15 artiklassa edellytetään) eivätkä korjata virheellisiä henkilötietoja (kuten tietosuoja-asetuksen 16 artiklassa edellytetään). Tämä herättää lisäkysymyksiä, kun on kyse henkilötietojen rajoittamattomasta tallentamisesta tekoälyjärjestelmiin.
Laajamittaiset tietosuoja-asetuksen rikkomukset edellyttävät hätätilamenettelyä. Kun otetaan huomioon, että Twitter on jo aloittanut ihmisten tietojen käsittelyn tekoälyteknologiaansa varten ja että sisäänotettujen tietojen poistamiseen ei ole periaatteessa mitään mahdollisuutta, noyb on pyytänyt "kiireellistä menettelyä" yleisen tietosuoja-asetuksen 66 artiklan nojalla. Yhdeksän Euroopan maan (Alankomaat, Belgia, Espanja, Irlanti, Italia, Itävalta, Kreikka, Italia, Itävalta, Puola, Ranska ja Espanja) tietosuojaviranomaiset ovat saaneet tällaisen pyynnön paikallisten rekisteröityjen puolesta. Direktiivin 66 artiklassa valtuutetaan tietosuojaviranomaiset antamaan alustavia keskeytyksiä edellä kuvatun kaltaisissa tilanteissa ja mahdollistetaan EU:n laajuinen päätös Euroopan tietosuojaneuvoston kautta. Irlannin tietosuojaviranomainen ja Meta Ireland ovat jo tehneet kaksi "kiireellistä sitovaa päätöstä" Euroopan tietosuojaneuvoston toimesta vastaavissa tilanteissa (ks. kiireellinen sitova päätös 01/2023 ja kiireellinen sitova päätös 01/2021).
Useita tietosuoja-asetuksen säännöksiä rikottu. Voimassa olevan oikeusperustan puuttumisen lisäksi on erittäin epätodennäköistä, että Twitter erottaa asianmukaisesti toisistaan EU:n/ETA:n käyttäjien tiedot ja tiedot muista maista, joissa ihmiset eivät nauti GDPR:n suojaa. Sama koskee GDPR:n 9 artiklan mukaisia arkaluonteisia tietoja (joiden osalta "oikeutettu etu" -argumentti ei ole lain mukaan käytettävissä), kuten etnistä alkuperää, poliittisia mielipiteitä ja uskonnollista vakaumusta koskevat tiedot, sekä muut tiedot, joiden osalta "oikeutettu etu" voitaisiin teoriassa vedota. Tekoälyteknologiansa käyttöönoton myötä Twitter näyttää rikkoneen useita muita tietosuoja-asetuksen säännöksiä, kuten tietosuoja-asetuksen periaatteita, avoimuussääntöjä ja toimintasääntöjä. Kaiken kaikkiaan, noybvalituksissa luetellaan ainakin yleisen tietosuoja-asetuksen 5 artiklan 1 ja 2 kohdan, 6 artiklan 1 kohdan, 9 artiklan 1 kohdan, 12 artiklan 1 ja 2 kohdan, 13 artiklan 1 ja 2 kohdan, 17 artiklan 1 kohdan c alakohdan, 18 artiklan 1 kohdan d alakohdan, 19 artiklan, 21 artiklan 1 kohdan ja 25 artiklan rikkomukset.