A Meta bejelentette, hogy május 27-től az Instagram- és Facebook-felhasználók uniós személyes adatait fogja felhasználni új mesterséges intelligencia-rendszereinek betanításához. Ahelyett, hogy a fogyasztóktól opt-in hozzájárulást kérne, a Meta egy állítólagos "jogos érdekre" hivatkozva egyszerűen elszívja az összes felhasználói adatot. Az új uniós kollektív jogorvoslati irányelv lehetővé teszi a minősített szervezetek számára, mint például a noyb az egész EU-ra kiterjedő jogsértés megszüntetésére irányuló intézkedéseket hozhatnak. Első lépésként, noyb most egy hivatalos egyezségi javaslatot küldött a Metának egy úgynevezett "Cease and Desist" levél formájában. Más fogyasztói csoportok is lépéseket tesznek. Ha a jogsértés megszüntetésére irányuló keresetet benyújtják és megnyerik, a Meta a fogyasztóknak okozott károkért is felelhet, amit egy külön uniós csoportos kereset keretében lehetne érvényesíteni. A kártérítés akár milliárdos nagyságrendű is lehet. Összefoglalva, a Meta hatalmas jogi kockázatokkal nézhet szembe - már csak azért is, mert a mesterséges intelligencia képzésében "opt-out" helyett "opt-in" rendszerre támaszkodik.
- noyb's Cease and Desist Letter to Meta Ireland
- A Reuters jelentése a noyb felszólító leveléről
- A német VZ NRW sajtóközleménye a Németországra vonatkozó előzetes felszólításról
- A Meta groteszk közleménye a német VZ NRW előzetes végzésével kapcsolatban
- Korábbi noyb panaszok a Meta AI képzési tervei ellen
A Meta AI nem felel meg a GDPR-nak. A személyes adatok felhasználásához a vállalatoknak a GDPR 6. cikkének (1) bekezdése szerint hat jogalap egyikének kell megfelelniük. Ezek egyike az opt-in hozzájárulás, ami azt jelenti, hogy a felhasználók választhatják a "szabadon megadott, konkrét, tájékozott és egyértelmű hozzájárulásukat" "Igen" az adataik feldolgozására - vagy nemet mondanak, esetleg hallgatnak. A vállalatok azonban az ún "jogos érdekre" hivatkozhatnak a személyes adatok feldolgozására. Egy tolvaj például nem járul hozzá ahhoz, hogy egy CCTV-kamera filmezze őt - de egy banknak mégis "jogos érdeke" lehet a CCTV-kamerák működtetése. Ahelyett, hogy a felhasználók választhatnának az "igen" és a "nem" között, a Meta azt állítja, hogy "jogos érdeke", hogy az adataikat csak az AI-képzéshez használja. Így a felhasználóknak csak a tiltakozás (opt-out) joga marad a GDPR 21. cikke alapján. A Meta azonban még ezt a (törvényes) jogot is korlátozza, mondván, hogy ez csak akkor érvényes, ha az emberek a képzés megkezdése előtt lemondanak róla.
A Meta valószínűleg más GDPR-jogoknak sem fog tudni megfelelni (például a feledésbe merüléshez való jognak, a téves adatok helyesbítéséhez való jognak, vagy annak, hogy a felhasználók hozzáférjenek az AI-rendszerben tárolt adataikhoz). A Meta továbbá mesterséges intelligenciamodelleket (például Llama) nyílt forráskódú szoftverként bárki számára letölthető és használható. Ez azt jelenti, hogy a Meta aligha tudja visszahívni vagy frissíteni a modellt, miután azt közzétették.
Max Schrems: "Az Európai Bíróság már kimondta, hogy a Meta nem hivatkozhat "jogos érdekre" a felhasználók reklámokkal való megcélzásához. Hogyan lehetne "jogos érdeke", hogy minden adatot elszívjon az AI képzéséhez? Bár a "jogos érdek" értékelése mindig többtényezős teszt, úgy tűnik, hogy a Meta esetében minden tényező rossz irányba mutat. A Meta egyszerűen azt állítja, hogy a pénzszerzéshez fűződő érdeke fontosabb, mint a felhasználók jogai."
Egyszerű megoldás: Kérje a felhasználók hozzájárulását! Miközben a Meta azt a képet próbálja festeni, hogy a GDPR-nak való megfelelés lehetetlenné tenné a mesterséges intelligencia képzését az EU-ban (lásd a Németországra vonatkozó abszurd sajtóközleményüket), a GDPR szerinti jogi megoldás egyszerű: A Meta-nak csak opt-in hozzájárulást kellene kérnie a felhasználóktól (opt-out tiltakozás helyett), hogy személyes adataikat AI-tréningre használhassa. Tekintettel arra, hogy a Meta hatalmas felhasználói létszámmal rendelkezik, az EU-s nyelvtanuláshoz és hasonlókhoz már egyértelműen elegendő lenne, ha legalább 10%-uk beleegyezne az ilyen képzésbe. Ha a Meta világosan megfogalmazná a képzés feltételeit (pl. anonimizálás és hasonlók), a felhasználók valószínűleg megadnák adataikat. Teljesen abszurd azonban az az érvelés, hogy a Metának szüksége van a következő személyek személyes adataira mindenki aki az elmúlt 20 évben a Facebookot vagy az Instagramot használta a mesterséges intelligencia képzéséhez. A legtöbb más AI-szolgáltató (mint az OpenAI vagy a francia Mistral) egyáltalán nem fér hozzá a közösségi média adataihoz, és mégis felülmúlják a Meta AI-rendszereit.
Max Schrems: " Ez a harc lényegében arról szól, hogy kérjünk-e beleegyezést az emberektől, vagy egyszerűen csak vegyük el az adataikat anélkül. A Meta hatalmas harcot indít csak azért, hogy opt-out rendszerrel rendelkezzen az opt-in rendszer helyett. Ehelyett egy állítólagos "jogos érdekre" hivatkoznak, hogy csak úgy elvegyék az adatokat és fussanak velük. Ez nem törvényes és nem is szükséges. A Meta abszurd állításai, miszerint mindenki személyes adatainak ellopása szükséges az AI képzéséhez, nevetségesek. Más AI-szolgáltatók nem használják a közösségi hálózati adatokat - és még a Metánál is jobb modelleket állítanak elő."
Kötelező érvénytelenítés és potenciális csoportos keresetek. Az új uniós kollektív jogorvoslati irányelv szerinti minősített szervezetként, noyb a Meta-hoz hasonló cégek jogellenes gyakorlatának megszüntetése érdekében végzéssel élhet. Ilyen ügyek különböző joghatóságokban indíthatók, nem csak a Meta írországi székhelyén. Ha az illetékes bíróság megadja a végzést, a Meta nem csak a feldolgozást kell, hogy leállítsa, hanem a jogellenesen kiképzett mesterséges intelligencia rendszereket is törölnie kell. Ha az uniós adatokat nem uniós adatokkal "keverik", akkor a teljes mesterséges intelligenciamodellt törölni kell. Bármilyen végzés megállítaná azt az időt is, ameddig az emberek kártérítési igényt nyújthatnak be ("elévülési idő"). Ez azt jelenti, hogy minden egyes nappal, amikor a Meta továbbra is európai adatokat használ fel mesterséges intelligencia képzéséhez, a felhasználók által benyújtott lehetséges kártérítési igények száma nőne. A GDPR lehetővé teszi a nem vagyoni kártérítéseket, amelyek általában több száz vagy ezer főre rúgnak felhasználónként.
A puszta tiltó végzés mellett bármely Jogosult Jogalany (az amerikai csoportos keresethez hasonlóan) jogorvoslati keresetet is indíthat, hogy a nagy felhasználói csoportok ilyen kárait megtérítse. noyb vagy bármely más minősített szervezet (lásd az EU jelenlegi listáját) évek állnának rendelkezésére, hogy ilyen keresetet nyújtson be, ha a Meta nem változtat irányt. Ha a nem vagyoni kár csak 500 euró lenne felhasználónként, az a körülbelül 400 millió havi aktív európai Meta-felhasználó esetében 200 milliárd euróra rúgna.
Max Schrems: "Jelenleg vizsgáljuk a jogsértés megszüntetésére irányuló lehetőségeinket, de lehetőség van a nem vagyoni kártérítésre irányuló csoportos kereset benyújtására is. Ha belegondolunk a több mint 400 millió európai Meta-felhasználóba, akik mindannyian mindössze 500 euró körüli kártérítést követelhetnek, máris kiszámolhatjuk. Nagyon meglepődtünk, hogy a Meta csak azért vállalja ezt a kockázatot, hogy ne kelljen a felhasználók hozzájárulását kérni."
Eljárási tilalmak más uniós joghatóságokban. Miközben a Meta által a GDPR égbekiáltó megsértésére adott reakció gyorsan alakul, noyb úgy tudja, hogy az EU-ban különböző csoportok vizsgálják a peres eljárások lehetőségeit. A német fogyasztóvédelmi szervezetek (élükön az észak-rajna-vesztfáliai Verbraucherzentrale, "VZ NRW") már nyilvánosságra hozták keresetindítási szándékukat. Várhatóan sok magánszemély is keresetet indíthat a Meta ellen az adatainak mesterséges intelligencia képzéséhez történő felhasználása miatt.
Max Schrems: "Arra számítunk, hogy a közösségi médiaadatok mesterséges intelligencia képzésre történő felhasználása sok peres eljárást indít majd az egész EU-ban. Már ennek a pereskedésnek a kezelése is hatalmas feladat lesz a Meta számára."
Az adatvédelmi hatóságok a jelek szerint nem értenek egyet. A nemzeti adatvédelmi hatóságoknak - elméletileg - végrehajtási intézkedéseket kellene hozniuk a GDPR be nem tartása esetén. Azonban egy olyan légkörben, ahol az EU mindenáron kevesebb szabályozást és több "innovációt" akar, most azt tapasztaljuk, hogy egyes uniós országokban az adatvédelmi hatóságok nagyrészt csak a Meta hírvivőjeként működnek: Sok adatvédelmi hatóság csak "tájékoztatta" hogy sürgősen le kell mondaniuk a Meta mesterséges intelligencia képzéséről. Ezzel a Meta helyett a felhasználókra hárul a felelősség. A Meta nyilvánosan azt is állítja, hogy "elkötelezte magát" az uniós szabályozó hatóságokkal a közösségi médiaadatok mesterséges intelligencia képzésre való felhasználásáról. A Meta azonban, amennyire a noyb információink szerint az adatvédelmi hatóságok nagyrészt hallgatnak a hozzájárulás nélküli mesterséges intelligencia-tréning jogszerűségéről. Úgy tűnik tehát, hogy a Meta egyszerűen csak továbblépett - újabb hatalmas jogi kockázatot vállalva az EU-ban, és lábbal tiporva a felhasználók jogait.
Max Schrems: "Amennyire hallottuk, a Meta "tárgyalt" a hatóságokkal, de ez nem vezetett semmilyen "zöld lámpához". Úgy tűnik, hogy a Meta egyszerűen továbblép, és figyelmen kívül hagyja az EU adatvédelmi hatóságait. A hatóságok viszont úgy tűnik, hogy csak hallgatnak, és azt mondják a felhasználóknak, hogy védjék meg magukat. Tanúi vagyunk annak, hogy az adatvédelmi hatóságok egyre inkább veszítenek jelentőségükből, és a civil szervezeteknek a bíróságok előtt kell fellépniük."
