A közelmúltban a Twitter International (most már "X" néven) több mint 60 millió EU/EGT-felhasználó személyes adatait kezdte el jogellenesen felhasználni mesterséges intelligencia technológiáinak (például a "Grok"-nak) a hozzájárulásuk nélkül történő kiképzéséhez. A Metával ellentétben (amely nemrégiben szintén kénytelen volt leállítani a mesterséges intelligencia képzését az EU-ban) a Twitter még csak nem is tájékoztatta előzetesen a felhasználóit. Ez még az ír adatvédelmi bizottságnak (DPC) is túl messzire ment: A múlt héten bírósági eljárást indított a Twitter ellen a jogellenes adatkezelés leállítása érdekében, de úgy tűnik, az ír DPC megállta a helyét a GDPR teljes körű érvényesítésében. noyb most kilenc panasszal jár utána.
- A benyújtott panaszok Ausztria, Belgium, Franciaország, Görögország, Írország, Olaszország, Hollandia, Spanyolország és Lengyelország
- A DPC -v- Twitter ügy bírósági jegyzőkönyve Írországban
- Hírjelentés az ír DPC jogi lépéseiről
60 millió ember személyes adatai a mesterséges intelligencia képzéséhez? Mintha A Meta sikertelen kísérlete az emberek személyes adatainak AI-projektekhez való illegális felhasználása nem elég egyértelmű üzenet, a Twitter a következő amerikai vállalat, amely az uniós felhasználók adatait akarja elszívni az AI képzése céljából. A Twitter 2024 májusában kezdte el visszafordíthatatlanul betáplálni az európai felhasználók adatait a "Grok" mesterséges intelligencia technológiájába, anélkül, hogy erről tájékoztatta volna őket, vagy hozzájárulást kért volna tőlük.
Az ír adatvédelmi hatóság félszívvel lépett fel. A Twitter nyilvánvaló tudatlansága a joggal szemben meglepő választ váltott ki a (hírhedten vállalatbarát) ír adatvédelmi hatóságból: a hatóság a következő lépéseket tette bírósági eljárást indított a Twitter ellen a jogellenes adatfeldolgozás leállítása és annak elrendelése érdekében, hogy rendszereit hozza összhangba a GDPR-rel. A múlt csütörtöki bírósági meghallgatáson azonban kiderült, hogy a DPC a jelek szerint elsősorban az úgynevezett "enyhítéssel" intézkedésekkel és azzal, hogy a Twitter akkor kezdte meg a feldolgozást, amikor még a GDPR 36. cikke szerinti kötelező konzultációs eljárás alatt állt a DPC-vel. A DPC úgy tűnik, hogy nem megy az alapvető jogsértések.
Max Schrems, a noyb: "A bírósági dokumentumok nem nyilvánosak, de a szóbeli meghallgatásból úgy tudjuk, hogy a DPC nem magának a feldolgozásnak a jogszerűségét kérdőjelezte meg. Úgy tűnik, hogy a DPC az úgynevezett "enyhítő intézkedésekkel" és a Twitter együttműködésének hiányával foglalkozott. A DPC úgy tűnik, hogy a széleken intézkedik, de a probléma lényege elől elzárkózik."
noyb teljes körű vizsgálatot kér. Az ír DPC már az első meghallgatás során megegyezett a Twitterrel (egy úgynevezett "kötelezettségvállaláson" keresztül), hogy szeptemberig csak szünetelteti az algoritmus további képzését az uniós adatokkal. A jogszerűségről nem született döntés, és számos kérdés megválaszolatlan maradt. Például: Mi történt azokkal az uniós adatokkal, amelyek már bekerültek a rendszerekbe, és hogyan tudja a Twitter (megfelelően) szétválasztani az uniós és a nem uniós adatokat? Emiatt, noyb kilenc ország adatvédelmi hatóságainál GDPR-panaszt nyújtott be, hogy a Twitter mesterséges intelligencia képzésével kapcsolatos alapvető jogi problémákat teljes körűen kezeljék. Minél több más uniós adatvédelmi hatóság is bekapcsolódik az eljárásba, annál nagyobb lesz a nyomás az ír adatvédelmi hatóságon, hogy végigvigye az ügyet, és a Twitteren, hogy valóban megfeleljen az uniós jognak.
Max Schrems, a noyb: "Az elmúlt években számtalan esetben tapasztaltuk, hogy a DPC nem hatékony és részleges végrehajtást hajtott végre. Biztosítani szeretnénk, hogy a Twitter teljes mértékben megfeleljen az uniós jognak, amely - minimálisan - megköveteli, hogy ebben az esetben a felhasználók hozzájárulását kérje."
Egyszerű megoldás: Csak kérdezze meg a felhasználókat! Az uniós GDPR egyszerű megoldást kínál arra, hogy a felhasználók "felajánlják" személyes adataikat a mesterséges intelligencia fejlesztésére - csak kérjék a felhasználók egyértelmű hozzájárulását az ilyen jellegű adatkezeléshez. Ha a Twitter 60 millió felhasználójának csak egy kis része hozzájárulna az AI-rendszerek képzéséhez, a Twitternek több mint elegendő képzési adat állna rendelkezésére bármely új AI-modellhez. A Twitter azonban jelenleg nem kér engedélyt az emberektől, ehelyett a felhasználók tájékoztatása és engedélye nélkül veszi el a felhasználói adatokat.
Max Schrems, a noyb: "Azoknak a vállalatoknak, amelyek közvetlenül kapcsolatba lépnek a felhasználókkal, egyszerűen csak egy igen/nem kérést kell mutatniuk nekik, mielőtt felhasználják az adataikat. Ezt sok más dolog esetében is rendszeresen megteszik, így ez az AI-képzés esetében is biztosan lehetséges lenne."
Az üzleti érdekek felülírják a felhasználók alapvető jogait? Normális esetben a személyes adatok feldolgozása alapesetben jogellenes az Európai Unióban. Ezért a személyes adatok feldolgozásához a Twitternek a GDPR 6. cikkének (1) bekezdése szerinti hat jogalap valamelyikére kell támaszkodnia. Bár a logikus választás az opt-in hozzájárulás lenne, a Twitter - a Meta-hoz hasonlóan - azt állítja, hogy "jogos érdeke", amely felülírja a felhasználók alapvető jogait. Ezt a megközelítést a Bíróság már elutasította a Meta által a személyes adatok célzott reklámozásra történő felhasználásával kapcsolatos ügyben. Úgy tűnik azonban, hogy az ír DPC az elmúlt hónapokban "tárgyalt a" a "jogos érdek" megközelítésről egy "konzultáció" eljárás keretében a GDPR 36. cikke szerint.
Max Schrems: "Az ír bírósági eljárásból most ismert tények azt mutatják, hogy a DPC nem igazán kérdőjelezte meg a lényegi kérdést, vagyis azt, hogy a felhasználók hozzájárulása nélkül gyűjtötték be az összes személyes adatot."
A "vírusos" X poszton keresztül nyújtott információ. Mint fentebb említettük, a Twitter soha nem tájékoztatta proaktívan a felhasználóit arról, hogy a személyes adataikat az AI képzéséhez használják - annak ellenére, hogy minden alkalommal értesítésekkel spammeli őket, amikor valaki kedveli vagy újratweeteli a posztjaikat. Éppen ellenkezőleg, úgy tűnik, hogy a legtöbben egy vírusos posztból értesültek az új alapértelmezett beállításról, amelyet egy felhasználó, név szerint '@EasyBakedOven' 2024. július 26-án - több mint két hónappal a mesterséges intelligencia képzésének megkezdése után.
Mi a helyzet a GDPR egyéb jogaival? Jelenleg az AI-rendszerek szolgáltatói nagyrészt azt állítják, hogy nem tudnak megfelelni a GDPR egyéb követelményeinek, például az elfeledtetéshez való jognak (GDPR 17. cikk), ha az adatokat már bevitték az AI-rendszereikbe. Hasonlóképpen, a vállalatok általában azt állítják, hogy nem tudnak válaszolni a képzési adatokban szereplő személyes adatok másolatára vagy az ilyen adatok forrásaira vonatkozó kérésekre (amint azt a GDPR 15. cikke előírja), és nem tudják kijavítani a pontatlan személyes adatokat (amint azt a GDPR 16. cikke előírja). Ez további kérdéseket vet fel a személyes adatoknak a mesterséges intelligencia rendszerekbe történő korlátlan bevitelével kapcsolatban.
A GDPR nagymértékű megsértése sürgősségi eljárást tesz szükségessé. Tekintettel arra, hogy a Twitter már megkezdte az emberek adatainak feldolgozását az AI-technológiája számára, és hogy lényegében nincs lehetőség a felvett adatok eltávolítására, noyb a a GDPR 66. cikke alapján "sürgősségi eljárást" kért. Kilenc európai ország (Ausztria, Belgium, Franciaország, Görögország, Írország, Hollandia, Írország, Ausztria, Lengyelország, Spanyolország, Olaszország és Hollandia) adatvédelmi hatóságai (DPA) kaptak ilyen kérelmet a helyi érintettek nevében. A 66. cikk felhatalmazza az adatvédelmi hatóságokat arra, hogy a fent leírtakhoz hasonló helyzetekben előzetes leállítást rendeljenek el, és lehetővé teszi, hogy az egész EU-ra kiterjedő határozatot hozzanak az EDPB-n keresztül. Az ír adatvédelmi hatóság és a Meta Ireland hasonló helyzetekben már két "sürgős kötelező erejű határozatot" hozott az EDPB által (lásd a 01/2023. számú sürgős kötelező erejű határozatot és a 01/2021. számú sürgős kötelező erejű határozatot).
Több GDPR rendelkezést megsértettek. Az érvényes jogalap hiányán túlmenően igen valószínűtlen, hogy a Twitter megfelelően különbséget tesz az EU/EGT-n belüli felhasználók adatai és más olyan országok adatai között, ahol az emberek nem élveznek GDPR-védelmet. Ugyanez vonatkozik a GDPR 9. cikke szerinti érzékeny adatokra is (amelyekre a "jogos érdek" érv nem áll rendelkezésre a törvény értelmében), mint például az etnikai hovatartozást, politikai véleményt és vallási meggyőződést feltáró adatok, valamint más olyan adatok, amelyek esetében a "jogos érdek" elméletileg hivatkozni lehetne. Úgy tűnik, hogy a Twitter az AI-technológia bevezetésével számos más GDPR-rendelkezést is megsértett, beleértve a GDPR alapelveit, az átláthatósági szabályokat és a működési szabályokat. Összességében, noybpanaszai legalább a GDPR 5. cikke (1) és (2) bekezdésének, 6. cikke (1) bekezdésének, 9. cikke (1) bekezdésének, 12. cikke (1) és (2) bekezdésének, 13. cikke (1) és (2) bekezdésének, 17. cikke (1) bekezdésének c) pontjának, 18. cikke (1) bekezdésének d) pontjának, 19. cikkének, 21. cikke (1) bekezdésének és 25. cikkének megsértését sorolják fel.
