Meta heeft aangekondigd dat het vanaf 27 mei persoonlijke gegevens van Instagram- en Facebook-gebruikers uit de EU zal gebruiken om zijn nieuwe AI-systemen te trainen. In plaats van consumenten te vragen om opt-in toestemming, beroept Meta zich op een vermeend 'legitiem belang' om gewoon alle gebruikersgegevens op te zuigen. De nieuwe EU-richtlijn voor collectief verhaal staat gekwalificeerde instanties zoals noyb in staat om in de hele EU rechterlijke bevelen uit te vaardigen. Als eerste stap, heeft noyb nu een formeel schikkingsvoorstel in de vorm van een zogenaamde 'Cease and Desist'-brief naar Meta gestuurd. Andere consumentengroepen ondernemen ook actie. Als verbodsacties worden ingesteld en gewonnen, kan Meta ook aansprakelijk zijn voor schade aan consumenten, die in een aparte EU-groepsactie kan worden aangespannen. De schade kan in de miljarden lopen. Kortom, Meta kan enorme juridische risico's lopen - alleen omdat het vertrouwt op een "opt-out" in plaats van een "opt-in" systeem voor AI-training.
- noyb'Cease and Desist' brief aan Meta Ierland
- Reuters bericht over noyb's dwangbrief
- Persbericht van het Duitse VZ NRW over het voorlopige bevel voor Duitsland
- Groteske verklaring van Meta over het voorlopige bevel van het Duitse VZ NRW
- Eerdere noyb-klachten tegen Meta's AI-trainingsplannen
Meta AI niet in overeenstemming met GDPR. Om persoonlijke gegevens te gebruiken, moeten bedrijven voldoen aan een van de zes rechtsgrondslagen volgens artikel 6(1) GDPR. Een daarvan is opt-in toestemming, wat betekent dat gebruikers ervoor kunnen kiezen om een "vrij gegeven, specifieke, geïnformeerde en ondubbelzinnige" "Ja" te geven voor de verwerking van hun gegevens - of om nee te zeggen of zelfs te zwijgen. Bedrijven kunnen zich echter ook beroepen op een zogenaamd "legitiem belang om persoonlijke gegevens te verwerken. Een dief zal er bijvoorbeeld geen toestemming voor geven dat een CCTV-camera hem filmt - maar een bank kan nog steeds een 'legitiem belang' hebben om CCTV-camera's te hebben. In plaats van gebruikers te laten kiezen tussen "Ja" of "Nee", beweert Meta dat het een dergelijk "legitiem belang" heeft om hun gegevens gewoon te gebruiken voor AI-training. Dit geeft gebruikers alleen het recht om bezwaar te maken (opt-out) onder Artikel 21 GDPR. Maar Meta beperkt zelfs dit (wettelijke) recht door te zeggen dat het alleen van toepassing is als mensen zich afmelden voordat de training is begonnen.
Meta zal waarschijnlijk ook niet kunnen voldoen aan andere GDPR-rechten (zoals het recht om vergeten te worden, het recht om onjuiste gegevens te laten rectificeren of om gebruikers toegang te geven tot hun gegevens in een AI-systeem). Bovendien levert Meta AI-modellen (zoals Llama) aan als open-source software die iedereen kan downloaden en gebruiken. Dit betekent dat Meta een eenmaal gepubliceerd model nauwelijks kan terugroepen of bijwerken.
Max Schrems: "Het Europese Hof van Justitie heeft al geoordeeld dat Meta zich niet kan beroepen op een 'legitiem belang' om gebruikers te targeten met reclame. Hoe kan het dan een 'legitiem belang' hebben om alle gegevens op te zuigen voor AI-training? Hoewel de 'legitiem belang' beoordeling altijd een multi-factor test is, lijken alle factoren in de verkeerde richting te wijzen voor Meta. Meta zegt simpelweg dat het belang om geld te verdienen belangrijker is dan de rechten van zijn gebruikers."
Simpele oplossing: Vraag gebruikers om toestemming! Terwijl Meta het beeld probeert te schetsen dat naleving van de GDPR AI-training in de EU onmogelijk zou maken (zie hun absurde persbericht voor Duitsland), is de wettelijke oplossing onder de GDPR eenvoudig: Meta zou gebruikers gewoon om een opt-in toestemming moeten vragen (in plaats van een opt-out bezwaar) om hun persoonlijke gegevens te gebruiken voor AI-training. Gezien het feit dat Meta enorme aantallen gebruikers heeft, zou 10% of meer instemmen met een dergelijke training al duidelijk voldoende zijn om EU-talen en dergelijke te leren. Als Meta duidelijk zou zijn over de voorwaarden voor training (bijv. anonimisering en dergelijke) is het waarschijnlijk dat gebruikers hun gegevens zouden verstrekken. Het is echter volkomen absurd om te beweren dat Meta de persoonlijke gegevens nodig heeft van iedereen die Facebook of Instagram in de afgelopen 20 jaar heeft gebruikt om AI te trainen. De meeste andere AI-aanbieders (zoals OpenAI of het Franse Mistral) hebben geen enkele toegang tot sociale mediagegevens en concurreren nog steeds beter dan de AI-systemen van Meta.
Max Schrems: " Dit gevecht gaat in wezen over de vraag of we mensen om toestemming moeten vragen of gewoon hun gegevens moeten nemen zonder die toestemming. Meta begint een enorm gevecht alleen maar om een opt-out systeem in plaats van een opt-in systeem. In plaats daarvan beroepen ze zich op een vermeend 'legitiem belang' om gewoon de gegevens te nemen en er mee vandoor te gaan. Dit is noch legaal noch noodzakelijk. De absurde beweringen van Meta dat het stelen van ieders persoonlijke gegevens noodzakelijk is voor AI-training is lachwekkend. Andere AI-aanbieders gebruiken geen sociale netwerkgegevens - en genereren zelfs betere modellen dan Meta."
Dwangmaatregelen & potentiële groepsacties. Als een gekwalificeerde entiteit onder de nieuwe EU-richtlijn voor collectief verhaal, noyb een kort geding aanspannen om een einde te maken aan een onwettige praktijk van een bedrijf als Meta. Dergelijke zaken kunnen in verschillende rechtsgebieden worden aangespannen, niet alleen op het hoofdkantoor van Meta in Ierland. Als de bevoegde rechtbank een gerechtelijk bevel toekent, moet Meta niet alleen de verwerking stopzetten, maar ook alle illegaal getrainde AI-systemen verwijderen. Als EU-gegevens worden "gemengd" met niet-EU-gegevens, moet het hele AI-model worden verwijderd. Een gerechtelijk bevel zou ook de klok stilzetten over hoe lang mensen schadeclaims kunnen indienen ("verjaringstermijn"). Dit betekent dat met elke dag dat Meta doorgaat met het gebruiken van Europese gegevens voor AI-training, de potentiële schadeclaims van gebruikers toenemen. De GDPR staat immateriële schadevergoedingen toe die meestal in de honderden of duizenden per gebruiker lopen.
Naast een louter gerechtelijk bevel kan elke bevoegde entiteit ook een schadevergoedingsactie instellen (vergelijkbaar met een Amerikaanse class action) om dergelijke schade voor grote gebruikersgroepen terug te vorderen. noyb of een andere bevoegde entiteit (zie huidige lijst van de EU) zou jaren de tijd hebben om zo'n rechtszaak aan te spannen als Meta zijn koers niet wijzigt. Als de immateriële schade slechts € 500 per gebruiker zou bedragen, zou dat neerkomen op ongeveer € 200 miljard voor de ruwweg 400 miljoen maandelijks actieve Meta-gebruikers in Europa.
Max Schrems: "We evalueren momenteel onze opties om een gerechtelijk bevel in te dienen, maar er is ook de optie voor een volgende class action voor immateriële schade. Als je denkt aan de meer dan 400 miljoen Europese Meta-gebruikers die allemaal een schadevergoeding van slechts €500 of zo zouden kunnen eisen, kun je de rekensom maken. Het verbaast ons ten zeerste dat Meta dit risico neemt alleen maar om gebruikers niet om toestemming te hoeven vragen."
Verbodsacties in andere EU-rechtsgebieden. Terwijl de reactie op Meta's flagrante schending van de GDPR zich snel ontwikkelt, noyb begrepen dat verschillende groepen in de EU opties voor rechtszaken aan het bekijken zijn. De Duitse consumentenorganisaties (onder leiding van de Verbraucherzentrale in Nordrhein-Westfalen, "VZ NRW") hebben hun intentie om actie te ondernemen al openbaar gemaakt. Het is ook te verwachten dat veel individuen actie zullen ondernemen tegen Meta voor het gebruik van hun gegevens voor AI-training.
Max Schrems: "We zouden verwachten dat het gebruik van sociale mediagegevens voor AI-training veel rechtszaken in de hele EU zou uitlokken. Zelfs het beheren van deze rechtszaken zal een enorme taak zijn voor Meta."
De gegevensbeschermingsautoriteiten lijken dit niet goed te keuren. De nationale gegevensbeschermingsautoriteiten (Data Protection Authorities, DPA's) zouden - in theorie - handhavingsmaatregelen moeten nemen tegen het niet naleven van de GDPR. Echter, in een klimaat waarin de EU zich hard maakt voor minder regelgeving en meer "innovatie" tegen elke prijs, zien we nu dat DPA's in sommige EU-landen gewoon grotendeels functioneren als boodschapper voor Meta: Veel DPA's hebben net "geïnformeerd" mensen dat ze zich dringend moeten afmelden voor Meta's AI-training. Dit legt de verantwoordelijkheid bij de gebruikers in plaats van bij Meta. Meta beweert ook publiekelijk "bezig" was met EU-regelgevers over het gebruik van sociale mediagegevens voor AI-training. Echter, voor zover noyb zijn geïnformeerd, hebben de gegevensbeschermingsautoriteiten grotendeels gezwegen over de wettigheid van AI-training zonder toestemming. Het lijkt er dus op dat Meta gewoon is doorgegaan - en opnieuw een enorm juridisch risico heeft genomen in de EU en de rechten van gebruikers met voeten heeft getreden.
Max Schrems: "Voor zover we hebben gehoord, is Meta 'in gesprek gegaan' met de autoriteiten, maar dit heeft niet geleid tot enig 'groen licht'. Het lijkt erop dat Meta gewoon doorgaat en de EU-autoriteiten voor gegevensbescherming negeert. De autoriteiten lijken op hun beurt gewoon te zwijgen en vertellen gebruikers dat ze zichzelf moeten beschermen. We zien hoe gegevensbeschermingsautoriteiten steeds meer aan relevantie verliezen en NGO's naar de rechter moeten stappen."
