Meta har meddelat att de kommer att använda EU-personuppgifter från Instagram- och Facebook-användare för att träna sina nya AI-system från och med den 27 maj. Istället för att be konsumenterna om samtycke, förlitar sig Meta på ett påstått "legitimt intresse" för att bara suga upp all användardata. EU:s nya direktiv om kollektiv prövning gör det möjligt för kvalificerade enheter som noyb att utfärda EU-omfattande förelägganden. Som ett första steg, noyb nu skickat ett formellt förlikningsförslag i form av ett så kallat Cease and Desist-brev till Meta. Andra konsumentgrupper vidtar också åtgärder. Om förelägganden lämnas in och vinns kan Meta också vara skyldigt att betala skadestånd till konsumenterna, vilket kan göras i en separat EU-grupptalan. Skadestånden kan uppgå till miljarder. Sammanfattningsvis kan Meta möta massiva juridiska risker - bara för att det förlitar sig på ett "opt-out" istället för ett "opt-in" -system för AI-utbildning.
- noyb's brev om upphörande och avstående till Meta Ireland
- Reuters-rapport om noybs brev om upphörande och avstående
- Pressmeddelande från tyska VZ NRW om dess preliminära föreläggande för Tyskland
- Metas groteska uttalande om den tyska VZ NRW: s preliminära föreläggande
- Tidigare noyb-klagomål mot Metas AI-utbildningsplaner
Meta AI överensstämmer inte med GDPR. För att använda personuppgifter måste företag följa en av sex rättsliga grunder enligt artikel 6.1 GDPR. En av dem är opt-in-samtycke, vilket innebär att användare kan välja att ge ett "fritt givet, specifikt, informerat och otvetydigt" "ja" till behandlingen av deras uppgifter - eller att säga nej eller till och med tiga. Men företag kan också hävda ett så kallat "berättigat intresse för att behandla personuppgifter. En tjuv kommer till exempel inte att samtycka till att han filmas av en övervakningskamera - men en bank kan ändå ha ett "berättigat intresse" av att ha övervakningskameror. Istället för att låta användarna välja mellan att säga "Ja" eller "Nej", hävdar Meta att det har ett sådant "legitimt intresse" att bara ta deras data för AI-träning. Detta lämnar användarna med endast rätten att invända (opt-out) enligt artikel 21 GDPR. Men Meta begränsar till och med denna (lagstadgade) rättighet genom att säga att den endast gäller om människor väljer bort innan träningen har börjat.
Meta kommer sannolikt inte heller att kunna följa andra GDPR-rättigheter (som rätten att glömmas bort, rätten att få felaktiga uppgifter rättade eller att ge användarna tillgång till sina uppgifter i ett AI-system). Dessutom tillhandahåller Meta AI-modeller (t.ex Llama) som programvara med öppen källkod för alla att ladda ner och använda. Detta innebär att Meta knappast kan ringa tillbaka eller uppdatera en modell när den väl har publicerats.
Max Schrems: "EG-domstolen har redan fastställt att Meta inte kan hävda ett "legitimt intresse" för att rikta in sig på användare med reklam. Hur ska det ha ett "legitimt intresse" att suga upp all data för AI-utbildning? Medan bedömningen av "legitimt intresse" alltid är ett test med flera faktorer, verkar alla faktorer peka i fel riktning för Meta. Meta säger helt enkelt att dess intresse av att tjäna pengar är viktigare än dess användares rättigheter."
Enkel lösning: Be användarna om samtycke! Medan Meta försöker måla upp bilden att efterlevnad av GDPR skulle göra AI-utbildning i EU omöjlig (se deras absurda pressmeddelande för Tyskland), den juridiska lösningen enligt GDPR är enkel: Meta skulle bara behöva be användarna om ett opt-in-samtycke (istället för en opt-out-invändning) för att använda sina personuppgifter för AI-träning. Med tanke på att Meta har massiva användarantal skulle det redan vara tillräckligt att ha 10% eller mer samtycke till sådan utbildning för att lära sig EU-språk och liknande. Om Meta skulle vara tydlig med villkoren för utbildning (t.ex. anonymisering och liknande) skulle det vara troligt att användarna skulle tillhandahålla sina uppgifter. Det är dock helt absurt att hävda att Meta behöver personuppgifterna för alla som använder Facebook eller Instagram under de senaste 20 åren för att träna AI. De flesta andra AI-leverantörer (som OpenAI eller franska Mistral) har noll tillgång till sociala mediedata och konkurrerar fortfarande ut Metas AI-system.
Max Schrems: " Denna kamp handlar i huvudsak om huruvida man ska be människor om samtycke eller helt enkelt ta deras data utan det. Meta startar en enorm kamp bara för att ha ett opt-out-system istället för ett opt-in-system. Istället förlitar de sig på ett påstått "legitimt intresse" för att bara ta uppgifterna och köra med dem. Detta är varken lagligt eller nödvändigt. Metas absurda påståenden att det är nödvändigt att stjäla allas personuppgifter för AI-utbildning är skrattretande. Andra AI-leverantörer använder inte sociala nätverksdata - och genererar ännu bättre modeller än Meta."
Föreläggande och potentiella grupptalan. Som en kvalificerad enhet enligt det nya EU-direktivet om kollektiva prövningar, noyb kan väcka ett föreläggande för att stoppa en olaglig praxis av ett företag som Meta. Sådana fall kan väckas i olika jurisdiktioner, inte bara vid Metas huvudkontor i Irland. Om ett föreläggande beviljas av behörig domstol skulle Meta inte bara behöva stoppa behandlingen utan också radera alla olagligt utbildade AI-system. Om uppgifter från EU "blandas" med uppgifter från länder utanför EU måste hela AI-modellen raderas. Ett föreläggande skulle också stoppa klockan för hur länge människor kan väcka skadeståndsanspråk ("preskriptionstiden"). Detta innebär att för varje dag som Meta fortsätter att använda europeiska data för AI-träning skulle det öka de potentiella skadeståndsanspråken från användarna. GDPR tillåter immateriella skadestånd som vanligtvis är hundratals eller tusentals per användare.
Förutom ett rent föreläggande kan alla kvalificerade enheter också väcka talan om gottgörelse (liknande en amerikansk grupptalan) för att återkräva sådana skador för stora användargrupper. noyb eller någon annan kvalificerad enhet (se aktuell lista över EU) skulle ha flera år på sig att väcka en sådan talan om Meta inte ändrar sin kurs. Om den immateriella skadan bara var 500 euro per användare, skulle den uppgå till cirka 200 miljarder euro för de cirka 400 miljoner månatliga aktiva Meta-användarna i Europa.
Max Schrems: "Vi utvärderar för närvarande våra alternativ för att lämna in förelägganden, men det finns också möjlighet till en efterföljande grupptalan för immateriella skador. Om du tänker på de mer än 400 miljoner europeiska Meta-användare som alla kan kräva skadestånd på bara 500 euro eller så, kan du göra matte. Vi är mycket förvånade över att Meta skulle ta denna risk bara för att undvika att be användarna om deras samtycke."
Förbudsförelägganden i andra EU-jurisdiktioner. Medan reaktionen på Meta's flagranta brott mot GDPR utvecklas snabbt, noyb förstår att olika grupper i EU granskar alternativ för rättstvister. De tyska konsumentorganisationerna (under ledning av Verbraucherzentrale i Nordrhein-Westfalen, "VZ NRW") har redan offentliggjort sin avsikt att vidta åtgärder. Det kan också förväntas att många individer kommer att vidta åtgärder mot Meta för användningen av deras data för AI-träning.
Max Schrems: "Vi förväntar oss att användningen av data från sociala medier för AI-träning kommer att utlösa en hel del rättstvister i hela EU. Bara att hantera dessa tvister kommer att vara en enorm uppgift för Meta."
DPA verkar inte godkänna. De nationella dataskyddsmyndigheterna (DPA) bör - teoretiskt sett - vidta verkställighetsåtgärder mot bristande efterlevnad av GDPR. Men i ett klimat där EU driver hårt för mindre reglering och mer "innovation" till varje pris, observerar vi nu att DPA i vissa EU-länder bara i stor utsträckning fungerar som en budbärare för Meta: Många dataskyddsmyndigheter har bara "informerat" människor att de snarast bör välja bort Metas AI-träning. Detta lägger ansvaret på användarna istället för Meta. Meta hävdar också offentligt att ha "engagerad" med EU-tillsynsmyndigheter om att använda sociala mediedata för AI-utbildning. Men så långt som noyb är informerad, förblev DPA i stort sett tyst om lagligheten av AI-träning utan samtycke. Det verkar därför som om Meta helt enkelt gick vidare ändå - och tog en annan enorm juridisk risk i EU och trampade på användarnas rättigheter.
Max Schrems: "Såvitt vi har hört har Meta "engagerat" sig med myndigheterna, men detta har inte lett till något "grönt ljus". Det verkar som om Meta helt enkelt går vidare och ignorerar EU: s dataskyddsmyndigheter. Myndigheterna verkar i sin tur bara vara tysta och säger till användarna att skydda sig själva. Vi bevittnar hur dataskyddsmyndigheter förlorar mer och mer relevans och icke-statliga organisationer måste vidta åtgärder inför domstolarna."
