Dziki Zachód w ochronie danych - RODO a szkolenie AI

Już wkrótce treści, które miliony Europejczyków codziennie publikują na Facebooku i Instagramie, nakarmią AI. Niemiecka organizacja prokonsumencka próbuje ten proces zatrzymać. Ale Meta nie jest jedynym big techem, który ma apetyt na nasze dane osobowe.

Na jakiej podstawie Meta zbiera dane osobowe dla AI?
Ochrona konsumentów przed apetytem AI
Deadline na ochronę danych osobowych
Oszust przejął konto, AI pożywi się danymi
Test RODO
AI dostanie dane wrażliwe i wywnioskowane
Meta i inne big techy nie proszą o pozwolenie

rozwiń ›

Z końcem maja Meta zacznie używać postów, zdjęć i komentarzy, jakie na jej platformach społecznościowych publikują osoby pełnoletnie, do szkolenia swoich modeli sztucznej inteligencji. Kto chce tego uniknąć, musi złożyć sprzeciw w formularzu na stronie big techa.

To już drugie podejście big techa do trenowania AI na wpisach użytkowników z Polski i innych państw Unii Europejskiej. Kiedy Meta próbowała tego w ubiegłym roku, posypały się skargi i w rezultacie irlandzki organ ochrony danych osobowych (DPC) wskazał, że jest problem z podstawą prawną takich działań i przejrzystością przetwarzania danych. Firma odłożyła więc projekt na półkę. Teraz do niego wróciła.

Na jakiej podstawie Meta zbiera dane osobowe dla AI?

- Tym razem wygląda to trochę lepiej niż w ubiegłym roku, ale nadal widzę w podejściu Mety poważne braki i potencjalną niezgodność z RODO – mówi dr Iga Małobęcka-Szwast, radca prawny i prezeska fundacji Blue Dragon Institute. Wyrażenie sprzeciwu wobec przetwarzania danych osobowych do szkolenia AI jest łatwiejsze niż w zeszłym roku. - Jednak cel przetwarzania pozostaje niejasny – wskazuje prawniczka.

W mailach do użytkowników Facebooka i Instagrama big tech stwierdza, że wykorzysta dane na podstawie prawnie uzasadnionego interesu (PUI), „aby rozwijać i ulepszać” AI, tj. „nasz zbiór generatywnych funkcji sztucznej inteligencji” - jak Meta AI oraz narzędzia kreatywne AI. „Obejmuje to także udostępnianie modeli poprzez otwartą platformę w celu wspierania badaczy, deweloperów i innych osób w społeczności AI”.

- Brakuje tu konkretów. Do jakich celów komercyjnych posłuży tak wytrenowana sztuczna inteligencja? Jakie narzędzia AI będą rozwijane na moich danych? Kto będzie korzystał z tych narzędzi i czy nie umożliwią one dostępu do moich danych? Czy np. po wpisaniu odpowiedniego prompta ktoś będzie mógł wygenerować moje zdjęcia? - wylicza dr Małobęcka-Szwast.

Ochrona konsumentów przed apetytem AI

Komunikat Mety nie przekonał też centrum porad konsumenckich w Nadrenii Północnej-Westfalii, zdaniem którego ogólne powołanie się na uzasadniony interes nie jest wystarczające.

- Wysłaliśmy do Mety ostrzeżenie, prosząc o zaprzestanie planów dotyczących Instagrama i Facebooka - informuje Christine Steffen, ekspertka ds. ochrony danych w centrum NRW. - Jeśli Meta dobrowolnie nie spełni tego żądania, rozważymy dalsze kroki prawne – dodaje.

Te działania popiera austriacka organizacja obrońców prywatności NOYB. - Meta celowo próbuje ignorować prawo europejskie i stawia swoje interesy handlowe ponad podstawowym prawem do ochrony danych – stwierdza założyciel NOYB Max Schrems.

Deadline na ochronę danych osobowych

Meta zapewnia, że nie wykorzysta danych użytkowników, którzy wyrażą sprzeciw przed 27 maja br. W razie późniejszego sprzeciwu dane mają być usuwane z zestawu treningowego do przyszłych cykli szkolenia AI. Zatem 27 maja to de facto deadline na wyrażenie skutecznego sprzeciwu.

- RODO nie ogranicza w czasie prawa wyrażenia sprzeciwu. Natomiast w tym wypadku sprzeciw złożony po 27 maja będzie nieskuteczny, bo nie ma technicznej możliwości usunięcia danych, które już zostały wykorzystane do trenowania AI. To immanentny konflikt między obecnym stanem technologii (dużych modeli językowych, LLM) a RODO – podkreśla Iga Małobęcka-Szwast.

Oszust przejął konto, AI pożywi się danymi

Ponadto okazuje się, że nie wszyscy mogą skorzystać z prawa do sprzeciwu. Wymaga to bowiem zalogowania na konto w serwisie społecznościowym.

- Ten problem dotyczy mnie samej. Dostałam maila z Mety, ale nie mogę skorzystać z prawa do sprzeciwu, bo moje konto zostało kilka lat temu przejęte przez oszusta i platforma nie reaguje na składane do niej skargi. Wszystko, co przedtem opublikowałam, posłuży więc do szkolenia sztucznej inteligencji i nie mogę temu zaradzić – mówi Iga Małobęcka-Szwast.

Według podyktowanych przez big techa reguł nie możemy też zapobiec karmieniu AI naszymi danymi z profili innych użytkowników, którzy nie wyrazili sprzeciwu.

Test RODO

Tego, czy i jak PUI może być podstawą prawną trenowania AI, dotyczy opinia Europejskiej Rady Ochrony Danych (EROD) z grudnia ub.r. Przy ocenie takich przypadków stosuje się trzystopniowy test, sprawdzający cel, niezbędność i równowagę przetwarzania danych (tzw. test równowagi).

- W mojej ocenie nie jest oczywiste, że Meta jest w stanie przejść trójetapowy test PUI – komentuje Jakub Pawłowski, radca prawny z LexDigital. Wskazuje, że RODO nie daje wyraźnych podstaw do twierdzenia, że uzasadnionym interesem administratora może być jego komercyjny interes, a taki zdaje się przeważa w sytuacji Mety. Ponadto trzeba mieć na uwadze, że Meta może i zapewne będzie przetwarzać dane nie tylko użytkowników, ale również osób trzecich – w tym wypadku test PUI jest negatywny.

- Ponadto Meta w formularzu sprzeciwu informuje, że nawet pomimo sprzeciwu może nadal przetwarzać informacje o użytkowniku w celu tworzenia i ulepszania AI. Meta zatem z góry zakłada, że jej interes w większości przypadków będzie przeważał nad interesami i prawami użytkowników – dodaje ekspert.

AI dostanie dane wrażliwe i wywnioskowane

O ile w odniesieniu do „zwykłych” danych podejście big techa budzi wątpliwości, to w przypadku danych szczególnych kategorii wygląda już bardzo źle.

- Nie można wykluczyć, że dane, które są szczególnie chronione na mocy RODO, zostaną również wykorzystane do szkolenia sztucznej inteligencji – zaznacza Christine Steffen.

Chodzi m.in. o dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne czy dane dotyczące zdrowia lub orientacji seksualnej. Ich przetwarzanie jest możliwe tylko za zgodą osoby, której dane dotyczą, lub po spełnieniu określonych przesłanek – m.in. gdy dane zostały w sposób oczywisty upublicznione przez tę osobę (art. 9 ust. 2 lit. e RODO).

- Moim zdaniem ta przesłanka nie ma tu zastosowania, bo dane nie były upubliczniane do trenowania AI. Tak rozumiem wyrok TSUE w sprawie Meta Platforms (C-252/21) – argumentuje Iga Małobęcka-Szwast.

Także Jakub Pawłowski uważa, że ta przesłanka będzie dyskusyjna. - Trybunał wskazał w tym wyroku, że art. 9 ust. 2 lit. e RODO należy interpretować w ten sposób, że upublicznienie danych w oczywisty sposób za pośrednictwem strony internetowej lub aplikacji jest możliwe jedynie w przypadku, gdy użytkownik uprzednio wyraźnie wyraził swój wybór publicznego udostępnienia dotyczących go danych nieograniczonej liczbie osób – wskazuje mec. Pawłowski.

Doktor Małobęcka-Szwast zaznacza ponadto, że Meta dysponuje także danymi szczególnych kategorii, które wywnioskowała, rejestrując i analizując naszą aktywność na platformie. - Tu już nawet nie ma mowy o upublicznieniu. To nie jest taka sytuacja, że ktoś wprost napisał, iż jest np. osobą homoseksualną, cierpiącą na rzadką chorobę czy narodowcem – taka informacja może jednak wynikać z lajkowanych postów, przynależności do grup, czytanych treści itp. Nie ma wątpliwości, że na przetwarzanie takich danych potrzebna jest zgoda osoby, której one dotyczą – wyjaśnia ekspertka.

Na potrzeby szkolenia AI dane szczególnych kategorii trafią do jednego worka z pozostałymi informacjami. - Nie sądzę, żeby ktoś w Mecie chciał i był w stanie te dane rozdzielać. Jest to więc bardzo niepokojące – komentuje Iga Małobęcka-Szwast.

Meta i inne big techy nie proszą o pozwolenie

Meta nie jest jedynym big techem sięgającym po nasze dane, aby nakarmić AI. W ub.r. DPC wszczął dochodzenie w sprawie Google’a i jego dużego modelu językowego PaLM 2. Bada, czy gigant technologiczny przeprowadził ocenę skutków dla ochrony danych osobowych (DPIA), zanim zaczął przetwarzać dane Europejczyków.

Także w ub.r. irlandzki organ interweniował w sprawie Groka - grupy modeli AI opracowanych przez firmę xAI - który uczył się na danych użytkowników platformy X. W sierpniu ub.r. DPC zwrócił się do irlandzkiego sądu o wydanie nakazu zobowiązującego X do zawieszenia przetwarzania danych użytkowników platformy na potrzeby AI. Chodziło przede wszystkim o to, że Grok pochłaniał dane od 7 maja ub.r., a dopiero 16 lipca ub.r. platforma X wprowadziła możliwość wyrażenia sprzeciwu i to nie dla wszystkich użytkowników. Stanęło na tym, że firma Muska zobowiązała się nie wykorzystywać do szkolenia danych zebranych między 7 maja a 1 sierpnia 2024 r.

W ubiegłym miesiącu DPC rozpoczął zaś dochodzenie, by sprawdzić, czy dane z platformy X zostały użyte do trenowania Groka zgodnie z RODO. Badanie obejmie m.in. kwestię legalności i przejrzystości przetwarzania danych.

- Grok to już jest zupełnie Dziki Zachód z perspektywy zgodności z RODO – mówi Iga Małobęcka-Szwast. To kwintesencja taktyki zgodnej z amerykańskim powiedzeniem: łatwiej prosić o wybaczenie niż o pozwolenie. - Amerykańskie big techy często w ogóle nie pytają, czy mogą coś zrobić. One po prostu to robią, a potem ewentualnie dostosowują się do decyzji organów nadzorczych, jeśli te uznają, że zrobiły źle. Do tego czasu mogą osiągnąć na tyle dużo (np. przetworzyć ogromne ilości danych), że nawet w razie kary, takie podejście im się opłaca. Zwłaszcza teraz, gdy prezydent Donald Trump trzyma stronę big techów przeciwko unijnym regulacjom – podsumowuje ekspertka.

Elżbieta Rutkowska