Privatumo sergėtojų pergalė – JAV technologijų kompanija „Meta“ sureagavo į nevyriausybinės organizacijos NOYB (angl. None of Your Business) skundus ir laikinai sustabdė planus nuo birželio 26-osios pradėti naudoti naudotojų duomenis apmokyti dirbtinio intelekto modeliams. Ir vis dėlto – ar tai tikrai laimėjimas „Facebook“ ir „Instagram“ vartotojams, ir ar „Meta“ netapo atpirkimo ožiu, komentuoja advokatų kontoros „TGS Baltic“ partneris Mindaugas Civilka.
Kas sustabdė „Meta“ planus?
„Meta“ gegužę paskelbė planus nuo liepos pradėti aktyviau ir plačiau naudoti tam tikrus vartotojų duomenis (komentarus, įrašus, tagus, patiktukus, pasidalinimus ir pan.) DI modelių apmokymui. Kartu „Meta“ paskelbė susijusius Privatumo politikos atnaujinimus, kurie turėjo įsigalioti nuo 2024 m. birželio 26 d., bei suteikė galimybę klientams išreikšti prieštaravimą tokiam jų duomenų panaudojimui.
Šiuos ketinimus verta aptarti trimis pjūviais:
teisinis: ar ES teisė, konkrečiai – Bendrasis duomenų apsaugos reglamentas (BDAR), reikalauja, kad asmens duomenys AI apmokymui būtų naudojami tik jo sutikimu?
technologinis: ar įmanoma technologinė pažanga be didžiųjų kalbos modelių (angl. Large language models, LLM) apmokymo? „Meta“ turi vienus didžiausių skaičiavimo resursų pasaulyje, ji sukūrė vieną galingiausių LLM modelių – LLAMA3, kuris suteiktas pasaulio IT bendruomenei naudotis atvirosios licencijos pagrindu (Apache 2). Ar geriau, kad tuos modelius pirmiau ištobulintų ne JAV, o Kinijos bendrovės, kurios gali tą daryti be jokių teisinių ribojimų?
socialinis: ar socialinių tinklų naudotojai turi realią pasirinkimo teisę? Ar „Facebook“ karta geba pasirinkti gyvenimo būdą, vartojamą turinį ir socialinę aplinką kitaip, negu pagal tai, ką jiems pasiūlo algoritmai? Ar tai socialinių medijų / technologijos gigantų, tokių kaip „Google“, „Meta“, „Apple“, „Microsoft“ problema? Ar, visgi, tai yra kur kas gilesnė visuomenės problema?
Apie teisėtą interesą ir sutikimą
BDAR nereikalauja, kad klientų asmens duomenų panaudojimas DI apmokymui visais atvejais būtų grindžiamas tik vartotojų sutikimu. Jeigu verslas įvertino aplinkybes ir jas pagrindė, gali būti taikomas ir kitas pagrindas – pvz., produkto teikėjo interesas plėtoti, tobulinti produktą, gerinti vartotojų patirtį, gaminti ir teikti tai, kas geriausiai atliepia vartotojų ir rinkos poreikius.
Vertinant teisine prasme, „Meta“ veiksmai paskelbiant apie numatomus pokyčius yra korektiški. Kompanija paskelbė, kad nuo birželio 26 d. bus keičiama privatumo politika, paaiškino ir pagrindė nuostatą, kad klientų asmens duomenų (ne visų, o išvardintų kategorijų) panaudojimas DI apmokymui grindžiamas „Meta“ teisėtu interesu kurti, teikti, plėtoti DI technologijas, leidžiančias naudotojams išreikšti save, bendrauti, atrasti ir naudotis jų interesus atitinkančia informacija, „Meta“ interesu siūlyti DI technologijas turinio ir reklamos kūrėjams; poreikiu gauti grįžtamąjį ryšį apie tai, kaip naudojamasi DI technologija.
Privatumo politikoje nurodama, kokie klientų asmens duomenys gali būti naudojami DI apmokymui:
„Meta“ privatumo centre teigiama, kad bendrovė LLM apmokymui nenaudos privačių žinučių, kuriomis keičiasi naudotojai.
Ar „Meta“ jau šiuo metu nenaudoja mūsų duomenų savo LLM modelio apmokymui, vienareikšmiškai atsakyti sunku. Formaliai, pagal privatumo politiką, „Meta“ DI apmokymui iš esmės gali būti naudojami klientų susirašinėjimo ir bendravimo su „Meta“ DI pokalbių robotu (chatbotu) duomenys. Šiuo metu „Meta“ privatumo politikoje (t.y., iki 2024 m. birželio 26 d.) nėra tiesiai pasakoma, kokie tiksliai jūsų duomenys naudojami ir ar išvis yra naudojami LLM treniravimui.
„Meta“ paaiškino, kad žmonės turi teisę iki numatytos datos išreikšti savo prieštaravimą, kuris nėra automatiškai tenkinamas visais atvejais. Pagal BDAR asmens paprieštaravimas dėl jo duomenų naudojimo teisėtiems verslo tikslams turi būti grindžiamas su konkrečiu asmeniu susijusiomis aplinkybėmis ir priežastimis, nesutikimas gali būti tenkinamas pasvėrus, kieno interesai yra viršesni – socialinio tinklo operatoriaus ir visos platformos, ar atskiro kliento. Yra pasiūlyta nesutikimo forma, kurią reikia užpildyti, be to, galima specialiai paprašyti, kad „Meta“ nenaudotų iš trečiųjų šalių gautos informacijos DI apmokymui.
Vienintelis priekaištas teisiniam pokyčio pristatymui gali būti nebent tai, kad teisė paprieštarauti asmens duomenų naudojimui niekur neturėtų dingti ir po birželio 26 d., t.y., vartotojai turėtų teisę pareikšti savo prieštaravimą ir bet kada vėliau.
Ar „Meta“ suklydo ir kas vyks toliau?
Taigi nors teisine prasme, pagal BDAR, „Meta“ veiksmai buvo korektiški, tačiau dėl jos planų kilo ažiotažas.
Birželio 14 d. Airijos duomenų apsaugos priežiūros institucija (DPC) „Metai“ liepė atidėti planą įdiegti aptariamus pakeitimus po to, kai 17-a Europos valstybių priežiūros institucijų, tarp jų Airijos, Prancūzijos ir Vokietijos, gavo Austrijoje registruotos nevyriausybinės organizacijos NOYB skundus ir raginimą imtis veiksmų prieš šiuos „Meta“ planus.
Tarp kitų NOYB priekaištų nurodoma, kad „Meta“ pranešimas buvo neaiškiai suformuluotas, sunkiai randamas. Tai iš esmės teisingas priekaištas, tačiau ar jis esminis, ir kiek tai teisinė problema?
Kitas argumentas – nesutikimo teikti duomenis DI mokymui formoje („opt-out“) tenka argumentuoti savo pasirinkimą. Vėlgi, kaip minėta, tai nėra neteisėta praktika – tokia ir yra teisėto intereso esmė: prieštarauti galima, tačiau ne kiekvienas prieštaravimas turi būti tenkinamas. Tai ir yra esminis skirtumas nuo sutikimo, kurio pagrįsti nereikia. Aišku, detalėse slypi velnias – kiek detaliai vartotojai turi nurodyti savo priežastis, ar skaidri ir nediskriminacinė prieštaravimų nagrinėjimo procedūra ir pan.? Ir vėl tai veikiau socialiniai, sąžiningumo, nei teisiniai priekaištai.
Prisiminkime, kad BDAR asmeniui suteikia ne tik teisių, bet ir pareigų. Kiekviena BDAR įtvirtinta teisė susijusi su atsakomybe.
Taip pat priekaištaujama, kad duomenų panaudojimo tikslas aprašytas labai abstrakčiai – t.y., iš esmės atveriamos durys klientų duomenis naudoti bet kokiam DI, neapribojant nei pobūdžio, nei paskirties – pvz., net ir DI valdomiems dronams. Taigi, formaliai „Meta“ šiuo pagrindu galėtų naudoti vartotojų duomenis ne tik savo DI (LLAMA), bet ir apskritai visų DI technologijų tobulinimui. Su tokiu priekaištu galima sutikti – privatumo pranešimų formuluočių gludinimas yra nesibaigiantis procesas. Bet ar tai fundamentali problema?
Kur kas rimtesnė problema yra dėl asmenų, kurie nėra „Meta“ naudotojai. Net jei jūs nesinaudojate „Meta“ paslaugomis (pvz., Instagram), DI mokymui gali būti panaudoti jūsų duomenys, jei:
Kai nepaprieštaravęs naudotojas pasidalina nuotraukomis, pakomentuoja ar kitais veiksmais dalyvauja kito asmens paskyroje, pastarojo asmens duomenys, net ir pasirinkus „opt-out“ dėl duomenų tvarkymo, vis tiek yra naudojami DI mokymui.
Visgi rimčiausias argumentas prieš „Meta“ planus – kad nėra galimybės vėliau atsisakyti ir pašalinti savo duomenis (t.y., nebūtų užtikrinta BDAR 17 str. teisė būti pamirštam). Todėl NOYB paprašė taikyti „skubos procedūrą“ pagal BDAR 66 str. ir sustabdyti „Meta“ planus.
Čia yra svarbus techninis niuansas – ar gali „Meta“ nebenaudoti asmens duomenų ateityje jam to paprašius? Kitas dalykas – ar gali ištrinti tuos asmens duomenis, kurie jau buvo panaudoti apmokant LLM iki jo nesutikimo? Pastarąją pareigą būtų tikrai sunku techniškai įgyvendinti, tačiau tai nesusiję su teise nesutikti. Teisė būti pamirštam – visai atskira teisė, ir jos taikymas nėra absoliutus, yra daug sąlygų ir išimčių. Šiuo atveju abu argumentai suplakami į vieną košę.
Valstybių nacionalinės duomenų apsaugos institucijos turės greitai priimti sprendimą, ar pradėti skubos procedūrą, ar nagrinėti skundus įprastine tvarka. Pvz., Norvegijos duomenų apsaugos institucija jau paskelbė tinklaraščio įrašą, kuriame teigia, kad „abejotina“, ar „Meta“ duomenų naudojimo metodas yra teisėtas. Tai gali įklampinti „Meta“ į dar vieną teisinių problemų ratą Europos Sąjungoje. Vien dėl NOYB veiksmų prieš „Meta“ iki šiol jau skirta daugiau nei 1,5 mlrd. eurų baudų.
O kaip elgiasi kiti?
„Netflix“ naudoja daugybę duomenų mašininio mokymosi algoritmams. Aiškios informacijos apie atsisakymą dėl duomenų tvarkymo nelabai matyti. Viename straipsnyje būta „Netflix“ komentaro, jog visa šios platformos paslauga yra paremta DI mokymusi, tad vargu ar būtų galima visiškai išvengti duomenų naudojimo.
Praėjusį mėnesį kažkas pastebėjo abejotiną esamos „Slack“ privatumo politikos formuluotę, kurioje teigiama, kad „Slack“ galės panaudoti naudotojų duomenis savo DI sistemoms mokyti, o naudotojai galės atsisakyti tik parašę įmonei el. laišką.
„Spotify“ plačiai naudoja mašininį mokymąsi, kad suasmenintų naudotojų muzikos patirtį. Naudodama asmens duomenis mašininiam mokymuisi, „Spotify“ remiasi sutikimu ir teisėtu interesu. Sutikdami su „Spotify“ paslaugų teikimo sąlygomis ir privatumo politika, sutinkate, kad platforma naudotų jūsų duomenis personalizavimui. Remiamasi teisėtu interesu –pagerinti naudotojų patirtis ir taip išlaikyti juos platformoje.
Ar „Meta“ tampa atpirkimo ožiu?
Panašu, kad „Meta“ tampa atpirkimo ožiu Europoje, ant kurios išbandomas BDAR ir kito ES reguliavimo sunkumas. Tikėtina, kad kiti rinkos žaidėjai elgiasi panašiai, gal net agresyviau, tačiau stengiasi likti žemiau institucijų radaro.
Priminsime, kad 2023 m. liepą Europos Sąjungos Teisingumo Teismas (ESTT) pateikė nuomonę, kad personalizuota reklama galima tik su išankstiniu vartotojų sutikimu. Tada prasidėjo, o gal pagilėjo, „Meta“ problemos tokiu eiliškumu: (a) sutartis kaip pagrindas naudoti klientų duomenis asmeninei reklamai netinka, todėl „Meta“ turėjo sugalvoti kitą pagrindą; (b) kaip pagrindas pasiūlytas teisėtas interesas, tačiau jis irgi netiko; (c) 2023 m. rudenį įdiegtas sutikimas, kaip pagrindas – visiems pasiūlytas modelis „pay or consent“, tačiau 2024 m. balandį Europos duomenų valdyba (EDPB) sukritikavo ir šį modelį, nurodydama, kad vartotojams reikia pasiūlyti trečiąjį socialinės medijos produkto variantą – be reklamos ir nemokamai.
Panašu, kad ir šįkart istorija gali pasikartoti. Ką tai reiškia verslams? Iš BDAR neišplaukia pareiga visais atvejais gauti sutikimą. Atvirkščiai, sutikimas yra išimtinis, retas ir iš esmės nenaudotinas pagrindas. Antra, duomenų apsaugos priežiūros institucijos negali nurodyti, kad verslas privalo rinktis vieną ar kitą verslo vykdymo būdą, vieną ar kitą duomenų naudojimo alternatyvą. Trečia, duomenų apsaugos reguliatorius negali pasakyti, kad didelio paslaugų teikėjo atveju vartotojo sutikimas negalioja, nes jis nelaisvas, kadangi vartotojas neturi realaus pasirinkimo. Pasirinkimo turėjimas, laisvė ir autonomija yra asmeninės vertybės, kurios nėra teisinės kategorijos. Tai yra etinės ir socialinės kategorijos. Socialiniais ir etiniais argumentais paremtas BDAR aiškinimas gali sukurti taisyklę, kurios pačiame BDAR nėra. Dėl to kenčia teisinis tikrumas, apibrėžtumas, teisėti verslo lūkesčiai ir svarbiausia – kyla pavojus pamatinei Vakarų kultūros kategorijai – teisinės valstybės idėjai.