中国Twitter网讯:最近,Twitter International(现已更名为“X”)开始非法使用欧盟/欧洲经济区 6000 多万用户的个人数据来训练其 AI 技术(如“Grok”),而无需征得他们的同意。与 Meta(最近也不得不停止在欧盟进行 AI 训练)不同,Twitter 甚至没有提前通知其用户。这甚至对爱尔兰数据保护委员会 (DPC) 来说也太过分了:上周,它对 Twitter 提起了诉讼,以阻止非法处理,但爱尔兰 DPC 似乎没有完全执行 GDPR。noyb现在跟进了九起投诉。
6000 万人的个人数据用于训练 AI?Meta 非法将人们的个人数据用于 AI 项目的失败尝试似乎还未传达足够明确的信息,Twitter 将成为下一家吸食欧盟用户数据来训练 AI 的美国公司。Twitter 于 2024 年 5 月开始将欧洲用户的数据不可逆转地输入其“Grok”AI 技术,而从未通知他们或征求他们的同意。
爱尔兰 DPC 采取了半心半意的行动。Twitter公然无视法律,这促使(臭名昭著的亲企业)爱尔兰 DPC 做出了令人惊讶的回应:该机构已对 Twitter 采取法律行动,要求其停止非法处理,并强制执行命令,使其系统符合 GDPR。然而,上周四的一次法庭听证会显示,DPC 似乎主要关注所谓的“缓解”措施,以及 Twitter 在根据 GDPR 第 36 条与 DPC 进行强制性协商过程中开始处理的事实。DPC 似乎并不关注核心违规行为。
noyb主席 Max Schrems 表示:“法庭文件尚未公开,但从口头听证会中我们了解到,DPC 并没有质疑这种处理本身的合法性。DPC 似乎担心所谓的‘缓解措施’和 Twitter 缺乏合作。DPC似乎在边缘采取行动,但回避了核心问题。”
noyb申请全面调查。在第一次听证会期间,爱尔兰 DPC 已与 Twitter 达成和解(通过所谓的“承诺”),暂停使用欧盟数据对该算法进行进一步训练,直到 9 月。尚未就合法性做出任何决定,许多问题仍未得到解答。例如:已经输入系统的欧盟数据发生了什么,Twitter 如何(正确地)分离欧盟和非欧盟数据?为此, noyb已向九个国家的数据保护机构提交了 GDPR 投诉,以确保充分解决围绕 Twitter 人工智能训练的核心法律问题。参与诉讼程序的其他欧盟 DPA 越多,爱尔兰 DPC 完成其案件的压力就越大,Twitter 也面临着真正遵守欧盟法律的压力。
noyb主席 Max Schrems 表示:“过去几年,我们看到了 DPC 无数次执法不力和不全面的情况。我们希望确保 Twitter 完全遵守欧盟法律,该法律至少要求在这种情况下征求用户的同意。 ”
简单的解决方案:只需询问用户!欧盟的 GDPR 为用户“捐赠”其个人数据用于 AI 开发提供了一个简单的解决方案 – 只需询问用户对此类处理的明确同意。如果 Twitter 的 6000 万用户中只有一小部分人同意训练其 AI 系统,那么 Twitter 就有足够的训练数据来训练任何新的 AI 模型。但征求人们的许可并不是 Twitter 目前的做法,相反,他们只是在不向用户提供信息或征得他们的许可的情况下获取用户数据。
noyb董事长 Max Schrems 表示:“直接与用户互动的公司只需在使用用户数据之前向他们显示是/否提示即可。他们经常在很多其他事情上这样做,因此这对于 AI 训练来说也绝对有可能。 ”
商业利益凌驾于用户的基本权利之上?通常,在欧盟,处理个人数据默认是非法的。因此,为了处理个人数据,Twitter 必须依赖 GDPR 第 6(1) 条规定的六个法律依据之一。虽然合理的选择是选择同意,但 Twitter(与 Meta 非常相似)声称,它拥有凌驾于用户基本权利之上的“合法利益”。在有关 Meta 使用个人数据进行定向广告的案件中,这种做法已被法院驳回。然而,爱尔兰 DPC 似乎在过去几个月中根据 GDPR 第 36 条在“协商”程序中就“合法利益”做法进行了“谈判” 。
马克斯·施雷姆斯 (Max Schrems):“我们现在从爱尔兰法庭诉讼中了解到的事实表明,DPC 并没有真正质疑核心问题,即在未经用户同意的情况下获取所有个人数据。 ”
通过“病毒式”X 帖子提供的信息。如上所述,Twitter 从未主动告知其用户他们的个人数据正被用于训练 AI——尽管每当有人喜欢或转发他们的帖子时,它都会向他们发送通知。相反,大多数人似乎是通过名为“@EasyBakedOven”的用户于 2024 年 7 月 26 日发布的病毒式帖子了解到新的默认设置的——此时距离 AI 训练开始已经过去两个多月了。
其他 GDPR 权利又如何呢?目前,人工智能系统提供商大多声称,一旦数据被输入到他们的人工智能系统中,他们就无法遵守其他 GDPR 要求,例如被遗忘权(GDPR 第 17 条)。同样,公司往往声称他们无法回答获取训练数据中包含的个人数据副本或此类数据来源的请求(根据 GDPR 第 15 条的要求),也无法更正不准确的个人数据(根据 GDPR 第 16 条的要求)。当涉及到将个人数据无限制地输入人工智能系统时,这引发了其他问题。
大规模 GDPR 违规需要采取紧急程序。鉴于 Twitter 已经开始为其 AI 技术处理人们的数据,并且基本上没有删除所摄取数据的选项,noyb已根据 GDPR 第 66 条请求采取“紧急程序”。九个欧洲国家(奥地利、比利时、法国、希腊、爱尔兰、意大利、荷兰、波兰和西班牙)的数据保护机构 (DPA) 代表当地数据主体收到了此类请求。第 66 条授权 DPA 在上述情况下发布初步暂停,并允许通过 EDPB 做出欧盟范围内的决定。爱尔兰 DPC 和 Meta Ireland 已经在类似情况下受到 EDPB 的两项“紧急约束性决定”(参见紧急约束性决定 01/2023 和紧急约束性决定 01/2021)。
违反了多项 GDPR 规定。除了缺乏有效的法律依据外,Twitter 也极不可能正确区分欧盟/欧洲经济区用户的数据和不受 GDPR 保护的其他国家/地区的用户数据。GDPR 第 9 条规定的敏感数据(法律规定不适用“合法利益”论点)也是如此,例如揭示种族、政治观点和宗教信仰的数据,以及其他理论上可以声称具有“合法利益”的数据。随着 AI 技术的推出,Twitter 似乎违反了许多其他 GDPR 规定,包括 GDPR 原则、透明度规则和操作规则。总体而言,noyb的投诉列出了至少违反 GDPR 第 5(1) 和 (2)、6(1)、9(1)、12(1) 和 (2)、13(1) 和 (2)、17(1)(c)、18(1)(d)、19、21(1) 和 25 条的行为。