Az Elon Musk tulajdonában lévő X közösségi média platformot az utóbbi időben több adatvédelmi panasz érte, miután kiderült, hogy a vállalat a felhasználók beleegyezése nélkül használt fel személyes adatokat mesterséges intelligencia (AI) modelljének betanítására az Európai Unióban. Az ügy jelentős figyelmet kapott az adatvédelmi szakemberek és szabályozó hatóságok körében, és kérdéseket vet fel a platform GDPR (General Data Protection Regulation) megfelelőségével kapcsolatban.
Csendes adatgyűjtés az EU-ban
A múlt hónap végén egy közösségi média felhasználó kiszúrta, hogy az X egy új beállítást vezetett be, amely jelzi, hogy a vállalat elkezdte feldolgozni a regionális felhasználók bejegyzéseit a Grok AI chatbot betanításához. A felfedezés meglepetésként érte az Ír Adatvédelmi Bizottságot (Data Protection Commission, DPC), amely az X platform GDPR követelményeknek való megfelelését felügyeli.
A GDPR, amely szigorúan szabályozza a személyes adatok felhasználását, előírja, hogy minden adatkezeléshez érvényes jogalap szükséges. A GDPR megsértése az adott vállalat globális éves forgalmának akár 4 százalékát is elérő bírságot vonhat maga után. Az X ellen benyújtott kilenc adatvédelmi panasz — amelyek Ausztriában, Belgiumban, Franciaországban, Görögországban, Írországban, Olaszországban, Hollandiában, Lengyelországban és Spanyolországban kerültek benyújtásra — azt állítja, hogy a platform megsértette ezt a szabályt, mivel a felhasználók hozzájárulása nélkül használta fel az európaiak bejegyzéseit AI betanítására.
Adatvédelmi aggályok
Az Ír Adatvédelmi Bizottság már tett néhány lépést az X adatkezelési gyakorlatának felülvizsgálatára. Jogorvoslati kérelmet nyújtottak be az ír Legfelsőbb Bíróságon, amelynek célja, hogy megakadályozza a személyes adatok további felhasználását az AI betanításához. Az adatvédelmi jogokkal foglalkozó nonprofit szervezet, a noyb azonban rámutatott, hogy a DPC eddigi intézkedései nem elegendőek, mivel az X felhasználói nem tudják elérni, hogy a közösségi platform törölje a már betáplált adatokat. Ennek eredményeként a noyb GDPR panaszt nyújtott be Írországban és további hét uniós tagállamban.
A panaszok központi eleme, hogy az X nem rendelkezik érvényes jogalappal az EU-ban élő 60 millió felhasználó adatainak felhasználására az AI betanításához, amennyiben nem kérte a beleegyezésüket. A vállalat csendben kisajátította a felhasználók adatait a Grok betanításra, anélkül, hogy értesítette volna őket.
Az Ír Adatvédelmi Bizottság szerint az X május 7. és augusztus 1. között dolgozta fel az európai felhasználók adatait a modell betanításra. A felhasználók csak július végén kaptak lehetőséget arra, hogy letiltsák az adatfeldolgozást a platform webes verziójában. Azonban korábban nem volt mód a feldolgozás letiltására, ami megnehezítette az adatok AI betanításra történő felhasználásának megakadályozását.
A noyb érvelése szerint az X által választott jogalap jogszerűségét megkérdőjelezi egy múlt nyári ítélet, amelyet az Európai Unió Bírósága hozott. Az ítélet egy Meta elleni panaszhoz kapcsolódott, amely az emberek adatainak célzott hirdetésekhez történő felhasználására vonatkozott. A bíróság kimondta, hogy az „érvényes érdek” jogalap nem érvényes ebben az esetben, és a felhasználók beleegyezését kellett volna kérni.
Nem csak az X-nél vannak problémák
Az adatvédelmi incidensek nem egyedülállók az AI világában. Több hasonló eset is történt már korábban, amelyek kérdéseket vetnek fel a személyes adatok kezelésével kapcsolatban.
Egy jelentős adatvédelmi botrány történt a Microsoftnál, amikor az AI kutatók véletlenül több terabájtnyi érzékeny belső adatot tettek elérhetővé a nyilvánosság számára egy GitHubon megosztott tárhelyen. Bár a hibát gyorsan észlelték és javították, az incidens rávilágított azokra a kockázatokra, amelyek az AI modellek fejlesztése során felmerülnek.
Hasonlóképpen, az OpenAI ChatGPT rendszerében történt adatvédelmi incidens is komoly aggodalmakat vetett fel. Egy technikai hiba következtében egyes felhasználók láthatták mások chatelőzményeinek címét, sőt, bizonyos esetekben az újonnan létrehozott beszélgetések első üzenetét is. Bár az OpenAI gyorsan intézkedett és kezelte a problémát, az eset megmutatta, hogy az AI rendszerek működtetése során milyen komoly adatvédelmi kihívásokkal kell szembenézni.
Az IBM és a Clearview AI esetei szintén jó példák arra, hogy az AI modellek képzése során felhasznált adatokat gyakran a felhasználók beleegyezése nélkül gyűjtik. Az IBM „Diversity in Faces” projektje, amely több millió nyilvános fényképet használt fel az AI algoritmusok fejlesztéséhez, jogi következményekkel nézett szembe, mivel a képeken szereplő személyek nem adták hozzájárulásukat az adataik ilyen célú felhasználásához. A Clearview AI még ennél is tovább ment: több milliárd online fényképet gyűjtött össze és használt fel anélkül, hogy az érintettek tudtak volna erről, ami miatt több per is indult a cég ellen.
Ezek az esetek egyértelműen mutatják, hogy a mesterséges intelligencia alkalmazása során az adatvédelem kérdése mára kritikussá vált. A vállalatoknak fokozott figyelmet kell fordítaniuk arra, hogy betartsák a vonatkozó jogszabályokat, különösen az olyan szigorú előírásokat, mint amilyeneket a GDPR is megkövetel.
(Forrás: TechCrucnch, Haynes Boone, Markets And Markets, TechCrunch)
(Címlapkép: Depositphotos)
