उस एआई प्रशिक्षण परियोजना के अंदर जो हर माउस क्लिक को कॉर्पोरेट संपत्ति में बदल रही है

कुछ महीने पहले, संयुक्त राज्य अमेरिका में मेटा के कर्मचारियों को 'मॉडल कैपेबिलिटी इनिशिएटिव' (Model Capability Initiative) या MCI नामक एक नई आंतरिक परियोजना के बारे में एक अधिसूचना मिली। सतह पर, यह एक मानक तकनीकी अपग्रेड की तरह लग रहा था: कंपनी को बेहतर एआई एजेंट बनाने में मदद करने के लिए डिज़ाइन किया गया एक टूल। लेकिन जैसे ही सॉफ्टवेयर हजारों कॉर्पोरेट लैपटॉप के बैकग्राउंड में चलने लगा, परियोजना की वास्तविकता एक अपग्रेड के बजाय एक डिजिटल जाल (digital dragnet) की तरह दिखने लगी।

मेटा का लक्ष्य महत्वाकांक्षी है। वे एआई मॉडल को स्वायत्त एजेंटों के रूप में कार्य करने के लिए प्रशिक्षित करना चाहते हैं—ऐसा सॉफ्टवेयर जो जटिल इंटरफेस को नेविगेट कर सके, फॉर्म भर सके और वर्कफ़्लो को ठीक उसी तरह प्रबंधित कर सके जैसे कोई इंसान करता है। ऐसा करने के लिए, उन्हें डेटा की आवश्यकता है। केवल कोई भी डेटा नहीं, बल्कि पेशेवर ज्ञान कार्यकर्ताओं (knowledge workers) की सूक्ष्म, पल-पल की गतिविधियां। हर माउस क्लिक, ड्रॉपडाउन मेनू के माध्यम से हर स्क्रॉल, और अनुप्रयोगों के बीच हर ट्रांज़िशन को कंपनी की अगली पीढ़ी की कृत्रिम बुद्धिमत्ता के लिए प्रशिक्षण सामग्री के रूप में एकत्र किया जा रहा है।

हालाँकि, जो अमेरिका स्थित पहल के रूप में शुरू हुआ था, वह जल्दी ही अटलांटिक के पार एक नियामक बारूदी सुरंग में बदल गया है। हाल ही में सामने आए आंतरिक दस्तावेजों से पता चलता है कि यह टूल केवल क्लिक ही नहीं पकड़ रहा है; यह उन यूरोपीय सहयोगियों की बातचीत को भी सोख रहा है जिन्होंने कभी इस प्रयोग के लिए साइन अप नहीं किया था। यह सीमा पार डेटा रिसाव यूरोपीय संघ के गोपनीयता नियामकों के साथ एक महत्वपूर्ण कानूनी टकराव का मंच तैयार कर रहा है।

डिजिटल प्रयोगशाला: MCI कैसे काम करता है

कानूनी घर्षण को समझने के लिए, हमें पहले टूल की तकनीकी पहुंच को देखना होगा। MCI केवल एक स्क्रीन रिकॉर्डर नहीं है। यह एक पर्यवेक्षक है जो मेटा कर्मचारियों द्वारा उपयोग किए जाने वाले 200 से अधिक विभिन्न अनुप्रयोगों और वेबसाइटों के ऊपर बैठता है। आंतरिक रिपोर्टों के अनुसार, यह टूल उपयोगकर्ता के "पाथिंग" (pathing) को ट्रैक करता है—वे कैसे एक जीरा (Jira) टिकट से कोडिंग वातावरण में जाते हैं, फिर स्लैक (Slack) या व्हाट्सएप (WhatsApp) जैसे मैसेजिंग ऐप पर जाते हैं।

अपने डिजिटल पदचिह्न को ब्रेडक्रंब (breadcrumbs) के निशान के रूप में सोचें। आमतौर पर, ये ब्रेडक्रंब बिखरे होते हैं और अंततः मिटा दिए जाते हैं। MCI के तहत, मेटा प्रभावी रूप से बेकर का पीछा कर रहा है, प्रत्येक टुकड़े के सटीक वजन, उसके गिरने के कोण और उसे गिराने में लगने वाले समय को रिकॉर्ड कर रहा है। यह मानव व्यवहार का एक उच्च-सटीकता वाला मानचित्र बनाता है जिसका उपयोग एआई के माध्यम से उस व्यवहार को दोहराने के लिए किया जा सकता है।

दिलचस्प बात यह है कि टूल का कार्यान्वयन अदृश्य नहीं रहा है। कुछ कर्मचारियों ने बताया कि डेटा का अंतर्ग्रहण इतना भारी था कि इसने कुछ ही दिनों में उनके घर के इंटरनेट डेटा की सीमा को समाप्त कर दिया। मेटा के एक कर्मचारी द्वारा आंतरिक विश्लेषण के निष्कर्ष और भी चिंताजनक थे, जिसमें सुझाव दिया गया था कि MCI क्लिपबोर्ड सामग्री (वह टेक्स्ट जिसे आप कॉपी और पेस्ट करते हैं) और यहां तक कि कर्मचारी गतिविधि के अनएन्क्रिप्टेड लॉग तक पहुंचने के लिए सुरक्षा सॉफ्टवेयर का सहारा ले रहा था। अनिवार्य रूप से, यह टूल कार्यस्थल को एक विशाल, लाइव-एक्शन प्रयोगशाला में बदल रहा था जहां कर्मचारी नमूने (specimens) थे।

जीडीपीआर (GDPR) टकराव का मार्ग

जबकि संयुक्त राज्य अमेरिका में श्रम कानून आम तौर पर नियोक्ताओं को कंपनी द्वारा जारी किए गए उपकरणों पर कर्मचारियों की निगरानी करने के लिए व्यापक छूट देते हैं, यूरोपीय संघ एक बहुत सख्त ढांचे के तहत काम करता है: जनरल डेटा प्रोटेक्शन रेगुलेशन (GDPR)। जैसे ही मेटा का अमेरिका स्थित टूल डबलिन, पेरिस या बर्लिन में किसी सहयोगी द्वारा साझा किए गए संदेश या दस्तावेज़ को कैप्चर करता है, GDPR का अधिकार क्षेत्र सक्रिय हो जाता है।

अनुपालन के दृष्टिकोण से, मेटा को तीन प्राथमिक बाधाओं को पार करना होगा, और वर्तमान में, वे उन सभी पर लड़खड़ाते हुए दिखाई दे रहे हैं।

1. उद्देश्य सीमा परीक्षण (The Purpose Limitation Test)
यूरोपीय कानून में, 'उद्देश्य सीमा' नामक एक सिद्धांत है। इसका मतलब है कि यदि आप एक कारण से डेटा एकत्र करते हैं—जैसे, कार्यस्थल संचार को सुविधाजनक बनाने के लिए—तो आप अचानक एक नए कानूनी आधार के बिना पूरी तरह से अलग उद्देश्य के लिए इसका उपयोग करने का निर्णय नहीं ले सकते, जैसे कि एक वाणिज्यिक एआई मॉडल को प्रशिक्षित करना। किसी परियोजना के बारे में दो सहयोगियों के बीच की चैट को लेना और उसे एआई प्रशिक्षण सेट में डालना, कई नियामकों की नज़र में, इस नियम का मौलिक उल्लंघन है।

2. सूक्ष्म सहमति का अभाव (The Absence of Granular Consent)
जबकि मेटा का दावा है कि डेटा को पहचान संबंधी जानकारी से "अलग" (dissociated) कर दिया गया है, GDPR ऐसे दावों पर संदेह करता है। यदि डेटा को व्यवहार के अद्वितीय पैटर्न या संदेशों की विशिष्ट सामग्री के माध्यम से किसी व्यक्ति तक वापस ट्रैक किया जा सकता है, तो वह व्यक्तिगत डेटा बना रहता है। यूरोपीय कर्मचारियों के लिए, सहमति स्वतंत्र रूप से दी गई, विशिष्ट और सूचित होनी चाहिए। अप्रत्यक्ष रूप से उनका डेटा कैप्चर करना क्योंकि उन्होंने किसी अमेरिकी सहयोगी को ईमेल किया था, इस सीमा को पूरा नहीं करता है।

3. आनुपातिकता और घुसपैठ (Proportionality and Intrusion)
GDPR की आवश्यकता है कि डेटा प्रोसेसिंग आनुपातिक हो। क्या एआई एजेंट बनाने के लिए हर माउस की हरकत को ट्रैक करना वास्तव में आवश्यक है? या उस लक्ष्य को प्राप्त करने का कोई कम घुसपैठ वाला तरीका है? नियामक संदर्भ में, MCI की "हमेशा चालू" प्रकृति, जो सैकड़ों ऐप्स में क्लिक कैप्चर करती है, को अक्सर श्रमिकों के निजी जीवन में एक असंगत घुसपैठ के रूप में देखा जाता है।

अनाम क्लिक का मिथक

मेटा ने इन चिंताओं का यह कहते हुए विरोध किया है कि टूल इस बात पर केंद्रित है कि लोग कंप्यूटर का उपयोग कैसे करते हैं, न कि वे क्या कर रहे हैं इसकी सामग्री पर। उनका तर्क है कि विशिष्ट नामों से डेटा को अलग करके, वे गोपनीयता की रक्षा कर रहे हैं। हालांकि, उच्च-वेग वाले डेटा की दुनिया में, वास्तविक गुमनामी अक्सर एक मृगतृष्णा होती है।

गोपनीयता विशेषज्ञ अक्सर इसे "डिजिटल गवाह सुरक्षा कार्यक्रम" की समस्या के रूप में संदर्भित करते हैं। आप नाम और चेहरा बदल सकते हैं, लेकिन यदि विषय अभी भी उसी तरह चलता है, उन्हीं स्थानों पर जाता है, और उसी लय (cadence) के साथ बोलता है, तो उन्हें आसानी से फिर से पहचाना जा सकता है। एक ज्ञान कार्यकर्ता के लिए, उनकी "लय" यह है कि वे कोड को कैसे नेविगेट करते हैं, संदेशों में वे किस विशिष्ट शब्दजाल का उपयोग करते हैं, और उनकी दैनिक दिनचर्या क्या है। क्लिपबोर्ड और यूआरएल को कैप्चर करके, मेटा अत्यधिक विशिष्ट पहचानकर्ताओं को ग्रहण कर रहा है जो "अलगाव" को कानूनी जांच के खिलाफ एक बहुत पतली ढाल बनाते हैं।

इसके अलावा, यह तथ्य कि टूल गैर-अमेरिकी प्रेषकों से सीधे संदेश और ईमेल कैप्चर कर रहा है, एक बाह्य-क्षेत्रीय पहुंच बनाता है। यदि कोई फ्रांसीसी कर्मचारी किसी अमेरिकी सहयोगी को एक निजी संदेश भेजता है, और वह संदेश अमेरिका में मेटा के एआई प्रशिक्षण साइलो में चला जाता है, तो मेटा ने यूरोपीय संघ द्वारा आवश्यक सुरक्षा उपायों या खुलासे के बिना प्रभावी रूप से यूरोपीय व्यक्तिगत डेटा का निर्यात किया है।

"कर्मचारी डेटा निष्कर्षण कारखाना"

शायद इस कहानी का सबसे चौंकाने वाला पहलू आंतरिक प्रतिक्रिया है। कुछ मेटा कर्मचारियों ने कंपनी को "कर्मचारी डेटा निष्कर्षण कारखाना" (Employee Data Extraction Factory) करार दिया है। उसी डेटा को प्रदान करने के लिए कहे जाने में एक स्पष्ट विडंबना है जिसका उपयोग अंततः आपके अपने कार्य कार्यों को स्वचालित करने के लिए किया जाएगा।

अतीत में, कार्यस्थल की निगरानी काफी हद तक सुरक्षा या उत्पादकता के बारे में थी—यह सुनिश्चित करना कि कर्मचारी व्यापार रहस्य लीक नहीं कर रहे थे या खाली नहीं बैठे थे। MCI "जनरेटिव मॉनिटरिंग" की ओर एक बदलाव का प्रतिनिधित्व करता है। यहाँ, लक्ष्य कार्यकर्ता को देखना नहीं है; यह कार्यकर्ता की विशेषज्ञता को काटना और उसे कॉर्पोरेट संपत्ति में बदलना है। यह उन कर्मचारियों के लिए एक अनिश्चित वातावरण बनाता है जिन्हें लगता है कि उनके अद्वितीय पेशेवर अंतर्ज्ञान को क्लिक-दर-क्लिक वस्तु (commodified) बनाया जा रहा है।

कार्यस्थल पर एआई के भविष्य को नेविगेट करना

जैसे ही आयरिश डेटा प्रोटेक्शन कमीशन (DPC) इन प्रथाओं की जांच शुरू करता है, यह मामला संभवतः इस बात के लिए एक मिसाल बन जाएगा कि कॉर्पोरेट जगत में एआई को कैसे प्रशिक्षित किया जाता है। यह एक बढ़ते तनाव को उजागर करता है: कंपनियों को एआई की दौड़ में प्रतिस्पर्धी बने रहने के लिए विशाल डेटासेट की आवश्यकता होती है, लेकिन सबसे मूल्यवान डेटा अक्सर सबसे निजी होता है।

मेटा की वर्तमान स्थिति से बचने की चाह रखने वाले व्यवसायों के लिए, सबक स्पष्ट हैं। पारदर्शिता केवल एक चेकबॉक्स नहीं है; यह एक आधार है। यदि आप ऐसे टूल तैनात कर रहे हैं जो व्यवहार की निगरानी करते हैं, तो उन टूल को 'प्राइवेसी बाय डिज़ाइन' (Privacy by Design) के साथ बनाया जाना चाहिए। इसका मतलब है कि शुरुआत से ही डेटा न्यूनीकरण (data minimization) को एकीकृत करना—केवल वही एकत्र करना जो कड़ाई से आवश्यक है और यह सुनिश्चित करना कि संरक्षित क्षेत्रों (जैसे यूरोपीय संघ) के डेटा को प्रशिक्षण सर्वर तक पहुँचने से पहले ही फ़िल्टर कर दिया जाए।

डिजिटल अधिकारों और अनुपालन के लिए मुख्य निष्कर्ष:

• अपनी अंतर्संबद्धता का ऑडिट करें: कंपनियों को यह समझना चाहिए कि एक क्षेत्राधिकार में एकत्र किए गए डेटा में आसानी से दूसरे क्षेत्राधिकार के विषय शामिल हो सकते हैं। यदि आपकी अमेरिकी टीम ट्रैकिंग टूल का उपयोग करती है, तो आपको यह आकलन करना होगा कि क्या यह आपके वैश्विक कार्यालयों से डेटा कैप्चर करता है।
• उद्देश्य को जल्दी परिभाषित करें: स्पष्ट रूप से बताएं कि डेटा क्यों एकत्र किया जा रहा है। यदि आप "सुरक्षा निगरानी" से "एआई प्रशिक्षण" की ओर बढ़ते हैं, तो आपको एक नए कानूनी ढांचे और संभवतः प्रभावित व्यक्तियों से नई सहमति की आवश्यकता होगी।
• गुमनामी के दावों को सत्यापित करें: किसी वेंडर या आईटी विभाग की बात पर भरोसा न करें कि डेटा "अनाम" है। यह देखने के लिए पुन: पहचान परीक्षण (re-identification tests) करें कि क्या उपयोगकर्ता के व्यवहार पैटर्न उनकी पहचान प्रकट कर सकते हैं।
• भूल जाने के अधिकार का सम्मान करें: यदि कोई कर्मचारी छोड़ देता है या एआई प्रशिक्षण के लिए अपने डेटा के उपयोग पर आपत्ति करता है, तो क्या आप वास्तव में मॉडल से उनके "क्लिक" हटा सकते हैं? यदि उत्तर नहीं है, तो आप GDPR अनुच्छेद 17 का उल्लंघन कर सकते हैं।

जैसे-जैसे हम एआई युग में गहराई से आगे बढ़ते हैं, हमारे काम और हमारे डेटा के बीच की सीमा धुंधली होती रहेगी। उस सीमा की रक्षा करना अब केवल कानूनी विभाग का काम नहीं है; यह आधुनिक कार्यस्थल में विश्वास बनाए रखने के लिए एक मौलिक आवश्यकता है।

स्रोत:

• General Data Protection Regulation (GDPR), Article 5 (Principles relating to processing of personal data).
• General Data Protection Regulation (GDPR), Article 6 (Lawfulness of processing).
• General Data Protection Regulation (GDPR), Article 17 (Right to erasure).
• CJEU Case C-311/18 (Schrems II) regarding international data transfers.
• European Data Protection Board (EDPB) Guidelines on the processing of personal data for AI training.

अस्वीकरण: यह लेख केवल सूचनात्मक और पत्रकारिता उद्देश्यों के लिए प्रदान किया गया है। यह औपचारिक कानूनी सलाह या कानूनी राय नहीं है। कार्यस्थल की निगरानी या एआई परिनियोजन के संबंध में विशिष्ट अनुपालन मार्गदर्शन के लिए, कृपया एक योग्य कानूनी पेशेवर से परामर्श लें।