„AI mokymo projekto užkulisiai: kaip kiekvienas pelės spustelėjimas tampa korporacijos nuosavybe“

Prieš kelis mėnesius „Meta“ darbuotojai Jungtinėse Valstijose gavo pranešimą apie naują vidinį projektą, pavadintą „Model Capability Initiative“ arba MCI. Iš pirmo žvilgsnio tai atrodė kaip standartinis techninis atnaujinimas: įrankis, skirtas padėti įmonei kurti geresnius AI agentus. Tačiau programinei įrangai pradėjus veikti tūkstančių korporatyvinių nešiojamųjų kompiuterių fone, projekto realybė pradėjo panašėti ne į atnaujinimą, o į skaitmeninį tinklą duomenims rinkti.

„Meta“ tikslas ambicingas. Jie nori išmokyti AI modelius veikti kaip autonominius agentus – programinę įrangą, kuri galėtų naršyti sudėtingas sąsajas, pildyti formas ir valdyti darbo eigą lygiai taip pat, kaip žmogus. Tam jiems reikia duomenų. Ne bet kokių duomenų, o detalių, kas sekundę fiksuojamų profesionalių žinių darbuotojų judesių. Kiekvienas pelės spustelėjimas, kiekvienas slinkimas per išskleidžiamąjį meniu ir kiekvienas perėjimas tarp programų yra renkami kaip mokomoji medžiaga kitos kartos bendrovės dirbtiniam intelektui.

Tačiau tai, kas prasidėjo kaip JAV iniciatyva, greitai pateko į reguliavimo minų lauką kitoje Atlanto pusėje. Neseniai pasirodę vidiniai dokumentai rodo, kad šis įrankis fiksuoja ne tik spustelėjimus; jis siurbia Europos kolegų, kurie niekada nesutiko dalyvauti eksperimente, sąveikas. Šis tarpvalstybinis duomenų nutekėjimas sudaro sąlygas rimtam teisiniam susidūrimui su Europos Sąjungos privatumo reguliuotojais.

Skaitmeninė laboratorija: kaip veikia MCI

Norėdami suprasti teisinę įtampą, pirmiausia turime pažvelgti į techninį įrankio pasiekiamumą. MCI nėra tiesiog ekrano vaizdo įrašymo įrenginys. Tai stebėtojas, esantis virš daugiau nei 200 skirtingų programų ir svetainių, kuriomis naudojasi „Meta“ darbuotojai. Remiantis vidinėmis ataskaitomis, įrankis seka vartotojo „maršrutą“ – kaip jis pereina iš „Jira“ užduoties į programavimo aplinką, tada į susirašinėjimo programėlę, pavyzdžiui, „Slack“ ar „WhatsApp“.

Įsivaizduokite savo skaitmeninį pėdsaką kaip duonos trupinių taką. Paprastai šie trupiniai yra išsibarstę ir galiausiai nušluojami. Naudodama MCI, „Meta“ faktiškai seka kepėją, fiksuodama tikslų kiekvieno trupinio svorį, kampą, kuriuo jis nukrito, ir laiką, per kurį jis nukrito. Taip sukuriamas itin tikslus žmogaus elgsenos žemėlapis, kurį galima naudoti tai elgsenai atkartoti pasitelkiant AI.

Įdomu tai, kad įrankio įgyvendinimas nebuvo nepastebimas. Kai kurie darbuotojai pranešė, kad duomenų siuntimas buvo toks intensyvus, jog per kelias dienas išnaudojo jų namų interneto duomenų limitus. Dar didesnį susirūpinimą sukėlė „Meta“ darbuotojo atliktos vidinės analizės išvados, kurios rodė, kad MCI naudojosi saugumo programine įranga, kad gautų prieigą prie iškarpinės turinio (teksto, kurį kopijuojate ir įklijuojate) ir net nešifruotų darbuotojų veiklos žurnalų. Iš esmės įrankis pavertė darbo vietą didžiule tiesioginio veiksmo laboratorija, kurioje darbuotojai buvo tiriamieji objektai.

BDAR susidūrimo kursas

Nors Jungtinių Valstijų darbo įstatymai paprastai suteikia darbdaviams plačias galimybes stebėti darbuotojus įmonės išduotuose įrenginiuose, Europos Sąjunga vadovaujasi daug griežtesne sistema: Bendruoju duomenų apsaugos reglamentu (BDAR). Tą akimirką, kai „Meta“ JAV sukurtas įrankis užfiksuoja žinutę ar dokumentą, kuriuo pasidalino kolega Dubline, Paryžiuje ar Berlyne, įsigalioja BDAR jurisdikcija.

Atitikties požiūriu yra trys pagrindinės kliūtys, kurias „Meta“ turi įveikti, ir šiuo metu atrodo, kad ji stringa ties visomis.

1. Tikslo ribojimo testas
Europos teisėje galioja tikslo ribojimo principas. Tai reiškia, kad jei renkate duomenis dėl vienos priežasties – pavyzdžiui, siekiant palengvinti bendravimą darbo vietoje – negalite staiga nuspręsti jų naudoti visiškai kitam tikslui, pavyzdžiui, komerciniam AI modeliui mokyti, be naujo teisinio pagrindo. Dviejų kolegų pokalbio apie projektą paėmimas ir jo įtraukimas į AI mokymo rinkinį, daugelio reguliuotojų nuomone, yra esminis šios taisyklės pažeidimas.

2. Granuliuoto sutikimo nebuvimas
Nors „Meta“ teigia, kad duomenys yra „atsieti“ nuo identifikuojančios informacijos, BDAR į tokius teiginius žiūri skeptiškai. Jei duomenis galima susieti su asmeniu per jo unikalius elgsenos modelius arba konkretų žinučių turinį, jie išlieka asmens duomenimis. Europos darbuotojų sutikimas turi būti duotas laisva valia, konkretus ir pagrįstas informacija. Netiesioginis jų duomenų fiksavimas vien dėl to, kad jie atsitiktinai parašė el. laišką kolegai JAV, neatitinka šios ribos.

3. Proporcingumas ir įsikišimas
BDAR reikalauja, kad duomenų tvarkymas būtų proporcingas. Ar tikrai būtina sekti kiekvieną pelės krustelėjimą, norint sukurti AI agentą? O gal yra mažiau invazyvus būdas šiam tikslui pasiekti? Reguliavimo kontekste „visada įjungtas“ MCI pobūdis, fiksuojantis spustelėjimus šimtuose programėlių, dažnai vertinamas kaip neproporcingas įsikišimas į darbuotojų privatų gyvenimą.

Anonimizuoto spustelėjimo mitas

„Meta“ atmetė šiuos nuogąstavimus teigdama, kad įrankis sutelktas į tai, kaip žmonės naudojasi kompiuteriais, o ne į tai, ką jie daro. Jie teigia, kad atsieję duomenis nuo konkrečių vardų, jie saugo privatumą. Tačiau didelio greičio duomenų pasaulyje tikra anonimizacija dažnai yra tik iliuzija.

Privatumo ekspertai tai dažnai vadina „skaitmeninės liudytojų apsaugos programos“ problema. Galite pakeisti vardą ir veidą, bet jei subjektas vis tiek vaikšto taip pat, lankosi tose pačiose vietose ir kalba tuo pačiu ritmu, jį lengva vėl atpažinti. Žinių darbuotojo „ritmas“ yra tai, kaip jis naršo kodą, specifinis žargonas, kurį jis naudoja žinutėse, ir jo kasdienė rutina. Fiksuodama iškarpinę ir URL adresus, „Meta“ pasisavina labai specifinius identifikatorius, dėl kurių „atsiejimas“ tampa labai silpna apsauga nuo teisinio patikrinimo.

Be to, tai, kad įrankis fiksuoja tiesiogines žinutes ir el. laiškus iš ne JAV siuntėjų, sukuria ekstrateritorinį poveikį. Jei darbuotojas Prancūzijoje nusiunčia privačią žinutę kolegai JAV ir ši žinutė patenka į „Meta“ AI mokymo saugyklą JAV, „Meta“ faktiškai eksportavo Europos asmens duomenis be būtinų apsaugos priemonių ar atskleidimo, kurio reikalauja ES.

„Darbuotojų duomenų gavybos gamykla“

Ko gero, labiausiai stebinantis šios istorijos aspektas yra vidinė reakcija. Kai kurie „Meta“ darbuotojai įmonę pavadino „darbuotojų duomenų gavybos gamykla“. Yra akivaizdi ironija, kai prašoma pateikti būtent tuos duomenis, kurie galiausiai bus panaudoti jūsų paties darbo funkcijoms automatizuoti.

Praeityje darbo vietos stebėjimas daugiausia buvo susijęs su saugumu ar produktyvumu – siekiant užtikrinti, kad darbuotojai nenutekintų komercinių paslapčių ar netinginiautų. MCI reiškia perėjimą prie „generatyvinio stebėjimo“. Čia tikslas nėra stebėti darbuotoją; tikslas yra surinkti darbuotojo patirtį ir paversti ją įmonės turtu. Tai sukuria nesaugią aplinką darbuotojams, kurie jaučia, kad jų unikali profesinė intuicija yra paverčiama preke su kiekvienu spustelėjimu.

AI ateitis darbe

Airijos duomenų apsaugos komisijai (DPC) pradėjus tirti šią praktiką, ši byla tikriausiai taps pavyzdžiu, kaip AI mokomas korporatyviniame pasaulyje. Tai pabrėžia augančią įtampą: įmonėms reikia milžiniškų duomenų rinkinių, kad išliktų konkurencingos AI lenktynėse, tačiau vertingiausi duomenys dažnai yra patys privačiausi.

Įmonėms, norinčioms išvengti dabartinės „Meta“ padėties, pamokos yra aiškios. Skaidrumas nėra tik varnelė; tai pagrindas. Jei diegiate elgseną stebinčius įrankius, jie turi būti sukurti laikantis privatumo užtikrinimo projektavimo stadijoje (Privacy by Design) principo. Tai reiškia duomenų kiekio mažinimo integravimą nuo pat pradžių – renkant tik tai, kas griežtai būtina, ir užtikrinant, kad duomenys iš saugomų regionų (pavyzdžiui, ES) būtų išfiltruoti dar prieš jiems patenkant į mokymo serverį.

Pagrindinės įžvalgos dėl skaitmeninių teisių ir atitikties:

• Audituokite savo tarpusavio ryšius: Įmonės turi suprasti, kad vienoje jurisdikcijoje surinkti duomenys gali lengvai apimti subjektus kitoje. Jei jūsų JAV komanda naudoja sekimo įrankį, privalote įvertinti, ar jis fiksuoja duomenis iš jūsų biurų visame pasaulyje.
• Anksti apibrėžkite tikslą: Aiškiai nurodykite, kodėl renkami duomenys. Jei pereinate nuo „saugumo stebėjimo“ prie „AI mokymo“, jums reikia naujos teisinės sistemos ir, tikėtina, naujo paveiktų asmenų sutikimo.
• Patikrinkite anonimizavimo teiginius: Nepasikliaukite tiekėjo ar IT skyriaus žodžiu, kad duomenys yra „anoniminiai“. Atlikite pakartotinio identifikavimo testus, kad pamatytumėte, ar vartotojo elgsenos modeliai negali atskleisti jų tapatybės.
• Gerbkite teisę būti pamirštam: Jei darbuotojas išeina iš darbo arba nesutinka, kad jo duomenys būtų naudojami AI mokymui, ar tikrai galite ištrinti jo „spustelėjimus“ iš modelio? Jei atsakymas yra „ne“, galite pažeisti BDAR 17 straipsnį.

Giliau žengiant į AI erą, riba tarp mūsų darbo ir mūsų duomenų toliau nyks. Šios ribos apsauga nebėra tik teisės skyriaus darbas; tai esminis reikalavimas siekiant išlaikyti pasitikėjimą šiuolaikinėje darbo vietoje.

Šaltiniai:

• Bendrasis duomenų apsaugos reglamentas (BDAR), 5 straipsnis (Su asmens duomenų tvarkymu susiję principai).
• Bendrasis duomenų apsaugos reglamentas (BDAR), 6 straipsnis (Duomenų tvarkymo teisėtumas).
• Bendrasis duomenų apsaugos reglamentas (BDAR), 17 straipsnis (Teisė reikalauti ištrinti duomenis („teisė būti pamirštam“)).
• ESTT byla C-311/18 (Schrems II) dėl tarptautinio duomenų perdavimo.
• Europos duomenų apsaugos valdybos (EDAV) gairės dėl asmens duomenų tvarkymo AI mokymui.

Atsakomybės apribojimas: Šis straipsnis pateikiamas tik informaciniais ir žurnalistiniais tikslais. Tai nėra oficiali teisinė konsultacija ar teisinė nuomonė. Dėl konkrečių atitikties gairių, susijusių su darbo vietos stebėjimu ar AI diegimu, kreipkitės į kvalifikuotą teisės specialistą.