Ieskats AI apmācības projektā, kas katru peles klikšķi pārvērš korporatīvajā īpašumā

Pirms dažiem mēnešiem Meta darbinieki Amerikas Savienotajās Valstīs saņēma paziņojumu par jaunu iekšējo projektu ar nosaukumu Model Capability Initiative jeb MCI. No malas tas izskatījās pēc standarta tehniskā uzlabojuma: rīks, kas izstrādāts, lai palīdzētu uzņēmumam izveidot labākus mākslīgā intelekta (AI) aģentus. Taču, programmatūrai sākot darboties fonā tūkstošos korporatīvo klēpjdatoru, projekta realitāte sāka izskatīties mazāk pēc uzlabojuma un vairāk pēc digitāla tīkla.

Meta mērķis ir vērienīgs. Viņi vēlas apmācīt AI modeļus darboties kā autonomiem aģentiem — programmatūrai, kas spēj pārvietoties sarežģītās saskarnēs, aizpildīt veidlapas un pārvaldīt darba plūsmas tieši tāpat kā cilvēks. Lai to paveiktu, viņiem ir nepieciešami dati. Ne jebkādi dati, bet gan detalizētas, sekundi pa sekundei fiksētas profesionālu zināšanu darbinieku kustības. Katrs peles klikšķis, katra ritināšana nolaižamajā izvēlnē un katra pāreja starp lietojumprogrammām tiek ievākta kā apmācības materiāls uzņēmuma nākamās paaudzes mākslīgajam intelektam.

Tomēr tas, kas sākās kā ASV bāzēta iniciatīva, ātri vien ir nonācis regulatīvajā mīnu laukā otrpus Atlantijas okeānam. Nesen atklātībā nonākušie iekšējie dokumenti liecina, ka šis rīks fiksē ko vairāk par klikšķiem; tas "iesūc" Eiropas kolēģu mijiedarbības, kuri nekad nav pieteikušies šim eksperimentam. Šī pārrobežu datu noplūde sagatavo augsni nozīmīgai juridiskai konfrontācijai ar Eiropas Savienības privātuma regulatoriem.

Digitālā laboratorija: Kā darbojas MCI

Lai saprastu juridisko berzi, mums vispirms jāaplūko rīka tehniskais vēriens. MCI nav tikai ekrāna ierakstītājs. Tas ir novērotājs, kas atrodas virs vairāk nekā 200 dažādām lietojumprogrammām un tīmekļa vietnēm, kuras izmanto Meta darbinieki. Saskaņā ar iekšējiem ziņojumiem rīks izseko lietotāja "ceļu" — kā viņš pārvietojas no Jira biļetes uz kodēšanas vidi, pēc tam uz ziņapmaiņas lietotni, piemēram, Slack vai WhatsApp.

Iedomājieties savu digitālo nospiedumu kā rīvmaizes taku. Parasti šīs drupačas ir izkaisītas un galu galā tiek aizslaucītas. MCI ietvaros Meta faktiski seko maizniekam, reģistrējot katras drupačas precīzu svaru, leņķi, kādā tā nokrita, un laiku, kas bija nepieciešams, lai to nomestu. Tas izveido augstas precizitātes cilvēka uzvedības karti, ko var izmantot, lai atdarinātu šo uzvedību ar AI palīdzību.

Interesanti, ka rīka ieviešana ir bijusi viss, tikai ne neredzama. Daži darbinieki ziņoja, ka datu uzņemšana bija tik intensīva, ka dažu dienu laikā izsmēla viņu mājas interneta datu limitus. Vēl satraucošāki bija kāda Meta darbinieka iekšējās analīzes secinājumi, kas liecināja, ka MCI izmanto drošības programmatūru, lai piekļūtu starpliktuves (clipboard) saturam (tekstam, ko kopējat un ielīmējat) un pat nešifrētiem darbinieku aktivitāšu žurnāliem. Būtībā rīks pārvērta darba vietu par masīvu, reāllaika laboratoriju, kurā darbinieki bija izpētes objekti.

Sadursme ar VDAR

Lai gan darba likumdošana Amerikas Savienotajās Valstīs parasti sniedz darba devējiem plašas pilnvaras uzraudzīt darbiniekus uzņēmuma izsniegtajās ierīcēs, Eiropas Savienība darbojas saskaņā ar daudz stingrāku sistēmu: Vispārīgo datu aizsardzības regulu (VDAR jeb GDPR). Tajā brīdī, kad Meta ASV bāzētais rīks tver ziņojumu vai dokumentu, ko kopīgojis kolēģis Dublinā, Parīzē vai Berlīnē, tiek iedarbināta VDAR jurisdikcija.

No atbilstības viedokļa Meta ir jāpārvar trīs galvenie šķēršļi, un pašlaik šķiet, ka uzņēmums paklūp pie tiem visiem.

1. Mērķa ierobežojuma tests
Eiropas tiesību aktos pastāv princips, ko sauc par mērķa ierobežojumu. Tas nozīmē, ka, ja vācat datus viena iemesla dēļ — piemēram, lai atvieglotu saziņu darba vietā —, jūs nevarat pēkšņi nolemt tos izmantot pilnīgi citam mērķim, piemēram, komerciāla AI modeļa apmācībai, bez jauna juridiskā pamata. Divu kolēģu sarakstes par projektu paņemšana un tās ievietošana AI apmācības kopā daudzu regulatoru acīs ir būtisks šī noteikuma pārkāpums.

2. Detalizētas piekrišanas trūkums
Lai gan Meta apgalvo, ka dati ir "atdalīti" no identificējošas informācijas, VDAR pret šādiem apgalvojumiem izturas skeptiski. Ja datus var izsekot līdz personai, izmantojot tās unikālos uzvedības modeļus vai ziņojumu specifisko saturu, tie joprojām ir personas dati. Eiropas darbiniekiem piekrišanai jābūt brīvi sniegtai, konkrētai un informētai. Netieša viņu datu tveršana tikai tāpēc, ka viņi nejauši nosūtīja e-pastu ASV kolēģim, neatbilst šim slieksnim.

3. Samērīgums un iejaukšanās
VDAR prasa, lai datu apstrāde būtu samērīga. Vai tiešām ir nepieciešams izsekot katram peles kustībai, lai izveidotu AI aģentu? Vai arī ir mazāk invazīvs veids, kā sasniegt šo mērķi? Regulatīvajā kontekstā MCI "vienmēr ieslēgtā" daba, kas fiksē klikšķus simtiem lietotņu, bieži tiek uzskatīta par nesamērīgu iejaukšanos darbinieku privātajā dzīvē.

Mīts par anonimizēto klikšķi

Meta ir noraidījusi šīs bažas, norādot, ka rīks ir vērsts uz to, kā cilvēki izmanto datorus, nevis uz to, ko viņi dara. Viņi apgalvo, ka, atdalot datus no konkrētiem vārdiem, viņi aizsargā privātumu. Tomēr liela ātruma datu pasaulē patiesa anonimizācija bieži vien ir mirāža.

Privātuma eksperti to bieži dēvē par "digitālo liecinieku aizsardzības programmas" problēmu. Jūs varat mainīt vārdu un seju, bet, ja subjekts joprojām staigā tāpat, apmeklē tās pašas vietas un runā tādā pašā ritmā, viņu ir viegli identificēt. Zināšanu darbiniekam viņa "ritms" ir tas, kā viņš navigē kodā, specifiskais žargons, ko viņš izmanto ziņojumos, un viņa ikdienas rutīna. Tverot starpliktuvi un URL, Meta uzņem ļoti specifiskus identifikatorus, kas padara "atdalīšanu" par ļoti vāju aizsegu pret juridisko pārbaudi.

Turklāt fakts, ka rīks tver tiešos ziņojumus un e-pastus no sūtītājiem ārpus ASV, rada ekstrateritoriālu ietekmi. Ja darbinieks Francijā nosūta privātu ziņu kolēģim ASV un šī ziņa tiek ievietota Meta AI apmācības glabātavā ASV, Meta faktiski ir eksportējusi Eiropas personas datus bez nepieciešamajiem aizsardzības pasākumiem vai informācijas atklāšanas, ko pieprasa ES.

"Darbinieku datu ieguves rūpnīca"

Iespējams, visspilgtākais šī stāsta aspekts ir iekšējā reakcija. Daži Meta darbinieki ir nosaukuši uzņēmumu par "Darbinieku datu ieguves rūpnīcu". Tajā ir jūtama ironija — tikt lūgtam sniegt tieši tos datus, kas galu galā tiks izmantoti, lai automatizētu jūsu pašu darba funkcijas.

Agrāk darba vietas uzraudzība galvenokārt bija saistīta ar drošību vai produktivitāti — nodrošinot, ka darbinieki nenopludina komercnoslēpumus vai neslinko. MCI pārstāv pāreju uz "ģeneratīvo uzraudzību". Šeit mērķis nav novērot darbinieku; mērķis ir ievākt darbinieka zināšanas un pārvērst tās par korporatīvo aktīvu. Tas rada nedrošu vidi darbiniekiem, kuri jūtas, ka viņu unikālā profesionālā intuīcija tiek pārvērsta precē ar katru klikšķi.

AI nākotne darbā

Tā kā Īrijas Datu aizsardzības komisija (DPC) sāk pētīt šo praksi, šī lieta, visticamāk, kļūs par rādītāju tam, kā AI tiek apmācīts korporatīvajā pasaulē. Tā izgaismo pieaugošo spriedzi: uzņēmumiem ir nepieciešamas masīvas datu kopas, lai saglabātu konkurētspēju AI sacensībā, taču vērtīgākie dati bieži vien ir visprivātākie.

Uzņēmumiem, kas vēlas izvairīties no Meta pašreizējās situācijas, mācības ir skaidras. Pārredzamība nav tikai atzīme sarakstā; tas ir pamats. Ja ieviešat rīkus, kas uzrauga uzvedību, šiem rīkiem jābūt izstrādātiem ar "Privātumu pēc konstrukcijas" (Privacy by Design). Tas nozīmē datu minimizēšanas integrēšanu jau no paša sākuma — vācot tikai to, kas ir stingri nepieciešams, un nodrošinot, ka dati no aizsargātajiem reģioniem (piemēram, ES) tiek filtrēti, pirms tie nonāk apmācības serverī.

Galvenās atziņas par digitālajām tiesībām un atbilstību:

• Auditējiet savu savstarpējo savienojamību: Uzņēmumiem jāsaprot, ka vienā jurisdikcijā savāktie dati var viegli ietvert subjektus citā jurisdikcijā. Ja jūsu ASV komanda izmanto izsekošanas rīku, jums jāizvērtē, vai tas tver datus no jūsu globālajiem birojiem.
• Definējiet mērķi savlaicīgi: Skaidri norādiet, kāpēc dati tiek vākti. Ja pārejat no "drošības uzraudzības" uz "AI apmācību", jums ir nepieciešama jauna tiesiskā sistēma un, visticamāk, jauna piekrišana no ietekmētajām personām.
• Pārbaudiet anonimizācijas apgalvojumus: Nepieņemiet piegādātāja vai IT nodaļas vārdus, ka dati ir "anonīmi". Veiciet atkārtotas identifikācijas testus, lai redzētu, vai lietotāja uzvedības modeļi varētu atklāt viņa identitāti.
• Ievērojiet tiesības tikt aizmirstam: Ja darbinieks pamet darbu vai iebilst pret savu datu izmantošanu AI apmācībai, vai jūs tiešām varat izdzēst viņa "klikšķus" no modeļa? Ja atbilde ir nē, jūs varētu pārkāpt VDAR 17. pantu.

Mums virzoties dziļāk AI laikmetā, robeža starp mūsu darbu un mūsu datiem turpinās izplūst. Šīs robežas aizsardzība vairs nav tikai juridiskās nodaļas darbs; tā ir pamatprasība uzticības saglabāšanai mūsdienu darba vidē.

Avoti:

• Vispārīgā datu aizsardzības regula (VDAR), 5. pants (Ar personas datu apstrādi saistītie principi).
• Vispārīgā datu aizsardzības regula (VDAR), 6. pants (Apstrādes likumīgums).
• Vispārīgā datu aizsardzības regula (VDAR), 17. pants (Tiesības uz dzēšanu).
• EST lieta C-311/18 (Schrems II) attiecībā uz starptautisko datu pārsūtīšanu.
• Eiropas Datu aizsardzības kolēģijas (EDPB) vadlīnijas par personas datu apstrādi AI apmācībai.

Atruna: Šis raksts ir sagatavots tikai informatīviem un žurnālistikas mērķiem. Tas nav uzskatāms par oficiālu juridisku padomu vai juridisku atzinumu. Lai saņemtu konkrētus norādījumus par atbilstību attiecībā uz darba vietas uzraudzību vai AI ieviešanu, lūdzu, konsultējieties ar kvalificētu juridisko speciālistu.