Wewnątrz projektu szkolenia AI, który zmienia każde kliknięcie myszą we własność korporacyjną

Kilka miesięcy temu pracownicy Meta w Stanach Zjednoczonych otrzymali powiadomienie o nowym wewnętrznym projekcie o nazwie Model Capability Initiative, czyli MCI. Na pierwszy rzut oka brzmiało to jak standardowa aktualizacja techniczna: narzędzie zaprojektowane, aby pomóc firmie budować lepszych agentów AI. Jednak gdy oprogramowanie zaczęło działać w tle tysięcy korporacyjnych laptopów, rzeczywistość projektu zaczęła wyglądać mniej jak aktualizacja, a bardziej jak cyfrowa obława.

Cel Meta jest ambitny. Chcą szkolić modele AI, aby działały jako autonomiczni agenci — oprogramowanie, które potrafi poruszać się po złożonych interfejsach, wypełniać formularze i zarządzać przepływami pracy dokładnie tak, jak robiłby to człowiek. Aby to osiągnąć, potrzebują danych. Nie byle jakich danych, ale szczegółowych, rejestrowanych sekunda po sekundzie ruchów wykwalifikowanych pracowników umysłowych. Każde kliknięcie myszą, każde przewinięcie menu rozwijanego i każde przejście między aplikacjami jest gromadzone jako materiał szkoleniowy dla nowej generacji sztucznej inteligencji firmy.

Jednak to, co zaczęło się jako inicjatywa w USA, szybko dryfowało w stronę regulacyjnego pola minowego po drugiej stronie Atlantyku. Niedawno ujawniono wewnętrzne dokumenty sugerujące, że narzędzie to przechwytuje coś więcej niż tylko kliknięcia; zasysa interakcje europejskich kolegów, którzy nigdy nie zapisali się do tego eksperymentu. Ten transgraniczny wyciek danych przygotowuje grunt pod znaczącą konfrontację prawną z organami regulacyjnymi Unii Europejskiej ds. prywatności.

Cyfrowe laboratorium: Jak działa MCI

Aby zrozumieć tarcie prawne, musimy najpierw przyjrzeć się technicznemu zasięgowi narzędzia. MCI nie jest jedynie rejestratorem ekranu. Jest obserwatorem, który nadzoruje ponad 200 różnych aplikacji i stron internetowych używanych przez personel Meta. Według wewnętrznych raportów, narzędzie śledzi „ścieżkowanie” użytkownika — sposób, w jaki przechodzi on od zgłoszenia w Jira do środowiska programistycznego, a następnie do aplikacji komunikacyjnej, takiej jak Slack czy WhatsApp.

Pomyśl o swoim cyfrowym śladzie jak o ścieżce z okruchów chleba. Zazwyczaj te okruchy są rozproszone i ostatecznie zmiatane. W ramach MCI Meta skutecznie podąża za piekarzem, rejestrując dokładną wagę każdego okrucha, kąt, pod jakim upadł, i czas, w jakim to nastąpiło. Tworzy to mapę ludzkich zachowań o wysokiej wierności, która może być wykorzystana do replikowania tych zachowań przez AI.

Co ciekawe, wdrożenie narzędzia było dalekie od niewidocznego. Niektórzy pracownicy zgłaszali, że pobieranie danych było tak intensywne, że wyczerpało ich limity domowego internetu w ciągu kilku dni. Bardziej niepokojące były ustalenia wewnętrznej analizy przeprowadzonej przez pracownika Meta, które sugerowały, że MCI korzystało z oprogramowania zabezpieczającego, aby uzyskać dostęp do zawartości schowka (tekstu, który kopiujesz i wklejasz), a nawet niezaszyfrowanych logów aktywności pracowników. W zasadzie narzędzie zamieniało miejsce pracy w ogromne laboratorium na żywo, w którym pracownicy byli okazami badawczymi.

Kurs kolizyjny z RODO

Podczas gdy prawo pracy w Stanach Zjednoczonych zazwyczaj daje pracodawcom szeroką swobodę w monitorowaniu personelu na urządzeniach służbowych, Unia Europejska działa w znacznie surowszych ramach: Ogólnego Rozporządzenia o Ochronie Danych (RODO). W momencie, gdy narzędzie Meta z USA przechwytuje wiadomość lub dokument udostępniony przez kolegę z Dublina, Paryża czy Berlina, uruchamiana jest jurysdykcja RODO.

Z punktu widzenia zgodności, Meta musi pokonać trzy główne przeszkody, a obecnie wydaje się, że potyka się o każdą z nich.

1. Test ograniczenia celu
W prawie europejskim istnieje zasada zwana ograniczeniem celu. Oznacza ona, że jeśli zbierasz dane z jednego powodu — powiedzmy, aby ułatwić komunikację w miejscu pracy — nie możesz nagle zdecydować o ich wykorzystaniu w zupełnie innym celu, takim jak szkolenie komercyjnego modelu AI, bez nowej podstawy prawnej. Pobranie czatu między dwoma współpracownikami na temat projektu i wprowadzenie go do zestawu szkoleniowego AI jest, w oczach wielu regulatorów, fundamentalnym naruszeniem tej zasady.

2. Brak szczegółowej zgody
Podczas gdy Meta twierdzi, że dane są „oddzielone” od informacji identyfikujących, RODO jest sceptyczne wobec takich twierdzeń. Jeśli dane można powiązać z osobą poprzez jej unikalne wzorce zachowań lub konkretną treść wiadomości, pozostają one danymi osobowymi. W przypadku europejskich pracowników zgoda musi być dobrowolna, konkretna i świadoma. Pośrednie przechwytywanie ich danych tylko dlatego, że wysłali e-mail do kolegi z USA, nie spełnia tego progu.

3. Proporcjonalność i ingerencja
RODO wymaga, aby przetwarzanie danych było proporcjonalne. Czy naprawdę konieczne jest śledzenie każdego drgnięcia myszy, aby zbudować agenta AI? Czy istnieje mniej inwazyjny sposób na osiągnięcie tego celu? W kontekście regulacyjnym, charakter MCI jako narzędzia „zawsze włączonego”, które przechwytuje kliknięcia w setkach aplikacji, jest często postrzegany jako nieproporcjonalna ingerencja w życie prywatne pracowników.

Mit anonimizowanego kliknięcia

Meta odpiera te obawy, twierdząc, że narzędzie koncentruje się na tym, jak ludzie używają komputerów, a nie na treści tego, co robią. Argumentują, że oddzielając dane od konkretnych nazwisk, chronią prywatność. Jednak w świecie danych o dużej prędkości prawdziwa anonimizacja jest często mirażem.

Eksperci ds. prywatności często określają to jako problem „cyfrowego programu ochrony świadków”. Możesz zmienić nazwisko i twarz, ale jeśli obiekt nadal chodzi w ten sam sposób, odwiedza te same miejsca i mówi z tą samą kadencją, łatwo go ponownie zidentyfikować. Dla pracownika umysłowego jego „kadencja” to sposób poruszania się po kodzie, specyficzny żargon używany w wiadomościach i codzienna rutyna. Przechwytując schowek i adresy URL, Meta pochłania bardzo specyficzne identyfikatory, które sprawiają, że „oddzielenie” staje się bardzo cienką tarczą przed kontrolą prawną.

Co więcej, fakt, że narzędzie przechwytuje bezpośrednie wiadomości i e-maile od nadawców spoza USA, tworzy zasięg eksterytorialny. Jeśli francuski pracownik wyśle prywatną wiadomość do kolegi z USA, a wiadomość ta zostanie wchłonięta przez silos szkoleniowy AI Meta w USA, Meta faktycznie wyeksportowała europejskie dane osobowe bez niezbędnych zabezpieczeń lub ujawnień wymaganych przez UE.

„Fabryka ekstrakcji danych pracowników”

Być może najbardziej uderzającym aspektem tej historii jest reakcja wewnętrzna. Niektórzy pracownicy Meta nazwali firmę „Fabryką ekstrakcji danych pracowników”. Istnieje wyczuwalna ironia w prośbie o dostarczenie właśnie tych danych, które ostatecznie zostaną wykorzystane do zautomatyzowania własnych funkcji zawodowych.

W przeszłości monitorowanie miejsca pracy dotyczyło głównie bezpieczeństwa lub produktywności — upewniania się, że pracownicy nie wyciekają tajemnic handlowych ani nie próżnują. MCI reprezentuje przesunięcie w stronę „monitorowania generatywnego”. Tutaj celem nie jest obserwowanie pracownika; jest nim zebranie wiedzy specjalistycznej pracownika i zamiana jej w aktywa korporacyjne. Stwarza to niepewne środowisko dla personelu, który czuje, że ich unikalna intuicja zawodowa jest komercjalizowana kliknięcie po kliknięciu.

Nawigowanie w przyszłości AI w pracy

W miarę jak irlandzka Komisja Ochrony Danych (DPC) zaczyna przyglądać się tym praktykom, sprawa ta prawdopodobnie stanie się wyznacznikiem tego, jak AI jest szkolona w świecie korporacyjnym. Podkreśla ona rosnące napięcie: firmy potrzebują ogromnych zbiorów danych, aby pozostać konkurencyjnymi w wyścigu AI, ale najcenniejsze dane są często tymi najbardziej prywatnymi.

Dla firm chcących uniknąć obecnej sytuacji Meta lekcje są jasne. Przejrzystość to nie tylko pole do odhaczenia; to fundament. Jeśli wdrażasz narzędzia monitorujące zachowanie, narzędzia te muszą być budowane zgodnie z zasadą Privacy by Design. Oznacza to integrację minimalizacji danych od samego początku — zbieranie tylko tego, co jest ściśle niezbędne, i zapewnienie, że dane z regionów chronionych (takich jak UE) są odfiltrowywane, zanim trafią na serwer szkoleniowy.

Kluczowe wnioski dla praw cyfrowych i zgodności:

• Audytuj swoje powiązania: Firmy muszą zrozumieć, że dane zebrane w jednej jurysdykcji mogą łatwo dotyczyć podmiotów w innej. Jeśli Twój zespół w USA korzysta z narzędzia śledzącego, musisz ocenić, czy przechwytuje ono dane z Twoich globalnych biur.
• Wcześnie zdefiniuj cel: Jasno określ, dlaczego dane są zbierane. Jeśli przechodzisz od „monitorowania bezpieczeństwa” do „szkolenia AI”, potrzebujesz nowych ram prawnych i prawdopodobnie nowej zgody od osób, których to dotyczy.
• Weryfikuj twierdzenia o anonimizacji: Nie wierz na słowo dostawcy ani działowi IT, że dane są „anonimowe”. Przeprowadź testy reidentyfikacji, aby sprawdzić, czy wzorce zachowań użytkownika mogą ujawnić jego tożsamość.
• Szanuj prawo do bycia zapomnianym: Jeśli pracownik odchodzi lub sprzeciwia się wykorzystywaniu jego danych do szkolenia AI, czy faktycznie możesz usunąć jego „kliknięcia” z modelu? Jeśli odpowiedź brzmi „nie”, możesz naruszać art. 17 RODO.

W miarę jak zagłębiamy się w erę AI, granica między naszą pracą a naszymi danymi będzie się zacierać. Ochrona tej granicy nie jest już tylko zadaniem działu prawnego; jest to fundamentalny wymóg utrzymania zaufania w nowoczesnym miejscu pracy.

Źródła:

• General Data Protection Regulation (GDPR), Article 5 (Principles relating to processing of personal data).
• General Data Protection Regulation (GDPR), Article 6 (Lawfulness of processing).
• General Data Protection Regulation (GDPR), Article 17 (Right to erasure).
• CJEU Case C-311/18 (Schrems II) regarding international data transfers.
• European Data Protection Board (EDPB) Guidelines on the processing of personal data for AI training.

Zastrzeżenie: Niniejszy artykuł służy wyłącznie celom informacyjnym i dziennikarskim. Nie stanowi on formalnej porady prawnej ani opinii prawnej. W celu uzyskania konkretnych wytycznych dotyczących zgodności w zakresie monitorowania miejsca pracy lub wdrażania AI należy skonsultować się z wykwalifikowanym prawnikiem.