Meta върви към сблъсък с ЕС заради инструмент, който ще проследява кликванията с мишка от служителите

Планът на Meta Platforms за събиране на подробни данни за използването на компютри от служителите в САЩ за обучение на нейните модели с изкуствен интелект е по-обширен от първоначално описания и е предназначен в процеса да събира данни извън САЩ, според вътрешна документация, видяна от Ройтерс.

Документите предполагат нови усложнения пред проекта – ключов компонент от по-широкия план на главния изпълнителен директор Марк Зукърбърг за трансформиране на начина, по който компанията работи около агентите с изкуствен интелект, което би могло да въвлече Meta в нова европейска „борба за поверителност“, съобщиха правозащитни групи пред Ройтерс.

Собственикът на Facebook и Instagram заяви пред служителите си миналия месец, че стартира инструмента за улавяне на начина, по който хората използват компютри, включително движения на мишката, кликвания и навигация през падащи менюта, за да създаде агенти с изкуствен интелект, които могат да изпълняват ежедневни софтуерни задачи автономно.

Инструментът, наречен Model Capability Initiative или MCI, извлича данни от повече от 200 приложения и уебсайта, според списък, споделен от Meta със служителите. Компанията заяви, че това ще засегне само служителите от САЩ и че са въведени предпазни мерки за защита на чувствителна информация.

В седмиците след стартирането му обаче служителите на Meta се оплакаха, че MCI консумира толкова много данни, че причинява скок в използването на домашния им интернет, като в някои случаи използва цяла месечна квота в рамките на дни, според вътрешни публикации, видени от Ройтерс.

Meta също така призна в документ с въпроси и отговори, предоставен на служителите, че инструментът ще улавя съдържанието на всички имейли или директни съобщения, изпратени до служители от САЩ, независимо от местоположението на подателя.

В изявление говорителят на Meta Дейв Арнолд заяви, че MCI е инсталиран само на устройствата на служителите от САЩ и че фокусът му е върху това как хората взаимодействат с компютрите, а не върху съдържанието на екраните им.

„В интерес на прозрачността уведомихме служителите извън САЩ, че е инсталиран на компютрите на колеги от САЩ, с които те могат да изпращат имейли или да чатят в нормалния ход на работата си“, каза Арнолд.

Той потвърди приблизителния брой приложения и уебсайтове, които инструментът проследява, но отказа да отговори на подробни въпроси за това колко данни събира и каква е законността му.

„Внимателно обмислихме и смекчихме потенциалните рискове за поверителността както при разработването, така и при внедряването на този инструмент и сме ангажирани да спазваме приложимите закони и разпоредби“, каза той.

Възникват въпрос за съответствие с GDPR

Констатациите биха могли да задълбочат регулаторните проблеми на Meta в Европейския съюз, където технологичните компании са изправени пред разгорещени правни сблъсъци относно начина, по който събират и разгръщат данни.

Докато американските работници имат малко защита срещу наблюдение от страна на работодателя, компаниите, работещи съгласно Общия регламент за защита на данните на ЕС, трябва да имат правно основание за обработка на лични данни, да разкриват какво се събира и да отговарят на строги условия за особено чувствителни данни като здравна информация.

В документа с често задавани въпроси на Meta относно MCI, една публикация разглежда проследяването от гледна точка на служител извън САЩ: „Аз съм базиран извън САЩ. Ще бъдат ли записани разговорите или данните ми, ако общувам с колега, базиран в САЩ, който е активирал инструмента?“

„Ако колега, базиран в САЩ, е активирал инструмента, докато разговаря в чат или имейл с някого извън САЩ, тази дейност ще бъде регистрирана“, отговарят от компанията.

Мета също така заяви в документа с въпроси и отговори, че данните, събрани от MCI, ще бъдат „отделени“ от идентифициращата информация за служителите и следователно не могат да бъдат търсени или изтривани за отделни лица, което е изискване в Европа.

Клеанти Сардели, правен експерт в групата за защита на личните данни NOYB („Не е твоя работа“), каза пред Ройтерс, че дори ограничено или непряко събиране на данни за служителите в ЕС може да постави Мета в нарушение на правилата по Общия регламент на ЕС относно защитата на данните (GDPR).

Ключови препънати камъни могат да включват въпроси като това дали събирането на европейски данни от инструмента се счита за „случайно“ или се счита за мониторинг съгласно GDPR и дали инициативата може да премине тест за „ограничение на целта“, добави тя.

„Тези данни първоначално са били събрани с цел работна комуникация и изпълнение на трудов договор. Вземането на чата на служител и поглъщането му в модел с изкуствен интелект е несъвместимо с тази първоначална цел“, каза Сардели.

Meta заяви пред Ирландската комисия за защита на данните – водещият регулатор на ЕС за поверителност съгласно GDPR, че нито данните на служителите от ЕС, нито записването на екранно съдържание „попадат в основната цел на инструмента“, каза говорител на DPC пред Ройтерс, без да дава подробности.

Недоволство от страна на служителите за обхвата на данните

Проектът MCI е част от мащабно преструктуриране в Meta, насочено към прехвърляне на големи обеми работа на AI агенти, което предизвика гневна реакция сред служителите, които оприличават Meta на „Фабрика за извличане на данни за служители“.

Във вътрешна публикация един служител сподели констатации от подробен анализ на лог файловете на MCI, извършен с помощта на Claude от Anthropic – типът AI инструмент, който Meta настоява служителите да включат в работните си процеси.

Според анализа – възпроизведен и от други, MCI е бил добавен към съществуващия софтуер за сигурност на данните на компанията, което му дава достъп до допълнителни подробности, включително промени в кода на служителите, цикли на заспиване и събуждане на компютрите им, посетени URL адреси и всяко съдържание на клипборда, което копират и поставят, което след това се съхранява по-малко сигурно в некриптирана форма.

Съставянето на този обем данни би позволило изграждането на „пълен поведенчески модел на това как един служител на си върши работата“, пише работникът.

„Не „изкуствен интелект, който кликва върху падащо меню вместо вас“, а „изкуствен интелект, който знае върху кое падащо меню да кликне, какво да избере, в кой документ да го постави и какво да направи след това“, написа тя.

По-късно публикацията на служителя изчезна, казаха двама други служители пред Ройтерс. Говорителят на Meta,нарече заключенията в публикацията „фундаментално неточни“, но отказа да отговори на въпроси относно твърденията ѝ или да каже дали компанията е премахнала публикацията.

Джони Райън, директор на звеното за прилагане на закона към Ирландския съвет за граждански свободи, каза, че обменът на информация в Meta потвърждава защо той смята за „съществено“ DPC да разследва инициативата.

„Тази ситуация, този случай, не се ограничава само до служителите на Meta. Той се отнася до всеки служител във всеки сектор, където те биха могли да бъдат заменени. Всеки се интересува от това, ако разбира какво е то“, каза той.