Dataskydd och AI: AI-träning i ljuset av klagomål mot Meta och X

När AI blir allt mer integrerat i vår vardag, ökar också behovet av att granska metoderna som används för att utveckla dessa system. I detta sammanhang står balansen mellan innovation och dataintegritet i centrum. Hur kan vi fortsätta att främja innovation utan att kompromissa med individens rätt till skydd av sina personuppgifter?

Datainsamling och AI-träning

För att AI-modeller ska kunna tränas effektivt krävs stora mängder data. Företag som X (tidigare Twitter) och Meta samlar in enorma mängder information, från offentliga inlägg och vissa privata meddelanden, till detaljerad beteendedata som visar vad användarna klickar på, hur länge de tittar på innehåll och deras interaktionsmönster. Denna data används för att förbättra AI-drivna funktioner som rekommendationssystem och automatiserade modereringsverktyg.

Den europeiska integritetsorganisationen noyb (None of Your Business) har nyligen lämnat in klagomål till dataskyddsmyndigheter i hela EU, riktade mot hur AI-träning genomförs av X och Meta. Klagomålen belyser en växande oro över hur stora teknikföretag använder sina användares personuppgifter för att utveckla AI-modeller – ofta utan samtycke eller tillräcklig transparens. Här är några av de viktigaste frågorna som noyb tar upp i sina klagomål.

Berättigat Intresse

Enligt GDPR måste alla som behandlar personuppgifter ha en laglig grund. X och Meta hävdar att deras användning av personuppgifter för AI-utveckling baseras på den lagliga grunden ”berättigat intresse”. Detta gör det möjligt för företag att behandla data om de kan visa att deras intressen, som att förbättra produkter eller tjänster, väger tyngre än användarnas rätt till integritet.

noyb menar att ”berättigat intresse” inte urskillningslöst kan täcka all data som används för AI-träning. Datan som X och Meta vill använda innefattar inte bara stora mängder information, utan även känsliga uppgifter, såsom etnicitet, religionstillhörighet eller politiska åsikter, som omfattas av särskilt skydd enligt artikel 9 i GDPR. Företagens intresse att använda data måste balanseras mot individens rättigheter och friheter. Här ifrågasätter noyb om den storskaliga databehandlingen verkligen kan anses nödvändig för de ändamål företagen anger. Om berättigat intresse inte kan användas måste företagen istället få användarnas uttryckliga samtycke för att behandla deras data.

Samtycke som rättslig grund

Om samtycke ska användas som rättslig grund enligt GDPR måste det vara informerat, specifikt och frivilligt. Användarna måste tydligt förstå vad deras data används till, samtycket måste vara begränsat till specifik databehandling, och användarna ska kunna tacka nej utan negativa konsekvenser.

noyb hävdar att både X och Meta använder användarnas personuppgifter – som inlägg, interaktioner och beteendedata – för att träna AI-modeller utan att inhämta ett korrekt samtycke. I stället hänvisar företagen till vaga eller dolda klausuler i sina användarvillkor, där det exempelvis kan nämnas att ”AI-teknik” kan användas. För de flesta användare är det oklart vad detta egentligen innebär och hur omfattande deras data faktiskt används. Meta har visserligen informerat användare om uppdateringar i sin personuppgiftspolicy, men det ger inte det tydliga samtycke som GDPR kräver. X har å sin sida inte informerat sina användare alls. Eftersom många delar personlig information på sociala medier, allt från bilder på sin familj till politiska åsikter, är det avgörande att användarna är medvetna om hur deras data används.

Datasortering och urskiljande

Vissa typer av känslig data åtnjuter ett särskilt skydd enligt artikel 9 i GDPR. Klagomålen pekar på att företagen själva uppgett att de tekniskt sett inte kan skilja mellan data från användare inom EU/EES och data från andra regioner där GDPR inte gäller. Dessutom har de medgett att de inte kan separera känslig data från annan data.

Detta skapar problem, dels genom att det väcker frågan om företagen överhuvudtaget kan garantera att deras databehandling vid AI-träning sker i enlighet med GDPR, och dels genom att det ökar risken för att känsliga uppgifter används när AI-modeller tränas på denna data. Det ställer också frågan om en användares känsliga data kan återspeglas i resultaten från en AI-modell.

Innovation kontra Integritet

Efter att klagomålen lämnats in har både Meta och X valt att pausa sin AI-träning i EU, vilket kan ses som ett tecken på att stora teknikföretag är villiga att anpassa sig till EU:s strikta dataskyddsstandarder. Men det återstår att se hur andra företag kommer att reagera. Tolkningen av vad ”berättigat intresse” kan omfatta och hur pass informerat ett giltigt samtycke behöver vara i samband med AI-träning, kommer att vara betydande för dataskyddsregleringen.

Vi står vid en korsväg där både innovation och integritet måste samexistera. Kommer vi att se ett mer begränsat utbud av AI-produkter i Europa på grund av dessa regleringar, eller kommer företagen att hitta nya sätt att utveckla teknik som samtidigt respekterar användarnas rätt till integritet? Hur dessa frågor besvaras kommer att definiera AI i Europa.

Denna artikel är skriven av Associate David Suh.