Meta może wykorzystywać dane użytkowników do trenowania sztucznej inteligencji: co mówi niemieckie orzeczenie

Powody orzeczenia wydanego przez Sąd Najwyższy w Kolonii , który 23 maja 2025 r. uznał prawo Meta do korzystania z treści publicznych udostępnianych przez jej klientów w celu trenowania modeli AI, są wreszcie publiczne, akceptując argument Big Tech, że „nie ma rozsądnej alternatywy, którą Meta mogłaby wykorzystać, aby osiągnąć swoje interesy tak skutecznie przy użyciu innych, mniej inwazyjnych środków”.

Geneza kontrowersji

Orzeczenie zapadło w następstwie pozwu złożonego przez niemieckie stowarzyszenie konsumentów, które skarżyło się na naruszenie prawa do ochrony danych osobowych klientów spowodowane wyborem dokonanym przez Meta.

Stowarzyszenie oskarżyło firmę Meta o to, że nie wykazała, że ​​wykorzystanie danych jej klientów do trenowania sztucznej inteligencji było konieczne i właściwe w świetle ogólnego rozporządzenia o ochronie danych (RODO) oraz że działanie to jest zabronione, ponieważ obejmuje również przetwarzanie „szczególnych” danych osobowych — na przykład danych dotyczących zdrowia — bez możliwości powołania się na żadne wyjątki przewidziane w RODO.

Meta broniła się, twierdząc, że miała „uzasadniony interes” w korzystaniu z treści publicznych krążących na jej platformach, które są zgodne z RODO, oraz że przyjęła szereg środków, które ograniczyły ryzyko dla praw jednostek do akceptowalnego poziomu.

W orzeczeniu stwierdzono w szczególności, że Meta oświadczyła, iż ograniczyła wykorzystanie danych do tych, które klienci upublicznili, że przewidziała możliwość zmiany statusu treści z publicznego na prywatny, wykluczając w ten sposób ich wykorzystanie, że poinformowała klientów i dała im skuteczną możliwość sprzeciwienia się przetwarzaniu, że zanonimizowała informacje dotyczące pojedynczych osób, że dokonała ich „tokenizacji” (tj. sprowadziła je do wartości matematycznych niezbędnych do umożliwienia modelowi wykonywania operacji obliczeniowych), a zatem że oddzieliła je od tożsamości osobistej osób oraz że podjęła środki bezpieczeństwa w całym cyklu rozwoju modelu.

Orzekając na korzyść Meta, niemiecki sąd przedstawił czarno na białym szereg zasad, które znacznie ograniczają powszechną — nawet we Włoszech — interpretację przepisów dotyczących ochrony danych osobowych, potwierdzając szereg zasad, które obowiązują również poza kwestiami związanymi ze sztuczną inteligencją.

RODO chroni również interesy ekonomiczne, a nie tylko prawa jednostki

„Oprócz interesów prawnych i ideologicznych, za uzasadnione interesy uznaje się również interesy ekonomiczne” – pisze Trybunał, przypominając orzeczenie Trybunału Sprawiedliwości Unii Europejskiej , który uznał istotność interesu handlowego związku sportowego w przekazywaniu danych swoich sportowców.

Ponadto orzeczenie kontynuuje: „Anonimizacja takich zestawów danych nie jest praktyczna, ponieważ często trudno jest uzyskać zgodę osób, których dane dotyczą, przy rozsądnym wysiłku. Ta interpretacja odzwierciedla również „dwoistość” celów ochrony RODO, które nie tylko służy ochronie danych osobowych, ale także zapewnia swobodny przepływ takich danych, a zatem ich użyteczność”.

Tak więc, nawet jeśli w rzeczywistości to rozporządzenie o ochronie danych osobowych to stwierdza i nie byłoby potrzeby tego mówić, orzeczenie precyzuje, że interesy przedsiębiorstw mają taką samą godność jak prawa jednostek. W jeszcze innych kategoriach: nie ma przewagi „zasady”, która uniemożliwiałaby wykorzystanie danych osobowych w kontekście działalności gospodarczej. Ważne jest, powtarza Trybunał, że to wykorzystanie jest faktycznie konieczne i niezbędne do uzyskania zgodnego z prawem rezultatu, nawet jeśli nie jest wyraźnie przewidziane przez prawo .

Aby zrozumieć zakres tej zasady, wystarczy pomyśleć o kwestiach związanych z przechowywaniem danych o ruchu internetowym i metadanych e-mail, tych związanych z wykorzystaniem analiz lub tych wynikających z modelu „zapłać lub zaakceptuj” — lub raczej „zapłać pieniędzmi lub zapłać danymi” . W świetle tego orzeczenia nie jest prawdą, że te działania są niezgodne z prawem jako takie, ale związek między „ofiarą” konkretnie narzuconą klientowi a celami dostawcy musi być weryfikowany, przypadek po przypadku. Jeśli w praktyce ryzyko dla podstawowych praw i wolności osoby jest wystarczająco ograniczone, nie można uniemożliwić firmie przetwarzania powiązanych danych osobowych.

Należy brać pod uwagę jedynie ryzyka bezpośrednio związane z funkcjonowaniem modelu.

Kolejną fundamentalną zasadą rozwoju sztucznej inteligencji w Unii Europejskiej jest to, że przy ocenie konsekwencji przetwarzania danych osobowych należy brać pod uwagę jedynie te, które wiążą się ze szkoleniem samej sztucznej inteligencji.

Sędziowie piszą w tym punkcie: „Inne możliwe naruszenia prawa, które mogłyby wyniknąć z późniejszego funkcjonowania AI (takie jak dezinformacja, manipulacje, inne szkodliwe praktyki) nie są obecnie wystarczająco przewidywalne i mogą być ścigane oddzielnie. W każdym razie możliwość, że takie ryzyka zmaterializują się w takim stopniu, że uniemożliwią legalne korzystanie z AI, a ostatecznie podważą zasadność przetwarzania danych, jest odległa”.

Z niezwykłą jasnością sędziowie potwierdzają zasadę, zgodnie z którą, aby ocenić, czy dane osobowe mogą być wykorzystane do trenowania sztucznej inteligencji, należy brać pod uwagę jedynie bezpośrednie konsekwencje wynikające z wykorzystania danych w kwestii, a nie fakt, że ktoś mógłby wykorzystać model w przyszłości do popełnienia czynów niezgodnych z prawem. W tym przypadku, zauważa sąd, mają zastosowanie inne istniejące przepisy, ponieważ, jak można wywnioskować, model sztucznej inteligencji jest narzędziem , za pomocą którego naruszane są prawa, a nie autorem naruszenia.

Całkowita anonimizacja nie jest konieczna

Kolejnym punktem spornym między stronami była kwestia anonimizacji poprzez usunięcie danych osobowych, przy jednoczesnym zachowaniu trwałości zdjęć.

Meta uznała za wystarczające wyeliminowanie danych, takich jak pełne imiona i nazwiska, adresy e-mail, numery telefonów, krajowe numery identyfikacyjne, identyfikatory użytkowników, numery kart kredytowych/debetowych, numery kont bankowych/kody bankowe, tablice rejestracyjne, adresy IP i adresy pocztowe, a następnie przekształcenie ich w niestrukturalną i „tokenizowaną” formę. W tym punkcie stwierdza: „Chociaż nie wyklucza to, że pomimo de-identyfikacji identyfikacja może nadal występować w poszczególnych przypadkach, sąd uważa, że ​​te środki zmniejszą ogólne ryzyko”.

Szkolenie sztucznej inteligencji nie jest leczeniem ukierunkowanym na konkretną osobę

Również w tym przypadku należy zacytować wyrok dosłownie: „opracowywanie dużych modeli językowych opartych na bardzo dużych zbiorach danych zazwyczaj nie dotyczy ukierunkowanego przetwarzania danych osobowych ani identyfikacji konkretnej osoby” i ponownie „przesłanki umożliwiające przetwarzanie nieukierunkowane są wystarczająco spełnione przez cel szkolenia sztucznej inteligencji, który ma na celu tworzenie ogólnych modeli do obliczania prawdopodobieństw, a nie profilowanie poszczególnych osób”, a także przez liczne środki ochronne przyjęte przez pozwanych”.

Jest to centralny fragment orzeczenia, ponieważ powtarza on inny aspekt, który praktycznie nigdy nie był brany pod uwagę w (włoskim) stosowaniu RODO: rozporządzenie ma zastosowanie do tych zabiegów, które identyfikują lub umożliwiają identyfikację konkretnej osoby, a nie kategorii lub grup. Dlatego też, biorąc pod uwagę, że tokenizacja treści postów rozpowszechnianych w sieciach społecznościowych Meta została osiągnięta poprzez wystarczającą deidentyfikację osób, zabiegi uzyskane w ten sposób nie naruszają prawa.

Również w tym przypadku praktyczne konsekwencje tej zasady prawnej wykraczają poza zakres sztucznej inteligencji, gdyż obalają one na przykład tezę, zgodnie z którą wszelkie działania profilowania, np. wykonywane z wykorzystaniem trackerów, numerów IP lub innych narzędzi identyfikujących urządzenia lub oprogramowanie, a nie osoby, które z nich korzystają, są systemowym naruszeniem prawa.

Wiadomość do Komisji Europejskiej i krajowych organów ochrony danych

Jak już kilkakrotnie powtórzono, proces ten nabiera ogólniejszego znaczenia, wykraczającego poza kwestię meta, ponieważ dotyczy związku między ideologicznymi założeniami standaryzacji i przemysłowymi konsekwencjami rozwoju technologicznego.

Zupełnie oczywiste jest, że przez prawie dziesięć lat RODO było jednostronnie interpretowane ze szkodą dla uzasadnionych interesów tych, którzy wprowadzają innowacje, w imię fetyszyzacji „prywatności” (terminu, którego również brakuje w europejskim rozporządzeniu).

W związku z tym krajowe organy ochrony danych przyjęły przepisy i środki o charakterze miękkiego prawa , które nie uwzględniały w należyty sposób tego, co rozporządzenie przewidywało już od momentu jego ogłoszenia: dopóki działa się w granicach prawa, nie obowiązują żadne bezwzględne zakazy przetwarzania danych osobowych, lecz obowiązuje zasada równoważenia interesów, a równoważenie interesów należy weryfikować w każdym indywidualnym przypadku.

Rozporządzenie RODO z pewnością nie jest idealne i wymagałoby gruntownej przebudowy od podstaw, jednak orzeczenie to pokazuje, że można je rozsądnie interpretować, biorąc również pod uwagę przepisy chroniące badania naukowe i działalność gospodarczą.

Żeby było jasne, nie chodzi o to, żeby wzywać do „wolnej ręki” dla Big Tech lub ogólnie rzecz biorąc, dla przedsiębiorstw i tym samym poświęcać człowieka na ołtarzu zysku, ale nie można też zrobić czegoś przeciwnego, w imię nigdy nie wyjaśnionej dwuznaczności co do roli, jaką technologie informacyjne mogą i muszą odgrywać w przekształcaniu naszego społeczeństwa.

To jest kwestia, którą Komisja Europejska powinna wziąć pod uwagę przy przyjmowaniu aktów wykonawczych do rozporządzenia w sprawie sztucznej inteligencji i przy określaniu zmian w RODO, które są ostatecznie przedmiotem dyskusji.