摘要:2024年3月,Meta爱尔兰通知对口监管部门爱尔兰数据保护委员会(Irish Data Protection Commission,IDPC)其计划使用欧盟/欧洲经济区(EU/EEA)成年用户在Facebook和Instagram上公开发布的内容训练大语言模
简单看下5月29日提到的另一个欧盟案件。
Meta爱尔兰是Meta美国的全资子公司,主要负责处理欧洲、中东和非洲地区用户的个人数据等业务。
2024年3月,Meta爱尔兰通知对口监管部门爱尔兰数据保护委员会(Irish Data Protection Commission,IDPC)其计划使用欧盟/欧洲经济区(EU/EEA)成年用户在Facebook和Instagram上公开发布的内容训练大语言模型。
IDPC收到来自多个成员国数据保护机构和隐私组织的投诉,认为Meta的做可能违反《通用数据保护条例》(GDPR)关于数据处理合法性的规定,随后要求Meta暂停相关AI训练计划,并向欧盟数据保护委员会(European Data Protection Board, EDPB)针对该事项请求正式意见。
2024年6月,Meta宣布暂时不会在欧洲推出Meta AI模型。
2024年9月,IDPC向EDPB申请有关GDPR适用问题的正式意见。
2024年12月,EDPB发布《关于AI模型中个人数据处理的特定数据保护问题的28/2024号意见》,明确企业可以在“合法利益”(legitimate interest)基础上,在欧盟范围内使用用户公开内容进行AI模型训练,并对合法性基础、用户权利、透明度、数据最小化等事项提出具体要求。
EDPB在意见中强调:1)数据控制者必须证明其利益高于数据主体的权利和自由;2)数据控制者必须采取充分的技术和组织措施,保护用户隐私。也就是说,在数据控制者(平台)和数据主体(最终用户)的利益平衡问题上,EDPB认为需要进行利益平衡的前提是数据控制者已经可以证明:1)其存在合法、真实、具体的利益;2)必要性;3)有充分的技术和组织措施保障。
需要注意的是,这一意见并非仅针对Meta计划,而是为各国数据保护机构评估AI训练活动的合法性提供基础评估框架,适用中需要各国数据保护机构结合具体情况进行分析。
2025年3月,Meta在欧洲推出Meta AI,2025年4月,Meta宣布重启前述计划,声明中提到:
训练目的方面,在欧盟范围内使用用户个人数据训练AI模型的目的是使Meta AI能够更好地理解和反映欧洲用户的文化、语言和历史,更好地支持欧盟数百万人和企业。训练数据方面,不会将用户“与朋友和家人的私人信息”和“欧盟18岁以下人士账户的公开数据”用于训练;保障措施方面:1)提前以书面形式(应用内和email)通知用户,对Meta将开始使用的数据类型、目的进行解释;2)提供选择退出机制,在通知中提供异议表格链接,并确保异议表格在应用程序内以及欧洲所有司法辖区有效;3)采取措施使异议表格易于查找、阅读和。从IDPC后来在5月发布的报告看,还包括提供更长通知期、更新数据主体保护措施等改进。合规方面,表示其原始计划符合EDPB在2024年12月发出的意见,EDPB意见发布后,其也和IDPC进行了“建设性的接触”。但是,Meta在4月声明中没有说其重启计划是否已经取得IDPC批准以及是否已与各国数据保护机构启动协调。
2025年5月初,德国北莱茵-威斯特法伦州消费者协会(NRW e.V.)根据《德国停止侵害法》对Meta爱尔兰提起诉讼并申请禁令,请求法院阻止Meta的AI训练计划。
科隆法院审理期间,IDPC在2025年5月21日发布声明称Meta已根据EDPB的意见重新修订训练方案,调整数据保护措施,并将于自2025年5月27日重启模型训练,在2025年10月提交一份关于措施有效性和适当性的评估报告。
2025年5月22日,汉堡数据保护和信息自由专员在口头听证会上向法院表示,Meta爱尔兰的用户公开数据使用计划符合数据保护法规,认定该处理行为合法。
2025年5月23日,法院发布新闻稿,称已裁决驳回NRW e.V.的禁令申请,允许Meta自5月27日起使用公开用户资料数据进行AI训练。该裁决已生效且不可上诉,全文将在送达当事人后在司法裁判数据库NRWE(www.nrwe.de)公开(案号:15 UKI 2/25)。
从新闻稿看,法院在进行初步、简要审查后,认为在5月12日启动的紧急程序范围内,被告既未违反GDPR(《通用数据保护条例》),也未违反DMA(《数字市场法》)。
GDPR适用方面,法院认为将通知所涉数据用于AI训练,即使没有用户同意,也符合《通用数据保护条例》(“GDPR”)第6条第1款第f项的规定:
GDPR第6条第1款第f项规定了三项合法处理个人数据条件,即,首先,控制者或第三方必须追求合法利益;其次,处理个人数据对于追求这些合法利益是必要的;最后,数据主体的利益、基本权利和自由不得凌驾于控制者或第三方的合法利益之上。EDPB曾在2024年10月8日通过了《关于基于GDPR第6(1)(f) 款处理个人数据的指南 版本1.0》,对合法利益认定进行详细解释,感兴趣的话也可以搜一下。
法院认为,Meta爱尔兰使用涉案数据训练AI,追求合法目的。该目的不能通过同样有效的其他手段、且对个人权利干预更小的替代手段实现——毫无疑问,训练需要大量数据,这些数据无法可靠地完全匿名化。在权衡本案涉及的用户和Meta爱尔兰作为运营者的权利时,运营者的数据处理利益占主导地位。尽管大量数据涉及第三方数据(含未成年人)以及GDPR第9条规定的敏感数据,但在利益权衡时并不占主导地位,理由是:1)Meta爱尔兰在这方面采取了有效措施,显著减轻了数据处理行为对个人权利的潜在影响。
2)此次数据处理计划已于2024年提前向公众披露,用户通过应用程序以及在可能的情况下通过其他渠道得到了充分通知。用户有权通过将数据设置为“非公开”状态或依法提出异议的方式,阻止相关数据处理行为的实施。
3)此次数据处理计划使用的数据不包含用户的唯一标识符,例如姓名、电子邮件地址或邮政地址等敏感信息。
DMA适用方面,法院认为Meta计划的处理方式并不涉及数据合并(data combine),因此不违反该法规定,具体情况明天看。
参考:
1. https://www.euractiv.com/section/tech/news/meta-resumes-ai-training-on-facebook-and-instagram-posts-after-legal-pushback/ ,2025年4月14日
2. https://about.fb.com/news/2025/04/making-ai-work-harder-for-europeans/,2025年4月14日
3. https://www.dataprotection.ie/en/news-media/latest-news/dpc-statement-meta-ai,2025年5月21日
4. https://www.olg-koeln.nrw.de/behoerde/presse/004_zt_letzte-pm_archiv_zwangs/002_archiv/001_zt_archiv_2025/010_NEU_010_PM_2025-05-23_OLG-K_KI-Datentraining.pdf,2025年5月23日
5. https://www.caidp.eu/news/hamburg-data-protection-authority-urges-users-to-object-to-metas-ai-data-use,2024年6月12日
6. https://www.euractiv.com/section/tech/news/german-privacy-watchdog-scraps-plans-to-stop-meta-ai-training-on-personal-data/,2025年5月27日
来源:YunfangW