X（原Twitter）的AI训练计划遭遇 9 起GDPR投诉

案件背景

今年7月，一名用户在检查其X账户设置的变更时，发现X在其平台上引入了一项新的默认设置，即“自动选择”将其帖子与“Grok”聊天机器人的互动数据用于X的AI系统的训练。

8月6日，爱尔兰数据保护委员会（Data Protection Commission, 以下简称"DPC"）已经向爱尔兰高等法院提起了诉讼，指控X未经用户明确同意，擅自收集、使用其数据来训练AI模型“Grok”，并请求法院发布禁令或限制令从而暂停或限制X为开发、培训或改进其人工智能系统而处理用户数据。8月8日，DPC宣布，X已同意暂不使用从欧盟用户收集的个人数据来训练其AI系统。

然而，NOYB表示，DPC主要关注X公司的缓解措施以及未能和X达成合作，似乎并未质疑数据处理本身的合法性。因此，NOYB对X提起诉讼，指控其违反了GDPR相关条款，特别是缺乏收集和使用个人数据训练其AI系统的有效法律依据，且缺乏透明度。据NOYB称，鉴于X已开始处理其 AI 技术的数据，并且基本上没有删除所收集数据的选项，NOYB已根据GDPR第66条请求紧急程序。

NOYB的投诉已提交给九个欧盟国家的数据保护机构。该行动旨在增加对DPC的压力，该委员会是许多在欧盟运营的美国大型科技公司（包括X）的主要监管机构。

要点分析

1、简单的解决方案：只需取得用户同意

根据GDPR第6(1)(a)条，数据主体同意其个人数据为一个或多个特定目的而处理。即GDPR为用户“捐赠”其个人数据用于AI系统训练提供了解决方案，即只需取得用户对此类处理的明确同意。如果Twitter的6000万用户中只有一小部分人同意训练其AI系统，那么Twitter就有足够的训练数据来训练任何新的AI模型。但Twitter并未这样做，相反，Twitter从未主动告知其用户他们的个人数据正被用于训练 AI。而且大多数用户似乎是通过一位用户发布的帖子了解到该默认设置的——此时“Grok”模型已经悄无声息的训练两个多月了。

Max Schrems 表示：“直接与用户互动的公司只需在使用用户数据之前向他们显示“是/否”提示即可。他们经常这样做，因此这对于 AI 训练来说也绝对有可能。”

2、商业利益凌驾于用户的基本权利之上？

通常情况下，在欧盟，处理个人数据默认是非法的。因此，为了合法处理个人数据，Twitter必须依据GDPR第 6(1)条规定的六个法律依据之一。虽然最合理的选择是取得用户同意，但Twitter依据的是GDPR第6(1)(f)条，声称其拥有凌驾于用户基本权利之上的“合法利益”。 然而，NOBY认为Twitter的行为未能满足这一法律依据的要求。为了使处理建立在合法利益的基础上，数据控制者的利益不得取代数据主体的权利和自由。这就需要进行合法利益评估，包括评估处理的合法性和必要性以及进行平衡测试。虽然Twitter声称处理数据来训练人工智能模型，但没有明确说明此次训练的目的。投诉进一步指出，单纯追求商业利益并不是合法利益，并且GDPR认可的合法利益通常具有防御性（例如，预防欺诈），而Twitter的情况并非如此。

此外，NOBY表示Twitter广泛的收集数据可能不会对敏感数据和非敏感数据进行区分，可能违反GDPR第9条规定的不允许基于合法利益对特殊种类的个人数据进行处理的规定。因此，NOBY得出结论，Twitter不能依据GDPR第6(1)(f)条的合法权益理由进行AI训练。

3、缺少透明度及其他违规行为

除了援引法律依据不合理之外，NOBY还强调了Twitter的其他潜在违规行为。该组织认为，Twitter未能提供透明的信息，使用户能够准确了解他们的数据是如何被处理以用于“Grok”的培训的。更令人担忧的是，Twitter显然试图通过使流程复杂化来阻止数据主体行使其权利。

此外，NOBY还指出Twitter隐私政策的缺陷，称该政策未包含GDPR第13条要求的所有必要信息，以确保透明度。NOBY还认为，一旦数据被用于训练人工智能，用户就不能反对或删除数据，因为人工智能模型几乎不可能“忘记”数据。

Twitter的下一步

随着科技公司之间参与开发最先进人工智能模型的“军备竞赛”，这使得AI大模型对数据量的要求急剧增加，故数据保护相关法律和数据保护机构已成为遏制其对数据永不满足的需求的少数机制之一。

对于 Twitter 来说，可能即将面临巨额处罚，并迫使该平台大幅改革其数据处理实践。然而，更有可能的是类似于Meta所面临的情况，（Meta停止使用 GDPR 管辖范围内的数据进行人工智能训练）尽管这被誉为欧洲隐私权的胜利，但也导致消费者无法使用一些AI产品。

（完）

参考资料：

1. Vsienna：X faces privacy complaints in Europe over data used to trainAI，https://www.dailysabah.com/business/tech/x-faces-privacy-complaints-in-europe-over-data-used-to-train-ai.

2. Falk Steiner：Meta cancels AI training with data under GDPR for the time being，https://www.heise.de/en/news/Meta-cancels-AI-training-with-data-under-GDPR-for-the-time-being-9764716.html#:~:text=Advertisement-,Meta%20cancels%20AI%20training%20with%20data%20under%20GDPR%20for%20the,training%20for%20the%20time%20being.&text=Meta%20is%20refraining%20from%20using,EU%20for%20the%20time%20being.

【延申阅读】