Meta может использовать пользовательские данные для обучения ИИ: что говорится в немецком постановлении

Причины решения, вынесенного Высшим судом Кельна , который 23 мая 2025 года признал право Meta использовать публичный контент, предоставленный ее клиентами, для обучения моделей ИИ, наконец-то стали публичными, приняв довод Big Tech о том, что «не существует разумной альтернативы, которую Meta могла бы использовать для достижения своих интересов столь же эффективно с помощью других, менее инвазивных средств».

Происхождение спора

Решение было вынесено после иска, поданного немецкой ассоциацией потребителей, которая жаловалась на нарушение права на защиту персональных данных клиентов, вызванное выбором Meta.

В частности, ассоциация обвинила Meta в неспособности доказать, что использование данных ее клиентов для обучения ИИ было необходимым и уместным в соответствии с Общим регламентом по защите данных (GDPR) и что эта деятельность была запрещена, поскольку она также включала обработку «особых» персональных данных — например, данных о состоянии здоровья — без возможности ссылаться на какие-либо исключения, предусмотренные GDPR.

Компания Meta защищала себя, утверждая, что у нее был «законный интерес» в использовании общедоступного контента, распространяемого на ее платформах и совместимого с GDPR, и что она приняла ряд мер, которые снизили риски для прав отдельных лиц до приемлемого уровня.

В частности, в постановлении говорится, что компания Meta заявила, что ограничила использование данных теми, которые были обнародованы клиентами, что она предусмотрела возможность изменения статуса контента с общедоступного на частный, тем самым исключив его из использования, что она проинформировала клиентов и предоставила им эффективную возможность возразить против обработки, что она обезличила информацию, касающуюся отдельных лиц, что она «токенизировала» ее (т. е. свела ее к математическим значениям, необходимым для того, чтобы модель могла выполнять расчетные операции) и, следовательно, что она отделила ее от личной идентичности лиц, и что она приняла меры безопасности на протяжении всего цикла разработки модели.

Вынося решение в пользу Меты, немецкий суд черным по белому изложил ряд принципов, которые существенно ограничивают широко распространенное толкование — даже в Италии — законодательства о защите персональных данных, подтвердив ряд принципов, которые действуют и за пределами вопросов, связанных с ИИ.

GDPR также защищает экономические интересы, а не только права личности.

«Помимо правовых и идеологических интересов, законными интересами также считаются экономические интересы», — пишет Суд, ссылаясь на постановление Суда Европейского союза , который признал значимость коммерческого интереса спортивной федерации в передаче данных своих спортсменов.

Кроме того, в постановлении говорится: «Анонимизация таких наборов данных нецелесообразна, поскольку зачастую сложно получить согласие субъектов данных с разумными усилиями. Такая интерпретация также отражает «двойственность» целей защиты GDPR, которые не только служат защите персональных данных, но и обеспечивают свободное обращение таких данных и, следовательно, их пригодность для использования».

Итак, даже если на самом деле это положение о защите персональных данных гласит об этом и не было бы необходимости говорить об этом, постановление уточняет, что интересы компаний имеют такое же достоинство, как и права отдельных лиц. Еще в других терминах: нет преобладания «принципа», которое препятствует использованию персональных данных в контексте экономической деятельности. Важно, повторяет Суд, что это использование действительно необходимо и обязательно для получения законного результата, даже если это прямо не предусмотрено законом .

Чтобы понять сферу действия этого принципа, просто подумайте о вопросах, связанных с хранением данных интернет-трафика и метаданных электронной почты, о вопросах, связанных с использованием аналитики или вытекающих из модели «плати или окей» — или, скорее, «плати деньгами или плати данными» . В свете этого постановления неверно, что эти действия являются незаконными как таковые, но связь между «жертвой», конкретно налагаемой на клиента, и целями поставщика должна проверяться в каждом конкретном случае. Если на практике риски для основных прав и свобод человека достаточно ограничены, компании нельзя запретить обрабатывать соответствующие персональные данные.

Необходимо учитывать только те риски, которые напрямую связаны с функционированием модели.

Другим основополагающим принципом развития ИИ в Европейском Союзе является то, что при оценке последствий обработки персональных данных следует учитывать только те из них, которые связаны с обучением самого ИИ.

Судьи пишут по этому поводу: «Другие возможные нарушения закона, которые могут возникнуть в результате последующего функционирования ИИ (такие как дезинформация, манипуляции, другие вредоносные практики), в настоящее время недостаточно предсказуемы и могут преследоваться отдельно. В любом случае, вероятность того, что такие риски материализуются в такой степени, что сделают невозможным законное использование ИИ и, в конечном итоге, поставят под сомнение целесообразность обработки данных, является маловероятной».

С предельной ясностью судьи подтверждают принцип, согласно которому при оценке того, могут ли персональные данные использоваться для обучения ИИ, следует учитывать только прямые последствия, вытекающие из использования рассматриваемых данных, а не тот факт, что кто-то может использовать модель в будущем для совершения противоправных действий. В этом случае, отмечает суд, применяются другие существующие правила, поскольку, как следует из этого, модель ИИ является инструментом , с помощью которого нарушаются законы, а не автором нарушения.

Полная анонимность не нужна

Еще одним предметом разногласий между сторонами стал вопрос деидентификации путем удаления данных, касающихся людей, но при этом сохранялись бы фотографии.

Meta посчитала достаточным исключить такие данные, как полные имена, адреса электронной почты, номера телефонов, национальные идентификационные номера, идентификаторы пользователей, номера кредитных/дебетовых карт, номера банковских счетов/банковские коды, номерные знаки, IP-адреса и почтовые адреса, и преобразовать их в неструктурированную и «токенизированную» форму. По этому поводу она заявляет: «Хотя это не исключает того, что, несмотря на деидентификацию, идентификация все еще может происходить в отдельных случаях, суд считает, что эти меры снизят риск в целом».

Обучение ИИ не является лечением, направленным на конкретного человека.

Здесь также уместно дословно процитировать решение суда: «разработка больших языковых моделей на основе очень больших наборов данных обычно не касается целевой обработки персональных данных или идентификации конкретного человека» и снова «предпосылки, которые допускают нецелевую обработку, в достаточной степени удовлетворяются целью обучения ИИ, которая направлена ​​на создание общих моделей для расчета вероятностей, а не на профилирование отдельных людей», а также многочисленными защитными мерами, принятыми ответчиками».

Это центральный отрывок постановления, поскольку он повторяет другой аспект, который практически никогда не рассматривался в (итальянском) применении GDPR: регламент применяется к тем обработкам, которые идентифицируют или делают идентифицируемым конкретное лицо , а не категории или группы. Таким образом, учитывая, что токенизация содержимого постов, распространяемых в социальных сетях Meta, была достигнута посредством достаточной деидентификации лиц, обработка полученных таким образом данных не нарушает закон.

Здесь также практические последствия правового принципа выходят за рамки ИИ, поскольку, например, они опровергают тезис, согласно которому все действия по профилированию, осуществляемые, например, с использованием трекеров, IP-номеров или других инструментов, которые идентифицируют устройства или программное обеспечение, а не того, кто их использует, систематически нарушают закон.

Сообщение Европейской комиссии и национальным органам по защите данных

Повторяясь несколько раз, этот процесс приобретает более общее значение, выходящее за рамки метавопроса, поскольку он касается взаимосвязи между идеологическими предпосылками стандартизации и промышленными последствиями технологического развития.

Совершенно очевидно, что на протяжении почти десяти лет GDPR односторонне толковался в ущерб законным интересам тех, кто вводит новшества, во имя фетишизации «конфиденциальности» (термин, который также отсутствует в европейском регламенте).

Таким образом, национальные органы защиты прав человека приняли положения и меры «мягкого права» , которые не учитывают должным образом то, что регламент уже предусматривал с момента его принятия: пока человек действует в рамках закона, не существует абсолютных запретов на обработку персональных данных, а необходим баланс интересов, а баланс интересов должен проверяться в каждом конкретном случае.

GDPR, безусловно, не идеален и требует кардинальной переработки с самого начала, однако это постановление показывает, что его можно толковать разумно, принимая во внимание также правила, защищающие исследования и бизнес.

Для ясности: речь не идет о призыве к «свободе действий» для крупных технологических корпораций или, в целом, для бизнеса и, следовательно, о принесении человека в жертву прибыли, но и обратное тоже невозможно во имя двусмысленности, которая никогда не была прояснена относительно роли, которую информационные технологии могут и должны играть в преобразовании нашего общества.

Именно этот момент Европейской комиссии следует учитывать при принятии рабочих актов Регламента ИИ и при определении изменений в GDPR, которые, наконец, обсуждаются.