隐私快讯|X(原Twitter)在欧洲面临多起投诉
首页博客
隐私快讯|X(原Twitter)在欧洲面临多起投诉

隐私快讯|X(原Twitter)在欧洲面临多起投诉

Kaamel Lab
Kaamel Lab

继在巴西面临天价诉讼(点击 此处 了解详情)后,近日,Meta 旗下社交平台X(原 Twitter)在欧洲遭遇多起投诉,投诉指控X涉嫌非法使用欧盟用户的个人数据来训练 Grok 等 X 的人工智能技术。

DPC 提起的诉讼

据爱尔兰高等法院公布的案件信息显示,8月6日,爱尔兰数据保护委员会((Data Protection Commission, DPC)已经向爱尔兰高等法院提起了诉讼,指控X未经用户同意,擅自收集、使用其数据来训练 AI 模型 Grok。
今年 7 月,某 X 用户发现 X 平台在未经用户明确同意的情况下,“自动选择”了将其帖子和与 Grok 聊天机器人的互动数据用于训练了 X 的 AI 系统,且拒绝此类数据使用的选项设计复杂,难以找到拒绝入口,这进一步加剧了用户对隐私问题的担忧和对平台的不信任。
8 月 5 日,消费者组织向 DPC 提出投诉,指控X公司利用用户数据训练其 AI 模型的做法违反 GDPR ,尤其是关于用户数据使用的透明度不足以及用户行使反对权的繁琐程序。随后,DPC 将该案件诉至法院,请求法院发布禁令或限制令从而禁止 X 平台使用用户个人数据来开发、训练或改进其人工智能系统,并计划将此案件提交给欧洲数据保护委员会审议。
早在 2023 年 9 月份,X 就曾因其隐私政策引起过争议。当时,X 在其更新的隐私政策中写道:“我们可能会使用收集到的信息和公开可用的信息来帮助训练我们的机器学习或人工智能模型。” 马斯克曾对此解释称,X 只会使用公开数据训练 AI 模型,不会使用任何私有内容。这件事情在当时没有引起大范围的争论,直至近期用户发现 X 平台在未明确告知用户的情况下,使用他们的推文内容来训练 Grok AI 模型,并且该数据收集选项默认为启用状态。
8 月 8 日,DPC 宣布,X 已同意在法庭判决前暂停使用欧盟/欧洲经济区用户的个人数据(从 2024 年 5 月 7 日至 2024 年 8 月 1 日期间收集的推文内容)进行 AI 模型训练。该案件将交由法院和欧盟数据委员会进一步审议。

NOYB 向 9 个国家发起投诉

None Of Your Business (NOYB) 是一家致力于保护个人隐私和数据保护权利非营利组织,总部位于维也纳,其宗旨是通过法律诉讼和政策倡导,确保公司和机构遵守 GDPR 等隐私法规。
8 月 12 日,NOYB 宣布其已经向 9 个国家的数据保护机构(Data Protection Authority, DPA)提起了对 X 的投诉,这 9 个国家分别是法国、意大利、荷兰、奥地利、比利时、希腊、爱尔兰、西班牙和波兰。NOYB 在投诉中指控 X 平台在未获取用户明确同意的情况下,非法使用欧洲境内 6000 多万名用户的数据训练其 AI 模型,严重违反了 GDPR 的相关规定。
NOYB 称,自 2024 年 7 月 26 日起,X 在其平台上引入了一项新的默认设置,使其在无需说明系统用途的情况下,无法撤销地收集用户的所有数据,用于机器学习或AI模型训练。X 平台曾试图以“合法利益”为借口,为其数据使用行为辩护。但 NOYB 指出,这种做法必须建立在用户同意的基础上。
因此,NOYB 对 X 提起了投诉,指控其违反了 GDPR,特别指出了 X 缺乏收集和使用个人数据训练其 AI 系统的有效法律依据以及缺乏透明度的违法行为。具体而言,该投诉指控违反了 GDPR 第 5(1), 5(2), 6(1), 9(1), 12(1), 12(2), 13(1), 13(2), 17(1)(c), 18(1)(d), 19, 21(1)以及 25 条。NOYB 表示,鉴于 X 已开始处理其 AI 技术的数据,并且没有提供删除其所收集的数据的选项,NOYB 已向监管机构请求根据 GDPR 第 66 条启动紧急程序。

合规分析

AI 模型训练中存在的一系列隐私合规问题揭示了技术创新与隐私保护之间的可能存在的冲突,一边是 AI 模型开发的巨量数据需求,另一边是愈发严格的隐私合规监管。企业应当关注的问题是:如何在不违反隐私法律规定的情况下开发 AI 模型?根据 GDPR 等相关法规,处理个人数据必须具有合法性基础,Meta、X 等都被质疑在利用数据训练 AI 模型时是否获得了用户的明确同意。即使基于合法利益对用户数据进行处理,企业也需要证明其没有侵犯用户的隐私权利。当然,在此过程中企业应当保障数据主体的知情权和其他权利。用户应有权了解其数据的使用方式,并能够以简便的方式行使其访问权、删除权和对数据进行纠正的权利。企业在开发 AI 工具过程中应明确数据处理的法律基础、强化匿名化措施、提高透明度,并加强数据安全管理。通过实施这些隐私合规措施,企业可以降低法律风险,增强用户信任,进一步提高市场竞争力。