Meta 通过追踪员工鼠标来训练 AI，或触犯欧盟隐私相关规定

5 月 30 日消息，据路透社 30 日（今天）报道，Meta 计划收集美国员工电脑使用情况的详细记录，用于训练 AI 模型。Meta 最初对外描述的范围更窄，但文件显示，计划执行过程中还会捕获美国以外的数据。

Meta 上月宣布将推出一款工具，记录员工如何使用电脑，将会追踪鼠标移动、点击以及下拉菜单操作，以便打造能够自主完成日常软件任务的 AI 智能体。

该工具名为 Model Capability Initiative，简称 MCI，可从 200 多个应用和网站收集数据。Meta 称，MCI 只会影响美国员工，公司也已设置保障措施来保护敏感信息。

然而内部帖子显示，MCI 推出后的几周里，Meta 员工开始抱怨数据消耗过高，家庭网络使用量随之激增。有些员工几天内就用完了整个月的数据额度。

Meta 还在发给员工的问答文件中承认，只要电子邮件或私信发给美国员工，MCI 就会捕获内容，无论发送者身处哪个国家或地区。

报道提到，美国员工面对雇主监控时几乎缺乏保护，但欧盟《通用数据保护条例（注：下称 GDPR）》要求企业在处理个人数据时，必须具备法律依据，说明收集哪些数据，并在处理健康信息等高度敏感数据时满足更严格条件。

Meta 关于 MCI 的问答文件中，有一条问题来自美国以外员工视角：“我在美国以外工作。如果我和一名启用了该工具的美国同事沟通，我的对话或数据会被捕获吗？”

Meta 的回答是：“如果一名美国同事在启用该工具时，与美国以外人员通过 Google Chat 聊天或发送电子邮件，该活动就会被捕获。”同时，MCI 收集的数据将与可识别员工身份的信息“分离”，因此无法按个人查询或删除。

然而，在欧洲，企业需要允许个人查询或删除有关数据。

隐私倡导组织 NOYB 的法律专家 Kleanthi Sardeli 表示，即使只是有限或间接捕获欧盟员工数据，也可能导致 Meta 违反 GDPR。争议焦点可能包括两个问题：MCI 收集欧洲数据究竟属于“偶然”收集，还是构成 GDPR 意义上的监控；MCI 项目能否通过“目的限制”测试。“这些数据最初是为了工作沟通和履行雇佣合同而收集的。把员工聊天内容拿去摄取进 AI 模型，与最初目的并不相容。”

Meta 在 GDPR 框架下的欧盟主要隐私监管机构“爱尔兰数据保护委员会”表示，公司已告知委员会，欧盟员工数据以及屏幕内容记录都“不属于该工具的主要目的”。

爱尔兰公民自由委员会 Enforce 部门主任 Johnny Ryan 表示，Meta 内部这些交流进一步说明，爱尔兰数据保护委员会“必须”调查 MCI 项目。“这种情况、这个案例，并不局限于 Meta 员工。它关系到每一个行业里所有可能被取代的员工。只要人们理解这件事的本质，每个人都会关心。”