新闻第104期｜Meta改变隐私政策使用个人数据训练AI大模型被投诉，相关法律问题分析

作者 | 张文宇  华东政法大学本科 

         陈星言  西南政法大学本科 

         曹诗悦  华东政法大学本科 

         马思涵  华东政法大学本科 

         李雪菲  西南政法大学本科 

         廖雨欣  西南政法大学本科 

         黄铄媛  新加坡国立大学法学博士 

编辑 | Izzy     美国西北大学LL.M.

责编｜扎恩哈尔 新疆农业大学本科

2024年5月，全球社交媒体巨头Meta通知其欧洲用户，它的隐私政策将再次改变：Meta将使用Facebook和Instagram上的公开内容来训练大模型，包括互动内容、状态、照片和标题，不包括私人聊天记录和未成年人账户信息。该政策拟于2024年6月26日生效。Meta主张，其使用个人数据训练人工智能模型是基于《通用数据保护条例》（General Data Protection Regulation，GDPR）规定的“合法利益”，无需特别征得用户同意。

（图片来源于网络）

2024年6月6日，欧盟非营利机构组织NOYB向11个欧盟成员国分别提起投诉，指控Meta公司该政策违反了GDPR的各项规定，要求欧盟各成员国的数据保护当局启动紧急程序，阻止Meta上述规则在2024年6月26日生效。2024年6月14日，爱尔兰数据保护委员会（Data Protection Commission，DPC）宣布：针对NOYB提出的11项投诉，要求Meta暂停在欧盟/欧洲经济区使用成年人在Facebook和Instagram上分享的公共内容来训练其大型语言模型的计划。

NOYB投诉Meta将个人信息数据用于未定义形式的“人工智能技术” (undefined forms of "artificial intelligence technology")，因此违反了《通用数据保护条例》第六条第一款，其对个人信息的处理不具有法律依据；以及第五条第一、二款，没有具体说明使用目的而为训练未经定义的AI模型处理个人信息等规定。本文限于篇幅只分析Meta对个人信息处理的法律依据。

根据GDPR Art. 4(2)，使用任何个人信息来训练AI模型都是对个人信息的“处理”，GDPR Art. 6(1) 默认对个人信息的处理的行为是非法的，需要具备第1款项下规定的法律依据。Meta主张其对用户个人信息的处理的行为，包括使用约4亿欧盟/欧洲经济区数据主体的个人信息（包括帖子、图片、好友列表、点赞、关注页面、访问第三方页面、第三方数据或与企业交流的消息），符合GDPR Art. 6(1)(f) 的“合法权益”。欧盟法院对“合法权益”的测试分为三个步骤：第一，“合法利益”(legitimate interest)；第二，根据数据最小化原则的严格必要审查(strictly necessary processing)；第三，符合平衡性测试(balancing test)。

1.未满足“合法利益”

根据GDPR Art. 6(1)(f)，如果为了个人或第三方所追求的合法利益，个人信息处理是必要的，那么个人信息数据处理者可以处理个人信息，除非这些利益被需要让位于保护个人信息的数据主体的利益或基本权利和自由，特别是当数据主体是儿童时。

Meta对“目的”的错误性解释。NOYB认为Meta对个人信息的处理不符合GDPR Art. 6(1)(f) 项下“合法利益”(legitimate interest)的要件。NOYB认为Meta声称的所谓目的（“开发和改进人工智能技术”）最多等同于处理个人信息的任何其他方式（如“将所有数据存储在数据库中”、“运行社交网络”、“在数据中查找相关性”或“进行大数据分析”），都只是实现目的的手段(measures)而不能作为目的(purpose)。

即使“开发和改进人工智能技术”是一个目的，它也不能构成GDPR Art. 5(1)(b)项所要求的“具体”(specific)目的。例如，维基百科将“人工智能”定义为：“人工智能（AI）在最广泛的意义上是机器，尤其是计算机系统所表现出的智能。”因Meta并未对人工智能做出具体定义，所以不能构成具体目的。

（图片来源于网络）

2.未通过严格必要审查

其次，Meta声称的目的没有满足合法利益的第二个要素——严格必要的要求。GDPR Art. 5(1)(c) 中的数据最小化原则，与CJEU合法利益测试的第二个要素高度重叠，都要求对个人信息的数据处理必须符合“严格必要”的要件。

在C-252/21号Bundeskartellamt案中，CJEU在第108段中裁定：“……这一条件要求提交法院确认，追求的合法数据处理利益不能通过其他对数据主体基本权利和自由限制较小的手段合理地同样有效地实现，特别是《宪章》第7和第8条保障的对私人生活和个人数据保护的尊重权利……”

3.未通过平衡性测试

即使 Meta 追求“合法利益”并且处理其持有的关于数据主体的（所有）个人信息是“绝对必要的”，但Art. 6(1)(f)的第三层——整体“平衡性”测试也未满足条件。

GDPR Art. 6(1)(f) 中的平衡性测试应当在Chapter Art. 52(1) 中的比例性测试(proportionality)的背景下解释，在之前欧盟法院的判决中，为国家安全和打击犯罪目的而存储个人信息甚至都违反了《宪章》第7和第8条，在训练AI模型时使用所有这些个人信息显然更无法通过测试。

（1）阻止个人行使选择权

Meta的个人信息数据的收集就缺乏法律依据，所以随后的数据处理也是非法的。在GDPR于2018年5月25日生效之前，Meta依赖于《95/46指令》第7(a)条下的同意。然而，这种同意是与使用网站的同意捆绑的，没有“选择性同意”，个人用户未明确主动选择参与或同意个人信息被用于AI模型处理。GDPR强调数据处理必须基于明确的、知情的、积极的同意，Meta对个人信息的处理显然远未符合GDPR第4(11)条的要求。因此，Meta不能依赖于在2018年5月25日之前从数据主体处获得的同意来处理个人数据。

随后Meta一直使用“支付或同意”模式，用户如果不希望他们的个人信息被用于广告或其他目的，他们就必须支付一笔费用来避免这种个人信息数据处理。如果用户不支付费用，将意味着默认同意Meta处理他们的个人数据。根据EDPB的意见，这种模式同样是非法的。

（2）阻止个人行使被遗忘权

Meta表示，任何异议只能涉及“未来”对个人数据的使用。与GDPR Art. 17(1)(c)、Art. 19 和Art. 21 (1)相反，这意味着虽然不会将新的个人信息用于AI系统的训练中，但Meta无法删除其“人工智能技术”已经接受过训练的个人信息。这与Art. 21 中的“被遗忘权”明显相反。Meta对个人信息数据处理的技术不可逆性违反了GDPR Art. 21关于反对任何未来处理的权利，该权利在先前CJEU的判例中也得到支持。

（3）涉及大量非公开个人信息

Meta处理的个人信息主要来源于私人发布的内容、私人共享的图片、私人活动，“点赞”或“关注”的话题和页面，这些信息对公众不可见，甚至对社交网络上的“好友”也不可见。

在CJEU判例中，即使是相对公开的信息，也受GDPR保护，GDPR Art. 9(2)(e)条应解释为，在线社交网络用户访问与GDPR Art. 9(1) 中列出的一类或多类相关的网站或应用程序时，该用户并没有明显公开，这些访问记录由在线社交网络的运营商通过cookie或类似存储技术收集的数据。当用户在这些网站或应用程序中输入信息或点击集成在这些网站和应用程序中的按钮（例如“点赞”或“分享”按钮）时，这些行为产生的数据也应受到保护。

这表明，即使用户在公开平台上进行互动，这些数据仍然受到GDPR的保护，不应被视为可以自由使用的公开数据。

鉴于最初非法收集个人信息、异常庞大且无限量的个人信息（包括非公开信息）、一旦信息已被使用就不可能提出异议等原因，处理范围远远超出了数据主体的预期，所以Meta不应该通过平衡测试，因此不能依赖GDPR Art. 6(1)下的合法利益。

"urgency procedure" under Article 66 GDPR，该条被称为“紧急程序条款”，紧急程序旨在确保GDPR执行的一致性，只能在DPA确定需要紧急行动的情况下触发。在需要紧急保护个人权利和自由的特殊情况下，监管机构可以绕过合作程序和一致性机制，在其国家采取临时措施，之后应通知其他对此事有兴趣的监管机构、委员会和EDPB。如果监管机构认为需要最终措施，可以向EDPB申请紧急意见或决定，而任何监管机构在认为另一监管机构未在紧急情况下采取适当行动时，都可以申请紧急意见或决定。行为内容包括：（1）在采取紧急措施时，监管机构可以请求欧洲数据保护委员会给出紧急意见或紧急有约束力的决定；（2）在有权监管机构需要采取紧急措施却未采取适当措施时，任何监管机构可以请求欧洲数据保护委员会给出紧急意见或紧急有约束力的决定以保护数据主体的权利和自由。

正常程序为，在数据控制者或处理者实施的数据处理操作可能实质性影响数个成员国的多数数据主体时，这些成员国的监管机构进行联合调查和执法行动。在实施监管行动之前，其他监管机构应最迟在收到协助请求后的一个月内采取适当措施回应其他监管机构的请求，并针对DPIA清单、行为准则、认证、合同条款以及其他一般性问题请求欧洲数据保护委员会（EDPB）的意见，并决定是否发出具有约束力的决定。

（图片来源于网络）

在本案中，程序上的核心问题在于，Meta对于个人信息的使用是否到达了“需要紧急保护个人权利和自由的特殊情况”。笔者认为条件是符合的。实体问题在上个部分中已经谈论过，本部分主要讨论该使用是否紧急。据报道，Meta对于个人信息的处理将在2024年6月26日开始，若根据正常程序，几乎难以在半个月之内做出实质性决定。因此必须诉诸紧急程序并采取临时措施，才能中止Meta的行为。因此，该行为具有紧急性，可以适用紧急程序。

在我国制度体系中，有关处理个人数据的法律规定主要集中在《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）。根据该法第21条的规定，数据处理方唯有在数据主体同意的情况下才能够处理数据，在未经持有者同意的情况下处理数据属于非法处理数据，需要承担相应的法律责任。该条规定虽然保障了数据主体的利益，但在一定程度上也对数据处理方苛以了较重的义务。

反观欧盟GDPR规则第6（1）条，其规定“处理个人数据只有在以下至少一种情况适用时才是合法的：（a）数据主体已同意为了一个或多个特定目的处理其个人数据；（b）处理是履行数据主体作为一方的合同或在签订合同前应数据主体请求采取措施所必需的；（c）处理是履行控制者所承担的法律义务所必需的；（d）处理是为了保护数据主体或其他自然人的重要利益所必需的；（e）处理是为了公共利益或在控制者行使官方权力的过程中所必需的；（f）处理是为了控制者或第三方所追求的合法利益所必需的，除非这些利益被数据主体要求保护其个人数据的利益或基本权利和自由所凌驾，特别是当数据主体是儿童时”。

（图片来源于网络）

因此欧盟的GDPR规则并未采取“一刀切”的做法，而是区分了合法处理个人数据的不同情形，以此不仅保护了个人数据的持有者，同时也保护了数据处理方、社会公众、国家等多方的利益，其强调数据处理方可以基于自己或第三方利益来处理数据，但也对该种情形加以如下限制：（1）向数据主体披露其需要基于何种利益来处理上述数据，（2）且根据“相当性原则”，信息处理方需要评估其合法利益是否会对数据主体产生极大的影响，若会侵犯数据主体的利益，则处理方需要提出避免侵犯数据主体利益的方案。通过区分不同的情形，可以使得数据主体、数据处理方、社会公众、国家利益得到平衡，有助于数据处理领域的良好发展。故而我国也可借鉴此条规定，扩大合法处理个人数据的情形，并衡平各方利益。

针对前段中，数据处理方基于自身、第三方或公共利益而处理数据主体相关信息的情形，根据GDPR规则第21（1）条规定，数据主体有权随时基于其特定情况，反对基于第6（1）条（e）点或（f）点处理其个人数据，包括基于这些规定的分析。除非控制者能够证明处理的迫切合法理由优先于数据主体的利益、权利和自由，或者用于建立、行使或辩护法律主张，控制者不再处理这些个人数据。

因此，数据主体对上述情形具有反对的权利。这一反对权作为上段中“合法处理个人数据”的衍生权利，一方面可以让数据主体免受处于极度不利地位（因在一般情况下，只要数据主体行使了反对权，那么数据处理方就不能再使用或分析该主体的个人数据），同时也设置了“除外条款”，即若数据处理方真的存在迫切合法的理由（自身、第三方或公共利益极度优先于数据主体的利益、权利和自由/或者是为确立、行使或捍卫法律主张的必要理由）要使用数据主体的个人信息，则数据主体即使行使反对权也不对处理方使用和分析个人数据的行为产生影响或法律约束力，故而起到了较大的作用。

（图片来源于网络）

如上文所述，笔者认为《个人信息保护法》未来应当借鉴GDPR规则，扩大合法处理个人数据的情形，故该数据主体的反对权作为上述条款的衍生权利也应当一并借鉴和引入，以便更有力地保护和平衡各方的利益。

在西方国家中，存在多家如NOYB等非营利性的隐私权倡导组织，而在我国，类似的隐私权倡导组织却很少存在。上述隐私权倡导组织作为独立于政府的中介组织，一方面可以起到监督的功能，监督相关数据处理方及政府机构所实施的行为是否违反有关数据保护的法律规定；另一方面可以在相关主体实施违法行为后直接代表被侵权的数据主体举报、提起仲裁或诉讼（如本案中NOYB对Meta提起的11项投诉），而无需被侵权的数据主体单独地举报、提起仲裁或诉讼，如此可使得相关纠纷能得以更迅速、更高效地解决。笔者认为，我国之后也应当更多地设置类似NOYB这样的不依附于政府的民间隐私权倡导组织，并让他们享有监督和解决纠纷的职能，以促使数据保护领域能得以更好地发展。