Amnesty: tekoäly imee miljardeittain dataa ilman lupaa – näin teet Meta AI -opt-outin ja GDPR-vastustuksen
Amnesty International väittää torstaina julkaistussa raportissaan, että suurten tekoälymallien koulutus on rakennettu massiiviselle suostumuksettomalle datankeruulle. Järjestö nimeää kuusi yhtiötä, OpenAI, Google, Meta, DeepSeek, Midjourney ja Stability AI, ja väittää että yksityisyysloukkaus on osa mallien suunnittelua eikä korjattavissa oleva sivuvaikutus.
Tiivistelma
Amnestyn raportti Unlawful by Design syyttää OpenAI:ta, Googlea, Metaa ja muita generatiivisen tekoälyn kehittäjiä järjestelmällisestä yksityisyysloukkauksesta. EU:ssa kytee samaan aikaan Digital Omnibus -löysennys, joka legitimoisi opt-out-pohjaisen koulutuksen. Lukijalle keskeinen toimi on Meta AI -opt-out ja tarvittaessa GDPR-vastustusilmoitus.
Avaa Facebookin tai Instagramin asetukset, etsi tietosuojakeskus ja katso, mitä omille kuvillesi tapahtuu. Jos et ole erikseen vastustanut, ne ovat osa Meta AI:n koulutusaineistoa. Sama logiikka pätee suurimpaan osaan suuria generatiivisia tekoälymalleja.
Amnesty International julkaisi torstaina raportin nimellä Unlawful by Design: Exposing the Human Rights Costs of Generative AI. Järjestö nimeää siinä OpenAI:n, Googlen, Metan, DeepSeekin, Midjourneyn ja Stability AI:n. Jokaiselle yhtiölle oli annettu mahdollisuus kommentoida ennen julkaisua.
Raportin keskeinen väite on yksinkertainen. Generatiivisten mallien datapipelinet on rakennettu massiivisen ja suostumuksettoman verkkoraapinnan päälle, ja yksityisyysloukkaus on osa suunnittelua eikä korjattavissa oleva sivuvaikutus.
– Nämä valinnat eivät ole väistämättömiä, sanoo Likhita Banerji, Amnestyn Algorithmic Accountability Labin johtaja.
Banerji vaatii hallituksilta kolmea asiaa. Laittomaan raapintaan perustuvat generatiiviset tekoälyjärjestelmät on kiellettävä.
Yhtiöt on saatava vastuuseen suunnitteluvalinnoistaan. Suostumukseton henkilötietojen kerääminen koulutusdataan on lopetettava heti.
Raportti dokumentoi kolme haittaa. Yksityisyysloukkaus syntyy massaraapinnasta, joka nielaisee arkaluonteista dataa terveystiedoista yksityisviesteihin.
Mallit toistavat ja vahvistavat rotuun, sukupuoleen ja kulttuuriin liittyviä vinoumia. Niin sanotut opt-outit ovat usein valheellisia – jo kerättyä dataa ei poisteta, eikä opt-out estä siirtoa kolmansille osapuolille.
Yle uutisoi Amnestyn havainnoista jo keskiviikkona ja nosti esiin myös sen, että useimmat raapintaan rakennetut mallit kieltäytyvät kertomasta, mistä lähteistä koulutusdata on koottu. Lopputulosta voi käyttää, mutta sen rakennusaineita ei voi tarkastaa. Tutkijat ovat törmänneet samaan umpikujaan toistuvasti viimeisten kahden vuoden aikana.
Miksi tämä koskee suomalaista lukijaa
Raportti ei mainitse Suomea, mutta GDPR koskee varsin suoraan. EU:ssa on huhtikuusta lähtien valmisteltu niin kutsuttua Digital Omnibus -löysennystä, joka legitimoisi opt-out-pohjaisen tekoälykoulutuksen henkilötiedolla.
Amnesty on kampanjoinut sitä vastaan. Tietosuojavaltuutetun toimisto ei ole julkisesti kommentoinut Amnestyn raporttia tätä artikkelia kirjoitettaessa.
Miksi tavallisen kuluttajan pitäisi välittää? Koska sama data, jota mallit syövät, päätyy myös rikollisten käsiin.
Raavittu kasvodata ruokkii deepfake-pohjaisia romance- ja toimitusjohtajapetoksia. Mitä vähemmän julkista materiaalia sinusta löytyy, sitä huonompi raaka-aine huijareille.
Entä yritykset? Pienen suomalaisen toimijan kannalta kysymys on konkreettinen: mitä kuvia ja tekstejä saa enää työntää sosiaaliseen mediaan ilman, että ne päätyvät jonkun toisen mallin koulutusaineistoksi.
Useimmilla ei ole ihan tarkkaa vastausta. Vastuu jää käytännössä viestintätiimille ja yrittäjälle itselleen. Asia kannattaa nostaa pöydälle viimeistään seuraavassa tietosuojakatselmuksessa.
GDPR Art. 21 – vastustusoikeus
Oikeus vastustaa henkilötietojen käsittelyä, kun se perustuu rekisterinpitäjän oikeutettuun etuun. Vapaamuotoinen sähköposti palvelun tietosuojavastaavalle riittää, eikä vastustusta tarvitse perustella. Rekisterinpitäjän on lopetettava käsittely, ellei se osoita pakottavaa hyväksyttävää perustetta.
Mitä tehdä
Konkreettisin toimi vie muutaman minuutin. Kytke Meta AI pois ja jätä tarvittaessa GDPR-vastustus muille palveluille.
- Meta AI -opt-out Facebookissa ja Instagramissa. Asetukset → Tietosuojakeskus → kohta "Miten Meta käyttää tietojasi generatiivisiin tekoälymalleihin" → Vastusta. Lomakkeessa ei tarvitse perustella vastausta.
- GDPR Art. 21 -vastustus. Lähetä palvelun tietosuojavastaavalle lyhyt sähköposti, jossa viittaat tietosuoja-asetuksen 2016/679 artiklaan 21 ja vaadit lopettamaan henkilötietojesi käytön tekoälyn koulutukseen.
- GDPR Art. 17, oikeus tulla unohdetuksi. Jos haluat tietosi pois kokonaan, pyydä rekisterinpitäjää poistamaan ne. Tämä on järeämpi keino kuin pelkkä vastustus.
- Tarkista, onko kuviasi LAION-tietokannassa. Osoitteessa haveibeentrained.com voi hakea omaa nimeä, kasvoja tai URL-osoitetta.
- Ilmoita ongelmista oikealle viranomaiselle. Tietosuojaongelmat menevät Tietosuojavaltuutetun toimistoon osoitteessa tietosuoja.fi. Deepfake- ja identiteettiväärennösepäilyt kannattaa kirjata Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
Jää nähtäväksi, ehtiikö EU rajata raapintaa ennen kuin Digital Omnibus avaa portin auki. Toistaiseksi vastuu pysyy käyttäjällä, ja yksi vastustusklikkaus on oikeasti enemmän kuin ei mitään.