Планы Meta по сбору подробных данных о том, как сотрудники в США пользуются компьютерами для обучения систем искусственного интеллекта, оказались шире, чем компания изначально описывала. Внутренние материалы указывают, что в процессе могут фиксироваться и данные пользователей за пределами США, а также содержание отдельных видов переписки — что, по мнению правозащитников, способно спровоцировать новый виток споров о приватности в Европе.
Как устроена инициатива MCI и что именно собирают
Речь идет о проекте, который в компании называют Model Capability Initiative (MCI). Его цель — создать и улучшать AI-агентов, которые смогут выполнять рутинные задачи в повседневных сервисах: по сути, помогать пользователю с действиями в программах и интерфейсах без постоянного ручного управления.
В прошлом месяце Meta объясняла сотрудникам, что инструмент будет фиксировать, как человек работает на компьютере. В частности, речь шла о движениях мыши, кликах и навигации по элементам интерфейса, включая выбор пунктов в выпадающих меню. Такой тип данных обычно относят к «поведенческим сигналам» — по ним обучают модели распознавать последовательности действий.
По списку приложений и сайтов, который Meta предоставила работникам, MCI подключается к данным более чем из 200 ресурсов. При этом в первоначальных разъяснениях компания утверждала, что затронет только сотрудников в США и что предусмотрены меры защиты чувствительной информации.
Почему внутри компании начались жалобы
После запуска проекта часть сотрудников стала жаловаться, что MCI потребляет чрезмерный объем данных. Внутренние публикации, появлявшиеся в этот период, сообщали о скачках расхода домашнего интернет-трафика — вплоть до ситуации, когда месячный лимит интернета расходовался за считанные дни.
Дополнительное напряжение вызвало и уточнение в документах формата FAQ, адресованных сотрудникам. Там признавалось: инструмент способен фиксировать содержание писем и прямых сообщений, отправленных сотрудникам в США. При этом отправитель мог находиться в любой стране — то есть география собеседника не выступала ограничителем.
Позиция Meta: сбор якобы ограничен устройствами и «не про содержимое экрана»
Представитель Meta Дэйв Арнольд заявил, что MCI установлен только на устройствах сотрудников в США. По его словам, фокус инициативы — на том, как люди взаимодействуют с компьютером, а не на содержании того, что отображается на экране.
Арнольд также подчеркнул аспект прозрачности для международных коллег: в компании сообщили сотрудникам вне США о том, что инструмент развернут на компьютерах американских коллег, с которыми они могут общаться по электронной почте или в рабочих чатах в обычном режиме.
При этом представитель подтвердил лишь общий масштаб отслеживания (количество приложений и сайтов), но отказался отвечать на более детальные вопросы: какой объем данных фактически загружается и на каких основаниях это юридически оформлено.
В официальном заявлении Арнольд утверждал, что в Meta «тщательно рассмотрели потенциальные риски для приватности и приняли меры по их снижению», а также намерены соблюдать действующие законы и регуляторные требования.
Европейский контекст: почему вопрос может упереться в GDPR
Ситуация способна усилить регуляторное давление на Meta в Европейском союзе. Причина — специфика GDPR (General Data Protection Regulation), то есть Общего регламента по защите данных. Этот документ требует, чтобы компании имели законное основание для обработки персональной информации, заранее объясняли, какие данные собираются, и соблюдали строгие условия работы с особенно чувствительными сведениями (например, медицинскими данными).
Внутри FAQ по MCI была отдельная графа, адресованная сотруднику, который находится вне США. Там ставился вопрос: будут ли «разговоры или данные» фиксироваться, если человек общается с коллегой из США, у которого включен инструмент. Ответ Meta звучал так: если сотрудник в США общается в чате (в документе упоминался gchat) или по электронной почте с человеком за пределами США, соответствующая активность будет захвачена.
Отдельно компания заявляла, что данные, собранные через MCI, будут «отделены» от идентифицирующей информации сотрудников. Следовательно, в логике Meta, их нельзя будет извлечь и удалить в отношении конкретных людей — а это важно, поскольку в Европе действует право на удаление (и ряд связанных механизмов контроля со стороны субъекта данных).
Риск конфликта: аргументы NOYB и возможные нарушения
Юрист по вопросам приватности Клеанти Сардэли, представляющая организацию NOYB («none of your business»), заявляла, что даже ограниченный или косвенный сбор данных сотрудников, находящихся в ЕС, способен привести Meta к нарушению требований GDPR.
По ее мнению, ключевые спорные точки могут сводиться к двум вопросам:
- считается ли сбор европейских данных «случайным» или, напротив, является формой мониторинга (то есть целенаправленного контроля);
- проходит ли инициатива проверку на «ограничение цели» (purpose limitation), когда обработка данных не должна выходить за рамки изначально заявленных оснований.
Сардэли отмечала, что данные изначально собирались для рабочих коммуникаций и исполнения трудового договора. По ее оценке, перенос содержимого чатов и дальнейшее использование его в модели AI несовместимы с первоначальной целью обработки.
В разговоре с ирландским регулятором — Irish Data Protection Commission (DPC), который в рамках GDPR выступает ведущим надзорным органом для многих международных технологических компаний, — Meta, как сообщалось, указывала, что ни данные сотрудников из ЕС, ни фиксация «экранного контента» не подпадают под «основную цель» инструмента. Однако детали в сообщении не уточнялись.
Сам Арнольд отказался комментировать, как именно Meta взаимодействовала с регулятором.
Внутренний протест: связь с планами по «передаче работы» агентам
Проект MCI встроен в более широкую перестройку Meta, ориентированную на то, чтобы передать значительные объемы задач AI-агентам. Такой подход вызвал резкую реакцию у части сотрудников: люди сравнивали Meta с «фабрикой извлечения данных сотрудников» — по сути, обвиняя компанию в том, что она собирает рабочие следы работников для технологического обучения.
Внутри компании распространялись результаты анализа логов MCI. Один из сотрудников описывал, что подробную проверку делали с помощью AI-инструмента Claude от Anthropic — типа программного помощника, который Meta стимулировала внедрять в рабочие процессы.
Согласно описанию, которое затем воспроизводили и другие работники, MCI «надстраивался» над уже существующими системами безопасности данных, получая доступ к дополнительной информации. В перечне упоминались, в частности, изменения кода, циклы «сон/пробуждение» компьютера, посещенные URL-адреса, а также содержимое буфера обмена — то есть фрагменты текста, которые пользователь копирует и вставляет. При этом утверждалось, что часть данных сохранялась менее надежно и не в зашифрованном виде.
Сотрудник, сформулировавший выводы, писал, что большой массив таких сведений может позволить построить «полную поведенческую модель» того, как специалист по знаниям выполняет свою работу — не просто обучать AI «щелкать по выпадающему меню», а довести до уровня понимания последовательности действий: какой пункт выбирать, что вставлять в документ и что делать дальше.
Позже его публикация исчезла. Это подтверждали два других сотрудника.
Арнольд охарактеризовал выводы в посте как «принципиально неточные», но отказался обсуждать детали заявлений или сообщать, удаляла ли компания материал.
Почему ирландские правозащитники требуют расследования
Директор подразделения Enforce ирландского Совета по гражданским свободам (Irish Council for Civil Liberties’ Enforce) Джонни Райан заявил, что внутренняя дискуссия внутри Meta лишь подтверждает его убеждение в необходимости расследования со стороны DPC.
По словам Райана, проблема не ограничивается одной компанией или только сотрудниками Meta. Он связывал ее с более широким вопросом о правах работников в целом: когда технологии могут заменить часть труда, общественный интерес к тому, как именно собираются данные и как они используются, становится фундаментальным.
В ближайшей перспективе ключевым фактором станет, как регуляторы интерпретируют характер обработки данных при помощи MCI — а также будет ли признано, что сбор информации о международных коллегах и потенциальное участие содержимого сообщений в обучении укладываются в требования GDPR.