“Wij gaan AI trainen op je data”, mag dat zomaar in gebruiksvoorwaarden opgenomen?

Als je erop gaat letten, zie je het overal: gebruiksvoorwaarden (TOS, EULA, hoe je het noemt) die ineens benoemen dat gegevens verkregen door of dankzij de dienst mogen worden gebruikt voor het trainen van AI of ML systemen. Recent nog bij videodienst Zoom (dank, tipgever). Wat natuurlijk de vraag geeft: mag dat zomaar?

Hoofdregel van het recht is contractsvrijheid, dus in beginsel mag je doen wat je wil met gegevens die je bij een dienst verzamelt. Maar wanneer het gaat om persoonsgegevens, dan ligt dat andersom: dat mag niet, tenzij je (onder de AVG) kunt aantonen van wel en waarom en met welke goede reden.

Mag dat van de AVG, wordt dan de vraag. Alleen als je een zogeheten “legitiem belang” rond krijgt, en daar zie ik wel argumenten voor: het gaat in feite om statistische analyse van grote hoeveelheden gebruikers, die niet wordt gebruikt om een individueel persoon te beoordelen, aan te spreken of op welke wijze dan ook te beïnvloeden. Ik zie niet meteen wat daarop tegen zou zijn. (De AI zelf kan natuurlijk allerlei nadelen hebben, maar dat is een andere discussie.)

Een ander bezwaar kan zijn dat je als gebruiker auteursrecht hebt op de data die je uploadt. Bij Zoom is dat discutabel, de video-opname van een overleg op afstand lijkt me geen auteursrechtelijk beschermd werk. Maar als een fotohostingsite dit zou doen, dan zou men wél tegen het auteursrecht aan kunnen lopen. Alleen is daarvan al lange tijd aangenomen dat dat mag, een onbeperkte licentie opeisen in algemene voorwaarden. Dus waarom niet voor AI trainen?

In Europa wordt nu gewerkt aan de Data Act, een nieuwe Verordening die toegang tot met name internet-of-things apparatendata gaat reguleren. Deze wet is nog niet af (zie dit bizar maar verhelderende overzicht) maar bevat geen bepalingen over het gebruik van data door de dienstaanbieder jegens de partij waar de data van verkregen zijn.

Alles bij elkaar zie ik dus niet meteen fundamentele bezwaren tegen wat hier gebeurt. En dat zit hem er dus met name in dat de AI generieker is dan die ene gebruiker, zodat je niet kunt zeggen dat jouw gegevens tegen jou gebruikt worden.

Arnoud

7 reacties

    1. Die had ik nog niet gezien. De kern is denk ik dat artikel 5 van die Richtlijn de vertrouwelijkheid van communicatie hard waarborgt, alleen indien technisch nodig of met toestemming mag je in de communicatie kijken. Zeggen “wij gaan dit doen voor het trainen van een AI” is daar natuurlijk mee in strijd.

      Ik heb altijd enórme moeite met de kluwen aan definities die je dan moet doorworstelen. Maar volgens mij kom je dan terecht bij de vraag of Zoom een “?elektronische-communicatiedienst” is in de zin van de Kaderrichtlijn. Als Zoom dat niet is, dan is de ePrivacy richtlijn niet van toepassing. En daarvoor is voor mij cruciaal dit stukje:

      [De definitie van ECD] omvat niet de diensten van de informatiemaatschappij zoals omschreven in artikel 1 van Richtlijn 98/34/EG, die niet geheel of hoofdzakelijk bestaan uit het overbrengen van signalen via elektronische-communicatienetwerken;

      Volgens mij is Zoom een dienst van de informatiemaatschappij en brengt zij geen signalen over. Veale ziet dat anders gezien de opmerking over over-the-top diensten, waarbij je dan zegt dat Zoom wél een telecomdienst is maar toevallig de signalen laat versturen door VodafoneZiggo of KPN in plaats van eigen infrastructuur. Ik ga daar eens induiken.

    1. Maar als je oefent moet je er wel voor zorgen dat de muziek niet (te ver) buiten de oefenruimte komt. Wanneer voorbijgangers kunnen (¿)meegenieten(?) wordt het een openbaarmaking van de muziek en moet je (strikt gesproken) royalties gaan betalen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.