Etter å ha gjennomgått brukervilkårene til ChatGPT i IT-Gruk 11/2023 retter vi nå søkelyset på enkelte AI-relaterte aspekter ved brukervilkårene til Zoom. Hvorfor Zoom? Fordi Zoom Video Communications, Inc. er et amerikansk selskap som tilbyr en skybasert nettjeneste for spesielt videokonferanser og webinarer og er en av de største konkurrentene til Teams. Men ikke minst, Zoom har også vært gjenstand for kritikk omkring hvordan de ivaretar personvern, og de siste ukene har det også stormet rundt brukervilkårene til Zoom etter at de åpnet opp for bruk av kunders data til å trene sin AI-løsning. Ouch da, eller AI-da Zoom. La oss forklare problemstillinger og til slutt komme med dagens «take-aways».
Stormen rundt Zoom sine brukervilkår er knyttet til at Zoom nylig oppdaterte vilkårene for bruk av kundedata i punkt 10. Oppdateringene kan sees i sammenheng med selskapers behov for å sikre seg at de har rett til å bruke data for å trene opp en AI-løsning. Hvis man bruker en annen sin data for å trene en AI-løsning uten tillatelse, kan man risikere påstand om misbruk og etterfølgende erstatningskrav. Dette er tilfellet for tjenesten Stability AI som nå er saksøkt av Getty Images for misbruk av 12 millioner bilder for å trene tjenesten. Det kunne derfor virke rimelig at Zoom ønsket å unngå påstander om misbruk av kunders data for å kunne trene sin egen AI-løsning.
For å sikre seg nødvendige rettigheter, ga Zoom seg selv gjennom punktene 10.2 og 10.4 omfattende rettigheter til å bruke kundenes innhold («Customer Content») sammen med tjenestegenerert data («Service Generated Data»). Sistnevnte type data inneholder eksempelvis telemetri- og diagnosedata. Dette reiste bekymring og kritikken har vært spesielt knyttet til at Zoom endret vilkårene for bruk av disse dataene til maskinlæring og opplæring av AI uten at det var mulig å reservere seg mot slik bruk. I tillegg mente enkelte at vilkårene åpnet opp for at Zoom kunne benytte kundenes brukerdata og innhold til å trene sin AI-løsning gjennom den omfattende bruksretten i punkt 10.4:
«You agree to grant and hereby grant Zoom a perpetual, worldwide, non-exclusive, royalty-free, sublicensable, and transferable license and all other rights required or necessary to redistribute, publish, import, access, use, store, transmit, review, disclose, preserve, extract, modify, reproduce, share, use, display, copy, distribute, translate, transcribe, create derivative works, and process Customer Content and to perform all acts with respect to the Customer Content…”
Etter noe som kan forstås som et massivt press fra brukere som blant annet anbefalte andre brukere å slutte med å bruke Zoom svarte Zoom sin COO Aparna Bawa denne uken med at bestemmelsen om bruk av kunders innhold til AI kun var aktuelt hvor kunder aktivt tok i bruk AI-funksjonalitet, slik at det i praksis var et valg for kundene. Dette var ikke tilstrekkelig, og Zoom oppdaterte derfor sine vilkår 7. august 2023. Det følger nå av punkt 10.4 siste ledd at innholdet til kundene ikke vil benyttes til å trene AI-løsningen, og punktet lyder som følger: “Notwithstanding the above, Zoom will not use audio, video or chat Customer Content to train our artificial intelligence models without your consent.”
I tillegg følger det av en post på Zoom sin sider: «How Zoom’s terms of service and practices apply to AI features», hvor Zoom gir en forklaring på den siste endringen om hvordan punkt 10.4 skal forstås:
“In Section 10.4, our intention was to make sure that if we provided value-added services (such as a meeting recording), we would have the ability to do so without questions of usage rights. The meeting recording is still owned by the customer, and we have a license to that content in order to deliver the service of recording. An example of a machine learning service for which we need license and usage rights is our automated scanning of webinar invites / reminders to make sure that we aren’t unwittingly being used to spam or defraud participants. The customer owns the underlying webinar invite, and we are licensed to provide the service on top of that content. For AI, we do not use audio, video, or chat content for training our models without customer consent.”
I praksis er dette fornuftige argumenter. Tjenesteleverandører ønsker å ha løsninger på plass som sikrer mot misbruk av løsningen og samtidig ha systemer på plass for å sikre utvikling og forbedring av tjenesten. Spørsmålet er likevel om dette løser alle utfordringer? Min oppfatning er at dette ikke løser alle utfordringer, selv om min bekymring etter den siste presiseringen i brukervilkårene er redusert. Da tenker jeg spesielt på om Zoom vil bruke mitt innhold i webinarer til å trene sin AI-løsning. I hvilken grad «Service Generated Data» inneholder personopplysninger og vil brukes til et nytt formål fremstår fortsatt uklart.
Vil vi fortsatt bruke Zoom? Ja, vi har gjort vår risikovurdering av løsningen og hvordan vi ønsker å bruke den til åpne seminarer og ikke til kundemøter. Dermed er informasjonssikkerhetsrisikoen begrenset. Merk at ettersom Zoom er et amerikansk foretak så er ikke Zoom underlagt GDPR, men de har basert sin bruk av personopplysninger på EUs standard kontraktsklausuler (Standard Contractual Clauses) og gjennomføring av TIA (konsekvensvurdering av overføring av personopplysninger utenfor EU/EØS). Dette vil være gjeldende frem til Zoom gjennomfører en selvdeklarering etter EU US Data Privacy Framework og blir på ny registrert på dataprivacyframework.gov. For øvrig tilbyr Zoom fra juni EU/EØS-lokaliserte tjenester.
Dagens 4 take-aways:
- Les vilkårene
Les igjennom vilkårene til tjenesten du skal bruke. Brukervilkårene inneholder viktig informasjon som kan sette rammer for din virksomhet og dennes risiko enten det er kommersielle forhold, personvern eller annen informasjonssikkerhet (og taushetsplikt). Vi gjennomfører ofte «rød-flagg vurderinger» av våre klienters tjenester for å sikre mot unødvendig risiko. I noen tilfeller er det også enkelt å tilpasse bruk for å redusere risiko. - AI og rett til bruk av kundedata
Gjør deg kjent med hvordan den enkelte tjeneste bruker data om din bruk eller ditt innhold for å utvikle eller forbedre tjenesten. Jeg tror de fleste tjenester vil bruke en AI-løsning eller annen type maskinlæring for å utvikle sine tjenester. Noe av dette er helt naturlig og ønskelig. Jeg vil normalt at den tjenesten jeg bruker utvikler seg og tilbyr bedre tjenester. Men så er spørsmålet om dette innebærer en risiko for mine data og mine øvrige forpliktelser, slik som en advokats taushetsplikt i klientforhold. - Vurder og dokumenter personvernrisiko ved bruk av tjenester
Bruk av tredjepartstjenester, som Zoom, innebærer at det vil behandles personopplysninger i de aller fleste tilfeller. Sørg for at du følger GDPR (slik som å ha riktig behandlingsgrunnlag, databehandleravtale eller annet grunnlag for overføring av personopplysninger til tjenesteleverandør), risikovurderer tjenesten og eventuelt gjennomfører en DPIA. Zoom kan egne seg for åpne webinarer, men kanskje ville jeg ikke vært like fornøyd hvis legen min hadde bruk Zoom for en konsultasjon. - Kundepress fungerer
Det viktigste vi likevel skal ta med oss er at press fra brukergrupper fungerer. Når tilstrekkelig mange brukere klager og truer med å slutte å bruke en løsning, så er det muligheter for å få tjenesteleverandøren til å endre sine ensidige vilkår. Når Zoom nå også skal tilby EU/EØS-lokaliserte tjenester så vil det også muligens medføre at tjenesten og dennes vilkår blir ytterligere GDPR-compliant og endres. Muligens vil EUs regler for den nye digitale hverdagen bidra til å skape ytterligere balanserte vilkår, slik som Data Act. Men kundepress vil alltid være en viktig del når ikke regelverket favner alle verdenshjørner.
GRETTE TEKNOLOGI OG DIGITALISERING: NYHETSBREV | FROKOSTMØTE: Vi bistår alle typer virksomheter med vurderinger knyttet til personvern/GDPR, IT-kontrakter/prosjekter, immaterialrett og andre rettsforhold knyttet til teknologi og digitalisering. Ta gjerne uforpliktende kontakt for en innledende avklaring med ansvarlig for Grettes avdeling for Teknologi og digitalisering: Peter Lenda på tel 924 01 652 eller pele@grette.no. Tidligere IT-Gruk’er er tilgjengelige på Grettes nyhetssider.