Microsoft से सवाल: क्या आप हमारा निजी डेटा AI ट्रेनिंग में इस्तेमाल कर रहे हैं?
(foundation.mozilla.org)- Microsoft के नए Service Agreement की 9 लोगों—वकीलों, privacy विशेषज्ञों और campaigners—ने समीक्षा की, लेकिन कोई भी यह तय नहीं कर पाया कि निजी जानकारी का इस्तेमाल AI model training में किया जा रहा है या नहीं
- समीक्षा के दायरे में Office, Skype, Teams, Xbox जैसे 130 products से इकट्ठा की जाने वाली audio, video, chats, attachments जैसी निजी जानकारी शामिल थी
- जिन terms को 9 privacy विशेषज्ञ भी नहीं समझ पाए, उन्हें आम users के समझ पाने की संभावना व्यावहारिक रूप से नहीं है
- Mozilla ने Microsoft से मांग की है कि वह इस सरल सवाल का स्पष्ट जवाब दे: "क्या निजी जानकारी का इस्तेमाल AI training में किया जाता है?"
- मुख्य मुद्दे के रूप में data उपयोग को लेकर transparency की कमी उठाई गई है
कैंपेन द्वारा उठाए गए मुख्य सवाल
- Microsoft के नए Service Agreement की 4 वकीलों, 3 privacy विशेषज्ञों और 2 campaigners ने समीक्षा की
- 9 विशेषज्ञों में से कोई भी यह तय नहीं कर पाया कि Microsoft निजी जानकारी का इस्तेमाल AI models की training में करने की योजना रखता है या नहीं
- terms की अस्पष्टता के कारण यह पुष्टि करना संभव नहीं कि data का इस्तेमाल कैसे होगा
- जिन terms को 9 privacy विशेषज्ञ भी नहीं समझ पाते, उन्हें औसत आम व्यक्ति के समझने की संभावना नहीं है
समीक्षा के दायरे में data
- 130 products से इकट्ठा की जाने वाली निजी जानकारी इसके दायरे में है
- शामिल products के उदाहरण: Office, Skype, Teams, Xbox
- data types: audio, video, chats, attachments
Mozilla की मांग
- Microsoft से अनुरोध कि वह सीधे बताए कि निजी जानकारी का इस्तेमाल AI training में किया जाता है या नहीं
- users की कार्रवाई (signature) में भागीदारी के जरिए जवाब देने के लिए दबाव बनाने वाला campaign चलाया जा रहा है
1 टिप्पणियां
Hacker News की राय
Big Tech regulation structure पूरी तरह आपदा है
दुनिया भर के बहुत से लोगों के digital touchpoints पर व्यवहारिक रूप से सिर्फ दो कंपनियों का कब्ज़ा होने देना नहीं चाहिए
यह मानने का कोई कारण नहीं है कि वे अपारदर्शी और ट्रैक करना मुश्किल तरीकों से अपनी स्थिति का दुरुपयोग नहीं करेंगे। वे खरबों की पूंजी वाली लाभ-उन्मुख कंपनियाँ हैं, उनके पास वकीलों और lobbyists की ऐसी फ़ौज है जो मध्यम आकार के देशों को भी डरा सकती है, और वे अक्षम, अव्यवस्थित और capture हो चुकी regulatory-राजनीतिक व्यवस्था की हर कमजोरी का फ़ायदा उठाएँगी
उन पर shareholders के लिए ऐसा करने का दबाव है, और वे shareholders बस अपने portfolio में कुछ tech “winners” रखना चाहते हैं, चाहे यह एकाधिकारवादी duopoly पूरी digital future को बर्बाद ही क्यों न कर दे। जितनी देर गंभीर कार्रवाई में होगी, बाद में यह उतना ही कठिन होगा
बस tools अलग होते हैं; ऐसे व्यवहार को आगे बढ़ाने वाली मानवीय प्रवृत्ति हमेशा रहती है। ऐसा कोई switch नहीं है जो संपत्ति किसी स्तर से ऊपर जाते ही अचानक on हो जाए
और मैं यह भी नहीं मानता कि कंपनियों पर किसी के प्रति कोई “कानूनी दायित्व” होता है, या यहाँ तक कि सच में कोई “दायित्व” जैसी चीज़ होती है। management अपने लक्ष्य हासिल करने के लिए हाथ में जो tools हों उनका इस्तेमाल करना चाहती है, और वास्तव में करती भी है
यह Hacker News पर देखे गए सबसे Kafkaesque absurd thread में से एक है
अगर analytics data को personal information माना जाए, तो Microsoft साफ़ तौर पर analytics data का उपयोग करता है: https://www.microsoft.com/insidetrack/blog/microsoft-uses-an...
क्या Microsoft Gmail accounts, Word documents, और porn activity पढ़कर उसे OpenAI में डाल रहा है? terms के अनुसार, नहीं: https://learn.microsoft.com/en-us/legal/cognitive-services/o...
लेकिन क्या Microsoft सामान्य रूप से ऐसी चीज़ें कर रहा है जिनके बारे में हमें पता नहीं चल सकता? मेरा मानना है, हाँ
मैं बहुत पहले से Microsoft की भूलभुलैया जैसी privacy policy का विरोध करता आया हूँ
पहले, जब “AI” coding assistants व्यापक रूप से इस्तेमाल होने से पहले, मैंने एक दूसरे forum में पूछा था कि अगर VS Code में telemetry on हो, तो क्या Microsoft की privacy policy मेरे code को upload करके उसका उपयोग करने की अनुमति देती है
तब लोगों ने इसे बेतुका कहकर टाल दिया था, लेकिन किसी ने भी Microsoft के terms या privacy policy में ऐसा कुछ नहीं दिखाया जो इस तरह की processing को साफ़ और पारदर्शी रूप से बाहर करता हो
आजकल हर संभव बड़े dataset से machine learning models को train करने की सनक है, इसलिए पहले की वह सावधानी अब शायद उतनी हास्यास्पद न लगे
जब तक “हम X नहीं करेंगे” कहने में कोई व्यावसायिक या कानूनी लाभ न हो, बड़ी कंपनियाँ जानबूझकर खुद पर ऐसी पाबंदियाँ नहीं लगातीं
जानकारी के लिए, Microsoft के प्रस्तावित Services Agreement का पूरा पाठ यहाँ है
https://www.microsoft.com/en-us/servicesagreement/upcoming.a...
बदलावों का सार यहाँ है
https://www.microsoft.com/en-us/servicesagreement/upcoming-u...
स्पष्ट सीमा सिर्फ targeted advertising पर दिखाई देती है। जैसे, “हम email, chat, video calls या voicemail में कही गई बातों, documents, photos, या अन्य personal files का उपयोग आपको ads target करने के लिए नहीं करते”
बदलावों के सार में privacy policy में किसी बदलाव का उल्लेख नहीं है, और वह privacy policy भी user data से AI models को train करने को बाहर करती हुई नहीं लगती
मैंने ad industry में काम किया है, और व्यक्तिगत पहचान योग्य जानकारी से जुड़े कानून दिलचस्प लगते हैं। California में CCPA है, इसलिए मेरी समझ यह है कि अगर मैं फ़ॉर्म के ज़रिए अपनी व्यक्तिगत पहचान योग्य जानकारी हटाने का अनुरोध करूँ, तो लगभग 90 दिनों के भीतर उसे हटाना होता है
लेकिन अगर California के किसी निवासी की व्यक्तिगत पहचान योग्य जानकारी से किसी model को train किया गया हो, फिर delete request आए, और 3 महीने बाद कोई उस व्यक्ति के बारे में पूछे तो model अगर वह “deleted” व्यक्तिगत पहचान योग्य जानकारी उगल दे, तो फिर क्या होगा?
आखिरकार यह शायद अदालत में तय होगा, लेकिन अगर कोई California कानून को अच्छी तरह जानता हो तो जानना चाहूँगा कि settlement money के लिए ही सही, अभी तक किसी ने इसे target करके कोशिश क्यों नहीं की
मुझे California कानून नहीं पता, लेकिन ऐसे कई समान privacy laws “delete” request मिलने पर भी aggregated data के लिए exception देते हैं
आम तौर पर कानून raw data records पर लागू होता है, aggregated data, metrics, या models पर नहीं। हाँ, यहाँ model से मेरा मतलब insurance या credit scoring industry से जुड़े किसी एक खास फ़ैसले पर आधारित है, ऐसा याद है
model को deleted data “उगलने” की ज़रूरत भी नहीं है। वह generative model नहीं, classifier या regression model भी हो सकता है, और आदर्श रूप से उसे शुरुआत में मेरे data पर train ही नहीं किया जाना चाहिए था
तकनीकी रूप से भी यह मुश्किल है, यह बात अहम है। मान लीजिए एक model बहुत बड़ी लागत X लगाकर बनाया गया है और आम तौर पर हर 6 महीने में retrain किया जाता है। लेकिन अगर delete requests लगातार आती रहें, तो compliance के लिए बार-बार retrain करना बहुत महँगा पड़ेगा
इसे कुशलता से संभालने के लिए machine unlearning पर research है, लेकिन अब तक नतीजे काफ़ी निराशाजनक रहे हैं
अगर व्यक्तिगत हिस्से गायब हो चुके हैं, तो मुझे नहीं पता कि claim का आधार क्या होगा
Microsoft की legal team यह कारनामा कैसे कर लेती है? क्या उनके पास इतनी बड़ी टीम है कि भाषाई अमूर्तन की परतें इतनी चढ़ा दी जाएँ कि Microsoft या grand jury जैसे ही लोग उसका मतलब निकाल सकें?
क्या ये ऊपर से harmless दिखने वाली जगहों पर छिपे trap-laden bait sentences हैं? या फिर गोलमोल बोलते रहना ताकि कभी सटीक जवाब ही न देना पड़े?
अगर किसी इस्तेमाल को साफ़ तौर पर exclude नहीं किया गया है, तो जब तक वह data उपयोगी है, अंततः उसे training data के रूप में इस्तेमाल किया जाएगा। अभी नहीं तो कभी न कभी। धरती पर data जमा करने वाली हर company पर यह लागू होता है
सबकी default assumption यही होनी चाहिए, और जब तक कानून न बने, यह ज़्यादातर सही भी रहेगा। कानून बन भी जाए, तो jurisdiction bypass की वजह से पुराने data पर बेअसर हो सकता है, और नए data को भी शायद बहुत कम सुरक्षा मिले
नए तेल में आपका स्वागत है
privacy और व्यक्तिगत पहचान योग्य जानकारी एक ही चीज़ नहीं हैं। कई मामलों में privacy data का उपयोग टालना संभव नहीं है
predictive input privacy data का उपयोग करता है। क्योंकि वह सब से “सीखता” है। क्या वाक्य और paragraph privacy data हैं? search engine वह रिकॉर्ड करता है जो मैं टाइप करता हूँ। क्या search query को “personal” कहा जाएगा? मैं इस thread की पहली comment को copy-paste कर सकता हूँ; क्या वह भी privacy data है?
हो सकता है मैं पूरी तरह ग़लत हूँ, और शायद मुझे किसी webpage में कुछ भी type नहीं करना चाहिए
ऐसा लगा कि चार lawyers और तीन privacy experts भी इस नतीजे पर नहीं पहुँच पाए कि privacy data आख़िर है क्या। क्या big tech लोगों के बनाए data को “AI” tools में डालती है? हाँ। क्या छोटी tech companies भी ऐसा करती हैं? हाँ
मैं Mozilla के साथ pitchfork उठाने को तैयार हूँ, लेकिन जानना चाहता हूँ कि किस बात पर। भीड़ को भड़काने के बजाय ऐसे लोग चाहिए जो साफ़-साफ़ बताएँ कि अपने हितों की रक्षा कैसे करूँ
data, कोई भी data, contract के अधीन इस्तेमाल होता है। Hacker News इस्तेमाल करते समय जिन “legal documents” से आपने सहमति दी थी, उन्हें पढ़ें, तो privacy data के इस्तेमाल पर पूरा section है। क्या HN के खिलाफ भी pitchfork उठानी चाहिए, या यहाँ सब ठीक है?
इनमें से क्या “AI training” है?
abuse detection system का user behavior और data पर train होना ताकि malicious users को human review तक भेजा जा सके; web search करते समय ranking function का सभी users के behavior पर train होना; email composer का मेरे input history के आधार पर completion suggest करना; सार्वजनिक LLM chat interface का मेरी private emails पर train होना
ज़्यादातर मामलों में “AI training” privacy policy में लिखी जाने वाली चीज़ कम, और implementation detail ज़्यादा लगती है। अच्छा होता अगर Mozilla साफ़ तौर पर बताता कि उसे किस behavior की चिंता है
हाँ, बड़ी कंपनियाँ ऐसा कर रही हैं, और आगे भी करेंगी। अगर आप मानते हैं कि कोई बड़ी कंपनी हमारे सर्वोत्तम हितों के बारे में सोचती है और उसका governance भी पूरी तरह दुरुस्त है, तो हा हा, बहुत ज़ोर का हा हा