Microsoft: we gebruiken Office-data niet voor trainen AI-modellen - update

De connected experiences kuinnen een beveiligingslek vormen, alleen zijn ze niet nieuw maar zitten ze al jaren in MS Office en Microsoft medewerkers mogen nu dus overal gaan ontkennen dat deze gebruikt worden om AI mee te trainen.

Er hangt te veel aan die connected experiences vast om daar ook maar even de opt-out van AI training van te maken.

Het lijkt wel of je de noodklok luidt over iets wat inderdaad zorgelijk klinkt. Maar laten we even de zaken op een rijtje zetten, want er zijn wel wat nuances die we niet moeten vergeten:

1. Je zegt dat het weinig nut heeft om data te verwijderen nadat het gebruikt is voor AI-training omdat het niet volledig uit een model weg te halen is. Maar, het is niet helemaal zwart-wit. Er zijn slimme manieren om de invloed van die data te verminderen, zoals door te werken met 'differentiële privacy' of modellen te 'ontleren' wat ze van specifieke data hebben geleerd. Dus, al is het niet perfect, er zijn maatregelen hiervoor.

2. Het incident bij Samsung waar je naar verwijst, toont wel aan dat we voorzichtig moeten zijn. Maar, het is niet alleen maar kommer en kwel. Bedrijven kunnen ook AI opleiden om gevoelige info te herkennen en te stoppen. Het gaat om het slimmer maken van systemen, en mensen beter informeren over hoe ze met AI om moeten gaan.

3. Opt-out, tja, opt-out is misschien niet ideaal als je privacy als hoogste prioriteit hebt, maar het is wel een stap vooruit. Denk maar aan de hoeveelheid data die we nu al delen zonder dat we er echt bij stilstaan. Opt-out geeft mensen tenminste de keuze om te zeggen 'nee, ik wil niet dat mijn data hiervoor gebruikt wordt'.

4. Je hebt een punt dat niet iedereen zich bewust is van wat er met hun data gebeurt. Maar, er zijn bedrijven die het beter proberen te doen door mensen te informeren en te onderwijzen over hun privacy. Als je je er niet van bewust bent, is het ook een beetje aan jezelf om je te verdiepen in wat je deelt.

Het klinkt als een nachtmerrie om na je werkdag alles na te lezen op wat je misschien per ongeluk hebt gedeeld. Maar technologie kan ons hierbij ook helpen. Denk aan tools die automatisch op de uitkijk staan voor gevoelige info, of systemen die standaard al privacybeschermingen hebben ingebouwd.

Dus ja je hebt gelijk om je zorgen te maken, maar er is ook hoop. We zijn 'm.i. op de goede weg met innovaties en nieuwe methodes om onze privacy te beschermen terwijl we gebruik maken van AI. Het is een beetje als autorijden, er zijn risico's, maar we nemen maatregelen om zo veilig mogelijk te rijden. Het gaat om het vinden van die balans.

het gaat over customer data toch, niet de inhoud van documenten, maar verder heb je natuurlijk gelijk

Een model kunnen ze opnieuw genereren, kost alleen veel rekenkracht. Maar ik denk dat dat een groter business model is voor deze generatie AI tools dan de AI tools zelf, goede, opgeschoonde en neutrale trainingsdata. Daarom zijn zoveel partijen - waaronder o.a. Reddit, Photobucket, maar nu dus ook Microsoft - bezig om hun user-generated content zodanig te licensen dat ze het kunnen inpakken en verkopen aan de hoogste bieder.

Tien jaar geleden zeiden ze al dat data waardevoller was dan olie - gekke vergelijking natuurlijk - maar met deze tools is het alleen maar meer waardevol geworden.

De link naar Samsung gaat eigenlijk niet over het kunnen terughalen van die informatie, maar over het feit dat confidential data aan de US gegeven is. (en dus leaked is) De realiteit is echter dat er helemaal niks geleaked is, tenzij OpenAI dat zou ingekeken hebben.

Deze bepaling op zich is ook niet nieuw

Precies.
Allemaal geschokte en verbolgen reacties hier over iets dat al jaren gebeurt en echt niet alleen bij Microsoft.
De titel van dit artikel staat ook niet voor niets tussen aanhalingstekens.
Het is een mening van een 'X-gebruiker'. M.a.w. flame voor internetpunten waar alle schaapjes weer mee aan de haal gaan.
Beetje vreemd van Tweakers om dit soort flamebait zo te publiceren aangezien ze 'ongefundeerde opinies' bij andere relevante onderwerpen juist lijken te mijden.

Internetbedrijven zijn niet braaf. Ze doen wat ze willen zolang daar geen duidelijke regels voor opgesteld zijn en zullen daar zo min mogelijk inzicht in willen geven.
En hoe sneller de ontwikkelingen gaan, hoe verder de regelgeving achter loopt.
Het is als gebruiker ook lastig om bepaalde ontwikkelingen wel te willen, maar daar bepaalde dingen voor op te moeten geven gaat te ver.
Zolang het toegestaan wordt zal Microsoft vast houden aan het alles of niets principe en gebruikers geen enkele nuance bieden in wat je wel en niet wilt delen en met wie.

Onder de privacywetgeving is het bedrijf verplicht om duidelijk te zijn of en wanneer er persoonlijke gegevens verwerkt worden en voor welk doel. Het lijkt me hier vooral bewezen dat die voorwaarden zelfs voor meer gevorderde gebruikers veel te onduidelijk zijn over wanneer het bedrijf gegevens verwerkt. Daarbij is in de afgelopen jaren meerdere keren gewezen dat voorwaarden in veel situaties volstrekt onvoldoende uitleg zijn. Juist omdat ze te vaag zijn over wat er in de praktijk precies wel en niet onder valt. En waarbij gebruikers ook zeer slecht geïnformeerd worden over nieuwe en gewijzigde de instellingen in de praktijk. De vaagheid is dus vooral het bedrijf aan te rekenen. En hoewel we het dan te simpel kunnen noemen dat gebruikers conclussies trekken dat het bedrijf gegevens op een ongewenste manier verwerkt zijn dat wel conclussies die veiliger zijn dan maar net doen alsof het bedrijf er zorgvuldig mee om gaat of het beste met de gebruikers op heeft naast hun eigen belangen.

Royaltyvrije intellectuele eigendoms licentie

Dat is juist hetgeen waar het om gaat. Voor opslag heb je een verwerkersovereenkomst, voor samenwerking idem (namelijk opslag). Voor LLM suggesties heb je wederom diezelfde verwerkingsovereenkomst. Voor support (voor zover MS dat levert), stuur je individuele documenten op waarvan de schrijver eventuele redacties heeft uitgevoerd en wederom beperkingen die opgelegd zijn in de verwerkingsovereenkomst.

Een wereldwijde, royaltyvrij licentie in elke context is simpelweg fout. Al helemaal om diezelfde claim te gebruiken in een brede statement van "diensten verbeteren". Demo? Nee! maak maar zelf iets. Advertentie? Wees niet lui en maak zelf iets!

De noodzakelijkheid zou zeer expliciet moeten worden benoemd en niet globaal. Het gegeven voorbeeld van distributie/kopieen heeft geen enkele relatie met het verbeteren met de diensten. Er wordt hier te eenvoudig overheen gelezen en geaccepteerd.

Persoonlijk zou ik het ontbreken van een hoop van die functies die je aanhaalt niet missen. Niet ten koste van privacy / vertrouwelijkheid, al helemaal in een zakelijke omgeving.

Dat de connected services al lange tijd bestaan, betekent toch niet dat daar niets in veranderd is? Bij diverse services (zoals Analyze Data en Editor) wordt daar tegenwoordig AI voor gebruikt

Idd slecht maar meer door de schrijven omdat ze connected expiriances heel anders omschrijven dan waarvoor het aan staat en nodig is.

Dit zijn je auto correct, DLP, copilot etc integraties die via apis geraadpleegd worden en al jaren aan staan en in het product zitten.

Tja, ondertussen zou toch duidelijk moeten zijn wat de cloud is, hoe de cloud werkt, en welke prioriteiten de Cloud giganten hebben (hint: jij bent niet de prioriteit).

Dit wetende is het wel erg naïef om zeer kritische/gevoelige data uit handen te geven aan zo'n cloud gigant. En daar valt ook de gemiddelde office werkplek onder tegenwoordig.

Kweenie - zou een wet echt helpen denk je?

Ik gok dat MS365 draait bij meer dan 90% van de bedrijven en bevolking wereldwijd.
Microsoft accepteert gewoon het risico van mogelijke claims en boetes.
Immers - de opbrengst is een veelvoud van die claims en boetes.

Bovendien - de pakkans is niet zo heel groot - laat staan schuldig bevonden worden en daadwerkelijk claims/boetes moeten betalen.

Dat zou waarschijnlijk anders worden als de bewijslijst omgekeerd zou worden.
Dus ja - Microsoft is schuldig totdat anders is aangetoond.
Idealiter inclusief een voorlopige(?) boete die binnen 90 dagen betaald moet zijn.

Het is niet bij wet verboden en dat hoeft ook niet. Maar als je persoonsgegevens verwerkt, moet je wel aan een aantal voorwaarden voldoen. Grondslag, doelbinding etc. maar daar weten de juristen van Microsoft wel raad mee. Maar, transparantie is ook zo'n voorwaarde... altijd lastig... weten gebruikers dat hun gegevens verwerkt worden, kunnen ze dat redelijkerwijs verwachten? Is Microsoft hier proactief transparant over (in begrijpelijke taal)?

Nee zit er al jaren in en aan bij default. Is ook heel veel documentatie over beschikbaar en niet iets nieuws.

Klopt, volgens mij een voorbeeld van iemand roept iets en we nemen het klakkeloos over zonder in te lezen. Er staat nergens dat deze connected services worden gebruikt voor AI training.

Microsoft heeft al eerder op gereageerd:

In the M365 apps, we do not use customer data to train LLMs. This setting only enables features requiring internet access like co-authoring a document.