Meta suspenderer kontroversielt medarbejderovervågningsprogram efter massiv data-lækage

• Medarbejderes private samtaler og chat-transskriptioner
• Prompter og transskriptioner fra interaktioner med interne AI-værktøjer
• Præstationsstyringsoplysninger
• Nogle rapporter indikerer, at ubeskyttede skatte- og sundhedsoplysninger også kan være blevet fanget

Lækagen blev opdaget, før eksterne parter fik adgang til den, og Meta har udtalt, at der ikke skete nogen uretmæssig adgang . Men alvorsgraden (SEV 2) førte til en øjeblikkelig pause .

Programmets omfang: Hvad MCI faktisk indsamlede

• Lanceringsdato: April 2026, under den bredere Agent Transformation Accelerator (ATA)-indsats
• Hvad det indsamlede: Musebevægelser, klikplaceringer, tastetryk og periodiske skærmbilleder fra udpegede arbejdsapplikationer og -websteder
• Hvem blev berørt: Amerikanske almindelige medarbejdere; deltagelse var reelt obligatorisk
• Formål: At træne Metas AI-agenter i, hvordan vidensarbejde udføres i praksis, ved at indfange virkelige arbejdsgange for at forbedre AI-automatisering
• Planlagt udvidelse: Intern dokumentation viste, at Meta havde til hensigt senere at udvide indsamlingen til medarbejdere uden for USA, hvilket rejste bekymringer om EU's GDPR

Tidligere intern modstand

Modstanden var øjeblikkelig og vedvarende fra programmets lancering i april:

• Andragende: Over 1.500 medarbejdere underskrev et andragende, der protesterede mod den obligatoriske overvågning
• CTO-besked: CTO Andrew Bosworth sendte angiveligt medarbejderne en kortfattet besked om, at programmet var obligatorisk
• Indledende indrømmelser (begyndelsen af juni): Meta nedskalerede MCI – medarbejderne fik mulighed for at pause indsamlingen i op til 30 minutter ad gangen, og nogle datakategorier blev undtaget
• Privatlivs- og juridiske bekymringer: Medarbejdere rejste klager over potentielle overtrædelser af EU's GDPR-regler, da kommunikation med EU-baserede kolleger kunne blive opsnappet

Privatlivsbekymringer og regulatorisk risiko

Programmet indsamlede data fra udpegede arbejdsapps og -websteder, men Reuters rapporterede, at Meta anerkendte, at det også kunne opsnappe kommunikation, der involverede medarbejdere uden for USA . EU's privatlivsmyndigheder begyndte at undersøge, om MCI overtrådte GDPR-kravene om samtykke, dataminimering og medarbejderovervågning .

Selve data-lækagen – ubeskyttede databaser med private samtaler og præstationsoptegnelser – var den kulminerende begivenhed, der tvang suspensionen . Den forvandlede måneders interne privatlivsklager til en konkret databrud, som Meta ikke kunne ignorere.

Konklusion

MCI blev suspenderet ikke kun på grund af medarbejdernes modstand, men fordi en sikkerhedskonfigurationsfejl eksponerede programmets dybt følsomme datamængde for hele virksomheden. Hændelsen gjorde måneders interne privatlivsklager til et konkret databrud, hvilket tvang Meta til at standse initiativet, mens det undersøges.