Meta jäädytti työntekijöiden seurantaohjelman – tietovuoto paljasti tekoälyharjoittelun massiiviset tietosuojaongelmat

Meta jäädytti kiistanalaisen työntekijöiden seurantaohjelmansa 22.–23. kesäkuuta 2026, kun tietoturva-aukko paljasti valtavan määrän arkaluontoista tietoa koko yrityksen henkilöstölle . Jäädytys tuli kuukausien sisäisen vastustuksen jälkeen, mutta viime kädessä vasta tietovuoto – eivät työntekijöiden protestit – pakotti Metan toimimaan.

Mikä aiheutti jäädytyksen

Työntekijä ilmoitti, että MCI:n taustajärjestelmät – yli 45 000 tietokantataulua – oli jätetty ilman kunnollisia pääsynhallintamekanismeja koko henkilöstön saataville . Paljastuneita tietoja olivat:

• Työntekijöiden yksityiset keskustelut ja chat-transkriptiot
• Vuorovaikutukset sisäisten tekoälytyökalujen kanssa: kehotteet ja transkriptiot
• Suoritusarviointiin liittyvät tiedot
• Joidenkin raporttien mukaan myös salaamattomia vero- ja terveystietoja saattoi olla kerättynä

Vuoto havaittiin ennen kuin ulkopuoliset pääsivät siihen käsiksi, eikä Metan mukaan tietoja ole käytetty väärin . Tapahtuma luokiteltiin sisäisessä asteikossa luokkaan SEV 2 eli toiseksi vakavimmaksi mahdolliseksi (vakavimpia ovat SEV 0 ja SEV 1), mikä johti välittömään jäädytykseen .

Ohjelman laajuus: Mitä MCI todella keräsi

• Käynnistyspäivä: Huhtikuu 2026, osana laajempaa Agent Transformation Accelerator (ATA) -hanketta
• Kerätyt tiedot: Hiiren liikkeet, klikkauspaikat, näppäinpainallukset ja satunnaiset kuvakaappaukset työskentelyyn tarkoitetuista sovelluksista ja verkkosivustoista
• Kohderyhmä: Yhdysvalloissa työskentelevät perustason työntekijät; osallistuminen oli käytännössä pakollista
• Tarkoitus: Kouluttaa Metan tekoälyagentteja ymmärtämään, miten tietotyötä todella tehdään, ja parantaa tekoälyn automaatiota
• Laajennussuunnitelmat: Sisäiset dokumentit paljastivat, että Meta aikoi myöhemmin laajentaa seurannan Yhdysvaltojen ulkopuolelle, mikä olisi herättänyt EU:n tietosuoja-asetuksen (GDPR) mukaisia ongelmia

Aikaisempi sisäinen vastustus

Ohjelma sai osakseen välittömän ja jatkuvan vastustuksen heti huhtikuusta lähtien:

• Adressi: Yli 1 500 työntekijää allekirjoitti adressin, jossa vastustettiin pakollista seurantaa
• Teknologiajohtajan viesti: Teknologiajohtaja Andrew Bosworth ilmoitti työntekijöille suorasukaisesti, että ohjelma oli pakollinen
• Myönnytykset (kesäkuun alussa): Meta kevensi MCI:tä – työntekijät saivat mahdollisuuden keskeyttää keräyksen enintään 30 minuutiksi kerrallaan, ja joitakin tietoluokkia suljettiin pois
• Tietosuoja- ja lakihuolenaiheet: Työntekijät nostivat esiin mahdolliset EU:n GDPR-rikkomukset, koska seuranta saattoi ulottua EU:ssa työskenteleviin kollegoihin

Tietosuojahuolenaiheet ja sääntelyriski

Ohjelma keräsi tietoja työsovelluksista ja -sivustoista, mutta Reutersin mukaan Meta myönsi, että se pystyi sieppaamaan myös viestintää, johon osallistui EU:n ulkopuolisia työntekijöitä . EU:n tietosuojaviranomaiset alkoivat tutkia, rikkoiko MCI GDPR:n vaatimuksia suostumuksesta, tietojen minimoinnista ja työntekijöiden seurannasta .

Tietovuoto itsessään – salaamattomat tietokannat, jotka sisälsivät yksityisiä keskusteluja ja suoritusarvioita – oli se viimeinen pisara, joka pakotti jäädytykseen . Se muutti kuukausien aikaiset sisäiset tietosuojavalitukset konkreettiseksi tietoturvaloukkaukseksi, jota Meta ei voinut enää sivuuttaa.

Johtopäätös

MCI jäädytettiin ei pelkästään työntekijöiden vastustuksen vuoksi, vaan koska tietoturvakonfiguraation epäonnistuminen paljasti ohjelman äärimmäisen arkaluontoisen tietomäärän koko yritykselle . Tapaus muutti kuukausien aikaiset tietosuojavalitukset konkreettiseksi tietomurroksi, mikä pakotti Metan keskeyttämään hankkeen tutkinnan ajaksi.