先说几个关键要点。Meta近期推出了一项重大计划——通过记录美国员工在电脑上的鼠标移动、点击行为以及下拉菜单操作，来训练AI智能体，目标是让AI学会自主执行日常软件任务。这项工具名为Model Capability Initiative，简称MCI，覆盖超过200款应用，数据采集范围相当广泛。

根据Meta最初的说明，MCI仅针对美国员工，并且公司已设置相应保护措施来防止敏感信息泄露。但事情远没有那么简单。内部信息显示，该工具上线后仅几周，员工便纷纷抱怨——数据消耗过大，家庭网络流量急剧上升，有人甚至在几天内就用完了整月的流量额度。

更棘手的是，Meta内部问答文件中坦承：只要电子邮件或私信发送给美国员工，MCI就会捕获这些内容，无论发件人身处世界哪个角落。这意味着什么？一位在欧盟工作的员工提出了一个非常直接的问题：“我人在美国以外，如果和一位启用了MCI的美国同事聊天，我的对话会被抓取吗？”Meta给出的答案是：会。同时补充说，捕获的数据会与能够识别员工身份的信息“分离”，因此无法按个人查询或删除。

然而在欧洲，GDPR（通用数据保护条例）的规则完全不同。企业必须允许个人查询或删除自己的数据，而且收集个人数据必须有明确的法律依据。隐私倡导组织NOYB的法律专家Kleanthi Sardeli指出，哪怕只是有限或间接地捕获欧盟员工数据，也可能踩到GDPR的红线。争议焦点集中在两个问题上：MCI收集欧洲数据是否属于“偶然”？还是本质上构成了GDPR所定义的监控？此外，MCI能否通过“目的限制”测试？

她打了个比方：这些数据原本是为工作沟通和履行雇佣合同而收集的，现在却将员工的聊天内容拿去训练AI模型，这与最初的收集目的完全不兼容。

Meta在GDPR框架下的主要监管机构——爱尔兰数据保护委员会表示，Meta已告知他们，欧盟员工数据和屏幕内容记录“不属于该工具的主要目的”。但爱尔兰公民自由委员会Enforce部门主任Johnny Ryan认为，Meta内部的这些交流恰恰说明，监管机构“必须”对MCI项目展开调查。他警告说：“这不仅仅是Meta员工的事，它关系到每个行业里所有可能被取代的员工。一旦人们理解了这件事的本质，每个人都会关心。”