Meta Terancam Sengketa Baru di Eropa: Alat Lacak Klik Karyawan Juga Rekam Data Global
Baca dalam 60 detik
- Meta mengembangkan alat bernama MCI yang merekam gerakan mouse, klik, dan navigasi karyawan AS untuk melatih AI, namun secara tak sengaja menangkap data komunikasi dari luar negeri.
- Alat ini memicu kekhawatiran pelanggaran GDPR karena data rekan kerja non-AS yang berkomunikasi dengan staf AS ikut terekam, tanpa persetujuan atau dasar hukum yang jelas.
- Jika regulator Eropa memutuskan pelanggaran, Meta bisa menghadapi denda besar dan memperketat pengawasan terhadap praktik pengumpulan data untuk pengembangan AI.
Meta Platforms, perusahaan induk Facebook dan Instagram, menghadapi potensi gelombang baru sengketa privasi di Eropa setelah dokumen internal mengungkap bahwa alat pelacak aktivitas komputer karyawannya tidak hanya menyasar staf di Amerika Serikat, tetapi juga secara tidak langsung menangkap data dari pengguna di luar negeri, termasuk Eropa. Inisiatif bernama Model Capability Initiative (MCI) ini dirancang untuk merekam gerakan tetikus, klik, dan navigasi menu guna melatih agen kecerdasan buatan (AI) yang bisa menjalankan tugas perangkat lunak secara otonom.
Menurut dokumen yang dilihat Reuters, MCI telah dipasang pada perangkat lebih dari 200 aplikasi dan situs web yang digunakan karyawan Meta di AS. Meski perusahaan menjamin bahwa alat itu hanya berdampak pada pekerja domestik, kenyataan di lapangan menunjukkan sebaliknya. Dalam dokumen tanya-jawab internal, Meta mengakui bahwa setiap surel atau pesan instan yang dikirim ke staf AS—dari mana pun asal pengirimnya—akan ikut terekam. Artinya, rekan kerja di Eropa, Asia, atau kawasan lain yang berkomunikasi dengan kolega di AS secara otomatis data mereka terserap ke dalam sistem MCI.
Kebocoran data lintas batas ini langsung menyita perhatian kelompok pegiat privasi. Kleanthi Sardeli, pakar hukum dari NOYB (None of Your Business), menilai bahwa meskipun pengumpulan data dari karyawan non-AS bersifat tidak langsung, hal itu tetap berpotensi melanggar Peraturan Perlindungan Data Umum (GDPR) Uni Eropa. "Data ini awalnya dikumpulkan untuk tujuan komunikasi kerja dan memenuhi kontrak kerja. Memasukkan obrolan karyawan ke dalam model AI tidak sesuai dengan tujuan awal tersebut," ujar Sardeli. Ia menambahkan bahwa dua poin krusial yang akan diuji adalah apakah pengumpulan data Eropa dianggap 'insidental' atau termasuk pemantauan menurut GDPR, serta apakah inisiatif ini lolos uji 'pembatasan tujuan'.
Meta sendiri telah memberi tahu Komisi Perlindungan Data Irlandia (DPC), regulator utama GDPR untuk perusahaan tersebut, bahwa data karyawan Uni Eropa maupun perekaman konten layar "bukan termasuk tujuan utama alat ini," demikian pernyataan juru bicara DPC. Namun, Meta menolak mengomentari lebih lanjut komunikasinya dengan regulator. Juru bicara Meta, Dave Arnold, menegaskan bahwa MCI hanya dipasang di perangkat karyawan AS dan fokusnya pada interaksi dengan komputer, bukan konten layar. "Demi transparansi, kami memberi tahu karyawan non-AS bahwa alat ini digunakan di komputer rekan mereka di AS yang mungkin mereka kirimi surel atau obrolan," kata Arnold. Ia mengonfirmasi jumlah aplikasi yang dilacak, namun menolak menjawab pertanyaan rinci tentang volume data yang dikumpulkan dan legalitasnya.
Di internal perusahaan, proyek MCI memicu gelombang protes. Sejumlah karyawan menyebut Meta sebagai "Pabrik Ekstraksi Data Karyawan." Seorang staf bahkan melakukan analisis mendalam terhadap file log MCI dengan bantuan Claude, AI dari Anthropic—teknologi yang justru didorong Meta untuk digunakan karyawan. Analisis itu mengungkap bahwa MCI ditempelkan pada perangkat lunak keamanan data yang sudah ada, sehingga memperoleh akses ke perubahan kode, siklus tidur komputer, URL yang dikunjungi, dan konten papan klip—yang kemudian disimpan dalam bentuk tidak terenkripsi. "Data sebanyak itu memungkinkan pembuatan model perilaku lengkap tentang bagaimana seorang pekerja pengetahuan melakukan pekerjaannya," tulis karyawan tersebut. "Bukan sekadar AI yang mengklik dropdown untuk Anda, tapi AI yang tahu dropdown mana yang harus diklik, apa yang harus dipilih, dokumen mana yang harus ditempeli, dan langkah selanjutnya." Postingan itu kemudian lenyap, dan Meta menyebut kesimpulannya "secara fundamental tidak akurat," namun enggan menjelaskan apakah perusahaan menghapusnya.
Johnny Ryan, direktur unit Penegakan Hukum Dewan Sipil Irlandia, menekankan pentingnya DPC menyelidiki inisiatif ini. "Situasi ini tidak terbatas pada karyawan Meta. Ini menyangkut setiap pekerja di setiap sektor yang bisa digantikan. Semua orang peduli jika mereka memahami apa itu," ujarnya. Bagi Indonesia, kasus ini menjadi pengingat bahwa pengawasan data di tempat kerja—terutama oleh perusahaan multinasional—semakin kompleks. Meski Undang-Undang Perlindungan Data Pribadi (UU PDP) Indonesia telah berlaku, penerapannya masih dalam tahap awal. Praktik seperti MCI, yang mengumpulkan data secara masif untuk pengembangan AI, bisa menjadi preseden bagi perusahaan teknologi lain yang beroperasi di Indonesia. Regulator dalam negeri perlu mencermati apakah alat serupa digunakan di kantor-kantor perusahaan global di Tanah Air, mengingat potensi pelanggaran terhadap prinsip pembatasan tujuan dan transparansi.
Ke depan, nasib MCI akan bergantung pada keputusan DPC Irlandia. Jika terbukti melanggar GDPR, Meta tidak hanya menghadapi denda hingga 4% dari omzet global, tetapi juga harus merombak total pendekatan pengumpulan data untuk AI. Pertanyaan besarnya: apakah regulator Eropa akan memandang pengambilan data 'insidental' ini sebagai pelanggaran serius, atau justru memberi kelonggaran karena dianggap bagian dari inovasi AI? Jawabannya akan menentukan batas antara pengembangan teknologi dan hak privasi pekerja di era agen otonom.