211service.com
Collectieve gegevensrechten kunnen voorkomen dat big tech privacy uitwist
Franziska Barczyk
Elke persoon die zich bezighoudt met de genetwerkte wereld creëert voortdurend rivieren van gegevens. We doen dit op manieren waarvan we ons bewust zijn en op manieren waarop we dat niet zijn. Bedrijven maken er graag gebruik van.
Neem bijvoorbeeld NumberEight, een startup die volgens Bedrade , helpt apps om gebruikersactiviteit af te leiden op basis van gegevens van de sensoren van een smartphone: of ze nu rennen of zitten, in de buurt van een park of museum, rijden of een trein nemen. Nieuwe diensten op basis van dergelijke technologie combineren wat ze weten over de activiteit van een gebruiker in hun eigen apps met informatie over wat ze op dat moment fysiek aan het doen zijn. Met deze informatie zou een service, in plaats van een profiel op te bouwen om bijvoorbeeld vrouwen ouder dan 35 jaar te targeten, advertenties kunnen targeten op 'vroege vogels'.
Dergelijke ambities zijn wijdverbreid. Als dit recente artikel in Harvard Business Review zegt: De meeste CEO's erkennen dat kunstmatige intelligentie het potentieel heeft om de manier waarop organisaties werken volledig te veranderen. Ze kunnen zich een toekomst voorstellen waarin retailers bijvoorbeeld geïndividualiseerde producten leveren voordat klanten er zelfs maar om vragen - misschien op dezelfde dag dat die producten worden gemaakt. Naarmate bedrijven AI in steeds meer verschillende domeinen gebruiken, voorspelt het artikel, zullen hun AI-mogelijkheden snel toenemen en zullen ze ontdekken dat de toekomst die ze zich voorstelden eigenlijk dichterbij is dan het ooit leek.
Zelfs vandaag, laat staan in zo'n toekomst, kan technologie de privacy volledig uitroeien. Het bedenken van wetten en beleid om dit te stoppen is een essentiële taak voor regeringen. Terwijl de Biden-regering en het congres federale privacywetgeving overwegen, mogen ze niet bezwijken voor een veelvoorkomende misvatting. Wetten die de privacy van de gegevens van mensen bewaken, gaan niet alleen over het beschermen van individuen. Ze gaan ook over het beschermen van onze rechten als leden van groepen - als onderdeel van de samenleving als geheel.
De schade voor een individu in een groep die het gevolg is van een schending van privacyrechten kan relatief klein of moeilijk vast te stellen zijn, maar de schade voor de groep als geheel kan groot zijn. Stel dat Amazon zijn gegevens over consumentengedrag gebruikt om erachter te komen welke producten het waard zijn om te kopiëren en vervolgens de fabrikanten van producten die het verkoopt ondermijnt, zoals schoenen of cameratassen . Hoewel de schoenmaker of de maker van cameratassen de onmiddellijke schade berokkent, is de schade op de langere termijn – en uiteindelijk ook blijvend – voor de consumenten, die op de lange termijn worden beroofd van de keuzes die voortvloeien uit transacties in een werkelijk open en rechtvaardige marktplaats. En terwijl de schoenmaker of fabrikant van cameratassen kan proberen juridische stappen te ondernemen, is het voor consumenten veel moeilijker om aan te tonen hoe de praktijken van Amazon hen schaden.
Dit kan een lastig concept zijn om te begrijpen. Class action-rechtszaken, waarbij veel individuen samenkomen, ook al hebben ze misschien maar een klein beetje schade opgelopen, zijn een goede conceptuele analogie. Grote technologiebedrijven begrijpen de commerciële voordelen die ze kunnen halen uit het analyseren van de gegevens van groepen, terwijl ze de gegevens van individuen oppervlakkig beschermen door middel van wiskundige technieken zoals differentiële privacy. Maar regelgevers blijven zich richten op het beschermen van individuen of, in het beste geval, beschermde klassen zoals mensen van bepaalde geslachten, leeftijden, etniciteiten of seksuele geaardheden.
Als een algoritme mensen discrimineert door ze te sorteren in groepen die niet in deze beschermde klassen vallen, zijn antidiscriminatiewetten niet van toepassing in de Verenigde Staten. (Profileringstechnieken zoals die Facebook gebruikt om machinale leermodellen te helpen bij het sorteren van gebruikers, zijn waarschijnlijk illegaal volgens de gegevensbeschermingswetten van de Europese Unie, maar dit is nog niet aangevochten.) Veel mensen zullen niet eens weten dat ze zijn geprofileerd of gediscrimineerd, wat het moeilijk om juridische stappen te ondernemen. Ze voelen de oneerlijkheid, het onrecht niet langer uit de eerste hand - en dat is historisch gezien een voorwaarde geweest om een claim in te dienen.
Verwant verhaal
Het is tijd voor een Bill of Data Rights Terwijl de Amerikaanse senaat debatteert over een nieuw wetsvoorstel, presenteert een expert op het gebied van gegevensbeheer een plan om vrijheid en vrijheid in het digitale tijdperk te beschermen.Individuen niet hoeven te vechten voor hun gegevensprivacyrechten en verantwoordelijk zijn voor elk gevolg van hun digitale acties. Kijk eens naar een analogie: mensen hebben recht op veilig drinkwater, maar worden niet aangespoord om dat recht uit te oefenen door de kwaliteit van het water met een pipet te controleren bij elk drankje aan de kraan. In plaats daarvan handelen regelgevende instanties namens iedereen om ervoor te zorgen dat al ons water veilig is. Hetzelfde moet worden gedaan voor digitale privacy: het is niet iets dat de gemiddelde gebruiker persoonlijk kan beschermen of zou moeten zijn om te beschermen.
Er zijn twee parallelle benaderingen die moeten worden gevolgd om het publiek te beschermen.
Een daarvan is beter gebruik te maken van klassen- of groepsacties, ook wel collectieve verhaalacties genoemd. Historisch gezien waren deze beperkt in Europa, maar in november 2020 heeft het Europees Parlement geslaagd voor een maatregel dat vereist dat alle 27 EU-lidstaten maatregelen implementeren die collectieve verhaalacties in de hele regio mogelijk maken. Vergeleken met de VS heeft de EU strengere wetten ter bescherming van consumentengegevens en bevordering van concurrentie, dus rechtszaken voor groeps- of groepsacties in Europa kunnen een krachtig instrument zijn voor advocaten en activisten om grote technologiebedrijven te dwingen hun gedrag te veranderen, zelfs in gevallen waarin de per- persoonlijke schade zeer laag zou zijn.
Class action-rechtszaken zijn in de VS het vaakst gebruikt om financiële schadevergoeding te eisen, maar ze kunnen ook worden gebruikt om veranderingen in beleid en praktijk af te dwingen. Ze kunnen hand in hand werken met campagnes om de publieke opinie te veranderen, vooral in consumentenzaken (bijvoorbeeld door Big Tobacco te dwingen het verband tussen roken en kanker toe te geven, of door de weg vrij te maken voor autogordels). Het zijn krachtige hulpmiddelen wanneer er duizenden, zo niet miljoenen, vergelijkbare individuele schade zijn, die optellen om het oorzakelijk verband te helpen bewijzen. Een deel van het probleem is om in de eerste plaats de juiste informatie te krijgen om een rechtszaak aan te spannen. Overheidsinspanningen, zoals een rechtszaak die in december tegen Facebook werd aangespannen door de Federal Trade Commission (FTC) en een groep van 46 staten , zijn cruciaal. Zoals de techjournalist Gilad Edelman het stelt: Volgens de rechtszaken is de erosie van de privacy van gebruikers in de loop van de tijd een vorm van schade voor de consument - een sociaal netwerk dat gebruikersgegevens minder beschermt, is een inferieur product - dat Facebook van een monopolie naar een illegale. In de VS, zoals de New York Times onlangs gemeld , leunen particuliere rechtszaken, waaronder groepsvorderingen, vaak op bewijsmateriaal dat is opgegraven door overheidsonderzoeken. In de EU is het echter andersom: particuliere rechtszaken kunnen de mogelijkheid van regelgevende actie openen, die wordt beperkt door de kloof tussen EU-brede wetten en nationale regelgevers.
Dat brengt ons bij de tweede benadering: een weinig bekende Franse wet uit 2016 genaamd de Digital Republic Bill. De Digitale Republiek Bill is een van de weinige moderne wetten gericht op geautomatiseerde besluitvorming. De wet is momenteel alleen van toepassing op administratieve beslissingen die worden genomen door algoritmische systemen van de publieke sector. Maar het geeft wel een schets van hoe toekomstige wetten eruit zouden kunnen zien. Er staat dat de broncode achter dergelijke systemen openbaar moet worden gemaakt. Iedereen kan die code opvragen.
Belangrijk is dat de wet belangenorganisaties in staat stelt om informatie op te vragen over het functioneren van een algoritme en de broncode erachter, zelfs als ze niet een specifieke persoon of eiser vertegenwoordigen die zogenaamd benadeeld is. De noodzaak om een perfecte eiser te vinden die schade kan bewijzen om een rechtszaak aan te spannen, maakt het erg moeilijk om de systemische problemen aan te pakken die collectieve gegevensschade veroorzaken. Laure Lucchesi, de directeur van Etalab, een Frans overheidsbureau dat verantwoordelijk is voor het toezicht op het wetsvoorstel, zegt dat de focus van de wet op algoritmische verantwoording zijn tijd ver vooruit was. Andere wetten, zoals de Europese Algemene Verordening Gegevensbescherming (AVG), focussen te veel op individuele toestemming en privacy. Maar zowel de data als de algoritmen moeten worden gereguleerd.
De noodzaak om een perfecte eiser te vinden die schade kan bewijzen om een rechtszaak aan te spannen, maakt het erg moeilijk om de systemische problemen aan te pakken die collectieve gegevensschade veroorzaken.
appel belooft in één advertentie: Op dit moment staat er meer privé-informatie op je telefoon dan in je huis. Je locaties, je berichten, je hartslag na een run. Dit zijn privé dingen. En ze moeten van jou zijn. Apple versterkt de misvatting van deze individualist: door niet te vermelden dat uw telefoon meer dan alleen uw persoonlijke gegevens opslaat, verdoezelt het bedrijf het feit dat de echt waardevolle gegevens afkomstig zijn van uw interacties met uw serviceproviders en anderen. Het idee dat uw telefoon het digitale equivalent van uw archiefkast is, is een gemakkelijke illusie. Bedrijven geven eigenlijk weinig om uw persoonlijke gegevens; daarom kunnen ze doen alsof ze het in een doos opsluiten. De waarde ligt in de conclusies die worden getrokken uit uw interacties, die ook op uw telefoon worden opgeslagen, maar die gegevens zijn niet van u.
Google's overname van Fitbit is een ander voorbeeld. Google belooft Fitbit-gegevens niet te gebruiken voor advertenties, maar de lucratieve voorspellingen die Google nodig heeft, zijn niet afhankelijk van individuele gegevens. Zoals een groep Europese economen betoogt: d in een recent artikel van het Centre for Economic Policy Research, een denktank in Londen, volstaat het voor Google om geaggregeerde gezondheidsresultaten te correleren met niet-gezondheidsresultaten voor zelfs een subset van Fitbit-gebruikers die zich niet hebben afgemeld voor sommige gebruik van het gebruik van hun gegevens, om vervolgens gezondheidsresultaten (en dus advertentietargetingmogelijkheden) te voorspellen voor alle niet-Fitbit-gebruikers (miljarden van hen). De Google-Fitbit-deal is in wezen een deal voor groepsgegevens. Het positioneert Google in een belangrijke markt voor gezondheidsgegevens en stelt het in staat om verschillende datasets te trianguleren en geld te verdienen met de gevolgtrekkingen die worden gebruikt door de gezondheids- en verzekeringsmarkten.
Wat beleidsmakers moeten doen?
Ontwerpwetten hebben getracht deze leemte in de Verenigde Staten op te vullen. In 2019 introduceerden de senatoren Cory Booker en Ron Wyden een Algoritmische verantwoordingswet , die vervolgens vastliep in het Congres. De wet zou bedrijven hebben verplicht om in bepaalde situaties algoritmische effectbeoordelingen uit te voeren om te controleren op vooringenomenheid of discriminatie. Maar in de VS zal deze cruciale kwestie eerder worden opgenomen in wetten die van toepassing zijn op specifieke sectoren zoals de gezondheidszorg, waar het gevaar van algoritmische vooringenomenheid is vergroot door de uiteenlopende effecten van de pandemie op Amerikaanse bevolkingsgroepen.
Eind januari zijn de Privacywet voor noodsituaties op het gebied van volksgezondheid werd opnieuw geïntroduceerd in de Senaat en het Huis van Afgevaardigden door senatoren Mark Warner en Richard Blumenthal. Deze wet zou ervoor zorgen dat gegevens die zijn verzameld voor volksgezondheidsdoeleinden niet voor andere doeleinden worden gebruikt. Het zou het gebruik van gezondheidsgegevens voor discriminerende, niet-gerelateerde of opdringerige doeleinden verbieden, waaronder commerciële reclame, e-commerce of pogingen om de toegang tot werk, financiën, verzekeringen, huisvesting of onderwijs te controleren. Dit zou een mooi begin zijn. Een wet die van toepassing is op alle algoritmische besluitvorming, moet, geïnspireerd door het Franse voorbeeld, zich richten op harde verantwoording, sterk regelgevend toezicht op gegevensgestuurde besluitvorming en de mogelijkheid om algoritmische beslissingen en hun impact op de samenleving te auditen en inspecteren.
Er zijn drie elementen nodig om harde verantwoording te waarborgen: (1) duidelijke transparantie over waar en wanneer geautomatiseerde beslissingen plaatsvinden en hoe deze mensen en groepen beïnvloeden, (2) het recht van het publiek om zinvolle input te leveren en een beroep te doen op gezagsdragers om hun beslissingen te rechtvaardigen en (3) het vermogen om sancties op te leggen. Van cruciaal belang is dat beleidsmakers moeten beslissen, zoals onlangs in de EU is gesuggereerd, wat een algoritme met een hoog risico is dat aan een hogere toetsingsnorm moet voldoen.
Duidelijke transparantie
De nadruk moet liggen op publieke controle op geautomatiseerde besluitvorming en de vormen van transparantie die tot verantwoording leiden. Dit omvat het onthullen van het bestaan van algoritmen, hun doel en de trainingsgegevens erachter, evenals hun impact - of ze hebben geleid tot ongelijksoortige resultaten, en op welke groepen, zo ja.
Publieke deelnaming
Het publiek heeft een fundamenteel recht om de machthebbers op te roepen hun beslissingen te rechtvaardigen. Dit recht om antwoorden te eisen mag niet beperkt blijven tot consultatieve participatie, waarbij mensen om hun inbreng worden gevraagd en ambtenaren verder gaan. Het moet empowerment omvatten, waarbij publieke inbreng verplicht is voorafgaand aan de uitrol van risicovolle algoritmen in zowel de publieke als de private sector.
sancties
Ten slotte is de bevoegdheid om sancties op te leggen essentieel om deze hervormingen te laten slagen en om verantwoording af te leggen. Het zou verplicht moeten zijn om auditvereisten vast te stellen voor datatargeting, -verificatie en -beheer, om auditors uit te rusten met deze basiskennis, en om toezichthoudende instanties in staat te stellen sancties op te leggen, niet alleen om schade achteraf te herstellen, maar ook om deze te voorkomen.
De kwestie van collectieve datagedreven schade raakt iedereen. Een Public Health Emergency Privacy Act is een eerste stap. Het congres zou dan de lessen uit de uitvoering van die wet moeten gebruiken om wetten te ontwikkelen die specifiek gericht zijn op collectieve gegevensrechten. Alleen door dergelijke maatregelen kunnen de VS situaties vermijden waarin gevolgtrekkingen uit de gegevens die bedrijven verzamelen, mensen jarenlang achtervolgen om toegang te krijgen tot huisvesting, banen, krediet en andere kansen.