Οι γίγαντες των μέσων κοινωνικής δικτύωσης παροτρύνθηκαν να αντιμετωπίσουν τους κινδύνους προστασίας της ιδιωτικής ζωής από την απόρριψη δεδομένων
ΕΝΑ
κοινή δήλωση
που έχει υπογραφεί από ρυθμιστικές αρχές σε δώδεκα διεθνείς φύλακες απορρήτου, συμπεριλαμβανομένου του ICO του Ηνωμένου Βασιλείου, του OPC του Καναδά και του OPCPD του Χονγκ Κονγκ, προέτρεψε τις κύριες πλατφόρμες μέσων κοινωνικής δικτύωσης να προστατεύσουν τις δημόσιες αναρτήσεις των χρηστών από το scraping — προειδοποιώντας ότι αντιμετωπίζουν νομική ευθύνη να το κάνουν στις περισσότερες αγορές.
«Στις περισσότερες δικαιοδοσίες, προσωπικές πληροφορίες που είναι «δημόσιες διαθέσιμες», «δημόσιες προσβάσιμες» ή «δημόσιας φύσης» στο διαδίκτυο, υπόκεινται σε νόμους περί προστασίας δεδομένων και απορρήτου», γράφουν. «Τα άτομα και οι εταιρείες που διαγράφουν τέτοιες προσωπικές πληροφορίες είναι επομένως υπεύθυνα για τη διασφάλιση της συμμόρφωσης με αυτούς και άλλους ισχύοντες νόμους. Ωστόσο, οι εταιρείες μέσων κοινωνικής δικτύωσης και οι χειριστές άλλων ιστότοπων που φιλοξενούν προσωπικές πληροφορίες προσβάσιμες στο κοινό (SMC και άλλοι ιστότοποι) έχουν επίσης υποχρεώσεις προστασίας δεδομένων σε σχέση με την απόσυρση τρίτων από τους ιστότοπούς τους. Αυτές οι υποχρεώσεις θα ισχύουν γενικά για τις προσωπικές πληροφορίες είτε αυτές οι πληροφορίες είναι προσβάσιμες στο κοινό είτε όχι. Η μαζική απόσυρση δεδομένων προσωπικών πληροφοριών μπορεί να συνιστά παραβίαση δεδομένων που μπορεί να αναφερθεί σε πολλές δικαιοδοσίες.”
Η χρονική στιγμή της δήλωσης, η οποία υπογράφηκε επίσης από ρυθμιστικές αρχές απορρήτου στην Αυστραλία, την Ελβετία, τη Νορβηγία, τη Νέα Ζηλανδία, την Κολομβία, το Τζέρσεϊ, το Μαρόκο, την Αργεντινή και το Μεξικό — που είναι όλοι μέλη της ομάδας εργασίας διεθνούς συνεργασίας για την επιβολή της νομοθεσίας της Global Privacy Assembly — συμπίπτει με η συνεχιζόμενη διαφημιστική εκστρατεία γύρω από τα παραγωγικά μοντέλα τεχνητής νοημοσύνης που συνήθως απαιτούν μεγάλες ποσότητες δεδομένων για εκπαίδευση και θα μπορούσε να ενθαρρύνει περισσότερες οντότητες να «ξεσκάσουν» το
Διαδίκτυο
σε μια προσπάθεια να αποκτήσουν σύνολα δεδομένων, πηδούν στο εύρος της παραγωγικής τεχνητής νοημοσύνης.
Παραδείγματα υψηλού προφίλ τέτοιων συστημάτων, όπως το μεγάλο γλωσσικό μοντέλο ChatGPT του OpenAI, βασίστηκαν (τουλάχιστον εν μέρει) σε δεδομένα που δημοσιεύτηκαν στο διαδίκτυο για την εκπαίδευση των συστημάτων τους — και σε μια ομαδική
αγωγή
κατά της αμερικανικής εταιρείας τον Ιούνιο, η οποία
Το CNN Business ανέφερε
ισχυρίζεται ότι ξέσπασε κρυφά «τεράστιες ποσότητες προσωπικών δεδομένων από το Διαδίκτυο».
Μεταξύ των κινδύνων προστασίας της ιδιωτικής ζωής που επισημαίνουν οι ρυθμιστικές αρχές είναι η χρήση της απόξεσης δεδομένων για στοχευμένες επιθέσεις στον κυβερνοχώρο, όπως η κοινωνική μηχανική και το phishing. απάτη ταυτότητας? και για την παρακολούθηση, τη δημιουργία προφίλ και την επιτήρηση ατόμων, όπως η χρήση δεδομένων για τη συμπλήρωση βάσεων δεδομένων αναγνώρισης προσώπου και την παροχή μη εξουσιοδοτημένης πρόσβασης στις αρχές — μια σαφής ολίσθηση στο Clearview AI, το οποίο έχει αντιμετωπίσει μια σειρά επιβολής μέτρων από διεθνείς ρυθμιστικές αρχές (συμπεριλαμβανομένων αρκετών σε ολόκληρη την ΕΕ ) σχετικά με τη χρήση αποκομμένων δεδομένων για την τροφοδοσία ενός εργαλείου αναγνώρισης προσώπου το οποίο πούλησε στις αρχές επιβολής του νόμου και σε άλλους χρήστες.
Προειδοποιούν επίσης ότι τα αποκομμένα δεδομένα μπορούν να χρησιμοποιηθούν για μη εξουσιοδοτημένους πολιτικούς ή σκοπούς συλλογής πληροφοριών — συμπεριλαμβανομένων των ξένων κυβερνήσεων ή υπηρεσιών πληροφοριών. Και να χρησιμοποιηθεί για την άντληση ανεπιθύμητου άμεσου μάρκετινγκ ή ανεπιθύμητης αλληλογραφίας.
Δεν αναφέρουν άμεσα την εκπαίδευση μοντέλων τεχνητής νοημοσύνης ως έναν από αυτούς τους «βασικούς» κινδύνους απορρήτου, αλλά τα εργαλεία δημιουργίας τεχνητής νοημοσύνης που έχουν εκπαιδευτεί σε δεδομένα ανθρώπων χωρίς τη γνώση ή τη συγκατάθεσή τους θα μπορούσαν να επαναχρησιμοποιηθούν για ορισμένες περιπτώσεις κακόβουλης χρήσης που αναφέρουν. συμπεριλαμβανομένης της πλαστοπροσωπίας ατόμων για στοχευμένες επιθέσεις στον κυβερνοχώρο, απάτη ταυτότητας ή για παρακολούθηση/παρακολούθηση ατόμων.
Εκτός από τη δημοσιοποίηση της δήλωσης, οι ρυθμιστικές αρχές σημειώνουν ότι ένα αντίγραφο έχει σταλεί απευθείας στη μητρική εταιρεία του YouTube, την Alphabet. Ο μητρικός ByteDance του TikTok. Meta (ιδιοκτήτης Instagram, Facebook και Threads). Microsoft (LinkedIn); Sina Corp (Weibo); και X (γνωστός και ως η
πλατφόρμα
που προηγουμένως ήταν γνωστή ως Twitter) — έτσι οι κύριες παγκόσμιες πλατφόρμες μέσων κοινωνικής δικτύωσης είναι ξεκάθαρα στο επίκεντρο, καθώς οι διεθνείς φύλακες εξετάζουν τους κινδύνους απορρήτου που ενέχει η απόσυρση δεδομένων.
Ορισμένες πλατφόρμες είχαν φυσικά ήδη μεγάλα σκάνδαλα δεδομένων που συνδέονται με την απόσυρση δεδομένων – όπως το σκάνδαλο κατάχρησης δεδομένων της Cambridge Analytica το 2018 που έπληξε το Facebook αφού ένας προγραμματιστής στην πλατφόρμα του μπόρεσε να εξαγάγει δεδομένα για εκατομμύρια χρήστες χωρίς τη γνώση ή τη συγκατάθεσή τους ως αποτέλεσμα των χαλαρών αδειών που εφάρμοσε η εταιρεία· ή η ποινή των 275 εκατομμυρίων δολαρίων για τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) που επιβλήθηκε πέρυσι στο Facebook σε σχέση με ένα περιστατικό απόσυρσης δεδομένων που επηρέασε 530 εκατομμύρια χρήστες ως αποτέλεσμα του ανασφαλούς σχεδιασμού του προϊόντος. (Το τελευταίο περιστατικό υπόκειται επίσης σε μήνυση από μια ιρλανδική ομάδα ψηφιακών δικαιωμάτων που αμφισβητεί τη διαπίστωση επιβολής του DPA ότι δεν υπήρξε παραβίαση της ασφάλειας.)
Ενώ η κοινή δήλωση των ρυθμιστικών αρχών περιέχει μια ξεκάθαρη εικόνα σε όλες τις κύριες ιστοσελίδες κοινωνικής δικτύωσης σχετικά με την ανάγκη να είναι προορατική για την προστασία των πληροφοριών των χρηστών από την απόξεση, δεν υπάρχει αναλογικά σαφής προειδοποίηση που να συνοδεύει το
μήνυμα
ότι η αποτυχία δράσης και προστασίας των δεδομένων των ανθρώπων θα έχει ως αποτέλεσμα τη λήψη μέτρων επιβολής — η οποία κινδυνεύει να μειώσει κάπως τον αντίκτυπο της δήλωσης.
Αντίθετα, οι φύλακες παροτρύνουν τις πλατφόρμες να «εξετάσουν προσεκτικά τη νομιμότητα διαφορετικών τύπων διαγραφής δεδομένων στις δικαιοδοσίες που ισχύουν για αυτές και να εφαρμόσουν μέτρα για την προστασία από την παράνομη απόσυρση δεδομένων».
«Οι τεχνικές απόξεσης και εξαγωγής αξίας από δημόσια προσβάσιμα δεδομένα αναδύονται και εξελίσσονται συνεχώς. Η ασφάλεια των δεδομένων είναι μια δυναμική ευθύνη και η επαγρύπνηση είναι πρωταρχικής σημασίας», γράφουν επίσης. «Καθώς κανένας μηχανισμός προστασίας δεν θα προστατεύσει επαρκώς έναντι όλων των πιθανών βλαβών στο απόρρητο που σχετίζονται με την απόσυρση δεδομένων, οι SMC και άλλοι ιστότοποι θα πρέπει να εφαρμόζουν πολυεπίπεδους τεχνικούς και διαδικαστικούς ελέγχους για τον μετριασμό των κινδύνων».
Τα συνιστώμενα μέτρα για τον περιορισμό των κινδύνων απόξεσης δεδομένων χρήστη που αναφέρονται στην επιστολή περιλαμβάνουν τον καθορισμό εσωτερικής ομάδας/ρόλων που επικεντρώνονται στους κινδύνους απόξεσης δεδομένων. «περιορισμός ποσοστού» του αριθμού των επισκέψεων ανά ώρα ή ημέρα από έναν λογαριασμό σε άλλα προφίλ λογαριασμού και περιορισμός της πρόσβασης σε περίπτωση που εντοπιστεί ασυνήθιστη δραστηριότητα. και παρακολουθώντας πόσο γρήγορα και επιθετικά ένας νέος λογαριασμός αρχίζει να αναζητά άλλους χρήστες και να λαμβάνει μέτρα για να ανταποκριθεί σε μη φυσιολογική δραστηριότητα.
Προτείνουν επίσης τις πλατφόρμες να λάβουν μέτρα για τον εντοπισμό των scrapers εντοπίζοντας μοτίβα στη δραστηριότητα του bot — όπως η ύπαρξη συστημάτων για τον εντοπισμό ύποπτης δραστηριότητας διεύθυνσης IP.
Η λήψη μέτρων για τον εντοπισμό ρομπότ, όπως η ανάπτυξη CAPTCHA και ο αποκλεισμός της διεύθυνσης IP όπου εντοπίζεται δραστηριότητα απόσυρσης δεδομένων είναι μια άλλη σύσταση (αν και
τα bots μπορούν να λύσουν CAPTCHA
έτσι αυτή η συμβουλή φαίνεται ήδη ξεπερασμένη).
Άλλα συνιστώμενα μέτρα είναι οι πλατφόρμες να λαμβάνουν τα κατάλληλα νομικά μέτρα κατά των ξύστρων, όπως η αποστολή επιστολών «παύσης και διακοπής». Απαιτείται η διαγραφή των αποξεσμένων πληροφοριών· λήψη επιβεβαίωσης της διαγραφής· και ανάληψη άλλων νομικών μέτρων για την επιβολή όρων και προϋποθέσεων που απαγορεύουν τη διαγραφή δεδομένων.
Οι πλατφόρμες ενδέχεται επίσης να έχουν την απαίτηση να ειδοποιούν τα επηρεαζόμενα άτομα και τις ρυθμιστικές αρχές απορρήτου σύμφωνα με τους υπάρχοντες νόμους περί παραβίασης δεδομένων, προειδοποιούν οι επιτηρητές.
Οι γίγαντες των μέσων κοινωνικής δικτύωσης στους οποίους εστάλη ένα αντίγραφο της επιστολής ενθαρρύνονται να απαντήσουν με σχόλια εντός ενός μηνός που θα δείχνουν πώς θα ανταποκριθούν στις προσδοκίες των ρυθμιστικών αρχών.
Τα άτομα είπαν «σκέψου μακροπρόθεσμα»
Η επιστολή περιλαμβάνει επίσης ορισμένες συμβουλές για τα άτομα να λάβουν μέτρα για να προστατευθούν από τους κινδύνους απόξεσης — συμπεριλαμβανομένης της πρότασης στους χρήστες του Ιστού να δώσουν προσοχή στις πολιτικές απορρήτου των πλατφορμών. σκεφτείτε προσεκτικά τι επιλέγουν να μοιραστούν στο διαδίκτυο. και να κάνουν χρήση οποιωνδήποτε ρυθμίσεων που τους επιτρέπουν να ελέγχουν την ορατότητα των αναρτήσεών τους.
«Τελικά, ενθαρρύνουμε τα άτομα να σκέφτονται μακροπρόθεσμα», προσθέτουν. «Πώς θα ένιωθε ένας άνθρωπος χρόνια αργότερα, για τις πληροφορίες που μοιράζεται σήμερα; Ενώ οι SMC και άλλοι ιστότοποι μπορεί να προσφέρουν εργαλεία για τη διαγραφή ή την απόκρυψη πληροφοριών, αυτές οι ίδιες πληροφορίες μπορούν να διαρκέσουν για πάντα στον ιστό, εάν έχουν ευρετηριαστεί ή αποκοπεί και στη συνέχεια κοινοποιούνται.”
Η επιστολή παροτρύνει επίσης τα άτομα που ανησυχούν ότι τα δεδομένα τους μπορεί να έχουν αποσυντεθεί “παράνομα ή ακατάλληλα” να επικοινωνήσουν με την εν λόγω πλατφόρμα ή ιστότοπο και εάν δεν λάβουν ικανοποιητική απάντηση, προτείνει να υποβάλουν καταγγελία στην αρμόδια αρχή προστασίας δεδομένων τους. Έτσι, οι ρυθμιστικές αρχές ενθαρρύνουν τους χρήστες να είναι πιο προσεκτικοί σχετικά με την απόξεση, κάτι που θα μπορούσε, τελικά, να οδηγήσει σε αύξηση των ερευνών και των επιβολής του νόμου σε αυτόν τον τομέα.
Οι δεκάδες διεθνείς ρυθμιστικές αρχές που υπογράφουν την κοινή δήλωση προέρχονται όλοι από αγορές εκτός της Ευρωπαϊκής Ένωσης. Ωστόσο, όπως σημειώθηκε παραπάνω, οι ρυθμιστικές αρχές της ΕΕ για την προστασία δεδομένων είναι ήδη ενεργές για τους κινδύνους απόσυρσης δεδομένων μέσω επιβολής που λαμβάνονται βάσει του GDPR του μπλοκ.
Παρακολουθούν επίσης στενά τις εξελίξεις στις υπηρεσίες τεχνητής νοημοσύνης που δημιουργούνται – έτσι οι ανησυχίες που διατυπώνονται στην επιστολή φαίνονται σε γενικές γραμμές ευθυγραμμισμένες με ζητήματα που βρίσκονται ήδη στο ραντάρ των αρχών προστασίας δεδομένων του μπλοκ.
Συγκεκριμένα, η υπηρεσία εποπτείας απορρήτου της Ιταλίας χαστούκισε το ChatGPT με μια τοπική εντολή διακοπής επεξεργασίας νωρίτερα αυτό το έτος – κάτι που οδήγησε σε μια σύντομη διακοπή της υπηρεσίας, ενώ το OpenAI έσπευσε με αποκαλύψεις και ελέγχους. Το chatbot Bard AI της Google χρειάστηκε περισσότερο χρόνο για να κυκλοφορήσει στην ΕΕ από ό,τι σε ορισμένες άλλες περιοχές, αφού ο κορυφαίος ρυθμιστής απορρήτου στην ΕΕ στην Ιρλανδία εξέφρασε παρόμοιες ανησυχίες. Ωστόσο, οι ΑΠΔ της ΕΕ συντονίζουν ταυτόχρονα τον καλύτερο τρόπο εφαρμογής των τοπικών κανόνων προστασίας δεδομένων σε αυτά τα νέα chatbot AI, συμπεριλαμβανομένου του κρίσιμου ζητήματος της νομιμότητας της επεξεργασίας δεδομένων που χρησιμοποιείται για την εκπαίδευση των μοντέλων υπό το φως του πλαισίου του GDPR. Επομένως, οι αποφάσεις σχετικά με τη βασική νομιμότητα εργαλείων όπως το ChatGPT παραμένουν σε εκκρεμότητα στην ΕΕ.
Νωρίτερα φέτος, η γαλλική DPA, η CNIL, προειδοποίησε επίσης ότι η προστασία από την απόσυρση δεδομένων θα είναι βασικό στοιχείο ενός σχεδίου δράσης για την
τεχνητή νοημοσύνη
που ανακοίνωσε τον Μάιο.
