Wymaga Ustawodawstwo federalne obok prezydenta USA Joe Bidena Zarządzenie wykonawcze dotyczące sztucznej inteligencji (AI). a około 12 różnych systemów w samym kraju uwydatnia globalne otoczenie regulacyjne dotyczące prywatności danych, które pozostanie mieszaniną wielu kwestii.
W dalszym ciągu pojawiają się różne systemy zarówno w różnych krajach, jak i pomiędzy nimi, przy czym ogólnoświatowa racjonalizacja lub konsensus jest bardzo mało prawdopodobny, mówi Alex Hazell, szef brytyjskiego działu prywatności i prawa w dostawcy platformy marketingu w chmurze Acxiom, a organizacje muszą zwracać szczególną uwagę.
„Osiągnięcie pełnej zgodności jest niezwykle trudne i złożone” – mówi. „Wystarczy spojrzeć na Amazon Web Services” [AWS’s] komplet dokumentów dot Ogólne rozporządzenie o ochronie danych (RODO) przesyłanie i przetwarzanie – wiele dokumentów zawierających linki do innych dokumentów i tak dalej, i tak dalej.”
Według ONZ do 2021 r. przynajmniej 137 krajach obowiązywało ustawodawstwo.
Dopasowanie praktyki, polityki i konkretnych przepisów może oznaczać głębszą współpracę z prawnikami i specjalistami ds. zgodności, aby poznać szczegóły dotyczące dwóch głównych podejść – coś, co raczej nie będzie muzyką dla uszu firm.
„Możesz zastosować najwyższy standard prawny, trzymając się go jako wewnętrznego środka zgodności” – mówi Hazell. „Problem polega na tym, iż traci się przewagę konkurencyjną w krajach, w których stosuje się luźniejsze podejście. Możesz też przestrzegać standardów prawnych obowiązujących w każdym kraju.
To drugie podejście może być jedyną opcją, jeżeli i kiedy standardy prawne w jednej odpowiedniej jurysdykcji różnią się radykalnie od drugiej, zwłaszcza gdy różnice zależą od filozofii, polityki i „osądów wartościujących” poszczególnych krajów. Oczywiście może to również sprawić, iż zgodność z przepisami będzie nie tylko bardziej kosztowna i skomplikowana, ale choćby stanowić barierę dla mniejszych firm lub start-upów.
Podejściem opartym na ryzyku
Dodaje jednak, iż „praktyczna rzeczywistość” jest taka, iż organizacje czasami przyjmują podejście oparte na ryzyku nie tylko do sposobu prowadzenia działalności, ale także do aspektów związanych z przestrzeganiem przepisów, zwłaszcza gdy istnieją szare lub „niezdecydowane” obszary.
„Jeśli na przykład prawo jest rzadko egzekwowane i powszechnie ignorowane – jest to tak zwane „złe prawo” – niektórzy mogą w pewnym sensie podążać za tłumem, zakładając, iż bezpieczeństwo będzie liczebne” – mówi Hazell.
„Jedna firma może mieć taki pogląd, inna inny. Tak długo, jak będzie to uzasadnione i przy braku weryfikacji sądowej, organizacje będą przez cały czas działać w tej szarej strefie.
W Unii Europejskiej (UE) Ogólne rozporządzenie o ochronie danych (RODO), na przykład ustanawiany jest precedens sądowy, ale przez cały czas istnieją pewne obszary, w których praktyka może być niezdecydowana, choćby zanim zacznie się myśleć o nowym prawie UE, takim jak akt prawny o usługach cyfrowych, w przypadku którego nie zakończono jeszcze żadnych postępowań sądowych precedens.
Czy organizacje ryzykują „mega-dobrze”, jak w przypadku kary procentowej maksymalnego globalnego obrotu przewidzianej w RODO, czy po prostu nieformalny cios w rękę? Jakie jest prawdopodobieństwo wniesienia pozwu zbiorowego na przykład w związku z sankcjami regulacyjnymi?
Opracowując swój system zgodności, należy również zwrócić uwagę na możliwość powodowania problemów. „Umieść indywidualny front i centrum wszystkich rozważań związanych z polityką wewnętrzną” – mówi Hazell. „Czy istnieje rzeczywista szkoda, jaką może potencjalnie spowodować przetwarzanie, a jeżeli tak, jakie środki zaradcze należy zastosować?”
Jonathan Joseph, szef rozwiązań w firmie Ketch, zajmującej się oprogramowaniem do ochrony danych, zasadniczo się z tym zgadza, ale utrzymuje, iż prywatność danych powinna być w jakiś sposób formalnie uznana na całym świecie, choćby jeżeli będzie to jedynie określone w ustawie prawa człowieka-podejście typu, jako przeciwwaga dla samego tempa innowacji technologicznych.
Rozprzestrzenianie się sztucznej inteligencji i uczenia maszynowego podnosi stawkę
Chociaż sztuczna inteligencja ma ważne i przydatne cele, wykorzystanie tak dużej ilości danych może stanowić zagrożenie dla osób fizycznych, w tym dla ich prywatności. „Powinniśmy uznać, iż ludzie mają prawa do danych” – mówi Joseph.
Regulacje zwykle doganiają innowacje technologiczne. Zamiast hamować innowacje, jurysdykcje powinny działać szybciej, dając organizacjom i innym podmiotom realną szansę na planowanie i rozwiązywanie wszelkich problemów, mówi.
„Jeśli na całym świecie uznano prawo do prywatności danych, to po prostu pozwólmy krajom na to suwerenny podmioty same decydują o szczegółach swojej jurysdykcji” – mówi Joseph. „Czy w Europie przechowujecie na przykład dane obywateli europejskich w europejskich chmurach?”
Zauważa, iż RODO „otworzyło drzwi” do prywatności, ale „istnieją pęknięcia [opt-in consent] Model”. W jaki sposób wyrażenie zgody może mieć naprawdę znaczenie, biorąc pod uwagę wiele stron tekstu prawnego, które zwykle towarzyszą opcjom oraz warunkom nowego lub zaktualizowanego oprogramowania?
Jedna z analiz wykazała, iż samo przeczytanie regulaminu aplikacji na „przeciętnym telefonie” po wydrukowaniu może zająć 17 godzin, co podkreśla potrzebę ponownego przemyślenia „wszystkich tych zasad”.
„Zmęczenie użytkownika jest prawdziwe” – mówi Joseph. “Czy to świadoma zgoda? Musi istnieć realna możliwość powiedzenia „nie”.
Sophie Stalla-Bourdillon, starszy doradca ds. prywatności i inżynier prawny w globalnej firmie Immuta zajmującej się bezpieczeństwem danych, twierdzi, iż zasady przetwarzania i zarządzania danymi w celu ochrony prywatności przez cały czas muszą koncentrować się na kwestiach takich jak uszkodzenia spowodowane mutacjami danych, ograniczenia przechowywania, dokładność i jakość danych, dopasowane więcej ściśle z praktyką.
„Jeśli jesteś konstruktywny i masz otwarty umysł, powinieneś odkryć kontrolę nad tymi zasadami” – mówi. „Jeśli pracujesz z dość wyczerpującą listą zasad, taką jak RODO, powinieneś być w bardzo dobrym miejscu, aby zachować zgodność z więcej niż jednym prawem”.
Organy regulacyjne potrzebują zasobów, aby poświęcić więcej czasu w omawianie tych kwestii i opracować sposoby dostosowania podejścia opartego na ryzyku, które jest zgodne z aktualnymi zasadami praw człowieka, przy odchodzeniu od „tradycyjnych” poglądów na poziomie międzynarodowym wolny handelbrak ograniczeń, swobodny przepływ danych.
Wygląda to na „krok we adekwatnym kierunku”, ponieważ podjęta decyzja może mieć najważniejsze konsekwencje, twierdzi Stalla-Bourdillon, dlatego agencje federalne potrzebują odpowiedniego podejścia, choćby jeżeli nie ma takiego obowiązku ustawowego. RODO pozostaje „jednym ze sposobów” podejścia do prywatności i ochrony danych, przy czym prawa tożsamości i prawa własności intelektualnej mogą potencjalnie pojawić się w celu ograniczenia zagrożeń stwarzanych przez sztuczną inteligencję i duże modele językowe.
Zachowaj przejrzystość danych
Dodaje: „Ważne jest, aby teraz zespoły rzeczywiście ze sobą rozmawiały. Zachowanie przejrzystości w zakresie własnych praktyk, rozpoczęcie tworzenia wiernego obrazu działań zakupowych w organizacji, a następnie stosu technologicznego.
„W praktyce potrzebne są przepływy i scentralizowane dane, jeziora itp., ale potrzebne są rozwiązania zarówno pod względem zarządzania, jak i wymagań technicznych” – mówi Stalla-Bourdillon. „I adekwatnie często technologia nie pozwala na przejrzystość przepływów danych”.
Rick Goud, dyrektor ds. informacji Cheif i współzałożyciel poczty e-mail i transfer plików dostawca zabezpieczeń Zivver potwierdza, iż zgodność może spowodować „totalny bałagan”, szczególnie w przypadku organizacji pracujących według różnych wymagań. Kadry menedżerskie już borykają się z trudnościami, choćby mając możliwość oparcia się na rygorystycznym reżimie europejskim.
„Miejmy nadzieję na odmianę lub rozszerzenie tego, co mamy, zamiast na coś zupełnie nowego, ponieważ wtedy będzie to naprawdę wyzwanie” – mówi Goud. „Na szczęście, gdy prowadzi się rozmowę opartą na treści, widać wiele wspólnej płaszczyzny porozumienia i wzajemnego zrozumienia stanowisk”.
Utrzymuje, iż stworzenie wyjątkowo bezpiecznej technologii skupiającej się na prywatności nie jest samo w sobie problemem, a typowe konflikty, jeżeli w ogóle występują, dotyczą raczej równowagi między ochroną czyjejś prywatności a zarządzaniem prywatnością w praktyce. Zwraca uwagę, iż dostawcy mogą mieć tu konflikt interesów, a modele biznesowe „wielkiej technologii” często opierają się na dostępie do danych „na własną wolę”.
„Według mnie prawodawstwo powinno skupiać się na tym, co wolno przechowywać w imieniu użytkowników i w jaki sposób można z nich korzystać” – mówi Goud, dodając, iż główną przyczyną wycieków danych pozostaje e-mail źle kieruje. „Doniesienia medialne mówią o włamaniach, złośliwym oprogramowaniu lub oprogramowaniu ransomware, ponieważ to jest bardziej seksowne”.
