211service.com
Kollektiva datarättigheter kan stoppa big tech från att utplåna integriteten
Franziska Barczyk
Varje person som är engagerad i den nätverksanslutna världen skapar ständigt floder av data. Vi gör detta på sätt vi är medvetna om och på sätt som vi inte är. Företag är ivriga att dra fördel.
Ta till exempel NumberEight, en startup, som enligt Trådbunden , hjälper appar att härleda användaraktivitet baserat på data från en smartphones sensorer: oavsett om de springer eller sitter, nära en park eller ett museum, kör eller åker tåg. Nya tjänster baserade på sådan teknik kommer att kombinera vad de vet om en användares aktivitet på sina egna appar med information om vad de gör fysiskt just då. Med den här informationen, istället för att bygga en profil för att rikta in sig på t.ex. kvinnor över 35, kan en tjänst rikta annonser till 'tidiga uppstigna'.
Sådana ambitioner är utbredda. Som den här senaste artikeln i Harvard Business Review De flesta VD:ar inser att artificiell intelligens har potential att helt förändra hur organisationer fungerar. De kan föreställa sig en framtid där till exempel återförsäljare levererar individualiserade produkter innan kunder ens efterfrågar dem – kanske samma dag som dessa produkter tillverkas. När företag använder AI i fler och mer distinkta domäner, förutsäger artikeln att deras AI-kapacitet snabbt kommer att öka, och de kommer att upptäcka att framtiden de föreställt sig faktiskt är närmare än den en gång såg ut.
Även idag, än mindre i en sådan framtid, kan tekniken helt utplåna integriteten. Att komma med lagar och policyer för att stoppa det från att göra det är en viktig uppgift för regeringar. Eftersom Biden-administrationen och kongressen överväger federal integritetslagstiftning får de inte ge efter för ett vanligt misstag. Lagar som skyddar integriteten för människors data handlar inte bara om att skydda individer. De handlar också om att skydda våra rättigheter som medlemmar av grupper – som en del av samhället som helhet.
Skadan för en individ i en grupp som beror på en kränkning av integritetsrätten kan vara relativt liten eller svår att fastställa, men skadan för gruppen som helhet kan vara djupgående. Säg att Amazon använder sin data om konsumentbeteende för att ta reda på vilka produkter som är värda att kopiera och sedan underskrider tillverkarna av produkter de säljer, som skor eller kameraväskor . Även om den omedelbara skadan är skomakaren eller kameraväsktillverkaren, är den långsiktiga – och i slutändan mer bestående – skadan för konsumenterna, som i det långa loppet berövas de val som kommer från att handla på ett verkligt öppet och rättvist sätt. marknad. Och medan skomakaren eller tillverkaren av kameraväskor kan försöka vidta rättsliga åtgärder, är det mycket svårare för konsumenter att visa hur Amazons metoder skadar dem.
Detta kan vara ett knepigt koncept att förstå. Grupptalan, där många individer går samman även om var och en bara kan ha lidit en liten skada, är en bra begreppsmässig analogi. Stora teknikföretag förstår de kommersiella fördelarna de kan få av att analysera gruppers data samtidigt som de ytligt skyddar individers data genom matematiska tekniker som differentiell integritet. Men tillsynsmyndigheter fortsätter att fokusera på att skydda individer eller i bästa fall skyddade klasser som människor av särskilda kön, åldrar, etnicitet eller sexuell läggning.
Om en algoritm diskriminerar människor genom att sortera dem i grupper som inte tillhör dessa skyddade klasser, gäller inte antidiskrimineringslagar i USA. (Profileringstekniker som de som Facebook använder för att hjälpa maskininlärningsmodeller att sortera användare är förmodligen olagliga enligt EU:s dataskyddslagar, men detta har ännu inte blivit föremål för rättstvist.) Många människor kommer inte ens att veta att de profilerades eller diskriminerades, vilket gör det är svårt att väcka rättsliga åtgärder. De känner inte längre orättvisan, orättvisan på egen hand – och det har historiskt sett varit en förutsättning för att kunna väcka ett anspråk.
Relaterad berättelse
Det är dags för en Bill of Data Rights När den amerikanska senaten debatterar ett nytt lagförslag presenterar en expert på dataförvaltning en plan för att skydda frihet och frihet i den digitala tidsåldern.Individer ska inte behöva kämpa för sina rättigheter för datasekretess och ansvara för varje konsekvens av sina digitala handlingar. Tänk på en analogi: människor har rätt till säkert dricksvatten, men de uppmanas inte att utöva den rätten genom att kontrollera vattnets kvalitet med en pipett varje gång de tar en drink i kranen. Istället agerar tillsynsmyndigheter på allas vägnar för att säkerställa att allt vårt vatten är säkert. Detsamma måste göras för digital integritet: det är inte något som den genomsnittliga användaren är, eller bör förväntas vara, personligen kompetent att skydda.
Det finns två parallella tillvägagångssätt som bör eftersträvas för att skydda allmänheten.
En är bättre användning av grupptalan eller grupptalan, även känd som kollektiva prövningsåtgärder. Historiskt sett har dessa varit begränsade i Europa, men i november 2020 EU-parlamentet gått igenom en åtgärd som kräver att alla 27 EU-medlemsstater genomför åtgärder som möjliggör kollektiva prövningsåtgärder i hela regionen. Jämfört med USA har EU starkare lagar som skyddar konsumentdata och främjar konkurrens, så grupp- eller grupptalan i Europa kan vara ett kraftfullt verktyg för advokater och aktivister för att tvinga stora teknikföretag att ändra sitt beteende även i fall där de per- personskadeståndet skulle vara mycket lågt.
Grupptalan har oftast använts i USA för att söka ekonomiskt skadestånd, men de kan också användas för att tvinga fram förändringar i policy och praxis. De kan arbeta hand i hand med kampanjer för att förändra opinionen, särskilt i konsumentfall (till exempel genom att tvinga Big Tobacco att erkänna sambandet mellan rökning och cancer, eller genom att bana väg för lagar om bilbälte). De är kraftfulla verktyg när det finns tusentals, om inte miljoner, liknande individuella skador, som sammanlagt hjälper till att bevisa orsakssamband. En del av problemet är att få rätt information för att stämma i första hand. Regeringens ansträngningar, som en stämningsansökan mot Facebook i december av Federal Trade Commission (FTC) och en grupp på 46 stater , är avgörande. Som teknikjournalisten Gilad Edelman uttrycker det, enligt stämningarna är urholkningen av användarnas integritet över tid en form av konsumentskada – ett socialt nätverk som skyddar användardata mindre är en sämre produkt – som tipsar Facebook från ett rent monopol till ett olaglig. I USA, som New York Times nyligen rapporterat , privata stämningar, inklusive grupptalan, bygger ofta på bevis som grävts fram av statliga utredningar. I EU är det dock tvärtom: privata stämningar kan öppna upp möjligheten till reglerande åtgärder, som begränsas av klyftan mellan EU-omfattande lagar och nationella tillsynsmyndigheter.
Vilket för oss till det andra tillvägagångssättet: en föga känd fransk lag från 2016 kallad Digital Republic Bill. De Digital Republic Bill är en av få moderna lagar som fokuserar på automatiserat beslutsfattande. Lagen gäller för närvarande endast administrativa beslut som fattas av offentliga algoritmsystem. Men det ger en skiss för hur framtida lagar kan se ut. Den säger att källkoden bakom sådana system måste göras tillgänglig för allmänheten. Vem som helst kan begära den koden.
Viktigt är att lagen tillåter opinionsbildningsorganisationer att begära information om hur en algoritm fungerar och källkoden bakom den även om de inte representerar en specifik individ eller kärande som påstås ha skadats. Behovet av att hitta en perfekt målsägande som kan bevisa skada för att kunna väcka talan gör det mycket svårt att ta itu med de systemiska problem som orsakar kollektiva dataskador. Laure Lucchesi, chef för Etalab, ett franskt regeringskontor med ansvar för att övervaka lagförslaget, säger att lagens fokus på algoritmisk ansvarighet var före sin tid. Andra lagar, som den europeiska allmänna dataskyddsförordningen (GDPR), fokuserar för mycket på individuellt samtycke och integritet. Men både data och algoritmer behöver regleras.
Behovet av att hitta en perfekt målsägande som kan bevisa skada för att kunna väcka talan gör det mycket svårt att ta itu med de systemiska problem som orsakar kollektiva dataskador.
Äpple lovar i en annons: Just nu finns det mer privat information på din telefon än i ditt hem. Dina platser, dina meddelanden, din puls efter en löprunda. Det här är privata saker. Och de borde tillhöra dig. Apple förstärker denna individualists villfarelse: genom att inte nämna att din telefon lagrar mer än bara dina personliga data, fördunklar företaget det faktum att den verkligt värdefulla informationen kommer från din interaktion med dina tjänsteleverantörer och andra. Uppfattningen att din telefon är den digitala motsvarigheten till ditt arkivskåp är en bekväm illusion. Företag bryr sig faktiskt lite om dina personuppgifter; det är därför de kan låtsas låsa in den i en låda. Värdet ligger i de slutsatser som dras från dina interaktioner, som också lagras på din telefon – men att data inte tillhör dig.
Googles förvärv av Fitbit är ett annat exempel. Google lovar att inte använda Fitbit-data för reklam, men de lukrativa förutsägelser Google behöver är inte beroende av individuella data. Som en grupp europeiska ekonomer hävdar d i en nyligen publicerad artikel från Centre for Economic Policy Research, en tankesmedja i London, räcker det för Google att korrelera aggregerade hälsoresultat med icke-hälsoresultat för till och med en undergrupp av Fitbit-användare som inte valde bort vissa användning av att använda deras data, för att sedan förutsäga hälsoresultat (och därmed annonsinriktningsmöjligheter) för alla icke-Fitbit-användare (miljarder av dem). Google-Fitbit-affären är i huvudsak en gruppdataaffär. Det positionerar Google på en nyckelmarknad för hälsodata samtidigt som det gör det möjligt att triangulera olika datamängder och tjäna pengar på de slutsatser som används av hälso- och försäkringsmarknaderna.
Vad politikerna måste göra
Utkast till lagförslag har försökt fylla denna lucka i USA. 2019 introducerade senatorerna Cory Booker och Ron Wyden en Algorithmic Accountability Act , som därefter avstannade i kongressen. Lagen skulle ha krävt företag att genomföra algoritmiska konsekvensbedömningar i vissa situationer för att kontrollera för partiskhet eller diskriminering. Men i USA är det mer sannolikt att denna avgörande fråga tas upp först i lagar som gäller specifika sektorer som hälso- och sjukvård, där risken för algoritmisk fördom har förstorats av pandemins olika inverkan på amerikanska befolkningsgrupper.
I slutet av januari Public Health Emergency Privacy Act återinfördes till senaten och representanthuset av senatorerna Mark Warner och Richard Blumenthal. Denna lag skulle säkerställa att uppgifter som samlas in för folkhälsoändamål inte används för något annat ändamål. Det skulle förbjuda användningen av hälsodata för diskriminerande, orelaterade eller påträngande syften, inklusive kommersiell reklam, e-handel eller försök att kontrollera tillgången till anställning, finans, försäkring, bostad eller utbildning. Detta skulle vara en bra början. Om man går längre bör en lag som gäller för allt algoritmiskt beslutsfattande, inspirerat av det franska exemplet, fokusera på hårt ansvar, stark regulatorisk tillsyn av datadrivet beslutsfattande och förmågan att granska och inspektera algoritmiska beslut och deras inverkan på samhället.
Tre element behövs för att säkerställa hård ansvarsskyldighet: (1) tydlig transparens om var och när automatiserade beslut äger rum och hur de påverkar människor och grupper, (2) allmänhetens rätt att ge meningsfull input och uppmana de som har myndighet att motivera sina beslut , och (3) förmågan att verkställa sanktioner. Av avgörande betydelse kommer beslutsfattare att behöva besluta, som nyligen har föreslagits i EU, vad som utgör en högriskalgoritm som bör uppfylla en högre granskningsstandard.
Tydlig transparens
Fokus bör ligga på offentlig granskning av automatiserat beslutsfattande och de typer av insyn som leder till ansvarsskyldighet. Detta inkluderar att avslöja förekomsten av algoritmer, deras syfte och träningsdata bakom dem, såväl som deras inverkan – om de har lett till olika resultat och på vilka grupper i så fall.
Allmänhetens deltagande
Allmänheten har en grundläggande rätt att uppmana makthavarna att motivera sina beslut. Denna rätt att kräva svar bör inte begränsas till konsultativt deltagande, där folk tillfrågas om sina synpunkter och tjänstemän går vidare. Det bör inkludera bemyndigat deltagande, där offentliga insatser krävs före lanseringen av högriskalgoritmer i både den offentliga och privata sektorn.
Sanktioner
Slutligen är sanktionsmakten nyckeln för att dessa reformer ska lyckas och för att ansvarsskyldighet ska uppnås. Det bör vara obligatoriskt att fastställa revisionskrav för datainriktning, verifiering och kurering, för att utrusta revisorer med denna grundläggande kunskap och att ge tillsynsorgan befogenhet att verkställa sanktioner, inte bara för att avhjälpa skada i efterhand utan för att förhindra den.
Frågan om kollektiva datadrivna skador påverkar alla. En lag om integritetsskydd i nödsituationer för folkhälsan är ett första steg. Kongressen bör sedan använda lärdomarna från genomförandet av den lagen för att utveckla lagar som fokuserar specifikt på kollektiva datarättigheter. Endast genom sådana åtgärder kan USA undvika situationer där slutsatser dragna från de data som företag samlar in förföljer människors förmåga att få tillgång till bostäder, jobb, krediter och andra möjligheter i många år framöver.