Anapus Atlanto: navigacija naujoje pasaulinių duomenų srautų ir DI eroje

Ar žinote, kur jūsų duomenys miega naktį?

Ar kada nors susimąstėte, kas nutinka jūsų asmeninei informacijai tą akimirką, kai ji kerta nematomas Atlanto sienas? Daugiau nei dešimtmetį teisinis tiltas tarp Jungtinių Valstijų ir Europos buvo itin netvirtas. Matėme, kaip du pagrindiniai susitarimai – „Saugusis uostas“ (Safe Harbor) ir „Privatumo skydas“ (Privacy Shield) – žlugo neatlaikę teisinių iššūkių, palikdami verslą reguliavimo neapibrėžtumo būsenoje. Šiandien stovime ant naujo tilto: ES ir JAV duomenų privatumo sistemos (DPF).

Kaip skaitmeninis detektyvas, aš dažnai leidžiu dienas tyrinėdamas privatumo politikos smulkųjį šriftą, ieškodamas ketinimų architektūros už teisinės terminijos. Tai, ką matau dabar, nėra tik vienas tiltas, o augantis pasaulinių kelių tinklas. Atsiradus Pasauliniam tarpvalstybinių privatumo taisyklių (CBPR) forumui ir augant nenumaldomam dirbtinio intelekto (DI) duomenų alkiui, statymai už skaitmenines teises dar niekada nebuvo tokie dideli. Šių sistemų supratimas nebėra tik teisinio skyriaus užduotis; tai esminė būtinybė kiekvienam, veikiančiam šiuolaikinėje skaitmeninėje ekonomikoje.

DPF: trapus tinkamumas

Pagal šią sistemą Europos Komisija priėmė vadinamąjį sprendimą dėl tinkamumo. Iš esmės tai yra aukšto lygio patvirtinimo antspaudas, nurodantis, kad JAV užtikrina asmens duomenų apsaugos lygį, palyginamą su Europos Sąjungos lygiu. Kitaip tariant, tai leidžia duomenims tekėti iš Paryžiaus į Pitsburgą be papildomų, dažnai varginančių teisinių apsaugos priemonių, tokių kaip standartinės sutarčių sąlygos.

Tačiau šis tiltas turi įtrūkimų. Nors DPF išlieka galioti, per pastaruosius metus jis jau susidūrė su pirmaisiais sisteminiais teisiniais iššūkiais. Kritikai teigia, kad JAV sekimo įstatymai išlieka per daug invaziniai, o Europos piliečių teisių gynimo mechanizmai nėra pakankamai tvirti. Savo praktikoje pastebėjau, kad pažangiausios įmonės ne tik pasitiki DPF; jos kuria privatumą tausojančius pagrindus, kurie gali atlaikyti bet kurio vieno susitarimo galimą panaikinimą. Jos vertina atitiktį kaip kompasą, o ne tik kaip tikslą.

Pasaulinis CBPR: horizonto plėtra

Kol DPF orientuojasi į transatlantinį koridorių, Pasaulinis tarpvalstybinių privatumo taisyklių (CBPR) forumas žvelgia į visą žemėlapį. Pasaulinis CBPR, kuriam iš dalies vadovauja tokios figūros kaip Billas Guidera iš JAV Tarptautinės prekybos administracijos (ITA), yra bandymas sukurti vieningą, sąveikią duomenų privatumo sistemą, apimančią žemynus.

Skirtingai nei BDAR, kuris yra vyriausybių įgyvendinamas įstatyminis reikalavimas, CBPR yra savanoriška, sertifikavimu pagrįsta sistema. Įsivaizduokite tai kaip aukščiausios kokybės saugos reitingą duomenų tvarkymui. Tai leidžia įmonėms įrodyti, kad jos laikosi griežtų taisyklių, todėl lengviau perkelti duomenis tarp dalyvaujančių ekonomikų, tokių kaip JAV, Japonija ir Singapūras. Atitikties požiūriu CBPR siūlo detalesnį požiūrį į duomenų apsaugą, sutelkiant dėmesį į duomenų valdytojo – asmens ar organizacijos, nusprendžiančios, kodėl ir kaip tvarkomi jūsų duomenys – atskaitomybę.

DI: didysis duomenų greitintuvas

Diskusijas apie duomenų srautus iš esmės pakeitė DI sprogimas. Dideliems kalbos modeliams (LLM) ir nuspėjamiesiems algoritmams reikalingas milžiniškas kiekis mokymo duomenų, kurių didžioji dalis yra asmeniniai arba pseudoniminiai (duomenys, pagal kuriuos negalima nustatyti jūsų tapatybės be papildomos informacijos). Jei duomenų srautai yra šiuolaikinės ekonomikos kraujas, tai DI yra didelės galios variklis, kuris jį vartoja.

Įdomu tai, kad DI ir tarptautinio duomenų perdavimo sankirta sukuria unikalių pažeidžiamumų. Kai duomenys įtraukiami į modelį, jie dažnai tampa neskaidrūs. Sunku pasinaudoti teise būti pamirštam – jūsų teise prašyti įmonės ištrinti jūsų duomenis – kai tie duomenys jau yra „įkepti“ į neuroninio tinklo svorius. Štai kodėl ITA ir Pasaulinio CBPR forumo darbas yra toks svarbus. Jie bando užtikrinti, kad DI inovacijos vyktų laikantis sistemos, gerbiančios pagrindines žmogaus teises.

Sistemų palyginimas

Siekdamas padėti orientuotis šiame reguliavimo margumyne, išskyriau pagrindinius skirtumus tarp dviejų pagrindinių sistemų, šiuo metu reglamentuojančių tarptautinį duomenų perdavimą.

Skaitmeninio detektyvo perspektyva

Kai tyriau neseniai įvykusį duomenų saugumo incidentą, susijusį su tarptautine logistikos įmone, problema buvo ne šifravimo trūkumas. Tai buvo duomenų kiekio mažinimo principo nesilaikymas. Jie rinko geografinės vietos duomenis iš vairuotojų asmeninių telefonų tiesiog todėl, kad galėjo, o ne todėl, kad tai buvo proporcinga užduočiai. Tai yra sisteminė rizika, su kuria susiduriame: renkame duomenis taip, tarsi jie būtų begalinis turtas, nors tikrovėje tai dažnai yra toksiškas turtas, sukeliantis didžiulę atsakomybę nutekėjimo atveju.

Savo redakciniame darbe pirmiausia ieškau paslėptų asmens duomenų. Straipsnių juodraščiuose esu matęs ekrano kopijų, kuriose netyčia paliktas vartotojo vidinis ID arba tikslios GPS koordinatės. Perrašau šias dalis, kad užtikrinčiau minties aiškumą, kol asmuo išlieka anonimiškas. Turime taikyti šį kruopštų, metodišką požiūrį kurdami savo skaitmeninius produktus. Privatumas pagal projektą (Privacy by design) nėra tik madingas žodis; tai namo pamatas. Jei pamatas silpnas, jokios teisinės popierizmo apimtys neišlaikys konstrukcijos per reguliavimo audrą.

Praktiniai patarimai ateičiai

Navigacijai dabartinėje aplinkoje reikia daugiau nei tik paviršutiniškų teisės žinių. Nesvarbu, ar esate verslo lyderis, ar susirūpinęs pilietis, štai veiksmai, kuriuos verta apsvarstyti:

• Audituokite savo duomenų žemėlapį: Ar tikrai žinote, kur saugomi jūsų duomenys? Nubraižykite savo duomenų srautus, kad nustatytumėte, ar pasikliaujate DPF, CBPR, ar senesniais mechanizmais.
• Patikrinkite tiekėjų atitiktį: Nepasitikėkite paslaugų teikėjo žodžiu. Per oficialius vyriausybinius katalogus patikrinkite, ar jie tikrai yra sertifikuoti pagal DPF arba CBPR.
• Įgyvendinkite duomenų kiekio mažinimą: Paklauskite savęs: „Ar mums tikrai reikia šios konkrečios informacijos šiai paslaugai teikti?“ Jei atsakymas neigiamas – nerenkite jos.
• Peržiūrėkite DI mokymo rinkinius: Jei naudojate DI, įsitikinkite, kad mokymui naudojami duomenys buvo surinkti gavus skaidrų, detalų sutikimą ir kad tai atitinka tarpvalstybinio perdavimo taisykles.
• Laikykitės skaitmeninės higienos: Jautriam bendravimui naudokite šifruotus kanalus ir mokykite savo komandą daryti tą patį. Patikimo partnerio reputacija kuriama per šiuos mažus, nuoseklius įpročius.

Galiausiai, šių sistemų tikslas yra sukurti pasaulį, kuriame inovacijos ir privatumas neprieštarautų vienas kitam. Vertindami duomenis su pagarba, kurios jie nusipelno – kaip žmogaus atspindį – galime užtikrintai klaidžioti šiame reguliavimo labirinte.

Šaltiniai:

• EU-U.S. Data Privacy Framework (Adequacy Decision, July 2023)
• Global Cross-Border Privacy Rules (CBPR) Forum Declaration
• GDPR Article 45 (Transfers on the basis of an adequacy decision)
• OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data
• Schrems II (Court of Justice of the European Union, Case C-311/18)

Atsakomybės apribojimas: Šis straipsnis pateikiamas tik informaciniais ir žurnalistiniais tikslais. Juo siekiama suprantamai paaiškinti sudėtingas teisines ir technines sąvokas, ir jis nėra oficiali teisinė konsultacija. Dėl konkrečių atitikties reikalavimų kreipkitės į kvalifikuotą teisės specialistą.