Report z bruselské konference CPDP 2019

Computers, Privacy, Data Protection and Democracy

Podvanácté zorganizoval tým pod vedením Paula de Herta, profesora tilburgské univerzity, konferenci k ochraně soukromí a osobních údajů. Letos navíc s přesahem do prosazování demokracie ve společnosti v kontextu všudypřítomného monitoringu uživatelů na internetu, které obzvlášť rezonuje v návaznosti na nadcházející volby do Evropského parlamentu. Když se na podzim začala mezi potvrzenými speakery postupně objevovat jména Giovanni Buttarelli, Helen Dixon, Maximilian Schrems, Roger Dingledine, Věra Jourová nebo Julia Reda, vlastně jsme já a kolega Tomáš Potoczný nemohli jinak, než se registrovat.

Konference probíhala tři dny v pěti paralelních sekcích. Individuální příspěvky nahradila panelová diskuze. Přidanou hodnotou bylo, že se téměř v každém panelu sešel zástupce businessu, neziskové organizace, orgánu EU a akademické sféry. Komerční společnosti (nejspíš přirozeně) byly omezeny na sponzory konference.

V pátek nám dorazil e-mail, že konference se zúčastnilo skoro 1 300 návštěvníků z více jak 60 zemí. Vzhledem k nadupanému programu odhadujeme, že jsme zvládli maximálně pětinu obsahu. Celý program můžete najít tady. Videa z některých sekcí najdete nesestříhané i na YouTube. V reportu tak přinášíme jenom témata, která jsme měli možnost slyšet osobně a přišly nám dostatečně zajímavé na to je sdílet.

▪️ Data Protection

V diskuzích se především sdílely zkušenosti s GDPR po necelém roku účinnosti.

Podle irské komisařky stoupl počet stížností od subjektů údajů, ale neděje se, co všichni očekávali. Nepadají vysoké pokuty. Její úřad si naopak dává na čas, věnuje se vyšetřování a k rozhodování přistupuje zdrženlivě. V mezičase se totiž může mnoho věcí vyjasnit, aktuálně třeba předběžná otázka u SDEU ohledně souhlasu s ukládáním cookies v případu Planet49.

Věra Jourová potvrdila přístup evropských legislativců, který se snaží vrátit kontrolu nad osobními údaji do rukou subjektů údajů. Připomněla nedávné rozhodnutí o Japonsku jako státu s odpovídající úrovní ochrany, což znamená, že bez dalšího může docházet k předávání údajů mezi EU a Japonskem a zmínila, že evropské nařízení je vzorem i pro zákonodárce ve Spojených státech. I Mark Zuckerberg vloni prohlásil, že se zasadí o to, aby se GDPR stalo světovým standardem.

Věra Jourová, evropská komisařka: Češi na ochranu soukromí svým způsobem rezignovali (5:43)

Nicméně zazněla i kritika. Konkrétně, že se zájem nesoustřeďuje na děti (Gloria González Fuster), přestože je nařízení připravováno i pro následující generace nebo že v některých členských státech dochází k jeho zneužití. Jako příklad uvedla Anna Fielder Rumunsko, kdy úřad nařízení zneužil, aby zjistil informace o novinářském zdroji.

Smaller individuals do not have smaller rights. They do not have equal rights. They have greater rights under GDPR, this is the policy gap.

— Gloria González Fuster

Z mimoevropských států zaznívaly pozitivní ohlasy z řad businessu, protože soulad s nařízením otevírá společnostem nový trh. (Amba Kak, Mozilla, Indie)

Samostatná sekce se věnovala právu na přístup k osobním údajům a hromadným stížnostem subjektů údajů mířených proti platformám mj. v kontextu nedávné pokuty pro Google od francouzské CNIL. Katarzyna, spoluzakladatelka polského zástupce subjektů údajů Panoptykon Foundation, přiznala, že jim není jasné, jestli se právo na přístup týká i dat, které si správce vygeneruje, ačkoliv se jedná o osobní údaje. Max Schrems z noybu, rakouského zástupce subjektů údajů, se spokojil se stanoviskem správců, že taková data se generují za letu a neukládají se. Diskuze se posunula do roviny, kdy správci odmítají vydat osobní údaje s odkazem na ochranu duševního vlastnictví nebo naopak žalují jiné společnosti za vytěžování veřejně dostupných údajů ze sociálních sítí (aktuálně ruský případ Vkontakte v. Double Data nebo kalifornský hiQ v. LinkedIn). Schrems dále prozradil, že při žádosti o přístup vždy požaduje po správcích poskytnutí všech údajů, aby mohl subjekt údajů odhalit šedé zóny zpracování.

The platforms play important role in both — protecting but also harming data privacy.

— Joris Van Hoboken

Aurelie následně otevřela diskuzi o vlastnictví osobních údajů a souvisejících důsledcích s tím, že data se v současné době již běžně za aktivum považují. Juan Antonio však poukázal na to, že ochrana majetku a ochrana soukromí mají rozdílné cíle, přičemž současná ochrana osobních údajů zahrnuje i ekonomická práva subjektu údajů, jen je považuje za doplňková. Laura se zaměřila na problémy s určením vlastníka osobních údajů zejména ve vztahu k odvozeným údajům. Yann pak upozornil na to, že vlastnictví umožňuje vyloučit zásah třetích osob do předmětu vlastnictví. Nicméně nedává moc smysl na jedné straně podporovat vlastnictví a na druhé povinné sdílení dat, přičemž zpracování zvláštních kategorií osobních údajů by se z otázky ochrany soukromí transformovalo na pouhou otázku ceny. Aspekty vlastnictví dat pak byly předmětem různorodých diskuzí i v ostatních panelech.

Ruslan Nulluaev (Higher School of Economics, RU), Katarzyna Szymielewicz (Panoptykon, PL), Yung Shin Van Der Sype (timelex, BE), Irina Shurmina (BCLP, RU), Maximilian Schrems (noyb, AT), Snezana Srdic (EDPS, EU)

V diskuzi věnované automatizovanému rozhodování Winfried vyjasnil, že profilování není novinkou a popsal, že typicky v první fázi profilování dochází ke klasickému zpracování osobních údajů, následně k vyhodnocení a až ve třetí fázi, kdy dojde k automatizovanému rozhodování na základě profilování, se můžeme bavit o aplikaci čl. 22 GDPR. Naopak snahou marketingu je podle Sachiko z Acxiomu (US) poznat svoji cílovou skupinu co nejlépe, aby mohl naplnit svůj účel, což je prodej produktu. Podle Sachiko nemusí nutně k profilování docházet, pokud si vystačí s jednoduchými proměnnými. Panelisté se shodli, že cílení nemusí nutně znamenat diskriminaci. Otázka možné diskriminace způsobená mylným předpokladem algoritmu o konkrétní charakteristice uživatele bohužel zůstala v tomto panelu nedotčena.

Pozornosti se jí však dostalo v panelu věnovanému prevenci kriminality za pomoci nástrojů umožňujících profilování a automatizované rozhodování. Rosamunde upozornila na to, že se mnohdy nedaří vytvořit algoritmus bez toho, aniž by do něj lidé nepřenesli vlastní předpojatost, což je problematické zejména při definici rizikových faktorů potenciálních pachatelů. Lucia poté poukázala na nebezpečí v tom, že lidé, a policisté nevyjímaje, jsou obecně náchylnější věřit nějaké premise v případě, že je prezentována chytrým algoritmem. Zároveň upozornila, že na to jdeme mnohdy z nesprávného konce, a měli bychom se namísto identifikace pachatelů či invazivní kontroly potenciálních pachatelů těmito nástroji spíše soustředit na pomoc těm, kteří spadají do rizikových skupin. Panel se však v zásadě sjednotil v názoru, že existuje-li nějaká technologie, bude využívána, a to i orgány veřejné moci, přičemž akademici a odborníci z různých sektorů by se měli stavět proaktivně k diskusi o možných etických problémech. Ta je totiž nezbytným předpokladem k užívání takových nástrojů v souladu s demokratickými principy. A v mnoha zemích stále chybí, přestože některé z těchto nástrojů jsou minimálně v pilotních projektech již využívány. Zajímavým byl i postřeh z publika, který se soustředil na riziko reverzního inženýrství zmíněných algoritmů a jeho využití organizovaným zločinem.

Once ethical value becomes regulated by law, it is not ethical rule anymore. It becomes very concrete legally binding regulation that may be enforced.

— Alessandro Mantelero

Etika byla klíčová také při diskuzi o aplikaci privacy by design do praxe. Zatímco Apple řeší, jak nasadit nová řešení do milionů zařízení, akademici volají po vyšší ochraně, než ukládá GDPR, právě v podobě přístupu privacy by ethics v návaznosti na čerstvě vydané pokyny Rady Evropy. Přičemž etiku je potřeba vnímat šiřeji než právo. Achim Klabunde uznal, že v marketingovém cílení už jsme dost daleko, ale pořád je dost času přistupovat k umělé inteligenci tak, aby naše neetické vzorce chování neopakovala.

Aggelos Kiayias, School of Informatics, The University of Edinburgh

Nařízením zavedené právo na přenositelnost osobních údajů vedla Microsoft k vytvoření open source platformy, která by měla umožnit sjednotit atributy přenášených datasetů a zvýšit interoperabilitu různých služeb, kterou na konferenci představil Babak Jahromi.

Velkým tématem bylo předávání elektronických důkazů mezi EU a USA ve světle vloni schváleného Cloud Actu a návrhu E-evidence nařízení, který dostal docela na frak. Etienne, zástupce francouzské CNIL, návrh tohoto nařízení kritizoval, protože nechrání evropské občany a není konzistentní s terminologií GDPR a návrhem ePrivacy nařízení. Výslovně také řekl, že návrh je v rozporu s čl. 48 GDPR. Laure zmiňovala, že požadavek proporcionality není dostatečný stejně jako není vhodné, že osoba, jíž se předávaná data týkají, nebude o přenosu vyrozuměna, což může vést ke zneužití. Kenneth, zástupce US ministerstva spravedlnosti, hájil americký přístup (včetně pozice USA v případu Microsoft v USA) s odkazem na čl. 18 Budapešťské úmluvy.

▪️ Computers

O zajímavou diskuzi se postaral Roger Dingledine, jeden ze zakladatelů webového prohlížeče Tor. Tor vzešel z výzkumného pracoviště založeného před 20 lety z iniciativy US vlády, které mělo zkoumat možnosti použití nástrojů na ochranu soukromí v online prostředí. Tor je stále finančně navázán na americkou vládu (vloni tvořily vládní příspěvky 51 % celkových příjmů), ale snahou je se vymanit úplně, protože, jak řekl Roger,

nobody knows what Trump does tomorrow.

Díky rostoucí komunitě, které se transparentnost, s jakou je architektura Toru prezentována, zamlouvá, se daří finanční zdroje diverzifikovat. Nadto, v USA regulace ochrany soukromí v online prostředí nedosahuje evropské úrovně a surveillance capitalism je tak větší téma než v EU.

Přečíst si o něm můžete v čerstvě vydané knize od Shoshany Zuboff, The Age of Surveillance Capitalism: The Fight for a Human Future, kterou v předvečer konference představila.

Harry z francouzské INRIE připomněl, že není snadné vyvíjet online nástroje na ochranu soukromí bez vládních prostředků nebo crowdfundingu. Moritz vyzdvihl důležitost výzkumných středisek, protože právě ty většinou stojí u zrodu úspěšných technologií. Takovým příkladem může být třeba protokol, na kterém v současnosti funguje WhatsApp nebo Messenger. Původně se jednalo o open source řešení pocházející z výzkumu oxfordské univerzity, o jehož škálovatelnost a globální využití se postarali až velcí hráči.

▪️ Democracy

Cambridge Analytica pomalu doznívala a pozornost se upínala k nadcházejícím evropským volbám a roli politického micro-targetingu, který, pokud se překlopí do politické manipulace, není akceptovatelný, protože se volič nerozhoduje svobodně (Bart). Zatímco manipulace sleduje konkrétní cíl, propaganda žádný konkrétní cíl nemá a snaží se lidi zmást. Fanny potvrdila, že propaganda je spolu s nedůslednou novinářskou prací důvodem pro šíření dezinformací (používání termínu fake news se snaží Evropská komise vymýtit).

Přetrvávajícím problémem je fakt, že veškerá výzkumná data mají k dispozici pouze provozovatelé sociálních sítí a vyhledávačů a vědci jsou na nich závislí, což možnosti výzkumů omezuje. Zástupci INRIA představili základní principy fungování lidského mozku a ukázali, jak snadné je u člověka dosáhnout skrze kognitivní zkreslení nelogického jednání. Za Evropskou komisi zaznělo, že velkou roli hrají v šíření dezinformací členské státy, kdy kupříkladu maďarská vláda vynaložila nemalé veřejné prostředky na kampaň mířenou proti uprchlíkům, která dezinformace ve velké míře obsahovala.

Claude Castelluccia (INRIA FR)

Poslední panel, kterého jsme se zúčastnili, byl pojmenován po již zesnulém Casparu Bowdenovi. Jeho ústředním motivem byl rozsáhlý proces komodifikace osobních údajů technologickými inovacemi coby příčina nové éry surveillence capitalism. Shoshana umně ilustrovala, jaké dopady tato skutečnost má na každého z nás, jak tento systém infiltroval, a ke své potřebě upravil, demokratické a legislativní procesy. Paul kladl obrovský důraz na to, jak velký rozdíl může učinit, pokud se společnost angažuje v demokratických procesech. GDPR považuje za výsledek této angažovanosti a za nástroj, na kterém Evropané mohou stavět. Obrovskou výzvou pro demokracii však stále zůstává „ozbrojit“ dozorové orgány, aby se mohly adekvátně postavit síle, kterou reprezentují velcí hráči, jimž surveillance capitalism vyhovuje. Gary, Global Director of Privacy v Apple, ze své pozice doplnil, že i některé z těchto společností vynakládají značné úsilí a prostředky na to, aby dbaly řádné ochrany soukromí jejich uživatelů, přičemž je na nich samotných, aby tento rozdíl poznali.

The Caspar Bowden panel: Surveillance capitalism and regulatory capture?

Závěrem

Kvalitou a spektrem panelistů byla konference vysoko. V Bruselu se v horizontu pár měsíců konají další dvě tematicky podobné konference a organizátorům se přesto podařilo dostat na jedno místo lidi z různých sfér, kteří se velkou měrou podílí, a minimálně v následujících letech budou podílet, na dalším směřování regulace ochrany osobních údajů, její interpretaci a aplikaci.

Témata se ani po třech dnech nevyčerpala a po skončení panelu se speakeři nebáli otevírat i méně příjemné oblasti jako roli vývojářů Toru při vyšetřování a stíhání zakladatele Silk Road 1.0 a 2.0.

Závěrem si dovolíme parafrázovat myšlenky Giovanni Butarelliho, který svým proslovem celou konferenci uzavíral, a jehož slova přesně vystihují stav, v němž se přístup společnosti k ochraně soukromí aktuálně nachází.

Neustálé vytěžování lidských myšlenek a vztahů za účelem formování chování lidí, jejich analýza a kombinování odvozených informací vede k vytváření poznání značných rozměrů. Toto poznání je však silou, která, koncentrovaná v rukou pár nejsilnějších hráčů, dokáže určit, co je „pravdivé“ a co ne. Důsledkem je, že nemáme chytrou umělou inteligenci, ale mnohem více lidí, od kterých se očekává, že budou myslet a chovat se jako stroje.

Nacházíme se ve fázi, kdy je nezbytné vymýtit vytěžování lidí pro jejich osobní údaje, ze kterých algoritmy vyberou informace, které naservírují uživatelům, aby je přiměli k jednání prospěšnému pro několik velkých hráčů. Taková budoucnost nebyla nevyhnutelná, a není nevyhnutelné na cestě k takové budoucnosti nadále setrvat. Lidé si začínají uvědomovat, jaká rizika nezodpovědné nakládání s osobními údaji představuje pro udržitelnost společnosti a základní hodnoty demokracie. Začínají si uvědomovat, že soukromí není důležité jen pro jednotlivce, ale pro dobro celé společnosti.

Teprve až lidé odhalí, co se skrývá v černých skříňkách algoritmů, které využívá umělá inteligence, chytré to a chytré ono, otevře se prostor pro diskuzi o tom, jak máme vytvářet a hlavně používat technologie tak, aby z nich mohla mít prospěch celá společnost.

Anna Drgová, Tomáš Potoczný

--

--

--

IP & IT lawyer | GeekLaw | SimpleLaw | SimpleTax

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Anna Drgová

Anna Drgová

IP & IT lawyer | GeekLaw | SimpleLaw | SimpleTax

More from Medium

P2P Lending Risk Analysis

Survival Game Whitepaper

WSO2 Identity Server Consent Post-Authentication Handler -Part 1

Published in Cryptodaily.co.uk