AI ACT: ΜΙΑ ΕΠΕΞΗΓΗΜΑΤΙΚΗ ΜΑΤΙΑ ΣΤΙΣ ΕΞΕΛΙΞΕΙΣ

Όσο η τεχνολογία εξελίσσεται και οι ανάγκες του σύγχρονου κόσμου αυξάνονται, οι εφαρμογές τεχνητής νοημοσύνης αξιοποιούνται όλο και περισσότερο για τη λήψη σημαντικών αποφάσεων σχετικά με τη ζωή των ανθρώπων, με ελάχιστη έως καθόλου ανθρώπινη επίβλεψη. Η «κακή» χρήση, ωστόσο, της τεχνητής νοημοσύνης μπορεί να έχει σημαντικές συνέπειες, όπως η λήψη δυσμενών αποφάσεων με μεροληπτικά κριτήρια με βάση το φύλο, την εθνικότητα ή την ηλικία, που μπορεί να αφορούν την πρόσληψη ή την απόλυση εργαζομένων, τη βαθμολόγηση μαθητών ή υποψηφίων σε εξετάσεις, τη χορήγηση δανείων, ακόμη και την άσκηση ποινικών διώξεων.

Τον Απρίλιο του 2021, η Ευρωπαϊκή Επιτροπή υπέβαλε την πρότασή της για ένα ενιαίο ευρωπαϊκό κανονιστικό πλαίσιο για την τεχνητή νοημοσύνη, το λεγόμενο Artificial Intelligence Act ή αλλιώς AI Act. Η πρόταση αυτή αποτελεί την πρώτη προσπάθεια για μία οριζόντια ρύθμιση της ταχέως αναπτυσσόμενης τεχνητής νοημοσύνης, μέσω μίας προσέγγισης που βασίζεται στον κίνδυνο (risk-based approach), με στόχο να τονώσει και να ενθαρρύνει την καινοτομία, να διασφαλίσει ταυτόχρονα την αξιόπιστη χρήση της τεχνητής νοημοσύνης, θέτοντας ως επίκεντρο την προστασία των θεμελιωδών δικαιωμάτων των ανθρώπων.

Η εξωεδαφική εφαρμογή του AI Act και η προφανής επιρροή που θα ασκήσει σε παγκόσμιο επίπεδο για τους φορείς χάραξης πολιτικής (προκαλώντας το λεγόμενο “Brussels Effect”) καθιστούν σαφές ότι το νέο αυτό πλαίσιο θα παίξει καθοριστικό ρόλο στην ανάπτυξη της νομοθεσίας για την τεχνητή νοημοσύνη, καθώς και στην οικουμενική προσπάθεια για την επίτευξη διεθνούς συνεργασίας για την τεχνητή νοημοσύνη.

H Τεχνητή Νοημοσύνη στο AI Act

Πριν από την εξέταση των κύριων σημείων του νέου αυτού πλαισίου, χρειάζεται να γίνει σαφές το πεδίο εφαρμογής του. Είναι γνωστό πως δεν υπάρχει ένας ευρέως αποδεκτός ορισμός για την τεχνητή νοημοσύνη. Έτσι, το AI Act περιλαμβάνει ένα Παράρτημα που ορίζει τις τεχνικές και τις προσεγγίσεις που εμπίπτουν στο πεδίο εφαρμογής του.

Η Ευρωπαϊκή Επιτροπή επέλεξε έναν ευρύ και ουδέτερο ορισμό για τα συστήματα τεχνητής νοημοσύνης (εφεξής ως «συστήματα ΤΝ»), χαρακτηρίζοντάς τα ως «λογισμικό που αναπτύσσεται με μία ή περισσότερες από τις τεχνικές και προσεγγίσεις που παρατίθενται στο παράρτημα I και μπορεί, για ένα δεδομένο σύνολο στόχων που έχουν καθοριστεί από τον άνθρωπο, να παράγει στοιχεία εξόδου όπως περιεχόμενο, προβλέψεις, συστάσεις ή αποφάσεις που επηρεάζουν τα περιβάλλοντα με τα οποία αλληλεπιδρά» [άρθρο 3 στ. (1) AI Act]. Οι τεχνικές που αναφέρονται στο Παράρτημα της πρότασης καλύπτουν ένα ευρύ φάσμα τεχνολογιών, οι οποίες περιλαμβάνουν τόσο προσεγγίσεις μηχανικής μάθησης όσο και προσεγγίσεις που βασίζονται στη λογική και τη γνώση (logic-and knowledge-based).

Ρύθμιση συστημάτων τεχνητής νοημοσύνης

Στο ΑΙ Act, τα συστήματα TN ταξινομούνται σε 4 κατηγορίες ανάλογα με τον αντιληπτό κίνδυνο που ενέχουν:

  • Συστήματα μη αποδεκτού κινδύνου, τα οποία απαγορεύονται πλήρως (αν και ισχύουν ορισμένες εξαιρέσεις)
  • Συστήματα υψηλού κινδύνου, τα οποία ενέχουν απαιτήσεις τεκμηρίωσης και ιχνηλασιμότητας, διαφάνειας, ανθρώπινης εποπτείας, ακρίβειας και στιβαρότητας, αρχών απολύτως αναγκαίων για τον μετριασμό των κινδύνων που ενέχει η τεχνητή νοημοσύνη
  • Συστήματα χαμηλού κινδύνου, τα οποία απαιτούν διαφάνεια από την πλευρά του προμηθευτή ΤΝ
  • Συστήματα ελάχιστου κινδύνου για τα οποία δεν τίθενται καν απαιτήσεις.

Όσον αφορά τα συστήματα ΤΝ υψηλού κινδύνου, στον ΑΙ Act προσδιορίζονται δύο κύριες κατηγορίες:

  • συστήματα ΤΝ που προορίζονται να χρησιμοποιηθούν ως κατασκευαστικά στοιχεία ασφάλειας προϊόντων τα οποία υπόκεινται σε εκ των προτέρων αξιολόγηση της συμμόρφωσης από τρίτα μέρη, όπως παιχνίδια ή ιατρικές συσκευές,
  • άλλα αυτόνομα συστήματα ΤΝ με επιπτώσεις κυρίως στα θεμελιώδη δικαιώματα, όπως συστήματα τεχνητής νοημοσύνης που αξιολογούν την πιστοληπτική ικανότητα ατόμων ή χρησιμοποιούνται στο πλαίσιο της πρόσληψης.

Επιπλέον, το AI Act εισάγει ένα σύστημα διαχείρισης κινδύνου, το οποίο συνίσταται σε μια συνεχή, επαναληπτική διαδικασία καθ’ όλη τη διάρκεια του κύκλου ζωής ενός συστήματος ΤΝ υψηλού κινδύνου, η οποία απαιτεί τακτική συστηματική επικαιροποίηση. Για την επίτευξη της παραπάνω διαδικασίας απαιτούνται συγκεκριμένες ενέργειες, όπως:

  • ο προσδιορισμός και η ανάλυση των γνωστών και προβλέψιμων κινδύνων που συνδέονται με κάθε σύστημα ΤΝ υψηλού κινδύνου
  • η εκτίμηση και η αξιολόγηση των κινδύνων που ενδέχεται να προκύψουν όταν το σύστημα ΤΝ υψηλού κινδύνου χρησιμοποιείται σύμφωνα με τον επιδιωκόμενο σκοπό του και υπό συνθήκες ευλόγως προβλέψιμης κακής χρήσης
  • η αξιολόγηση άλλων πιθανών κινδύνων με βάση την ανάλυση των δεδομένων που συλλέγονται από το σύστημα παρακολούθησης μετά τη διάθεση στην αγορά
  • η θέσπιση κατάλληλων μέτρων διαχείρισης κινδύνου.

Επιπρόσθετα, η Επιτροπή με την πρότασή της επιδιώκει την «απόλυτη» απαγόρευση των συστημάτων ΤΝ που χειραγωγούν άτομα μέσω υποσυνείδητων τεχνικών ή εκμεταλλεύονται τα τρωτά σημεία συγκεκριμένων ευάλωτων ομάδων, όπως τα παιδιά ή τα άτομα με αναπηρίες, προκειμένου να στρεβλώσουν ουσιωδώς τη συμπεριφορά τους κατά τρόπο που ενδέχεται να προκαλέσει στα άτομα αυτά ή σε άλλο πρόσωπο ψυχολογική ή σωματική βλάβη. Το AI Act απαγορεύει επίσης την κοινωνική βαθμολόγηση με βάση την ΤΝ για γενικούς σκοπούς από τις δημόσιες αρχές. Τέλος, απαγορεύεται η χρήση συστημάτων εξ αποστάσεως βιομετρικής ταυτοποίησης σε «πραγματικό χρόνο» σε δημόσια προσβάσιμους χώρους για σκοπούς επιβολής του νόμου, εκτός ορισμένων εξαιρέσεων.

Από το πεδίο εφαρμογής της πρότασης εξαιρούνται τα συστήματα ΤΝ που έχουν αναπτυχθεί ή χρησιμοποιούνται αποκλειστικά για στρατιωτικούς σκοπούς. Εξαιρούνται επίσης από το AI Act οι δημόσιες αρχές τρίτων χωρών και οι διεθνείς οργανισμοί που χρησιμοποιούν συστήματα τεχνητής νοημοσύνης στο πλαίσιο διεθνών συμφωνιών επιβολής του νόμου και δικαστικής συνεργασίας με την Ε.Ε. ή με ένα ή περισσότερα από τα μέλη της.

Γιατί είναι σημαντικό;

Μετά την προφανή επιτυχία του GDPR και του ισχυρού αντικτύπου που είχε στην Ευρώπη αλλά και παγκοσμίως αναφορικά με την προστασία των προσωπικών δεδομένων και τη συμμόρφωση των οργανισμών με τις απαιτήσεις του κανονιστικού πλαισίου, η Ε.Ε. επιδιώκει να αφήσει το στίγμα της και στον τομέα της τεχνητής νοημοσύνης ρυθμίζοντάς τη με το AI Act, πλαίσιο εξαιρετικά φιλόδοξο. Το AI Act θα απαιτεί από τους οργανισμούς να ελέγχουν με μεγαλύτερη επιμέλεια τα συστήματα ΤΝ που αξιοποιούν ή αναπτύσσουν, τα οποία μπορούν να χαρακτηριστούν «υψηλού κινδύνου» και είναι πιθανότερο να βλάψουν τους ανθρώπους. Εκεί θα μπορούσαν να υπάγονται -όπως αναφέρθηκε παραπάνω- συστήματα βαθμολόγησης εξετάσεων, αξιολόγησης επίδοσης εργαζομένων, καθώς και συστήματα που βοηθούν τους δικαστές να λάβουν αποφάσεις.

Αξίζει επίσης να επισημανθεί ότι το AI Act δεν θα ισχύει μόνο για οργανισμούς ή πολίτες που εδρεύουν στην Ε.Ε., αλλά η επιρροή του μπορεί να γίνει αισθητή σε όλο τον κόσμο με παρόμοιο τρόπο με αυτόν του GDPR. Το AI Act αφορά τους χρήστες και τους παρόχους συστημάτων ΤΝ (providers) που βρίσκονται εντός Ε.Ε., «εισαγωγείς» που διαθέτουν στην αγορά ή θέτουν σε λειτουργία σύστημα ΤΝ το οποίο φέρει την επωνυμία ή το εμπορικό σήμα φυσικού ή νομικού προσώπου εγκατεστημένου εκτός της Ένωσης, καθώς και σε παρόχους και χρήστες συστημάτων TN εγκατεστημένους εκτός ΕΕ, όταν τα αποτελέσματα που παράγονται από το σύστημα χρησιμοποιούνται στην Ε.Ε. Εδώ γίνεται φανερή η ομοιότητα με το ουσιαστικό πεδίο εφαρμογής του GDPR. Αυτό σημαίνει ότι οι οργανισμοί που αναπτύσσουν συστήματα ΤΝ θα πρέπει είτε να συμμορφωθούν με το AI Act ή να αποσύρουν πλήρως τα συστήματα και τις υπηρεσίες τους από την Ε.Ε.

Η προσέγγιση που έχει υιοθετήσει η Ε.Ε. με την πρότασή της για την τεχνητή νοημοσύνη, η οποία μάλιστα στοχεύει στη ρύθμιση ακόμη και των πιο επικίνδυνων μορφών ΤΝ, είναι αυτή στην οποία συμφωνούν οι περισσότερες ανεπτυγμένες χώρες. Εάν η Ευρωπαϊκή Επιτροπή καταφέρει να δημιουργήσει έναν συνεκτικό τρόπο ρύθμισης της ραγδαία εξελισσόμενης τεχνολογίας, αυτός θα μπορούσε να λειτουργήσει ως πρότυπο και για άλλες χώρες που ελπίζουν να προχωρήσουν σε ρύθμιση.

«Οι αμερικανικές εταιρείες, εάν συμμορφωθούν με τις απαιτήσεις του AI Act, θα καταλήξουν επίσης να αυξήσουν τα πρότυπά τους για τους Αμερικανούς καταναλωτές όσον αφορά τη διαφάνεια και τη λογοδοσία», λέει ο Marc Rotenberg, επικεφαλής του Centre for AI and Digital Policy, ενός μη κερδοσκοπικού οργανισμού που παρακολουθεί την εξέλιξη της πολιτικής που ακολουθείται σχετικά με την τεχνητή νοημοσύνη.

Οι προκλήσεις

Πέρα από τις καινοτόμες διατάξεις και την προσέγγιση που βασίζεται στον κίνδυνο, το AI Act παρουσιάζει ορισμένα σημεία που αμφισβητούνται έντονα. Πιο αναλυτικά, ορισμένες από τις απαιτήσεις της πρότασης είναι τεχνικά αδύνατο να συμμορφωθούν με την παρούσα κατάσταση. Κατ’ αρχάς, το πρώτο προσχέδιο του AI Act απαιτεί τα σύνολα δεδομένων να είναι απαλλαγμένα από σφάλματα -κάτι που είναι τεχνικά και στατιστικά αδύνατο-, καθώς και ότι οι άνθρωποι απαιτείται να μπορούν να «κατανοήσουν πλήρως» πώς λειτουργούν τα συστήματα τεχνητής νοημοσύνης. Ο τεχνολογικός αναλφαβητισμός που χαρακτηρίζει μεγάλο μέρος του πληθυσμού αποτελεί παράμετρο που χρειάζεται αναντίρρητα να ληφθεί υπόψιν στο τελικό κείμενο του Κανονισμού.

Φόβος και δισταγμός παρατηρείται, ωστόσο, στους κόλπους των εταιρειών πληροφορικής, καθώς φαίνεται να μην είναι έτοιμες, αλλά ούτε και να επιθυμούν να παρέχουν πρόσβαση σε ρυθμιστικές αρχές ή σε εξωτερικούς ελεγκτές στον πηγαίο τους κώδικα ή σε αλγορίθμους που έχουν αναπτύξει, προκειμένου να συμμορφωθούν με το νομικό πλαίσιο. Άλλωστε, το άρθρο 64 της πρότασης προβλέπει ότι οι αρχές εποπτείας της αγοράς μπορούν να αποκτήσουν «πλήρη πρόσβαση στα σύνολα δεδομένων εκπαίδευσης, επικύρωσης και δοκιμής που χρησιμοποιούνται από τον πάροχο, μεταξύ άλλων μέσω διεπαφών προγραμματισμού εφαρμογών (στο εξής: API) ή άλλων κατάλληλων τεχνικών μέσων και εργαλείων που επιτρέπουν την εξ αποστάσεως πρόσβαση». Και ειδικότερα, στην παράγραφο 2 του ίδιου άρθρου προβλέπεται ότι όταν χρειάζεται να πραγματοποιηθεί αξιολόγηση της συμμόρφωσης συστημάτων ΤΝ υψηλού κινδύνου, μετά από αιτιολογημένο αίτημά τους, στις αρχές εποπτείας της αγοράς «παρέχεται πρόσβαση στον πηγαίο κώδικα του συστήματος ΤΝ». Φυσικά, οι υποστηρικτές του ανοικτού λογισμικού έχουν διαφορετική άποψη, θεωρώντας ότι οποιοδήποτε λογισμικό θα πρέπει να είναι διαθέσιμο χωρίς κόστος κτήσης και χρήσης, με σκοπό την απρόσκοπτη εξέλιξη και βελτίωση των συστημάτων, πολύ περισσότερο όταν πρόκειται για συστήματα ΤΝ που μπορεί να λάβουν αποφάσεις για τη ζωή των ανθρώπων.

Μία άτυπη διαφωνία μεταξύ δύο αντικρουόμενων απόψεων έχει επίσης αναπτυχθεί τον τελευταίο καιρό αναφορικά με τα είδη συστημάτων ΤΝ που ταξινομούνται ως «υψηλού κινδύνου». Το ΑΙ Act παρέχει μια λίστα που κυμαίνεται από τεστ ανίχνευσης ψεύδους έως συστήματα που χρησιμοποιούνται για την κατανομή των επιδομάτων πρόνοιας. Έτσι, η μία πλευρά φοβάται ότι το ευρύτατο αυτό πεδίο εφαρμογής του AI Act θα επιβραδύνει την καινοτομία και την εξέλιξη της τεχνολογίας, ενώ το άλλο υποστηρίζει ότι η πρόταση στην παρούσα μορφή της δεν μπορεί να προστατεύσει αρκετά τους ανθρώπους από πιθανές, βλαπτικές συνέπειες.

Φυσικά, διαφαίνεται και το ζήτημα της λήψης αποφάσεων με βάση αποκλειστικά αυτοματοποιημένα μέσα, συμπεριλαμβανομένης της κατάρτισης προφίλ, όπως τα συστήματα ΤΝ, χωρίς να υπάρχει καμία ανθρώπινη παρέμβαση. Εδώ θα πρέπει σε κάθε περίπτωση το ΑΙ Act να συμπλεύσει προσεκτικά με τον GDPR, προκειμένου να διασφαλιστεί όσο το δυνατόν περισσότερο η προστασία των δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων, ώστε αυτά να έχουν πραγματικά ελεύθερα την επιλογή να μην υπόκεινται σε κατάρτιση προφίλ ή σε άλλες πρακτικές που ενδέχεται να επηρεάσουν τη συμπεριφορά τους. Οι αρχές της νομιμότητας της επεξεργασίας και της λογοδοσίας των οργανισμών θα πρέπει να αποτυπωθούν ρητά.

Σε κάθε περίπτωση, υπάρχει ανάγκη αποσαφήνισης και ευθυγράμμισης της ορολογίας του AI Act με τις νομικές κατηγορίες και έννοιες της υφιστάμενης νομοθεσίας της Ε.Ε. σχετικά με την τεχνητή νοημοσύνη.

Τα επόμενα βήματα

Τους τελευταίους μήνες το AI Act βρίσκεται ψηλά στην ατζέντα των ευρωπαϊκών οργάνων. Η Γαλλία, που ασκούσε την εκ περιτροπής Προεδρία του Συμβουλίου της Ε.Ε. το πρώτο εξάμηνο του 2022, παρά τις προσπάθειές της για έναν συμβιβασμό σε ένα τελικό κείμενο μέχρι το τέλος της θητείας της, δεν κατάφερε τελικά να καταλήξει σε μία κοινή προσέγγιση ή συμφωνία για το AI Act. Ωστόσο, οι Γάλλοι συνέταξαν έκθεση προόδου σχετικά με τις διαπραγματεύσεις, συνοψίζοντας τα κύρια σημεία διαμάχης μεταξύ των κρατών μελών, επικεντρωμένοι στους κανόνες τεχνητής νοημοσύνης για την επιβολή του νόμου και στην έκταση του ρυθμιστικού πλαισίου για συστήματα τεχνητής νοημοσύνης γενικού σκοπού.

Επί του παρόντος, η Τσέχικη Προεδρία του Συμβουλίου της Ε.Ε. ξεκίνησε δυναμικά τις διαπραγματεύσεις για το AI Act, προτείνοντας αλλαγές στην αρχική πρόταση (με ένα “Second Presidency compromise text”). Με το κείμενό της αυτό θέτει έναν στενότερο ορισμό για την τεχνητή νοημοσύνη, προτείνει μια αναθεωρημένη και πιο σύντομη λίστα συστημάτων ΤΝ υψηλού κινδύνου, παρέχει ισχυρότερο ρόλο στο Ευρωπαϊκό Συμβούλιο Τεχνητής Νοημοσύνης, ενώ αναδιατυπώνει τους κανόνες για τις εξαιρέσεις που αφορούν την εθνική ασφάλεια. Εν προκειμένω, τα κράτη μέλη μπορούν να προβούν σε παρατηρήσεις του κειμένου έως το τέλος του Σεπτεμβρίου.

Επομένως, δεν μπορεί να προβλεφθεί με σαφήνεια το πότε τα κράτη μέλη θα συμφωνήσουν σε ένα ενιαίο κείμενο Κανονισμού. Το σίγουρο, ωστόσο, είναι ότι όσο η τεχνολογία της τεχνητής νοημοσύνης εξελίσσεται, τόσο περισσότερο θα πρέπει η νομοθεσία να εκσυγχρονίζεται, να προσαρμόζεται και να αφουγκράζεται τις ανάγκες της εποχής, με σκοπό να επιτευχθεί η αποτελεσματική προστασία των προσώπων, με σεβασμό στα δικαιώματα και τις θεμελιώδεις ελευθερίες τους.

Eleni Kalpia
Lawyer, Data Privacy Specialist
on behalf of
Privacy Advocate

ΔΕΔΟΜΕΝΑ ΤΟΠΟΘΕΣΙΑΣ: ΜΙΑ ΠΛΟΥΤΟΠΑΡΑΓΩΓΙΚΗ ΠΗΓΗ ΠΟΥ ΧΡΕΙΑΖΕΤΑΙ ΠΕΡΙΟΡΙΣΜΟΥΣ

Καθημερινά αλληλεπιδρούμε με πλήθος ψηφιακών υπηρεσιών, όπως όταν χρησιμοποιούμε το τηλέφωνό μας, πληρώνουμε με την πιστωτική μας κάρτα ή αξιοποιούμε τις δημόσιες συγκοινωνίες με τη χρήση των έξυπνων εισιτηρίων. Σε όλες αυτές τις αλληλεπιδράσεις, η ευρεία συλλογή δεδομένων τοποθεσίας είναι δεδομένη και πραγματοποιείται σε μεγάλη κλίμακα, αποτελώντας επεξεργασία προσωπικών δεδομένων που γεννά σίγουρα ερωτήματα ιδιωτικότητας, ειδικά αν αναλογιστεί κανείς τη θεματική αύξηση της αξίας των δεδομένων που μαρτυρούν την ανθρώπινη κινητικότητα και διαθεσιμότητα ανά πάσα στιγμή.

Τα δεδομένα τοποθεσίας περιλαμβάνουν πληροφορίες σχετικά με τον τρόπο με τον οποίο οι συσκευές και οι χρήστες τους μετακινούνται και συμπεριφέρονται με την πάροδο του χρόνου σε διαφορετικές τοποθεσίες. Οι περισσότερες από αυτές τις πληροφορίες προέρχονται από τις συσκευές που έχουμε μαζί μας, με τα έξυπνα κινητά να αποτελούν την κύρια πηγή δεδομένων τοποθεσίας στη σύγχρονη εποχή, με σκοπό -κατ’ αρχάς- τη βελτίωση του πολεοδομικού σχεδιασμού και του δικτύου ή ακόμα και την παρακολούθηση και εξάπλωση των πανδημιών, όπως αυτή του κορωνοϊού. Για παράδειγμα, από μόνη της η εταιρεία τηλεπικοινωνιών Vodafone διατηρεί τις τροχιές τοποθεσίας σχετικά με το ένα τρίτο σχεδόν του πληθυσμού του Ηνωμένου Βασιλείου.

Και φυσικά, δεν υπάρχουν μόνο τα έξυπνα τηλέφωνα. Παρόμοιοι κίνδυνοι σχετίζονται και με άλλες συσκευές που αποστέλλουν και λαμβάνουν ασύρματα σήματα, συμπεριλαμβανομένων των φημισμένων πλέον συσκευών Internet of Things (IoT), όπως ανιχνευτές φυσικής κατάστασης, ιατρικός εξοπλισμός και έξυπνες οικιακές συσκευές. Γενικότερα, οποιοδήποτε αντικείμενο ή συσκευή μπορεί να συνδεθεί στο διαδίκτυο, εκτός των υπολογιστών και των κινητών τηλεφώνων, μπορεί να αποτελέσει συσκευή IoT.

Στην πλευρά αυτή της τεχνολογίας, ίσως μάλιστα εγείρονται κρισιμότερα ερωτήματα, αφού σε αντίθεση με τα έξυπνα κινητά, οι περισσότερες ΙοΤ συσκευές δεν παρέχουν στον χρήστη την επιλογή απενεργοποίησης των υπηρεσιών εντοπισμού και συλλογής της τοποθεσίας του, γεγονός που αφήνει την ιδιωτικότητα και την ασφάλεια των φυσικών προσώπων που τις χρησιμοποιούν στα κατώτατα επιθυμητά επίπεδα. Για αυτό, αξίζει να αναφερθούν τα πλεονεκτήματα που παρουσιάζει η εκτεταμένη αξιοποίηση των δεδομένων τοποθεσίας από τις IoT συσκευές, κάποια από τα οποία αποτελούν: η στόχευση χρηστών/καταναλωτών σε πραγματικό χρόνο, η κατάτμηση των δεδομένων και των υπηρεσιών, η συλλογή και η ανάλυση ακριβών πληροφοριών των καταναλωτών, καθώς και η εκθετική αύξηση της απόδοσης των συσκευών, που οδηγεί αναλόγως και στην αύξηση των κερδών.

Επομένως, τα δεδομένα τοποθεσίας αποτελούν πηγή πληροφοριών και πρέπει να προστατεύονται επαρκώς, αφού ενδέχεται να αποκαλύψουν λεπτομέρειες σχετικά με τον αριθμό των χρηστών σε μία τοποθεσία, τις κινήσεις τους, την καθημερινές τους ανάγκες και συνήθειες, ενώ μπορούν να προβούν σε περίπλοκους συσχετισμούς χρηστών και τοποθεσιών.  Η Υπηρεσία Εθνικής Ασφάλειας των Ηνωμένων Πολιτειών (γνωστή ως NSA) μάλιστα δημοσίευσε πρόσφατα οδηγίες σχετικά με τον τρόπο μείωσης των κινδύνων που απορρέουν από την παρακολούθηση της τοποθεσίας των χρηστών έξυπνων τηλεφώνων και συσκευών IoT. “Παρ’ όλο που δεν είναι πάντα δυνατό να αποφευχθεί εντελώς η έκθεση πληροφοριών τοποθεσίας, είναι δυνατό – μέσω προσεκτικής διαμόρφωσης και χρήσης – να μειωθεί ο όγκος των δεδομένων τοποθεσίας που διαμοιράζονται”, δήλωσε η NSA. Για το σκοπό αυτό, πρότεινε μια σειρά από συμβουλές που περιλαμβάνουν: την απενεργοποίηση των ρυθμίσεων υπηρεσιών τοποθεσίας στη συσκευή του χρήστη, την απενεργοποίηση όλων των ραδιοφωνικών πομπών που δεν βρίσκονται σε χρήση (Bluetooth και Wi-Fi), τη χρήση εικονικού ιδιωτικού δικτύου (VPN) για την απόκρυψη της τοποθεσίας, την παροχή όσο το δυνατόν λιγότερων δικαιωμάτων στις εφαρμογές, καθώς και συμβουλές για τον διαμοιρασμό πληροφοριών στα κοινωνικά δίκτυα.

Οι νομοθέτες από την άλλη έχουν κάνει σημαντικά βήματα για τον περιορισμό της αλόγιστης συλλογής δεδομένων τοποθεσίας, αποσκοπώντας στην προστασία της ιδιωτικότητας των φυσικών προσώπων. Πάντοτε όμως για τη λήψη οποιουδήποτε μέτρου, χρειάζεται να λαμβάνονται υπόψιν ορισμένες παράμετροι.

Η αρχή του περιορισμού του σκοπού πρέπει να τηρείται με ευλάβεια σε όλες τις διαδικασίες συλλογής δεδομένων τοποθεσίας, αποτελώντας μία εκ των θεμελιωδών αρχών του GDPR. Ιδιαίτερα σε περιόδους κρίσης, όπως αυτή της πανδημίας του κορωνοϊού, σοβαρές ανησυχίες εγείρονται σχετικά με την δυνατότητα χρήσης των δεδομένων τοποθεσίας που συγκεντρώθηκαν -για παράδειγμα από μια δημόσια υπηρεσία υγείας για την παρακολούθηση των κρουσμάτων της πανδημίας- για άλλους σκοπούς. Οι κυβερνήσεις θα πρέπει να εξετάσουν πώς συλλέχθηκαν τα δεδομένα τοποθεσίας σε πρώτη φάση και να επαναπροσδιορίσουν τις πολιτικές και τις πρακτικές επεξεργασίας των δεδομένων για διαφορετικούς σκοπούς, λαμβάνοντας επιπρόσθετα μέτρα.

Η δυσκολία της ανωνυμοποίησης των δεδομένων τοποθεσίας αποτελεί ακόμη ένα μείζον ζήτημα, αφού για τη χρήση τους από δημόσιους και ιδιωτικούς φορείς θα πρέπει να διασφαλίζεται ένα υψηλό επίπεδο προστασίας των χρηστών. Για μεγάλο χρονικό διάστημα, βασικό βιομηχανικό πρότυπο αποτελούσε η πλήρης ανωνυμοποίηση των δεδομένων, η τροποποίησή τους δηλαδή με τέτοιο τρόπο ώστε να καθίσταται αδύνατη η αναγνώρισή τους κι έπειτα η χρήση τους από τους φορείς. Ωστόσο, η ανωνυμοποίηση των δεδομένων τοποθεσίας είναι εξαιρετικά δύσκολη, αφού δεν εξασφαλίζεται η επιθυμητή ισορροπία μεταξύ του απορρήτου του χρήστη και της χρησιμότητας των δεδομένων που προκύπτουν για γενική χρήση. Ακόμα κι αν χρησιμοποιούνται μοναδικά αναγνωριστικά αντί για ονόματα, η συμπεριφορά των περισσότερων χρηστών μπορεί εύκολα να εντοπιστεί, για παράδειγμα από την τοποθεσία του σπιτιού τους (όπου η συσκευή “κατοικεί” τη νύχτα).

Πράγματι, έρευνες έχουν αποδείξει ότι αυτά τα δεδομένα είναι εξαιρετικά αναγνωρίσιμα. Μόλις τέσσερα τυχαία σημεία τροχιάς κάποιου ατόμου, όπως πότε και πού αγοράζει τον πρωινό του καφέ, είναι αρκετά για να αναγνωριστεί μοναδικά αυτό ένα άτομο σε ποσοστό 95% των περιπτώσεων σε ένα σύνολο δεδομένων 1,5 εκατομμυρίων ανθρώπων. Επιπλέον, ακόμη και τα πλήρως “συγκεντρωτικά” δεδομένα τοποθεσίας μπορεί να είναι αποκαλυπτικά, αφού λίστες με τέτοια ανωνυμοποιημένα δεδομένα σχετικά με μοτίβα μεγάλων ομάδων ατόμων (όπως χάρτες θερμότητας υψηλού επιπέδου) μπορούν να αποκαλύψουν περισσότερες πληροφορίες από αυτές που επιδιώκουν με την πρώτη ματιά.

Αυτές οι προκλήσεις δεν είναι ανυπέρβλητες, αλλά οι υπεύθυνοι χάραξης πολιτικής θα πρέπει να είναι πολύ προσεκτικοί ώστε να μην υπερεκτιμούν τις τεχνολογικές δυνατότητες, αντιμετωπίζοντας τα δεδομένα τοποθεσίας ως προσωπικά δεδομένα που χρήζουν αυξημένης προστασίας. Αν και φαίνεται να βαδίζουμε στον σωστό δρόμο, υπάρχουν ακόμα πολλά βήματα για την επίτευξη του στόχου.

Top