بخش دوم از مقاله (Artificial Intelligence and Privacy (2024
دنیل جی. سولوو
ترجمه سمانه هاشمی نژاد
یک نقشۀ راه نظارتی برای هوشمصنوعی و حریم خصوصی
بیایید با دقت گام برداریم، آنگاه که ورطۀ هوشمصنوعی را میپوییم، و اطمینان یابیم که همواره هوشیاریم، از خطراتی که ممکن است از آنها غافل مانیم. ((شعری از چتجیپیتی))
در این بخش، یک نقشۀ راه نظارتی برای هوشمصنوعی و حریم خصوصی به دست خواهم داد و در این باره بحث خواهم کرد که قانون حریم خصوصی باید چگونه دگرگون و سازگار شود تا از عهدۀ رسیدگی به مشکلات حریم خصوصی ناشی از هوشمصنوعی برآید. هدف این نقشۀ راه آن است که مسائلی را که قانون باید با آنها دست به گریبان شود مطرح کند، به چرایی نارسایی رویکردهای غلط پیشین قانونی دربارۀ هوشمصنوعی اشاره کند و مسیرهای جدیدی را که قانون باید طی کند، ارائه دهد. من یک قانون نمونه[1] ارائه نمیدهم؛ آنچه به دست میدهم، کلیتر و مفهومیتر است؛ یک نقشۀ راه و راهنما.
هوشمصنوعی نشان میدهد که چرا ضروری است تغییراتی مشخص را در قانون حریم خصوصی ایجاد کنیم؛ تغییراتی که باید مدتها پیش صورت میگرفتهاند. در مجموع، هوشمصنوعی با تکنولوژیهایی که از نیمۀ دوم قرن بیستم نگرانیهایی دربارۀ حریم خصوصی برانگیختهاند، یکسره متفاوت نیست. تفاوت کنونی در وجود دادههای بیشتر، قدرت محاسباتی بیشتر و تحلیلهای بهتر است.
بسیاری از مشکلات حریم خصوصی مرتبط با هوشمصنوعی، پیش از هوشمصنوعی نیز وجود داشتهاند و نمیتوان آنها را با تمرکز صِرف بر هوشمصنوعی حل کرد. بهترین روش برای برخورد با این مشکلات، تمرکز بر ریشههایشان است. کوتاه کردن شاخههای بالایی مساوی با چارهجویی برای هستۀ اصلی مشکلات نیست. مشکلات حریم خصوصی مرتبط با هوشمصنوعی، بازتلفیقی از مشکلات حریم خصوصی موجودند، که به روشهای جدیدی ترکیب یا تا درجات جدیدی تقویت شدهاند. بهعلاوه هوشمصنوعی، تمایزها و ساختارهای موجود در قانون کنونی حریم خصوصی را به چالش میکشد. این فناوری، شکافها، درزها و کاستیهای این قوانین را چنان بیپیرایه آشکار میکند که وادار میشویم آنها را مورد توجه قرار دهیم.
این بخش با تحلیلی گسترده از ساختار و رویکردهای مقررات حریم خصوصی؛ یعنی شالودههای این قوانین که طی مدتی طولانی برای پاسخگویی به مشکلات حریم خصوصی در دوران دیجیتال نامناسب بودهاند آغاز میشود. هوشمصنوعی این بنای فکری را با خطر فروپاشی تمام و کمال مواجه میکند. هیچ راه سادهای برای ترمیم در کار نیست؛ شالوده باید از نو بنا شود.
در ادامه، به این خواهم پرداخت که قانون حریم خصوصی چگونه باید جمعآوری دادهها را تنظیم کند و تحت نظارت درآورد. اشتهای سیریناپذیر هوشمصنوعی به داده، مقررات حریم خصوصی را درخصوص جمعآوری داده را با چالش شدیدی مواجه میکند. مفاهیم و رویکردهای متناقض در قانون حریم خصوصی برای پرداختن به اسکرپینگ، (فرآیندی که طی آن برای هوشمصنوعی داده جمعآوری میشود)، ناکارآمد میباشند. همچنین رویکردهای قانونی در زمینۀ جمعآوری رضایتمندانۀ داده نیز نیاز به بازنگری دارند.
در ادامه بر تولید داده تمرکز خواهیم کرد. هوشمصنوعی از قابلیتهای خارقالعادهای برای تولید داده برخوردار است؛ امری که به وخامت بسیاری از مشکلات حریم خصوصی میانجامد. هوشمصنوعی استنتاجهایی انجام میدهد که شامل ایجاد دادههایی جدید دربارۀ افراد میشود؛ دادههایی که این افراد نه انتظار داشتهاند و نه هرگز مایل بودهاند که به اشتراک گذاشته شود. استنتاج، مرز میان پردازش و جمعآوری داده را مبهم میسازد؛ وضعیتی که طفره رفتن از محدودیتهای جمعآوری دادهها و دیگر محافظتهای تعبیه شده در بسیاری از قوانین حریم خصوصی را ممکن میکند. بهعلاوه، هوشمصنوعی میتواند محتواهای آسیبرسانی را تولید کند؛ از جمله محتواهای گمراه کننده و فریبکارانه که میتوانند آسیبهای چشمگیری برای مردم و جوامع در پی داشته باشند. قابلیت هوشمصنوعی برای شبیهسازی انسان و محتوای انسانساخته میتواند به فریبکاری و دستکاری ذهنی ابعاد تازهای ببخشد.
هوشمصنوعی همچنین به واسطۀ کاربردش در تصمیمگیری دربارۀ مردم، حریم خصوصی را متأثر میسازد. هوشمصنوعی از طریق تسهیل پیشبینی آیندهای که میتواند بر رفتار و فرصتهای افراد اثر بگذارد، روش تصمیمگیری را دگرگون کرده است. این پیشبینیها نگرانیهایی را دربارۀ عاملیت انسانی و عدالت برانگیختهاند. از هوشمصنوعی برای اتخاذ تصمیمهای غیرپیشبینانه دربارۀ اشخاص نیز استفاده میشود؛ که این امر روشهایی را تغییر میدهد که از طریق آنها سوگیریها بر تصمیمات اثر میگذارند. از آنجا که تصمیم گیری توسط هوشمصنوعی دربرگیرندۀ نوعی فرآیند خودکارسازی است، پای مشکلاتی که به واسطۀ فرآیندهای خودکار ایجاد میشوند نیز به میان میآید؛ مشکلاتی که قانون تاکنون در رسیدگی به آنها با دشواری مواجه بوده است.
همچنین هوشمصنوعی داده کاویهای بیسابقهای را امکان پذیر کرده است؛ امری که میتواند نظارت و تشخیص هویت را بسیار بهبود ببخشد. قوانین حریم خصوصی مدتهاست که بهطور نابسندهای به مشکلات ناشی از نظارت و تشخیص هویت پرداختهاند. این تهدید وجود دارد که هوشمصنوعی این مشکلات را به سطوح جدیدی برساند و ابعاد بغرنجی را به آنها بیفزاید.
در پایان، این بخش به این میپردازد که قوانین حریم خصوصی چگونه باید از عهدۀ نظارت، مشارکت و پاسخگویی در موضوع هوشمصنوعی برآید. نحوۀ عملکرد فناوریهای هوشمصنوعی، سازوکارهای نظارتی سنتی، همچون شفافیت، را پیچیده میکند؛ چرا که هوشمصنوعی تا حد زیادی مانند یک جعبۀ سیاه عمل میکند. هوشمصنوعی چالشهایی را در برابر فرآیند دادرسی ایجاد میکند و باعث میشود افراد به راحتی نتوانند تصمیمات و تأثیرات آن را به چالش بکشند. توسعۀ فناوریهای هوشمصنوعی اغلب بسیاری از گروههای ذینفعِ را مورد غفلت قرار میدهد؛ وضعیتی که باعث میشود این فناوری نمایانگر تمامی ذینفعان و واجد تنوع کافی نباشد. به علاوه، نیاز است که پاسخگویی در قبال هوشمصنوعی افزایش یابد و جبرانهای حقوقی موثر در مواجهه با نقض حریم خصوصی در نظر گرفته شود.
الف) ساختار و رویکردهای حقوقی
1. ورای کنترل فردی و مدیریت خود
تاکنون یک الگوی کنترل فردی بر قانون حریم خصوصی حاکم بوده است؛ الگویی که تلاش دارد با اعطای اجازۀ مدیریت اطلاعات شخصی به افراد، به آنان قدرت ببخشد. من این مجموعۀ وظایفِ قرارگرفته برعهدۀ افراد را به طور کلی «خود مدیریتی حریم خصوصی» مینامم.[2]
در ایالات متحده، هدف بسیاری از قوانین حریم خصوصی آن است که از طریق یک «رویکرد اطلاع و انتخاب»، کنترل فرد را تسهیل کنند.[3] سازمانها، اطلاعیههایی را دربارۀ دادههایی که جمعآوری میکنند، نحوۀ استفاده از آنان، انتقالشان و چگونگی محافظت از آنها منتشرمیکنند. افراد میتوانند از این فرآیند انصراف دهند یا ازهمکاری با شرکتها خودداری کنند. اگر افراد انصراف ندهند، فرض بر این است که رضایت دادهاند. بسیاری از قوانین حریم خصوصی ایالات متحده، شرکتها را موظف به اعطای حق انصراف در صورت استفادههای خاص میکنند.[4] بعضی قوانین نیز برای برخی استفادهها، ابراز رضایت صریح افراد را لازم میدانند.[5] همانطور که استاد دنیل ساسر[6] رویکرد اطلاع و انتخاب را توصیف کرده است، «کسبوکارها میتوانند هر کاری را که میخواهند با اطلاعات کاربران انجام دهند؛ به شرط آنکه (1) به کاربران بگویند که قصد انجامشان را دارند و (2) کاربران انتخاب کنند که ادامه دهند».[7]
برای دههها، رویکرد اطلاع و انتخاب، هدفِ حملۀ متخصصان بیشماری قرار گرفته که آن را ناکارآمد و بعضاً مضحک دانستهاند. همانطور که وودرو هارتزوگ[8] و نیل ریچاردز[9]، اساتید حقوق، توصیف کردهاند، «”اطلاع” اغلب تفاوت کمی با پوشاندن عملکردهای مرتبط با داده در ظاهر خوشایند یک سیاست حریم خصوصیِ پیچیده دارد. در حالی که “انتخاب” به معنی انتخابِ استفاده از یک سرویس با وجود عملکردهای مرتبط با دادۀ غیرقابلمذاکرهاش ذیل یک گزینۀ “میخواهی بخواه، نمیخواهی نخواه” است».[10] مشکل اینجاست که به ندرت کسی اطلاعیههای حریم خصوصی را مطالعه میکند و اگر کسی تلاش کند آنها را بخواند، در درکشان به مشکل برمیخورد. مطالعۀ اطلاعیۀ حریم خصوصی هر شرکت، مستلزم صرف زمانی غیرمنطقی است. به این ترتیب، نمیتوان باقطعیت گفت که این اطلاعیههای حریم خصوصی به تصمیمگیری آگاهانۀ افراد دربارۀ خطرهای مرتبط با جمعآوری و استفاده از دادههایشان کمک میکند.[11]
در اتحادیۀ اروپا، مقررات عمومی حفاظت از دادهها (GDPR) نیز بر کنترل فردی تأکید زیادی دارد. برخلاف رویکرد اطلاع و انتخاب در ایالات متحده، GDPR رضایت انصرافی[12] را رد میکند. رضایت باید صراحتاً اظهار شود و کاربر باید مشارکت رضایتمندانۀ[13] خود را اعلام کند.[14] GDPR با فراهم کردن حقوق متعدد برای افراد، از کنترل فردی پشتیبانی میکند؛ حقوقی از قبیل حق دسترسی، تصحیح یا حذف دادهها، حقوق انتقال داده، مخالفت کردن با برخی موارد پردازش داده و به چالش کشیدن تصمیمگیریهای خودکار.[15] همچنین GDPR وظایفی را برعهدۀ سازمانها قرار داده است؛ همچون الزام به انجام ارزیابیهایی جهت بررسی تأثیر اقدامات حفاظت از داده، به حداقل رساندن داده[16]، نگهداری سوابق فعالیتهای پردازش داده و تضمین حفاظت از دادهها به واسطۀ روش طراحی سامانهها و به عنوان حالت پیشفرض.[17] اما همانطور که استاد حقوق، آری والدمن[18]، اشاره میکند، این وظایف اغلب در داخل سازمانها و بدون نظارت خارجی و به شکلی نمادین و توخالی انجام میشوند.[19] بسیاری از این وظایف عمدتاً در راستای رعایت حقوق فردی تعریف شدهاند. اگرچه GDPR به نحو شایستهای از کنترل فردی فراتر میرود، همچنان بیش ازحد بر آن تکیه دارد.
ایالات متحده، کمابیش به واسطۀ تأثیر مقررات عمومی حفاظت از دادهها (GDPR)، با افزودن حقوقی مانند حق دسترسی، اصلاح و حذف دادهها و انتقالپذیری دادهها مدل نسبتاً سادۀ اطلاع و انتخاب را تکامل بخشیدهاست.[20] به علاوه، چندین ایالت حقوقی را برای انصراف از پردازش خودکار داده در شرایط خاص، فراهم کردهاند.[21]
کنترلی که قوانین حریم خصوصی برای کاربران فراهم میکنند، بار مسئولیت مدیریت حریم خصوصی را بر دوش افراد میگذارند؛ درحالی که آنان برای این کار آماده نشدهاند.[22] اگرچه بیان صریح رضایت بر رویکرد اطلاع و انتخاب ارجحیت دارد، این روش همچنان شدیداً بر توانایی افراد برای اتخاذ تصمیمات معقول دربارۀ جمعآوری و استفادۀ دادههایشان وابسته است. جوهرۀ قوانین حریم خصوصی، محولکردن مسئولیت مدیریت حریم خصوصی افراد به خودشان است؛ چیزی که میتواند بیش از آنکه یک مزیت باشد، باری سنگین بر دوش افراد باشد.[23] این وظیفه بر عهدۀ افراد است که از حقوق حریم خصوصیشان استفاده کنند؛ چیزی که اگر نگوییم غیرممکن است، با وجود هزاران شرکتی که دادههایشان را جمعآوری و استفاده میکنند، بسیار دشوار خواهد بود. افراد زمان کافی ندارند تا دادههایشان را در رابطه با هر شرکت مدیریت کنند.[24]
علاوه بر این، مردم برای تشخیص اینکه جمعآوری، استفاده و آشکارسازی دادههایشان میتواند منجر به خطر یا آسیب شود یا خیر، تخصص کافی ندارند. در دنیای امروزینِ درهمتنیده با هوشمصنوعی، الگوریتمهایی که به تصمیمهای خودکار نیرو میبخشند، به حدی پیچیدهاند که افراد از عهدۀ درکشان برنمیآیند. این الگوریتمها به مقادیر عظیمی از داده وابستهاند. برای برآوردن کردن خطراتشان، مردم باید به دانشمندان خبرۀ علوم داده تبدیل شوند و به علاوه باید بتوانند دادههایی را که برای آموزش دادن به این الگوریتمها بهکار رفتهاند، بررسی کنند؛ امری که امکان تحقق ندارد.[25]
این قوانین به جای آنکه واقعاً افراد را توانمند سازند، ظاهری پوشالی از توانمندسازی ایجاد میکنند که به نحو طنزآمیزی به ناتوانی بیشتر میانجامد. این وضعیت، افراد را با وظایف بیپایان و تحققناپذیر روبهرو میکند؛ زمانی که افراد – همانطور که میتوان پیشبینی کرد – تمام این کارها را انجام نمیدهند، سرزنش میشوند که چرا به اندازۀ کافی به حریم خصوصیشان اهمیت ندادهاند.[26]
الگوریتمهای هوشمصنوعی با مجموعههای دادۀ بزرگ جمعی کار میکنند، نه با دادههای فردیِ جدا از هم. در «اقتصاد استنتاجی»[27] مدرن، اصطلاحی که آلیشیا سولونیدرمن[28] بهکار میبرد، که توسط یادگیری ماشین و تصمیمگیری الگوریتمی هدایت میشود، نقش دادهها اساساً جمعی است.[29] این تکنولوژیها از طریق استنتاج از مجموعه دادههایی که دربردارندۀ اطلاعات افراد بسیاری هستند، عمل میکنند. همانطور که سالومه ویلیون[30] اشاره میکند، الگوریتمها با شناسایی شباهتهای میان افراد، به بینشهای معنیداری دربارۀ پیوندهای زیستی، بینفردی، سیاسی و اقتصادی ما دست مییابند.[31] سولونیدرمن و ویلیون بر ماهیت رابطهای دادهها تأکید میگذارند.
الگوریتمهای هوشمصنوعی به طور معمول شامل شناسایی الگوها در مجموعه دادههای بزرگی هستند که دادههای میلیونها نفر را در خود جای دادهاند. در چنین بستری، حقوق و محافظتهایی که صرفاً بر فرد تمرکز دارند، نابسنده خواهند بود. افرادی که سعی دارند از چگونگی اخذ تصمیمات یا نحوۀ استفاده از دادههای شخصیشان را در این سیستمها سردرآورند، فقط میتوانند به بخشی از تصویر کامل دسترسی داشته باشند. برای فهم کامل فرآیندهای تصمیمگیری این الگوریتمها، در نظر گرفتنِ دادههای جمعی تمام افراد در مجموعه دادههای الگوریتم ضروری است. امّا نمیتوان این دادهها دادهها را به افراد ارائه کرد، مگر با نقض حریم خصوصی دیگر افرادی که اطلاعاتشان در مجموعه دادهها وجود دارد. از سوی دیگر، تحلیل چنین حجم عظیمی از داده برای افراد ممکن نیست.
حقوق حریم خصوصی اغلب ناکافی هستند، زیرا به طور معمول بر نگرانیهای سطح فردی – از قبیل صحت سوابق شخصی و وضعیت رضایت افراد دربارۀ جمعآوری اطلاعاتشان – متمرکز میشوند. به هرحال، این رویکردها برای دستوپنجه نرمکردن با مشکلات سیستم نابسندهاند. به عنوان مثال، با اینکه قانون گزارشدهی منصفانۀ اعتباری (FCRA) به افراد اجازه میدهد که خطاها را در سوابقشان اصلاح کنند، این قانون اصول بنیادی سیستمهای امتیازدهی اعتباری را به چالش نمیکشد.[32] هرچند افراد میتوانند خطاها را در دادههایشان اصلاح کنند، امّا فاقد هرگونه توان تأثیرگذاری یا دستاویز برای تجدیدنظر در روششناسیهای مورداستفاده برای سنجش اعتبارشان هستند. آژانسهای گزارشدهی مصرفکننده[33]، تا زمانی که به افراد دسترسی و امکان اصلاح بدهند، در فرآیندهای تصمیمگیری خود از آزادی زیادی برخوردار خواهند بود. این موضوع، به نادیده گرفته شدن بیعدالتیهای بالقوه و مشکلات برآمد از الگوریتمهای مورداستفادۀ این شرکتها میانجامد.[34]
ظهور هوشمصنوعی به وضوح نشان داده است که مدل کنترل فردی محکوم به شکست است. هوشمصنوعی وسیعتر و پیچیدهتر از آن است که افراد قادر به درک آن باشند و بتوانند تأثیر آن بر حریم خصوصیشان را بسنجند. در عوضِ تلاش برای اعطای کنترل دادههایشان به افراد، قانون باید جمعآوری و استفاده از دادهها را تحت کنترل درآورد. هرچند در برخی شرایط، حقوق حریم خصوصی میتوانند کمککننده باشند، قوانین حریم خصوصی باید از تکیۀ بیش از اندازه بر این حقوق دست بکشند و بیشتر بر اقدامات ساختاری، که بار مسئولیت را بر دوش افراد نمیگذارند، متمرکز شوند. حفاظت مؤثر از حریم خصوصی، باید بر معماری اقتصاد دیجیتال مدرن متمرکز شود و باید در راستای پیشگیری از خطرات و آسیبها، وظایف معناداری را به سازمانها تحمیل کند؛ بهعلاوه، باید به سازمانها را به روشهای مؤثری وادار به پاسخگویی کند.[35]
2. تحلیل آسیب و خطر
قوانین جدید مربوط به هوشمصنوعی ، رویکرد متفاوتی را پی میگیرند. این قوانین، در عوضِ تمرکز بر کنترل فردی، به آسیبها و خطرات توجه نشان میدهند. اتحادیۀ اروپا با قوانین هوشمصنوعی خود، پیشتاز این تغییر رویکرد است.[36] این قانون، سه دسته خطر را تعیین میکند: (1) خطر غیرقابل پذیرش؛ (2) خطر زیاد و (3) خطر محدود. سیستمهای هوشمصنوعی ایجادکنندۀ خطر غیرقابل پذیرش، ممنوع هستند. درخصوص دو دستۀ دیگرِ خطرات، محدودیتها و محافظتهای متناسب با دسته اعمال میشوند. همانطور که مارگو کمینسکی، استاد حقوق، اشاره میکند، «مفهوم مرکزی هدایتگر رویکرد تنظیم خطر، این است که در برخورد با عدمقطعیت، قانونگذاران نباید تکنولوژیها را ممنوع یا بیش از حد تنظیم کند؛ درعوض باید تلاش خود را بر کاهش آسیبهای شناخته شده و قابل اندازه گیری متمرکز کنند».[37]
تمرکز بر آسیبها و خطرات، گامی در جهت صحیح است؛ اقدامی که قانون حریم خصوصی به طور کلی باید آن را انجام دهد؛ نه فقط دربارۀ هوشمصنوعی.[38] برخی قوانین حریم خصوصی – به میزان محدودی – بر آسیبها و خطرات متمرکزند. برای مثال، بسیاری از قوانین حریم خصوصی، در شرایط ویژهای، ارزیابی خطر را الزامی میشمارند. مقررات عمومی حفاظت از دادههای اتحادیۀ اروپا (GDPR)، سازمانها را موظف میکند که در شرایط وجودِ «ریسک بالا برای حقوق و آزادیهای اشخاص حقیقی»، اقدام به ارزیابی تأثیر حفاظت از دادهها[39] (DPIA) نمایند.[40] «حقوق و آزادیها» هم شامل حریم خصوصی و هم حقوق بنیادی – مانند «آزادی بیان، آزادی اندیشه، آزادی حرکت، منع تبعیض، حق برخوداری از آزادی، وجدان و دین»[41] – است. GDPR سه مثال از فرآیندهای پردازشی با ریسک بالا را فهرست میکند که شامل «فعالیتهای پردازشیِ سیستماتیک و گسترده، از جمله پروفایلسازی میشود؛ جایی که تصمیمات، برای افراد اثرات قانونی یا دیگر اثرات عمده را در پی دارند».[42] با الهام از GDPR، بسیاری از قوانین حریم خصوصی مصرفکننده در ایالتهای امریکا، تصمیمگیری یا پروفایلسازی خودکار را منوط به اجرای بررسیهای ارزیابی خطر میکنند.[43]
امّا در رویکرد آسیب و خطر نیز چالشهایی وجود دارد که قانون باید با آنها دستوپنجه نرم کند. مارگوت کمینسکی این نگرانی را مطرح میکند که چارچوبهای تنظیم خطر اغلب «برای آسیبهای غیرقابل اندازه گیری و بحث برانگیز به افراد انسانی مشخص، مناسب نیستند».[44]هرچند مدل کنترل فردی برای حل مشکلات حریم خصوصی مرتبط با هوشمصنوعی نابسنده است، هوشمصنوعی همچنان به افراد آسیب میرساند، و این آسیبها باید جبرانپذیر باشند. تکیۀ کمتر بر کنترل فردی نباید به کاهش حفاظت از افراد در برابر آسیب بینجامد. یک رویکرد آسیب و خطر، باید آسیبها و خطرات مرتبط با هم جامعه و هم افرادِ انسانی را مورد توجه قرار دهد و باید مکانیزمهایی را برای جبران خسارتهای وارد شده به افراد آسیب دیده فراهم کند.
یکی از مسائل دشوار در رویکرد آسیب و خطر، پاسخ به این پرسش است که چه کسی باید آسیبها و ریسکها را ارزیابی کند؟ آیا سازمانها باید مسئول ارزیابی آسیبها و خطراتی باشند که ناشی از سیستمهای هوشمصنوعی خودشان است؟ یا لازم است یک نهاد دولتی ارزیابی را انجام دهد؟ بیشتر قوانین برای ارزیابی خطرها، بر سازمانهایی که آن خطرات را ایجاد میکنند متکی هستند. وضعیتی که میتواند شبیه به این باشد که از روباه درخواست کنیم میزان خطر موجود برای مرغهای مرغدانی را بسنجد.
زمانی که سازمانها خودشان ارزیابیها را انجام میدهند، یک مسألۀ چالشبرانگیز آن است که آیا قانون باید خواستار به اشتراک گذاشته شدن ارزیابیها با نهادهای نظارتی و عموم مردم باشد یا خیر؟ بیشتر قوانین چنین الزامی را در بر نمیگیرند.[45] افشای [نتایج] ارزیابیها در خارج از سازمان، به افزایش پاسخگویی سازمانها خواهد انجامید و از اجرای ارزیابیهای سطحی و بیکنشی در قبال نتایجشان جلوگیری خواهد کرد. از سوی دیگر، الزام به به اشتراک گذاشتن ارزیابیهای خطر میتواند به کاهش صداقت [این ارزیابیها] بینجامد و آنها را به فعالیتهایی در زمینۀ روابط عمومی خارجی سازمان تبدیل کند.
از جملۀ دیگر مسائل دشوار، چگونگی برخورد با هوشمصنوعی مولد و دیگر ابزارهایی هوشمصنوعی است که توسط کاربران به روشهای متعددِ گوناگون به کار برده میشوند. به واسطۀ کاربردهای بسیار متنوع، آسیبها و خطراتِ بالقوۀ بسیاری میتواند در کار باشد. ناتالی هلبرگر[46] و نیکولاس دیاکوپولوس[47] استدلال کردهاند که تحلیل ریسک هوشمصنوعی مولد میتواند چالشبرانگیز باشد، چراکه «سیستمهای هوشمصنوعی مولد برای یک بستر یا شرایط استفادۀ خاص طراحی نشدهاند. گشودگی و سهولت کنترل آنها، امکان استفاده را در مقیاس بیسابقهای فراهم میکند».[48] آنطور که جوزفین ولف[49]، ویلیام لِر[50] و کریستوفر یو[51] بیان میکنند، «مسألۀ اصلی ایجادشده توسط هوشمصنوعی چند منظوره آن است که ارزیابی مؤثر خطرهای مرتبط با آنها تقریباً غیرممکن است».[52] علاوه بر این، آنان استدلال میکنند که برای «مقررات عمومی حفاظت از دادههای اتحادیۀ اروپا (GDPR)، مشکل اصلی آن است که اجرای هرگونه محدودیت بر کاربرد یا به حداقل رساندن دادههایی که برای آموزش سیستمهای هوشمصنوعی استفاده میشوند، غیرممکن است».[53]
در حال حاضر، یک مسألۀ دیگر، زمانبندی بررسی نظارتی است. آیا مقامهای ناظر باید تکنولوژیهای هوشمصنوعی را پیش از به کار گرفته شدن بررسی کنند؟ چنین اقدامی، نزدیکیِ خطرناکی با یک سیستم صدور مجوز دارد؛ چیزی که میتواند به کُندشدن نوآوری به واسطۀ دورههای انتظار برای بررسی ناظران بینجامد. بررسی هوشمصنوعی پس از استقرار سیستم ممکن است دیرتر از آن انجام شود که بتواند جلوی آسیب را بگیرد. در نهایت نیاز است که این مسائل در رویکردهای مبتنی بر آسیب و خطر بررسی و متعادل شوند.
[1] به قانونی اشاره دارد که به عنوان یک الگو یا نمونه برای سایر قوانین پیشنهاد میشود تا به تصویب برسد یا بهعنوان راهنمایی برای تدوین قوانین مشابه به کار گرفته شود. (م)
[2] Daniel J. Solove, Privacy Self-Management and the Consent Dilemma, 126 Harv. L. Rev. 1880, 1880 (2013).
[3] See id. at 1883-84; Charlotte A. Tschider, Meaningful Choice: A History of Consent and Alternatives to the Consent Myth, 22 N.C. J.L. & Tech. 617 (2021).
[4] See, e.g., CAN-SPAM Act, 15 U.S.C. § 7704(a)(3) (provides right to opt out of receiving unsolicited commercial emails); Telephone Consumer Protection Act, 47 U.S.C. § 227 (provides right to opt out of telemarketing calls).
[5] See, e.g., Children’s Online Privacy Protection Act, 15 U.S.C. § 6502(b) (parents must opt in to the collection and use of their children’s data); Video Privacy Protection Act, 18 U.S.C. § 2710(b)(2)(B) (opt in for disclosure of consumer personal data).
[6] Daniel Susser
[7] Daniel Susser, Notice After Notice-and-Consent: Why Privacy Disclosures Are Valuable Even If Consent Frameworks Aren’t, J. Info. Policy 37, 41-42 (2019).
[8] Woodrow Hartzog
[9] Neil Richards
[10] Woodrow Hartzog & Neil Richards, Privacy’s Constitutional Moment and the Limits of Data Protection, 61 B.C. L. Rev. 1687, 1704 (2020)
[11] Solove, Murky Consent, supra note X, at X.
[12] Opt-out consent؛ این مدل، فرض را بر موافقت فرد میگذارد. در صورت عدم رضایت، کاربر باید تنظیمات پیشفرض را تغییر دهد تا انصراف خود را اعلام کند. (م)
[13]consent opt-in؛ در این مدل، فرض بر این است که کاربر موافقت نکرده است. سازمانها باید فعالانه از افراد درخواست رضایت کنند. تا زمانی که فرد رضایت خود را اعلام نکند، سازمان حق استفاده از دادههای او را ندارد. (م)
[14] GDPR art. 4.11 (requiring “clear affirmative action” for valid consent).
[15] See GDPR Chapter III, Rights of the Data Subject, art. 12-23.
[16] data minimization؛ از اصول مهم حفاظت از دادهها و محافظت از حریم خصوصی است. مطابق این اصل، از سازمانها انتظار میرود به عملکردهایی نظیر جمعآوری حداقلی دادهها، پردازش حداقلی دادهها و نگهداری حداقلی دادهها ملتزم باشند. (م)
[17] GDPR art. 35 (data protection impact assessments); art. 30 (records of processing activities); art.25 (data protection by design and by default); art. 5(c ) (data minimization).
[18] Ari Waldman
[19] ARI EZRA WALDMAN,INDUSTRY UNBOUND: THE INSIDE STORY OF PRIVACY, DATA, AND CORPORATE POWER 115 (2021).
[20] See Va. Code Ann. § 59.1-575 (2023); Colo. Rev. Stat. § 6-1-1303(24) (2021); Utah Code Ann. § 13-61-101(32) (2023); 2023 Conn. Pub. Acts No. 22-15 § 1(27
[21] Liisa M. Thomas, The Comprehensive Privacy Law Deluge: What to Do About “Profiling,” National L. Rev. (June 26, 2023).
[22] Daniel J. Solove, The Limitations of Privacy Rights, 98 Notre Dame L. Rev. 975, 993 (2023).
[23] Ella Corren, The Consent Burden in Consumer and Digital Markets, 36 Harv. J. L. & Tech. 551 (2023).
[24] See Aleecia M. McDonald and Lorrie Faith Cranor, The Cost of Reading Privacy Policies, 4 I/S 540, 565 (2008) (reading all privacy notices would take more than 200 hours a year).
[25] Solove, Murky Consent, supra note X, at 127-29.
[26] Daniel J. Solove, The Myth of the Privacy Paradox, 89 Geo. Wash. L. Rev. 1, 11-14 (2021).
[27] inference economy
[28] Alicia Solow-Niederman
[29] Alicia Solow-Niederman, Information Privacy and the Inference Economy, 117 Nw. L. Rev. 357, 361 (2022).
[30] Salomé Viljoen
[31] Salomé Viljoen, Democratic Data: A Relational Theory for Data Governance, 131 Yale L.J. 573, 578-79 (2021).
[32] Fair Credit Reporting Act, 15 U.S. Code §1681. FCRA requires “reasonable procedures to assure maximum possible accuracy” §1681e(b) and allows individuals to dispute accuracy. §1681i(a)(1).
[33] consumer reporting agencies (CRAs) سازمانهایی هستند که اطلاعات اعتباری و دیگر دادههای مرتبط با مصرفکنندگان را جمعآوری، تحلیل و گزارش میکنند. این اطلاعات شامل تاریخچۀ اعتباری، بدهیها، پرداختهای مالی و دیگر جزئیات مالی است که به مؤسسات مالی، وامدهندگان و … ارائه میشود تا دربارۀ تعامل مالی و اعتباریشان با افراد، تصمیمگیری کنند. (م)
[34] 9 Solove, Limitations of Privacy Rights, supra note X, at 1034.
[35] DANIEL J. SOLOVE, THE DIGITAL PERSON: TECHNOLOGY AND PRIVACY IN THE INFORMATION AGE 101 (2004) (محافظت از حریم خصوصی وابسته به معماریای است که قدرت را ساختار میبخشد؛ یک چارچوب نظارتی که نحوۀ انتشار، جمعآوری و شبکهبندی اطلاعات را مدیریت میکند. ما باید بر کنترل قدرت تمرکز کنیم.) ; Dennis Hirsch, New Paradigms for Privacy Law, 79 Md. L. Rev. 439, 462 (2019) (پیشنهادات جدید در موضوع حریم خصوصی، «بهجای کنترل فردی، بر حفاظت اجتماعی تأکید دارند و از یک رویکرد لیبرالیستی که میکوشد انتخاب فردی را تسهیل کند، به سوی رویکردی تغییر جهت میدهند که مقامات دولتی را توانمند میسازد تا تصمیم بگیرند که کدام عملکردها برای افراد امن و با ارزشهای اجتماعی سازگارند و کدامها خیر».)
[36] European Commission, Artificial Intelligence – Questions and Answers (Dec. 12, 2023), https://ec.europa.eu/commission/presscorner/detail/en/QANDA_21_1683.
[37] Margot E. Kaminski, Regulating the Risks of AI, 103 B.U. L. Rev. 1347 (2023).
[38] Daniel J. Solove, Data Is What Data Does: Regulating Use, Harm, and Risk Instead of Sensitive Data, 118 Nw. U. L. Rev. 1081, 1128-36 (2024).
[39] data protection impact assessment. فرآیندی سیستماتیک که در راستای شناسایی و به حداقل رساندن خطرات مرتبط با حفاظت از دادههای یک پروژه انجام میشود. (م)
[40] GDPR art. 5.
[43] Liisa M. Thomas, The Comprehensive Privacy Law Deluge: What to Do About “Profiling,” National L. Rev. (June 26, 2023).
[44] Kaminski, Risks of AI, supra note X, at 1379.
[45] A notable exception includes the CCPA, §1798.185(a)(15), which requires risk assessments to be submitted to regulators.
[46] Natali Helberger
[47] Nicholas Diakopoulos
[48] Natali Helberger & Nicholas Diakopoulos, ChatGPT and the AI Act, 12 Internet Pol’y Rev. 1, 3 (2023).
[49] Josephine Wolff
[50] William Lehr
[51] Christopher Yoo
[52] Josephine Wolff, William Lehr, and Christopher Yoo, Lessons from GDPR for AI Policymaking, 27 Va. J. L. & Tech. 1, 22 (2024).
[53] همان.