هوش مصنوعی و حریم خصوصی / بخش دوم

فهرست مطالب

بخش دوم از مقاله (Artificial Intelligence and Privacy (2024

دنیل جی. سولوو

ترجمه سمانه هاشمی نژاد

یک نقشۀ راه نظارتی برای هوش‌مصنوعی و حریم خصوصی

بیایید با دقت گام برداریم، آن‌گاه که ورطۀ هوش‌مصنوعی را می‌پوییم، و اطمینان یابیم که همواره هوشیاریم، از خطراتی که ممکن است از آن‌ها غافل مانیم.                    ((شعری از چت‌جی‌پی‌تی))

در این بخش، یک نقشۀ راه نظارتی برای هوش‌مصنوعی و حریم خصوصی به دست خواهم داد و در این باره بحث خواهم کرد که قانون حریم خصوصی باید چگونه دگرگون و سازگار شود تا از عهدۀ رسیدگی به مشکلات حریم خصوصی ناشی از هوش‌مصنوعی برآید. هدف این نقشۀ راه آن است که مسائلی را که قانون باید با آن‌ها دست به گریبان شود مطرح کند، به چرایی نارسایی رویکردهای غلط پیشین قانونی دربارۀ هوش‌مصنوعی اشاره کند و مسیرهای جدیدی را که قانون باید طی کند، ارائه دهد. من یک قانون نمونه[1] ارائه نمی‌دهم؛ آن‌چه به دست می‌دهم، کلی‌تر و مفهومی‌تر است؛ یک نقشۀ راه و راهنما.

هوش‌مصنوعی نشان می‌دهد که چرا ضروری است تغییراتی مشخص را در قانون حریم خصوصی ایجاد کنیم؛ تغییراتی که باید مدت‌ها پیش صورت می‌گرفته‌اند. در مجموع، هوش‌مصنوعی با تکنولوژی‌هایی که از نیمۀ دوم قرن بیستم نگرانی‌هایی دربارۀ حریم خصوصی برانگیخته‌اند، یک‌سره متفاوت نیست. تفاوت کنونی در وجود داده‌های بیشتر، قدرت محاسباتی بیشتر و تحلیل‌های بهتر است.

بسیاری از مشکلات حریم خصوصی مرتبط با هوش‌مصنوعی، پیش از هوش‌مصنوعی نیز وجود داشته‌اند و نمی‌توان آن‌ها را با تمرکز صِرف بر هوش‌مصنوعی حل کرد. بهترین روش برای برخورد با این مشکلات، تمرکز بر ریشه‌هایشان است. کوتاه کردن شاخه‌های بالایی مساوی با چاره‌جویی برای هستۀ اصلی مشکلات نیست. مشکلات حریم خصوصی مرتبط با هوش‌مصنوعی، بازتلفیقی از مشکلات حریم خصوصی موجودند، که به روش‌های جدیدی ترکیب یا تا درجات جدیدی تقویت شده‌اند. به‌علاوه هوش‌مصنوعی، تمایزها و ساختارهای موجود در قانون کنونی حریم خصوصی را به چالش می‌کشد. این فناوری، شکاف‌ها، درزها و کاستی‌های این قوانین را چنان بی‌پیرایه آشکار می‌کند که وادار می‌شویم آن‌ها را مورد توجه قرار دهیم.

این بخش با تحلیلی گسترده از ساختار و رویکردهای مقررات حریم خصوصی؛ یعنی شالوده‌های این قوانین که طی مدتی طولانی برای پاسخگویی به مشکلات حریم خصوصی در دوران دیجیتال نامناسب بوده‌اند آغاز می‌شود. هوش‌مصنوعی این بنای فکری را با خطر فروپاشی تمام‌ و کمال مواجه می‌کند. هیچ راه ساده‌ای برای ترمیم در کار نیست؛ شالوده باید از نو بنا شود.

در ادامه، به این خواهم پرداخت که قانون حریم خصوصی چگونه باید جمع‌آوری داده‌ها را تنظیم کند و تحت نظارت درآورد. اشتهای سیری‌ناپذیر هوش‌مصنوعی به داده، مقررات حریم خصوصی را درخصوص جمع‌آوری داده را با چالش شدیدی مواجه می‌کند. مفاهیم و رویکردهای متناقض در قانون حریم خصوصی برای پرداختن به اسکرپینگ، (فرآیندی که طی آن برای هوش‌مصنوعی داده جمع‌آوری می‌شود)، ناکارآمد می‌باشند. همچنین رویکردهای قانونی در زمینۀ جمع‌آوری رضایت‌مندانۀ داده نیز نیاز به بازنگری دارند.

در ادامه بر تولید داده تمرکز خواهیم کرد. هوش‌مصنوعی از قابلیت‌های خارق‌العاده‌ای برای تولید داده برخوردار است؛ امری که به وخامت بسیاری از مشکلات حریم خصوصی می‌انجامد. هوش‌مصنوعی استنتاج‌هایی انجام می‌دهد که شامل ایجاد داده‌هایی جدید دربارۀ افراد می‌شود؛ داده‌هایی که این افراد نه انتظار داشته‌اند و نه هرگز مایل بوده‌اند که به اشتراک گذاشته شود. استنتاج، مرز میان پردازش و جمع‌آوری داده را مبهم می‌سازد؛ وضعیتی که طفره ‌رفتن از محدودیت‌های جمع‌آوری داده‌ها و دیگر محافظت‌های تعبیه‌ شده در بسیاری از قوانین حریم خصوصی را ممکن می‌کند. به‌علاوه، هوش‌مصنوعی می‌تواند محتواهای آسیب‎رسانی را تولید کند؛ از جمله محتواهای گمراه ‌کننده و فریبکارانه که می‌توانند آسیب‌های چشم‌گیری برای مردم و جوامع در پی داشته باشند. قابلیت هوش‌مصنوعی برای شبیه‌سازی انسان و محتوای انسان‌ساخته می‌تواند به فریبکاری و دستکاری ذهنی ابعاد تازه‌ای ببخشد.

هوش‌مصنوعی همچنین به ‌واسطۀ کاربردش در تصمیم‌گیری دربارۀ مردم، حریم خصوصی را متأثر می‌سازد. هوش‌مصنوعی از طریق تسهیل پیش‌بینی آینده‌ای که می‌تواند بر رفتار و فرصت‌های افراد اثر بگذارد، روش تصمیم‌گیری را دگرگون کرده‌ است. این پیش‌بینی‌ها نگرانی‌هایی را دربارۀ عاملیت انسانی و عدالت برانگیخته‌اند. از هوش‌مصنوعی برای اتخاذ تصمیم‌های غیرپیش‌بینانه دربارۀ اشخاص نیز استفاده می‌شود؛ که این امر روش‌هایی را تغییر می‌دهد که از طریق آن‌ها سوگیری‌ها بر تصمیمات اثر می‌گذارند. از آن‌جا که تصمیم ‌گیری توسط هوش‌مصنوعی دربرگیرندۀ نوعی فرآیند خودکارسازی است، پای مشکلاتی که به‌ واسطۀ فرآیندهای خودکار ایجاد می‌شوند نیز به میان می‌آید؛ مشکلاتی که قانون تاکنون در رسیدگی به آن‌ها با دشواری مواجه بوده ‌است.

همچنین هوش‌مصنوعی داده‌ کاوی‌های بی‌سابقه‌ای را امکان‌ پذیر کرده‌ است؛ امری که می‌تواند نظارت و تشخیص هویت را بسیار بهبود ببخشد. قوانین حریم خصوصی مدت‌هاست که به‌طور نابسنده‌ای به مشکلات ناشی از نظارت و تشخیص هویت پرداخته‌اند. این تهدید وجود دارد که هوش‌مصنوعی این مشکلات را به سطوح جدیدی برساند و ابعاد بغرنجی را به آن‌ها بیفزاید.

در پایان، این بخش به این می‌پردازد که قوانین حریم خصوصی چگونه باید از عهدۀ نظارت، مشارکت و پاسخگویی در موضوع هوش‌مصنوعی برآید. نحوۀ عملکرد فناوری‌های هوش‌مصنوعی، سازوکارهای نظارتی سنتی، همچون شفافیت، را پیچیده می‌کند؛ چرا که هوش‌مصنوعی تا حد زیادی مانند یک جعبۀ سیاه عمل می‌کند. هوش‌مصنوعی چالش‌هایی را در برابر فرآیند دادرسی ایجاد می‌کند و باعث می‌شود افراد به ‌راحتی نتوانند تصمیمات و تأثیرات آن را به چالش بکشند. توسعۀ فناوری‌های هوش‌مصنوعی اغلب بسیاری از گروه‌های ذی‌نفعِ را مورد غفلت قرار می‌دهد؛ وضعیتی که باعث می‌شود این فناوری نمایانگر تمامی ذی‌نفعان و واجد تنوع کافی نباشد. به‌ علاوه، نیاز است که پاسخگویی در قبال هوش‌مصنوعی افزایش یابد و جبران‌های حقوقی موثر در مواجهه با نقض حریم خصوصی در نظر گرفته شود.

الف) ساختار و رویکردهای حقوقی

1. ورای کنترل فردی و مدیریت خود

تاکنون یک الگوی کنترل فردی بر قانون حریم خصوصی حاکم بوده ‌است؛ الگویی که تلاش دارد با اعطای اجازۀ مدیریت اطلاعات شخصی به افراد، به آنان قدرت ببخشد. من این مجموعۀ وظایفِ قرارگرفته برعهدۀ افراد را به ‌طور کلی «خود مدیریتی حریم خصوصی» می‌نامم.[2]

در ایالات متحده، هدف بسیاری از قوانین حریم خصوصی آن است که از طریق یک «رویکرد اطلاع و انتخاب»، کنترل فرد را تسهیل کنند.[3] سازمان‌ها، اطلاعیه‌هایی را دربارۀ داده‌هایی که جمع‌آوری می‌کنند، نحوۀ استفاده از آنان، انتقال‌شان و چگونگی محافظت از آن‌ها منتشرمی‌کنند. افراد می‌توانند از این فرآیند انصراف دهند یا ازهمکاری با شرکت‌ها خودداری کنند. اگر افراد انصراف ندهند، فرض بر این است که رضایت داده‌اند. بسیاری از قوانین حریم خصوصی ایالات متحده، شرکت‌ها را موظف به اعطای حق انصراف در صورت استفاده‌های خاص می‌کنند.[4] بعضی قوانین نیز برای برخی استفاده‌ها، ابراز رضایت صریح افراد را لازم می‌دانند.[5] همان‌طور که استاد دنیل ساسر[6] رویکرد اطلاع و انتخاب را توصیف کرده ‌است، «کسب‌وکارها می‌توانند هر کاری را که می‌خواهند با اطلاعات کاربران انجام دهند؛ به شرط آن‌که (1) به کاربران بگویند که قصد انجام‌شان را دارند و (2) کاربران انتخاب کنند که ادامه دهند».[7]

برای دهه‌ها، رویکرد اطلاع و انتخاب، هدفِ حملۀ متخصصان بی‌شماری قرار گرفته که آن را ناکارآمد و بعضاً مضحک دانسته‌اند. همان‌طور که وودرو هارتزوگ[8] و نیل ریچاردز[9]، اساتید حقوق، توصیف کرده‌اند، «”اطلاع” اغلب تفاوت کمی با پوشاندن عملکردهای مرتبط با داده در ظاهر خوشایند یک سیاست حریم خصوصیِ پیچیده دارد. در حالی ‌که “انتخاب” به معنی انتخابِ استفاده از یک سرویس با وجود عملکردهای مرتبط با دادۀ غیرقابل‌مذاکره‌اش ذیل یک گزینۀ “می‌خواهی بخواه، نمی‌خواهی نخواه” است».[10] مشکل این‌جاست که به‌ ندرت کسی اطلاعیه‌های حریم خصوصی را مطالعه می‌کند و اگر کسی تلاش کند آن‌ها را بخواند، در درکشان به مشکل برمی‌خورد. مطالعۀ اطلاعیۀ حریم خصوصی هر شرکت، مستلزم صرف زمانی غیرمنطقی است. به این ترتیب، نمی‌توان باقطعیت گفت که این اطلاعیه‌های حریم خصوصی به تصمیم‌گیری آگاهانۀ افراد دربارۀ خطرهای مرتبط با جمع‌آوری و استفاده از داده‌هایشان کمک می‌کند.[11]

در اتحادیۀ اروپا، مقررات عمومی حفاظت از داده‌ها (GDPR) نیز بر کنترل فردی تأکید زیادی دارد. برخلاف رویکرد اطلاع و انتخاب در ایالات متحده، GDPR رضایت انصرافی[12] را رد می‌کند. رضایت باید صراحتاً اظهار شود و کاربر باید مشارکت رضایت‌مندانۀ[13] خود را اعلام کند.[14] GDPR با فراهم کردن حقوق متعدد برای افراد، از کنترل فردی پشتیبانی می‌کند؛ حقوقی از قبیل حق دسترسی، تصحیح یا حذف داده‌ها، حقوق انتقال داده، مخالفت ‌کردن با برخی موارد پردازش داده و به چالش کشیدن تصمیم‌گیری‌های خودکار.[15] همچنین GDPR وظایفی را برعهدۀ سازمان‌ها قرار داده ‌است؛ همچون الزام به انجام ارزیابی‌هایی جهت بررسی تأثیر اقدامات حفاظت از داده، به حداقل رساندن داده[16]، نگهداری سوابق فعالیت‌های پردازش داده و تضمین حفاظت از داده‌ها به‌ واسطۀ روش طراحی سامانه‌ها و به ‌عنوان حالت پیش‌فرض.[17] اما همان‌طور که استاد حقوق، آری والدمن[18]، اشاره می‌کند، این وظایف اغلب در داخل سازمان‌ها و بدون نظارت خارجی و به‌ شکلی نمادین و توخالی انجام می‌شوند.[19] بسیاری از این وظایف عمدتاً در راستای رعایت حقوق فردی تعریف شده‌اند. اگرچه GDPR به نحو شایسته‌ای از کنترل فردی فراتر می‌رود، همچنان بیش‌ ازحد بر آن تکیه دارد.

ایالات متحده، کمابیش به ‌واسطۀ تأثیر مقررات عمومی حفاظت از داده‌ها (GDPR)، با افزودن حقوقی مانند حق دسترسی، اصلاح و حذف داده‌ها و انتقال‌پذیری داده‌ها مدل نسبتاً سادۀ اطلاع و انتخاب را تکامل بخشیده‌است.[20] به‌ علاوه، چندین ایالت حقوقی را برای انصراف از پردازش خودکار داده در شرایط خاص، فراهم کرده‌اند.[21]

کنترلی که قوانین حریم خصوصی برای کاربران فراهم می‌کنند، بار مسئولیت مدیریت حریم خصوصی را بر دوش افراد می‌گذارند؛ درحالی که آنان برای این کار آماده نشده‌اند.[22] اگرچه بیان صریح رضایت بر رویکرد اطلاع و انتخاب ارجحیت دارد، این روش همچنان شدیداً بر توانایی افراد برای اتخاذ تصمیمات معقول دربارۀ جمع‌آوری و استفادۀ داده‌هایشان وابسته است. جوهرۀ قوانین حریم خصوصی، محول‌کردن مسئولیت مدیریت حریم خصوصی افراد به خودشان است؛ چیزی که می‌تواند بیش از آن‌که یک مزیت باشد، باری سنگین بر دوش افراد باشد.[23] این وظیفه بر عهدۀ افراد است که از حقوق حریم خصوصی‌شان استفاده کنند؛ چیزی که اگر نگوییم غیرممکن است، با وجود هزاران شرکتی که داده‌هایشان را جمع‌آوری و استفاده می‌کنند، بسیار دشوار خواهد بود. افراد زمان کافی ندارند تا داده‌هایشان را در رابطه با هر شرکت مدیریت کنند.[24]

علاوه بر این، مردم برای تشخیص این‌که جمع‌آوری، استفاده و آشکارسازی داده‌هایشان می‌تواند منجر به خطر یا آسیب شود یا خیر، تخصص کافی ندارند. در دنیای امروزینِ درهم‌تنیده با هوش‌مصنوعی، الگوریتم‌هایی که به تصمیم‌های خودکار نیرو می‌بخشند، به حدی پیچیده‌اند که افراد از عهدۀ درکشان برنمی‌آیند. این الگوریتم‌ها به مقادیر عظیمی از داده وابسته‌اند. برای برآوردن ‌کردن خطرات‌شان، مردم باید به دانشمندان خبرۀ علوم داده تبدیل شوند و به ‌علاوه باید بتوانند داده‌هایی را که برای آموزش ‌دادن به این الگوریتم‌ها به‌کار رفته‌اند، بررسی کنند؛ امری که امکان تحقق ندارد.[25]

این قوانین به ‌جای آن‌که واقعاً افراد را توانمند سازند، ظاهری پوشالی از توانمندسازی ایجاد می‌کنند که به نحو طنزآمیزی به ناتوانی بیشتر می‌انجامد. این وضعیت، افراد را با وظایف بی‌پایان و تحقق‌ناپذیر روبه‌رو می‌کند؛ زمانی که افراد – همان‌طور که می‌توان پیش‌بینی کرد – تمام این کارها را انجام نمی‌دهند، سرزنش می‌شوند که چرا به اندازۀ کافی به حریم خصوصی‌شان اهمیت نداده‌اند.[26]

الگوریتم‌های هوش‌مصنوعی با مجموعه‌های دادۀ بزرگ جمعی کار می‌کنند، نه با داده‌های فردیِ جدا از هم. در «اقتصاد استنتاجی»[27] مدرن، اصطلاحی که آلیشیا سولونیدرمن[28] به‌کار می‌برد، که توسط یادگیری ماشین و تصمیم‌گیری الگوریتمی هدایت می‌شود، نقش داده‌ها اساساً جمعی است.[29] این تکنولوژی‌ها از طریق استنتاج از مجموعه‌ داده‌هایی که دربردارندۀ اطلاعات افراد بسیاری هستند، عمل می‌کنند. همان‌طور که سالومه ویلیون[30] اشاره می‌کند، الگوریتم‌ها با شناسایی شباهت‌های میان افراد، به بینش‌های معنی‌داری دربارۀ پیوندهای زیستی، بین‌فردی، سیاسی و اقتصادی ما دست می‌یابند.[31] سولونیدرمن و ویلیون بر ماهیت رابطه‌ای داده‌ها تأکید می‌گذارند.

الگوریتم‌های هوش‌مصنوعی به ‌طور معمول شامل شناسایی الگوها در مجموعه داده‌های بزرگی هستند که داده‌های میلیون‌ها نفر را در خود جای داده‌اند. در چنین بستری، حقوق و محافظت‌هایی که صرفاً بر فرد تمرکز دارند، نابسنده خواهند بود. افرادی که سعی دارند از چگونگی اخذ تصمیمات یا نحوۀ استفاده از داده‌های شخصی‌شان را در این سیستم‌ها سردرآورند، فقط می‌توانند به بخشی از تصویر کامل دسترسی داشته باشند. برای فهم کامل فرآیندهای تصمیم‌گیری این الگوریتم‌ها، در نظر گرفتنِ داده‌های جمعی تمام افراد در مجموعه داده‌های الگوریتم ضروری است. امّا نمی‌توان این داده‌ها داده‌ها را به افراد ارائه کرد، مگر با نقض حریم خصوصی دیگر افرادی که اطلاعاتشان در مجموعه داده‌ها وجود دارد. از سوی دیگر، تحلیل چنین حجم عظیمی از داده برای افراد ممکن نیست.

حقوق حریم خصوصی اغلب ناکافی هستند، زیرا به ‌طور معمول بر نگرانی‌های سطح فردی – از قبیل صحت سوابق شخصی و وضعیت رضایت افراد دربارۀ جمع‌آوری اطلاعات‌شان – متمرکز می‌شوند. به‌ هرحال، این رویکردها برای دست‌وپنجه نرم‌کردن با مشکلات سیستم نابسنده‌اند. به عنوان مثال، با این‌که قانون گزارش‌دهی منصفانۀ اعتباری (FCRA) به افراد اجازه می‌دهد که خطاها را در سوابق‌شان اصلاح کنند، این قانون اصول بنیادی سیستم‌های امتیازدهی اعتباری را به چالش نمی‌کشد.[32] هرچند افراد می‌توانند خطاها را در داده‌هایشان اصلاح کنند، امّا فاقد هرگونه توان تأثیرگذاری یا دستاویز برای تجدیدنظر در روش‌شناسی‌های مورداستفاده برای سنجش اعتبارشان هستند. آژانس‌های گزارش‌دهی مصرف‌کننده[33]، تا زمانی که به افراد دسترسی و امکان اصلاح بدهند، در فرآیندهای تصمیم‌گیری خود از آزادی زیادی برخوردار خواهند بود. این موضوع، به نادیده گرفته شدن بی‌عدالتی‌های بالقوه و مشکلات برآمد از الگوریتم‌های مورداستفادۀ این شرکت‌ها می‌انجامد.[34]

ظهور هوش‌مصنوعی به‌ وضوح نشان داده‌ است که مدل کنترل فردی محکوم به شکست است. هوش‌مصنوعی وسیع‌تر و پیچیده‌تر از آن است که افراد قادر به درک آن باشند و بتوانند تأثیر آن بر حریم خصوصی‌شان را بسنجند. در عوضِ تلاش برای اعطای کنترل داده‌هایشان به افراد، قانون باید جمع‌آوری و استفاده از داده‌ها را تحت کنترل درآورد. هرچند در برخی شرایط، حقوق حریم خصوصی می‌توانند کمک‌کننده باشند، قوانین حریم خصوصی باید از تکیۀ بیش از اندازه بر این حقوق دست بکشند و بیشتر بر اقدامات ساختاری، که بار مسئولیت را بر دوش افراد نمی‌گذارند، متمرکز شوند. حفاظت مؤثر از حریم خصوصی، باید بر معماری اقتصاد دیجیتال مدرن متمرکز شود و باید در راستای پیش‌گیری از خطرات و آسیب‌ها، وظایف معناداری را به سازمان‌ها تحمیل کند؛ به‌علاوه، باید به سازمان‌ها را به روش‌های مؤثری وادار به پاسخگویی کند.[35]

2. تحلیل آسیب و خطر

قوانین جدید مربوط به هوش‌مصنوعی ، رویکرد متفاوتی را پی می‌گیرند. این قوانین، در عوضِ تمرکز بر کنترل فردی، به آسیب‌ها و خطرات توجه نشان می‌دهند. اتحادیۀ اروپا با قوانین هوش‌مصنوعی خود، پیشتاز این تغییر رویکرد است.[36] این قانون، سه دسته خطر را تعیین می‌کند: (1) خطر غیرقابل ‌پذیرش؛ (2) خطر زیاد و (3) خطر محدود. سیستم‌های هوش‌مصنوعی ایجادکنندۀ خطر غیرقابل‌ پذیرش، ممنوع هستند. درخصوص دو دستۀ دیگرِ خطرات، محدودیت‌ها و محافظت‌های متناسب با دسته اعمال می‌شوند. همان‌طور که مارگو کمینسکی، استاد حقوق، اشاره می‌کند، «مفهوم مرکزی هدایتگر رویکرد تنظیم خطر، این است که در برخورد با عدم‌قطعیت، قانون‌گذاران نباید تکنولوژی‌ها را ممنوع یا بیش از حد تنظیم کند؛ درعوض باید تلاش خود را بر کاهش آسیب‌های شناخته ‌شده و قابل‌ اندازه‌ گیری متمرکز کنند».[37]

تمرکز بر آسیب‌ها و خطرات، گامی در جهت صحیح است؛ اقدامی که قانون حریم خصوصی به ‌طور کلی باید آن را انجام دهد؛ نه فقط دربارۀ هوش‌مصنوعی.[38] برخی قوانین حریم خصوصی – به میزان محدودی – بر آسیب‌ها و خطرات متمرکزند. برای مثال، بسیاری از قوانین حریم خصوصی، در شرایط ویژه‌ای، ارزیابی خطر را الزامی می‌شمارند. مقررات عمومی حفاظت از داده‌های اتحادیۀ اروپا (GDPR)، سازمان‌ها را موظف می‌کند که در شرایط وجودِ «ریسک بالا برای حقوق و آزادی‌های اشخاص حقیقی»، اقدام به ارزیابی تأثیر حفاظت از داده‌ها[39] (DPIA) نمایند.[40] «حقوق و آزادی‌ها» هم شامل حریم خصوصی و هم حقوق بنیادی – مانند «آزادی بیان، آزادی اندیشه، آزادی حرکت، منع تبعیض، حق برخوداری از آزادی، وجدان و دین»[41] – است. GDPR سه مثال از فرآیندهای پردازشی با ریسک بالا را فهرست می‌کند که شامل «فعالیت‌های پردازشیِ سیستماتیک و گسترده، از جمله پروفایل‌سازی می‌شود؛ جایی که تصمیمات، برای افراد اثرات قانونی یا دیگر اثرات عمده را در پی دارند».[42] با الهام از GDPR، بسیاری از قوانین حریم خصوصی مصرف‌کننده در ایالت‌های امریکا، تصمیم‌گیری یا پروفایل‌سازی خودکار را منوط به اجرای بررسی‌های ارزیابی خطر می‌کنند.[43]

امّا در رویکرد آسیب و خطر نیز چالش‌هایی وجود دارد که قانون باید با آن‌ها دست‌وپنجه نرم کند. مارگوت کمینسکی این نگرانی را مطرح می‌کند که چارچوب‌های تنظیم خطر اغلب «برای آسیب‌های غیرقابل انداز‌ه‌ گیری و بحث ‌برانگیز به افراد انسانی مشخص، مناسب نیستند».[44]هرچند مدل کنترل فردی برای حل مشکلات حریم خصوصی مرتبط با هوش‌مصنوعی نابسنده است، هوش‌مصنوعی همچنان به افراد آسیب می‌رساند، و این آسیب‌ها باید جبران‌پذیر باشند. تکیۀ کم‌تر بر کنترل فردی نباید به کاهش حفاظت از افراد در برابر آسیب بینجامد. یک رویکرد آسیب و خطر، باید آسیب‌ها و خطرات مرتبط با هم جامعه و هم افرادِ انسانی را مورد توجه قرار دهد و باید مکانیزم‌هایی را برای جبران خسارت‌های وارد شده به افراد آسیب‌ دیده فراهم کند.

یکی از مسائل دشوار در رویکرد آسیب و خطر، پاسخ به این پرسش است که چه کسی باید آسیب‌ها و ریسک‌ها را ارزیابی کند؟ آیا سازمان‌ها باید مسئول ارزیابی آسیب‌ها و خطراتی باشند که ناشی از سیستم‌های هوش‌مصنوعی خودشان است؟ یا لازم است یک نهاد دولتی ارزیابی را انجام دهد؟ بیشتر قوانین برای ارزیابی خطرها، بر سازمان‌هایی که آن خطرات را ایجاد می‌کنند متکی هستند. وضعیتی که می‌تواند شبیه به این باشد که از روباه درخواست کنیم میزان خطر موجود برای مرغ‌های مرغدانی را بسنجد.

زمانی که سازمان‌ها خودشان ارزیابی‌ها را انجام می‌دهند، یک مسألۀ چالش‌برانگیز آن است که آیا قانون باید خواستار به اشتراک گذاشته شدن ارزیابی‌ها با نهادهای نظارتی و عموم مردم باشد یا خیر؟ بیشتر قوانین چنین الزامی را در بر نمی‌گیرند.[45] افشای [نتایج] ارزیابی‌ها در خارج از سازمان، به افزایش پاسخگویی سازمان‌ها خواهد انجامید و از اجرای ارزیابی‌های سطحی و بی‌کنشی در قبال نتایج‌شان جلوگیری خواهد کرد. از سوی دیگر، الزام به به اشتراک گذاشتن ارزیابی‌های خطر می‌تواند به کاهش صداقت [این ارزیابی‌ها] بینجامد و آن‌ها را به فعالیت‌هایی در زمینۀ روابط عمومی خارجی سازمان تبدیل کند.

از جملۀ دیگر مسائل دشوار، چگونگی برخورد با هوش‌مصنوعی مولد و دیگر ابزارهایی هوش‌مصنوعی است که توسط کاربران به روش‌های متعددِ گوناگون به ‌کار برده می‌شوند. به ‌واسطۀ کاربردهای بسیار متنوع، آسیب‌ها و خطراتِ بالقوۀ بسیاری می‌تواند در کار باشد. ناتالی هلبرگر[46] و نیکولاس دیاکوپولوس[47] استدلال کرده‌اند که تحلیل ریسک هوش‌مصنوعی مولد می‌تواند چالش‌برانگیز باشد، چراکه «سیستم‌های هوش‌مصنوعی مولد برای یک بستر یا شرایط استفادۀ خاص طراحی نشده‌اند. گشودگی و سهولت کنترل آن‌ها، امکان استفاده را در مقیاس بی‌سابقه‌ای فراهم می‌کند».[48] آن‌طور که جوزفین ولف[49]، ویلیام لِر[50] و کریستوفر یو[51] بیان می‌کنند، «مسألۀ اصلی ایجادشده توسط هوش‌مصنوعی چند منظوره آن است که ارزیابی مؤثر خطرهای مرتبط با آن‌ها تقریباً غیرممکن است».[52] علاوه بر این، آنان استدلال می‌کنند که برای «مقررات عمومی حفاظت از داده‌های اتحادیۀ اروپا (GDPR)، مشکل اصلی آن است که اجرای هرگونه محدودیت بر کاربرد یا به حداقل رساندن داده‌هایی که برای آموزش سیستم‌های هوش‌مصنوعی استفاده می‌شوند، غیرممکن است».[53]

در حال حاضر، یک مسألۀ دیگر، زمان‌بندی بررسی نظارتی است. آیا مقام‌های ناظر باید تکنولوژی‌های هوش‌مصنوعی را پیش از به کار گرفته شدن بررسی کنند؟ چنین اقدامی، نزدیکیِ خطرناکی با یک سیستم صدور مجوز دارد؛ چیزی که می‌تواند به کُندشدن نوآوری به‌ واسطۀ دوره‌های انتظار برای بررسی ناظران بینجامد. بررسی هوش‌مصنوعی پس از استقرار سیستم ممکن است دیرتر از آن انجام شود که بتواند جلوی آسیب را بگیرد. در نهایت نیاز است که این مسائل در رویکردهای مبتنی بر آسیب و خطر بررسی و متعادل شوند.


[1] به قانونی اشاره دارد که به عنوان یک الگو یا نمونه برای سایر قوانین پیشنهاد می‌شود تا به تصویب برسد یا به‌عنوان راهنمایی برای تدوین قوانین مشابه به کار گرفته شود. (م)

[2] Daniel J. Solove, Privacy Self-Management and the Consent Dilemma, 126 Harv. L. Rev. 1880, 1880 (2013).

[3] See id. at 1883-84; Charlotte A. Tschider, Meaningful Choice: A History of Consent and Alternatives to the Consent Myth, 22 N.C. J.L. & Tech. 617 (2021).

[4] See, e.g., CAN-SPAM Act, 15 U.S.C. § 7704(a)(3) (provides right to opt out of receiving unsolicited commercial emails); Telephone Consumer Protection Act, 47 U.S.C. § 227 (provides right to opt out of telemarketing calls).

[5] See, e.g., Children’s Online Privacy Protection Act, 15 U.S.C. § 6502(b) (parents must opt in to the collection and use of their children’s data); Video Privacy Protection Act, 18 U.S.C. § 2710(b)(2)(B) (opt in for disclosure of consumer personal data).

[6] Daniel Susser

[7] Daniel Susser, Notice After Notice-and-Consent: Why Privacy Disclosures Are Valuable Even If Consent Frameworks Aren’t, J. Info. Policy 37, 41-42 (2019).

[8] Woodrow Hartzog

[9] Neil Richards

[10] Woodrow Hartzog & Neil Richards, Privacy’s Constitutional Moment and the Limits of Data Protection, 61 B.C. L. Rev. 1687, 1704 (2020)

[11] Solove, Murky Consent, supra note X, at X.

[12] Opt-out consent؛ این مدل، فرض را بر موافقت فرد می‌گذارد. در صورت عدم رضایت، کاربر باید تنظیمات پیش‌فرض را تغییر دهد تا انصراف خود را اعلام کند. (م)

[13]consent  opt-in؛ در این مدل، فرض بر این است که کاربر موافقت نکرده است. سازمان‌ها باید فعالانه از افراد درخواست رضایت کنند. تا زمانی که فرد رضایت خود را اعلام نکند، سازمان حق استفاده از داده‌های او را ندارد. (م)

[14] GDPR art. 4.11 (requiring “clear affirmative action” for valid consent).

[15] See GDPR Chapter III, Rights of the Data Subject, art. 12-23.

[16] data minimization؛ از اصول مهم حفاظت از داده‌ها و محافظت از حریم خصوصی است. مطابق این اصل، از سازمان‌ها انتظار می‌رود به عملکردهایی نظیر جمع‌آوری حداقلی داده‌ها، پردازش حداقلی داده‌ها و نگهداری حداقلی داده‌ها ملتزم باشند. (م)

[17] GDPR art. 35 (data protection impact assessments); art. 30 (records of processing activities); art.25 (data protection by design and by default); art. 5(c ) (data minimization).

[18] Ari Waldman

[19] ARI EZRA WALDMAN,INDUSTRY UNBOUND: THE INSIDE STORY OF PRIVACY, DATA, AND CORPORATE POWER 115 (2021).

[20] See Va. Code Ann. § 59.1-575 (2023); Colo. Rev. Stat. § 6-1-1303(24) (2021); Utah Code Ann. § 13-61-101(32) (2023); 2023 Conn. Pub. Acts No. 22-15 § 1(27

[21] Liisa M. Thomas, The Comprehensive Privacy Law Deluge: What to Do About “Profiling,” National L. Rev. (June 26, 2023).

[22] Daniel J. Solove, The Limitations of Privacy Rights, 98 Notre Dame L. Rev. 975, 993 (2023).

[23] Ella Corren, The Consent Burden in Consumer and Digital Markets, 36 Harv. J. L. & Tech. 551 (2023).

[24] See Aleecia M. McDonald and Lorrie Faith Cranor, The Cost of Reading Privacy Policies, 4 I/S 540, 565 (2008) (reading all privacy notices would take more than 200 hours a year).

[25] Solove, Murky Consent, supra note X, at 127-29.

[26] Daniel J. Solove, The Myth of the Privacy Paradox, 89 Geo. Wash. L. Rev. 1, 11-14 (2021).

[27] inference economy

[28] Alicia Solow-Niederman

[29] Alicia Solow-Niederman, Information Privacy and the Inference Economy, 117 Nw. L. Rev. 357, 361 (2022).

[30] Salomé Viljoen

[31] Salomé Viljoen, Democratic Data: A Relational Theory for Data Governance, 131 Yale L.J. 573, 578-79 (2021).

[32] Fair Credit Reporting Act, 15 U.S. Code §1681. FCRA requires “reasonable procedures to assure maximum possible accuracy” §1681e(b) and allows individuals to dispute accuracy. §1681i(a)(1).

[33] consumer reporting agencies (CRAs) سازمان‌هایی هستند که اطلاعات اعتباری و دیگر داده‌های مرتبط با مصرف‌کنندگان را جمع‌آوری، تحلیل و گزارش می‌کنند. این اطلاعات شامل تاریخچۀ اعتباری، بدهی‌ها، پرداخت‌های مالی و دیگر جزئیات مالی است که به مؤسسات مالی، وام‌دهندگان و … ارائه می‌شود تا دربارۀ تعامل مالی و اعتباری‌شان با افراد، تصمیم‌گیری کنند. (م)

[34] 9 Solove, Limitations of Privacy Rights, supra note X, at 1034.

[35] DANIEL J. SOLOVE, THE DIGITAL PERSON: TECHNOLOGY AND PRIVACY IN THE INFORMATION AGE 101 (2004)  (محافظت از حریم خصوصی وابسته به معماری‌ای است که قدرت را ساختار می‌بخشد؛ یک چارچوب نظارتی که نحوۀ انتشار، جمع‌آوری و شبکه‌بندی اطلاعات را مدیریت می‌کند. ما باید بر کنترل قدرت تمرکز کنیم.) ; Dennis Hirsch, New Paradigms for Privacy Law, 79 Md. L. Rev. 439, 462 (2019) (پیشنهادات جدید در موضوع حریم خصوصی، «به‌جای کنترل فردی، بر حفاظت اجتماعی تأکید دارند و از یک رویکرد لیبرالیستی که می‌کوشد انتخاب فردی را تسهیل کند، به سوی رویکردی تغییر جهت می‌دهند که مقامات دولتی را توانمند می‌سازد تا تصمیم بگیرند که کدام عملکردها برای افراد امن و با ارزش‌های اجتماعی سازگارند و کدام‌ها خیر».)

[36] European Commission, Artificial Intelligence – Questions and Answers (Dec. 12, 2023), https://ec.europa.eu/commission/presscorner/detail/en/QANDA_21_1683.

[37] Margot E. Kaminski, Regulating the Risks of AI, 103 B.U. L. Rev. 1347 (2023).

[38] Daniel J. Solove, Data Is What Data Does: Regulating Use, Harm, and Risk Instead of Sensitive Data, 118 Nw. U. L. Rev. 1081, 1128-36 (2024).

[39] data protection impact assessment. فرآیندی سیستماتیک که در راستای شناسایی و به حداقل رساندن خطرات مرتبط با حفاظت از داده‌های یک پروژه انجام می‌شود. (م)

[40] GDPR art. 5.

[43] Liisa M. Thomas, The Comprehensive Privacy Law Deluge: What to Do About “Profiling,” National L. Rev. (June 26, 2023).

[44] Kaminski, Risks of AI, supra note X, at 1379.

[45] A notable exception includes the CCPA, §1798.185(a)(15), which requires risk assessments to be submitted to regulators.

[46] Natali Helberger

[47] Nicholas Diakopoulos

[48] Natali Helberger & Nicholas Diakopoulos, ChatGPT and the AI Act, 12 Internet Pol’y Rev. 1, 3 (2023).

[49] Josephine Wolff

[50] William Lehr

[51] Christopher Yoo

[52] Josephine Wolff, William Lehr, and Christopher Yoo, Lessons from GDPR for AI Policymaking, 27 Va. J. L. & Tech. 1, 22 (2024).

[53] همان.