هوش مصنوعی و حریم خصوصی / بخش سوم

فهرست مطالب

بخش سوم از مقاله (Artificial Intelligence and Privacy (2024

دنیل جی. سولوو

ترجمه سمانه هاشمی نژاد

جمع‌آوری داده‌ها

هوش مصنوعی، با خود جمع‌آوری حجم بی‌سابقه‌ای از داده را به ارمغان آورده ‌است.[1] داده‌های شخصی عمدتاً به دو روش برای هوش مصنوعی جمع‌آوری می‌شوند: از طریق جمع‌آوری بدون رضایت داده از سطح اینترنت یا به ‌واسطۀ تغییر کاربری داده‌های مشتری یا کاربر. عطش هوش مصنوعی برای مصرفِ داده، قوانین حریم خصوصی را با  فشار عظیمی مواجه کرده‌ است؛ قوانینی که تلاش دارند جمع‌آوری داده را به ‌نحو مؤثری کنترل کنند. در بسیاری از موارد، هوش مصنوعی می‌تواند از حفاظت‌های تعیین ‌شده در بسیاری از قوانین سر باز بزند. در سایر مواقع، در صورتی که این قوانین به ‌نحوی سختگیرانه تفسیر و اجرا شوند، جمع‌آوری داده را بسیار محدود می‌کنند و هوش مصنوعی را از داده‌های مورد نیازش محروم می‌سازند. به این ترتیب، یافتن راهی میانه بین جمع‌آوری بی‌رویۀ داده‌ها و محروم ‌کردن هوش مصنوعی از داده، دشوار خواهد بود.

1. جمع‌آوری داده بدون کسب رضایت کاربر (اسکرپینگ)

الگوریتم‌های یادگیری ماشین برای آموزش ‌دیدن، به داده‌های گسترده‎ای نیاز دارند و اینترنت دسترس‌ پذیرترین منبع داده به ‌شمار می‌آید. برای مثال، شرکتی با نام کلیرویو ای‌آی[2]، یکی از پیشرفته‌ترین ابزارهای تشخیص چهره را از طریق گردآوری میلیاردها عکس از شبکه‌های اجتماعی، پروفایل‌های آنلاین و وب‌سایت‌های عکاسی توسعه داد. این شرکت، بدون کسب رضایت از تصاویری استفاده کرد که افراد هرگز پیش‌بینی نمی‌کردند که به بخشی از یک شبکۀ عظیم مبتنی بر هوش مصنوعی تبدیل خواهد شد و برای اجرای قانون و نظارت دولتی به‌ کار خواهد رفت.[3] بسیاری از نهادها در این قبیل فعالیت‌های جمع‌آوری داده مشارکت دارند. سازمان‌های مختلف بی‌وقفه داده‌های آنلاین را برای تأمین نیازهای سیری ‌ناپذیر سیستم‌های هوش مصنوعی‌شان استخراج می‌کنند.[4]

یک) اسکرپینگ و اصول حریم خصوصی

جمع‌آوری داده از سطح وب بدون کسب رضایت کاربر یا وب‌اسکرپینگ، بسیاری از اصول به رسمیت شناخته ‌شدۀ حریم خصوصی در قوانین، دستورالعمل‌های صنعتی یا استانداردهای پذیرفته‌ شده را نقض می‌کند. این اصول شامل این موارد هستند: شفافیت دربارۀ جمع‌آوری و استفاده از داده‌های شخصی، اطلاع‌رسانی به افراد درخصوص سیاست‌های حریم خصوصی، تعیین مقاصد استفاده از داده‌های شخصی، جلوگیری از به‌کاربردن داده‌ها برای مقاصد ثانویۀ نامرتبط، کسب رضایت برای استفاده از داده‌ها یا ارائۀ گزینه‌های انصراف، فراهم‌ کردن اطلاعات دربارۀ دریافت‌کنندگان ثالثِ داده‎ها، انجام احتیاط لازم پیش از انتقال داده‌ها به طرف‌های ثالث، ایجاد توافق‌نامه‌های لازم با طرف‌های ثالثِ دریافت‌کنندۀ داده جهت اطمینان از محافظت از داده‌ها، اعطای حق به افراد بر داده‌های شخصی‌شان که شامل حق دسترسی، اصلاح، حذف و انتقال می‌شود، نگه‌داشتن داده‌ها فقط تا زمانی که برای مقاصد تعیین ‌شده ضرورت داشته باشد، حذف داده‌ها به روش مناسب، حفظ صحت داده‌ها و محافظت از داده‌ها در برابر دسترسی غیرمجاز.[5] اسکرپینگ بنا به ماهیت خود تمامی این اصول را نادیده می‌گیرد. داده‌ها بدون هرگونه اطلاع‌رسانی، رضایت، گزینش، حفاظت، تعیین مقاصد مشخص ‌شده، محدودیت در مقاصد، به ‌حداقل ‌رسانی داده، رعایت حقوق فردی، محدودیت مدت نگهداشت و غیره، توسط جمع‌آوری ‌کنندگان داده[6] به ‌سادگی جمع‌آوری می‌شوند. اسکرپینگ بنا به ماهیت خود، فاقد هرگونه ملاحظۀ مربوط به حریم خصوصی است.

اسکرپینگ از مدت‌ها پیش از محبوبیت یافتن و شروع استفادۀ گسترده از الگوریتم‌های یادگیری ماشین، صورت گرفته‌ است. از همین رو، اسکرپینگ یک مشکلِ منحصر به هوش مصنوعی نیست. امّا هوش مصنوعی، اسکرپینگ را به ‌نحو چشم‌گیری شدت بخشیده؛ چراکه انگیزه‌هایی را برای افزایش میزان و وسعت آن ایجاد کرده‌ است.

دو) داده‌های در دسترس عموم

در ایالات متحده، اسکرپنیگ تاکنون از درگیری جدی با قوانین حریم خصوصی به ‌دور بوده ‌است؛ عمدتاً به این دلیل که به ‌نظر می‌رسد که داده‌هایی را هدف قرار می‌دهد که به ‌طور آنلاین در دسترس عموم هستند. کسانی که اقدام به اسکرپینگ می‌کنند، اغلب با این فرض عمل می‌کنند که دربارۀ این قبیل داده‌های در دسترس عموم، جای هیچ نگرانی مرتبط با حریم خصوصی نیست. آنان باور دارند که می‌توانند به‌ نحوی بی‌قید‌ و شرط به این داده‌ها دسترسی داشته باشند.

بسیاری از قوانین حریم خصوصی، به مفهومی ساده‌انگارانه و دوگانه‌ساز از حریم خصوصی متوسل می‌شوند. این قوانین، داده‌های شخصی را تنها در صورتی خصوصی به ‌شمار می‌آورند که مخفی ‌شده باشند؛ مفهومی که من آن را «پارادایم محرمانگی» نامیده‌ام.[7] با این حال، حریم خصوصی بسیار پیچیده‌تر است و شامل مجموعه ‌مرزهایی می‌شود که مشخص می‌کنند داده‌ها چگونه به اشتراک گذاشته می‌شوند.[8] افراد به ‌ندرت داده‌هایشان را کاملاً خصوصی نگه ‌می‌دارند. رایج‌تر آن است که این داده‌ها را در محدوده‌های اجتماعی مشخصی آشکار کنند؛ مثلاً میان دوستان، خانواده، همکاران یا اعضای گروه‌هایِ دارندۀ علایق مشترک، مثلاً کسانی که با چالش‌های مشابهی در حوزۀ سلامتی روبه‌رو هستند یا با اعتیادهای مشابهی در جدال‌اند.

همان‌طور که چندین پژوهشگر به‌ نحوی مجاب‌کننده استدلال کرده‌اند، مردم انتظار دارند که در فضای عمومی از حدی از حریم خصوصی برخوردار باشند. چنین انتظاری هم منطقی است و هم برای آزادی، دموکراسی و رفاه فردی اهمیت دارد.[9] در زندگی روزمره، بخش بزرگی از داده‌های ما به‌ واسطۀ «گمنامی عملی» مورد محافظت قرار می‌گیرد.[10] اگرچه حتی امکان دارد داده‌ها در معرض دید عموم باشند، همچنان ممکن است افراد مایل باشند حریم خصوصی‌شان درخصوص این داده‌ها حفظ شود؛ چراکه یافتنِ این داده‌ها دشوار است، معمولاً مشاهده یا ضبط نمی‌شوند و تکه‌تکه در فضایی وسیع پراکنده شده‌اند.

به‌علاوه، همان‌طور که قانون مالکیت فکری نشان داده‌ است، قانون می‌تواند برای اطلاعاتِ در دسترس عموم نیز محافظت قدرتمندی فراهم کند.[11] قانون حریم خصوصی نیز در برخی موارد چنین کاری انجام می‌دهد، از جمله در مثالِ تخلف تصرفِ نام یا شباهت[12] که قانون صرف‌نظر از دسترسی عمومی به داده‌های مربوطه، از آن‌ها محافظت می‌کند.[13]

در عصر هوش مصنوعی برای آنکه حفاظت از حریم خصوصی واقعاً مؤثر باشد، قانون باید از نظرگاه ساده‌سازانه و دوگانه‌انگارانه فاصله بگیرد و از گمنامی حفاظت کند.[14] سازمان‌ها نباید اجازه داشته باشند داده‌های شخصی را کورکورانه از سطح اینترنت جمع‎آوری نموده و مطابق میل‌شان از آن‌ها استفاده کنند.

قوانین حریم خصوصی در حال ‌حاضر دربارۀ داده‌های در دسترس عموم مواضع متناقضی اتخاذ می‌کنند. در حالی‌که برخی قوانین، از جمله مقررات عمومی حفاظت از داده‌ها (GDPR) در اروپا، در بیشتر موارد داده‌های در دسترس عموم را مستثنی نمی‌کنند، قوانین دیگر چنین می‌کنند.[15] برای مثال، قانون حریم خصوصی مصرف‌کنندگان کالیفرنیا (CCPA) «اطلاعات در دسترس عموم» را مستنثی می‌کند؛ این استثناء شامل داده‌های موجود در بایگانی دولتی، داده‌های منتشر شده در رسانه‌های جمعی یا داده‌هایی که توسط شخصی که داده‌ها به او مرتبط است یا توسط شخص دیگری در اختیار عموم قرار گرفته‌اند (به شرط آنکه شخصی که داده‌ها مرتبط با او هستند، آن داده‌ها را صرفاً به مخاطب یا مخاطبانی خاص محدود نکرده باشد) می‌شود.[16] قوانین حریم خصوصی مصرف‌کننده در برخی ایالت‌های دیگر، از جمله یوتا و ویرجینیا، نیز استثنائات مشابهی دربرمی‌گیرد.[17] سایر ایالات، با آنکه «اطلاعات در دسترس عموم» را مستثنی می‌کنند، از این اصطلاح تعریف بسیار محدودتری دارند. برای مثال، تعریف کلرادو تنها شامل داده‌های موجود در بایگانی دولتی و داده‌هایی می‌شود که خودِ شخص در اختیار عموم قرار داده ‌است.[18] تعریف ایالت کنتیکت، شامل همان دسته‌بندی‌های کلرادو می‌شود با این تفاوت که داده‌های منتشرشده توسط رسانه‌ها را نیز دربرمی‌گیرد.[19] برای مثال، همان‌طور که دیوید زتونی[20]، وکیل حریم خصوصی، بیان می‌کند، «با این که ممکن است برخی کسب‌وکارها اطلاعات قابل‌دسترس در سطح اینترنت را “اطلاعات در دسترس عموم” تلقی کنند، اکثر قوانین حریم خصوصی مرتبط با داده‌ها، تمامی اطلاعات قابل ‌دسترس در سطح اینترنت را به ‌عنوان “اطلاعات در دسترس عموم” طبقه ‎بندی نمی‌کنند».[21]

برخی از قوانین فدرال ایالات متحده، داده‌های در دسترس عموم را مستثنی نمی‌کنند. برای مثال، قانون گزارش‌دهی اعتباری منصفانه (FCRA)، که بر گزارش‌های اعتباری مقررات وضع می‌کند، تمام داده‌های گردآوری‌ شده و استفاده ‌شده توسط آژانس‌های گزارش‌دهی مصرف‌کننده را تحت حفاظت درمی‌آورد؛ فارغ از این که منبع این داده‌ها عمومی است یا خصوصی. بسیاری از داده‌های مورد استفاده در گزارش‌‌دهی‌های اعتباری، از اسناد عمومی به دست می‌آید؛ مانند داده‌های مربوط به املاک، مجوزها، محکومیت‌های کیفری، احکام مدنی، ورشکستگی‌ها و غیره. قانون انتقال‌پذیری و پاسخگویی بیمۀ سلامت (HIPAA) داده‌های مربوط به سلامتی را – هرچند به‌ طور عمومی در دسترس باشند –  تحت حفاظت خود درمی‌آورد.

بسیاری از پلتفرم‌ها، امکان دسترسی آزادانه به داده‌های شخصی کاربران‌شان را فراهم نمی‌کنند و استفاده از این داده‌ها را توسط شرایط استفاده از خدمات (Terms Of Service) محدود می‌کنند. این شرایط استفاده از خدمات، صرفاً پیشنهاد نیستند؛ بلکه شرایطی لازم‌اجرا هستند. برای مثال، لینکدین یک توافق‌نامۀ کاربری دارد که کاربر را ملزم به عدم ‌استفاده از نرم‌افزارها، ربات‌ها یا سایر فرآیندها برای استخراج اطلاعات پروفایل کاربران می‌کند.[22]

به‌ علاوه، در بسیاری از نمونه‌های قضایی، مانند پرونده‌های کارپنتر علیه ایالات متحده[23] و وزارت دادگستری ایالات متحدۀ امریکا علیه خبرنگاران کمیتۀ آزادی مطبوعات[24] که در دیوان عالی ایالات متحده بررسی شده‌اند، تصدیق شده ‌است که وجود دسترسی عمومی، حقوق حریم خصوصی افراد را منتفی نمی‌کند. در پروندۀ کارپنتر[25]، دیوان حکم داد که جمع‌آوری داده‌های جغرافیایی از حرکت وسایل نقلیۀ عمومی، انتظارات معقول در زمینۀ حریم خصوصی را نقض می‌کند. این تصمیم دیوان عالی، نشان‌دهندۀ یک دگرگونی عمده در رویکرد این نهاد به حریم خصوصی بود. تا پیش از آن، دیوان عالی معتقد بود هرآنچه در مکانی عمومی قابل ‌مشاهده باشد، خصوصی نیست.[26] با این حال، در پروندۀ کارپنتر، دیوان تصدیق کرد که با آنکه ردیابیِ حرکت عموماً در مناطق عمومی انجام شده‌ است، داده‌های جغرافیایی [ضبط ‌شده] «پنجره‌ای به زندگی محرمانۀ شخصی» فرد می‌گشاید.[27] دیوان عالی در حکم خود، وجود انتظاری معقول برای حفظ حریم خصوصی مرتبط با داده‌های GPS را تصدیق کرد و این داده‌ها را مشمول حفاظت [مشخص ‌شده در] متمم چهارم قانون اساسی دانست و دسترسی مأموران قانون به این داده‌ها را منوط به کسب مجوز جستجو کرد.

به این ترتیب، قانون حریم خصوصی ایالات متحده در این باره که قرارگرفتن در معرض عموم یا دسترسی عمومی، به معنای از بین رفتن حق حریم خصوصی است یا خیر، متناقض عمل می‌کند. مؤثربودن حفاظت از حریم خصوصی، مستلزم آن است که چارچوب‌های قانونی از تعاریف دوگانه گذر کنند و به محافظت از گمنامی بپردازند.

مسألۀ دیگر، به تعهدات پلتفرم‌ها و دیگر سازمان‌ها در موضوع محافظت در برابر اسکرپینگ مربوط می‌شود. قوانین حریم خصوصی، عموماً سایت‌ها را ملزم به ارائۀ محافظت در برابر اسکرپینگ نمی‌کنند. با این حال، این وظیفه برعهدۀ سازمان‌ها است که در شرایط استفاده از خدمات (Terms Of Service) محافظت‌هایی را درخصوص داده‌های کاربران‌شان در نظر بگیرند و سپس [محافظت‌های موجود در] شرایط استفاده از خدمات را اجرایی کنند؛ لازم است که قوانین حریم خصوصی سازمان‌ها را ملزم به ارائۀ محافظت در برابر اسکرپینگ کنند. چنانچه یک سازمان حجم عظیمی از داده‌های شخصی به طرف‌های ثالث منتقل کند، این عمل ناقضِ بسیاری از قوانین حریم خصوصی خواهد بود. ناتوانی در جلوگیری از برداشت داده‌ها توسط طرف‌های ثالت نیز در عمل تفاوتی با فروش یا به ‌اشتراک‌گذاری‌شان ندارد.

سه) اسناد عمومی مسئولانه

با توجه به مشکلات مربوط به استفاده از اسناد آنلاین برای جمع‌آوری و استفادۀ سهل‌انگارانه از داده‌های شخصی مورد نیاز سیستم‌های هوش مصنوعی، دولت موظف است که بر داده‌های شخصی‌ای که به ‌طور عمومی منتشر می‌سازد، کنترل مسئولانه‌ای اِعمال کند.

قوانین دسترسی آزاد به اسناد در اصل با هدف افزایش شفافیت عملکرد دولت وضع شده‌اند. با این حال، امروزه بیش از هر چیز، شرکت‌های کلان‌داده از اسناد عمومی جهت جمع‌آوری و گردهم‌آوردن داده‌های شخصی بهره می‌برند. قوانینی که وضع شده‌اند تا به مردم توانِ آشکارسازی عملکرد دولت را بدهند، اکنون در خدمتِ آشکارسازی خودِ مردم قرار گرفته‌اند.[28] اسناد عمومی نباید برای هوش منصوعی به منبع پایان‌ناپذیری از داده‌های در دسترس تبدیل شوند.

در پروندۀ دپارتمان پلیس لس آنجلس علیه شرکت یونایتد ریپورتینگ پابلیشینگ[29]، یک حکم قضایی دسترسی به اطلاعات عمومی مربوط به دستگیری‌ها را محدود کرد و اظهارکنندگان را ملزم ساخت با اذعان به اطلاع از مجازات شهادت دروغ، شهادت بدهند که از این داده‌ها «به ‌طور مستقیم یا غیرمستقیم برای فروش محصولات یا خدمات» استفاده نخواهد شد. این حکم با این ادعا که ناقض حق بیان تجاری است، به چالش کشیده شد. با این حال، دیوان عالی ایالات متحده، این حکم را محدود کنندۀ حق بیان ندانست. دیوان عالی اظهار داشت که این حکم، «گوینده را از اینکه اطلاعاتی را که از پیش در اختیار داشته ‌است، به دیگران منتقل کند» منع نمی‌کند؛ بلکه صرفاً «یک محرومیت دسترسی است که دولت در خصوص اطلاعاتی وضع کرده که در اختیار آن (=دولت) قرار داشته‌ است».

این حکم به‌ طور ضمنی بر این دلالت دارد که دولت می‌تواند برای بسیاری از داده‌هایی که در در سطح عمومی منتشر می‌کند، شروطی تعیین نماید؛ مشابه شرایطی که یک شرکت می‌تواند در «شرایط استفاده از خدمات» خود تعیین کند. دولت‌ها می‌توانند اسناد عمومی را با این شرط در دسترس قرار دهند که از برخی داده‌های مشخص به برخی روش‌های مشخص استفاده نشود. این تمایزگذاری به برقراری یک توازن عملی می‌انجامد. دسترسی مشروط، همچنان که از حریم خصوصی محافظت می‌کند، شرایطی را فراهم می‌کند که عموم بتوانند به مجموعۀ عظیمی از اسناد دسترسی داشته باشند.

نه ‌تنها مشروط‌ ساختن دسترسی به داده‌های شخصی در اسناد عمومی مغایر با متمم اول قانون اساسی ایالات متحده[30] نیست، بلکه باید وظیفۀ قانونی دولت تلقی شود. قانون باید نهادهای دولتی را ملزم به وضع شروطی معقول بر دسترسی به داده‌های شخصی کند. رها کردن محافظت ‌نشدۀ داده‌های شخصی در فضای اینترنت، حاکی از عملکرد غیرمسئولانۀ نهادهای دولتی است.

2. جمع‌آوری «رضایت‌مندانۀ» داده‌ها

یک) افسانه‌های رضایت

شرکت‌ها آغاز به تغییر اطلاعیه‌های حریم خصوصی‌شان کرده‌اند تا استفاده از داده‌های افراد برای توسعۀ هوش مصنوعی را مورد اشاره قرار دهند. برای مثال، در سال 2023، نرم‌افزار زوم[31] اطلاعیۀ حریم خصوصی خود را تغییر داد تا نشان دهد که کاربران رضایت خود را برای «دسترسی، استفاده، جمع‌آوری، تولید، اصلاح، توزیع، پردازش، به‌اشتراک‌گذاری، نگهداری و ذخیره ‌سازی داده‌های تولید شده توسط سرویس[32] به هر هدفی» اظهار کرده‌اند. این اطلاعیه اظهار می‌دارد که «هر هدف» شامل آموزش الگوریتم‌های هوش مصنوعی نیز می‌شود. به ‌علاوه، در زوم ماده‌ای مندرج شد که مطابق آن کاربر به زوم «یک مجوز دائمی، جهانی، غیرانحصاری و بدون بهرۀ مالکانه[33]» عطا کرده تا از محتوای آنان برای آموزش هوش مصنوعی و هر هدف دیگری استفاده کند. با این حال، توجه عمومی به این تغییرات جلب شد و شرکت زوم عقب ‌نشینی کرد.[34]

در همان سال، گوگل و دیگر شرکت‌ها اعلامیه‌های حریم خصوصی خود را به ‌طوری تغییر دادند که تصریح‌ کنندۀ جمع‌آوری داده برای هوش مصنوعی باشد. گوگل اعلام کرد که «ما از اطلاعات در دسترس عموم در راستای کمک به آموزش مدل‌های هوش مصنوعی گوگل و ایجاد محصولات و قابلیت‌هایی همچون مترجم گوگل، بارد[35]و کلود ای‌آی[36] استفاده می‌کنیم».[37] ایکس[38]، توییترِ سابق، اعلامیۀ حریم خصوصی خود را به ‌روزرسانی کرد و در آن اظهار داشت: «ممکن است ما از اطلاعاتی که جمع‌آوری می‌کنیم و اطلاعات در دسترس عموم برای کمک به آموزش مدل‌های یادگیری ماشین یا هوش مصنوعی‌مان برای اهداف بیان ‌شده در این خط‌ مشی، استفاده کنیم».[39]

تغییر اعلامیه‌های حریم خصوصی و جمع‌آوری و استفاده از داده‌های شخصی برای مقاصد جدید، رویه‌ای رایج است و به هوش مصنوعی منحصر نمی‌شود. در بسیاری از قوانین حریم خصوصی ایالات متحده، عموماً چنین رویه‌هایی ذیل رویکرد اطلاع و انتخاب مجاز شمرده می‌شود.[40]

اگرچه مقررات عمومی حفاظت از داده‌ها (GDPR) در اروپا، رویکرد اطلاع و انتخاب را رد می‌کند و رضایت صریح کاربر را الزامی می‌شمارد، حتی این نحوۀ نیرومندتر از [کسب] رضایت نیز بی‌معناست. [کسب] چنین رضایتی اغلب صرفاً نیازمند یک کلیک بر دکمۀ پذیرش است؛ چنین چیزی تضمین نمی‌کند که افراد اعلامیۀ حریم خصوصی را مطالعه کرده یا خطرات مربوطه را درک کرده باشند. به احتمال زیاد، مجبورکردن افراد به نشان‌دادن رضایت صریح به‌ واسطۀ کلیک بر یک دکمۀ موافقت نیز به افزایش مطالعۀ یک اعلامیه نخواهد انجامید.[41] در دیگر آثارم، استدلال کرده‌ام که صرف‌نظر از اینکه رضایت از طریق تعبیۀ گزینۀ انصراف کسب شده یا به شیوۀ بیان صریح رضایت، به ‌طورکلی عمدتاً چیزی بیش از یک افسانه نیست.[42]

هوش مصنوعی معادله را پیچیده‎تر می‌کند و این افسانه را خیالبافه‌تر می‌سازد. برای مثال، اینکه هوش مصنوعی مولّد مشخصاً چطور به ‌کار برده می‌شود، اغلب نامعلوم است. کاربران ابزارهای هوش مصنوعی مولّد می‌توانند آن‌ها را برای گسترۀ وسیعی از استفاده‌ها، از خیرخواهانه تا بدخواهانه، به‌ کار ببرند. رضایت به یک چک سفید بدل می‌شود که با آن می‌توان تقریباً به هر کاری دست زد. در برخورد با هوش مصنوعی، مردم اغلب نمی‌دانند به چه چیزی رضایت می‌دهند.

هوش مصنوعی ضعف‌های رویکردهای رضایت ‌مبنا را تشدید می‌کند؛ امّا قوانین حریم خصوصی مدت‌هاست که به دلیل تکیۀ بیش‌ازحد بر رضایت دچار نقصان بوده‌اند. چه رضایت از روش تعبیۀ گزینۀ انصراف کسب شده باشد یا به شیوۀ بیان صریح رضایت، چه ذیل قوانین حریم خصوصی ایالات متحده یا GDPR یا بسیاری قوانین حریم خصوصی دیگر سرتاسر جهان، رضایت چیزی را که استاد الِترا بِیتی[43] به‌درستی آن را «جواز رایگان»[44] می‌نامد، در اختیار شرکت‌ها می‌گذارد تا از آن برای بهره‌گیری از داده‌ها به روش‌های بی‌شمار استفاده کنند.[45]

دو) محدودیت‌هایی بر جمع‌آوری داده توسط هوش مصنوعی

سویۀ منفی دیگر ماجرا آن است که الزام به کسب رضایت می‌تواند در موقعیت‌هایی که جمع‌آوری داده‌های شخصی برای مدل‌های هوش مصنوعی به مصالحِ چشم‌گیری می‌انجامد، مانع ایجاد کند. علاوه بر این، اسکرپینگ می‌توانند یاری‌گر پژوهشگران و روزنامه‌نگاران باشد. جولیان انگوین[46]، روزنامه‌نگار حوزۀ فناوری، اشاره می‌کند که برای واکاوی اینکه «چگونه خودکامه‌گان، ترول‌ها[47]، جاسوس‌ها، بازاریاب‌ها و دارودسته‌های نفرت‌ورز پلتفرم‌های فناوری را به سلاحی برای اهداف خود تبدیل می‌کنند یا به‌واسطۀ این پلتفرم‌ها فعال می‌شوند»، روزنامه‌نگاران باید «به حجم عظیمی از داده‌های عمومی دسترسی داشته باشند … تا دریابند که یک رویداد، خلاف قاعده است یا روندی بزرگ‌تر را بازنمایی می‎کند».[48] برای جمع‌آوری داده از سراسر اینترنت، کسب رضایت صریح فردی اگر غیرممکن نباشد، دست‌کم چالشی مرعوب‌ کننده است.

مقررات عمومی حفاظت از داده‌های اروپا (GDPR)، دربرگیرندۀ هیچ استثنائی دربارۀ اطلاعات در دسترس عموم نیست. مطابق GDPR، سازمان‌ها تنها در صورتی می‌توانند به جمع‌آوری داده بپردازند که یکی از شش مبنای قانونی جمع‌آوری داده دربارۀ یک موضوع داده را تأمین کنند: (1) رضایت؛ (2) ضرورت برای قرارداد[49]؛ (3) ضرورت برای پیروی از یک وظیفۀ قانونی؛ (4) ضرورت برای حفاظت از منافع حیاتی یک شخص؛ (5) ضرورت برای منافع عمومی؛ (6) ضرورت برای منافع مشروع، «به ‌نحوی که ناقض منافع یا حقوق و آزادی‌های بنیادی فردِ موضوع داده نباشد».[50]

تحت GDPR، شرکت‌های بزرگ می‌توانند راه‌هایی بیابند تا رضایت میلیون‌ها یا میلیاردها کاربر خود را کسب کنند. امّا شرکت‌های کوچکی که پایگاه بزرگی از کاربران ندارند، ناچارند داده‌های خود را از منابعی که تحت کنترل آن‌ها نیست و در شرایطی جمع‌آوری کنند که قادر به کسب رضایت نیستند. به این ترتیب، این شرکت‌های کوچک از حجم دادۀ لازم برای آموزش مدل‌های هوش مصنوعی بی‌بهره خواهند بود.

در پروندۀ های‌کیو لَبز علیه لینکدین[51]، لینکدین مانع از آن شد که های‌کیو از طریق اسکرپینگ، داده‌های شخصی را از پروفایل کاربرانش استخراج کند. های‌کیو استدلال کرد که این ایجاد مانع، اقدامی ضدرقابتی است و دادگاه نیز با این ادعا موافقت کرد.[52] با این حال، دعوی قضایی ادامه یافت و در نهایت حل‌وفصل شد. اگرچه دادگاه به ‌غلط با نام دفاع از مراقبت، شرکت‌ها را مجاز به نادیده ‎گرفتن حفاظت‌های حریم خصوصی دانست، امّا این مسأله به ‌راستی نگران ‌کننده است که اگر شرکت‌ها صرفاً بتوانند از داده‌هایی که در اختیار دارند استفاده کنند، آنگاه شرکت‌های بزرگ در توسعۀ هوش مصنوعی از مزیت چشم‌گیری بهره‌مند خواهند بود.

مطابق GDPR  «منافع مشروع» موجه‌ترین مبنای قانونی تلقی می‌شود.[53] امّا از سوی دیگر، GDPR در قبال منافع مشروع نیز رویکردی دست ‌و پاگیر اتخاذ می‌کند؛ به ‌نحوی که توسل به این مبنا، ساده و اطمینان‌بخش نخواهد بود؛ چراکه [این موضوع که استفادۀ مدِّنظر شرکت در حیطۀ منافع مشروع تلقی می‌شود یا نه] به موارد خاص استفاده از هوش مصنوعی بستگی خواهد داشت.

اگر GDPR به محدودیت گستردۀ جمع‌آوری داده‌ها [برای] هوش مصنوعی در اتحادیۀ اروپا بینجامد یا اگر قوانین حریم خصوصی برخی حوزه‌های قضایی مانع از جمع‌آوری داده شوند، تأثیرات تحریف‌ کننده‌ای ایجاد می‌شوند. برای مثال، اگر به دلیل محدودیت‌های قانونی داده‌های آموزشی مربوط به مردم اتحادیۀ اروپا یا کشوری خاص کنار گذاشته شوند، مدل‌های هوش مصنوعی ممکن است دچار انحراف شوند به‌ طوری که بازتاب‌دهندۀ مردم کشورهایی باشند که در آن‌ها می‌توان داده‌ها را آزادانه‌تر جمع‌آوری کرد. الگوریتم‌های هوش مصنوعی بر رویه‌ها و رفتارهای فرهنگی همان مردمی تآکید خواهند کرد که به ‌وسیلۀ داده‌هایشان آموزش دیده‌اند.


[1] Charlotte A. Tschider, AI’s Legitimate Interest: Towards a Public Benefit Privacy Model 21 Hous. J. Health L. & Policy 125, 132 (2021) («به‌ویژه اپلیکیشن‌های یادگیری ماشین حجم عظیمی از داده را استفاده می‌کنند. این داده‌ها توسط یک ابزار یادگیری ماشین تجزیه و تحلیل می‌شوند تا روابط میان‌شان شناسایی شود.»)

[2] Clearview AI

[3] KASHMIR HILL, YOUR FACE BELONGS TO US; A SECRETIVE STARTUP’S QUEST TO END PRIVACY AS WE KNOW IT (2023).

[4] Kieran McCarthy, “Web Scraping for Me, But Not for Thee,” Tech. & Marketing L. Blog (Aug. 24, 2023) (nothing that ChatGPT has “almost certainly already scraped the entire non-authwalled-Internet” and used the data to train ChatGPT), https://blog.ericgoldman.org/ archives/2023/08/web-scraping-for-me-but-not-for-thee-guest-blog-post.htm.

[5] با آنکه تنها برخی از قوانین حریم خصوصی – مانند مقررات عمومی حفاظت از داده‌های اتحادیۀ اروپا (GDPR) و قانون حریم خصوصی مصرف‌کنندگان کالیفرنیا (CCPA) شامل تمامی این اصول می‌شوند، بسیاری از قوانین حریم خصوصی بخش عمدۀ این اصول را دربرمی‌گیرند. به‌علاوه، بسیاری از این اصول در چارچوب‌های تأثیرگذاری مانند دستورالعمل‌های سال 1980 «سازمان همکاری و توسعۀ اقتصادی» (OECD)، چارچوب حریم خصوصی «مؤسسۀ ملی استاندارد و فناوری» (NIST) (6 ژانویۀ 2020 – https://www.nist.gov/privacy-framework) و اصول قانون متعلق به موسسۀ حقوقی امریکا، بخش حریم خصوصی (AMERICAN LAW INSTITUTE’S PRINCIPLES OF THE LAW, DATA PRIVACY) (22 می 2019) مندرج شده‌اند.

[6] scrapers

[7] DANIEL J. SOLOVE, THE DIGITAL PERSON: TECHNOLOGY AND PRIVACY IN THE INFORMATION AGE (2004).

[8] Lior Jacob Strahilevitz, A Social Networks Theory of Privacy, 72 University of Chicago Law Review 919 (2005).

[9] Helen Nissenbaum, Protecting Privacy in the Information Age: The Problem of Privacy in Public, 17 Law & Phil. 559 (1998); Helen Nissenbaum, Toward an Approach to Privacy in Public: Challenges of Information Technology, 7 Ethics & Behav. 207, 208 (1997); Joel R. Reidenberg, Privacy in Public, 69 U. Miami L. Rev. 141, 157-59 (2014); Woodrow Hartzog, The Public Information Fallacy, 99 B.U. L. Rev. 459, 522 (2019).

[10] Woodrow Hartzog & Evan Selinger, Surveillance as Loss of Obscurity, 72 Wash. & Lee L. Rev. 1343, 1349 (2015).

[11] DANIEL J. SOLOVE, THE FUTURE OF REPUTATION: GOSSIP, RUMOR, AND PRIVACY ON THE INTERNET 184-86 (2007).

[12] appropriation. این تخلف زمانی رخ می‌دهد که متهم بدون کسب اجازۀ شاکی از نام، تصویر یا شباهت به او برای مقاصد تجاری استفاده کند. این تخلف بخشی از قوانین حریم خصوصی در برخی کشورهاست و به افراد اجازه می‌دهد که در صورت استفادۀ غیرمجاز از هویت‌شان، اقدام قانونی کنند. (م)

[13] Restatement (Second) of Torts §652C.

[14] Woodrow Hartzog & Frederic Stutzman, Obscurity by Design, 88 Wash. L. Rev. 385, 407 (2013). من پیش از این مسألۀ گمنامی را با بهره‌گیری از اصطلاح «دردسترس‌بودگیِ فزایند» موردبحث قرار داده‌ام. SOLOVE, UNDERSTANDING PRIVACY, supra, at

[15] GDPR عموماً از داده‌های در دسترس عموم نیز محافظت می‌کند؛ امّا «آن دسته از داده‌های شخصی‌ که به‌وضوح توسط شخصی که داده‌ها به او مرتبط است عمومی شده‌اند» را مستثنی می‌کند. GDPR art. 9.2(e)

[16] Cal. Civ. Code § 1798.140(v)(2) (West 2021).

[17] Va. Code § 59.1-571 (2021); Utah Code Ann. § 13-61-101(29)(b) (2022).

[18] C.R.S. § 6-1-1303(17)(b) (2021).

[19] Connecticut Data Privacy Act, § 1(25).

[20] David Zetoony

[21] David Zetoony, What is ‘Publicly Available Information’ under the State Privacy Laws? National Law Review (Sept. 13, 2023) https://www.natlawreview.com/article/what-publiclyavailable-information-under-state-privacy-laws.

[22] LinkedIn, User Agreement 8.2, https://www.linkedin.com/legal/user-agreement.

[23] Carpenter v. United States

[24] DOJ v. Reporters Committee for Freedom of the Press

[25] Carpenter

[26] United States v. Knotts, 460 U.S. 276 (1983) (زمانی که دستگاه ردیابی، بر حرکت در مکان‌های عمومی نظارت می‌کند، انتظار معقولی برای حفظ حریم خصوصی وجود ندارد); Florida v. Riley, 488 U.S. 445 (1989) (دربارۀ هرآنچه از یک هلیکوپتر که در فضای هوایی قانونی پرواز می‌کند توسط افسران پلیس قابل‌رؤیت باشد، هیچ انتظاری برای حفظ حریم خصوصی وجود ندارد).

[27] Carpenter v. United States, 138 S. Ct. 2206 (2018).

[28] Daniel J. Solove, Access and Aggregation: Public Records, Privacy, and the Constitution, 86 Minn. L. Rev. 1137, 1176-78 (2002).

[29] Los Angeles Police Department v. United Reporting Publishing Co.

[30] نویسنده از آن رو به متمم اول قانون اساسی اشاره می‌کند که در این متمم، تصریح شده‌است که دولت اجازه ندارد آزادی بیان و آزادی مطبوعات را سلب کند. در پروندۀ دپارتمان پلیس لس آنجلس علیه شرکت یونایتد ریپورتینگ پابلیشینگ ، دیوان عالی حکم بر آن داد که محدودکردن حق دسترسی به اطلاعات عمومی به‌منظور جلوگیری از استفادۀ تجاری، ناقض حق آزادی بیان نیست. نویسنده با ارجاع به این پرونده، وضع محدودیت دولتی بر دسترسی به داده‌های شخصی به منظور حریم خصوصی را در دایرۀ اختیارات مشروع دولتی می‌شمارد. (م)

[31] Zoom

[32] Service Generated Data: داده‌های تولید شده توسط سرویس، به داده‌های کاربری و متاداده‌هایی اشاره دارد که به‎واسطۀ استفاده از یک سرویس تولید شده‌اند. این داده‌ها شامل داده‌های تولیدشده به‌واسطۀ استفادۀ کاربر از پشتیبانی مشتریان و دیگر خدمات نامرتبط با محصول اصلی نیز می‌شود. افزوده‌شدن این ملحقات به داده‌های تولیدشده توسط سرویس تا آن‌جا ادامه می‌یابد که داده‌های شخصی را نیز شامل می‌شود. (م)

[33] royalty-free

[34] an Krietzberg, “Zoom Walks Back Controversial Privacy Policy,” The Street (Aug. 11, 2023).

[35] Google Bard چت‌بات هوش مصنوعی مولدِ توسعه‌یافته توسط شرکت گوگل بود. هویت تجاری این چت‌بات در تاریخ 19 بهمن 1402 به گوگل جمینی (Google Gemini) تغییر یافت. (م)

[36] Cloud AI یا هوش مصنوعی ابری، از طریق آمیختگی رایانش ابری (cloud computing) و هوش مصنوعی ایجاد می‌شود. Google Cloud AI مجموعه‌ای از محصولات، راه‌حل‌ها و برنامه‌های پیشرفتۀ هوش مصنوعی را در اختیار کاربران می‌گذارد تا کاربران و به‌ویژه کسب‌وکار بتوانند با سهولت و به‌طور یکپارچه از قابلیت‌های هوش مصنوعی (شامل یادگیری ماشین، پردازش زبان طبیعی و …) در عملیات روزانۀ خود بهره‌مند شوند. (م)

[37] Matthew G. Southern, “Google Updates Privacy Policy to Collect Public Data For AI Training,” Search Engine Journal (July 3, 2023), https://www.searchenginejournal.com/ google-updatesprivacy-policy-to-collect-public-data-for-ai-training/490715/.

[38] X

[39] Sarah Perez, “X’s Privacy Policy Confirms It Will Use Public Data to Train AI Models,” Tech Crunch (Sept. 1, 2023).

[40] به‌عنوان مثالی از رویکرد اطلاع و انتخاب در قوانین حریم خصوصی ایالات متحده می‌توان به CAN-SPAM Act, 15 U.S.C. §7704(a)(3) (مجازشمردن ارسال ایمیل‌های تجاری توسط شرکت، بدون اینکه کاربر خواستار این ایمیل‌ها باشد؛ مگر اینکه افراد از این فرآیند انصراف دهند) و TCPA, 47 U.S.C. §227 (مجازشمردن تماس بازاریابان تلفنی به افراد، مگر اینکه افراد از این فرآیند انصراف دهند) اشاره کرد.

[41] 2 Florencia Marotta-Wurgler, Will Increased Disclosure Help? Evaluating the Recommendations of the ALI’s “Principles of the Law of Software Contracts,” 78 U. Chi. L. Rev. 165, 168 (2011) (این پژوهش نشان می‌دهد که ملزم‌کردن افراد به کلیک بر دکمۀ «می‌پذیرم» تنها منجر به %1 افزایش در نرخ مطالعۀ شرایط استفاده شده‌است).

[42] Solove, Murky Consent, supra note X, at X.

[43] Elettra Bietti

[44] free pass

[45] Elettra Bietti, Consent as a Free Pass: Platform Power and the Limits of the Informational Turn, 40 Pace L. Rev. 308, 313 (2020).

[46] Julia Angwin

[47] Troll. در ادبیات مرتبط با اینترنت، اصطلاح ترول برای افرادی به‌کار می‌رود که به منظور برانگیختن واکنش‌های احساسی  دیگر کاربران، عمداً اقدام به انتشار محتواهای تحریک‌آمیز، توهین‌آمیز، آزاردهنده یا بحث‌برانگیز می‌کنند.

[48] Julia Angwin, “The Gatekeepers of Knowledge Don’t Want Us to See What They Know,” N.Y. Times (July 14, 2023).

[49] معنای این عبارت آن است که اگر دسترسی به داده‌های شخصی برای انجام وظایف و تعهدات ناشی از قراردادِ میان سازمان و فردِ موضوع داده (= شخصی که داده‌ها مربوط به او هستند) ضروری باشد، سازمان‌ها می‌توانند بدون نیاز به دریافت رضایت جداگانه دربارۀ این داده‌ها، آن‌ها را جمع‌آوری و پردازش کند. برای مثال، اگر یک فرد به‌طور آنلاین یک محصول را سفارش دهد، سازمان حق دارد مشخصات فردی و آدرس کاربر را جمع‌آوری و پردازش کند، چرا که این اقدام برای اجرای قرداد خرید/فروش ضرورت دارد. (م)

[50] GDPR art. 6.

[51] HiQ Labs v. LinkedIn

[52] HiQ Labs, Inc. v. LinkedIn Corp., 938 F.3d 985 (9th Cir. 2019). برای آشنایی با پیش‌زمینۀ ناهم‌خوانی قوانین حریم خصوصی و ضدرقابت، نگاه کنید به: Erika M. Douglas, The New Antitrust/Data Privacy Law Interface, Yale L.J. Forum (Jan. 18, 2021).

[53] Magali Feys, Herlad Jongen, & Gary LaFever, Legal Basis Requirements for AI, LinkedIn (July 17, 2023), https://www.linkedin.com/pulse/legal-basis-requirements-ai-gary-lafever/.