بخش سوم از مقاله (Artificial Intelligence and Privacy (2024
دنیل جی. سولوو
ترجمه سمانه هاشمی نژاد
جمعآوری دادهها
هوش مصنوعی، با خود جمعآوری حجم بیسابقهای از داده را به ارمغان آورده است.[1] دادههای شخصی عمدتاً به دو روش برای هوش مصنوعی جمعآوری میشوند: از طریق جمعآوری بدون رضایت داده از سطح اینترنت یا به واسطۀ تغییر کاربری دادههای مشتری یا کاربر. عطش هوش مصنوعی برای مصرفِ داده، قوانین حریم خصوصی را با فشار عظیمی مواجه کرده است؛ قوانینی که تلاش دارند جمعآوری داده را به نحو مؤثری کنترل کنند. در بسیاری از موارد، هوش مصنوعی میتواند از حفاظتهای تعیین شده در بسیاری از قوانین سر باز بزند. در سایر مواقع، در صورتی که این قوانین به نحوی سختگیرانه تفسیر و اجرا شوند، جمعآوری داده را بسیار محدود میکنند و هوش مصنوعی را از دادههای مورد نیازش محروم میسازند. به این ترتیب، یافتن راهی میانه بین جمعآوری بیرویۀ دادهها و محروم کردن هوش مصنوعی از داده، دشوار خواهد بود.
1. جمعآوری داده بدون کسب رضایت کاربر (اسکرپینگ)
الگوریتمهای یادگیری ماشین برای آموزش دیدن، به دادههای گستردهای نیاز دارند و اینترنت دسترس پذیرترین منبع داده به شمار میآید. برای مثال، شرکتی با نام کلیرویو ایآی[2]، یکی از پیشرفتهترین ابزارهای تشخیص چهره را از طریق گردآوری میلیاردها عکس از شبکههای اجتماعی، پروفایلهای آنلاین و وبسایتهای عکاسی توسعه داد. این شرکت، بدون کسب رضایت از تصاویری استفاده کرد که افراد هرگز پیشبینی نمیکردند که به بخشی از یک شبکۀ عظیم مبتنی بر هوش مصنوعی تبدیل خواهد شد و برای اجرای قانون و نظارت دولتی به کار خواهد رفت.[3] بسیاری از نهادها در این قبیل فعالیتهای جمعآوری داده مشارکت دارند. سازمانهای مختلف بیوقفه دادههای آنلاین را برای تأمین نیازهای سیری ناپذیر سیستمهای هوش مصنوعیشان استخراج میکنند.[4]
یک) اسکرپینگ و اصول حریم خصوصی
جمعآوری داده از سطح وب بدون کسب رضایت کاربر یا وباسکرپینگ، بسیاری از اصول به رسمیت شناخته شدۀ حریم خصوصی در قوانین، دستورالعملهای صنعتی یا استانداردهای پذیرفته شده را نقض میکند. این اصول شامل این موارد هستند: شفافیت دربارۀ جمعآوری و استفاده از دادههای شخصی، اطلاعرسانی به افراد درخصوص سیاستهای حریم خصوصی، تعیین مقاصد استفاده از دادههای شخصی، جلوگیری از بهکاربردن دادهها برای مقاصد ثانویۀ نامرتبط، کسب رضایت برای استفاده از دادهها یا ارائۀ گزینههای انصراف، فراهم کردن اطلاعات دربارۀ دریافتکنندگان ثالثِ دادهها، انجام احتیاط لازم پیش از انتقال دادهها به طرفهای ثالث، ایجاد توافقنامههای لازم با طرفهای ثالثِ دریافتکنندۀ داده جهت اطمینان از محافظت از دادهها، اعطای حق به افراد بر دادههای شخصیشان که شامل حق دسترسی، اصلاح، حذف و انتقال میشود، نگهداشتن دادهها فقط تا زمانی که برای مقاصد تعیین شده ضرورت داشته باشد، حذف دادهها به روش مناسب، حفظ صحت دادهها و محافظت از دادهها در برابر دسترسی غیرمجاز.[5] اسکرپینگ بنا به ماهیت خود تمامی این اصول را نادیده میگیرد. دادهها بدون هرگونه اطلاعرسانی، رضایت، گزینش، حفاظت، تعیین مقاصد مشخص شده، محدودیت در مقاصد، به حداقل رسانی داده، رعایت حقوق فردی، محدودیت مدت نگهداشت و غیره، توسط جمعآوری کنندگان داده[6] به سادگی جمعآوری میشوند. اسکرپینگ بنا به ماهیت خود، فاقد هرگونه ملاحظۀ مربوط به حریم خصوصی است.
اسکرپینگ از مدتها پیش از محبوبیت یافتن و شروع استفادۀ گسترده از الگوریتمهای یادگیری ماشین، صورت گرفته است. از همین رو، اسکرپینگ یک مشکلِ منحصر به هوش مصنوعی نیست. امّا هوش مصنوعی، اسکرپینگ را به نحو چشمگیری شدت بخشیده؛ چراکه انگیزههایی را برای افزایش میزان و وسعت آن ایجاد کرده است.
دو) دادههای در دسترس عموم
در ایالات متحده، اسکرپنیگ تاکنون از درگیری جدی با قوانین حریم خصوصی به دور بوده است؛ عمدتاً به این دلیل که به نظر میرسد که دادههایی را هدف قرار میدهد که به طور آنلاین در دسترس عموم هستند. کسانی که اقدام به اسکرپینگ میکنند، اغلب با این فرض عمل میکنند که دربارۀ این قبیل دادههای در دسترس عموم، جای هیچ نگرانی مرتبط با حریم خصوصی نیست. آنان باور دارند که میتوانند به نحوی بیقید و شرط به این دادهها دسترسی داشته باشند.
بسیاری از قوانین حریم خصوصی، به مفهومی سادهانگارانه و دوگانهساز از حریم خصوصی متوسل میشوند. این قوانین، دادههای شخصی را تنها در صورتی خصوصی به شمار میآورند که مخفی شده باشند؛ مفهومی که من آن را «پارادایم محرمانگی» نامیدهام.[7] با این حال، حریم خصوصی بسیار پیچیدهتر است و شامل مجموعه مرزهایی میشود که مشخص میکنند دادهها چگونه به اشتراک گذاشته میشوند.[8] افراد به ندرت دادههایشان را کاملاً خصوصی نگه میدارند. رایجتر آن است که این دادهها را در محدودههای اجتماعی مشخصی آشکار کنند؛ مثلاً میان دوستان، خانواده، همکاران یا اعضای گروههایِ دارندۀ علایق مشترک، مثلاً کسانی که با چالشهای مشابهی در حوزۀ سلامتی روبهرو هستند یا با اعتیادهای مشابهی در جدالاند.
همانطور که چندین پژوهشگر به نحوی مجابکننده استدلال کردهاند، مردم انتظار دارند که در فضای عمومی از حدی از حریم خصوصی برخوردار باشند. چنین انتظاری هم منطقی است و هم برای آزادی، دموکراسی و رفاه فردی اهمیت دارد.[9] در زندگی روزمره، بخش بزرگی از دادههای ما به واسطۀ «گمنامی عملی» مورد محافظت قرار میگیرد.[10] اگرچه حتی امکان دارد دادهها در معرض دید عموم باشند، همچنان ممکن است افراد مایل باشند حریم خصوصیشان درخصوص این دادهها حفظ شود؛ چراکه یافتنِ این دادهها دشوار است، معمولاً مشاهده یا ضبط نمیشوند و تکهتکه در فضایی وسیع پراکنده شدهاند.
بهعلاوه، همانطور که قانون مالکیت فکری نشان داده است، قانون میتواند برای اطلاعاتِ در دسترس عموم نیز محافظت قدرتمندی فراهم کند.[11] قانون حریم خصوصی نیز در برخی موارد چنین کاری انجام میدهد، از جمله در مثالِ تخلف تصرفِ نام یا شباهت[12] که قانون صرفنظر از دسترسی عمومی به دادههای مربوطه، از آنها محافظت میکند.[13]
در عصر هوش مصنوعی برای آنکه حفاظت از حریم خصوصی واقعاً مؤثر باشد، قانون باید از نظرگاه سادهسازانه و دوگانهانگارانه فاصله بگیرد و از گمنامی حفاظت کند.[14] سازمانها نباید اجازه داشته باشند دادههای شخصی را کورکورانه از سطح اینترنت جمعآوری نموده و مطابق میلشان از آنها استفاده کنند.
قوانین حریم خصوصی در حال حاضر دربارۀ دادههای در دسترس عموم مواضع متناقضی اتخاذ میکنند. در حالیکه برخی قوانین، از جمله مقررات عمومی حفاظت از دادهها (GDPR) در اروپا، در بیشتر موارد دادههای در دسترس عموم را مستثنی نمیکنند، قوانین دیگر چنین میکنند.[15] برای مثال، قانون حریم خصوصی مصرفکنندگان کالیفرنیا (CCPA) «اطلاعات در دسترس عموم» را مستنثی میکند؛ این استثناء شامل دادههای موجود در بایگانی دولتی، دادههای منتشر شده در رسانههای جمعی یا دادههایی که توسط شخصی که دادهها به او مرتبط است یا توسط شخص دیگری در اختیار عموم قرار گرفتهاند (به شرط آنکه شخصی که دادهها مرتبط با او هستند، آن دادهها را صرفاً به مخاطب یا مخاطبانی خاص محدود نکرده باشد) میشود.[16] قوانین حریم خصوصی مصرفکننده در برخی ایالتهای دیگر، از جمله یوتا و ویرجینیا، نیز استثنائات مشابهی دربرمیگیرد.[17] سایر ایالات، با آنکه «اطلاعات در دسترس عموم» را مستثنی میکنند، از این اصطلاح تعریف بسیار محدودتری دارند. برای مثال، تعریف کلرادو تنها شامل دادههای موجود در بایگانی دولتی و دادههایی میشود که خودِ شخص در اختیار عموم قرار داده است.[18] تعریف ایالت کنتیکت، شامل همان دستهبندیهای کلرادو میشود با این تفاوت که دادههای منتشرشده توسط رسانهها را نیز دربرمیگیرد.[19] برای مثال، همانطور که دیوید زتونی[20]، وکیل حریم خصوصی، بیان میکند، «با این که ممکن است برخی کسبوکارها اطلاعات قابلدسترس در سطح اینترنت را “اطلاعات در دسترس عموم” تلقی کنند، اکثر قوانین حریم خصوصی مرتبط با دادهها، تمامی اطلاعات قابل دسترس در سطح اینترنت را به عنوان “اطلاعات در دسترس عموم” طبقه بندی نمیکنند».[21]
برخی از قوانین فدرال ایالات متحده، دادههای در دسترس عموم را مستثنی نمیکنند. برای مثال، قانون گزارشدهی اعتباری منصفانه (FCRA)، که بر گزارشهای اعتباری مقررات وضع میکند، تمام دادههای گردآوری شده و استفاده شده توسط آژانسهای گزارشدهی مصرفکننده را تحت حفاظت درمیآورد؛ فارغ از این که منبع این دادهها عمومی است یا خصوصی. بسیاری از دادههای مورد استفاده در گزارشدهیهای اعتباری، از اسناد عمومی به دست میآید؛ مانند دادههای مربوط به املاک، مجوزها، محکومیتهای کیفری، احکام مدنی، ورشکستگیها و غیره. قانون انتقالپذیری و پاسخگویی بیمۀ سلامت (HIPAA) دادههای مربوط به سلامتی را – هرچند به طور عمومی در دسترس باشند – تحت حفاظت خود درمیآورد.
بسیاری از پلتفرمها، امکان دسترسی آزادانه به دادههای شخصی کاربرانشان را فراهم نمیکنند و استفاده از این دادهها را توسط شرایط استفاده از خدمات (Terms Of Service) محدود میکنند. این شرایط استفاده از خدمات، صرفاً پیشنهاد نیستند؛ بلکه شرایطی لازماجرا هستند. برای مثال، لینکدین یک توافقنامۀ کاربری دارد که کاربر را ملزم به عدم استفاده از نرمافزارها، رباتها یا سایر فرآیندها برای استخراج اطلاعات پروفایل کاربران میکند.[22]
به علاوه، در بسیاری از نمونههای قضایی، مانند پروندههای کارپنتر علیه ایالات متحده[23] و وزارت دادگستری ایالات متحدۀ امریکا علیه خبرنگاران کمیتۀ آزادی مطبوعات[24] که در دیوان عالی ایالات متحده بررسی شدهاند، تصدیق شده است که وجود دسترسی عمومی، حقوق حریم خصوصی افراد را منتفی نمیکند. در پروندۀ کارپنتر[25]، دیوان حکم داد که جمعآوری دادههای جغرافیایی از حرکت وسایل نقلیۀ عمومی، انتظارات معقول در زمینۀ حریم خصوصی را نقض میکند. این تصمیم دیوان عالی، نشاندهندۀ یک دگرگونی عمده در رویکرد این نهاد به حریم خصوصی بود. تا پیش از آن، دیوان عالی معتقد بود هرآنچه در مکانی عمومی قابل مشاهده باشد، خصوصی نیست.[26] با این حال، در پروندۀ کارپنتر، دیوان تصدیق کرد که با آنکه ردیابیِ حرکت عموماً در مناطق عمومی انجام شده است، دادههای جغرافیایی [ضبط شده] «پنجرهای به زندگی محرمانۀ شخصی» فرد میگشاید.[27] دیوان عالی در حکم خود، وجود انتظاری معقول برای حفظ حریم خصوصی مرتبط با دادههای GPS را تصدیق کرد و این دادهها را مشمول حفاظت [مشخص شده در] متمم چهارم قانون اساسی دانست و دسترسی مأموران قانون به این دادهها را منوط به کسب مجوز جستجو کرد.
به این ترتیب، قانون حریم خصوصی ایالات متحده در این باره که قرارگرفتن در معرض عموم یا دسترسی عمومی، به معنای از بین رفتن حق حریم خصوصی است یا خیر، متناقض عمل میکند. مؤثربودن حفاظت از حریم خصوصی، مستلزم آن است که چارچوبهای قانونی از تعاریف دوگانه گذر کنند و به محافظت از گمنامی بپردازند.
مسألۀ دیگر، به تعهدات پلتفرمها و دیگر سازمانها در موضوع محافظت در برابر اسکرپینگ مربوط میشود. قوانین حریم خصوصی، عموماً سایتها را ملزم به ارائۀ محافظت در برابر اسکرپینگ نمیکنند. با این حال، این وظیفه برعهدۀ سازمانها است که در شرایط استفاده از خدمات (Terms Of Service) محافظتهایی را درخصوص دادههای کاربرانشان در نظر بگیرند و سپس [محافظتهای موجود در] شرایط استفاده از خدمات را اجرایی کنند؛ لازم است که قوانین حریم خصوصی سازمانها را ملزم به ارائۀ محافظت در برابر اسکرپینگ کنند. چنانچه یک سازمان حجم عظیمی از دادههای شخصی به طرفهای ثالث منتقل کند، این عمل ناقضِ بسیاری از قوانین حریم خصوصی خواهد بود. ناتوانی در جلوگیری از برداشت دادهها توسط طرفهای ثالت نیز در عمل تفاوتی با فروش یا به اشتراکگذاریشان ندارد.
سه) اسناد عمومی مسئولانه
با توجه به مشکلات مربوط به استفاده از اسناد آنلاین برای جمعآوری و استفادۀ سهلانگارانه از دادههای شخصی مورد نیاز سیستمهای هوش مصنوعی، دولت موظف است که بر دادههای شخصیای که به طور عمومی منتشر میسازد، کنترل مسئولانهای اِعمال کند.
قوانین دسترسی آزاد به اسناد در اصل با هدف افزایش شفافیت عملکرد دولت وضع شدهاند. با این حال، امروزه بیش از هر چیز، شرکتهای کلانداده از اسناد عمومی جهت جمعآوری و گردهمآوردن دادههای شخصی بهره میبرند. قوانینی که وضع شدهاند تا به مردم توانِ آشکارسازی عملکرد دولت را بدهند، اکنون در خدمتِ آشکارسازی خودِ مردم قرار گرفتهاند.[28] اسناد عمومی نباید برای هوش منصوعی به منبع پایانناپذیری از دادههای در دسترس تبدیل شوند.
در پروندۀ دپارتمان پلیس لس آنجلس علیه شرکت یونایتد ریپورتینگ پابلیشینگ[29]، یک حکم قضایی دسترسی به اطلاعات عمومی مربوط به دستگیریها را محدود کرد و اظهارکنندگان را ملزم ساخت با اذعان به اطلاع از مجازات شهادت دروغ، شهادت بدهند که از این دادهها «به طور مستقیم یا غیرمستقیم برای فروش محصولات یا خدمات» استفاده نخواهد شد. این حکم با این ادعا که ناقض حق بیان تجاری است، به چالش کشیده شد. با این حال، دیوان عالی ایالات متحده، این حکم را محدود کنندۀ حق بیان ندانست. دیوان عالی اظهار داشت که این حکم، «گوینده را از اینکه اطلاعاتی را که از پیش در اختیار داشته است، به دیگران منتقل کند» منع نمیکند؛ بلکه صرفاً «یک محرومیت دسترسی است که دولت در خصوص اطلاعاتی وضع کرده که در اختیار آن (=دولت) قرار داشته است».
این حکم به طور ضمنی بر این دلالت دارد که دولت میتواند برای بسیاری از دادههایی که در در سطح عمومی منتشر میکند، شروطی تعیین نماید؛ مشابه شرایطی که یک شرکت میتواند در «شرایط استفاده از خدمات» خود تعیین کند. دولتها میتوانند اسناد عمومی را با این شرط در دسترس قرار دهند که از برخی دادههای مشخص به برخی روشهای مشخص استفاده نشود. این تمایزگذاری به برقراری یک توازن عملی میانجامد. دسترسی مشروط، همچنان که از حریم خصوصی محافظت میکند، شرایطی را فراهم میکند که عموم بتوانند به مجموعۀ عظیمی از اسناد دسترسی داشته باشند.
نه تنها مشروط ساختن دسترسی به دادههای شخصی در اسناد عمومی مغایر با متمم اول قانون اساسی ایالات متحده[30] نیست، بلکه باید وظیفۀ قانونی دولت تلقی شود. قانون باید نهادهای دولتی را ملزم به وضع شروطی معقول بر دسترسی به دادههای شخصی کند. رها کردن محافظت نشدۀ دادههای شخصی در فضای اینترنت، حاکی از عملکرد غیرمسئولانۀ نهادهای دولتی است.
2. جمعآوری «رضایتمندانۀ» دادهها
یک) افسانههای رضایت
شرکتها آغاز به تغییر اطلاعیههای حریم خصوصیشان کردهاند تا استفاده از دادههای افراد برای توسعۀ هوش مصنوعی را مورد اشاره قرار دهند. برای مثال، در سال 2023، نرمافزار زوم[31] اطلاعیۀ حریم خصوصی خود را تغییر داد تا نشان دهد که کاربران رضایت خود را برای «دسترسی، استفاده، جمعآوری، تولید، اصلاح، توزیع، پردازش، بهاشتراکگذاری، نگهداری و ذخیره سازی دادههای تولید شده توسط سرویس[32] به هر هدفی» اظهار کردهاند. این اطلاعیه اظهار میدارد که «هر هدف» شامل آموزش الگوریتمهای هوش مصنوعی نیز میشود. به علاوه، در زوم مادهای مندرج شد که مطابق آن کاربر به زوم «یک مجوز دائمی، جهانی، غیرانحصاری و بدون بهرۀ مالکانه[33]» عطا کرده تا از محتوای آنان برای آموزش هوش مصنوعی و هر هدف دیگری استفاده کند. با این حال، توجه عمومی به این تغییرات جلب شد و شرکت زوم عقب نشینی کرد.[34]
در همان سال، گوگل و دیگر شرکتها اعلامیههای حریم خصوصی خود را به طوری تغییر دادند که تصریح کنندۀ جمعآوری داده برای هوش مصنوعی باشد. گوگل اعلام کرد که «ما از اطلاعات در دسترس عموم در راستای کمک به آموزش مدلهای هوش مصنوعی گوگل و ایجاد محصولات و قابلیتهایی همچون مترجم گوگل، بارد[35]و کلود ایآی[36] استفاده میکنیم».[37] ایکس[38]، توییترِ سابق، اعلامیۀ حریم خصوصی خود را به روزرسانی کرد و در آن اظهار داشت: «ممکن است ما از اطلاعاتی که جمعآوری میکنیم و اطلاعات در دسترس عموم برای کمک به آموزش مدلهای یادگیری ماشین یا هوش مصنوعیمان برای اهداف بیان شده در این خط مشی، استفاده کنیم».[39]
تغییر اعلامیههای حریم خصوصی و جمعآوری و استفاده از دادههای شخصی برای مقاصد جدید، رویهای رایج است و به هوش مصنوعی منحصر نمیشود. در بسیاری از قوانین حریم خصوصی ایالات متحده، عموماً چنین رویههایی ذیل رویکرد اطلاع و انتخاب مجاز شمرده میشود.[40]
اگرچه مقررات عمومی حفاظت از دادهها (GDPR) در اروپا، رویکرد اطلاع و انتخاب را رد میکند و رضایت صریح کاربر را الزامی میشمارد، حتی این نحوۀ نیرومندتر از [کسب] رضایت نیز بیمعناست. [کسب] چنین رضایتی اغلب صرفاً نیازمند یک کلیک بر دکمۀ پذیرش است؛ چنین چیزی تضمین نمیکند که افراد اعلامیۀ حریم خصوصی را مطالعه کرده یا خطرات مربوطه را درک کرده باشند. به احتمال زیاد، مجبورکردن افراد به نشاندادن رضایت صریح به واسطۀ کلیک بر یک دکمۀ موافقت نیز به افزایش مطالعۀ یک اعلامیه نخواهد انجامید.[41] در دیگر آثارم، استدلال کردهام که صرفنظر از اینکه رضایت از طریق تعبیۀ گزینۀ انصراف کسب شده یا به شیوۀ بیان صریح رضایت، به طورکلی عمدتاً چیزی بیش از یک افسانه نیست.[42]
هوش مصنوعی معادله را پیچیدهتر میکند و این افسانه را خیالبافهتر میسازد. برای مثال، اینکه هوش مصنوعی مولّد مشخصاً چطور به کار برده میشود، اغلب نامعلوم است. کاربران ابزارهای هوش مصنوعی مولّد میتوانند آنها را برای گسترۀ وسیعی از استفادهها، از خیرخواهانه تا بدخواهانه، به کار ببرند. رضایت به یک چک سفید بدل میشود که با آن میتوان تقریباً به هر کاری دست زد. در برخورد با هوش مصنوعی، مردم اغلب نمیدانند به چه چیزی رضایت میدهند.
هوش مصنوعی ضعفهای رویکردهای رضایت مبنا را تشدید میکند؛ امّا قوانین حریم خصوصی مدتهاست که به دلیل تکیۀ بیشازحد بر رضایت دچار نقصان بودهاند. چه رضایت از روش تعبیۀ گزینۀ انصراف کسب شده باشد یا به شیوۀ بیان صریح رضایت، چه ذیل قوانین حریم خصوصی ایالات متحده یا GDPR یا بسیاری قوانین حریم خصوصی دیگر سرتاسر جهان، رضایت چیزی را که استاد الِترا بِیتی[43] بهدرستی آن را «جواز رایگان»[44] مینامد، در اختیار شرکتها میگذارد تا از آن برای بهرهگیری از دادهها به روشهای بیشمار استفاده کنند.[45]
دو) محدودیتهایی بر جمعآوری داده توسط هوش مصنوعی
سویۀ منفی دیگر ماجرا آن است که الزام به کسب رضایت میتواند در موقعیتهایی که جمعآوری دادههای شخصی برای مدلهای هوش مصنوعی به مصالحِ چشمگیری میانجامد، مانع ایجاد کند. علاوه بر این، اسکرپینگ میتوانند یاریگر پژوهشگران و روزنامهنگاران باشد. جولیان انگوین[46]، روزنامهنگار حوزۀ فناوری، اشاره میکند که برای واکاوی اینکه «چگونه خودکامهگان، ترولها[47]، جاسوسها، بازاریابها و دارودستههای نفرتورز پلتفرمهای فناوری را به سلاحی برای اهداف خود تبدیل میکنند یا بهواسطۀ این پلتفرمها فعال میشوند»، روزنامهنگاران باید «به حجم عظیمی از دادههای عمومی دسترسی داشته باشند … تا دریابند که یک رویداد، خلاف قاعده است یا روندی بزرگتر را بازنمایی میکند».[48] برای جمعآوری داده از سراسر اینترنت، کسب رضایت صریح فردی اگر غیرممکن نباشد، دستکم چالشی مرعوب کننده است.
مقررات عمومی حفاظت از دادههای اروپا (GDPR)، دربرگیرندۀ هیچ استثنائی دربارۀ اطلاعات در دسترس عموم نیست. مطابق GDPR، سازمانها تنها در صورتی میتوانند به جمعآوری داده بپردازند که یکی از شش مبنای قانونی جمعآوری داده دربارۀ یک موضوع داده را تأمین کنند: (1) رضایت؛ (2) ضرورت برای قرارداد[49]؛ (3) ضرورت برای پیروی از یک وظیفۀ قانونی؛ (4) ضرورت برای حفاظت از منافع حیاتی یک شخص؛ (5) ضرورت برای منافع عمومی؛ (6) ضرورت برای منافع مشروع، «به نحوی که ناقض منافع یا حقوق و آزادیهای بنیادی فردِ موضوع داده نباشد».[50]
تحت GDPR، شرکتهای بزرگ میتوانند راههایی بیابند تا رضایت میلیونها یا میلیاردها کاربر خود را کسب کنند. امّا شرکتهای کوچکی که پایگاه بزرگی از کاربران ندارند، ناچارند دادههای خود را از منابعی که تحت کنترل آنها نیست و در شرایطی جمعآوری کنند که قادر به کسب رضایت نیستند. به این ترتیب، این شرکتهای کوچک از حجم دادۀ لازم برای آموزش مدلهای هوش مصنوعی بیبهره خواهند بود.
در پروندۀ هایکیو لَبز علیه لینکدین[51]، لینکدین مانع از آن شد که هایکیو از طریق اسکرپینگ، دادههای شخصی را از پروفایل کاربرانش استخراج کند. هایکیو استدلال کرد که این ایجاد مانع، اقدامی ضدرقابتی است و دادگاه نیز با این ادعا موافقت کرد.[52] با این حال، دعوی قضایی ادامه یافت و در نهایت حلوفصل شد. اگرچه دادگاه به غلط با نام دفاع از مراقبت، شرکتها را مجاز به نادیده گرفتن حفاظتهای حریم خصوصی دانست، امّا این مسأله به راستی نگران کننده است که اگر شرکتها صرفاً بتوانند از دادههایی که در اختیار دارند استفاده کنند، آنگاه شرکتهای بزرگ در توسعۀ هوش مصنوعی از مزیت چشمگیری بهرهمند خواهند بود.
مطابق GDPR «منافع مشروع» موجهترین مبنای قانونی تلقی میشود.[53] امّا از سوی دیگر، GDPR در قبال منافع مشروع نیز رویکردی دست و پاگیر اتخاذ میکند؛ به نحوی که توسل به این مبنا، ساده و اطمینانبخش نخواهد بود؛ چراکه [این موضوع که استفادۀ مدِّنظر شرکت در حیطۀ منافع مشروع تلقی میشود یا نه] به موارد خاص استفاده از هوش مصنوعی بستگی خواهد داشت.
اگر GDPR به محدودیت گستردۀ جمعآوری دادهها [برای] هوش مصنوعی در اتحادیۀ اروپا بینجامد یا اگر قوانین حریم خصوصی برخی حوزههای قضایی مانع از جمعآوری داده شوند، تأثیرات تحریف کنندهای ایجاد میشوند. برای مثال، اگر به دلیل محدودیتهای قانونی دادههای آموزشی مربوط به مردم اتحادیۀ اروپا یا کشوری خاص کنار گذاشته شوند، مدلهای هوش مصنوعی ممکن است دچار انحراف شوند به طوری که بازتابدهندۀ مردم کشورهایی باشند که در آنها میتوان دادهها را آزادانهتر جمعآوری کرد. الگوریتمهای هوش مصنوعی بر رویهها و رفتارهای فرهنگی همان مردمی تآکید خواهند کرد که به وسیلۀ دادههایشان آموزش دیدهاند.
[1] Charlotte A. Tschider, AI’s Legitimate Interest: Towards a Public Benefit Privacy Model 21 Hous. J. Health L. & Policy 125, 132 (2021) («بهویژه اپلیکیشنهای یادگیری ماشین حجم عظیمی از داده را استفاده میکنند. این دادهها توسط یک ابزار یادگیری ماشین تجزیه و تحلیل میشوند تا روابط میانشان شناسایی شود.»)
[2] Clearview AI
[3] KASHMIR HILL, YOUR FACE BELONGS TO US; A SECRETIVE STARTUP’S QUEST TO END PRIVACY AS WE KNOW IT (2023).
[4] Kieran McCarthy, “Web Scraping for Me, But Not for Thee,” Tech. & Marketing L. Blog (Aug. 24, 2023) (nothing that ChatGPT has “almost certainly already scraped the entire non-authwalled-Internet” and used the data to train ChatGPT), https://blog.ericgoldman.org/ archives/2023/08/web-scraping-for-me-but-not-for-thee-guest-blog-post.htm.
[5] با آنکه تنها برخی از قوانین حریم خصوصی – مانند مقررات عمومی حفاظت از دادههای اتحادیۀ اروپا (GDPR) و قانون حریم خصوصی مصرفکنندگان کالیفرنیا (CCPA) شامل تمامی این اصول میشوند، بسیاری از قوانین حریم خصوصی بخش عمدۀ این اصول را دربرمیگیرند. بهعلاوه، بسیاری از این اصول در چارچوبهای تأثیرگذاری مانند دستورالعملهای سال 1980 «سازمان همکاری و توسعۀ اقتصادی» (OECD)، چارچوب حریم خصوصی «مؤسسۀ ملی استاندارد و فناوری» (NIST) (6 ژانویۀ 2020 – https://www.nist.gov/privacy-framework) و اصول قانون متعلق به موسسۀ حقوقی امریکا، بخش حریم خصوصی (AMERICAN LAW INSTITUTE’S PRINCIPLES OF THE LAW, DATA PRIVACY) (22 می 2019) مندرج شدهاند.
[6] scrapers
[7] DANIEL J. SOLOVE, THE DIGITAL PERSON: TECHNOLOGY AND PRIVACY IN THE INFORMATION AGE (2004).
[8] Lior Jacob Strahilevitz, A Social Networks Theory of Privacy, 72 University of Chicago Law Review 919 (2005).
[9] Helen Nissenbaum, Protecting Privacy in the Information Age: The Problem of Privacy in Public, 17 Law & Phil. 559 (1998); Helen Nissenbaum, Toward an Approach to Privacy in Public: Challenges of Information Technology, 7 Ethics & Behav. 207, 208 (1997); Joel R. Reidenberg, Privacy in Public, 69 U. Miami L. Rev. 141, 157-59 (2014); Woodrow Hartzog, The Public Information Fallacy, 99 B.U. L. Rev. 459, 522 (2019).
[10] Woodrow Hartzog & Evan Selinger, Surveillance as Loss of Obscurity, 72 Wash. & Lee L. Rev. 1343, 1349 (2015).
[11] DANIEL J. SOLOVE, THE FUTURE OF REPUTATION: GOSSIP, RUMOR, AND PRIVACY ON THE INTERNET 184-86 (2007).
[12] appropriation. این تخلف زمانی رخ میدهد که متهم بدون کسب اجازۀ شاکی از نام، تصویر یا شباهت به او برای مقاصد تجاری استفاده کند. این تخلف بخشی از قوانین حریم خصوصی در برخی کشورهاست و به افراد اجازه میدهد که در صورت استفادۀ غیرمجاز از هویتشان، اقدام قانونی کنند. (م)
[13] Restatement (Second) of Torts §652C.
[14] Woodrow Hartzog & Frederic Stutzman, Obscurity by Design, 88 Wash. L. Rev. 385, 407 (2013). من پیش از این مسألۀ گمنامی را با بهرهگیری از اصطلاح «دردسترسبودگیِ فزایند» موردبحث قرار دادهام. SOLOVE, UNDERSTANDING PRIVACY, supra, at
[15] GDPR عموماً از دادههای در دسترس عموم نیز محافظت میکند؛ امّا «آن دسته از دادههای شخصی که بهوضوح توسط شخصی که دادهها به او مرتبط است عمومی شدهاند» را مستثنی میکند. GDPR art. 9.2(e)
[16] Cal. Civ. Code § 1798.140(v)(2) (West 2021).
[17] Va. Code § 59.1-571 (2021); Utah Code Ann. § 13-61-101(29)(b) (2022).
[18] C.R.S. § 6-1-1303(17)(b) (2021).
[19] Connecticut Data Privacy Act, § 1(25).
[20] David Zetoony
[21] David Zetoony, What is ‘Publicly Available Information’ under the State Privacy Laws? National Law Review (Sept. 13, 2023) https://www.natlawreview.com/article/what-publiclyavailable-information-under-state-privacy-laws.
[22] LinkedIn, User Agreement 8.2, https://www.linkedin.com/legal/user-agreement.
[23] Carpenter v. United States
[24] DOJ v. Reporters Committee for Freedom of the Press
[25] Carpenter
[26] United States v. Knotts, 460 U.S. 276 (1983) (زمانی که دستگاه ردیابی، بر حرکت در مکانهای عمومی نظارت میکند، انتظار معقولی برای حفظ حریم خصوصی وجود ندارد); Florida v. Riley, 488 U.S. 445 (1989) (دربارۀ هرآنچه از یک هلیکوپتر که در فضای هوایی قانونی پرواز میکند توسط افسران پلیس قابلرؤیت باشد، هیچ انتظاری برای حفظ حریم خصوصی وجود ندارد).
[27] Carpenter v. United States, 138 S. Ct. 2206 (2018).
[28] Daniel J. Solove, Access and Aggregation: Public Records, Privacy, and the Constitution, 86 Minn. L. Rev. 1137, 1176-78 (2002).
[29] Los Angeles Police Department v. United Reporting Publishing Co.
[30] نویسنده از آن رو به متمم اول قانون اساسی اشاره میکند که در این متمم، تصریح شدهاست که دولت اجازه ندارد آزادی بیان و آزادی مطبوعات را سلب کند. در پروندۀ دپارتمان پلیس لس آنجلس علیه شرکت یونایتد ریپورتینگ پابلیشینگ ، دیوان عالی حکم بر آن داد که محدودکردن حق دسترسی به اطلاعات عمومی بهمنظور جلوگیری از استفادۀ تجاری، ناقض حق آزادی بیان نیست. نویسنده با ارجاع به این پرونده، وضع محدودیت دولتی بر دسترسی به دادههای شخصی به منظور حریم خصوصی را در دایرۀ اختیارات مشروع دولتی میشمارد. (م)
[31] Zoom
[32] Service Generated Data: دادههای تولید شده توسط سرویس، به دادههای کاربری و متادادههایی اشاره دارد که بهواسطۀ استفاده از یک سرویس تولید شدهاند. این دادهها شامل دادههای تولیدشده بهواسطۀ استفادۀ کاربر از پشتیبانی مشتریان و دیگر خدمات نامرتبط با محصول اصلی نیز میشود. افزودهشدن این ملحقات به دادههای تولیدشده توسط سرویس تا آنجا ادامه مییابد که دادههای شخصی را نیز شامل میشود. (م)
[33] royalty-free
[34] an Krietzberg, “Zoom Walks Back Controversial Privacy Policy,” The Street (Aug. 11, 2023).
[35] Google Bard چتبات هوش مصنوعی مولدِ توسعهیافته توسط شرکت گوگل بود. هویت تجاری این چتبات در تاریخ 19 بهمن 1402 به گوگل جمینی (Google Gemini) تغییر یافت. (م)
[36] Cloud AI یا هوش مصنوعی ابری، از طریق آمیختگی رایانش ابری (cloud computing) و هوش مصنوعی ایجاد میشود. Google Cloud AI مجموعهای از محصولات، راهحلها و برنامههای پیشرفتۀ هوش مصنوعی را در اختیار کاربران میگذارد تا کاربران و بهویژه کسبوکار بتوانند با سهولت و بهطور یکپارچه از قابلیتهای هوش مصنوعی (شامل یادگیری ماشین، پردازش زبان طبیعی و …) در عملیات روزانۀ خود بهرهمند شوند. (م)
[37] Matthew G. Southern, “Google Updates Privacy Policy to Collect Public Data For AI Training,” Search Engine Journal (July 3, 2023), https://www.searchenginejournal.com/ google-updatesprivacy-policy-to-collect-public-data-for-ai-training/490715/.
[38] X
[39] Sarah Perez, “X’s Privacy Policy Confirms It Will Use Public Data to Train AI Models,” Tech Crunch (Sept. 1, 2023).
[40] بهعنوان مثالی از رویکرد اطلاع و انتخاب در قوانین حریم خصوصی ایالات متحده میتوان به CAN-SPAM Act, 15 U.S.C. §7704(a)(3) (مجازشمردن ارسال ایمیلهای تجاری توسط شرکت، بدون اینکه کاربر خواستار این ایمیلها باشد؛ مگر اینکه افراد از این فرآیند انصراف دهند) و TCPA, 47 U.S.C. §227 (مجازشمردن تماس بازاریابان تلفنی به افراد، مگر اینکه افراد از این فرآیند انصراف دهند) اشاره کرد.
[41] 2 Florencia Marotta-Wurgler, Will Increased Disclosure Help? Evaluating the Recommendations of the ALI’s “Principles of the Law of Software Contracts,” 78 U. Chi. L. Rev. 165, 168 (2011) (این پژوهش نشان میدهد که ملزمکردن افراد به کلیک بر دکمۀ «میپذیرم» تنها منجر به %1 افزایش در نرخ مطالعۀ شرایط استفاده شدهاست).
[42] Solove, Murky Consent, supra note X, at X.
[43] Elettra Bietti
[44] free pass
[45] Elettra Bietti, Consent as a Free Pass: Platform Power and the Limits of the Informational Turn, 40 Pace L. Rev. 308, 313 (2020).
[46] Julia Angwin
[47] Troll. در ادبیات مرتبط با اینترنت، اصطلاح ترول برای افرادی بهکار میرود که به منظور برانگیختن واکنشهای احساسی دیگر کاربران، عمداً اقدام به انتشار محتواهای تحریکآمیز، توهینآمیز، آزاردهنده یا بحثبرانگیز میکنند.
[48] Julia Angwin, “The Gatekeepers of Knowledge Don’t Want Us to See What They Know,” N.Y. Times (July 14, 2023).
[49] معنای این عبارت آن است که اگر دسترسی به دادههای شخصی برای انجام وظایف و تعهدات ناشی از قراردادِ میان سازمان و فردِ موضوع داده (= شخصی که دادهها مربوط به او هستند) ضروری باشد، سازمانها میتوانند بدون نیاز به دریافت رضایت جداگانه دربارۀ این دادهها، آنها را جمعآوری و پردازش کند. برای مثال، اگر یک فرد بهطور آنلاین یک محصول را سفارش دهد، سازمان حق دارد مشخصات فردی و آدرس کاربر را جمعآوری و پردازش کند، چرا که این اقدام برای اجرای قرداد خرید/فروش ضرورت دارد. (م)
[50] GDPR art. 6.
[51] HiQ Labs v. LinkedIn
[52] HiQ Labs, Inc. v. LinkedIn Corp., 938 F.3d 985 (9th Cir. 2019). برای آشنایی با پیشزمینۀ ناهمخوانی قوانین حریم خصوصی و ضدرقابت، نگاه کنید به: Erika M. Douglas, The New Antitrust/Data Privacy Law Interface, Yale L.J. Forum (Jan. 18, 2021).
[53] Magali Feys, Herlad Jongen, & Gary LaFever, Legal Basis Requirements for AI, LinkedIn (July 17, 2023), https://www.linkedin.com/pulse/legal-basis-requirements-ai-gary-lafever/.