Biznes powinien ustalić granicę personalizacji - wywiad z GIODO z okazji VIII Dnia Ochrony Danych

28-01-2014, 12:24

Personalizacja bezrobotnych, rozpoznawanie twarzy, Edward Snowden, copyright trolling - Dziennik Internautów rozmawiał na te tematy z Wojciechem Wiewiórowskim, Generalnym Inspektorem Ochrony Danych Osobowych. Wywiad miał związek z obchodzonym dziś VIII Dniem Ochrony Danych.

Właśnie dziś obchodzimy VIII Dzień Ochrony Danych. To "święto nietypowe" ustanowiono po to, aby przypominać ludziom o znaczeniu danych osobowych i prywatności. 28 stycznia to rocznica otwarcia do podpisu Konwencji 108 Rady Europy z 1981 roku w sprawie ochrony osób w zakresie zautomatyzowanego przetwarzania danych osobowych. Jest to chyba najstarszy akt prawny o zasięgu międzynarodowym, który kompleksowo regulował zagadnienia związane z ochroną danych.

Z okazji Dnia Ochrony Danych zorganizowano w Warszawie konferencję "Prywatność w cyfrowym świecie", w czasie której będą omawiane takie problemy, jak aplikacje mobilne, granice personalizacji i edukacja cyfrowa. Dziennik Internautów rozmawiał wcześniej na te tematy z Wojciechem Wiewiórowskim, Generalnym Inspektorem Ochrony Danych Osobowych. Poniżej zapis tej rozmowy, który - mamy nadzieję - skłoni Was do refleksji nad współczesnymi problemami w zakresie prywatności. Wcześniej publikowaliśmy tylko fragment tego wywiadu dotyczący copyright trollingu.

* * *

Marcin Maj, Dziennik Internautów: Przed nowym rokiem, w grudniu, firma FacialNetwork udostępniła aplikację NameTag, która pozwala na wyciągnięcie danych sfotografowanej osoby z Facebooka, LinkedIn i tym podobnych serwisów. Gdy tylko zapoznałem się z działaniem tej aplikacji, zastanowiło mnie... co Pan by na to powiedział?

Dr Wojciech Wiewiórowski, GIODO: Tego typu aplikacje będą tworzone, jestem o tym całkowicie przekonany. Mogą być użyteczne, czego dowodzi pojawienie się na rynku takich rozwiązań, jak Google Glass. (...)

Jeśli chodzi o algorytmy służące rozpoznawaniu twarzy, to nie są one w tej chwili doskonałe, ale z pewnością będą ulepszane. Prace w tym zakresie są prowadzone zarówno przez firmy komercyjne, jak i przez instytucje naukowe. W Polsce klasycznym przykładem projektu, w którym pod uwagę brane jest wykorzystanie mechanizmu rozpoznawania twarzy, jest projekt INDECT. Uczestniczące w nim osoby analizują, na ile w ogóle możliwe jest sprawne rozpoznanie twarzy poprzez porównanie jej z jakimś systemem dokumentów, takich chociażby jak zasoby policyjne (...)

zdjęcie

Tak więc co do tego, że takie aplikacje będą powstawały, nie mam żadnych wątpliwości. Natomiast główne pytania, które nurtują rzeczników ochrony danych osobowych, brzmią: kto otrzymuje tego typu informacje i w jakim celu je wykorzystuje.

Działanie aplikacji, przy pomocy której osoba jedynie na własne potrzeby rozpoznawałaby, kim jest ten, kogo w tej chwili zobaczyła, można by uznać za mieszczące się w ramach tego, co nazywamy "użytkiem domowym i osobistym".

Każdy jednak, kto zna choćby podstawowe zasady działania aplikacji mobilnych, zdaje sobie sprawę z tego, że to przetworzenie danych (...) nie odbywa się w telefonie komórkowym, w smartfonie czy w jakimkolwiek innym urządzeniu mobilnym, które przy sobie mamy, lecz daleko poza nimi. Informacja jest bowiem wysyłana gdzieś w określone przez dewelopera miejsce, tam jest przetwarzana przy pomocy danych, które deweloper posiada i odsyłana z powrotem do tego, kto zażądał tego typu operacji, ale zapewne również przechowywana u dewelopera oraz w innych zbiorach, o których nie mamy pojęcia.

Główne pytania, które zawsze stawiają rzecznicy ochrony danych osobowych w stosunku do aplikacji mobilnych, brzmią: na ile ten, kto używa aplikacji, zdaje sobie sprawę z tego, co ona robi? Czy wie, co tak naprawdę i komu ujawnia w momencie, kiedy jakichś operacji dokonuje? Kim są podmioty, które mają dostęp do danych, do jakich celów je zbierają i wykorzystują?

DI: Pana zdaniem samo pojawienie się takich rozwiązań wymaga jakichś szczególnych interwencji organów ochrony danych osobowych, czy po prostu trzeba spokojnie to nowe zjawisko obserwować?

GIODO: Na pewno trzeba obserwować. Na pewno trzeba też pytać. Powołam się tutaj ponownie na przykład Google Glass. Gdy Google rozpoczął testowanie tych okularów, rzecznicy ochrony danych osobowych, nie tylko z Europy, ale również m.in. z Kanady, Meksyku, Izraela, Australii, Korei Południowej czy Nowej Zelandii, wystosowali do tego przedsiębiorcy wspólny list, w którym zażądali wyjaśnienia m.in. tego, jaką informację na temat działania tego urządzenia utrzymuje użytkownik, z czego zdaje sobie sprawę i jakie podmioty trzecie mają dostęp do danych zbieranych przez Google.

Należy więc spodziewać się tego, że rzecznicy ochrony danych będą uważnie śledzili kwestię działania aplikacji mobilnych i ich wpływu na prywatność użytkowników. Oczywiście nie każdy rzecznik ochrony danych osobowych jest przygotowany do tego zadania z czysto technologicznego punktu widzenia. Odpowiednie do tego celu laboratorium mają nasi koledzy np. z Francji czy z Kanady, dlatego w ramach współpracy rzeczników staramy się delegować tego typu zadania do wykonania przez organy, które są do tego najlepiej przygotowane.

DI: Jeden z tematów umieszczonych w agendzie konferencji organizowanej przez GIODO z okazji VIII Dnia Ochrony Danych Osobowych brzmi "Granice personalizacji w świecie Big Data". Szczerze powiem, że nie wiem, gdzie te granice są, tzn. ja osobiście mam wrażenie, że żadna firma ich sobie nie postawi.

GIODO: Mamy dwie możliwości. Pierwsza to taka, że firmy jednak zaczną stawiać granice personalizacji danych, a przynajmniej zaczną stawiać sobie pytania, do jakiego momentu mają zamiar dojść i dlaczego do tego momentu mogą dojść. Druga możliwość jest taka, że te granice będą wyznaczone przez przepisy prawne, a ich egzekwowaniem zajmą się organy będące regulatorami, ale sytuacji tej wcale nie uważam za doskonałą ani słuszną.

Jestem bowiem zwolennikiem tego, by przy każdym przedsięwzięciu związanym z przetwarzaniem danych osobowych dokonywać analizy jego wpływu na prywatność, czyli czegoś, co nazywa się Privacy Impact Assessment. Oznacza to, że przed rozpoczęciem działań trzeba odpowiedzieć sobie na pytania, które dotyczą owej personalizacji, a potem stosować się do tego, do czego tak naprawdę sami się zobowiązaliśmy, wyznaczając cele i sposoby przetwarzania danych.

Dla zilustrowania tej kwestii podam przykład działania jednego z tzw. operatorów systemu dystrybucyjnego, a więc przedsiębiorstwa zajmującego się dostarczaniem energii elektrycznej, związany z instalacją inteligentnych liczników energetycznych. Inteligentny licznik energetyczny, szczególnie podłączony do sieci HAN, jest w stanie przekazać bardzo dokładną informację dotyczącą sposobu zachowania osoby, m.in. tego, jakich używa sprzętów, kiedy ma je włączone czy wyłączone, a nawet jaki film w telewizji ogląda (co zostało udowodnione w warunkach laboratoryjnych).

Firma owa, świadoma wpływu, jaki na ochronę prywatności ma instalacja inteligentnych liczników energetycznych, przeprowadziła analizę tego, wymagającego poważnych nakładów finansowych, przedsięwzięcia, ustalając, jakie dane są jej naprawdę potrzebne do świadczenia usług (...). I to wcale nie zostało zrobione w ramach specjalnie prowadzonego Privacy Impact Assessment, lecz było normalną częścią analizy ryzyka przedsięwzięcia.

Rzecznicy ochrony danych osobowych będą optowali za tym, aby tego rodzaju analizy ryzyka przeprowadzać przy każdym działaniu związanym z przetwarzaniem danych osobowych. Zdaję sobie sprawę, że zaraz może pojawi się wątpliwość, czy każdy, nawet gdy przygotowuje niewielką aplikację mobilną, będzie coś takiego robił. Uważam, że powinien, a zachętą do tego może być wprowadzenie jakiegoś systemu certyfikacji, choćby poprzez sklepy, które takie aplikacje sprzedają.

Przy niektórych platformach, np. platformie Apple, aplikacje przechodzą swoistą certyfikację przy wejściu na listę produktów w oficjalnym sklepie online. Ta certyfikacja nie jest prowadzona pod kątem ochrony prywatności, lecz zgodności z tym, jakie produkty Apple sam oferuje swoim klientom. Trochę trudniejsze jest to w przypadku Androida, ale też można sobie wyobrazić sytuację, w której klient będzie w stanie ustalić, czy przeprowadzono tego typu analizę i jakie są jej wyniki. Sądzę, że takie certyfikowane aplikacje byłyby chętniej używane niż te, które takiej certyfikacji nie posiadają.

Ciąg dalszy wywiadu na kolejnej stronie. Tematy: personalizacja osób bezrobotnych, edukacja cyfrowa.

1  2 3  - 

-->
Komentarze
comments powered by Disqus
To warto przeczytać










  
znajdź w serwisie

RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Październik 2017»
PoWtŚrCzwPtSbNd
 1
2345678
9101112131415
16171819202122
23242526272829
3031 
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2017 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.