Przenośność danych
Przenośność danych to koncepcja mająca na celu ochronę użytkowników przed przechowywaniem ich danych w „silosach” lub „ ogrodzonych ogrodach” , które są ze sobą niekompatybilne, tj . konta między usługami trudne.
Przenoszenie danych wymaga wspólnych standardów technicznych ułatwiających przenoszenie danych między administratorami danych, takich jak możliwość eksportowania danych użytkownika do pliku lokalnego dostępnego dla użytkownika, promując w ten sposób interoperacyjność , a także ułatwiając przeszukiwanie za pomocą zaawansowanych narzędzi, takich jak grep .
Przenośność danych dotyczy danych osobowych. Obejmuje dostęp do danych osobowych bez implikowania własności danych per se.
Rozwój
Na poziomie globalnym są zwolennicy, którzy postrzegają ochronę danych cyfrowych jako prawo człowieka. I tak w powstającym projekcie deklaracji społeczeństwa obywatelskiego pojawia się wzmianka o następujących pojęciach i statutach: Prawo do prywatności w Internecie, Prawo do ochrony danych cyfrowych, Prawa do ochrony konsumentów w Internecie – Wytyczne ONZ w sprawie ochrony konsumentów.
Na poziomie regionalnym istnieją co najmniej trzy główne jurysdykcje, w których prawa do danych są postrzegane inaczej: Chiny i Indie, Stany Zjednoczone i Unia Europejska. W tym ostatnim dane osobowe zostały objęte szczególną ochroną na mocy ogólnego rozporządzenia o ochronie danych z 2018 r. (RODO).
RODO stało się tym samym piątym z 24 rodzajów aktów prawnych wymienionych w załączniku 1 Tabela istniejących i proponowanych dyrektyw i rozporządzeń europejskich w odniesieniu do danych.
Dane osobowe są podstawą reklamy behawioralnej , a na początku XXI wieku ich wartość zaczęła rosnąć w postępie geometrycznym, przynajmniej w odniesieniu do kapitalizacji rynkowej głównych platform przechowujących dane osobowe ich użytkowników. Regulatorzy Unii Europejskiej zareagowali na tę postrzeganą nierównowagę sił między platformami a użytkownikami, chociaż wiele nadal zależy od warunków zgody udzielonej przez użytkowników platformom. Koncepcja przenoszenia danych polega na próbie skorygowania postrzeganej nierównowagi sił poprzez wprowadzenie elementu konkurencji, umożliwiającego użytkownikom wybór między platformami.
Platformy internetowe
Wraz z pojawieniem się ogólnych przepisów o ochronie danych (RODO) platformy mediów społecznościowych , takie jak Twitter , Instagram i Snapchat , szeroko dostosowały możliwość eksportowania i pobierania danych użytkownika do pliku archiwum ZIP . Inne platformy, takie jak Google i Facebook, były już wcześniej wyposażone w opcje eksportu.
Jednak niektóre platformy ograniczają eksport z opóźnieniami czasowymi między nimi, na przykład raz na 30 dni na Twitterze, a wiele platform nie ma częściowych opcji eksportu.
Inne witryny, takie jak Quora czy Bumble, nie oferują automatycznego formularza wniosku, wymagając od użytkownika zażądania kopii swoich danych za pośrednictwem osobistego e-maila pomocy technicznej .
W elektronice użytkowej
Urządzenia mobilne
Niektóre aplikacje mobilne ograniczają przenośność danych, przechowując dane użytkowników w zablokowanych katalogach , nie mając przy tym opcji eksportu . Mogą to być pliki konfiguracyjne , zakładki cyfrowe , historia przeglądania i sesje (np. lista otwartych kart i historie nawigacji), historie oglądania i wyszukiwania w aplikacjach do strumieniowego przesyłania multimediów , niestandardowe listy odtwarzania w oprogramowaniu do odtwarzania multimediów , wpisy w oprogramowaniu do robienia notatek i notatek , telefon cyfrowy książki ( listy kontaktów ), dzienniki połączeń z aplikacji telefonicznej oraz rozmowy za pośrednictwem wiadomości SMS i komunikatorów internetowych .
Zablokowane katalogi są niedostępne dla użytkownika końcowego bez nadzwyczajnych środków, takich jak tzw. rootowanie (Android) lub jailbreak (iOS) .
Ten pierwszy wymaga, aby tak zwany program ładujący urządzenia był z góry odblokowany, co zwykle nie jest domyślnie. Przełączenie tego stanu wiąże się z całkowitym wymazaniem wszystkich danych użytkownika, znanym jako wyczyszczenie , co powoduje błędne koło , jeśli celem użytkownika był dostęp do zablokowanych danych.
Inne aplikacje mobilne pozwalają tylko na tworzenie kopii zapasowych danych użytkownika przy użyciu zastrzeżonego oprogramowania dostarczonego przez dostawcę, bez możliwości bezpośredniego eksportu danych do pliku lokalnego we wspólnym katalogu danych użytkownika urządzenia mobilnego. Takie wspomniane oprogramowanie wymaga do działania zewnętrznego komputera hosta.
Niektórzy dostawcy urządzeń oferują usługi przechowywania w chmurze i synchronizacji w celu tworzenia kopii zapasowych danych. Takie usługi wymagają jednak rejestracji i zależą od połączenia internetowego, a najlepiej od wysokich prędkości internetowych i limitów abonamentu, jeśli są regularnie używane. Niektóre usługi mogą zezwalać tylko na przenoszenie części danych, takich jak wiadomości tekstowe i książki telefoniczne , między zablokowanymi katalogami na urządzeniach tego samego dostawcy (tzw. vendor lock-in ), bez możliwości eksportu informacji do plików lokalnych bezpośrednio dostępnych dla użytkownika końcowego.
Ograniczenia dodane w nowszych wersjach systemów operacyjnych , takie jak przechowywanie w określonym zakresie , które rzekomo zostały wprowadzone w celu poprawy prywatności użytkowników, zagrażają zarówno kompatybilności wstecznej z ustalonym istniejącym oprogramowaniem, takim jak menedżery plików i aplikacje serwera FTP , jak również legalnych zastosowań, takich jak komunikacja między aplikacjami oraz ułatwianie przesyłania dużych plików i tworzenia kopii zapasowych .
Dalsze możliwe ograniczenia dotyczące przenoszenia danych to słaba niezawodność, stabilność i wydajność istniejących środków przesyłania danych, takich jak opisane w Media Transfer Protocol § Performance .
Cyfrowe rejestratory wideo
Niektóre cyfrowe rejestratory wideo (DVR), które przechowują nagrania na wewnętrznym dysku twardym, nie mają możliwości tworzenia kopii zapasowych nagrań, co zmusza użytkownika do usuwania istniejących nagrań po wyczerpaniu miejsca na dysku, co jest przykładem słabej przenośności danych.
Niektóre rejestratory DVR mają system operacyjny , którego uruchomienie i działanie zależy od połączenia internetowego, co oznacza, że nagrania przechowywane lokalnie są niedostępne, jeśli połączenie internetowe nie jest dostępne. Jeśli usługa urządzenia zostanie wycofana przez dostawcę usługi telewizyjnej, istniejące nagrania staną się niedostępne, a tym samym znacznie utracone.
Inne urządzenia
Bezprzewodowe telefony stacjonarne , a także powiązane z nimi stacje bazowe, które mają oprogramowanie układowe z funkcją książki telefonicznej i wiadomości SMS , zwykle nie mają interfejsu do połączenia z komputerem w celu utworzenia kopii zapasowej danych.
W oprogramowaniu
Niektóre programy, takie jak oprogramowanie forum Discourse , oferują użytkownikom wbudowaną możliwość pobierania ich postów do pliku archiwum.
Inne oprogramowanie może działać lokalnie, ale przechowuje dane użytkownika w zastrzeżonym formacie , co powoduje blokadę dostawcy do czasu pomyślnej inżynierii wstecznej przez zewnętrznych programistów.
Według kraju
Unia Europejska
Prawo do przenoszenia danych zostało określone w unijnym ogólnym rozporządzeniu o ochronie danych (RODO) przyjętym w kwietniu 2016 r. Rozporządzenie to ma zastosowanie do podmiotów przetwarzających dane, zarówno w UE, jak i poza nią, jeśli przetwarzają dane osób, które fizycznie znajdują się w Państwo członkowskie UE.
Administratorzy muszą udostępniać dane w ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego i interoperacyjnym formacie, który umożliwia osobie fizycznej przekazanie danych innemu administratorowi.
Wcześniej Europejski Inspektor Ochrony Danych stwierdził, że przenoszenie danych może „pozwolić osobom fizycznym czerpać korzyści z wartości stworzonej przez wykorzystanie ich danych osobowych”.
Grupa Robocza Art. 29 ds. Ochrony Danych na szczeblu europejskim przeprowadziła w tej sprawie konsultacje w języku angielskim, które trwały do końca stycznia 2017 r.
Ich wytyczne i często zadawane pytania dotyczące prawa do przenoszenia danych zawierają następujące wezwanie do działania:
GR Art. 29 zdecydowanie zachęca do współpracy między zainteresowanymi stronami z branży i stowarzyszeniami branżowymi w celu wspólnej pracy nad wspólnym zestawem interoperacyjnych standardów i formatów w celu spełnienia wymogów prawa do przenoszenia danych. Wyzwaniu temu podjęto również europejskie ramy interoperacyjności (EIF).
Francuski krajowy inspektor danych CNIL zorganizował dyskusję w języku francuskim. Obecni uczestnicy przedstawiają opinie na temat tego, w jaki sposób ustawodawstwo zapewnia niewiele korzyści firmom, ale wiele korzyści użytkownikom.
W kwietniu 2017 r. na stronie internetowej Grupy Roboczej Art. 29 opublikowano nowe wytyczne. Pod koniec 2019 r. Komisja opublikowała ustawę o zarządzaniu danymi.
W 2021 r. badacze, w tym wielu Francuzów i Finów, opublikowali 46-stronicowy raport dotyczący najnowocześniejszej wiedzy.
W 2022 r. Komisja Europejska opublikowała Data Act.
Chociaż Wielka Brytania głosowała za wystąpieniem z UE , zamierza włączyć znaczną część RODO do własnego prawodawstwa, co obejmie przenoszenie danych, ponieważ „… samo RODO zawiera kilka godnych uwagi innowacji – na przykład… wprowadzenie nowe prawo do przenoszenia danych”. W listopadzie na Internet Governance Forum 2019 w Berlinie paneliści poinformowali, że art. 20 RODO nie podlega zaskarżeniu, ani pod względem prawnym, ani technicznym. W Wielkiej Brytanii – jak na ironię po Brexicie – badacze monitorują rozwój sytuacji.
Niemcy wezwały do wzmocnienia prawa Unii Europejskiej do przenoszenia danych za pomocą prawa konkurencji. Powołano komisję w celu zaproponowania ulepszeń.
Szwajcaria
Podobnie w Szwajcarii, państwie narodowym związanym z UE jedynie dwustronnie i jako państwo członkowskie EFTA , obserwuje się tendencję zmierzającą w tym samym kierunku. Stanowisko szwajcarskie zostało oficjalnie opublikowane w marcu 2018 r. (jako dokument w formacie PDF).
Stowarzyszenie zaproponowało prawo do przenoszenia danych zakotwiczone w konstytucji Konfederacji Szwajcarskiej. Uchwalono prawo, które obejmuje przenoszenie danych; jak opisano tutaj w języku niemieckim i tutaj w języku francuskim. Stowarzyszenie współpracuje ze spółdzielnią MIDATA.coop, która zaoferuje użytkownikom miejsce do przechowywania ich danych.
Drugie stowarzyszenie wydało wytyczne na ten temat.
W dłuższej perspektywie Szwajcarzy być może będą musieli wziąć pod uwagę możliwość przenoszenia danych w RODO. Biorąc pod uwagę, że RODO zwiększy koszty przestrzegania przepisów dla firm z siedzibą w UE, jest mało prawdopodobne, aby UE tolerowała sytuację z krajami trzecimi, w których szwajcarskie firmy nie byłyby zobowiązane do przestrzegania tych samych standardów w celu zachowania uczciwej konkurencji. Stosowane terminy prawne to adekwatność i wzajemność.
Stany Zjednoczone, Kalifornia
Kalifornia ma ustawę o ochronie prywatności konsumentów (CCPA) z 2018 r., która wprowadza możliwość przenoszenia danych do USA.
Kanada
Kanada przewiduje wprowadzenie prawa, wskazując przejrzystość, przenośność i interoperacyjność jako zasadę nr 4 swojej karty cyfrowej.
Indie
Przenoszenie danych jest uwzględnione w ustawie o ochronie danych osobowych z 2019 r. , która ma stać się prawem jako sekcja 26 w rozdziale VI.
Brazylia
Przenoszenie danych jest uwzględnione w ustawie o ochronie prywatności #Brazylia jako jej art. 18.
Australia
W Australii zaproponowano prawo danych konsumentów.
Tajlandia
Przenoszenie danych jest uwzględnione w nowym prawie.
Kenia
Prawo do przenoszenia danych jest zapisane w nowej ustawie o ochronie danych w klauzuli 34. Jednak intencje stojące za nową ustawą, jej egzekwowanie i związek z nowym rządowym systemem zarządzania tożsamością zostały już zakwestionowane.
Wymagania dotyczące efektywnej interoperacyjności danych
Ustawodawcom zawsze trudno jest regulować na odpowiednim poziomie precyzji, ponieważ wszyscy rozumieją, że technologia będzie ewoluować szybciej niż prawo. Jak dotąd tylko Unia Europejska sformalizowała oczekiwania dotyczące przenoszenia danych, wymagając, aby dane były „w ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego i interoperacyjnym formacie”.
Wiąże się to z co najmniej dwoma odrębnymi wymogami technicznymi dotyczącymi skutecznej interoperacyjności:
- konieczność stosowania standardów plików, które umożliwiają łatwe ponowne wykorzystanie (na przykład CSV lub JSON zamiast PDF lub nawet w formie drukowanej), objętych „ustrukturyzowanym, powszechnie używanym formatem nadającym się do odczytu maszynowego”.
- potrzeba (zależna od „interoperacyjności”) nie tylko rozważenia udostępnienia danych danej osoby samodzielnie, ale także w połączeniu z innymi systemami i udostępnieniami danych innych osób przez to samo przedsiębiorstwo. Wskazuje to na wymagania dotyczące schematów danych, wersjonowania i specyfikacji tych schematów w przypadku częstych zmian oraz ogólnie na brak wysiłków ze strony źródłowego administratora danych w celu skomplikowania skutecznej interoperacyjności na niższym szczeblu.
Podobnie europejscy badacze podkreślają, że istnieją luki zarówno praktyczne, jak i prawne, które UE powinna wypełnić.
Prawa osób, których dane dotyczą, zgodnie z nowym RODO Unii Europejskiej
Lista tych praw wydłużyła się.
Przenośność danych w związku z prawem dostępu
Prawo do przenoszenia danych różni się nieco od prawa dostępu do danych osobowych ; patrz RODO i siódma pozycja na liście cytowanej bezpośrednio powyżej. Prawo dostępu upoważnia jedynie osobę, której dane dotyczą, do wglądu do swoich danych osobowych. Stara unijna dyrektywa o ochronie danych wymagała w takich przypadkach wyraźnie, aby dane były dostarczane w „zrozumiałej” formie, którą dotychczas interpretowano jako „czytelną dla człowieka”. Wymóg ten jest nadal w pewnym stopniu obecny w unijnym ogólnym rozporządzeniu o ochronie danych, ale tylko pośrednio w połączeniu z motywem (prawo) . Ponieważ prawo do przenoszenia dotyczy głównie ponownego wykorzystania przez inne usługi (tj. najprawdopodobniej zautomatyzowane), może się zdarzyć, że zarówno „format czytelny dla człowieka”, jak i „surowy format” byłyby nieodpowiednie dla skutecznego przenoszenia danych. Być może trzeba będzie poszukać jakiegoś poziomu pośredniego.
Ponadto RODO ogranicza zakres przenoszenia danych do przypadków, w których przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, lub wykonania umowy.
Przenoszenie danych w związku z prawem do wyjaśnień
Z prawem do przenoszenia danych związane jest „ prawo do wyjaśnienia ”, tj. gdy podejmowane są zautomatyzowane decyzje wywołujące skutki prawne lub istotny wpływ na poszczególne osoby, których dane dotyczą. Jak wyświetlić algorytm? Jednym ze sposobów jest drzewo decyzyjne . Prawo to okazało się jednak mało przydatne w badaniu empirycznym. Prawo do wyjaśnienia jest związane z „Prawem do niepodlegania ocenie na podstawie zautomatyzowanego przetwarzania” pokazanym jako ostatnia pozycja na liście przedstawionej w sprawie Gabel / Hickman. Obejmuje to decyzje oparte na profilowaniu . Takie prawo zostało zawarte w unijnej dyrektywie o ochronie danych z 1995 r., ale nie wdrożono go zbyt często. Artykuł w Wired podkreślił powagę dyskusji. Kwestię tę omawiali Bygrave, a także Hildebrandt, który twierdził, że jest to jedno z najważniejszych praw przejrzystości w dobie uczenia maszynowego i big data . Wbrew wysokim oczekiwaniom Hildebrandta w 2012 r., cztery lata później, po wielu nowelizacjach RODO, kiedy tekst został sfinalizowany, trzech innych znanych autorów kwestionuje, czy w RODO nadal istnieje prawo do wyjaśnień (patrz poniżej).
W Stanach Zjednoczonych był opis powiązanych wydarzeń w przełomowej książce profesora prawa Franka Pasquale'a; odpowiednie fragmenty zostały sprawdzone przez Electronic Privacy Information Center (EPIC). Nawet amerykańska Agencja Zaawansowanych Projektów Badawczych w Obronie DARPA ma do wyjaśnienia sztucznej inteligencji (XAI), krytycznie cytowany przez blogera Artura Kiuliana.
W 2016 roku opublikowano kilka artykułów na te tematy, z których pierwszy, Goodman / Flaxman, przedstawia rozwój prawa do wyjaśnień. Pasquale uważa, że to podejście nie idzie wystarczająco daleko, jak stwierdził we wpisie na blogu w London School of Economics (LSE). W rzeczywistości na LSE istnieje cała seria na temat odpowiedzialności algorytmicznej, z której jeden wpis był w lutym 2016 r., a inne godne uwagi były autorstwa Joshua Kroll i Mireille Hildebrandt .
Inny artykuł z 2016 r., opublikowany przez Katarinou i in., zawiera uwagi na temat prawa do odwołania, zgodnie z którym „osoby fizyczne miałyby prawo odwołać się do maszyny od decyzji podjętej przez człowieka”.
Trzeci artykuł z 2016 r., którego współautorem są Mittelstadt i in., mapuje literaturę i odnosi ją do RODO na stronach 13–14.
Czwarty dokument, którego współautorami są Wachter, Mittelstadt i Floridi, obala pogląd, że takie prawo mogłoby zostać włączone do RODO, proponuje w zamian ograniczone „prawo do informacji” i wzywa do utworzenia agencji do wdrażania wymóg przejrzystości. Kolejny artykuł autorstwa Edwardsa i Veale'a twierdzi, że jest mało prawdopodobne, aby takie prawo miało zastosowanie w przypadkach „szkód algorytmicznych” przyciągających ostatnio uwagę mediów, oraz że nie poświęcono wystarczającej uwagi zarówno literaturze informatycznej dotyczącej wyjaśnień, jak i temu, w jaki sposób inne przepisy RODO, takie jak oceny skutków dla ochrony danych i przenośność danych, mogą pomóc. Prawie dwa lata później ukazał się artykuł, który rzuca wyzwanie wcześniejszym artykułom, zwłaszcza Wachter / Mittelstadt / Floridi.
Po obu stronach Atlantyku ostatnio toczyła się aktywność związana z tą trwającą debatą. Na początku 2016 r. eksperci ds. sztucznej inteligencji i urzędnicy rządowi Wielkiej Brytanii spotkali się na wielu spotkaniach i opracowali Ramy Etyczne Nauki o Danych. W dniu 7 listopada 2016 r. w Brukseli odbyło się wydarzenie zorganizowane przez posłankę do Parlamentu Europejskiego Marietje Schaake w Parlamencie Europejskim i opisane przez danah Boyd. Zaledwie jedenaście dni później na Uniwersytecie Nowojorskim odbyła się konferencja zatytułowana „Uczciwość, odpowiedzialność i przejrzystość w uczeniu maszynowym”, na której wyartykułowano zasady rozliczalnych algorytmów i oświadczenie o wpływie społecznym algorytmów i umieszczono je w Internecie do dyskusji. W połowie grudnia IEEE przedstawiło dokument, którego edycja została poparta publicznymi komentarzami zaproszonymi do marca 2017 r. w sprawie „Projektowania zgodnego z etyką”. Później w 2017 roku przenośność danych została przeanalizowana przez profesorów ochrony danych jako centralna innowacja nowego RODO.
Zobacz też
- Zewnętrzna wiki GDPR Hub prowadzona przez Maxa Schremsa i in.
- Projekt przesyłania danych
- Etyka sztucznej inteligencji
- Ogólne rozporządzenie o ochronie danych