Det er på tide med en Bill of Data Rights

Ms. Tech

Det er sommeren 2023, og Rachel er blakk. Når hun sitter på en bar en kveld og surfer på jobbannonser på telefonen får hun en tekstmelding. Forskere som gjør en undersøkelse om leverfunksjon har fått navnet hennes fra barens lojalitetsprogram – hun hadde registrert seg for å få en happy-hour-rabatt på nachos. De tilbyr i uken for tilgang til telefonens helsedatastrøm og barfanen for de neste tre månedene.

Til å begynne med er Rachel irritert over inntrengingen. Men hun trenger pengene. Så hun nikker mot telefonen – en subtil, men tydelig samtykkende gest som er like juridisk bindende som en signatur – og går tilbake til nachosene og jobbsøkingen.



Men etter hvert som sommeren går på, klarer ikke Rachel å la merke til at hun får avslag etter avslag fra arbeidsgivere, mens vennene hennes, én etter én, stiller opp på jobb. Uten at hun visste det – fordi hun ikke leste det som står med liten skrift – har noen data fra forskningsstudien, sammen med hennes brennevinskjøpshistorie, kommet til et av de to arbeidsbyråene som har kommet til å dominere markedet. Hver arbeidsgiver som gjennomgår søknaden hennes hos byrået, ser nå at hun har blitt profilert som en deprimert upålitelig. Ikke rart hun ikke kan få jobb. Men selv om hun kunne oppdage at hun er blitt profilert på denne måten, hvilken utvei har hun?

En dag i livet

Hvis du leser dette, er sjansen stor for at du, i likhet med Rachel, har skapt en enorm mengde data i dag – ved å lese eller handle på nettet, spore treningsøkten din eller bare gå et sted med telefonen i lommen. Noen av disse dataene opprettet du med vilje, men mye av dem ble skapt av dine handlinger uten din viten, enn si samtykke.

Utbredelsen av data de siste tiårene har ført noen reformatorer til et rop: Du eier dataene dine! Eric Posner fra University of Chicago, Eric Weyl fra Microsoft Research og virtuell virkelighetsguru Jaron Lanier, blant andre, argumenterer for at data bør behandles som en besittelse. Mark Zuckerberg, grunnleggeren og lederen av Facebook, sier det også. Facebook sier nå at du eier all kontakt og informasjon du legger ut på Facebook og kan kontrollere hvordan den deles. Financial Times hevder det en sentral del av svaret ligger i å gi forbrukere eierskap til sine egne personopplysninger. I en nylig tale , Tim Cook, Apples administrerende direktør, var enig og sa at selskaper bør anerkjenne at data tilhører brukere.

datadrevet person

Dataeierskap løser ikke bare eksisterende problemer; det skaper nye.

Dette essayet argumenterer for at dataeierskap er en mangelfull, kontraproduktiv måte å tenke data på. Det løser ikke bare eksisterende problemer; det skaper nye. I stedet trenger vi et rammeverk som gir mennesker rettigheter til fastsette hvordan dataene deres brukes uten at de må ta eierskap til dem selv. Dataomsorgsloven, a regning introdusert 12. desember av den amerikanske senatoren Brian Schatz, en demokrat fra Hawaii, er et godt første skritt i denne retningen (avhengig av hvordan det lille trykket utvikler seg). Som Doug Jones, en demokratisk senator fra Alabama som er en av lovforslagene, sa: Retten til personvern og sikkerhet på nettet bør være en grunnleggende rett.

Begrepet eierskap er tiltalende fordi det antyder å gi deg makt og kontroll over dataene dine. Men å eie og leie ut data er en dårlig analogi. Kontroll over hvordan bestemte databiter brukes er bare ett problem blant mange. De virkelige spørsmålene er spørsmål om hvordan data former samfunn og individer. Rachels historie vil vise oss hvorfor datarettigheter er viktige og hvordan de kan fungere for å beskytte ikke bare Rachel som individ, men samfunnet som helhet.

I morgen vet aldri

For å se hvorfor dataeierskap er et mangelfullt konsept, tenk først på denne artikkelen du leser. Selve handlingen med å åpne den på en elektronisk enhet skapte data – en oppføring i nettleserens historie, informasjonskapsler nettstedet sendte til nettleseren din, en oppføring i nettstedets serverlogg for å registrere et besøk fra IP-adressen din. Det er praktisk talt umulig å gjøre noe på nettet – lese, handle, eller til og med bare gå et sted med en Internett-tilkoblet telefon i lommen – uten å legge igjen en digital skygge. Disse skyggene kan ikke eies – slik du eier for eksempel en sykkel – like lite som de flyktige skyggeflekkene som følger deg rundt på solfylte dager.

Dataene dine i seg selv er ikke særlig nyttige for en markedsfører eller et forsikringsselskap. Analysert i forbindelse med lignende data fra tusenvis av andre mennesker, mater den imidlertid algoritmer og samler deg (f.eks. storrøyker med drikkevaner eller sunn løper, alltid i tide). Hvis en algoritme er urettferdig – hvis den for eksempel feilaktig klassifiserer deg som en helserisiko fordi den ble trent på et skjevt datasett eller rett og slett fordi du er en uteligger – vil det ikke gjøre det rettferdig å la deg eie dataene dine. Den eneste måten å unngå å bli påvirket av algoritmen på er å aldri, aldri gi noen tilgang til dataene dine. Men selv om du prøvde å hamstre data som gjelder deg, kan selskaper og myndigheter med tilgang til store mengder data om andre mennesker bruke disse dataene til å trekke slutninger om deg. Data er ikke et nøytralt inntrykk av virkeligheten. Oppretting og forbruk av data gjenspeiler hvordan makt er fordelt i samfunnet.

Du kan selvfølgelig velge å holde alle dataene dine private for å unngå at de blir brukt mot deg. Men hvis du følger den strategien, kan du ende opp med å gå glipp av fordelene ved noen ganger å gjøre dataene dine tilgjengelige. For eksempel, når du kjører og navigerer med smarttelefonappen, deler du sanntids anonymisert informasjon som deretter omsettes til nøyaktige trafikkforhold (f.eks. vil det ta deg 26 minutter å kjøre til jobb i morges hvis du drar klokken 8: 16.00). Disse dataene er individuelt private – fremmede kan ikke se hvor du er – men kumulativt er det et kollektivt gode.

Oppretting og forbruk av data gjenspeiler hvordan makt er fordelt i samfunnet.

Dette eksemplet viser hvordan data i aggregatet kan være fundamentalt forskjellig i karakter fra de enkelte bitene og bytene som utgjør det. Selv velmente argumenter om dataeierskap antar at hvis du regulerer personopplysninger godt, vil du få gode samfunnsmessige resultater. Og det er bare ikke sant.

Det er derfor mange av problemene med urettferdig bruk av data ikke kan løses ved å kontrollere hvem som har tilgang til dem. For eksempel, i visse amerikanske jurisdiksjoner, bruker dommere en algoritmisk generert risikoscore når de tar avgjørelser om kausjon og straffutmåling. Disse programvare forutsi sannsynligheten for at en person vil begå fremtidige forbrytelser. Tenk deg at en slik algoritme sier at du har 99 % sjanse for å begå en annen forbrytelse eller gå glipp av en fremtidig kausjonsavtale fordi folk som demografisk ligner deg ofte er kriminelle eller kausjonshoppere. Det kan være urettferdig i ditt tilfelle, men du kan ikke eie din demografiske profil eller din kriminelle post og nekte å la rettssystemet se det. Selv om du nekter samtykke til at dataene dine blir brukt, kan en organisasjon bruke data om andre mennesker til å gjøre statistiske ekstrapoleringer som påvirker deg. Dette eksemplet understreker poenget at data handler om makt – personer anklaget for eller dømt for forbrytelser har generelt mindre makt enn de som tar avgjørelser om kausjon og straffutmåling.

På samme måte innebærer eksisterende løsninger for urettferdig bruk av data ofte å kontrollere ikke hvem som har tilgang til data, men hvordan data brukes. Under US Affordable Care Act, for eksempel, kan ikke helseforsikringsselskaper nekte eller kreve mer for dekning bare fordi noen har en eksisterende tilstand. Regjeringen forteller ikke selskapene at de ikke kan holde disse dataene om pasienter; den sier bare at de må ignorere det. En person eier ikke det faktum at hun har diabetes - men hun kan ha rett til ikke å bli diskriminert på grunn av det.

Samtykke nevnes ofte som et grunnleggende prinsipp som bør respekteres med tanke på bruk av data. Men fraværende myndighetsregulering for å hindre helseforsikringsselskaper fra å bruke data om eksisterende forhold, mangler individuelle forbrukere muligheten til å holde tilbake samtykke. Grunnen til at de mangler den evnen er at forsikringsselskapene har mer makt enn de har. Samtykke, for å si det rett ut, fungerer ikke.

Datarettigheter skal beskytte personvernet, og bør ta hensyn til at personvernet ikke er en reaktiv rett til å skjerme seg fra samfunnet. Det handler om frihet til å utvikle seg selv vekk fra handel og bort fra statlig kontroll. Men datarettigheter handler ikke bare om personvern. I likhet med andre rettigheter – for eksempel til ytringsfrihet – handler datarettigheter grunnleggende om å sikre et rom for individuell frihet og handlefrihet samtidig som de deltar i det moderne samfunnet. Detaljene bør følge av grunnleggende prinsipper, som med USAs eksisterende Bill of Rights. For ofte forsøk på å uttale slike prinsipper sette seg fast i ugresset av ting som modeller for opt-in-samtykke, som raskt kan bli utdaterte.

Det trengs klare, brede prinsipper rundt om i verden, på måter som passer inn i de enkelte lands rettssystem. I USA er eksisterende konstitusjonelle bestemmelser – som lik beskyttelse under loven og forbud mot urimelig ransaking og beslag – utilstrekkelige. Det er for eksempel vanskelig å argumentere for at kontinuerlig, vedvarende sporing av en persons bevegelser i offentligheten er et søk. Og likevel er slik overvåking sammenlignbar i sine påtrengende effekter med et urimelig søk. Det er ikke nok å håpe at domstolene vil komme med gunstige tolkninger av 1700-tallets språk brukt på 2000-tallets teknologier.

En Bill of Data Rights bør inkludere rettigheter som disse:

  • Folkets rett til å være sikret mot urimelig overvåking skal ikke krenkes.
  • Ingen skal få sin oppførsel manipulert i det skjulte.
  • Ingen skal diskrimineres urettferdig på grunnlag av data.

Dette er på ingen måte alle bestemmelsene et holdbart og effektivt lovforslag vil trenge. De er ment å være en begynnelse, og eksempler på hva slags klarhet og generalitet et slikt dokument trenger.

For å gjøre en forskjell for mennesker som Rachel, vil en Bill of Data Rights trenge et nytt sett med institusjoner og juridiske instrumenter for å ivareta rettighetene den fastsetter. Staten må beskytte og avgrense disse rettighetene, noe den europeiske generelle databeskyttelsesforordningen (GDPR) av 2018 har begynt å gjøre. Den nye datarettighetsinfrastrukturen bør gå lenger og inkludere styrer, datakooperativer (som vil muliggjøre kollektiv handling og talsmann på vegne av brukere), etiske datasertifiseringsordninger, spesialiserte datarettighetsadvokater og revisorer, og datarepresentanter som fungerer som tillitsmenn for medlemmer av allmennheten, i stand til å analysere de komplekse innvirkningene data kan ha på livet.

Med litt hjelp fra mine venner

Relatert historie

Hvordan ser fremtiden ut uten beskyttelse av datarettigheter? La oss gå tilbake til Rachels resultatløse jobbsøking. Karakteriseringen hennes som en deprimert upålitelig kan være riktig eller ikke. Kanskje algoritmen bare gjorde en feil: Rachel er helt frisk og frisk på jobben. Men etter hvert som algoritmer blir bedre og trekker på større datasett, blir det mindre og mindre sannsynlig at de blir unøyaktige. Likevel, ville det gjøre dem mer rettferdige?

Hva om Rachel var litt deprimert? En god jobb kan ha hjulpet henne med å overvinne et anfall av depresjon. Men i stedet blir profilen hennes raskt en selvoppfyllende profeti. Ute av stand til å få jobb, blir hun virkelig deprimert og upålitelig.

Vurder nå Rachels dilemma i en verden med sterkere datarettighetsbeskyttelse. Hun samtykker i leverfunksjonsstudien, men mens hun skanner vilkårene og betingelsene, flagger en algoritmisk datarepresentant problemet, på en måte som algoritmiske portvakter beskytter mot datavirus og spam. Etter at problemet er flagget, blir det henvist til et team av revisorer som rapporterer til det lokale datarettighetsstyret (i denne hypotetiske fremtiden). Teamet undersøker algoritmen som brukes av studien og oppdager koblingen til ansettelsesprofileringen. Styret fastslår at Rachel har blitt profilert og at slik profilering, takket være en nyetablert tolkning av likestillingsloven og databeskyttelsesloven (vedtatt i 2022), er åpenbart ulovlig. Rachel trenger ikke å iverksette tiltak selv – styret sanksjonerer forskerne for misbruk av datapraksis.

skjønnhet i media

Komme sammen

En inkrementell erosjon av personvernet er vanskelig å legge merke til og gjør liten skade på noen – akkurat som spormengder av karbondioksid knapt kan påvises og ikke gjør noen miljøskade å snakke om.

Som jeg har hevdet, er dataeierskap en kategorifeil med skadelige konsekvenser: du kan egentlig ikke eie mesteparten av dataene dine, og selv om du kunne, ville det ofte ikke beskytte deg mot urettferdig praksis. Hvorfor er ideen om dataeierskap en så populær løsning?

Svaret er at politiske eksperter og teknologer altfor ofte stilltiende aksepterer konseptet datakapitalisme. De ser data enten som en kapitalkilde (f.eks. Facebook bruker data om meg for å målrette annonser) eller som et produkt av arbeidskraft (f.eks. bør jeg få betalt for dataene som produseres om meg). Det er ingen av disse tingene. Å tenke på data som vi tenker på en sykkel, olje eller penger klarer ikke å fange opp hvor dypt forholdet mellom innbyggere, staten og privat sektor har endret seg i datatiden. Et nytt paradigme for å forstå hva data er – og hvilke rettigheter som er knyttet til dem – er påtrengende nødvendig hvis vi skal skape en rettferdig politikk i det 21. århundre.

Dette paradigmet kan med fordel trekke på miljøanalogier – å tenke på data som beslektet med klimagasser eller andre eksternaliteter, der små biter av forurensning, individuelt uskadelig, har katastrofale kollektive konsekvenser. De fleste verdsetter sitt eget privatliv, akkurat som de verdsetter evnen til å puste ren luft. En inkrementell erosjon av personvernet er vanskelig å legge merke til og gjør liten skade på noen – akkurat som spormengder av karbondioksid knapt kan påvises og ikke gjør noen miljøskade å snakke om. Men til sammen, akkurat som store mengder klimagasser forårsaker grunnleggende skade på miljøet, forårsaker et massivt skifte i personvernets natur grunnleggende skade på det sosiale stoffet.

For å forstå denne skaden trenger vi et nytt paradigme. Dette paradigmet må fange opp måtene et omgivende teppe av data endrer våre relasjoner til hverandre – som familie, som venner, som kollegaer, som forbrukere og som borgere. For å gjøre det, må dette paradigmet være forankret i en grunnleggende forståelse av at mennesker har datarettigheter og at myndigheter må ivareta disse rettighetene.

Det blir utfordringer underveis. Verken den tekniske eller juridiske infrastrukturen rundt datarettigheter er enkel. Det vil være vanskelig å komme til enighet om hvilke rettigheter som finnes. Det vil bli enda tøffere å implementere nye lover og regler for å beskytte disse rettighetene. Som i den aktuelle debatten i den amerikanske kongressen, interessegrupper og industrilobbyister vil slåss om viktige detaljer. Balansene i forskjellige land vil være forskjellige. Men uten en sterk og energisk infrastruktur for datarettigheter kan det åpne demokratiske samfunnet ikke overleve.

gjemme seg