ABD başkanı Joe Biden’ın yapay zeka (AI) yürütme emrinin yanı sıra federal mevzuat çağrıları ve yalnızca ülkedeki yaklaşık 12 farklı rejim, veri gizliliği konusunda karmaşık bir durum olarak kalmaya devam edecek küresel bir düzenleyici ortamın altını çiziyor.
Bulut pazarlama platformu tedarikçisi Acxiom’un Birleşik Krallık gizlilik ve hukuk sorumlusu Alex Hazell, dünya çapında rasyonalizasyon veya fikir birliğinin pek mümkün olmadığı, farklı ülkelerde ve farklı ülkelerde farklı rejimlerin ortaya çıkmaya devam ettiğini ve kuruluşların bu duruma çok dikkat etmesi gerektiğini söylüyor.
“Tam uyumluluğa ulaşmak son derece zorlu ve karmaşıktır” diyor. “Sadece Amazon Web Services’e bakmanız yeterli” [AWS’s] Genel Veri Koruma Yönetmeliği (GDPR) aktarımı ve işlenmesine ilişkin evrak paketi – diğer belgelere bağlantılar içeren birçok belge vb..”
BM’ye göre 2021 yılına kadar en az 137 ülkenin mevzuatı yürürlükteydi.
Uygulama, politika ve özel düzenlemelerin eşleştirilmesi, iki ana yaklaşıma ilişkin ayrıntıların ortaya çıkarılması için avukatlar ve uyum uzmanlarıyla daha derin bir etkileşim anlamına gelebilir; bu da şirketlerin kulağına pek hoş gelmeyebilir.
Hazell, “Dahili uyumluluk önlemi olarak buna bağlı kalarak en yüksek yasal standarda gidebilirsiniz” diyor. “Bunu yapmanın sorunu, daha gevşek bir yaklaşıma sahip ülkelerde rekabet avantajınızı kaybetmenizdir. Veya her ülkedeki yasal standartlara uyabilirsiniz.”
İkinci yaklaşım, ilgili bir yargı alanındaki yasal standartların diğerinden kökten farklı olması durumunda, özellikle de farklılıklar ulusal felsefelere, politikalara ve “değer yargılarına” dayandığında tek seçenek olabilir. Elbette bu, uyumluluğu yalnızca daha maliyetli ve karmaşık hale getirmekle kalmıyor, aynı zamanda küçük şirketler veya yeni kurulan şirketler için bile engelleyici hale getiriyor.
Riske dayalı yaklaşım
Bununla birlikte, “sahadaki gerçek”in, kuruluşların bazen yalnızca iş yapma biçimleri değil, aynı zamanda özellikle gri veya “kararsız” alanlar olduğunda uyumluluk hususları konusunda da risk temelli bir yaklaşım benimsemeleri olduğunu ekliyor.
Hazell, “Örneğin, bir yasa nadiren uygulanıyorsa ve geniş çapta göz ardı ediliyorsa – sözde ‘kötü yasa’ – bazıları, sayıca güvenliği varsayarak kalabalığı takip edebilir” diyor.
“Bir işletme bir görüşe sahip olabilir, diğeri ise farklı bir görüşe. Bu makul olduğu ve adli doğrulama olmadığı sürece kuruluşlar bu gri alanda oynamaya devam edecekler.”
Örneğin, Avrupa Birliği’nin (AB’nin) Genel Veri Koruma Yönetmeliği’nde (GDPR) yargısal bir içtihat belirleniyor ancak Dijital Veri Koruma Yönetmeliği gibi yeni AB hukuku hakkında düşünmeye başlamadan önce bile uygulamanın kararsız kalabileceği bazı alanlar var. Henüz herhangi bir adli emsalin bulunmadığı Hizmetler Yasası.
Kuruluşlar, GDPR’nin maksimum küresel ciro cezası yüzdesinde olduğu gibi bir “mega para cezası” riskiyle mi karşı karşıyadır, yoksa sadece gayrı resmi bir cezayla mı karşı karşıyadır? Örneğin, düzenleyici bir yaptırımın ardından toplu dava açılması olasılığı nedir?
Uyumluluk rejiminizi geliştirirken sorun yaratma potansiyeline de bakın. Hazell, “Bireyselliği tüm iç politika değerlendirmelerinin önüne ve merkezine koyun” diyor. “Bir işlemden kaynaklanabilecek potansiyel olarak gerçek bir zarar var mı ve eğer öyleyse, uygulanacak hafifletici önlemler nelerdir?”
Veri gizliliği yazılım şirketi Ketch’in çözüm başkanı Jonathan Joseph de genel olarak bu görüşe katılıyor ancak veri gizliliğinin, yalnızca insan hakları türü bir yaklaşımla ilgili bir yasa tasarısında özetlenmiş olsa bile, katıksız veri gizliliğine karşı bir ağırlık olarak dünya çapında resmi olarak tanınması gerektiğini savunuyor. teknolojik inovasyonun hızı.
AI ve ML’nin yayılması riski artırıyor
Yapay zekanın geçerli ve faydalı amaçları olsa da bu kadar çok verinin kullanılması, gizlilikleri de dahil olmak üzere bireyler için tehdit oluşturabilir. Joseph, “İnsanların veri haklarına sahip olduğunu kabul etmeliyiz” diyor.
Düzenleme genellikle teknolojik yeniliği yakalamaya çalışır. Yetkililer, inovasyonu engellemek yerine bu konuda daha hızlı hareket etmeli, kuruluşlara ve diğer kuruluşlara herhangi bir sorunu planlama ve çözme konusunda gerçek bir şans vermeli, diyor.
Joseph, “Eğer veri gizliliği hakkı dünya çapında tanınıyorsa, bırakın egemen varlıklar olarak ülkeler kendi yetki alanları için ayrıntılara kendileri karar versin” diyor. “Örneğin Avrupa’da Avrupalı vatandaşların verilerini Avrupa bulutlarında mı tutuyorsunuz?”
Kendisi, GDPR’nin mahremiyet konusunda “kapıyı açtığını” ancak “gizlilik konusunda çatlakların mevcut olduğunu” belirtiyor. [opt-in consent] modeli”. Genellikle yeni veya güncellenmiş yazılımlara ilişkin kayıtlar ve şartlar ve koşullarla birlikte gelen çok sayıda hukuk dili sayfası göz önüne alındığında, kaydolmak gerçekten nasıl anlamlı olabilir?
Bir analiz, “ortalama bir telefondaki” uygulamalara ilişkin hüküm ve koşulların, yazdırılması durumunda yalnızca okunmasının 17 saat sürebileceğini buldu ve bu da “tüm bu ilkelerin” yeniden düşünülmesi ihtiyacını vurguladı.
Joseph, “Kullanıcı yorgunluğu gerçek” diyor. “Bu bilgilendirilmiş onam mı? Hayır demek için gerçek bir seçeneğin olması gerekiyor.
Küresel veri güvenliği şirketi Immuta’nın kıdemli gizlilik danışmanı ve hukuk mühendisi Sophie Stalla-Bourdillon, mahremiyete yardımcı olan veri işleme ve yönetim ilkelerinin hala veri mutasyonu hasarı, depolama sınırlaması, veri doğruluğu ve veri kalitesi gibi konulara odaklanılması gerektiğini söylüyor. pratikle yakından ilgilidir.
“Yapıcı ve açık fikirliyseniz bu ilkelerin kontrollerini keşfetmelisiniz” diyor. “GDPR gibi oldukça kapsamlı bir ilkeler listesiyle çalışıyorsanız birden fazla yasaya uyum sağlamak için çok iyi bir yerde olmalısınız.”
Düzenleyicilerin, uluslararası düzeydeki görüşlerin “geleneksel” serbest ticaret, kısıtlamanın olmaması ve serbest akıştan farklılaştığı, mevcut insan hakları ilkeleriyle uyumlu risk temelli bir yaklaşımın nasıl uyumlaştırılacağı üzerinde çalışarak sorunlarla daha fazla zaman harcamak için kaynaklara ihtiyacı var. veri konumu.
Stalla-Bourdillon’a göre bu, “doğru yönde atılmış bir adım” gibi görünüyor çünkü karar verilen şeyin çok önemli sonuçları olabilir, dolayısıyla federal kurumların yasal bir zorunluluk olmasa bile bir yaklaşıma ihtiyacı var. GDPR, veri gizliliği ve korumasına yaklaşmanın “tek yolu” olmaya devam ediyor; kimlik hakları ve fikri mülkiyet hakları, yapay zeka ve büyük dil modellerinin oluşturduğu risklerin üstesinden gelmek için potansiyel olarak ortaya çıkıyor.
Verilerle şeffaf olun
Şunları ekliyor: “Takımların artık gerçekten birbirleriyle konuşması önemli. Kendi uygulamaları konusunda şeffaf olmak, kuruluş içindeki satın alma faaliyetlerinin ve ardından teknoloji yığınının aslına uygun bir resmini oluşturmaya başlamak.
Stalla-Bourdillon, “Uygulamada veri akışları ve merkezi veriler, göller vb. istiyorsunuz, ancak hem yönetişim hem de teknik gereksinimler için çözümlere ihtiyacınız var” diyor. “Ve aslında teknoloji çoğu zaman veri akışlarında şeffaflığa izin vermiyor.”
Bilgi sorumlusu ve e-posta ve dosya aktarımı güvenlik sağlayıcısı Zivver’in kurucu ortağı Rick Goud, uyumluluğun özellikle farklı gereksinimlerle çalışan kuruluşlar için “tam bir karmaşaya” dönüşebileceğini doğruluyor. Üst düzey yöneticiler, katı Avrupa rejimine boyun eğme yeteneğiyle bile zaten mücadele ediyor.
Goud, “Tamamen yeni bir şey yerine elimizdekinin bir çeşitlemesini veya genişletilmesini umalım, çünkü o zaman bu gerçekten zorlu olacaktır” diyor. “Neyse ki, içeriğe dayalı bir konuşma yaptığınızda, pek çok ortak zemini görebilir ve birbirinizin konumunu anlayabilirsiniz.”
Son derece güvenli, gizlilik odaklı teknoloji üretmenin başlı başına bir sorun olmadığını, tipik çatışmaların (varsa) daha çok birinin gizliliğini korumak ile pratikte gizliliği yönetmek arasındaki dengeyle ilgili olduğunu savunuyor. “Büyük teknoloji” iş modellerinin genellikle verilere “kendi istekleriyle” erişmeye dayalı olması nedeniyle tedarikçilerin burada çıkar çatışması yaşayabileceğine dikkat çekiyor.
Goud, “Bana göre mevzuat, kullanıcılarınız adına neyi saklamanıza izin verildiğine ve saklanan şeyleri nasıl kullanabileceğinize odaklanmalıdır” diyor ve veri sızıntılarının ana nedeninin e-postaların yanlış yönlendirmeleri olmaya devam ettiğini ekliyor. “Medyada korsanlık, kötü amaçlı yazılım veya fidye yazılımı haberleri yer alıyor çünkü bu daha seksi.”