For å fremme innovasjon og vinne det velkjente AI-kappløpet er amerikanske regulatorer ofte motvillige til å regulere Big Tech. Imidlertid er det definitivt behov for lovgivning ettersom sosiale medieselskaper, videstrømmetjenester og søkegiganter har tatt sin praksis for dataovervåkning for langt.
Big techs dataovervåkning er nådeløs og påtrengende. Som et eksempel ga sikkerhetsforskere fra CyberNews nylig ut en rapport om Android-enheters praksis for datainnsamling. Ved å bruke en man-in-the-middle-tilnærming fanget forskerne opp trafikk mellom en ny Android-telefon og Google-servere. Forskere fant ut at selv med GPS-tjenester deaktivert på enheten, ble posisjonsdata og en rekke personlig identifiserbar informasjon (PII) overført til Googles servere omtrent fire ganger i timen.
Forsker Aras Nazarovas forklarer: "Hvert femtende minutt sender Google Pixel 9 Pro XL en datapakke til Google. Enheten deler plassering, e-postadresse, telefonummer, nettverksstatus og annen telemetri. Enda mer bekymringsfullt er at telefonen med jevne mellomrom prøver å laste ned og kjøre nye koder, noe som åpner for sikkerhetsrisikoer".
Derfor, uten at eierne av disse enhetene vet det, deler brukerne kontinuerlig PII med Google samtidig som de potensielt setter deres sensitive data i fare. Når det e sagt, er overstyring av dataovervåkning ikke bare et Google-problem.
FTC beskriver Big Techs selvregulering som en "fiasko" og oppfordrer kongressen til å handle
I følge en fersk FTC-stabsrapport er sosiale medier, søke- og strømmeselskapers dataminimering, innsamling og oppbevaringspraksis "utilstrekkelig".
Denne rapporten er høydepunktet av fire år med å undersøke datainnsamlings- og oppbevaringspraksisen til ni forskjellige sosiale medier og strømmetjnester (SMVSS): Amazons Twitch, Metas Facebook og WhatsApp, Googles Youtube, ByteDances TikTok, X, Snapchat, Discord og Reddit. Etter fire år kom FTC til den konklusjonen at kongressen burde vedta føderal personverlovgivning.
I tillegg fant FTC-forskere at disse SMVSS-ene ofte unnlot å slette brukerdata når de ble bedt om det. De matet også brukerdata inn i AI-treningsmodeller uten å informere brukere og brukte ofte "personvernpåtrengende" pikselkoder for å sende sensitiv informasjon til reklametjenester.
I tillegg til å oppmuntre kongressen til å få en føderal personvernlov på bok, ga FTC-stabsrapporten andre, vage, anbefalinger. Selv om en av rapportens forfattere sammenlignet anbefalingene med "byråkratisk mobbing", er noen av anbefalingene likevel som følger:
1. SMVSS-er bør praktisere dataminimering og bare samle inn så mye brukerdata som nødvendig for å tilby sine tjenester. (Dette er allerede pålagt av artikkel 5(1)(c) i GDPR i EU). På samme måte bør SMVSS-er bare beholde brukerdata i den absolutte minimumstiden.
2. Brukere bør informeres når selskaper bruker deres personvernopplysninger til å trene KI-modeller og brukere bør kunne reservere seg mot slik opplæring.
3. Nye retningslinjer må på plass for å beskytte barn.
4. For å forhindre at sensistiv PII når annonsører, bør selskaper være forsiktige når de bruker sporingspiksler.
To FTC-kommisjonærer var delvis uenige med rapporten og uttrykte dissens
selv om alle de fem FTC-kommisjonærene signerte rapporten, utstedte de to reepublikanerne, Andrew Ferguson og Melissa Holyoak, separate sammenstemmende og dissensuttalelser.
På flere måter kommer Ferguson med et overbevisende argument. Ferguson erkjenner at vi er i en "personvernkrise på nettet". Han ser med avsky på rapportens avsnitt om AI og målrettet annonsering. Ferguson mener det er en "protokonkurransemessig begrunnelse" for målrettede annonser da slike annonser hjelper mindre selskaper med å effektivt nå kunder til en lavere kostnad, noe som hjelper dem å konkurrere med sine større konkurrenter.
Ferguson forstår ikke hvordan målrettede annonser fungere som en form for "ulovlig diskriminering", "omdømmeskade" eller "invasjon av personvernet". Han inrømmer at regulering er nødvendig, men han mener det bør komme tidligere i forsyningskjeden.
Ferguson skriver: "Det riktige regulatoriske fokuset er ett skritt tidligere i forsyningskjeden - den uregulerte innsamlingen, aggregeringen, salget og oppbevaringen av forbrukernes data som gjør den målrettede annonseringen mulig". Leser man mellom linjene, vil et slikt fokus sette datameglerbransjen i reguleringens krav.
Ferguson skriver også i sammenheng med sitt syn på SMVSSs skyggefulle personvernregler: "For å være sikker, avslører de fleste firmaer teknisk sett sin datapraksis til forbrukere gjennom personvernregler. Men enhver amerikaner vet at disse retningslinjene er lange, vage og lite nyttige - sannsynligvis med vilje".
I sin dissens konkluderer Ferguson: "Jeg deler ikke rapportens tilsynelatende syn på at visning av målrettet reklame til voksne i det store og hele er skadelig. (Målrettet reklame til barn og tenåringer er en helt annen sak).
Overvåkning av barns data kan provosere lovgivere til å handle
I likhet med sin FTC-kolleger er kommissær Melissa Holyoak spesielt bekymret for SMVSS-ers innsamling, bruk og oppbevaring av barns data.
Gjennom hele uttalelsen beklager Holyoak at de fleste selskaper ikke implementerer sikkerhetstiltak rundt deling av data samlet inn fra barn. Faktisk unnlater SMVSSer ofte å skille mellom voksne og barn i utgangspunktet. Tenåringer kan ofte opprette kontoer uten begrensninger og mange selskaper samler inn tenåringers data på samme måte som de samler inn voksnes data.
Selv når selskaper formelt blir bedt om å slette barns data, bestemmer de seg for å avidentifisere dataene og beholde dem. Dette er en problematisk praksis da disse avidentifiserte dataene risikerer å bli identifisert på nytt.
Slike bekyrminger rundt målrettet annonsering og innsamling av data av barn er selvfølgelig ikke begrenset til FTC-kommisjonærer. For eksempel anla Texas' statsadvokat Ken Paxton nylig et søksmål mot Tiktok og hevdet at ByteDance-selskapet er i strid med Texas' SCOPE Act fordi Tiktok angivelig samler inn og deler mindreåriges PII uten å innhente foreldrenes tillatelse.
Ytterligere kompliserer alle disse sakene er det faktum at SMVSS-ers aldersverifiseringsprosesser lett omgås. Igjen, muligens med vilje.
Dette kan forbrukerene gjøre for å kvele Big Tech-overvåkning
I stedet for å vente på at saktegående lovgivningshjul skal gå rundt, kan teknologisk kyndige forbrukere selv kaste en skiftenøkkel i Big Techs økosystem over overvåkning. Selv om det kan være en tidkrevende prosess er det absolutt verdt å velge bort datameglers datainnsamling.
I tillegg, gitt at noen apper på smarttelefonene våre sannsynligvis lytter til samtalene våre, er det verdt å endre instillingene for å blokkere dette. På en iPhone kan du gå til innstillinger < personvern og sikkerhet < mikrofon og deretter deaktivere mikrofontilgang for alle applikasjoner du tror lytter aktivt. For hva det er verdt, nekter Meta, Google og Amazon for å lytte til samtalene våre via smarttelefonapper.
Når det er sagt, lytter mangle applikasjoner aktivt. For eksempel pleide ChatGPTs applilkasjon nylig å gjøre det, selv om OpenAI sier at den senere har endret innstillingene. Selvfølgelig lytter telefonene våre også via Siri (iPhone) og Google Assistant (Android). Du kan deaktivere disse tjenestene også.
I tillegg finnes det personvernsentrerte nettlesere (f.eks. Brave, Ulaa) og nettverksutvidelser (f.eks. Privacy Badger) som blokkerer pikseltagger. Det finnes også e-post verktøy for bedrifter (f.eks. Zoho Mail) som automatisk deaktiverer ekstern bildelastning i e-poster, noe som forhindrer pikselsporing.
Viktige takeaways
FTCs stabsrapport kommer ikke til å ha innvirkning før etter presidentvalget. Dessuten gjenstår det å se om FTC-leder Lina Khan fortsatt vil ha ansvaret uavhengig av hvilket parti som vinner.
Gitt dysfunksjonen på Capitol Hill, virker personvernlovgivning usannsynlig. Derfor, hvis du er bekymret for Big Tech-dataovervåkning kan du ta saken i egne hender ved å deaktivere mikrofontilgang til applikasjoner, bruke personvernsentriske nettlesere og velge bort datamegleres innsamlingsaktiviteter.