Por que proteger a privacidade é um jogo perdido hoje - e como mudar o jogo

Introdução: Mudança de jogo?

Tem um episódio clássico da série I Love Lucy em que Lucy vai trabalhar embalando doces em uma linha de montagem . A linha continua acelerando com os doces se aproximando e, à medida que vão ficando cada vez mais para trás, Lucy e sua ajudante Ethel lutam cada vez mais para acompanhá-los. Acho que estamos lutando em um jogo perdedor, diz Lucy.

É aqui que estamos com a privacidade de dados na América hoje. Mais e mais dados sobre cada um de nós estão sendo gerados cada vez mais rápido a partir de mais e mais dispositivos, e não podemos acompanhar. É um jogo perdido tanto para os indivíduos quanto para nosso sistema jurídico. Se não mudarmos as regras do jogo em breve, isso se tornará um jogo perdedor para nossa economia e sociedade.

Mais e mais dados sobre cada um de nós estão sendo gerados cada vez mais rápido a partir de mais e mais dispositivos, e não podemos acompanhar. É um jogo perdido tanto para os indivíduos quanto para nosso sistema jurídico.



O drama de Cambridge Analytica foi o mais recente de uma série de erupções que chamaram a atenção das pessoas de uma forma que um fluxo constante de violações e uso indevido de dados não conseguiu.

O primeiro desses choques foram as revelações de Snowden em 2013. Isso gerou histórias de longa duração e manchetes que iluminaram a quantidade de informações sobre nós que podem acabar em lugares inesperados. As divulgações também aumentaram a conscientização sobre o quanto pode ser aprendido com esses dados (matamos pessoas com base em metadados, ex-diretor da NSA e da CIA, Michael Hayden disse )

Os tremores secundários foram sentidos não apenas pelo governo, mas também por empresas americanas, especialmente aquelas cujos nomes e logotipos apareceram nas notícias de Snowden. Eles enfrentaram a suspeita dos clientes em casa e a resistência do mercado por parte dos clientes no exterior. Para reconstruir a confiança, eles pressionaram para divulgar mais sobre o volume de demandas de vigilância e mudanças nas leis de vigilância. Apple, Microsoft e Yahoo envolveram-se em batalhas legais públicas com o governo dos EUA.

Então veio a violação Equifax do ano passado que comprometeu informações de identidade de quase 146 milhões Americanos. Não era maior do que a longa lista de violações de dados que o precedeu, mas atingiu com mais força porque atingiu o sistema financeiro e afetou consumidores individuais que nunca fizeram negócios diretamente com a Equifax, mas mesmo assim tiveram que lidar com o impacto de seu crédito pontuações na vida econômica. Para essas pessoas, a violação foi mais uma demonstração de como os dados importantes sobre elas circulam sem seu controle, mas com impacto em suas vidas.

Agora, as histórias de Cambridge Analytica desencadearam uma atenção pública ainda mais intensa, com cortes de TV ao vivo para o testemunho de Mark Zuckerberg no congresso. Muitas das pessoas cujos dados foram coletados não apenas ficaram surpresas com o fato de uma empresa da qual nunca ouviram falar receber tantas informações pessoais, mas a história da Cambridge Analytica aborda todas as controvérsias que envolvem o papel da mídia social no cataclismo da eleição presidencial de 2016 . O Facebook estima que a Cambridge Analytica foi capaz de alavancar sua pesquisa acadêmica em dados de cerca de 87 milhões de americanos (enquanto antes da eleição de 2016, o CEO da Cambridge Analytica, Alexander Nix gabou-se de ter perfis com 5.000 pontos de dados em 220 milhões de americanos). Com mais de dois bilhões de usuários do Facebook em todo o mundo, muitas pessoas têm interesse nesta questão e, como as histórias de Snowden, está recebendo intensa atenção em todo o mundo, como demonstrado por Mark Zuckerberg assumindo seu legislativo testemunho a caminho do Parlamento Europeu .

As histórias de Snowden forçaram mudanças substantivas na vigilância com a promulgação da legislação dos EUA que restringe a coleta de metadados por telefone e aumenta a transparência e as salvaguardas na coleta de inteligência. Todas as audiências e atenção pública sobre Equifax e Cambridge Analytica trarão mudanças análogas para o setor comercial na América?

Eu certamente espero que sim. Liderei a força-tarefa do governo Obama que desenvolveu o Declaração de Direitos da Privacidade do Consumidor emitido pela Casa Branca em 2012 com o apoio de empresas e defensores da privacidade e, em seguida, elaborou uma legislação para transformar esta declaração de direitos em lei. A proposta legislativa emitida depois que eu deixei o governo não teve muita força, então essa iniciativa continua sendo um assunto inacabado.

As histórias de Cambridge Analytica geraram novos pedidos de alguma legislação federal de privacidade de membros do Congresso em ambos os partidos, conselhos editoriais e comentaristas. Com as audiências de Zuckerberg realizadas, senadores e congressistas estão pensando sobre o que fazer a seguir. Alguns já apresentaram projetos de lei e outros estão pensando em como seriam as propostas de privacidade. Os artigos de opinião e tópicos do Twitter sobre o que fazer fluíram. Vários grupos em Washington têm se reunido para desenvolver propostas de legislação.

Desta vez, as propostas podem pousar em terreno mais fértil. O presidente do Comitê de Comércio do Senado, John Thune (R-SD), disse que muitos dos meus colegas em ambos os lados do corredor estavam dispostos a ceder aos esforços das empresas de tecnologia para se autorregular, mas isso pode estar mudando. Várias empresas estão cada vez mais abertas à discussão de uma lei federal de privacidade básica. Mais notavelmente, Zuckerberg disse à CNN que não tenho certeza se não devemos ser regulamentados, e Tim Cook, da Apple, expressou sua convicção enfática de que a autorregulação não é mais viável.

Há algum tempo, os eventos vêm mudando a maneira como os interesses comerciais veem a perspectiva da legislação federal de privacidade.

Não se trata apenas de controle de danos ou acomodação para techlash e frustração do consumidor. Há algum tempo, os eventos vêm mudando a maneira como os interesses comerciais veem a perspectiva da legislação federal de privacidade. Uma crescente disseminação da legislação estadual sobre neutralidade da rede, drones, tecnologia educacional, leitores de placas de veículos e outros assuntos e, especialmente uma ampla nova legislação na Califórnia que antecipa uma iniciativa eleitoral, tornou a possibilidade de um único conjunto de regras federais para todos 50 estados parecem atraentes. Para as empresas multinacionais que passaram dois anos se preparando para o cumprimento da nova lei de proteção de dados que agora entrou em vigor na UE, lidar com uma lei abrangente dos EUA não parece mais tão assustador. E mais empresas estão vendo valor em uma linha de base comum que pode fornecer às pessoas garantias sobre como seus dados são tratados e protegidos contra outliers e fora da lei.

Essa mudança no setor corporativo abre a possibilidade de que esses interesses possam convergir com os dos defensores da privacidade em uma legislação federal abrangente que fornece proteções eficazes para os consumidores. Trocas para obter regras federais consistentes que previnam algumas leis e remédios estaduais fortes serão difíceis, mas com uma linha de base federal forte o suficiente, a ação pode ser alcançada.

como a lei atual está ficando para trás

Snowden, Equifax e Cambridge Analytica fornecem três motivos evidentes para agirmos. Existem realmente quintilhões de razões. Essa é a rapidez com que a IBM estima que estamos gerando informações digitais, quintilhões de bytes de dados todos os dias - um número seguido por 30 zeros. Essa explosão é gerada pela duplicação do poder de processamento do computador a cada 18-24 meses, o que impulsionou o crescimento da tecnologia da informação em toda a era da computação, agora composta por bilhões de dispositivos que coletam e transmitem dados, dispositivos de armazenamento e centros de dados que os tornam mais baratos e mais fácil manter os dados desses dispositivos, maior largura de banda para mover esses dados com mais rapidez e software mais poderoso e sofisticado para extrair informações dessa massa de dados. Tudo isso é habilitado e ampliado pela singularidade dos efeitos de rede - o valor que é adicionado por estar conectado a outras pessoas em uma rede - de maneiras que ainda estamos aprendendo.

O Big Bang dessas informações está dobrando o volume de informações digitais no mundo a cada dois anos. A explosão de dados que colocou a privacidade e a segurança em destaque irá se acelerar. Futuristas e analistas de negócios debatem quantas dezenas de bilhões de dispositivos serão conectados nas próximas décadas, mas a ordem de magnitude é inconfundível - e impressionante em seu impacto sobre a quantidade e velocidade de bits de informação que se movem ao redor do globo. O ritmo de mudança é estonteante e ficará ainda mais rápido - muito mais estonteante do que a linha de montagem de Lucy.

As propostas mais recentes de legislação de privacidade visam a fatias das questões que essa explosão apresenta. A violação da Equifax produziu legislação voltada para corretores de dados. As respostas ao papel do Facebook e do Twitter no debate público se concentraram na divulgação de anúncios políticos, no que fazer com os bots ou nos limites do rastreamento online de anúncios. A maior parte da legislação estadual tem como alvo tópicos específicos como o uso de dados de produtos de tecnologia educacional, acesso a contas de mídia social por empregadores e proteção de privacidade de drones e leitores de placas de veículos. A simplificação e expansão do Facebook de seus controles de privacidade e recentes projetos de lei de privacidade federais em reação aos eventos se concentram em aumentar a transparência e a escolha do consumidor. O mesmo acontece com o recém-promulgado California Privacy Act.

O Big Bang dessas informações está dobrando o volume de informações digitais no mundo a cada dois anos. A explosão de dados que colocou a privacidade e a segurança em destaque irá se acelerar. As propostas mais recentes de legislação de privacidade visam a fatias das questões que essa explosão apresenta.

Medidas como essas dobram o atual regime de privacidade americano. O problema é que esse sistema não consegue acompanhar a explosão de informações digitais, e a difusão dessas informações minou as premissas-chave dessas leis de maneiras cada vez mais evidentes. Nossas leis atuais foram projetadas para abordar a coleta e o armazenamento de dados estruturados por governos, empresas e outras organizações e estão morrendo de medo em um mundo onde estamos todos conectados e compartilhando constantemente. É hora de uma abordagem mais abrangente e ambiciosa. Precisamos pensar grande, ou continuaremos jogando um jogo perdedor.

Nossas leis existentes se desenvolveram como uma série de respostas a preocupações específicas, um tabuleiro de damas de leis federais e estaduais, jurisprudência de direito comum e aplicação pública e privada que se acumulou ao longo de mais de um século. Tudo começou com o famoso artigo da Harvard Law Review do (mais tarde) Juiz Louis Brandeis e seu sócio, Samuel Warren, em 1890, que forneceu uma base para a jurisprudência e estatutos estaduais durante grande parte do século 20, muitos dos quais abordaram o impacto da mídia de massa em indivíduos que queriam, como Warren e Brandeis colocaram, ser deixados em paz. O advento dos computadores mainframe viu as primeiras leis de privacidade de dados adotadas em 1974 para lidar com o poder da informação nas mãos de grandes instituições como bancos e governo: o Fair Credit Reporting Act federal que nos dá acesso a informações sobre relatórios de crédito e o Privacy Act que governa as agências federais. Hoje, nosso tabuleiro de damas de leis de privacidade e segurança de dados cobre os dados que mais preocupam as pessoas. Isso inclui dados de saúde, informações genéticas, registros de alunos e informações relativas a crianças em geral, informações financeiras e comunicações eletrônicas (com regras diferentes para operadoras de telecomunicações, provedores de cabo e e-mails).

Fora desses setores específicos, não existe uma zona completamente sem lei. Com o Alabama adotando uma lei em abril passado, todos os 50 estados agora têm leis que exigem notificação de violações de dados (com variações em quem deve ser notificado, com que rapidez e em quais circunstâncias). Ao fazer com que as organizações se concentrem em dados pessoais e como eles os protegem, reforçada pela exposição a litígios de execução públicos e privados, essas leis tiveram um impacto significativo nas práticas de privacidade e segurança. Além disso, desde 2003, a Federal Trade Commission - sob a maioria republicana e democrata - tem usado sua autoridade de fiscalização para regulamentar práticas comerciais desleais e enganosas e para policiar práticas desarrazoadas de privacidade e segurança da informação. Essa imposição, espelhada por muitos procuradores-gerais do estado, baseou-se principalmente no engano, com base em falhas em cumprir as políticas de privacidade e outras promessas de privacidade.

América primeiro não significa América sozinha

Essas alavancas de aplicação em casos específicos, bem como a exposição pública, podem ser ferramentas poderosas para proteger a privacidade. Mas, em um mundo de tecnologia que opera em uma escala massiva, movendo-se rapidamente e fazendo as coisas porque é possível, reagir a abusos específicos após o fato não fornece grades de proteção suficientes.

À medida que o universo de dados continua se expandindo, cada vez mais fica fora das várias leis específicas dos livros. Isso inclui a maioria dos dados que geramos por meio de usos generalizados, como pesquisas na web, mídia social, comércio eletrônico e aplicativos de smartphone. As mudanças vêm mais rápido do que a legislação ou as regras regulatórias podem se adaptar e apagam os limites setoriais que definiram nossas leis de privacidade. Pegue meu relógio inteligente, por exemplo: os dados que ele gera sobre minha frequência cardíaca e atividade são cobertos pela Lei de Responsabilidade e Portabilidade de Seguro Saúde (HIPAA) se forem compartilhados com meu médico, mas não quando vão para aplicativos de fitness como Strava ( onde posso comparar meu desempenho com o de meus colegas). De qualquer forma, são os mesmos dados, igualmente confidenciais para mim e representam o mesmo risco nas mãos erradas.

À medida que o universo de dados continua se expandindo, cada vez mais fica fora das várias leis específicas dos livros.

Faz pouco sentido que a proteção de dados dependa inteiramente de quem os detém. Essa arbitrariedade se espalhará à medida que mais e mais dispositivos conectados forem incorporados em tudo, de roupas a carros, eletrodomésticos e móveis urbanos. Acrescente a isso mudanças marcantes nos padrões de integração e inovação de negócios - provedores de telefonia tradicionais como Verizon e AT&T estão entrando no entretenimento, enquanto startups são lançadas nas províncias de instituições financeiras como comércio de moeda e crédito e todos os tipos de empresas competem por espaço no veículo autônomo ecossistema - e as fronteiras setoriais que definiram a proteção da privacidade dos Estados Unidos deixam de fazer sentido.

Colocar tantos dados em tantas mãos também está mudando a natureza das informações que são protegidas como privadas. Para a maioria das pessoas, informações pessoais significam informações como números de previdência social, números de contas e outras informações exclusivas delas. As leis de privacidade dos EUA refletem essa concepção, visando informações de identificação pessoal, mas os cientistas de dados têm demonstrado repetidamente que esse foco pode ser muito restrito. A agregação e correlação de dados de várias fontes tornam cada vez mais possível vincular informações supostamente anônimas a indivíduos específicos e inferir características e informações sobre eles. O resultado é que, hoje, uma gama cada vez maior de dados tem o potencial de ser informações pessoais, ou seja, para nos identificar de maneira única. Poucas leis ou regulamentos abordam essa nova realidade.

Hoje em dia, quase todos os aspectos de nossas vidas estão nas mãos de terceiros em algum lugar. Isso desafia os julgamentos sobre as expectativas de privacidade que têm sido uma premissa importante para definir o escopo da proteção da privacidade. Esses julgamentos apresentam escolhas binárias: se as informações privadas são de alguma forma públicas ou nas mãos de terceiros, as pessoas geralmente são consideradas como não tendo expectativa de privacidade. Isso é particularmente verdadeiro quando se trata de acesso governamental às informações - e-mails, por exemplo, são nominalmente menos protegidos por nossas leis uma vez que tenham sido armazenados por 180 dias ou mais, e artigos e atividades à vista de todos são considerados categoricamente disponíveis para autoridades governamentais. Mas o conceito também se aplica a dados comerciais em termos e condições de serviço e à coleta de informações em sites públicos, para dois exemplos.

À medida que mais dispositivos e sensores são implantados nos ambientes pelos quais passamos ao longo de nossos dias, a privacidade se tornará impossível se formos considerados como tendo abdicado de nossa privacidade simplesmente por viajar pelo mundo ou compartilhá-la com qualquer outra pessoa. Muitas pessoas disseram que a privacidade está morta, começando mais notoriamente com Scott McNealy da Sun Microsystems no século 20 (você tem privacidade zero ... supere isso) e ecoado por um coro de escritores desesperados desde então. Sem regras normativas para fornecer uma âncora mais constante do que a mudança de expectativas, a verdadeira privacidade poderia estar morta ou morrendo. A Suprema Corte pode ter algo a dizer sobre o assunto, pois precisaremos de um conjunto mais amplo de normas para proteger a privacidade em ambientes considerados públicos. A privacidade pode durar, mas precisa de uma base mais duradoura.

A Suprema Corte em seu recente Carpinteiro decisão reconheceu como os fluxos constantes de dados sobre nós mudam a forma como a privacidade deve ser protegida. Ao sustentar que a aquisição de aplicação de registros de localização de telefones celulares exige um mandado, o Tribunal considerou as informações detalhadas, enciclopédicas e facilmente compiladas dos registros de localização de serviços de celular e as mudanças sísmicas na tecnologia digital que disponibilizaram esses registros, e concluiu que as pessoas fazem não necessariamente renunciam aos interesses de privacidade para coletar dados que eles geram ou se engajar em um comportamento que pode ser observado publicamente. Embora houvesse divergência entre os juízes quanto às fontes das normas de privacidade, dois dos dissidentes, o juiz Alito e Gorsuch, apontaram as expectativas de privacidade como vulneráveis ​​porque podem se desgastar ou serem eliminadas.

O modo como essa decisão de privacidade histórica afeta uma ampla variedade de evidências digitais afetará em casos criminais e não no setor comercial. No entanto, as opiniões no caso apontam para a necessidade de um conjunto mais amplo de normas para proteger a privacidade em ambientes que foram pensados ​​para tornar as informações públicas. A privacidade pode durar, mas precisa de uma base mais duradoura.

Nossas leis existentes também dependem fortemente de aviso e consentimento - os avisos de privacidade e políticas de privacidade que encontramos online ou recebemos de empresas de cartão de crédito e provedores de serviços médicos, e as caixas que marcamos ou os formulários que assinamos. Essas declarações são o que fornecem a base para a FTC encontrar práticas e atos enganosos quando as empresas deixam de fazer o que dizem. Este sistema segue o modelo de consentimento informado em assistência médica e pesquisa com seres humanos, em que o consentimento é frequentemente solicitado pessoalmente e foi importado para a privacidade da Internet na década de 1990. A noção de política dos EUA, então, era promover o crescimento da internet, evitando a regulamentação e promovendo um resolução de mercado em que os indivíduos seriam informados sobre quais dados são coletados e como seriam processados, e poderiam fazer escolhas com base nisso.

Talvez o consentimento informado fosse prático há duas décadas, mas hoje é uma fantasia. Em um fluxo constante de interações online, especialmente nas telas pequenas que agora são responsáveis ​​pela maioria do uso, não é realista ler as políticas de privacidade. E as pessoas simplesmente não querem.

Não é simplesmente que qualquer política de privacidade em particular seja uma droga, como disse o senador John Kennedy (R-LA) nas audiências do Facebook. Zeynep Tufecki está certo ao dizer que essas divulgações são obscuro e complexo . Algumas formas de notificação são necessárias e a atenção à experiência do usuário pode ajudar, mas o problema persistirá, não importa o quão bem elaboradas as divulgações sejam. Posso atestar que escrever uma política de privacidade simples é desafiador, porque esses documentos são legalmente aplicáveis ​​e precisam explicar uma variedade de usos de dados; você pode ser simples e dizer muito pouco ou pode ser completo, mas muito complexo. Esses avisos têm alguma função útil como uma declaração de política contra a qual reguladores, jornalistas, defensores da privacidade e até mesmo as próprias empresas podem medir o desempenho, mas são funcionalmente inúteis para a maioria das pessoas e contamos com eles para fazer muito.

Talvez o consentimento informado fosse prático há duas décadas, mas hoje é uma fantasia. Em um fluxo constante de interações online, especialmente nas telas pequenas que agora são responsáveis ​​pela maioria do uso, não é realista ler as políticas de privacidade. E as pessoas simplesmente não querem.

No final do dia, é simplesmente demais ler até mesmo o mais claro aviso de privacidade em inglês, e estar familiarizado com os termos e condições ou configurações de privacidade de todos os serviços que usamos está fora de questão. O inundação recente de e-mails sobre as políticas de privacidade e os formulários de consentimento que obtivemos com o advento do Regulamento geral de proteção de dados da UE, ofereceram novos controles sobre quais dados são coletados ou informações comunicadas, mas quanto eles realmente contribuíram para a compreensão das pessoas? Repórter do Wall Street Journal Joanna Stern tentou analisar todos os que ela recebeu (papel impresso o suficiente para ultrapassar o comprimento de um campo de futebol), mas recorreu à digitalização em busca de algumas edições específicas. No mundo de conexões constantes de hoje, as soluções que se concentram em aumentar a transparência e a escolha do consumidor são uma resposta incompleta aos desafios atuais de privacidade.

Além disso, a escolha individual torna-se totalmente sem sentido, pois a coleta de dados cada vez mais automatizada não deixa oportunidade para qualquer notificação real, muito menos consentimento individual. Não somos solicitados a consentir com os termos das câmeras de vigilância nas ruas ou beacons em lojas que captam identificadores de telefones celulares, e os hóspedes geralmente não são questionados se concordam que os alto-falantes inteligentes dos proprietários captem sua fala. Na melhor das hipóteses, um sinal pode ser colocado em algum lugar anunciando que esses dispositivos estão instalados. À medida que dispositivos e sensores são cada vez mais implantados em todos os ambientes pelos quais passamos, alguns acessos e controles posteriores podem desempenhar um papel, mas aviso e escolha antiquados tornam-se impossíveis.

Em última análise, as abordagens familiares exigem muito dos consumidores individuais. Como o Conselho de Consultores do Presidente em Política de Ciência e Tecnologia encontrado em um Relatório de 2014 sobre big data , o problema conceitual com aviso e escolha é que fundamentalmente coloca o ônus da proteção da privacidade sobre o indivíduo, resultando em uma barganha desigual, uma espécie de falha de mercado.

Esse é um fardo impossível que cria uma enorme disparidade de informações entre o indivíduo e as empresas com que ele negocia. Enquanto Frank Pasquale disseca ardentemente em sua Black Box Society, sabemos muito pouco sobre como funcionam as empresas que coletam nossos dados. Não há nenhuma maneira prática de até mesmo uma pessoa razoavelmente sofisticada ter acesso aos dados que geram e o que esses dados dizem sobre eles. Afinal, entender o universo de dados em expansão é o que os cientistas de dados fazem. Pós-docs e Ph.Ds no MIT (onde sou um pesquisador visitante no Media Lab), bem como dezenas de milhares de pesquisadores de dados como eles na academia e negócios estão constantemente descobrindo novas informações que podem ser aprendidas a partir de dados sobre pessoas e novas maneiras pelas quais as empresas podem - ou usam - essas informações. Como o restante de nós, que estamos longe de ser cientistas de dados, pode esperar acompanhar?

Como resultado, as empresas que usam os dados sabem muito mais do que nós sobre em que consistem nossos dados e o que seus algoritmos dizem sobre nós. Adicione este vasto abismo de conhecimento e poder à ausência de qualquer troca real em nossas constantes trocas de informações, e você terá empresas capazes de definir os termos em que coletam e compartilham esses dados.

Em geral, as empresas podem definir os termos em que coletam e compartilham esses dados. Esta não é uma resolução de mercado que funcione.

Esta não é uma resolução de mercado que funcione. O Pew Research Center rastreou a confiança online e as atitudes em relação à Internet e às empresas online. Quando a Pew investigou com pesquisas e grupos de foco em 2016, foi encontrada que, embora muitos americanos estejam dispostos a compartilhar informações pessoais em troca de benefícios tangíveis, eles costumam ser cautelosos ao revelar suas informações e frequentemente ficam insatisfeitos com o que acontece com essas informações depois que as empresas as coletam. Muitas pessoas estão inseguras, resignadas e irritadas. Existe um crescente corpo de pesquisas Na mesma veia. Incerteza, resignação e aborrecimento dificilmente constituem uma receita para um mercado saudável e sustentável, para marcas confiáveis ​​ou para o consentimento dos governados.

Considere o exemplo da jornalista Julia Angwin. Ela passou um ano tentando viver sem deixar rastros digitais, que ela descreveu em seu livro Dragnet Nation. Entre outras coisas, ela evitou pagar com cartão de crédito e estabeleceu uma identidade falsa para obter um cartão quando não pudesse evitar o uso; pesquisou com dificuldade os serviços de nuvem criptografados para a maioria dos e-mails; adotou telefones queimadores que ela desligava quando não estava em uso e usava muito pouco; e optou por serviços de assinatura pagos no lugar dos suportados por anúncios. Mais do que um guia prático para proteger a privacidade de dados, seu ano de vida anônima foi uma longa obra de arte performática, demonstrando o quanto a vigilância digital revela sobre nossas vidas e como é difícil evitá-la. A pessoa média não deve ter que ir a tais extremos obsessivos para garantir que suas identidades ou outras informações que deseja manter privadas permaneçam privadas. Precisamos de um jogo justo.

Moldar leis capazes de acompanhar

À medida que os legisladores consideram como as regras podem mudar, a Declaração de Direitos da Privacidade do Consumidor que desenvolvemos no governo Obama ganhou uma nova vida como modelo. O Los Angeles Times , O economista , e O jornal New York Times todos apontaram para este projeto de lei ao instar o Congresso a agir sobre uma legislação abrangente de privacidade, e este último disse que não há necessidade de começar do zero ... Nossa proposta de 2012 precisa se adaptar às mudanças na tecnologia e na política, mas fornece um ponto de partida para os dias de hoje discussão de políticas devido à ampla contribuição que obteve e aos princípios amplamente aceitos nos quais se baseou.

A declaração de direitos articulou sete princípios básicos que deveriam ser legalmente exigíveis pela Federal Trade Commission: controle individual, transparência, respeito pelo contexto em que os dados foram obtidos, acesso e exatidão, coleta focada, segurança e responsabilidade. Esses princípios gerais estão enraizados em princípios de práticas de informações justas, amplamente aceitos e de longa data, globalmente aceitos. Para refletir o mundo de hoje de bilhões de dispositivos interconectados por meio de redes em todos os lugares, no entanto, eles pretendem mudar de avisos de privacidade estáticos e formulários de consentimento para uma estrutura mais dinâmica, menos focada na coleta e no processo e mais em como as pessoas são protegidas nas formas seus dados são tratados. Não é uma lista de verificação, mas uma caixa de ferramentas. Essa abordagem baseada em princípios deveria ser interpretada e desenvolvida por meio de códigos de conduta e aplicação da FTC caso a caso - evolução iterativa, da mesma forma que o common law e a tecnologia da informação se desenvolveram.

À medida que os legisladores consideram como as regras podem mudar, a Declaração de Direitos da Privacidade do Consumidor, desenvolvida na administração Obama, ganhou uma nova vida como modelo. A declaração de direitos articulou sete princípios básicos que deveriam ser legalmente aplicáveis ​​pela Federal Trade Commission.

a inflação em uma economia implica que

O outro modelo abrangente que está recebendo atenção é o Regulamento Geral de Proteção de Dados da UE, recentemente em vigor. Para quem está no mundo da privacidade, essa tem sido a questão dominante desde que foi aprovado, há dois anos, mas, mesmo assim, foi impressionante ouvir o GDPR lançado como um tópico recorrente de questões do Congresso para Mark Zuckerberg. A iminência dessa lei, sua aplicação ao Facebook e a muitas outras empresas multinacionais americanas e seu contraste com a lei dos EUA tornaram o GDPR um tema quente. Muitas pessoas se perguntam por que os EUA não têm uma lei semelhante, e alguns dizem que os EUA deveriam seguir o modelo da UE.

Lidei com a lei da UE, uma vez que estava em forma de rascunho, enquanto liderava o envolvimento do governo dos EUA com a UE em questões de privacidade, juntamente com o desenvolvimento de nossa própria proposta. Sua interação com a lei e o comércio dos EUA tem feito parte da minha vida como funcionário público, escritor e palestrante sobre questões de privacidade e advogado desde então. Há muito de bom nisso, mas não é o modelo certo para a América.

Há muitas coisas boas no GDPR, mas não é o modelo certo para a América.

O que há de bom na legislação da UE? Em primeiro lugar, é uma lei - um conjunto de regras que se aplica a todos os dados pessoais em toda a UE. Seu foco em direitos individuais de dados, em teoria, coloca os seres humanos no centro das práticas de privacidade, e o processo de conformidade com seus requisitos detalhados forçou as empresas a olharem de perto quais dados estão coletando, para que os usam e como eles o guardam e compartilham - o que se provou não ser uma tarefa fácil. Embora o regulamento da UE seja rígido em vários aspectos, pode ser mais sutil do que parece à primeira vista. Mais notavelmente, sua exigência de que o consentimento seja explícito e dado livremente é freqüentemente apresentada em relatórios resumidos como proibindo a coleta de quaisquer dados pessoais sem consentimento; na verdade, o regulamento permite outros fundamentos para a coleta de dados e um efeito da definição estrita de consentimento é colocar mais ênfase nesses outros fundamentos. O modo como algumas dessas sutilezas irão se manifestar dependerá de como 40 diferentes reguladores em toda a UE aplicam a lei, no entanto. Grupos europeus de defesa já estavam buscando ações contra o GAFAM (Google, Amazon, Facebook, Apple, Microsoft) quando o regulamento entrou em vigor.

A legislação da UE tem suas origens nos mesmos princípios de práticas de informações justas da Declaração de Direitos da Privacidade do Consumidor. Mas a lei da UE tem uma abordagem muito mais prescritiva e orientada para o processo, explicando como as empresas devem gerenciar a privacidade e manter registros e incluindo o direito de ser esquecido e outros requisitos difíceis de conciliar com nossa Primeira Emenda. Talvez mais significativamente, pode não ser adaptável à inteligência artificial e novas tecnologias, como veículos autônomos que precisam agregar massas de dados para aprendizado de máquina e infraestrutura inteligente. Limites estritos sobre os objetivos de uso e retenção de dados podem inibir saltos analíticos e novos usos benéficos da informação. Uma regra que exige explicação humana de decisões algorítmicas significativas lançará luz sobre algoritmos e ajudará a prevenir a discriminação injusta, mas também pode restringir o desenvolvimento de inteligência artificial. Essas disposições refletem uma desconfiança em relação à tecnologia que não é universal na Europa, mas é uma forte tendência de sua cultura política.

Precisamos de uma resposta americana - uma abordagem de direito comum mais adaptável às mudanças na tecnologia - para permitir o conhecimento e a inovação orientados por dados e, ao mesmo tempo, colocar grades de proteção para proteger a privacidade. A Declaração de Direitos da Privacidade do Consumidor oferece um plano para essa abordagem.

Claro, isso precisa ser trabalhado, mas é disso que se trata o dar e receber de legislar. Sua linguagem sobre transparência soou muito parecida com aviso e consentimento, por exemplo. Sua proposta para dar corpo à aplicação da declaração de direitos teve um histórico misto de resultados de consenso em esforços experimentais liderados pelo Departamento de Comércio.

Ele também acertou algumas coisas importantes. Em particular, o respeito pelo princípio do contexto é um salto conceitual importante. Diz que um povo tem o direito de esperar que as empresas coletem, usem e divulguem dados pessoais de maneira consistente com o contexto em que os consumidores fornecem os dados. Isso rompe com as formalidades de avisos de privacidade, caixas de consentimento e dados estruturados e se concentra, em vez disso, no respeito pelo indivíduo. Sua ênfase nas interações entre um indivíduo e uma empresa e as circunstâncias da coleta e uso de dados deriva de a visão da pensadora da tecnologia da informação Helen Nissenbaum . Para avaliar os interesses de privacidade, é crucial conhecer o contexto - quem está coletando as informações, quem as analisa, quem as divulga e para quem, a natureza das informações, as relações entre as várias partes, e ainda mais institucionais e sociais circunstâncias.

Precisamos de uma resposta americana - uma abordagem de direito comum mais adaptável às mudanças na tecnologia - para permitir o conhecimento e a inovação orientados por dados e, ao mesmo tempo, colocar grades de proteção para proteger a privacidade.

O contexto é complicado - nosso projeto de legislação listou 11 fatores não exclusivos diferentes para avaliar o contexto. Mas, na prática, é assim que compartilhamos informações e criamos expectativas sobre como essas informações serão tratadas e sobre nossa confiança no manipulador. Desnudamos nossa alma e nosso corpo a completos estranhos para obter atendimento médico, com o entendimento de que essas informações serão tratadas com muito cuidado e compartilhadas com estranhos apenas na medida do necessário para o atendimento. Compartilhamos informações de localização com aplicativos de navegação e compartilhamento de viagens com o entendimento de que isso permite que eles funcionem, mas o Waze encontrou resistência quando essa funcionalidade exigia uma configuração de localização sempre ativada. Danny Weitzner, co-arquiteto da Declaração de Direitos da Privacidade, discutido recentemente como o respeito pelo princípio do contexto teria proibido [Cambridge Analytica] de reaproveitar unilateralmente os dados de pesquisa para fins políticos, porque estabelece o direito de não se surpreender com a forma como os dados pessoais de alguém são emitidos. O Supremo Tribunal Carpinteiro decisão abre expectativas de privacidade em informações mantidas por terceiros para variações com base no contexto.

A Declaração de Direitos da Privacidade do Consumidor não fornece nenhuma prescrição detalhada sobre como o princípio de contexto e outros princípios devem ser aplicados em circunstâncias particulares. Em vez disso, a proposta deixou tal aplicação para julgamento caso a caso pela FTC e desenvolvimento de melhores práticas, padrões e códigos de conduta por organizações fora do governo, com incentivos para examiná-los com a FTC ou para usar conselhos de revisão internos semelhantes àqueles usados ​​para pesquisa com seres humanos em ambientes acadêmicos e médicos. Essa abordagem foi baseada na crença de que o ritmo da mudança tecnológica e a enorme variedade de circunstâncias envolvidas precisam de tomadas de decisão mais adaptativas do que as abordagens atuais de legislação e regulamentações governamentais permitem. Pode ser que a legislação de base precise de mandatos mais robustos para os padrões do que a Declaração de Direitos de Privacidade do Consumidor contemplou, mas tais mandatos devem ser consistentes com os princípios profundamente enraizados preferência por padrões voluntários, desenvolvidos de forma colaborativa e baseados em consenso essa tem sido uma marca registrada do desenvolvimento de padrões dos EUA.

Em retrospecto, a proposta poderia usar uma estrela guia para guiar a aplicação de seus princípios - uma regra de ouro simples para privacidade: que as empresas devem colocar os interesses das pessoas sobre quem os dados estão acima dos seus próprios. Em certa medida, tal regra geral traria a proteção da privacidade de volta aos primeiros princípios: algumas das fontes da lei às quais Louis Brandeis e Samuel Warren se referiram em seu famoso artigo de revisão da lei foram casos em que o recebimento de informações confidenciais ou segredos comerciais levou à imposição judicial de fideicomisso ou dever de sigilo. Atuar como um fiduciário acarreta a obrigação de agir no interesse dos beneficiários e evitar a negociação pessoal.

Uma Regra de Ouro de Privacidade que incorpora uma obrigação semelhante para alguém a quem são confiadas informações pessoais baseia-se em várias vertentes semelhantes do debate sobre privacidade. As políticas de privacidade muitas vezes expressam a intenção das empresas de serem bons administradores de dados; o bom mordomo também deve agir no interesse do principal e evitar a negociação consigo mesmo. Um paralelo de revisão jurídica mais contemporâneo é o conceito de Jack Balkin, do professor de direito de Yale fiduciários de informação , que chamou a atenção durante a audiência de Zuckerberg, quando o senador Brian Schatz (D-HI) pediu a Zuckerberg para comentar sobre o assunto. A Regra de Ouro da Privacidade importaria o imposto essencial sem importar o direito fiduciário no atacado. Também ressoa com princípios de respeito ao indivíduo, beneficência e justiça em padrões éticos para pesquisas com seres humanos que influenciam estruturas éticas emergentes para privacidade e uso de dados. Outro tópico veio em Justice Gorsuch's Carpinteiro dissidência defendendo a lei de propriedade como base para interesses de privacidade: ele sugeriu que confiar informações digitais a alguém pode ser o equivalente moderno de um fiança sob a lei de propriedade clássica, que impõe deveres sobre o bailee. E tem alguma semelhança com o conceito de GDPR de interesse legítimo , que permite o tratamento de dados pessoais com base em um interesse legítimo do processador, desde que esse interesse não seja superado pelos direitos e interesses do titular dos dados.

A necessidade fundamental de uma legislação de privacidade básica na América é garantir que os indivíduos possam confiar que os dados sobre eles serão usados, armazenados e compartilhados de forma consistente com seus interesses e as circunstâncias em que foram coletados. Isso deve ser mantido independentemente de como os dados são coletados, de quem os recebe ou dos usos para os quais são aplicados. Se forem dados pessoais, devem ter proteção duradoura.

A necessidade fundamental de uma legislação de privacidade básica na América é garantir que os indivíduos possam confiar que os dados sobre eles serão usados, armazenados e compartilhados de forma consistente com seus interesses e as circunstâncias em que foram coletados.

Essa confiança é um alicerce essencial de um mundo digital sustentável. É o que permite o compartilhamento de dados para usos social ou economicamente benéficos, sem colocar em risco o ser humano. A esta altura, deve estar claro que a confiança é traída com muita frequência, seja por atores intencionais como Cambridge Analytica ou russa Ursos Extravagantes , ou por irmãos em cubos inculcados com um imperativo de implantar ou morrer .

A confiança precisa de uma base mais sólida que forneça às pessoas uma garantia consistente de que os dados sobre elas serão tratados de forma justa e consistente com seus interesses. Os princípios da linha de base forneceriam um guia para todos os negócios e proteção contra sobrealcance, outliers e foras da lei. Eles também diriam ao mundo que as empresas americanas são regidas por um conjunto amplamente aceito de princípios de privacidade e constroem uma base para práticas de privacidade e segurança que evoluem com a tecnologia.

Consumidores resignados, mas descontentes, dizem uns aos outros: Acho que estamos jogando um jogo perdido. Se as regras não mudarem, eles podem parar de jogar.