Lidé používají stále více technologií, od smartphonů až po elektronikou vybavenou domácnost či automobily. Všechna tato zařízení sbírají data o uživatelích, která jsou více či méně zneužitelná. „Nástup spousty nových technologií přináší několik právních a etických výzev, ať už jde o právo na soukromí, odpovědnost za škodu či zvyšující se kybernetická rizika související s tím, že se kyberprostor propojuje s fyzickým světem,“ říká Jana Pattynová, partnerka advokátní kanceláře Pierstone, která se specializuje na technologický sektor.
Jak velký problém představuje prorůstání technologií do soukromí?
Všudypřítomnost technologií, které vytvářejí celý ekosystém, je v blízké a střednědobé budoucnosti nezvratný trend. Dosud se technologie omezovaly na ohraničená zařízení – počítač, telefon, chytré hodinky –, postupně však začneme žít „uprostřed počítače“. Jeho výpočetní výkon bude v cloudu a místo obrazovky a klávesnice s námi bude interagovat velkým množstvím touchpointů – většina předmětů denní potřeby bude „smart“.
To přináší několik právních a etických výzev. První jsou lidská práva, zejména osobní svoboda a právo na soukromí. V praxi je to relevantní u rozpoznávání obličejů ze záznamu kamer provozovaných městy nebo bezpečnostními složkami. V České republice tyto otázky vyvstaly minimálně u kamerových systémů s rozpoznáváním obličejů na pražském letišti, zvažované nasazení rozpoznávání obličejů na některých veřejných prostranstvích v metropoli a plánovaný systém elektronických dálničních známek.
Druhou výzvou je odpovědnost. Stejně jako u internetu bude odpovědnost za jednotlivé aspekty „počítače“, ve kterém budeme žít, rozmělněna na tisíce poskytovatelů. Pokud „počítač“ někomu ublíží ať už fyzicky, nebo jinak, bude pro běžného občana velmi obtížné zjistit, na koho by se měl obracet s náhradou škody. Příkladem může být dron, který rozváží zásilku a spadne vám na zahradu, nebo vytvoření deep fake videa zobrazujícího vás v situaci, kterou byste nikdy nepřipustili.
Třetí výzvou je kybernetická bezpečnost. S internetem věcí bude mít kyberprostor schopnost bezprostředně ovlivňovat fyzický svět. Kybernetické útoky tak nabydou nových rozměrů. První příklady vidíme u útoků na nemocnice ve Velké Británii, ale i u nás. Kybernetická bezpečnost bude kritická i u nasazování technologií v chytrých městech. Už dnes může kybernetický útok ohrozit parkovací systém nebo světelnou signalizaci.
Je těžké nastavit správnou hranici mezi tím, co je ještě etické a co je protiprávní zásah do soukromí?
Vývoj technologií je tak rychlý, že stávající způsob regulace začíná narážet na své limity. Jakmile se nějaká technologie nasadí v masovém měřítku, je pro regulační orgány téměř nemožné zasáhnout zpětně. Proto se poprvé v historii začínají objevovat seriózní doporučení, že by určité technologie bylo vhodné zakázat „dočasně“, než budou mít zákonodárci možnost pochopit jejich dopad na práva jednotlivců a rizika pro lidstvo.
Tato debata se nyní vede ohledně technologií na rozpoznávání obličejů. Najít jednoznačnou hranici mezi tím, co je etické a co nikoli, se ukazuje jako velmi obtížné. Regulátoři zatím přicházejí s „balančními testy“, „přístupy založenými na riziku“ a jinými komplikovanými právními koncepty, které jsou pro spotřebitele a často i pro podnikatele naprosto nejasné a nepředvídatelné. V praxi to potom vede k tomu, že velcí poskytovatelé si tyto obecné testy vyloží, jak uznají za vhodné, a regulátoři nejsou schopni v reálném čase jejich výklady korigovat.
Neměla by tedy být tato problematika více regulována či hlídána?
Hovoří se o evropském superregulátorovi ochrany soukromí. V minulosti se celoevropský přístup ukázal jako nejefektivnější. V poslední době se ale i evropský zákonodárný proces ukazuje jako velmi nepružný, viz příslib nové Evropské komise vydat legislativu na umělou inteligenci v prvních sto dnech mandátu.
Českem hýbe kauza softwarové společnosti Avast, která prodávala data o svých uživatelích. Řeší se, zda klienti zaškrtávali políčko, že s takovou aktivitou souhlasí. Neměla by být diskuse spíše o tom, jestli je byznys s daty vůbec akceptovatelný?
I tady se setkáváme s tím, že problematický byznys Avastu začala nejprve šetřit média, nikoli dozorové orgány. Až dva týdny poté se k věci vyjádřil český Úřad na ochranu osobních údajů, který porušení začíná vyšetřovat. Na druhé straně případ, který v novinových článcích vypadá jako naprosto jednoznačný, bude v praxi otevírat řadu právních otázek. Údaje z „cookies“ a dalších sledovacích nástrojů jsou jednou z nejspornějších oblastí v rámci evropské regulace digitální ekonomiky, a podnikatelé proto čelí velké míře právní nejistoty.
Na druhé straně bez zpracování údajů o uživatelském chování se dnes neobejde žádné marketingové oddělení…
Ani obchodování s těmito údaji není doménou obskurních poskytovatelů či černého trhu. Většina podnikatelů tyto údaje sleduje a analyzuje v rámci Google Analytics, přičemž služba má za sebou robustní právní konstrukci a dokumentaci.
U Avastu to pravděpodobně nebude jinak. Osobně si myslím, že bez ohledu na možnosti právního inženýrství je nutné brát v potaz i rozumné očekávání subjektů údajů. Pokud používám vyhledávač, nepřekvapí mě, že na základě vyhledávání na mě bude cílit reklama. Pokud si ale kupuji bezpečnostní software, neočekávám, že bude sbírat údaje z mého zařízení pro účely dalšího obchodování. Nemyslím, že toto lze zhojit souhlasem, který byste navíc zřejmě udělili pouze omylem.
Personalizované nabídky se tváří, že dokážou každému klientovi poskytnout to nejlepší, ale nebavíme se spíše už o manipulaci?
Personalizace nabídek je dnes běžný standard, zejména v online prostředí. Zákazníci ji očekávají a v principu nepovažují za manipulativní. Zároveň ale dochází ke skokovému vývoji personalizačních technologií, kde velkou roli sehrává analytika založená na umělé inteligenci.
Obecně platí, že manipulace začíná tam, kde končí transparentnost. Přitom český i evropský právní rámec ochrany soukromí má řadu pravidel zaměřených na zajištění transparentnosti. Tato pravidla ale narážejí na dvě věci – zaprvé u stále komplexnějších technologií není jednoduché jejich fungování srozumitelně vysvětlit. Zadruhé uživatele moc nezajímá, jak konkrétní produkt funguje a jak zasahuje do jeho soukromí.
U personalizovaných reklam a nabídek považuji za dobrou praxi doplnění o odkaz „proč se mi zobrazuje tato nabídka?“, na kterém je srozumitelně vysvětleno, na základě čeho k personalizaci dochází a jak ji může uživatel vypnout. Je to silný signál, že značka nic neskrývá a nemanipuluje.
Personalizace se ale objevuje i ve fyzickém světě, kde často vyžaduje nasazení biometrických technologií. To může být pro zákazníky překvapivé, ale zároveň netransparentní. Málokdo si vyvěsí do prodejny varování „v tomto prostoru monitorujeme váš věk a náladu“. Zatím je ale většina těchto technologií nasazována na anonymizované bázi, kdy se například vyhodnocuje průměrný věk lidí v místnosti.
Jak hluboko může jít dodavatel do zákazníkova soukromí, aby mohl připravit nabídku na míru?
Ukazuje se, že může jít velmi hluboko. Již stávající technologie dokážou o uživateli zjistit informace, které sám neví – ať už jde o prediktivní modely zjišťující, co pravděpodobně uživatel v budoucnu udělá, nebo o analýzu emocí. Novými právními otázkami v této oblasti jsou derivovaná data a povinnost transparentnosti ve vztahu k údajům, které uživatel sám nezná. U prediktivních modelů ve zdravotnictví lze do budoucna očekávat, že například výrobce kloubních náhrad dokáže z kombinace zdravotnických databází s dalšími údaji identifikovat skupinu potenciálních pacientů.
Co si představit pod „transparentní personalizací“ z pohledu GDPR?
Znamená to, že průměrný uživatel musí být schopen s vynaložením malého úsilí zjistit, na jakých údajích je personalizace založená, odkud byly tyto údaje získány a zda ji může vypnout.
Zmínila jste kamery a systémy na rozpoznávání obličejů. Jak předcházet zneužití záznamu biometrických a dalších osobních údajů?
Naše kancelář se zabývá hlavně právní problematikou nasazení biometrických technologií v soukromém sektoru. Zde v posledních letech dochází k nárůstu využití biometriky k zajištění bezpečnosti objektů, zejména vstupů s kontrolou otisku prstu nebo rozpoznáváním obličeje.
Velmi diskutovanou právní otázkou je i přípustnost využívání biometrických podpisů při uzavírání zákaznických smluv. Tyto podpisy totiž obsahují digitální stopu zachycující například přítlak nebo rychlost psaní.
Nastupujícím trendem je pak využití biometriky pro optimalizaci zákaznické zkušenosti. Může se jednat o privilegované vstupy bez fronty nebo třeba personalizované uvítání ve vašem oblíbeném hotelu. Zde by člověk měl mít možnost si zvolit, zda chce větší pohodlí, nebo větší soukromí.
Zpět k otázce: nejnovější návrhy Evropské komise směřují k dočasnému úplnému zákazu technologií založených na rozpoznávání obličejů v soukromém sektoru. V mezidobí platí přísné požadavky na zabezpečení biometrických šablon. A přitom jsme teprve na začátku. Podle výzkumné a poradenské společnosti Gartner bude v roce 2024 více než polovina online reklam ovlivněna analýzou našich emocí a dostupnost 40 procent služeb bude záviset na analýze našeho chování. Ale zároveň technologie umožní více než polovině lidí s postižením překonat jejich handicap a získat zaměstnání.
Autor je spolupracovníkem redakce Euro
Převzato z týdeníku Euro, Autor: Jakub Veselý