Su Kui: La protección de datos personales es el “talón de Aquiles” de la plataforma
Su Kui, columnista de Text/Observer.com.
No hay duda de que la plataforma de Internet es la protagonista de la era de la información. La escala ultragrande, el monopolio y el enorme poder son sus principales características, que pueden afectar las vidas, los intereses e incluso los medios de vida de innumerables personas. La plataforma tiene múltiples atributos. No es sólo una empresa tradicional, sino también una forma económica. La economía de plataformas con la plataforma como núcleo es incluso una ciudad-estado virtual. Como dijo Zuckerberg: "En muchos sentidos, Facebook se parece más a un gobierno que a una empresa tradicional".
La plataforma es el dueño absoluto de la economía de plataformas y puede establecer reglas, interpretarlas y hacerlas cumplir. imponerlas arbitrariamente, y estas normas pueden afectar a cientos de millones de personas. Son esencialmente las mismas que las leyes y reglamentos nacionales, pero no es necesario que sigan el debido proceso exigido por la legislación, el poder judicial y las fuerzas del orden nacionales. Desde el nacimiento del país, el gobierno no se ha enfrentado a oponentes de gobernanza similares. Se puede decir que se trata de un cambio importante que no se había visto en 3.000 años.
En la era de la información, cómo gobernar las plataformas es un gran desafío en todo el mundo. Las herramientas tradicionales como las antimonopolio, la protección del consumidor y la competencia leal son los principales caminos para la gobernanza de plataformas en todo el mundo. Sin embargo, las herramientas de gobernanza como la antimonopolio, la protección del consumidor y la competencia leal se desarrollaron en la era económica tradicional. Frente a los gigantes de la era de la información, se puede decir que a menudo están extenuadas, impotentes e ineficaces.
La protección de datos personales es una nueva herramienta desarrollada en la era de la información. Aunque su intención original es proteger la información personal, la información personal de innumerables personas se ha convertido en big data, los algoritmos pueden transformarse. cuerpo moribundo en una bestia salvaje. En otras palabras, la vitalidad del algoritmo reside en la protección de la información personal.
Algunos de los casos recientes de protección de información personal en plataformas en Europa y Estados Unidos son estimulantes y estimulantes. La protección de datos personales otorga a los individuos un mayor poder para equilibrar la estructura de poder de las plataformas en la economía de plataformas. También puede ser una plataforma para un nuevo enfoque de la gobernanza.
Plataforma de servicios laborales
Las plataformas de Internet no tienen una identidad amplia y existen grandes diferencias entre los diferentes tipos. También existen plataformas sociales y plataformas de búsqueda con servicios de información como núcleo. como plataformas de producción en masa. Plataforma de comercio electrónico de información. Las plataformas de servicios laborales representadas por servicios de transporte en línea y entrega de alimentos pueden considerarse lo último. Una plataforma es un mercado virtual a través del cual se venden servicios. Pero lo más importante es que estas plataformas laborales reúnen a millones o incluso decenas de millones de trabajadores en ciudades de todo el mundo. En comparación con otras plataformas, no sólo sirven a las personas, sino que también contienen información sobre innumerables personas. Por lo tanto, estas plataformas tienen una relación más estrecha con las personas, plantean mayores desafíos a la gobernanza social y tienen un impacto de mayor alcance.
Las personas en estas plataformas dependen de la información proporcionada por la plataforma para sobrevivir, generar recursos de información masivos para la plataforma y son administrados y controlados por esta información. En comparación con otras plataformas de comercio electrónico, las personas (fuerza laboral) en este tipo de plataforma casi no tienen autonomía y la protección laboral tradicional no está disponible porque la plataforma los considera microempresarios. La plataforma se basa en información para gestionar con precisión una fuerza laboral tan grande, que excede los límites de cualquier organización en la historia de la humanidad. Se puede decir que es un milagro en la historia de la humanidad, y el núcleo para crear tal milagro es el algoritmo escondido detrás. plataforma.
La plataforma de transporte en línea es casi la plataforma de Internet que más problemas y más controversia ha causado a la gobernanza social hasta el momento. Fundada en 2008, Uber fue pionera en la industria de viajes compartidos en línea. Tiene alrededor de 100 millones de consumidores activos mensuales, casi 20 millones de pedidos diarios en todo el mundo (incluida la comida para llevar) y más de 4 millones de conductores en la plataforma, a los que se unen un promedio de 50.000 nuevos conductores. la plataforma todos los meses. Su postura dura contra los reguladores globales le ha traído innumerables problemas, y su cultura corporativa de desprecio por las reglas y leyes también ha causado que la propia empresa sufra daños internos. En 2017, el fundador Kalanick incluso fue expulsado de la empresa. Además de las conocidas batallas con las agencias reguladoras en varios lugares, se puede decir que los conflictos entre Uber y los conductores de la plataforma son cada vez más agudos, y de vez en cuando también se informan desacuerdos con los consumidores.
Las consecuencias de la filtración de información personal son muy graves
El 20 de enero, antes de abandonar la Casa Blanca, Trump anunció una larga lista de indultos para hasta 73 personas el exasesor militar Steve. Ban Nong aparece en la lista sin ningún suspenso, pero también hay algunos nombres inesperados. El ex ejecutivo de Uber a cargo del negocio de vehículos autónomos, Anthony Levandowski, tuvo mucha suerte de escapar de la sentencia de cárcel que debía comenzar el 7 de febrero. Se rumorea que Trump está en Silicon Valley con uno de sus pocos partidarios, el gran jefe Peter. Thiel, es el manipulador detrás de esto.
Por el contrario, otro ex ejecutivo de Uber, el director de seguridad Joe Sullivan, sólo puede lamentar la injusticia de su destino. Sin embargo, esto es culpa de uno mismo, es simplemente "si no lo haces, morirás". El 21 de agosto de 2020, Sullivan fue acusado por el Departamento de Justicia federal de dos cargos de obstrucción de la justicia y perjurio. Puede ser sentenciado a hasta 8 años de prisión. Y todo comenzó con el encubrimiento en 2016 después de que se filtrara la información personal de aproximadamente 57 millones de conductores y pasajeros.
Sullivan no es un novato. Fue el director de seguridad del gigante de Internet Facebook y tiene una amplia experiencia en seguridad de la información y protección de la información personal. Sin embargo, después de enterarse de que Uber había sido pirateado y había filtrado información personal en la plataforma, no lo informó inmediatamente a los departamentos gubernamentales pertinentes de acuerdo con la ley. En cambio, después de discutir con el entonces director ejecutivo Travis Kalanick, pagó al hacker 100.000 dólares. Las tarifas ocultas se utilizan para sobornar a los piratas informáticos y se caracterizan por ser la plataforma que invita activamente a los piratas informáticos a descubrir vulnerabilidades de seguridad. El dinero del silencio se convierte en una recompensa de seguridad.
Si se produce una filtración de información personal a tan gran escala (incluidos los conductores y pasajeros de la plataforma), las agencias reguladoras europeas y estadounidenses pertinentes, naturalmente, no la dejarán pasar. Según la normativa de la UE, las violaciones de datos deben informarse a los reguladores en un plazo de 72 horas. Por ello, la autoridad holandesa de protección de datos, donde se encuentra su sede europea, le impuso en 2018 una multa de 600.000 euros. El Reino Unido (ICO), que anunció su salida de la Unión Europea, también impuso una multa de 385.000 libras.
En comparación con sus homólogos europeos, las agencias reguladoras nacionales de Estados Unidos lo han tratado con mayor severidad. El Fiscal General de California y el Fiscal General de San Francisco han unido fuerzas con los departamentos pertinentes de los 50 estados y. la capital, Washington, D.C., para iniciar una demanda en su contra. En septiembre de 2018, Uber tomó la iniciativa de resolver el caso con una enorme compensación de 148 millones de dólares. Parece que en términos de protección de la información personal, la opinión interna de que la legislación y la supervisión estadounidenses son más relajadas puede no ser cierta.
La supervisión profundiza en la caja negra de las empresas
La FTC es la agencia encargada de hacer cumplir la ley en términos de competencia leal y protección del consumidor. Tras conocer el asunto, rápidamente declaró el acuerdo. El acuerdo alcanzado en agosto de 2017 no es válido, es necesario renegociar los términos del acuerdo correspondientes.
En octubre de 2018, la FTC volvió a anunciar un nuevo acuerdo de conciliación. Como administración Trump que cree en el libre mercado, la FTC bajo su administración ha sido misericordiosa con Uber. No ha impuesto multas tan elevadas como el gobierno estatal, ni siquiera ninguna multa. Sin embargo, ha formulado exigencias detalladas a los funcionarios internos de Uber. Requisitos de gestión de seguridad de la información. En comparación con la estrategia de protección de resultados que se centra en los resultados externos de la empresa, el acuerdo FTC es una estrategia de protección de procesos que se centra en la gestión interna de la empresa. En otras palabras, se trata más de una supervisión integral de las lagunas en la protección de la información personal que puedan existir dentro de la empresa basándose en la idea de prevención e integrando la gestión de seguridad de la información interna de la empresa en la gestión de la seguridad pública. Se puede decir que se trata de un nuevo modelo de protección de la información personal.
De hecho, la actual legislación de protección de información personal de mi país (incluida la Ley de Ciberseguridad completa, así como la Ley de Seguridad de Datos y la Ley de Protección de Información Personal que están solicitando opiniones en 2020) también adoptan esta idea. Sin embargo, en comparación con el acuerdo de conciliación de la FTC, las empresas de plataformas de China disfrutan de más libertad. El acuerdo de conciliación de la FTC estableció un sistema de seguridad de la información corporativa relativamente completo. Los contenidos principales incluyen:
Uber necesita establecer de inmediato un plan integral de protección de la información personal (privacidad), y se requieren todos los planes, programas y capacitación. Contar con constancia escrita. Establecer personal dedicado para que sea responsable del plan de protección de la información personal (privacidad).
Llevar a cabo investigaciones y evaluaciones de riesgos de información personal (privacidad), identificar puntos de riesgo y formular planes de rectificación.
Desarrollar un plan de seguimiento y evaluación dinámica de los riesgos de la información personal (privacidad).
Establecer un sistema de evaluación y auditoría de información de terceros (privacidad). Los auditores externos deben tener calificaciones profesionales y más de 3 años de experiencia. Los auditores relevantes también deben estar aprobados por el Departamento de Protección al Consumidor de la FTC. Dentro de los 10 días posteriores a la finalización de la evaluación, el informe de evaluación debe enviarse a la FTC para su revisión. La primera auditoría de terceros debe completarse dentro de los seis meses posteriores a la implementación del acuerdo y, a partir de entonces, debe realizarse al menos una vez cada dos años.
Establecer un sistema de reporte y estadísticas de incidentes de seguridad de la información.
Establecer un sistema de firma y aprendizaje de documentos. Todo el personal relevante de la empresa debe estudiar el documento del acuerdo de conciliación de la FTC y firmarlo para confirmarlo. Los registros del estudio correspondientes deben registrarse por escrito.
Un año después de la emisión del documento, Uber debe presentar un informe de cumplimiento a la FTC. El informe debe jurar que el contenido es verdadero y confiable; de lo contrario, será responsable de perjurio. Cualquier cambio en cualquier organización o entidad de una empresa debe notificarse a la FTC dentro de los 14 días para facilitar la inspección y supervisión por parte de las autoridades reguladoras.
Responder con prontitud a las autoridades reguladoras después de recibir consultas de la FTC sobre la seguridad de la información (privacidad), Uber debe responder o responder dentro de los 10 días. Los informes o materiales de cumplimiento relevantes deben jurar sin perjurio y estar preparados. registros detallados para referencia futura.
Establezca registros de archivos de seguridad de la información, incluidos registros de archivos de los empleados relevantes (incluidos los motivos de la renuncia), registros de quejas de los usuarios de la plataforma, todos los materiales que puedan probar los documentos de implementación de la empresa e información personal (privacidad) relacionada con la publicidad externa y compromisos de la empresa Medidas de protección, evaluaciones de seguridad de la información, informes de auditoría y rectificación, registros de emisión de premios de vulnerabilidad de seguridad, citaciones policiales, materiales de investigación y explicativos, etc.
Captura de pantalla del informe en línea de Forbes sobre el caso
El acuerdo alcanzado entre el Fiscal General de California y los estados y Uber en realidad proponía una serie similar de requisitos de seguridad de la información corporativa, además de enormes Los requisitos de cumplimiento incluyen la necesidad de que las empresas establezcan un director de seguridad, así como contraseñas de almacenamiento en la nube, sistemas de fortalecimiento de certificaciones, establecimiento de sistemas de capacitación de empleados de seguridad de la información y sistemas de sanciones por violaciones, y sistemas de calificación de auditores de información de terceros (que requieren más de). 5 años de experiencia), información personal La situación de seguridad es un sistema de temas fijos para la junta directiva, el sistema de participación de los abogados en la confirmación y notificación de accidentes, el sistema interno de notificación de infracciones de la empresa, etc.
Confucio dijo: "Matar sin enseñar se llama crueldad, y no disciplinar se llama violencia". Las agencias reguladoras federales y estatales relevantes en los Estados Unidos aprovecharon la violación de la ley por parte de Uber para construir una ley muy estricta. conjunto de normas corporativas El mecanismo interno de protección de datos personales, con especial énfasis en la supervisión interna de los departamentos, auditoría externa, capacitación de los empleados, etc., avanzará el anterior modelo de supervisión post-evento basado en listas negativas a un modelo ex-ante e in-situ. Modelo de supervisión de procesos basado en la obligación de actuar, es decir, centrado en el castigo. Cambio a un modelo centrado en la prevención.
Las empresas de plataformas ya no son una caja negra. A través de un mecanismo de supervisión interna bien diseñado, la protección de la plataforma es más transparente y el objetivo de protección de la información personal es más confiable. La importancia es que sólo cuando la protección de la información personal sea más confiable, podrán ser posibles otras funciones de gobernanza económica de la plataforma además de la protección de la información personal.
Algorithm Ruler Platform
Había una razón por la cual los cuatro controladores actuaban así. Según Uber, los cuatro conductores fueron todos culpables de comportamiento engañoso o manipulación ilegal (uso inadecuado) de la aplicación de teléfono móvil del conductor. Para decirlo sin rodeos, significa que el conductor elige el pedido y espera un buen pedido después de que sube el precio (juego del aumento), o instala otras aplicaciones de forma privada para cambiar el estado del teléfono y engañar a la aplicación del conductor de Uber (como como cambiar la ubicación). Aquellos que fueron considerados infractores graves por el algoritmo de la plataforma fueron expulsados (no existe el concepto de expulsión en la plataforma Uber, y la congelación permanente de la cuenta es un término equivalente), y es el algoritmo de la plataforma el que determina la situación. estas decisiones. En otras palabras, el algoritmo detectó que los cuatro conductores cometían infracciones y fueron eliminados (despedidos).
Sin embargo, los conductores no lo creen así, piensan que simplemente están ejerciendo su derecho a elegir libremente su horario de trabajo. Este es también el derecho que la plataforma Uber siempre ha reclamado que tienen los conductores, y lo es. Además, con tanta libertad, los conductores no se consideran empleados de la plataforma, sino autónomos o incluso los llamados "microempresarios". Plataforma y conducción son socios.
Los cuatro conductores negaron fraude o mala conducta, y Uber no brindó la oportunidad de apelar, dejando su destino controlado por el algoritmo. Por ello, presentaron una demanda ante el Tribunal de Distrito de Ámsterdam, en Países Bajos, donde se encuentra la sede europea de Uber.
La principal base legal para que los conductores demanden a Uber es la Ley General de Protección de Datos de la UE, que entró en vigor en mayo de 2018. De conformidad con el artículo 15 del Reglamento General de Protección de Datos de la UE, los interesados tienen derecho a acceder a los datos personales y a ser informados de las finalidades del tratamiento, los tipos de datos y el derecho a solicitar la rectificación de los datos inexactos. El artículo 22 se relaciona con la toma de decisiones automatizada y la elaboración de perfiles de usuario. "El interesado tiene derecho a oponerse a tales decisiones: las decisiones que se basan únicamente en el procesamiento automatizado, incluida la elaboración de perfiles de usuario, tienen implicaciones legales o consecuencias igualmente graves para el interesado".
Según la definición de la Ley General de Protección de Datos de la UE, "elaboración de perfiles de usuario" se refiere a cualquier tratamiento automatizado de datos personales con el fin de evaluar determinadas condiciones de una persona física, en particular con el fin de evaluar desempeño laboral de una persona física, desempeño económico, salud, preferencias personales, intereses, confiabilidad, patrones de comportamiento, ubicación o paradero. Evidentemente, la llamada toma de decisiones automatizada (elaboración de perfiles de usuario) es el algoritmo de la plataforma. Se trata esencialmente de una disposición regulatoria algorítmica. Sin embargo, el artículo 22 también enumera específicamente excepciones, entre ellas (a) cuando la decisión es necesaria para la celebración de un contrato entre el interesado y el responsable del tratamiento o para la ejecución del contrato;... (c) cuando la decisión se basa en el consentimiento explícito del superior del interesado.
Obviamente, la disputa en esta demanda se centra en la comprensión del artículo 22. Por ejemplo, ¿cuál es el estándar para la toma de decisiones totalmente automatizada? ¿Qué nivel de intervención humana es suficiente para impedir una toma de decisiones totalmente automatizada? Teniendo en cuenta que la plataforma tiene decenas o incluso cientos de millones de necesidades de toma de decisiones relacionadas con los conductores todos los días (incluido el envío de pedidos, precios, evaluación, etc.), ¿se puede considerar la toma de decisiones automatizada como una medida necesaria para que la plataforma cumpla? ¿Su contrato con los conductores?
Equilibrio de la estructura de poder de la plataforma
Los conductores esperan lograr la portabilidad de los datos personales a través de una organización de terceros sin fines de lucro (Worker Information Exchange Center WIE Ltd.), es decir, Uber personal Los datos generados en el trabajo se transfieren directamente a WIE, un intermediario de intercambio de datos de terceros. La agencia de datos de terceros se convierte en una agencia de confianza de datos personales, que puede ayudar a los conductores a analizar su comportamiento personal y supervisar si la lógica del algoritmo de la plataforma es consistente. con la lógica de procesamiento declarada al mundo exterior es consistente, justa y razonable, la plataforma evalúa si el precio del servicio se calcula correctamente, la cantidad y calidad del trabajo real del conductor y se analizan las razones de las diferencias en las calificaciones de los diferentes conductores.
Al dominar y tener la capacidad de procesar estos datos clave, los conductores pueden reducir o eliminar la ventaja informativa de la plataforma, y es posible que los conductores participen en negociaciones colectivas más equitativas con la plataforma y se conviertan en oponente más igualado.
Según la ley, Uber está obligado a proporcionar datos relevantes al interesado (conductor) dentro de los 30 días, pero Uber no proporcionó todos los datos solicitados por el conductor, ni la clave de la solicitud del conductor. El contenido fue rechazado de facto. Aunque los datos del pedido (como la hora de embarque y desembarque y las tarifas de pago de los pasajeros) se incluyen en la lista de datos proporcionada, no se proporcionan el tiempo en línea y fuera de línea del conductor ni los registros completos de información de ubicación GPS. Estos contenidos están relacionados con la determinación de las horas de trabajo de los conductores (el Tribunal de Apelación británico ha dictaminado que las horas de trabajo de los conductores se calculan a partir del momento en que se conectan, no desde el momento en que reciben los pedidos), pero la plataforma no quiere conductores. para saber estas cosas que pueden ser perjudiciales para ellos.
Pero Uber también tiene su propia explicación: los datos que no proporcionó fue porque no estaban disponibles o porque facilitárselos al conductor dañaría los derechos de privacidad de los demás.
Si el conductor puede registrar él mismo los datos anteriores, sólo la plataforma puede saber cómo funciona el algoritmo que gestiona al conductor. Lo que más quieren saber los conductores es en realidad el secreto del algoritmo de la plataforma: ¿cómo perfila al conductor a través del comportamiento del conductor y los datos de evaluación de los pasajeros, y cómo afecta el perfil del conductor a sus intereses? Por ejemplo, ¿cuál es la relación entre las calificaciones de los conductores y el mecanismo de despacho? ¿Cómo activa la calificación de un conductor el mecanismo de exclusión de la plataforma (que el conductor considera despido)?
Los conductores alegan específicamente en su denuncia que Uber no ha respondido a sus solicitudes de datos de etiquetas de conductor. Este es realmente el núcleo de toda la disputa.
Uber no considera que estos sean datos personales que los conductores deban conocer, y existe un gran desacuerdo sobre si son siquiera personales. Además, es casi seguro que estos contenidos se utilizarán en el caso sobre relaciones laborales entre conductores y plataformas que actualmente está tramitando la Corte Suprema del Reino Unido, por lo que también es un caso que Uber no puede perder.
Farrar, el conductor demandante, también insinuó el propósito de estos contenidos: "Queremos echar un vistazo a este mundo laboral orwelliano (es decir, una sociedad estrictamente gobernada y deshumanizada). En Los trabajadores aquí están gobernados por máquinas y no tienen poder”.
De hecho, la petición del conductor de conocer los secretos del algoritmo también tiene una base legal. Según el artículo 15 de la Ley General de Protección de Datos Personales de la UE, los interesados tendrán derecho a obtener información válida del responsable del tratamiento. Por ejemplo, la toma de decisiones automatizada incluye el análisis de datos, y la lógica relevante incluye las consecuencias esperadas de dicho procesamiento para los interesados.
Aunque Uber negó que la exclusión de los conductores de la lista se realizara mediante algoritmos (un portavoz de Uber afirmó que los gerentes tomaron la decisión de eliminar a los conductores después de que el algoritmo detectara infracciones), lo que es difícil de explicar es que hay material presentando el algoritmo MasterMind en el sitio web de la empresa, que dice claramente: MasterMind es responsable de supervisar y gestionar el comportamiento engañoso del conductor. La política de privacidad de la aplicación para conductores establece en blanco y negro que Uber utilizará la toma de decisiones automatizada para eliminar a los conductores sospechosos de infracciones.
El algoritmo de la plataforma determina las oportunidades laborales, la carga de trabajo y los ingresos del conductor, pudiendo incluso perder permanentemente las oportunidades laborales de la plataforma. Probablemente haya poco desacuerdo sobre su importancia para los conductores. La lógica del procesamiento automatizado de datos, es decir, el secreto del algoritmo, es el secreto comercial de la plataforma. Cuántos derechos de acceso a los datos deben otorgarse para cumplir con los 15 requisitos y cómo lograr un equilibrio entre la protección de los datos personales y los derechos de propiedad intelectual corporativos (secretos comerciales) pondrán a prueba la sabiduría del juez.
Se puede decir que este es el caso más importante desde la implementación de la Ley General de Protección de Datos Personales de la UE, y su importancia excede con creces a los cuatro conductores involucrados en este caso (de hecho, estos conductores están organizando más (se han sumado más conductores de transporte en línea y repartidores de alimentos), se puede decir que sus estándares de arbitraje son equivalentes a otra legislación de protección de información personal de la UE. Es casi seguro que el caso terminará ante el tribunal superior de la UE.
El Canario de la Economía de Plataformas
“Para todos, este es un campo de batalla relacionado con el futuro”, afirmó el conductor Farrar. Los trabajadores de la plataforma de Uber son históricamente el canario en la mina subterránea, y es una batalla que no se puede perder.
Los datos son poder, y la economía de plataformas amplifica aún más las tradicionales ventajas de la información que tienen las empresas como empleadores. El derecho a la portabilidad de los datos se logra a través de la confianza en los datos de terceros, y los conductores se empoderan a través de los datos. ¿Quién más tiene más motivación para supervisar la plataforma que los conductores de transporte en línea y los repartidores de alimentos? Se puede decir que esta es una idea completamente nueva de supervisión de plataformas, que utiliza derechos de información para manejar big data.