Worldcoin, проект генерального директора OpenAI Сэма Альтмана, направленный на захват рынка проверки человечности путем убеждения достаточного количества людей пройти сканирование глаз для получения криптотокенов, только на этой неделе начал свой официальный мировой запуск, но уже попал на радар европейских органов защиты данных.
Почему кому-то нужно доказывать свою человечность в Интернете? Одна из причин заключается в том, что благодаря таким инструментам, как ChatGPT, разработанным компанией генеративного искусственного интеллекта Альтмана, становится все сложнее отличить деятельность, созданную ботами и человеческую цифровую активность. Но не волнуйтесь, у него есть сфера сканирования глаз плюс криптотокен, чтобы продать эту идею человечеству!
Места, где добровольные подопытные (то есть люди) могут получить некоторые «цифровые токены» Worldcoin в обмен на предоставление своих биометрических данных в его собственные сферы, похожие на Half Life, уже появились на четырех рынках в Европе: Великобритании, Франции, Германии и Испании. И вполне ожидаемо, регуляторы конфиденциальности в по крайней мере на трех из этих рынков уже выражают свои опасения и/или активно исследуют, что делает Worldcoin с чувствительными персональными данными европейцев.
В начале этой недели Бюро Информации Великобритании (ICO) был задан вопрос о запуске Worldcoin в Великобритании и оно заявило публично, что будет «проводить запросы», прежде чем выпустить стандартное предупреждение: «Организации должны провести оценку влияния на защиту данных (DPIA) перед началом любой обработки, вероятно, преводящей к высокому риску, такой как обработка особых категорий биометрических данных. Если они выявляют высокие риски, которые они не могут устранить, они должны проконсультироваться с ICO».
В заявлении ICO также подчеркивается необходимость «ясной законной основы для обработки персональных данных», и добавляется: «Если они полагаются на согласие, оно должно быть добровольным и может быть отозвано без ущерба».
Таким образом, одним из вопросов в области соблюдения конфиденциальности является то, может ли согласие быть добровольным, если людей обещают наградить за предоставление своих биометрических данных токеном, который представляется формой виртуальной валюты?
Прошло несколько дней, и французский орган по защите данных (CNIL) последовал замечаниям ICO с еще более конкретными выражениями опасений, как первоначально сообщило агентство Reuters, прямо задавая вопрос о законности действий Worldcoin. Французский орган также сообщил, что уже активно расследует Worldcoin.
«Законность сбора данных Worldcoin кажется сомнительной, так же как условия хранения биометрических данных», — подтвердил представитель CNIL по электронной почте, добавив: «Worldcoin собрал данные во Франции, и CNIL начал расследование».
Согласно CNIL, начатое расследование передано DPA Баварии — после того, как она выяснила, что германская государственная власть является главным надзирателем за данными Worldcoin в ЕС (вероятно, из-за наличия дочерней компании Worldcoin в германском штате). Она добавила, что предоставляет поддержку расследованию Баварии «в рамках процедуры взаимопомощи» в соответствии с правом ЕС.
Общий регламент по защите данных (GDPR) ЕС — общее право ЕС, которое по-прежнему применяется в британском законодательстве о защите данных (отсюда и беспокойства ICO, схожие с опасениями коллег из ЕС) — содержит механизм, называемый «Единое окно», предназначенный для упрощения надзора со стороны регуляторов в случаях, когда интересы затрагивают границы государств-членов, как в данном случае. Или по крайней мере, когда обрабатывающая сторона данных имеет основное предприятие в ЕС, как, по-видимому, и у Worldcoin.
В этом сценарии контролер данных должен взаимодействовать только с одним главным DPA. И, по-видимому, в случае Worldcoin это DPA Баварии.
Представитель баварской организации на вопрос о расследовании сказал, что из-за продолжающейся процедуры он не может давать подробностей. (Он подтвердил, что одним из первых аспектов, которые будут рассмотрены, из множества «многих» вопросов, является обязанность проведения оценки влияния на защиту данных — которая, по его словам, «должна предоставить четкий анализ влияния планируемых операций по обработке на защиту персональных данных и меры безопасности, предпринятые для решения этих рисков».)
Что касается вопроса о законности, GDPR классифицирует биометрические данные, используемые для целей идентификации — что и предполагает проект Worldcoin — как так называемые «особые категории данных». Этот тип (очень чувствительных) данных имеет самые строгие правила для законной обработки.
Представительница Tools For Humanity, технологической компании с целью получения прибыли, которая возглавила разработку Worldcoin и управляет World App, подтвердила, что согласие является законной основой для обработки биометрических данных европейцев. «В соответствии с GDPR, проект полагается на согласие пользователей для создания доказательства человечности и для участия в хранении данных», — сказала она.
Она также указала на форму согласия на биометрические данные Worldcoin и уведомление о конфиденциальности — документы, длина которых составляет почти 3800 и почти 3400 слов соответственно.
Поскольку Worldcoin полагается на согласие людей для обработки их особых категорий данных, согласно законодательству ЕС, оно должно соответствовать еще более высоким требованиям — явному согласию — чтобы такая обработка была законной. Это означает, что описание, предоставляемое перед участниками, прежде чем они будут подвергнуты сканированию глаз, должно быть чрезвычайно ясным и конкретным относительно целей обработки. И давайте просто скажем, что когда вы предлагаете людям около 7000 слов юридического языка, одновременно сообщая им, что они получат кучу криптовалюты, если согласятся на сканирование, это выглядит по меньшей мере как вызов. (Согласно законодательству ЕС, согласие также должно быть добровольным.)
Даже структура управления Worldcoin, децентрализованного проекта криптовалюты, выглядит сложной для понимания того, кому фактически предоставляются их данные.
На вопрос о том, является ли Worldcoin коммерческой или некоммерческой организацией, представительница Tools For Humanity не смогла дать прямого ответа, потому что его просто нет. Организационная структура Worldcoin и децентрализованное управление не подходят для простого ответа «да» или «нет». Но она подтвердила, что Tools for Humanity (и ее дочерняя компания в Германии), также известная как разработчик Worldcoin, является коммерческой технологической компанией.
Другие (основные) вовлеченные организации — Worldcoin Foundation и Worldcoin Protocol, — как она предполагает, не являются коммерческими организациями. В отчете на сайте Worldcoin указано: «Worldcoin Foundation является «exempted limited guarantee foundation company», которая является типом некоммерческой организации, зарегистрированной на Каймановых островах». Так что, это «тип» некоммерческой организации с коммерческими дочерними компаниями? (ChatGPT, на вопрос что такое «exempted limited guarantee foundation company», ответил, что по состоянию на сентябрь 2021 года (конец срока обучения модели) «не существует общепризнанной юридической структуры или такого термина»).
Тогда возникает вопрос о том, кто фактически обрабатывает данные и, следовательно, несет юридическую ответственность за соблюдение законодательства ЕС о защите данных. Форма согласия Worldcoin на биометрические данные, по-видимому, указывает на то, что Worldcoin Foundation, зарегистрированная на Каймановых островах, является контролером данных для «ваших изображений и биометрических данных, собранных через нашу сферу».
Представительница Tools For Humanity уточнила, что контролером данных «сейчас» является Worldcoin Foundation, а Tools For Humanity является обработчиком данных для Worldcoin (хотя факт, что DPA Баварии возглавляет расследование проекта, указывает на то, что немецкая дочерняя компания Tools for Humanity играет значительную роль в обработке данных людей).
Возникает еще один вопрос и потенциальный сигнал тревоги в отношении соблюдения GDPR, если изучить резюме раздела формы согласия Worldcoin на биометрические данные — в котором отмечается, что люди, которые «зарегистрируются с помощью сферы» (т.е. предоставят свои биометрические данные) не смогут удалить свои персональные данные после этого шага. («Мы создадим уникальный код Iris (как определено ниже), который не может быть удален (если мы его удалим, доказательство уникальности не будет работать)», пишет Worldcoin.)
Суть в том, что GDPR предоставляет европейцам набор прав на доступ к своим персональным данным, включая право запросить их удаление. Утверждение, что удаление невозможно, не пройдет. Регуляция также в широком смысле определяет персональные данные как информацию, которая может идентифицировать физическое лицо (включая в сочетании с другими данными), поэтому попытка заявить, что «уникальный код Iris», полученный в результате биометрического сканирования, не является персональными данными, чтобы избежать необходимости соблюдать запросы на удаление, кажется маловероятной для регуляторов.
В целом, легко понять, почему европейские органы по защите конфиденциальности так быстро принялись выражать и действовать на опасения. Хотя пока неизвестно, насколько быстро регуляторы могут перейти к принуждению, если опасения подтвердятся.
На вопрос о деятельности DPA представительница Tools For Humanity заявила, что проект Worldcoin соответствует всем применимым законам (хотя в некоторых американских штатах жителям категорически запрещено проходить сканирование из-за местных законов, ограничивающих обработку биометрических данных. «Вы не можете предоставить свою биометрическую информацию в Сфере, если вы проживаете в штате Иллинойс, Техас или Вашингтон или в городах Портленд, Орегон или Балтимор, штат Мэриленд», — говорится в форме согласия Worldcoin).
Она также подтвердила, что Worldcoin провела оценку влияния на защиту данных, которая, как она сказала, была проведена «тщательно».
В дополнительных замечаниях, отправленных по электронной почте после запроса Worldcoin на расследование DPA Баварии, представительница Tools For Humanity добавила:
Worldcoin был разработан для защиты индивидуальной конфиденциальности и построил мощную программу конфиденциальности. Worldcoin Foundation соблюдает все законы и нормативные акты, регулирующие обработку персональных данных на рынках, где доступен Worldcoin, включая Общий регламент по защите данных («GDPR»). В Европейском союзе проект находится под надзором Баварского государственного управления по надзору за защитой данных (Bayerisches Landesamt für Datenschutz). Проект будет продолжать сотрудничать с государственными органами по запросам дополнительной информации о своих практиках конфиденциальности и защите данных. Мы стремимся сотрудничать со своими партнерами по всей Европе, чтобы гарантировать, что проект Worldcoin соответствует требованиям регулирующих органов и предоставляет безопасную, надежную и прозрачную услугу для проверенных людей.