Keseimbangan antara privasi dan inovasi (bagian 1)

Sebelum kita masuk ke topik utama hari ini, mari kita bicara tentang konteksnya. Sepanjang sejarah, manusia telah menghargai berbagai sumber daya. Pada revolusi pertanian, tanah dianggap sangat penting. Di Era Industri, mesinlah yang penting, lalu batu bara, dan kemudian minyak. Sekarang, di abad ke-21, para akademisi, jurnalis, dan pemimpin industri telah mengatakan bahwa data adalah minyak baru. Di antara perusahaan paling berharga di dunia berdasarkan kapitalisasi pasar, banyak yang merupakan perusahaan teknologi dan semuanya memiliki data dalam jumlah sangat besar tentang konsumen global. Nama-nama yang biasa kita dengar adalah:

• Di Timur: Alibaba, Tencent, Baidu, Flipkart
• Di Barat: Google, Microsoft, Amazon, Facebook, IBM, Apple

Perspektif lain dari laporan World Economic Forum data policy in the Fourth Industrial Revolution adalah: "Di World Economic Forum, kami lebih suka menganggap data sebagai oksigen yang memicu api Revolusi Industri Keempat. Data tersedia dengan mudah dan diperlukan, tetapi jika digunakan secara tidak tepat dapat menghasilkan hasil yang berbahaya dan tidak diinginkan."

Mengingat betapa pentingnya "data", saya berusaha mengedukasi diri sendiri tentang topik ini dan postingan ini adalah yang pertama dari seri tentang privasi data. Karena saya bukan ahli di topik ini, saya akan menyintesis apa yang telah saya pelajari dan menyediakan tautan ke sumbernya. Untuk hari ini, kita akan membahas 3 pertanyaan utama:

• Apa itu data pribadi?
• Siapa pemiliknya? - jawaban yang bernuansa
• Apa hak-hak kamu?

Apa itu data pribadi?

Sejauh ini, saya menemukan definisi yang digunakan oleh Uni Eropa dalam regulasi GDPR mereka paling komprehensif.

"'data pribadi' berarti informasi apa pun yang berkaitan dengan orang alami yang teridentifikasi atau dapat diidentifikasi ('subjek data'); orang alami yang dapat diidentifikasi adalah orang yang dapat diidentifikasi, secara langsung atau tidak langsung, khususnya dengan mengacu pada pengenal seperti nama, nomor identifikasi, data lokasi, pengenal online atau satu atau lebih faktor yang spesifik untuk identitas fisik, fisiologis, genetik, mental, ekonomi, budaya atau sosial dari orang alami tersebut;" Mereka juga memberikan contoh data pribadi di sini:

• alamat email (namaanda@perusahaan.com)
• alamat Internet Protocol (IP)
• cookie ID (sering ditemukan di web browser kamu)
• pengenal iklan dari ponsel kamu

Contoh lainnya bisa berupa:

• Komunikasi pribadi kamu: konten email/pesan pribadi kamu
• Catatan keuangan kamu (saldo bank, transaksi, pengembalian pajak)
• Catatan pendidikan (sekolah mana yang kamu tempuh, nilai-nilai di sekolah)
• Catatan medis
• Data biometrik (sidik jari, wajah kamu) dll.

Meskipun saya hanya menyertakan beberapa contoh di sini, penting untuk dicatat bahwa ada lebih dari 100 undang-undang perlindungan data yang ada di berbagai negara/wilayah.

Personal data protection commission Singapore, "Data pribadi mengacu pada data, baik benar atau tidak, tentang individu yang dapat diidentifikasi dari data tersebut; atau dari data tersebut dan informasi lain yang dimiliki atau kemungkinan akan dimiliki oleh organisasi. Data pribadi di Singapura dilindungi di bawah Personal Data Protection Act 2012 (PDPA)."

Siapa pemiliknya?

Nah, jawaban paling jelas bagi banyak orang adalah: itu data saya jadi saya pemiliknya. Tapi gambaran sebenarnya lebih bernuansa dari itu.

Catatan pemerintah & lembaga publik

Di banyak negara, pemerintah menyimpan banyak data tentang warganya seperti akta kelahiran, kartu identitas (yah, pemerintah memang memberikan ini kepada warganya sejak awal), data biometrik, dll. India tahun lalu mengimplementasikan salah satu program ID biometrik terbesar dengan sekitar 1 miliar orang.

Yang menarik adalah di Davos tahun ini selama percakapan tentang "Setting the rules for the AI race", seorang perwakilan dari pemerintah India menyebutkan bahwa data tersebut milik entitas publik/pemerintah. Pemerintah dapat mengizinkan entitas publik/swasta mengakses data pribadi.

Ketika kamu bepergian (atau mengajukan visa untuk bepergian), banyak negara mengharuskan kamu menyerahkan data biometrik. Setelah kamu menyerahkan data dan menandatangani beberapa dokumen, kemungkinan besar kamu mulai berbagi data biometrik kamu dengan pemerintah asing tersebut.

Data yang diamati dan data yang disimpulkan/prediktif

Laporan World Economic Forum data policy in the Fourth Industrial Revolution mengusulkan bahwa kita perlu mempertimbangkan konteks dalam percakapan. Jawaban atas pertanyaan kepemilikan data yang diamati/data yang disimpulkan tidaklah sederhana.

"Data yang diamati: preferensi browsing internet, video pengawasan, catatan detail panggilan, dll.

Data yang disimpulkan: skor kredit, profil konsumen, arus lalu lintas prediktif, pola penyebaran penyakit menular, iklan bertarget, dll.

Saat kita menjalani kehidupan sehari-hari, kita menggunakan berbagai layanan dan meninggalkan banyak "data yang diamati" di berbagai bisnis. Jadi apakah bisnis-bisnis ini memiliki data tersebut? Ini bisa mencakup rumah sakit, maskapai penerbangan, restoran, layanan ride-sharing kamu, dll. Dalam lingkaran periklanan, bisnis sering merujuk pada jenis data ini sebagai data 1st party, yang tampaknya menunjukkan bahwa mereka bisa menggunakannya. Tapi bisakah mereka? Jika kamu menggunakan definisi GDPR Uni Eropa tentang data pribadi, maka selama data tersebut dapat digunakan untuk mengidentifikasi seseorang, orang tersebut memiliki datanya. Jika data tersebut telah dianonimkan atau menjalani pseudonymisation maka itu adalah masalah yang berbeda.

Satu hal yang perlu dicatat adalah kita telah meninggalkan banyak data perilaku dan ekonomi kita sejak lama. Yang berubah selama dekade terakhir atau lebih adalah kemajuan dalam big data dan machine learning. Sekarang relatif lebih mudah/murah bagi perusahaan untuk menyimpan, memproses sejumlah besar data dan membuat prediksi darinya. Setiap mesin rekomendasi (seperti Amazon) pada dasarnya adalah itu.

Apa hak-hak kamu?

Di sinilah saya sangat menyukai artikulasi yang jelas dari regulasi Uni Eropa. Saya tidak memperdebatkan apakah mereka benar atau salah di sini, setidaknya belum di postingan pertama ini. GDPR Eropa menetapkan hak-hak berikut untuk konsumen:

• Setiap orang memiliki data pribadinya sendiri
• Transparansi dengan persetujuan: Perusahaan harus secara eksplisit meminta izin untuk menyimpan dan memproses data pribadi secara transparan dan dalam bahasa yang mudah dipahami
• Keamanan: Data pribadi harus dilindungi oleh pengamanan keamanan yang wajar.
• Hak untuk menarik kembali: kapan saja, kita dapat menarik persetujuan kita agar data kita diproses atau digunakan
• Informasi dan akses ke data pribadi
• Hak untuk rektifikasi
• Hak untuk pembatasan pemrosesan
• Hak portabilitas
• dll.

Tentu saja, ada banyak pengecualian dan pembebasan detail yang dijelaskan oleh GDPR juga.

The California Consumer Privacy, personal data projection act in Singapore dan undang-undang privasi lainnya meskipun tidak sekomprehensif, membahas hak-hak yang serupa. Sekian untuk postingan ini.

Selanjutnya, saya akan membahas beberapa topik yang lebih rumit ini di postingan-postingan berikutnya:

• Apakah GDPR Uni Eropa terlalu preskriptif?
• Haruskah kita memiliki undang-undang privasi data global mengingat rezim hukum dan model ekonomi yang berbeda secara global? Jika tidak, apa pendekatan global kita mengingat sifat dunia kita yang saling terhubung/bergantung?
• Bagaimana kita melangkah maju dari sini?
• Keseimbangan antara privasi data dan inovasi, dimulai dari layanan kesehatan dan pendidikan?
• Bagaimana menghindari monopoli data di tingkat lokal, nasional, dan global?

Salam, Chandler