Ang balanse sa pagitan ng privacy at innovation (bahagi 1)

Bago tayo pumasok sa pangunahing topic ngayon, pag-usapan muna natin ang konteksto. Sa buong kasaysayan, iba-ibang resources ang pinahahalagahan ng mga tao. Sa agriculture revolution, ang lupa ay itinuturing na napakaimportante. Sa Industrial Age, ito ay makinarya, coal at pagkatapos ay langis. Ngayon, sa ika-21 siglo, ang mga scholar, journalist, at industry leader ay nagsasabi na ang data ay ang bagong langis. Sa mga pinakamahalaga na kumpanya sa mundo ayon sa market cap, marami ay tech companies at lahat sila ay may napakaraming data tungkol sa mga global consumer. Ang mga karaniwang pangalan ay:

• Sa Silangan: Alibaba, Tencent, Baidu, Flipkart
• Sa Kanluran: Google, Microsoft, Amazon, Facebook, IBM, Apple

Isa pang perspektiba mula sa report ng World Economic Forum na data policy in the Fourth Industrial Revolution ay: "Sa World Economic Forum, mas gusto naming isipin ang data bilang oxygen na nagpapaandar sa apoy ng Fourth Industrial Revolution. Ito ay madaling makuha at kailangan, ngunit kung magamit nang hindi tama ay maaaring lumikha ng mapanganib at hindi kanais-nais na resulta."

Dahil sa kahalagahan ng "data", sinusubukan kong edukahan ang sarili ko sa topic na ito at ang post na ito ang una sa isang serye tungkol sa data privacy. Dahil hindi ako eksperto sa topic na ito, isi-synthesise ko ang natutunan ko at magbibigay ng mga link sa mga pinagmulan. Para sa ngayon, pag-uusapan natin ang 3 pangunahing tanong:

• Ano ang personal data?
• Sino ang nagmamay-ari nito? - isang nuanced na sagot
• Ano ang iyong mga karapatan?

Ano ang personal data?

Sa ngayon, ang pinaka-komprehensibong definition na nahanap ko ay ang ginagamit ng European Union sa kanilang GDPR regulation.

"'personal data' ay nangangahulugang anumang impormasyon na nauugnay sa isang nakilala o makikilalang natural na tao ('data subject'); ang isang makikilalang natural na tao ay isa na maaaring makilala, direkta o hindi direkta, sa partikular sa pamamagitan ng reference sa isang identifier tulad ng pangalan, identification number, location data, online identifier o sa isa o higit pang mga salik na tiyak sa pisikal, physiological, genetic, mental, economic, kultural o sosyal na pagkakakilanlan ng natural na tao na iyon;" Nagbibigay din sila ng mga halimbawa ng personal data dito:

• email address (yourname@company.com)
• isang Internet Protocol (IP) address
• isang cookie ID (madalas na matatagpuan sa iyong web browser)
• ang advertising identifier ng iyong phone

Iba pang mga halimbawa:

• Ang iyong pribadong komunikasyon: ang nilalaman ng iyong email/private messages
• Ang iyong mga financial record (bank balance, transactions, tax return)
• Education records (kung anong paaralan ang pinupuntahan mo, ang iyong mga grado sa paaralan)
• Medical records
• Biometric data (fingerprint, iyong mukha) atbp.

Bagama't kaunti lang ang mga halimbawang kasama ko dito, mahalagang tandaan na mayroong higit sa 100 existing data protection laws sa iba't ibang bansa/teritoryo.

Personal data protection commission Singapore, "Ang personal data ay tumutukoy sa data, totoo man o hindi, tungkol sa isang indibidwal na maaaring makilala mula sa data na iyon; o mula sa data na iyon at iba pang impormasyon na mayroon o malamang na magkaroon ng access ang organisasyon. Ang personal data sa Singapore ay protektado sa ilalim ng Personal Data Protection Act 2012 (PDPA)."

Sino ang nagmamay-ari nito?

Ang pinaka-halatang sagot para sa maraming tao ay: data ko iyan kaya ako ang may-ari. Pero ang larawan ay nagiging mas nuanced kaysa doon sa totoong buhay.

Government at public agency record

Sa maraming bansa, ang gobyerno ay nagmamantain ng maraming data tungkol sa mga mamamayan nito tulad ng birth certificate, identity card (ang gobyerno mismo ang nagbibigay nito sa mga mamamayan), biometric data atbp. Ang gobyerno ng India noong nakaraang taon ay nag-implement ng isa sa pinakamalaking biometric ID programs na may halos 1 bilyong tao.

Ang interesante ay sa Davos ngayong taon sa usapan tungkol sa "Setting the rules for the AI race", binanggit ng isang kinatawan ng gobyerno ng India na ang data ay pag-aari ng mga public entities/gobyerno. Maaaring pahintulutan ng gobyerno ang public/private entities na ma-access ang personal data.

Kapag bumibiyahe ka (o nag-aaplay ng visa para bumiyahe), maraming bansa ang nangangailangan na mag-submit ka ng biometric data. Pagkatapos mong mag-submit ng iyong data at mag-sign ng ilang papeles, malamang na magsisimula kang ibahagi ang iyong biometric data sa mga dayuhang gobyerno.

Observed at inferred/predictive data

Ang report ng World Economic Forum na data policy in the Fourth Industrial Revolution ay nagmumungkahi na kailangan nating isaalang-alang ang konteksto sa usapan. Ang sagot sa tanong ng pagmamay-ari ng observed data/inferred data ay hindi direkta.

"Observed data: internet browsing preferences, surveillance video, call detail records atbp.

Inferred data: credit scores, consumer profiles, predictive traffic flows, patterns sa pagkalat ng nakakahawang sakit, targeted advertisement atbp.

Habang dumadaan tayo sa ating pang-araw-araw na buhay, gumagamit tayo ng iba't ibang serbisyo at nag-iiwan ng maraming "observed data" sa iba't ibang negosyo. Kaya ang mga negosyong ito ba ang nagmamay-ari ng data na ito? Maaari itong maging hospital, airlines, restaurants, iyong share riding services atbp. Sa advertising circle, madalas tinutukoy ng mga negosyo ang ganitong uri ng data bilang 1st party data, na tila nagpapahiwatig na maaari nila itong gamitin. Pero kaya ba nila? Kung gagamitin mo ang European Union GDPR na definition ng personal data, basta't magagamit ang data para kilalanin ang isang tao, ang taong iyon ang nagmamay-ari ng data. Kung ang data ay anonymized o dumaan sa pseudonymisation, ibang usapan na iyon.

Isang bagay na dapat tandaan ay matagal na tayong nag-iiwan ng napakaraming behavior at economic data natin. Ang nagbago sa nakalipas na dekada ay ang pagsulong sa big data at machine learning. Medyo mas madali/mura na ngayon para sa mga kumpanya na mag-store, mag-process ng napakaraming data at gumawa ng prediction mula dito. Ang anumang recommendation engine (tulad ng Amazon) ay ganoon sa esensya.

Ano ang iyong mga karapatan?

Dito ko talagang nagustuhan ang malinaw na artikulasyon mula sa European Union regulation. Hindi ko dine-debate kung tama o mali sila dito, hindi pa sa unang post na ito. Itinatag ng European GDPR ang mga sumusunod na karapatan para sa mga consumer:

• Bawat tao ay nagmamay-ari ng kanyang sariling personal data
• Transparent na may consent: Kailangang malinaw na humingi ng pahintulot ang mga kumpanya para mag-store at mag-process ng personal data sa transparent at plain English na paraan
• Security: Ang personal data ay dapat protektahan ng makatwiran na mga security safeguard.
• Karapatan na mag-withdraw: sa anumang oras, maaari nating bawiin ang ating consent para sa ating data na ma-process o magamit
• Impormasyon at access sa personal data
• Karapatan sa rectification
• Karapatan sa restriction ng processing
• Portability right
• atbp.

Siyempre, marami ring detalyadong exceptions at exemptions ang inilalarawan ng GDPR.

The California Consumer Privacy, personal data projection act in Singapore at iba pang privacy laws bagama't hindi kasing komprehensibo, ay nag-uusap tungkol sa katulad na mga karapatan. Iyan na muna para sa post na ito.

Sa susunod, titingnan ko ang ilan sa mga mas kumplikadong topic sa mga susunod na post:

• Ang European union's GDPR ba ay masyadong prescriptive?
• Dapat ba tayong magkaroon ng global data privacy law dahil sa iba't ibang legal regime, economic models sa buong mundo? Kung hindi, ano ang dapat nating global approach dahil sa magka-ugnay/magka-asang katangian ng ating mundo?
• Paano tayo susulong mula dito?
• Ang balanse sa pagitan ng data privacy at innovation, simula sa health care at education?
• Paano maiwasan ang data monopoly sa lokal, pambansa at pandaigdigang antas?

Maraming salamat,

Chandler