שוברת קודים
האלגוריתם הוא הפרי המורעל
רשות ההגבלים האמריקאית נקטה בשבוע שעבר מהלך אכיפה חדשני נגד ארגון שומרי משקל: דרישה למחיקת כל הקוד שנכתב על בסיס נתונים שנאספו בניגוד לחוק. האם זה סוף לשימוש לרעה שחברות עושות בנתוני משתמשים?
בשבוע שעבר השלימה הרשות ההגבלים העסקיים של ארה”ב (FTC) אכיפת ראווה בנושא שימוש לרעה בנתונים, ומגזר הטכנולוגיה צריך להתבונן במהלך בעיניים פקוחות. על הכוונת היה ארגון שומרי המשקל העולמי (בשמו המחודש WW International) שלפי תלונה של ה־FTC אסף שמות, כתובות מייל ותאריכי לידה של ילדים ללא הסכמת הוריהם עבור אפליקציה שפותחה על ידי החברה־הבת Kurbo. בעשותו כך, הפר שומרי משקל את חוק COPPA שמגן מפני איסוף, שימוש או חשיפת מידע של ילדים מתחת לגיל 13.
קראו עוד בכלכליסט:
במסגרת הפשרה הסכימו בשומרי משקל לשלם קנס של 1.5 מיליון דולר ולמחוק את הנתונים שנאספו, ללא הודאה באשמה. עד כאן שום דבר מיוחד, אך בהסכם הפשרה ה־FTC מחייב את שומרי משקל לעשות עוד דבר אחד נוסף: להשמיד כל פיסת קוד שנכתבה על בסיס נתונים אלו, את האלגוריתם שפיתחו, את הקניין הרוחני שלהם.
זה אולי נראה כמעט מתבקש - הרי ברור שאם מוצר פותח באמצעות קצירת נתונים אסורה, גם המוצר אסור. הרעיון שמזמן הפך מטבע לשון בעגה המשפטית “פרי העץ המורעל”, שלפיו אם המקור לא כשר, כל התוצר הנובע ממנו - רעיל ואסור גם הוא. אך האמת היא שמדובר בפרקטיקה יוצאת דופן לבעיה ישנה, שעד לאחרונה הדרך היחידה שניסו להתמודד עמה היתה באמצעות הטלת קנסות.
1. קנסות כספיים דווקא לא יעילים
ב־2021 הטילו מדינות האיחוד האירופי קנסות בשווי מצטבר של 1.1 מיליארד יורו על הפרות כללי הפרטיות (GDPR). מרבית הקנסות הושתו על חברות טכנולוגיה אמריקאיות כמו גוגל, פייסבוק ואמזון, ועל הפרות הנוגעות לשקיפות בטיפול במידע או לכללי פרטיות בטיפול בנתונים אישיים של משתמשים. מדובר על זינוק עצום של פי שבעה בהיקף הקנסות שהושתו במסגרת החקיקה המתקדמת המסוימת הזו שנכנסה לתוקף רק ב־2018. ואף שנראה כי קנסות אלו רק ילכו ויגדלו, הם לא הדרך לשינוי מהותי באופן שבו חברות הטכנולוגיה פועלות. הכוח להביא לשינוי עמוק מצוי בידי הרגולטור האמריקאי, רק הוא ולא אחר.
אבל בארה”ב לא ממהרים לפעול. אמנם הרגולטורים וגם המחוקקים המקומיים מצויים בקונפליקט מתמשך מול חברות אלו, ובציבוריות האמריקאית הסבלנות כלפי השימוש לרעה שחברות טכנולוגיה עושות בנתונים פרטיים רק הולכת ומתקצרת - אך בפועל לא הרבה נעשה.
למעשה, הקנס המשמעותי האחרון שהושת על אחת החברות אלו (שלא לדבר ששום חקיקה מעצבת מדיניות לא נעשתה) היה אי שם ב־2019 על גוגל. אז, כמו במקרה שומרי משקל, האכיפה היתה קשורה להפרות של חוקי הפרטיות של ילדים, אם כי הסתכמה בקנס משמעותי הרבה יותר של 170 מיליון דולר. היקף הקנס נחשב חריג בגודלו בשעתו, במיוחד בתחום אכיפת כללים להגנה על מידע, וצוטט רבות כדוגמה לפעילות אכיפה ייחודית. גוגל במקרה זה לא נדרשה למחוק את האלגוריתם, הפרי המורעל הזה.
נראה כאילו שקנסות, אף שהנם כלי מרכזי בפעילות רגולטורים, הם לא הדרך היעילה לדחוק בחברות הטכנולוגיה לציית, ליישם ולנקוט גישה כללית זהירה ושמרנית בנוגע לאיסוף ושימוש נתונים פרטיים. קצירת נתונים מהאינטרנט היא היום מטרה מרכזית וממש פתולוגית של חברות טכנולוגיה, היא התשתית ההכרחית לפעילותן, היא המודל העסקי שלהן.
קנסות, לעומת זאת, לא אפקטיביים לא רק משום שהחברות הנקנסות רווחיות מעבר לכל דמיון, אלא בשל המבנה המימוני של תעשייה זו. זה מבנה שנשען על הזרמת הון רב על ידי משקיעי הון סיכון, שמאפשר לחברות להתבונן על סיכונים באור אחר לחלוטין. כך, אף על פי שלא חסר לחברות אלו המשאבים להשתנות ולציית, ואף על פי שפעמים רבות הן לקחו חלק בכתיבת הכללים, הן מפרות אותם שוב ושוב תוך “סיכון מחושב”, שמות קופה קטנה בצד לקנסות לא נעימים, וממשיכות להתנהל במציאות חלופית שבה החוק הוא גמיש, הקנסות לא רלבנטיים והחיים טובים.
2. לא באמת ניתן “לפרק את הענקיות”
הגישה המתריסה הזו הביאה לשיח חדש שקורא “לפרק את ענקיות הטכנולוגיה”. אם אי אפשר לווסת התנהגות באמצעות קנסות, כי הן גדולות מדי וזה לא משפיע עליהן, אז צריך פשוט לפרק אותן. אך זה מעשה איטי וכמעט בלתי אפשרי. ההיסטוריה מראה שחברות ענק משתמשות ביעילות בתרומות פוליטיות ופעילות לובי מאומצת כדי לחנוק שינוי פוליטי. מי בכלל זוכר שב־1998 החל תהליך לפרק את מיקרוסופט, ב־2000 נקבע שתפוצל לשניים וב־2011 הושגה פשרה שלא השיגה כלום. כעת ב־FTC נוקטים גישה אחרת.
קצירת / כריית נתונים: הוצאה אוטומטית, זולה וקלה, לעתים ללא רשות, של מערכי נתונים מקוונים ושימוש באלו למטרות שונות
שומרי משקל הם כאמור לא פעולת האכיפה הייחודית הראשונה. הפעם הראשונה שהורו על השמדת אלגוריתם היתה בצו נגד קיימברידג’ אנליטיקה בטענה שחברת הנתונים הפוליטיים הידועה לשמצה הציגה מצג שווא כיצד תשתמש במידע שאספה מפייסבוק. החברה נדרשה למחוק או להרוס את הנתונים ו”כל מידע או מוצר עבודה, לרבות אלגוריתמים או משוואות, שמקורם, כולו או חלקו, ממידע זה”.
את הבסיס הראשוני הזה ל”הרס אלגוריתמי” יישמו במאי האחרון על חברה בשם Paravision (פעם Everalbum). החברה, כך טענו בתלונה של ה־FTC, שאבה שלא כחוק תמונות אישיות של משתמשים שמעולם לא נתנו לכך את אישורם, אימנה באמצעות אלו מערכת לזיהוי פנים ואז מכרה את המערכת לרשויות לאכיפת חוק, לרבות חיל האוויר האמריקאי.
אחרי תקדים קיימברידג’ אנליטיקה, ב־FTC בחרו בקפידה שני מקרים לביסוס נוהג האכיפה החדש: בפעם הראשונה קצירה לא חוקית של תמונות אינטימיות של משתמשים כדי לפתח מוצר מעורר מחלוקת — זיהוי פנים; ופעם השנייה קצירה לא חוקית של נתונים של ילדים קטנים כדי לפתח מוצר מעורר מחלוקת - אפליקציית הרזיה לילדים.
ב־FTC מקווים שחברות, יזמים ומשקיעים שמים לב. ואם מישהו במקרה פספס, הגיעה ארי מאייר, מי שהיתה עד לא מזמן הטכנולוגית הראשית של ה־FTC, והקפידה להבהיר שוב את שינוי הגישה: “אנו נפעל להבטיח שאלו שמנצלים מידע שהושג באופן לא סביר יישאו בתוצאות פעולתם” והוסיפה שהאכיפה שהיתה עד כה, שהובילה רק לתנאי שימוש ארוכים שאף אחד ממילא לא קורא, או קנסות חד־פעמיים שאף אחד גם ככה לא סופר, משתנה - כעת הם יבחנו מודלים עסקיים שלמים. “נאלץ חברות לא רק למחוק מידע או לשלם כסף”, פסקה בכנס של הרשות בקיץ האחרון, “אלא גם אלגוריתם שהושג בדרך לא מותרת”.
ב־FTC לא טועים. הדבר היחיד שיכול לשנות התנהגות, בהינתן ששינוי פוליטי אינו אופציה רלבנטית, הוא רק אם המודל העסקי של החברות יהיה בסכנה. אם חברות יעריכו שפעילותן עלולה להביא למחיקה של האלגוריתם או המודל שבנו, אולי הן ידאגו להבטיח ביתר שאת שהן יכולות ומוסמכות להשתמש בנתונים שאיתם הן מאמנות את המודלים שלהן — גם אם הן משתמשות בנתונים שלא נאספו על ידיהן. זה כמובן לא יבטיח שימוש ראוי או אסיפה תקינה של נתונים, אבל זה אולי איום על קניין רוחני ומודל עסקי שיצליח לדחוף את חברות הטכנולוגיה אל עבר גישה שמרנית וראויה יותר של קצירת נתונים.