Потребовалось гораздо больше, чем первоначально планировалось, несколько недель, но ключевое решение о конфиденциальности, которое висело над миром Сэма Альтмана (также известным как Worldcoin) в течение нескольких месяцев, наконец-то было принято благодаря решению в конце декабря баварского органа по защите данных, обеспечивающего соблюдение требований блока. Общий регламент по защите данных (GDPR), всеобъемлющая система конфиденциальности, которая допускает санкции, которые могут достигать до 4% мирового годового оборота.
Результат не похож на то, на что надеялась компания, занимающаяся сканированием глазных яблок: ей был издан корректирующий приказ, требующий полного удаления пользовательских данных по запросу.
«Все пользователи, предоставившие Worldcoin свои данные iris, в будущем будут иметь неограниченную возможность реализовать свое право на удаление», — заявил Михаэль Уилл из баварского государственного управления по надзору за защитой данных в заявлении для прессы.
Биометрическому предприятию дан один месяц с даты решения баварских властей о реализации процедуры удаления, «соответствующей положениям GDPR» — так что отметьте в своем календаре начало 2025 года.
Еще один компонент баварского порядка требует от Worldcoin получения явного согласия на то, что в заявлении для прессы (расплывчато) описано как «определенные этапы обработки в будущем».
Мы запросили более подробную информацию, но это предполагает, что процесс регистрации World должен будет предоставить пользователям из ЕС дополнительную информацию до того, как будет проведено сканирование глазных яблок. Согласно заявлению, ему также было приказано удалить «некоторые записи данных, ранее собранные без достаточного юридического основания».
В дополнение к нашим вопросам о сути заказа мы спросили власти Баварии, почему не было наложено штрафа за, по всей видимости, ряд нарушений GDPR, и обновим этот отчет любым ответом.
Компания World отреагировала на исправительный приказ, заявив, что подаст апелляцию.
Хитрый вопрос
Почему требование разрешить пользователям запрашивать удаление их данных, право, которое встроено в европейское регулирование как часть набора прав доступа к данным отдельных лиц GDPR, выглядит таким сложным для World(coin)? Суть проекта блокчейна «Доказательство человечности» заключается в том, что он создает систему неизменяемых и уникальных идентификаторов для удаленной проверки личности. Таким образом, если человек может удалить все свои следы из своей бухгалтерской книги, просто спросив, это бросает вызов его амбициям стать мировым авторитетом в области человеческой проверки.
Представительница Tools for Humanity (TfH) Ребекка Хан, которая занимается связями с организацией, разрабатывающей Worldcoin, заявила, что основания для апелляции будут сосредоточены на утверждениях о том, что техническая архитектура World «сохраняет конфиденциальность» и что приводит к анонимизации пользовательских данных.
Это означает, что права доступа к данным GDPR (например, возможность запросить удаление) не должны применяться, поскольку по-настоящему анонимные данные выходят за рамки закона.
Отвечая на вопрос, почему World так неохотно разрешает пользователям удалять данные, Дэмиен Киран, директор по конфиденциальности TfH, рассказал TechCrunch: «Наша цель — повысить доверие к цифровым взаимодействиям. Для этого мы создали первый в мире анонимный цифровой паспорт, подтверждающий человечность. Это означает, что человек может анонимно подтвердить, что он настоящий человек, на такой платформе, как X (которая оказывается бывшим работодателем Кирана), решая такие проблемы, как боты, раз и навсегда.
«Ключом к этому является обеспечение того, что если анонимный человек злоупотребляет политиками платформы и платформа приостанавливает их, этот человек не сможет удалить свой World ID, создать новый и вернуться в X, представляя себя как новый человек. Таким образом, чтобы достичь наших целей по повышению доверия в Интернете в эпоху разведки, мы должны были убедиться, что мы сделали это таким образом, чтобы анонимизировать основные данные, то есть их нельзя было удалить, и гарантировать, что злоумышленники не смогут злоупотреблять миром. сеть и другие платформы».
Киран добавил, что владельцы World ID «всегда могут удалить свои личные данные, которые хранятся исключительно на их телефоне».
Однако битва за GDPR сосредоточена не на базовых данных учетной записи. Речь идет об информации, которая может быть использована для однозначной идентификации человека.
Ранее в этом году World представила систему Secure Multi-Party Computation с открытым исходным кодом, которая, по ее утверждению, «позволяет шифровать коды радужной оболочки глаза в виде секретных акций и распределять их между несколькими участниками» — без необходимости расшифровки кодов для проведения проверок личности. место.
Предполагается, что эта техническая архитектура преобразует коды радужной оболочки глаза посредством последующей обработки, включая шифрование и сегментирование, таким образом, чтобы ограничить индивидуальные риски конфиденциальности.
В рамках этих изменений Worldcoin также представил функцию, позволяющую пользователям запрашивать удаление своих кодов радужной оболочки глаза. Однако уровень контроля, который он предоставляет пользователям, очевидно, был оценен как не соответствующий стандарту GDPR, требующему, чтобы отдельные лица имели контроль над своей информацией.
И важно подчеркнуть, что GDPR не только устанавливает правила для защиты конфиденциальности людей; структура также направлена на то, чтобы люди могли иметь автономию в отношении информации, хранящейся о них. Именно этот последний элемент создает самые большие проблемы для всемирной миссии по доказательству человечности, поскольку он не учитывает поддержку такого уровня индивидуальной автономии.
Основные права
Баварское DPA заявило, что процедура индивидуальной проверки Worldcoin на основе биометрических данных влечет за собой «ряд фундаментальных рисков защиты данных, по крайней мере, для большого числа субъектов данных». И хотя в заявлении ведомства упоминаются «улучшения», внесенные в обработку данных предприятия, оно подчеркивает, что «корректировки все еще необходимы».
Власти добавили, что их длительное расследование в конечном итоге сосредоточилось на необходимости «комплексного удаления после отзыва согласия»; и «соответствующий обзор процесса получения согласия».
«Сегодняшним решением мы обеспечиваем соблюдение европейских стандартов основных прав в пользу субъектов данных в технологически сложном и очень сложном с юридической точки зрения деле», — сказал Уилл.
Мировая апелляция против Баварского исправительного приказа не решает ключевую проблему доступа к данным.
Скорее, он пытается сформулировать этот вопрос как технический вопрос о том, как европейское законодательство должно определять анонимные данные. Поэтому его сообщение в блоге об исправительном приказе начинается со строки о том, что «World ID по замыслу анонимен». Но попытки набрать импульс для лоббирования того, что европейцы заслуживают меньше индивидуальных прав, вряд ли будут популярны в регионе.
Worldcoin уже видел, как ему подрезали крылья по всему региону. В результате правоприменительных действий со стороны других органов по защите данных, в том числе в Португалии и Испании, компания была вынуждена принять экстренные меры, в результате которых на их рынках были прекращены операции по сканированию глазных яблок. Два DPA выразили особую обеспокоенность по поводу риска неизгладимого сбора данных о детях.
В то же время Worldcoin — или World, как ее недавно переименовали, — открыла свою деятельность в Австрии.
