개인 데이터 프라이버시에 대한 유럽의 위선이 무기한 계속될 가능성이 높은 것으로 보입니다.
유럽 데이터 보호 감독관 저장된 모든 데이터를 삭제하도록 Europol에 지시 범죄와 관련이 있는 것으로 알려진 사람과 관련이 없는 것은 유럽의 위선적인 감시 빙산의 일각일 뿐입니다.
이 문제는 Douwe Korff(런던 메트로폴리탄 대학교 국제법 명예 교수이자 옥스퍼드 대학교 옥스포드 마틴 스쿨 준회원)의 보고서에서 논의되었습니다. EU 자체 '스노든 스캔들': 유로폴과 회원국의 불법 대량 감시 및 대량 데이터 마이닝 (PDF).
에드워드 스노우덴 NSA 및 GCHQ 대량 감시 작업에 대한 폭로로 인해 현재 개인 정보 보호를 위한 청사진 및 표준으로 전 세계에서 사용되는 유럽 GDPR(일반 데이터 보호 규정)이 개발되었습니다.
GDPR은 유럽 의회(EP)의 결과물입니다. EP 회원은 국민에 의해 선출됩니다. 그러나 유럽의 정치 권력은 대부분 회원국 정부가 지명한 유럽 위원회(EC)에 있습니다. 유럽 정치에서 사람들과 정부 사이에는 본질적이고 지속적인 이해 충돌이 있습니다. GDPR로 국민이 승리했지만 미국인들은 대체로 '위선자'를 보고 생각했습니다.
이 본질적인 위선은 이제 GDPR(정의상 자연 시민과 들어오는 이민자 모두 포함)의 원칙에 반하는 유럽 거주자에 대한 Europol의 대량 개인 데이터 수집에 의해 완전히 드러났습니다. 위선적 아이러니가 ECJ의 믹스에 추가됩니다. 슈렘스 II EU에서 미국으로의 데이터 전송을 어렵게 만들고 대부분 불법으로 만드는 판결입니다. Schrems II는 GDPR과 FISA 720의 비호환성을 기반으로 합니다. 후자는 미국 정부가 유럽 PII에 액세스할 수 있도록 합니다. 하지만 여기에서 Europol은 유럽 개인 데이터에 대해 거의 동일한 작업을 수행합니다.
Europol은 유럽 연합 법 집행 협력 기관에 대한 규정(EU) 2016/794(Europol 규정)에 의해 별도로 규제되지만 여전히 EDPS의 감독을 받습니다(43조). EDPS는 2019년 조사를 시작한 이후 Europol의 저장된 데이터 사용(다양한 회원 법 집행 기관 제공)을 조사해 왔습니다. 데이터 레이크의 크기가 XNUMX페타바이트의 데이터를 초과하는 것으로 추정됩니다(Europol에서 확인되지 않음).
Douwe Korff는 "이것은 '일반적인 방식으로'' 압도적으로 무고한 사람들에 대한 방대한 개인 데이터를 수집하려는 Europol 및 EU 회원국의 요구에 관한 것입니다. 목적은 머신 러닝 AI 알고리즘을 사용하여 범죄 행위의 가능성을 감지하거나 추론하는 것입니다. 즉, 알려진 개인 범죄 행위를 기반으로 하지 않는 예측 법 집행입니다.
이는 "데이터 마이닝 기술에 내재된 심각한 위험과 결함을 고려하지 않고 EU법을 명백히 위반한 것"이라고 그는 덧붙였습니다.
AI를 사용한 예측적 법 집행
EDPS 판결은 주로 불법 데이터 저장에 관한 것입니다. 즉, 법적 이유 없이 너무 오랫동안 너무 많이 사용합니다. Europol은 먼저 데이터 주체를 분류해야 합니다. 이것은 진짜 용의자를 '나머지'와 분리할 것입니다. 나머지는 삭제해야 하지만 분류가 완료될 때까지 EDPS 판결에 따르면 "기고물의 개인 데이터는 분류를 진행하는 데 엄격하게 필요한 것 외에는 Europol에서 처리할 수 없습니다."
Korff의 우려는 '모든 형태의 처리'에 기계 학습 알고리즘을 기반으로 하는 예측 법 집행이 포함된다는 것입니다. 이러한 알고리즘은 범죄에 연루될 수 있는 데이터 주체를 찾기 위한 것입니다. 과거에 범죄에 연루된 적이 없고 현재 증거가 없는 경우에도 마찬가지입니다.
보고서에 따르면 수호자 10년 2022월 2020일자 Europol은 2021년 봄에 데이터 풀을 위한 AI 프로그램 개발을 시작했습니다(EDPS가 조사를 시작한 후). 유로폴은 XNUMX년 XNUMX월 가디언에 "운영 분석을 위해 자체 머신 러닝 모델을 사용하지 않았으며 머신 러닝의 '훈련'도 수행하지 않았다"고 말했다. 그러나 가디언은 유로폴이 이제 "AI 및 데이터 마이닝 개발을 도울 전문가 모집을 시작했다"고 지적합니다.
이 시점에서 GDPR은 데이터 주체를 프로파일링하기 위해 AI를 사용하는 것을 금지하고 있습니다. 제22조는 “정보주체는 프로파일링을 포함한 자동화된 처리만을 기반으로 한 결정의 대상이 되지 않을 권리가 있으며, 이는 자신에게 법적 영향을 미치거나 이와 유사하게 자신에게 중대한 영향을 미칩니다.”라고 명시하고 있습니다. Europol은 Europol 규정 내에서 그러한 금지가 없습니다.
Korff의 믿음은 AI 기반 데이터 마이닝 및 프로파일링이 "개인의 권리와 자유에 큰 위험을 초래하는 근본적이고 피할 수 없는 결함을 겪고 있다"는 것입니다. 그는 네 가지 주요 관심사를 가지고 있습니다.
● 티적은 수의 '심각한 범죄자'와 대규모 데이터 세트를 결합하면 무고한 사람들이 관련된 "수만 건의 '오탐'"이 발생합니다.
● R규칙과 법률은 프로파일링의 차별적인 결과로부터 관련 개인을 보호하지 않을 것입니다.
● 나알고리즘은 기계 학습 특성에 따라 지속적이고 동적으로 변경되기 때문에 이러한 처리 결과에 도전하는 것은 불가능합니다.
● 티프로파일링 및 데이터 마이닝의 결과는 과학적 테스트 및 감사 대상이 아니며 앞으로도 없을 것입니다.
유럽의 위선
NSA와 GCHQ 감시에 대한 Snowden의 폭로와 Europol의 현재 행동 사이의 유사점은 Korff에서 잃지 않습니다. 그는 "추후 조사와 노출을 통해 미국 국가안보국(NSA)이 영국 상대국인 영국과 긴밀히 협력하여 데이터(특히 전자 통신 데이터)를 대량으로 수집한다는 것이 분명해졌습니다. 정부 통신 본부인 GCHQ는 바로 위의 목적을 위해 있었습니다. 즉, 사악한 활동에 '관련될 수 있는' 개인(또는 단순히 '일 가능성이 있는 사람)을 '식별'하기 위해 방대한 데이터 세트를 분석하고 필터링하는 것입니다. 정치적 또는 기타 목적을 위한 ' '이익'.”
가디언은 이를 보다 간결하게 표현했습니다. "유로폴은 기술 역량 면에서 미국에 뒤처지지만 NSA와 같은 길을 가고 있습니다."
별도의에서 공부 Korff와 Ian Brown(브라질 리우데자네이루에 있는 Fundação Getulio Vargas(FGV) Law School의 CyberBRICS 방문 교수)이 유럽 의회의 의뢰로 작성하여 저자는 다음과 같이 썼습니다. ECtHR 또는 CJEU 표준의 실제 준수와 관련하여 EU 회원국은… 많은 EU 회원국의 감시 법률 및 관행은 Schrems II에서 미국의 법률 및 관행에 적용된 테스트를 분명히 통과하지 못할 것입니다.”
다음은?
EDPS는 결정을 내렸고 Europol은 데이터 레이크의 일부를 해체하고 나머지를 통제해야 합니다. EDPS 판결은 “EDPS의 결정에 대한 모든 소송은 XNUMX개월 이내에 유럽연합 사법재판소에 제기될 수 있다”고 지적했다. 그것이 최종적인 것처럼 보일 것입니다. 문제 해결됨.
하지만 그렇습니까? EDPS 조사 초기부터 유로폴은 변덕을 부리며 시간 연장을 요구하며 일을 미루고 있다. EDPS 판결의 활성화를 연기할 가능성이 있습니다.
The Guardian은 EU 내무 위원 Ylva Johansson의 말을 인용합니다. "유럽에서 Europol은 이러한 엄청난 작업으로 국가 경찰 당국을 지원하는 플랫폼입니다."
가디언은 다음과 같이 덧붙였습니다. “지난해 [유럽 위원회]는 유로폴의 권한을 뒷받침하는 규정에 대한 전면적인 변경을 제안했습니다. 법이 제정된다면 제안은 사실상 데이터 캐시를 소급적으로 합법화하고 그 내용을 새로운 AI 및 기계 학습 도구의 시험장으로 보존할 수 있습니다.”
유로폴이 충분히 오랫동안 일을 미룰 수 있다면 현재 불법적인 활동이 갑자기 합법화되어 원하는 대로 진행할 수 있습니다. 유럽연합 집행위원회는 유럽 정치권력의 중심이며, 그 구성원은 개인 프라이버시에 대한 비용과 상관없이 예측적 법 집행을 축소하기를 원하지 않는 회원국 정부에 의해 지명된다는 점을 기억하십시오.
개인 데이터 프라이버시에 대한 유럽의 위선이 무기한 계속될 가능성이 매우 높아 보입니다.
관련: GDPR 벌금 1.25년에 2021배 급증하여 XNUMX억 XNUMX천만 달러: 연구
관련: 유럽 경찰, 범죄 채팅 네트워크 크래킹 후 급습
관련: Facebook, GDPR 및 Max Schrems – GDPR 법적 절차의 내부
관련: 오스트리아 규제당국은 구글 애널리틱스가 GDPR을 위반한다고 밝혔습니다.
Kevin Townsend는 SecurityWeek의 수석 기고자입니다. 그는 Microsoft가 탄생하기 전부터 첨단 기술 문제에 대해 글을 써왔습니다. 지난 15년 동안 그는 정보 보안을 전문으로 했습니다. 타임즈와 파이낸셜 타임즈에서 현재 및 오래전에 사라진 컴퓨터 잡지에 이르기까지 수십 개의 다른 잡지에 수천 개의 기사가 실렸습니다.
태그 :
