Framsteg inom maskininlärning kan göra att data som är avidentifierade nu kan identifieras på nytt i framtiden. Kredit:www.shutterstock.com
Turnbulls regering tillkännagav idag skapandet av en ny nationell datakommissionär för att övervaka implementeringen av större dataåtkomst och "delning" i Australien.
Detta följer på regeringens tillkännagivande i slutet av förra året om en "konsumentdatarättighet" relaterad till bankverksamhet, energi, telefon- och internettransaktioner. Detta har främjats som ett sätt för australiensare:"(...) för att jämföra erbjudanden, få tillgång till billigare produkter och planer för att hjälpa dem att "göra bytet" och få större valuta för pengarna."
Men vi hävdar att valet av ord som "öppenhet" och "delning" döljer den sanna naturen hos ett hastigt och riskabelt förslag för vår data.
Det är dags att regeringen använder ett mer korrekt språk och mindre spin, så att vi kan ha en realistisk debatt om dess planer innan vår personliga information är oåterkalleligt exponerad.
"Open banking" inom 12 månader
Under några år, den australiensiska regeringen har drivit på för ökad informationsutlämnande och länkning i strävan efter effektivitet och internationell konkurrenskraft. Den hävdar att tillgång till mer data kommer att göra det möjligt för företag att planera och anpassa sina erbjudanden mer effektivt, och att "big data"-analyser kommer att leda till ökad innovation.
Under 2017, Produktivitetskommissionen stödde detta förslag – med hänvisning till behovet av ökad "öppenhet" och "tillgång". Den rekommenderade ökat avslöjande och användning av data, inklusive vår personliga och känsliga information.
Kommissionen medger att vi allmänheten, kan vara försiktig med att avslöja vår information. Som ett resultat, den har föreslagit att för att få nödvändig acceptans eller "social licens", regeringen bör skapa en ny "konsumentdatarättighet" som tillåter oss att överföra våra uppgifter till leverantörer för att få bättre erbjudanden.
Regeringen överväger för närvarande slutrapporten av översynen av öppen bankverksamhet, släpptes i februari. Detta rekommenderar att data öppnas inom 12 månader för finansiella tjänster, följt av andra sektorer.
Enligt vår åsikt, denna brådska verkar drivas av FOMO (rädsla för att missa) – en känsla av att världen pratar om big data och att Australien inte bör lämnas bakom.
Otillräckligt integritetsskydd
Vad som borde vara mer oroande är att Australien redan släpar efter med de grundläggande integritetsskydden som kan göra det planerade dataavslöjandet säkert (eller åtminstone mindre riskabelt).
Till skillnad från de flesta jämförbara länder som förespråkar öppna data (inklusive USA, Storbritannien och NZ), Australiensare har ingen rätt att ställa någon inför domstol för ett allvarligt intrång i vår integritet.
Detta är fallet även om Australian Law Reform Commission rekommenderade detta redan 2014 (efter en nästan identisk rekommendation 2008) och High Court krävde åtgärder 2001.
Vad mer, skyldigheter enligt den australiensiska integritetslagen gäller inte för den överväldigande majoriteten av företag – och experter kritiserar den svaga tillämpningen av dess redan svaga rättsmedel.
Till stor del, integritetslagen gör dig ansvarig för att skydda din integritet. Enligt australiensisk lag, om du fortsätter att använda en webbplats efter att den har tillhandahållit en länk till sin integritetspolicy, ditt samtycke anses vara underförstått av den fortsatta användningen. Samtycke kräver inte ens kryss i en ruta i detta sammanhang.
Var är skadan?
Medan få av oss har hemligheter på kändisnivå som kan få oss att besatta av skydd från paparazzi, Verkligheten är att vi i framtiden kan drabbas av svagt integritetsskydd mycket mer än någon kändis eller politiker.
Om öppen bankverksamhet fortsätter enligt gällande lag, här är vad som är troligt. När du samtycker till att överföra din bankinformation från din befintliga bank till en annan leverantör via ett Application Programming Interface (API), den leverantören kommer att kräva att du markerar en ruta som säger att du godkänner dess villkor.
Dessa villkor kommer att innehålla en integritetspolicy som säger att du samtycker till att den nya leverantören lagrar dina data, ge det till andra, och använda det till andra saker, inklusive vaga "marknadsföringsändamål". Ord i sådana policyer anger vanligtvis, till exempel:"(...) vi kan samla in din personliga information för forskning, marknadsföring, i effektivitetssyfte (...)"
Den nya leverantören, och efterföljande mottagare, kan kombinera dessa uppgifter med annan personlig information om dig – insamlad från datasamlande jättar som Acxiom, Facebook och Google – och använd det för att skapa en 360-graders, "Gud-liknande syn" på dig som individ.
Detta kan användas för att skapa poäng, psykografiska profiler och förutsägelser baserade på dina utgifter, vänner, hälsa, lopp, sexuell läggning, politisk tillhörighet, och livsstilsval.
Sådan aggregerad data kan potentiellt användas för att utnyttja, manipulera eller diskriminera dig baserat på dina behov och svagheter.
Slutrapporten för granskningen av Open Banking accepterade att dessa planer skulle öka datasäkerhetsriskerna från hackning, felaktigt avslöjande och tillgång. Den rekommenderade vissa förbättringar av konsumenternas samtyckesprocesser.
Men den rekommenderade inte den väsentliga förändringen av den materiella integritetslagstiftningen:att ge oss rätt att stämma, eller höjda straff för överträdelser, eller för att ge oss rätt att få våra uppgifter raderade när de har använts för sitt ursprungliga syfte.
Produktivitetskommissionen föreslog anonymisering eller avidentifiering av dina uppgifter för att minska riskerna. Men framstegen inom big data och maskininlärning för omidentifiering tar över försöken att avidentifiera, så data som tidigare ansågs vara säker att släppa senare blir osäkra.
Deltog i en nyligen genomförd blockchain-konferens i Sydney, vi hörde en datavetare säga att får ett val, han skulle inte gå med på att hans anonymiserade journal lämnas ut eftersom han är säker på att den kommer att återidentifieras – som hans journal – inom decenniet.
Inte "öppenhet", inte "dela"
Det är missvisande att tala om dessa datapraxis som "öppenhet" och "delning". Det här är bara må bra marknadsföringstermer för att framkalla positiva känslor och dölja verkligheten.
Regeringens förslag gör inte data mer öppna. Det uppmuntrar oss att samtycka till omfattande exponering av vår personliga information, inklusive till dem som kan använda det mot oss, till exempel, genom sårbarhetsbaserad marknadsföring.
FN:s särskilda rapportör för integritet har noterat att öppna data ursprungligen hänvisade till regeringar som lämnade information om regering och "världen vi lever i" mer tillgänglig för medborgarna; men det används nu för att hänvisa till regeringar och företag som släpper personlig information om medborgare .
Det är också missvisande att kalla detta delning. "Dela" antyder en trygg relation med någon du känner och litar på; en vänlig interaktion som slutar med att du tar tillbaka din bok eller din cykel eller dina semesterbilder.
Det återspeglar inte en oåterkallelig överföring av din personliga information till ett okänt företag – som kan behålla den på obestämd tid, använda det som de vill, och ge det till andra länder och enheter oavsett dina intressen.
Istället för att prata om någon odefinierad social licens för att öppna data och dela vår personliga information, den australiensiska regeringen borde starta en mer öppen diskussion. Den bör använda neutrala ord med praktisk betydelse och kända juridiska implikationer, som samling, använda sig av, lagring, överföring och utlämnande. Regeringen bör också lyfta fram riskerna med ett svagt dataskydd.
Detta skulle vara en riktig konversation om en intressent som vill vinna en annans förtroende, och vad som krävs för att den förtroendesökande ska ses som förtroendevärd.
Denna artikel publicerades ursprungligen på The Conversation. Läs originalartikeln.