Dibutuhkan lebih dari beberapa minggu yang awalnya ditetapkan untuk tiba, tetapi keputusan privasi yang penting yang telah menggantung di atas Dunia Sam Altman (dikenali sebagai Worldcoin) selama berbulan-bulan akhirnya tiba, melalui keputusan akhir Disember dari pihak berkuasa perlindungan data Bavarian yang menguatkuasakan Peraturan Perlindungan Data Am (GDPR) blok yang komprehensif, kerangka privasi yang membenarkan sanksi yang boleh mencapai sehingga 4% daripada jumlah perolehan tahunan global.
Keputusan tersebut tidak kelihatan seperti yang diharapkan oleh usaha identiti kripto pemindai bola mata: Ia telah dikeluarkan dengan perintah pembetulan yang memerlukan ia untuk memadamkan data pengguna secara menyeluruh atas permintaan.
“Semua pengguna yang telah memberikan 'Worldcoin' dengan data iris mereka akan pada masa depan mempunyai peluang yang tidak terhad untuk memaksakan hak mereka untuk memadankan,” kata Pejabat Negeri Bavarian untuk Penyeliaan Perlindungan Data, Michael Will, dalam kenyataan media.
Usaha biometrik itu diberi satu bulan dari tarikh keputusan pihak berkuasa Bavarian untuk melaksanakan prosedur penghapusan “yang mematuhi ketentuan GDPR” - oleh itu tandai kalendar anda pada awal 2025.
Sebahagian lagi daripada perintah Bavarian mengharuskan Worldcoin mendapatkan persetujuan secara eksplisit untuk apa yang kenyataan media (secara kabur) menggambarkan sebagai “langkah pemprosesan tertentu di masa depan.”
Kami telah meminta maklumat lebih lanjut tetapi ini menunjukkan bahawa proses penyelesaian masalah World akan memberikan pengguna EU dengan lebih banyak maklumat sebelum pemindaian bola mata diambil. Ia juga diarahkan untuk memadamkan “rekod data tertentu yang telah dikumpulkan sebelum ini tanpa dasar undang-undang yang mencukupi,” mengikut kenyataan tersebut.
Selain soalan kami mengenai substansi apa yang telah diperintahkan, kami telah pertanyaan pihak berkuasa Bavarian mengenai mengapa tiada hukuman dikeluarkan untuk apa yang kelihatan sebagai beberapa pelanggaran GDPR.
Dunia telah menanggapi perintah pembetulan dengan mengatakan bahawa ia akan memfailkan rayuan.
Kemas kini: Pihak berkuasa Bavarian memberitahu kami bahawa jangka waktu penguatkuasaannya ditangguhkan sementara rayuan World.
DPA juga mengesahkan bahawa perintah penghapusan ini berkaitan dengan “templat biometrik” yang dikaitkan dengan pemindaian iris yang disimpan oleh World dalam “pangkalan data biasa” dan oleh itu boleh dipadamkan.
“Kerana kami menganggap keseluruhan set data itu tidak (masih) anonim, sekarang tugas World/coin untuk membuktikan [bagaimana] mereka menukar struktur pemprosesan mereka untuk memenuhi keperluan penghapusan - jika perlu dengan memadamkan beberapa bahkan semua pecahan,” kata Will kepada kami.
Dari segi undang-undang, beliau menambah: “Dalam analisis kami, tidak ada asas undang-undang yang mungkin lain selain kebenaran secara eksplisit untuk perkhidmatan/aktiviti pemprosesan yang tertentu ini.”
Sulit untuk diminta
Mengapa keperluan untuk membenarkan pengguna meminta data mereka untuk dipadamkan, hak yang tertanam dalam peraturan Eropah sebagai sebahagian daripada hak akses data individu GDPR, kelihatan begitu sukar bagi Dunia [syiling]? Projek blockchain bukti manusia ini adalah bahawa ia sedang membangunkan sistem ID yang utuh dan unik untuk mengesahkan identiti dari jauh. Jadi jika seseorang boleh mengedit kesan diri mereka dari buku besarannya hanya dengan meminta, itu menjadi cabaran terhadap ambisinya untuk menjadi otoriti yang merentasi dunia dalam pengesahan manusia.
Juru bicara Alat untuk Manusia (TfH), Rebecca Hahn - yang melakukan komunikasi bagi entiti yang membangunkan Worldcoin - berkata alasannya untuk rayuan akan memberi tumpuan kepada dakwaan bahawa seni bina teknikal World adalah “mengekalkan privasi” dan itu menghasilkan data pengguna yang dianonimkan.
Implikasinya adalah bahawa hak akses data GDPR (seperti boleh meminta penghapusan) tidak sepatutnya berlaku, kerana data benar-benar anonim jatuh di luar lingkup undang-undang.
Mengenai mengapa Dunia begitu enggan membenarkan pengguna memadamkan data, Damien Kieran, pegawai privasi utama TfH, memberitahu TechCrunch: “Matlamat kami adalah untuk meningkatkan kepercayaan dalam interaksi digital. Untuk melakukan itu, kami mencipta pasport digital anonim pertama dunia untuk membuktikan keberadaan manusia. Ini bermakna seseorang boleh secara anonim memeriksa bahawa mereka adalah manusia sebenar di platform seperti X [yang kebetulannya merupakan majikan terdahulu Kieran], menyelesaikan masalah seperti bot sekali gus.
“Kunci kepada itu adalah memastikan jika seseorang yang anonim menyalahgunakan dasar-dasar platform dan platform menangguhkan mereka, orang itu tidak boleh memadamkan ID Dunia mereka, membuat yang baru, dan kembali ke X sehingga menyatakan diri sebagai manusia baru. Oleh itu, untuk mencapai matlamat kami meningkatkan kepercayaan secara online dalam zaman kecerdasan, kami perlu memastikan kami melakukannya dengan cara yang menganonimkan data asas, bermakna ia tidak boleh dipadamkan, dan memastikan bahawa pelaku buruk tidak dapat menyalahgunakan rangkaian Dunia dan platform lain.”
Kieran menambah bahawa pemegang ID Dunia “sentiasa boleh memadamkan data peribadi mereka, yang hanya berada di telefon mereka.”
Walau bagaimanapun, data akaun asas bukanlah fokus pertempuran GDPR ini. Ia adalah tentang maklumat yang boleh digunakan untuk mengenal pasti individu secara unik.
Pada awal tahun ini, World memperkenalkan sistem Perhitungan Pangkat Bertindak sebagai sumber terbuka yang menurutnya “membolehkan kod iris dienkripsi sebagai perkongsian rahsia dan diedarkan kepada beberapa peserta” - tanpa keperluan kod itu untuk dipecahkan untuk melakukan pemeriksaan identiti.
Cadangan ini adalah bahawa seni bina teknikal ini menukarkan kod iris melalui pemprosesan berikutnya, termasuk penyulitan dan pembahagian, dengan cara yang menghadkan risiko privasi individu.
Sebagai sebahagian daripada perubahan ini, Worldcoin juga memperkenalkan ciri yang membolehkan pengguna meminta penghapusan kod iris mereka. Walau bagaimanapun, tahap kawalan yang diberikan kepada pengguna - jelas - dinilai tidak memenuhi standard GDPR yang memerlukan individu mempunyai kawalan ke atas maklumat mereka.
Dan penting untuk menekankan bahawa GDPR bukan sahaja menetapkan peraturan untuk melindungi privasi individu; kerangka kerja tersebut juga bertujuan untuk memastikan individu mempunyai autonomi ke atas maklumat yang dipegang tentang mereka. Inilah elemen terakhir yang merupakan cabaran terbesar kepada misi bukti manusiawi Dunia kerana ia tidak mengambil kira menyokong tahap autonomi individu tersebut.
Hak asasi
DPA Bavarian berkata prosedur pengesahan individu berdasarkan biometrik milik Worldcoin melibatkan “sejumlah risiko perlindungan data asas untuk sekurang-kurangnya sebilangan besar subjek data.” Dan walaupun kenyataan pihak berkuasa tersebut membuat rujukan kepada “penambahbaikan” yang dibuat kepada pemprosesan data venture ini, tetapi menekankan bahawa “pelarasan masih diperlukan.”
Pihak berkuasa menambah bahawa penyiasatan yang berlarutan berakhir dengan menumpukan kepada keperluan untuk “penghapusan menyeluruh selepas penarikan persetujuan,” dan “tinjauan berkaitan proses persetujuan.”
“Dengan keputusan hari ini, kami memaksimakan standard hak asasi Eropah bagi data subyek dalam kes yang menuntut teknologi dan undang-undang yang sangat kompleks,” kata Will.
Rayuan Dunia terhadap perintah pembetulan Bavarian tidak menangani isu akses data inti secara langsung.
Sebaliknya ia cuba merangka perkara itu sebagai soalan teknikal, tentang bagaimana undang-undang Eropah harus mentakrifkan data anonim. Justeru itu catatan blognya tentang perintah pembetulan dimulai dengan baris yang "World ID adalah anonim dengan reka bentuk.” Tetapi cuba untuk membangunkan momentum bagi desakan bahawa orang Eropah layak mendapat kurang hak individu mungkin tidak popular di rantau tersebut.
Worldcoin telah melihat sayapnya dipangkas di sekitar rantau.
Tindakan penguatkuasaan dari pihak berkuasa perlindungan data lain - termasuk di Portugal dan Sepanyol - melihatnya terikat kepada tindakan kecemasan yang menutup operasi pemindaian bola matanya di pasaran mereka. Kedua-DPA tersebut menimbulkan kebimbangan khusus mengenai risiko data kanak-kanak yang ditangkap secara kekal.
Pada masa yang sama, Worldcoin - atau World seperti yang baru-baru ini mengubah jenama - telah membuka operasi di Austria.
