Revising privacy, forgetting & profiling under the GDPR in emerging computing platforms and decentralized environments

Abstract

Η εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων (Γ.Κ.Π.Δ.) στις 25 Μαΐου 2018 σε όλη την Ευρωπαϊκή Ένωση (Ε.Ε.) εγκαθίδρυσε ένα νέο καθεστώς για την προστασία} των προσωπικών δεδομένων και της ιδιωτικότητας των ατόμων. Αν και γενικότερα ο Γ.Κ.Π.Δ. έτυχε θερμής υποδοχής, συνάντησε όμως και έντονες επιφυλάξεις τόσο εντός όσο και εκτός της Ε.Ε. κυρίως λόγω της σοβαρής επίδρασης του στην επεξεργασία των προσωπικών δεδομένων. Ίσως η πιο ριζοσπαστική και αμφιλεγόμενη από τις διατάξεις του -- και αυτή που έγινε θέμα πολλών έντονων συζητήσεων λόγω του καθοριστικού της ρόλου στη διαχείριση των προσωπικών δεδομένων και των δραστικών της συνεπειών όταν επιβληθεί στην εποχή των big data, των blockchains, και του Internet of Things (IoT) -- είναι το Άρθρο 17 που προβλέπει το ``Δικαίωμα στη Λήθη'' (``Right to be Forgotten'' - RtbF). Ουσιαστικά, το Δικαίωμα στη Λήθη δίνει τη δυνατότητα στα άτομα, υπό συγκεκριμένες προϋποθέσεις, να αιτηθούν τη διαγραφή των προσωπικών τους δεδομένων από όλες τις διαθέσιμες πηγές στις οποίες αυτά έχουν διαδοθεί. Η παρούσα διατριβή εξετάζει τις αντιφάσεις που ανακύπτουν από την εφαρμογή των αρχών της ιδιωτικότητας που κατοχυρώνονται στον Γ.Κ.Π.Δ. - και ιδιαίτερα του Δικαιώματος στη Λήθη - στα σύγχρονα πληροφοριακά συστήματα και στις τεχνολογίες αιχμής. Μεταξύ άλλων, μελετούμε δυο θεαματικές καινοτομίες της εποχής μας: την κινητή και πανταχού παρούσα υπολογιστική (mobile ubiquitous computing), και τα αποκεντρωμένα ομότιμα (peer-to-peer, p2p) δίκτυα για αποθήκευση και διαμοιρασμό αρχείων (decentralized file storage and sharing systems). Πιο συγκεκριμένα, εμβαθύνουμε στην πρόοδο της κινητής συναισθηματικής πληροφορικής (mobile affective computing) και στην τελευταία λέξη της τεχνολογίας στα αποκεντρωμένα p2p δίκτυα, όπως το blockchain και το Inter-Planetary File System (IPFS), και ερευνούμε τους κινδύνους αυτών των τεχνολογιών στην ιδιωτικότητα σε σχέση με τις αρχές που ορίζονται στον Γ.Κ.Π.Δ.. Κατά κύριο λόγο, διερευνούμε την αποτελεσματική εναρμόνιση του IPFS με τις απαιτήσεις του Δικαιώματος στη Λήθη και προς αυτόν τον σκοπό προδιαγράφουμε με τυπικούς κανόνες ένα ανώνυμο και ασφαλές πρωτόκολλο εξουσιοδότησης για διαγραφή περιεχομένου. Για να αναπτύξουμε την επίδραση του Δικαιώματος στη Λήθη πάνω στα σύγχρονα πληροφοριακά συστήματα, αρχικά προσδιορίζουμε τις ποικίλες έννοιες της λήθης και της ανάγκης για λησμονιά - συμπεριλαμβανομένης και της περίπτωσης της ανάκλησης της συγκατάθεσης - τόσο σε κοινωνικό όσο και σε τεχνικό πλαίσιο. Στη συνέχεια, διερευνούμε τις προκλήσεις υλοποίησης του Δικαιώματος στη Λήθη στις οργανωτικές διεργασίες και τις τρέχουσες επιχειρησιακές πρακτικές όπως στις ήδη καθιερωμένες διαδικασίες εφεδρικών αντιγράφων και αρχειοθέτησης που προσδιορίζονται από τα σύγχρονα πρότυπα ασφάλειας. Με σκοπό την συμμόρφωση με τον Γ.Κ.Π.Δ., αξιολογούμε υφιστάμενες τεχνικές μεθόδους, πλαίσια και αρχιτεκτονικές – που υπάρχουν είτε σε επιχειρηματικά είτε σε ακαδημαϊκά περιβάλλοντα – ως προς την αντιμετώπιση των τεχνικών δυσκολιών για την αποτελεσματική ενσωμάτωση του Δικαιώματος στη Λήθη στις τρέχουσες υπολογιστικές υποδομές. Ακολούθως, αναγνωρίζουμε τους κινδύνους στην ιδιωτικότητα που τίθενται από τις τρέχουσες πρακτικές και έρευνα πάνω στην απανταχού παρούσα κινητή υπολογιστική - και ειδικότερα όταν αυτές συνδυάζονται με αλγοριθμικές επεξεργασίες big data για να συνάγουν ευαίσθητες προσωπικές λεπτομέρειες όπως κοινωνικές συμπεριφορές ή συναισθήματα – και συζητούμε τις επιπτώσεις τους στα άτομα βάσει του Γ.Κ.Π.Δ. και του Δικαιώματος στη Λήθη. Συγκεκριμένα, μελετούμε τους κινδύνους της κατάρτισης προφίλ (profiling) οι οποίοι αναλύονται περαιτέρω στο φορολογικό και οικονομικό πλαίσιο. Υπό αυτό το πρίσμα, εξετάζουμε τις εμφανιζόμενες τάσεις για λογοδοτούμενες αλγοριθμικές επεξεργασίες μηχανικής μάθησης (machine learning) και εξερευνούμε στρατηγικές για την αντιμετώπιση των κινδύνων που προέρχονται από επιθετικές μεθόδους κατάρτισης προφίλ και μεροληπτικές αυτοματοποιημένες αποφάσεις. Επιπλέον, αναζητούμε το βαθμό στον οποίο οι διατάξεις του Γ.Κ.Π.Δ. καθιερώνουν ένα καθεστώς προστασίας των ατόμων έναντι αυτών των κινδύνων, επισημαίνουμε δυνητικές παγίδες, και προτείνουμε εξειδικευμένα αντίμετρα για την συμμόρφωση με τον Γ.Κ.Π.Δ.. Στη συνέχεια, εμβαθύνουμε στον αντίκτυπο υλοποίησης των απαιτήσεων της λήθης σε αναπτυσσόμενες αποκεντρωμένες τεχνολογίες όπως το blockchain και το IPFS. Η ανάλυση μας φανερώνει ότι οι προκλήσεις εφαρμογής του Γ.Κ.Π.Δ., και συγκεκριμένα του Δικαιώματος στη Λήθη, δεν είναι ασήμαντες. Σε αυτό το πλαίσιο, ερευνούμε ενδελεχώς την ασυμβατότητα μεταξύ της αμετάβλητης φύσης του blockchain και των υποχρεώσεων διαγραφής που απορρέουν από το Δικαίωμα στη Λήθη, ενώ παράλληλα εξετάζουμε διεξοδικά τρέχουσες προηγμένες τεχνικές και μεθόδους κρυπτογράφησης για την εισαγωγή περιορισμένης μεταβλητότητας στο σχεδιασμό του blockchain. Ωστόσο, επειδή αυτές οι μέθοδοι παρουσιάζουν συγκεκριμένους περιορισμούς όταν εφαρμόζονται σε πραγματικά δημόσια blockchains για τα οποία δεν απαιτείται άδεια συμμετοχής (permissionless), άλλες εναλλακτικές που βασίζονται σε αποκεντρωμένες λύσεις αποθήκευσης αρχείων, όπως το IPFS, υιοθετούνται όλο και περισσότερο από πολλά έργα blockchain. Παρόλα αυτά, η αποθήκευση των πραγματικών αρχείων που περιέχουν προσωπικά δεδομένα στο δίκτυο IPFS δεν απαλλάσσει από την υποχρέωση της διαγραφής τους όταν εγερθεί το Δικαίωμα στη Λήθη. Για αυτό το λόγο, και δεδομένης της ευρείας αποδοχής του IPFS για την αποθήκευση προσωπικών δεδομένων εκτός του blockchain, μελετούμε το βαθμό στον οποίο το πρωτόκολλο IPFS συμμορφώνεται με τις απαιτήσεις διαγραφής του Γ.Κ.Π.Δ.. Όπως αποκαλύπτει η ανάλυση μας, το πρωτόκολλο IPFS δεν συνάδει ικανοποιητικά με το Δικαίωμα στη Λήθη αφού προς το παρόν δεν είναι δυνατόν να εφαρμοστεί αποτελεσματικά η διαγραφή των δεδομένων σε όλο το δίκτυο του. Η κύρια συνεισφορά μας στην επίλυση των αποκλίσεων μεταξύ του IPFS και του Δικαιώματος στη Λήθη είναι η επίσημη πρόταση ενός ανώνυμου πρωτοκόλλου για διαγραφή περιεχομένου κατ' εξουσιοδότηση. Το πρωτόκολλο αυτό μπορεί εύκολα να ενσωματωθεί στο IPFS έτσι ώστε να κατανείμει αποτελεσματικά και με ασφάλεια ένα αίτημα διαγραφής περιεχομένου μεταξύ όλων των IPFS κόμβων όταν ένα τέτοιο αίτημα διαγραφής βάσει του Δικαιώματος στη Λήθη χρειάζεται να ικανοποιηθεί. Το προτεινόμενο πρωτόκολλο συμμορφώνεται με την βασική αρχή του IPFS περί αποτροπής της λογοκρισίας, και για αυτό το σκοπό η διαγραφή επιτρέπεται μόνο από τον αρχικό πάροχο του περιεχομένου ή από τους αντιπροσώπους του. Το πρωτόκολλο ορίζεται τυπικά, και παρέχονται αποδείξεις της ασφάλειας του, καθώς και ένα σύνολο πειραμάτων που αποδεικνύουν την αποτελεσματικότητα του. Εξ όσων γνωρίζουμε, αυτή είναι η πρώτη - ανεξαρτήτως εφαρμογής (application-agnostic) - πρόταση για να εναρμονιστεί το IPFS με το Δικαίωμα στη Λήθη και να υποστηριχτεί η συμμόρφωση του με τον Γ.Κ.Π.Δ.. Ως εκ τούτου, πιστεύουμε ακράδαντα ότι η εργασία μας προσθέτει πραγματική αξία στο IPFS όσον αφορά τη βελτίωση της ιδιωτικότητας του και συνεπώς, συνεισφέρει εξαιρετικά στην μελλοντική του υιοθέτηση από εφαρμογές που επεξεργάζονται προσωπικά δεδομένα.