Questo fondatore di startup vede una privacy dei dati all’orizzonte
Patricia Thaine è una giovane fondatrice di una startup, Private AI, una startup con sede a Toronto e Berlino che crea una suite di strumenti per la privacy che semplificano il rispetto delle normative sulla protezione dei dati, mitigano le minacce alla sicurezza informatica e mantengono la fiducia dei clienti. Mi sono seduto con Patricia per discutere lo stato della privacy, come siamo arrivati qui, se la privacy come impostazione predefinita diventa la norma e come l’IA privata consentirà una mentalità sulla privacy tra le aziende.
Il 2020 e l’inizio di questo nuovo anno sono testimoni di eventi che hanno costretto la comunità globale a liberarsi finalmente dell’autocompiacimento dell’ultimo decennio e ad abbracciare l’inevitabile. Una pandemia ha accelerato le previsioni di lunga data sul futuro del lavoro e la crescente gig economy, l’interruzione dell’istruzione superiore e il passaggio all’apprendimento online.
Ciò che si è anche concretizzato sono le opportunità tecnologiche simultanee per sorvegliare un virus per aiutare a mitigarne la diffusione. Inoltre, nel settore dell’istruzione, Covid-19 ha accelerato l’adozione di soluzioni di apprendimento remoto, piattaforme di videoconferenza e strumenti che fungerebbero da proxy per valutare il coinvolgimento degli studenti e le capacità di apprendimento. L’aumento della domanda di dati per guidare le decisioni critiche, soprattutto in un periodo di incertezza, ha anche determinato un livello di preoccupazione dei consumatori che non abbiamo mai visto prima.
La privacy dei dati sta diventando mainstream e il pubblico è diventato sempre più consapevole delle minacce di sorveglianza in sospeso nelle nostre vite remote e degli stigmi associati al monitoraggio della posizione e dei comportamenti nei tentativi giustificati di anticipare un virus. Questa crescente preoccupazione per la privacy ha rivelato una corrente sotterranea di professionisti della privacy, innovatori e tecnologi, tutti in attesa che l’altra scarpa cada. Il 2020 era quell’anno.
Thaine concorda sul fatto che la privacy è stata al centro degli ultimi mesi e il pubblico è più preoccupato. Covid ha introdotto la tecnologia di tracciamento dei contatti che, in molti primi casi, si basava sulla posizione per determinare il movimento del virus. Governi come India e Regno Unito hanno autorizzato download obbligatori; tracciamento della posizione ogni 15 minuti, mentre il governo si è assolto dalla responsabilità. Nel giro di pochi mesi sono state introdotte versioni più recenti delle applicazioni di notifica dell’esposizione, tuttavia è emersa una crescente apprensione quando la specifica dello scopo non era chiara oltre a quanto rivelato, così come la mancanza di chiarezza riguardo alla minimizzazione dei dati, alla condivisione dei dati e al rischio di reidentificazione.
Thaine, un dottorato in informatica Candidato presso l’Università di Toronto e affiliato post-laurea presso il Vector Institute, la cui ricerca si concentra sull’elaborazione del linguaggio naturale che preserva la privacy e sulla crittografia applicata, sottolinea questo ambiente per armare urgentemente i responsabili delle decisioni a prendere decisioni rapide con l’aiuto della tecnologia ha dividere i consumatori in più gruppi….
“Penso che ci siano quelli 1) che non sono a conoscenza del tipo di informazioni che possono essere raccolte e che possono vederle; 2) ci sono anche gli ottimisti che pensano che la democrazia sia incrollabile e che di conseguenza non c’è nulla di cui preoccuparsi, e infine, 3) i pessimisti che pensano che non c’è niente che possiamo fare comunque, quindi potremmo anche non provarci . “
C’è così tanto rumore là fuori e così tante informazioni. Penso che Ann Cavoukian faccia un lavoro fantastico nel far capire il punto perché scompone le informazioni nei suoi pezzi essenziali e li ripete finché i punti non vengono trasmessi. E funziona! Mantenere le cose chiare, accessibili e concrete è la cosa migliore che possiamo fare come comunità per ottenere persone altrimenti impegnate che sono inondate di informazioni su più di un argomento importante a cui prestare attenzione. Che indirizzi (1) e forse (2). Per (3), man mano che le tecnologie per la privacy avanzano e le normative sulla protezione dei dati iniziano ad avere un impatto sempre maggiore, la disperazione da (3) potrebbe trasformarsi in speranza “.
Il Canada ha una delle legislazioni sulla privacy più rigide, molto più allineata al Regolamento europeo sulla protezione dei dati generali. Più di recente, il governo federale canadese ha rivisto le sue attuali normative sulla privacy in quello che ora è noto come Consumer Privacy Protection Act (CPPA), che rende le aziende più responsabili finanziariamente per la non conformità. Thaine affronta sia il California Consumer Privacy Act (CCPA) che il CPPA canadese come due campanelli d’allarme che rendono i consumatori più consapevoli dei rischi che le diverse tecnologie disponibili sul mercato possono comportare per la loro privacy.
“Il GDPR richiede che tutte le aziende che servono i cittadini dell’UE siano conformi. La mia più grande lamentela contro il California Consumer Privacy Act (CCPA) è che le uniche aziende che devono conformarsi al regolamento sono quelle con un reddito lordo annuo superiore a $ 25 milioni, che ricevono o divulgano le informazioni personali di 50.000 o più residenti in California, famiglie o dispositivi ogni anno o il cui reddito annuo è pari o superiore al 50% derivante dalla vendita di informazioni personali dei residenti in California. A mio parere, ciò non incoraggia la privacy in base alla progettazione delle aziende che stanno creando i loro prodotti principali e, alla fine, si affretteranno a riadattare la loro tecnologia una volta che saranno abbastanza grandi da dover rispettare il CCPA. Il California Privacy Rights Act (CPRA) commette lo stesso errore, con alcune modifiche rispetto a chi si applica la legge, tuttavia, non è una legge generale per qualsiasi azienda che fa affari in California, quindi incentiva le aziende a considerare la privacy un ripensamento … dopo che sono cresciute, hanno ricevuto ampi finanziamenti e ora sono in grado di assumere le persone giuste. Non riesco a vedere come ciò non porterà a molte organizzazioni che si affrettano a conformarsi attraverso un mosaico inadeguato. Il Consumer Privacy Protection Act (CPPA) canadese, d’altra parte, sembra che si applicherà a tutte le aziende. Non c’è davvero molto che posso dire con certezza sul CPPA, dal momento che è ancora in fase di redazione. ha ricevuto ampi finanziamenti e ora è in grado di assumere le persone giuste. Non riesco a vedere come ciò non porterà a molte organizzazioni che si affrettano a conformarsi attraverso un mosaico inadeguato. Il Consumer Privacy Protection Act (CPPA) canadese, d’altra parte, sembra che si applicherà a tutte le aziende. Non c’è davvero molto che posso dire con certezza sul CPPA, dal momento che è ancora in fase di redazione. ricevuto ampi finanziamenti e ora sono in grado di assumere le persone giuste. Non riesco a vedere come ciò non porterà a molte organizzazioni che si affrettano a conformarsi attraverso un mosaico inadeguato. Il Consumer Privacy Protection Act (CPPA) canadese, d’altra parte, sembra che si applicherà a tutte le aziende. Non c’è davvero molto che posso dire con certezza sul CPPA, dal momento che è ancora in fase di redazione.
Ciò che è chiaro è che il CPPA canadese proposto ha i denti di cui ha bisogno per far sì che le aziende si siedano e prendano nota, ma potrebbe non andare abbastanza lontano. Tuttavia, la tecnologia deve essere all’avanguardia di fronte alla legislazione in ritardo, quindi forse, nel frattempo, l’intersezione tra legislazione e tecnologia della privacy è la risposta. Thaine sottolinea la consapevolezza comune che noi, come società, abbiamo scambiato la privacy per comodità. Per questo motivo, mantiene le leggi che ora guidano l’innovazione nello spazio della privacy, il che ci consentirà di mantenere il livello di comodità che i consumatori si aspettano, ma con aspettative molto più elevate sui diritti alla privacy. Questo non può avvenire senza una continua e significativa innovazione tecnologica.
L’uso etico delle informazioni da parte delle aziende tecnologiche sarà limitato se avremo la privacy come base? Thaine ha fatto riferimento alla definizione di privacy del GDPR nella sua risposta:
“… dice:” privacy dei dati significa consentire ai tuoi utenti di prendere le proprie decisioni su chi può elaborare i loro dati e per quale scopo. ” Se agli utenti viene detto onestamente per cosa vengono utilizzati i loro dati in modo completo; danno il consenso positivo e hanno la possibilità di utilizzare un servizio senza fornire il consenso per qualcosa con cui non si sentono a proprio agio: questo è un ottimo elemento fondamentale per l’uso etico dei dati. Ma non è l’unico pezzo. Gli esseri umani non sono punti dati indipendenti e distribuiti in modo identico. Se ti concedo l’accesso ai miei dati personali che potrebbero inavvertitamente influenzare mio figlio, ad esempio, ecco il mio DNA da conservare e utilizzare per sempre come desideri. Il mio DNA è anche i dati personali di mio figlio? Avrebbe avuto la possibilità di revocare il consenso?
Si pone la questione dell’inclusione di deleghe di dati e trasferimento dei diritti sui dati, allo stesso modo in cui i beni vengono lasciati in eredità nei testamenti o tramite procura. La gestione dei dati come risorsa individuale deve ancora essere pensata se l’individuo dovesse continuare a ricevere la comodità che i suoi dati offrono mentre ne ha il pieno controllo.
La preoccupazione maggiore è se la legislazione imminente renderà sempre più difficile operare senza incorporare la privacy nelle tecnologie esistenti, farlo comporterà costi e difficoltà enormi. Thaine aggiunge,
Hai bisogno di una formazione in apprendimento automatico e privacy o in crittografia omomorfica, calcolo sicuro multipartitico, privacy differenziale, ecc. Il talento in queste aree è raro e costoso da assumere. Ed è difficile trovare soluzioni generalizzabili a più problemi. Ecco perché abbiamo deciso di creare un’IA privata. Con la nostra tecnologia, le aziende, piccole e grandi, possono oscurare o identificare i dati personali all’interno del tipo di dati più difficile da analizzare: testo, immagini e video non strutturati. Ciò significa che non devono archiviare dati personali quando non ne hanno bisogno, anche se hanno a che fare con enormi quantità di trascrizioni di chiamate, ad esempio. Significa anche che possono essere più selettivi sui tipi di informazioni che i diversi dipendenti vedono. E anche, cosa importante, possono tenere traccia di dove nei loro sistemi si trovano i dati personali. Ciò rende molto più semplice sapere dove potrebbero esserci vulnerabilità di sicurezza e dove è necessario mettere in atto protezioni più rigorose.
L’accessibilità per le piccole imprese era importante per Thaine e il suo team ha deciso di offrire una suite di prodotti che include la deidentificazione di testo, immagini e video che può essere integrata con solo tre righe di codice in qualsiasi pipeline software.
L’idea per la deidentificazione come servizio è iniziata con alcune ipotesi dolorose che l’elaborazione del linguaggio naturale potrebbe aiutare a risolvere,
“Mentre lavoravamo attraverso lo stack tecnologico che le soluzioni avrebbero richiesto per preservare la privacy, ci siamo resi conto che non c’era modo che qualcuno senza il nostro background di privacy potesse integrare la privacy nelle proprie app, estensioni del browser o implementazioni di cloud privato o in sede. Dato che quella era una parte del prodotto che stavamo per realizzare, abbiamo deciso di commercializzarlo dopo aver parlato con sviluppatori di software, manager e VC come David Dorsey per scoprire quali problemi stavano vedendo nello spazio della privacy che dovevano essere risolti “.
Per Thaine, l’uso della tecnologia di Private AI significava consentire il rilevamento dove si trovavano le informazioni di identificazione personale (PII) e le informazioni quasi identificabili. Hanno fornito la possibilità di oscurare tali informazioni in modo che i dati personali potessero rimanere senza compromessi in caso di violazione dei dati o per conformità normativa.
“Uno dei nostri clienti è una società di salute mentale, Animo AI , che cancella i dati personali dai messaggi slack prima ancora che i dati raggiungano i loro server. Il punto è duplice: (1) impedire ai propri dipendenti di vedere informazioni identificabili se hanno bisogno di eseguire il debug e (2) addestrare i loro modelli in modo tale che non memorizzino le informazioni personali e diventino vulnerabili all’inferenza del modello attacchi. Gli attacchi di inferenza del modello sono essenzialmente un modo per una parte malintenzionata di acquisire la conoscenza delle informazioni su cui è stato addestrato il modello “.
Private AI collabora anche con Legal Data Innovation Institute (LIDI) per anonimizzare le trascrizioni dei tribunali dei dati degli imputati. Queste trascrizioni, se si accede una alla volta o poche alla volta, sono visualizzabili pubblicamente. Tuttavia, un enorme database non è stato reso disponibile a causa di problemi di privacy, in particolare, la preoccupazione che l’IA possa creare automaticamente profili di imputati e testimoni. Afferma Thaine,
La mancanza di un ampio set di dati di documenti giudiziari rende molto difficile fare ricerche e calcolare statistiche sui casi giudiziari canadesi, il che significa che qualsiasi problema sistemico è difficile da svelare! LIDI sta risolvendo quel problema.
Ci viene anche richiesta la redazione della trascrizione, dove è richiesta una precisione molto elevata. Le trascrizioni delle chiamate contengono dati incredibilmente utili e aiutiamo a garantire che non contengano informazioni che possono mettere a rischio chiunque stia archiviando i dati.
La tecnologia di Private AI può anche essere integrata nei sistemi di gestione della rete per consentire un controllo degli accessi più dettagliato. Non tutte le attività richiedono la visualizzazione di informazioni sensibili da un documento.
Aumentare la consapevolezza del pubblico e montare la legislazione sono incentivi che aumentano le probabilità che le aziende integrino la tecnologia della privacy. Thaine è d’accordo,
La tecnologia è finalmente al livello che doveva essere perché ci fosse eccitazione intorno ad essa. Nessuno si eccita per il 70% + accuratezza della redazione. Ma quando inizi a raggiungere i numeri che possiamo raggiungere per il rilevamento delle PII nel dominio, è allora che gli occhi si aprono ed è così soddisfacente da vedere!
Se Covid-19 è solo la punta dell’iceberg, inizieremo a vedere più pandemie all’orizzonte e avremo a che fare con una nuova normalità che integra soluzioni di mobilità legate allo stato di malattia e al diritto di passaggio. È logico che la privacy sarà automaticamente incorporata in queste soluzioni. Thaine osserva che questo non dovrebbe essere discusso. La combinazione di informazioni sanitarie altamente sensibili e mobilità richiede soluzioni più private e sicure, rendendo i dati informativi. La mancata integrazione della privacy creerà una ” gigantesca vulnerabilità di sicurezza per la popolazione “
Thaine vede la punizione tra i consumatori svegli.
“Lo abbiamo visto molto durante questa pandemia, anche nella misura in cui molti si rifiutano persino di utilizzare app che tutelano legittimamente la privacy (ad esempio, l’avviso COVID del Canada) perché non si fidano dell’app. Questo è un ottimo esempio di ciò che accade una volta violata la fiducia: è così difficile riconquistare. E questo è dannoso non solo per l’azienda o il governo che ha violato la fiducia in primo luogo. Oscura il mondo con una nebbia di sfiducia. Questo è un altro motivo per cui rigide normative sulla privacy che siano applicabili e applicate sono così importanti: dobbiamo ricreare un ecosistema che ripristini la fiducia nella tecnologia. Stiamo facendo magia! Dovrebbe essere la magia che eccita le persone, non l’ansia e la paura. “
Questa evoluzione dal design incentrato sul consumatore, dove sappiamo tutto del consumatore, verso un design incentrato sull’uomo , dove l’individuo è parte del processo e detta la sua esperienza con il pieno controllo e il consenso delle sue informazioni è appena iniziata. Mentre l’onere è sempre stato sulle persone di portare l’onere di comprendere il lungo legalese e acconsentire a pratiche di dati che includevano la condivisione e la vendita di dati opachi, sta emergendo un nuovo mercato che pone la responsabilità sulle spalle delle aziende.
Si prevede che il mercato globale delle applicazioni per la privacy crescerà a un CAGR del 16,2 % tra il 2018 e il 2023. Le nuove soluzioni software per la privacy devono essere al passo con il “panorama della regolamentazione della privacy in continua evoluzione”. La tecnologia per la privacy come base per tutte le attività commerciali è la panacea, ma per Thaine procede con cauto ottimismo:
“Ci sta arrivando, ma di certo non è ancora arrivato. Può ancora essere costoso creare una tecnologia per la conservazione della privacy specifica per l’attività. Di solito sono necessari esperti interni o un’azienda specializzata per intervenire e aiutare. Ecco perché, in Private AI, stiamo cercando di risolvere questo problema concentrandoci sui seguenti 3 tenant principali: facilità di integrazione, efficienza e precisione. È così che intendiamo aiutare la privacy a diventare onnipresente “.
Se questa sia una tendenza o se sia arrivata la privacy dei dati è ancora da determinare. Le previsioni di mercato, tuttavia, indicano che la privacy dei dati è un’attività redditizia e forse un movimento che porta le organizzazioni un passo avanti verso la ricostruzione della fiducia dei consumatori.