Twitter’ın eski güvenlik şefi Peiter “Mudge” Zatko’nun güvenlik, gizlilik ve veri koruma konularında (diğerlerinin yanı sıra) bir dizi caydırıcı iddiayı detaylandırdığı dün kamuoyuna açıklanan patlayıcı Twitter ihbar şikayeti, sosyal medya firmasının yerel yasalara uygunluğu konusunda bölgesel gözetim kurumlarını yanlış yönlendirdiğini veya yanlış yönlendirmeyi amaçladığını iddia ediyor.
AB’deki, İrlanda ve Fransa’daki iki ulusal veri koruma yetkilisi, TechCrunch’a ihbarcı şikayetini takip ettiklerini doğruladı.
Twitter’ın bloğun Genel Veri Koruma Yönetmeliği (GDPR) baş denetçisi olan ve daha önce Twitter için 550 bin dolar para cezasıyla sonuçlanan ayrı bir güvenlik olayıyla ilgili bir GDPR soruşturmasına öncülük eden İrlanda, şirketle “ilişki içinde” olduğunu söyledi. şikayetin etrafındaki reklamın uyanması.
“Medya hikayelerini okuyunca sorunların farkına vardık. [yesterday] ve konuyla ilgili Twitter ile görüştük, ”diyor düzenleyicinin komiser yardımcısı Graham Doyle.
Fransa’nın DPA’sı şikayette yer alan iddiaları araştırdığını söylerken.
“CNIL şu anda ABD’de yapılan şikayeti araştırıyor. Şu an için iddia edilen ihlallerin doğruluğunu onaylayacak veya reddedecek durumda değiliz” dedi. “Suçlamalar doğruysa, CNIL, uyulması emrine veya ihlallerin bulunması durumunda yaptırıma yol açabilecek kontroller yapabilir. İhlalin olmaması durumunda, prosedür sonlandırılacaktır.
Makine öğrenimi endişeleri
İrlanda’nın Veri Koruma Komisyonu (DPC) ve Fransa’nın ulusal eşdeğeri CNIL’in her ikisi de ‘Çamur raporunda’ alıntılandı – bir örnekte, Zatko’nun Twitter’ın eğitim için kullanılan veri kümeleriyle ilgili soruşturmalarla ilgili olarak onları yanlış yönlendirmeyi amaçladığına dair şüphesiyle ilgili olarak makine öğrenimi algoritmaları, şikayetin Twitter’ın FTC’yi bu konuda yıllar önce nasıl yanlış yönlendirdiğini iddia ettiğine benzer şekilde.
Şikayetin “birden fazla ülkede yanıltıcı düzenleyiciler” başlığı verilen bir bölümünde Zatko, FTC’nin Twitter’a makine öğrenimi modellerini oluşturmak için kullanılan eğitim materyali hakkında sorular sorduğunu iddia ediyor.
Twitter’ın stratejisinin (yöneticilerin “açıkça aldatıcı olduğunu kabul ettiğini” söylediği) FTC’ye talep edilenleri sağlamayı reddetmek olduğunu öne sürmeden önce, “Twitter, doğru cevapların şirketi kapsamlı telif hakkı / fikri mülkiyet ihlallerine dahil edeceğini anladı” diye devam ediyor. eğitim materyali ve bunun yerine “Twitter’ın uygun fikri mülkiyet haklarını elde edemediğini ortaya çıkarmayacak belirli modellere” yönlendirin.
İki Avrupalı düzenleyici, bu yıl benzer soruşturmalar yapmaya hazır olduklarını öne sürdüğü için devreye giriyor – ve bir Twitter çalışanı tarafından, şirketin daha önceki FTC’ye yanıt olarak uyguladığı taktiği kullanmayı denemeyi amaçladığını söylediğini söyledi. Mevzuat incelemesini raydan çıkarmak için konuyla ilgili soruşturmalar.
Şikayette, “2022’nin başlarında İrlanda-DPC ve Fransız-CNIL’in benzer sorular sorması bekleniyordu ve kıdemli bir gizlilik çalışanı Mudge’a Twitter’ın aynı aldatmaya girişeceğini söyledi.” “Mudge’ın Ocak ayında görevden alınmasından bu yana koşullar değişmediyse, Twitter’ın temel ürünlerinin birçoğunu çalıştırmaya devam etmesi büyük olasılıkla yasa dışıdır ve Twitter platformunun çoğunu veya tamamını kapatabilecek bir ihtiyati tedbire tabi olabilir.”
Ne İrlanda ne de Fransız gözlemcisi, yapılan belirli iddialarla ilgili sorulara yanıt vermedi. Bu nedenle, AB veri koruma kurumlarının, makine öğrenimi eğitim veri kümeleriyle ilgili olarak Twitter hakkında ne tür araştırmalar yapmış olabileceği veya yapmayı planladığı net değil.
Bir olasılık – ve belki de AB veri koruma yasasına göre en muhtemel olanı – Twitter’ın AI modellerini oluşturmak için işleme için uygun bir yasal temele sahip olmadan kişisel verileri işlediğine dair endişeleri veya şüpheleri olabilir.
Ayrı bir örnekte, tartışmalı yüz tanıma şirketi Clearview AI, son aylarda, yüz tanıma modellerini eğitmek için kişisel veri kullanımıyla bağlantılı olarak DPA’ların bir dizi bölgesel yaptırımıyla karşı karşıya kaldı. Bu durumda kişisel veriler – özçekimler/yüz biyometrisi – AB hukuku kapsamında en çok korunan ‘hassas’ veri sınıfı arasında yer alsa da, yani yasal işleme için en katı gereksinimleri taşır (ve Twitter’ın benzer şekilde hassas veri kullanıp kullanmadığı açık değildir). AI modellerini eğitmek için veri kümeleri).
Çerezler kontrolden mi çıktı?
Mudge şikayeti ayrıca, Fransız gözlemcinin Aralık 2021’de ilgili yasalara uyması için süreçlerini değiştirmesini emrettikten sonra, Twitter’ın CNIL’yi ayrı bir konuda – çerez işlevlerinin uygun olmayan şekilde ayrılmasıyla ilgili olarak – yanlış yönlendirdiğini doğrudan iddia ediyor.
Zatko, 2021’in 2./Ç 3. çeyreğine kadar Twitter’ın çerezleri nasıl dağıttığını ve bunların ne için kullanıldığını yeterince anlamadığını ve ayrıca Twitter çerezlerinin reklam izleme ve güvenlik oturumları gibi birden çok işlev için kullanıldığını iddia ediyor.
Şikayet, “Twitter’ın dünyanın birçok bölgesinde uluslararası veri gereksinimlerini ihlal ettiği açıktı” dedi.
Burada geçerli olan Avrupa Birliği veri koruma yasasının temel ilkelerinden biri ‘amaç sınırlamasıdır’ – yani kişisel verilerin toplandığı belirtilen (meşru) amaç için kullanılması gerektiği ilkesi; ve veriler için kullanılanlar paketlenmemelidir. Dolayısıyla Twitter, şikayetin iddia ettiği gibi pazarlama ve güvenlik gibi belirgin şekilde farklı amaçlar için çerez işlevini karıştırıyorsa, bu AB’de kendisi için net yasal sorunlar yaratacaktır.
Şikayete göre, CNIL Twitter’da bir çerez işlevi sorununun haberini aldı ve şirkete, muhtemelen AB’nin eGizlilik Yönergesi (çerezler gibi izleme teknolojilerinin kullanımını düzenleyen) kapsamındaki yetkinliğine dayanarak, geçen yılın sonunda düzeltmesini emretti.
Zatko, Twitter’daki yeni bir gizlilik mühendisliği ekibinin, “bir tür kullanıcı seçimine ve kontrolüne” izin vermek için çerez işlevini çözmek için “yorulmadan” çalıştığını yazıyor – örneğin, izleme çerezlerini reddetmek, ancak güvenlikle ilgili çerezleri kabul etmek – olduğu gibi AB hukukuna göre gerekli. Ve bu düzeltmenin 31 Aralık 2021’de yalnızca Fransa’da yayınlandığını, ancak Twitter’ın bir sorunla karşılaşmasının ardından hemen geri alındığını ve devre dışı bırakıldığını söylüyor. test ortamı.
Ancak hatanın “birkaç saat içinde” düzeltildiğini yazarken, Twitter ürününün ve yasal karar vericilerin, Fransız kullanıcılardan maksimum kâr elde etmek için 31 Ocak 2021’e kadar bir ay daha yayınlamayı engellediğini iddia ediyor. düzeltmeyi yayınlamadan önce ”.
Şikayette ayrıca, “Mudge, yöneticilere, bunun kullanıcı gizliliği ve yasal veri gizliliği gereksinimleri yerine artan kârlara öncelik verme çabasından başka bir şey olduğunu iddia etmelerine meydan okudu” ve ekliyor: “Bu toplantıdaki üst düzey liderler, Mudge’ın doğru olduğunu itiraf etti.”
Zatko, Twitter’ın “tüm çerezlerin tanım gereği kritik ve gerekli olduğunu iddia etmeye çalıştıklarını, çünkü platformun reklamlar tarafından desteklendiğini” iddia ederek “proaktif” yasal işlem başlattığını iddia ediyor. iç konuşmalarda ürün personelinin argümanın “yanlış ve kötü niyetle yapılmış” olduğunu söylediğini duydu.
İhbarcının raporunun atıfta bulunulan bölümlerinde atıfta bulunulan belirli iddialara yanıt verilmesi için Twitter ile iletişime geçildi, ancak yazı yazılırken yanıt verilmedi. Ancak şirket, dün Mudge raporuna genel bir yanıt verdi – şikayeti, aynı zamanda “tutarsızlıklar ve yanlışlıklarla dolu” olduğunu iddia ettiği, hoşnutsuz eski bir çalışanın “yanlış anlatısı” olarak reddetti.
Ne olursa olsun, ihbarcı şikayeti, Twitter’ın iddialarının yeni düzenleyici incelemesini şimdiden ateşledi.
Düzenleyiciler, Mudge’ın şikayetini takip ettikten sonra bölgesel gereklilikleri ihlal ettiğine – daha yakından incelemeye – karar verirse, şirketin AB’de ne gibi cezalarla karşılaşabileceği açık değil.
GDPR, yıllık küresel cironun %4’üne kadar ölçeklenen cezalara izin veriyor – ancak Twitter’ın güvenlikle ilgili ayrı bir ihlal için önceki GDPR cezası bunun çok gerisinde kaldı. Bununla birlikte, yaptırımların herhangi bir ihlalin ölçeğini ve kapsamını (ve aslında niyetini) hesaba katması gerekir – ve Mudge tarafından iddia edilen kapsamlı başarısızlıklar – resmi düzenleyici soruşturma tarafından onaylanırsa – sonunda çok daha önemli bir cezaya yol açabilir.
CNIL’e Twitter’ın çerezlerini düzenleme yetkisi veren eGizlilik Yönergesi, DPA’lara “etkili, orantılı ve caydırıcı” yaptırımlar uygulama yetkisi verir – bu nedenle, bir para cezasının haklı olduğunu kabul ederse, bunun zorlu mali terimlerle ne anlama gelebileceğini tahmin etmek zordur. Ancak son yıllarda Fransız bekçi köpeği, çerezle ilgili hatalar için teknoloji devlerine bir dizi multi-milyon dolarlık para cezası verdi.
Bu, Google için iki büyük cezayı içeriyor – Ocak ayında aldatıcı çerez izin afişleri nedeniyle 170 milyon dolarlık bir para cezası; ve Ocak ayında Facebook için 68 milyon dolar (aldatıcı çerezler için de) ve 2020’nin sonunda Amazon için 42 milyon dolar ve ayrıca izleme çerezlerini izinsiz bırakmak.