چالش‌های حقوقی حفاظت از داده‌ها در عصر هوش مصنوعی: مقایسه GDPR اروپا و رویکرد آمریکا

چکیده

این مقاله به بررسی اهمیت فزاینده حفاظت از داده‌ها در دنیای امروز می‌پردازد، دنیایی که هوش مصنوعی (AI) نقش محوری در پردازش اطلاعات شخصی افراد ایفا می‌کند. ما توضیح می‌دهیم که چرا قوانین حفاظت از داده، به‌خصوص مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR)، به یک استاندارد جهانی تبدیل شده‌اند و چگونه با قوانین ایالات متحده که رویکردی متفاوت و پراکنده‌تر دارند، مقایسه می‌شوند. تمرکز اصلی بر روی چالش‌هایی است که هوش مصنوعی برای اصول کلیدی حفاظت از داده‌ها مانند «هدف‌مندی»، «حداقل‌سازی داده‌ها»، «شفافیت» و «حق توضیح» در تصمیم‌گیری‌های خودکار ایجاد می‌کند.

در این مطلب به زبان ساده توضیح می‌دهیم که چگونه GDPR تلاش می‌کند تا با الزاماتی مانند «حفاظت از داده‌ها به‌صورت پیش‌فرض» و ارزیابی تأثیرات حفاظت از داده (DPIA)، این چالش‌ها را مدیریت کند. همچنین به ابهاماتی که در مورد تعیین «کنترل‌کننده داده» در سیستم‌های هوش مصنوعی وجود دارد، می‌پردازیم. در مقابل، رویکرد ایالات متحده را که بیشتر بر قوانین ایالتی و مفهوم «انتظار منطقی از حریم خصوصی» استوار است، بررسی کرده و چالش‌های آن، به‌ویژه «دکترین شخص ثالث» در عصر دیجیتال را تشریح می‌کنیم. در نهایت، به نقاط تلاقی این دو سیستم، مانند قوانین حمایت از مصرف‌کننده و استفاده از اقدامات جمعی (Class Actions) به عنوان ابزاری برای جبران خسارات ناشی از نقض داده‌ها، اشاره می‌کنیم و نتیجه می‌گیریم که درک این تفاوت‌ها و شباهت‌ها برای هر حقوق‌دانی که با مسائل ناشی از فناوری‌های نوین سروکار دارد، ضروری است.

مقدمه: چرا حفاظت از داده‌ها و هوش مصنوعی برای حقوق‌دانان اهمیت دارد؟

در دنیای امروز، هوش مصنوعی بخشی جدایی‌ناپذیر از زندگی روزمره و فعالیت‌های تجاری شده است. از دستیارهای صوتی هوشمند در خانه‌ها گرفته تا الگوریتم‌هایی که تصمیمات مهمی در مورد استخدام، اعتبار سنجی مالی یا حتی تشخیص پزشکی می‌گیرند، هوش مصنوعی همه‌جا حضور دارد. اما سوخت اصلی این ماشین‌های هوشمند، «داده» است و بخش عظیمی از این داده‌ها، اطلاعات شخصی افراد حقیقی است. نام، آدرس، اطلاعات تماس، سوابق پزشکی، علایق، رفتار آنلاین و حتی ویژگی‌های بیومتریک ما، همگی می‌توانند توسط سیستم‌های هوش مصنوعی جمع‌آوری، تحلیل و برای اهداف مختلف استفاده شوند. اینجاست که پای «حقوق حفاظت از داده‌ها» به میان می‌آید؛ شاخه‌ای از حقوق که هدفش حمایت از افراد در برابر سوءاستفاده یا استفاده نادرست از اطلاعات شخصی‌شان است.

اهمیت این موضوع برای حقوق‌دانان، صرف‌نظر از حوزه تخصصی‌شان، روزبه‌روز بیشتر می‌شود. چون هوش مصنوعی مرزهای سنتی حقوق را جابجا می‌کند. یک وکیل خانواده ممکن است با پرونده‌ای مواجه شود که در آن، اطلاعات جمع‌آوری‌شده توسط دستگاه‌های هوشمند خانگی به عنوان مدرک استفاده شده باشد. یک وکیل تجاری باید به شرکت‌ها در مورد تعهدات قانونی‌شان هنگام استفاده از هوش مصنوعی برای تحلیل داده‌های مشتریان مشاوره دهد. وکلای حوزه کار باید بدانند که الگوریتم‌های استخدام چگونه می‌توانند منجر به تبعیض ناروا شوند و چه حقوقی برای کارجویان و کارمندان در این زمینه وجود دارد. حتی وکلای کیفری نیز با چالش‌های جدیدی روبرو هستند، از استفاده پلیس از سیستم‌های تشخیص چهره مبتنی بر هوش مصنوعی گرفته تا تحلیل داده‌ها برای پیش‌بینی جرم. بنابراین، درک اصول اولیه حفاظت از داده‌ها و نحوه تأثیرگذاری هوش مصنوعی بر این اصول، دیگر یک دانش تخصصی نیست، بلکه به یک ضرورت برای همه فعالان عرصه حقوق تبدیل شده است.

هدف اصلی این مقاله، برداشتن گامی در جهت ساده‌سازی این مفاهیم پیچیده است. ما تلاش می‌کنیم تا با زبانی روان و کاربردی، به سؤالات اساسی در این زمینه پاسخ دهیم: قوانین کلیدی حفاظت از داده‌ها در جهان (با تمرکز بر اتحادیه اروپا و آمریکا) چه می‌گویند؟ هوش مصنوعی چگونه این قوانین را به چالش می‌کشد؟ چه تفاوت‌ها و شباهت‌هایی بین رویکردهای حقوقی مختلف وجود دارد؟ و مهم‌تر از همه، یک حقوق‌دان چگونه می‌تواند با درک این مسائل، خدمات بهتری به موکلان خود ارائه دهد و از حقوق افراد در این عصر نوین فناوری محافظت کند؟

 چرا حفاظت از داده‌ها در عصر هوش مصنوعی مهم است؟

اولین دلیلی که باعث می‌شود حفاظت از داده‌ها در بحث هوش مصنوعی اهمیت پیدا کند، این است که هوش مصنوعی اساساً با داده‌ها کار می‌کند و این داده‌ها اغلب شامل “اطلاعات شخصی” افراد هستند. مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR) که یکی از مهم‌ترین قوانین در این زمینه است، تعریف بسیار گسترده‌ای از اطلاعات شخصی ارائه می‌دهد. این تعریف فقط شامل نام و نام خانوادگی یا شماره شناسایی نمی‌شود، بلکه مواردی مانند آدرس IP کامپیوتر، داده‌های مکانی (لوکیشن)، شناسه‌های آنلاین (مثل کوکی‌ها) و حتی اطلاعاتی که به ویژگی‌های فیزیکی، ژنتیکی، ذهنی، اقتصادی، فرهنگی یا اجتماعی یک فرد مربوط می‌شود را نیز در بر می‌گیرد. حتی دادگاه اروپایی حکم داده که در شرایط خاص، آدرس IP هم می‌تواند داده شخصی محسوب شود. وقتی یک سیستم هوش مصنوعی، مثلاً یک الگوریتم پیشنهاد دهنده محصول در یک فروشگاه آنلاین، رفتار خرید شما را تحلیل می‌کند، یا یک سیستم تشخیص چهره، تصویر شما را پردازش می‌کند، در حال پردازش داده‌های شخصی شماست و بنابراین، باید از قوانین حفاظت از داده‌ها پیروی کند.

دومین دلیل اهمیت این بحث، جایگاه ویژه قوانین اتحادیه اروپا، به‌خصوص GDPR، به عنوان یک الگو و مرجع جهانی است. GDPR یک قانون جامع و تقریباً فراگیر است که استانداردهای بالایی را برای حفاظت از داده‌های شخصی تعیین کرده است. بسیاری از کشورهای دیگر در سراسر جهان، یا قوانینی مشابه GDPR وضع کرده‌اند یا در حال حرکت به این سمت هستند. به عنوان مثال، اتحادیه اروپا سیستم حفاظت از داده‌های ژاپن را معادل خود شناخته و این امر باعث ایجاد بزرگترین منطقه جریان آزاد و امن داده‌ها در جهان شده است. این نشان می‌دهد که حتی اگر یک شرکت یا یک سیستم هوش مصنوعی در کشوری خارج از اتحادیه اروپا فعالیت کند، اما با داده‌های شهروندان اروپایی سروکار داشته باشد، یا بخواهد با شرکت‌های اروپایی تبادل داده داشته باشد، احتمالاً باید استانداردهای مشابه GDPR را رعایت کند. این یعنی درک GDPR دیگر فقط برای حقوق‌دانان اروپایی مهم نیست، بلکه به یک دانش کلیدی در سطح بین‌المللی تبدیل شده است.

بنابراین، مطالعه حفاظت از داده‌ها به ما کمک می‌کند تا بفهمیم که سیستم‌های هوش مصنوعی چگونه با یکی از اساسی‌ترین حقوق انسان‌ها، یعنی حق حریم خصوصی و کنترل بر اطلاعات شخصی، تعامل دارند. این قوانین چارچوبی را فراهم می‌کنند که بر اساس آن می‌توانیم الزامات قانونی و اخلاقی را که توسعه‌دهندگان و استفاده‌کنندگان از هوش مصنوعی باید رعایت کنند، ارزیابی کنیم. درک این چارچوب، به حقوق‌دانان کمک می‌کند تا بتوانند ریسک‌های حقوقی مرتبط با استفاده از هوش مصنوعی را شناسایی کرده، به موکلان خود مشاوره مناسب ارائه دهند و در صورت لزوم، از حقوق افرادی که داده‌هایشان پردازش می‌شود، دفاع کنند.

نگاه اتحادیه اروپا به حفاظت از داده‌ها: GDPR به زبان ساده

مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR) که از سال ۲۰۱۶ اجرایی شده، سنگ بنای رویکرد این اتحادیه به حفاظت از داده‌هاست. این قانون بر پایه اصولی بنا شده که هدفشان تضمین شفافیت، کنترل و امنیت در پردازش اطلاعات شخصی افراد است. یکی از مهم‌ترین این اصول، «شفافیت» است. افراد حق دارند بدانند چه کسی (کنترل‌کننده داده)، چرا (هدف پردازش) و چگونه اطلاعات شخصی آن‌ها را جمع‌آوری و استفاده می‌کند. همچنین کاربران حق «دسترسی» به داده‌های خود و در صورت لزوم، حق «اصلاح» اطلاعات نادرست را دارند. GDPR تأکید می‌کند که پردازش داده‌ها باید «منصفانه» و بر اساس یک مبنای قانونی مشخص، مانند «رضایت» آگاهانه فرد یا وجود یک «منفعت مشروع» دیگر که در قانون پیش‌بینی شده، انجام شود.

اصول دیگری نیز در GDPR وجود دارند که جریان اطلاعات را محدود کرده و از حقوق افراد محافظت می‌کنند. اصل محدودیت هدف (Finality) می‌گوید که داده‌ها باید برای اهداف مشخص، صریح و مشروع جمع‌آوری شوند و نمی‌توان از آن‌ها برای اهداف ناسازگار با هدف اولیه استفاده کرد. اصل حداقل‌سازی داده‌ها (Minimization) بیان می‌کند که فقط باید داده‌هایی جمع‌آوری و پردازش شوند که برای رسیدن به هدف مورد نظر، «ضروری»، «مرتبط» و «کافی» هستند. اصول دقت (Accuracy)، محدودیت نگهداری (Storage Limitation) و یکپارچگی و محرمانگی  (Integrity and Confidentiality) نیز به ترتیب بر لزوم صحیح بودن داده‌ها، نگهداری آن‌ها فقط تا زمانی که لازم است و حفاظت از آن‌ها در برابر دسترسی غیرمجاز یا از بین رفتن، تأکید دارند. در کنار این‌ها، اصل مهم پاسخگویی (Accountability) قرار دارد که کنترل‌کننده داده را موظف می‌کند تا بتواند رعایت تمام این اصول را اثبات کند.

ریشه این رویکرد را می‌توان در مفهوم «حق تعیین سرنوشت اطلاعاتیInformational Self-determination یافت که اولین بار توسط دادگاه قانون اساسی آلمان مطرح شد. این مفهوم به افراد این حق را می‌دهد که اصولاً خودشان تصمیم بگیرند چه اطلاعاتی از آن‌ها، چه زمانی و توسط چه کسی می‌تواند جمع‌آوری، استفاده و به دیگران منتقل شود. GDPR این حق را از طریق مجموعه‌ای از حقوق فردی تقویت می‌کند: حق دسترسی به داده‌ها، حق اصلاح، حق «پاک شدن داده‌ها» که به «حق فراموش شدن» هم معروف است، حق محدود کردن پردازش، حق «قابلیت انتقال داده‌ها» (انتقال داده‌ها به یک سرویس‌دهنده دیگر) و حق «اعتراض» به پردازش داده‌ها در شرایط خاص. این حقوق با تعهدات کلی کنترل‌کنندگان و پردازش‌کنندگان داده مانند لزوم اتخاذ تدابیر امنیتی مناسب، گزارش موارد نقض داده و در برخی موارد، تعیین یک مسئول حفاظت از داده یا DPO تکمیل می‌شوند و اجرای آن‌ها توسط مقامات نظارتی مستقل در هر کشور عضو اتحادیه اروپا، تضمین می‌شود.

چالش‌های GDPR در مواجهه با هوش مصنوعی (بخش اول: اهداف و حداقل‌سازی)

دو اصل کلیدی GDPR، یعنی «محدودیت هدف» و «حداقل‌سازی جمع‌آوری داده‌ها»، در مواجهه با سیستم‌های هوش مصنوعی، به‌ویژه آن‌هایی که از یادگیری ماشین (Machine Learning) استفاده می‌کنند، با چالش‌های جدی روبرو می‌شوند. اصل محدودیت هدف می‌گوید که شما باید قبل از جمع‌آوری داده‌ها، هدف مشخص، صریح و مشروعی برای این کار داشته باشید و افراد را از این هدف مطلع کنید. اما در مورد بسیاری از سیستم‌های هوش مصنوعی، به‌خصوص در مراحل اولیه توسعه و آموزش، هدف نهایی ممکن است کاملاً مشخص نباشد یا در طول زمان تغییر کند. الگوریتم‌های یادگیری ماشین اغلب با تحلیل حجم عظیمی از داده‌ها، الگوها و روابطی را کشف می‌کنند که از ابتدا قابل پیش‌بینی نبوده‌اند. مثلاً ممکن است داده‌هایی که برای بهبود تشخیص گفتار یک دستیار صوتی جمع‌آوری شده‌اند، بعداً برای تحلیل احساسات کاربر یا پیشنهاد تبلیغات هدفمند نیز ارزشمند تشخیص داده شوند. آیا این استفاده جدید با هدف اولیه «سازگار» است؟ تعیین این مرز در عمل بسیار دشوار است و GDPR اگرچه اجازه استفاده از داده‌ها برای اهداف سازگار دیگر را می‌دهد، اما تعریف دقیقی از «سازگاری» ارائه نمی‌کند و این موضوع می‌تواند منجر به ابهام و عدم قطعیت شود.

چالش دوم به اصل «حداقل‌سازی داده‌ها» مربوط می‌شود. این اصل می‌گوید فقط باید داده‌هایی را جمع‌آوری کنید که برای هدفتان ضروری، مرتبط و کافی هستند. اما بسیاری از تکنیک‌های پیشرفته هوش مصنوعی، مانند یادگیری عمیق (Deep Learning)، برای اینکه بتوانند به‌خوبی عمل کنند، به حجم بسیار زیادی از داده‌ها نیاز دارند، حتی داده‌هایی که در نگاه اول ممکن است مستقیماً مرتبط به نظر نرسند. این الگوریتم‌ها با یافتن همبستگی‌های پیچیده و غیرمنتظره در میان انبوه داده‌ها کار می‌کنند. در چنین شرایطی، چگونه می‌توان تعیین کرد که چه مقدار داده «ضروری» و «کافی» است؟ آیا می‌توان از یک توسعه‌دهنده هوش مصنوعی انتظار داشت که دقیقاً بداند کدام داده‌ها برای آموزش مدلش لازم است، قبل از اینکه فرآیند آموزش را شروع کند؟ این یک تنش ذاتی بین نیاز فنی هوش مصنوعی به داده‌های زیاد و الزام حقوقی به حداقل‌سازی داده‌ها ایجاد می‌کند.

GDPR برای کمک به مدیریت این چالش‌ها، ابزاری به نام «ارزیابی تأثیر حفاظت از دادهData Protection Impact Assessment – DPIA را در ماده ۳۵ پیش‌بینی کرده است. طبق این ماده، اگر یک نوع پردازش، به‌ویژه با استفاده از فناوری‌های جدید مانند هوش مصنوعی، احتمالاً منجر به «ریسک بالا» برای حقوق و آزادی‌های افراد شود، کنترل‌کننده موظف است قبل از شروع پردازش، یک ارزیابی جامع از تأثیرات آن انجام دهد. بخشی از این ارزیابی شامل سنجش «ضرورت و تناسب» عملیات پردازش نسبت به اهداف آن است. این ارزیابی باید تحت نظارت مسئول حفاظت از داده (DPO) و در صورت لزوم، با مشورت مقام نظارتی انجام شود. اگرچه DPIA می‌تواند به کنترل‌کنندگان کمک کند تا ریسک‌ها را شناسایی و مدیریت کنند و توجیهی برای نیاز به داده‌ها ارائه دهند، اما این ارزیابی‌ها معمولاً عمومی نیستند و تعیین استانداردهای دقیق برای «ضرورت» و «کفایت» داده‌ها در کاربردهای متنوع هوش مصنوعی، همچنان یک چالش باز و نیازمند زمان است.

چالش‌های GDPR در مواجهه با هوش مصنوعی (بخش دوم: تصمیم‌گیری خودکار و حق توضیح)

یکی از بحث‌برانگیزترین جنبه‌های هوش مصنوعی، قابلیت آن در گرفتن تصمیماتی است که می‌تواند تأثیرات قابل توجهی بر زندگی افراد داشته باشد، بدون اینکه لزوماً انسان در فرآیند تصمیم‌گیری دخالت مستقیم داشته باشد. این شامل مواردی مانند رد درخواست وام، عدم پذیرش در یک موقعیت شغلی، یا حتی تعیین میزان حق بیمه بر اساس تحلیل داده‌های رفتاری می‌شود. ماده ۲۲ GDPR به‌طور خاص به این موضوع می‌پردازد و حقی را برای افراد قائل می‌شود که «مشمول تصمیمی نشوند که صرفاً بر مبنای پردازش خودکار، از جمله پروفایل‌سازی (Profiling)، اتخاذ شده و برای آن‌ها آثار حقوقی یا به‌طور مشابه، آثار قابل توجهی به همراه داشته باشد.» این ماده اساساً یک ممنوعیت کلی برای چنین تصمیم‌گیری‌های کاملاً خودکار را بیان می‌کند، مگر در شرایط استثنایی مانند رضایت صریح فرد، ضرورت برای انعقاد یا اجرای قرارداد، یا وجود مجوز قانونی خاص.

حتی در مواردی که تصمیم‌گیری خودکار مجاز است، GDPR الزاماتی را برای حفظ حقوق افراد تعیین می‌کند. کنترل‌کننده داده باید «تدابیر مناسبی» را برای حمایت از حقوق، آزادی‌ها و منافع مشروع فرد اتخاذ کند. این تدابیر باید حداقل شامل حق «دخالت انسانی»، حق «بیان دیدگاه خود» و حق «اعتراض به تصمیم» باشد. اما اینکه «دخالت انسانی» دقیقاً به چه معناست، خود محل بحث است. کارگروه ماده ۲۹ نهاد مشورتی پیشین اتحادیه اروپا که اکنون هیئت حفاظت از داده اروپا یا EDPB جانشین آن شده) در راهنمای خود تأکید کرده که این دخالت باید «معنادار» باشد، یعنی توسط شخصی انجام شود که «اختیار و صلاحیت تغییر تصمیم» را داشته باشد. صرفاً یک بررسی شکلی یا تأیید تصمیم الگوریتم کافی نیست. این موضوع در عمل، به‌ویژه در سیستم‌های پیچیده هوش مصنوعی که منطق تصمیم‌گیری‌شان به‌راحتی قابل فهم نیست، می‌تواند چالش‌برانگیز باشد.

موضوع دیگری که بحث‌های زیادی را برانگیخته، مسئله «حق توضیح» (Right to Explanation) است. آیا افراد حق دارند بفهمند که یک سیستم هوش مصنوعی چگونه و بر چه اساسی در مورد آن‌ها تصمیم گرفته است؟ GDPR در مواد ۱۳ و ۱۴ الزام می‌کند که افراد باید از قبل (ex ante) در مورد «وجود تصمیم‌گیری خودکار» و «اطلاعات معنادار در مورد منطق دخیل» و همچنین «اهمیت و پیامدهای پیش‌بینی‌شده چنین پردازشی» مطلع شوند. اما آیا این به معنای حق دریافت توضیح برای یک تصمیم خاص، پس از اتخاذ آن (ex post) نیز هست؟ برخی معتقدند که چنین حقی به‌طور صریح در GDPR وجود ندارد، در حالی که برخی دیگر و همچنین راهنمای EDPB معتقدند که این حق، لازمه اعمال مؤثر حقوق دیگر فرد (مانند حق اعتراض) است EDPB بیان می‌کند که کنترل‌کننده باید «اطلاعات معناداری در مورد منطق دخیل» ارائه دهد، که لزوماً به معنای توضیح پیچیده الگوریتم یا افشای کامل آن نیست، اما باید به اندازه‌ای جامع باشد که فرد بتواند دلایل تصمیم را درک کند. با این حال، با توجه به ماهیت جعبه سیاه (Black Box) بسیاری از الگوریتم‌های پیشرفته هوش مصنوعی (مانند شبکه‌های عصبی عمیق)، ارائه چنین توضیحات قابل فهمی، خود یک چالش فنی و حقوقی بزرگ است و هنوز رویه قضایی مشخصی در این زمینه شکل نگرفته است.

چالش‌های GDPR در مواجهه با هوش مصنوعی (بخش سوم: حفاظت داده‌ها در طراحی و کنترل‌کننده داده)

GDPR با معرفی مفهوم «حفاظت از داده‌ها در طراحی و به‌صورت پیش‌فرضData Protection  by Design and by Default – DPbDD در ماده ۲۵، تلاش می‌کند تا رویکردی پیشگیرانه و فعالانه را در حفاظت از داده‌ها ترویج دهد. ایده اصلی این است که ملاحظات مربوط به حفاظت از داده‌ها نباید به عنوان یک فکر بعدی یا یک وصله پس از طراحی سیستم در نظر گرفته شوند، بلکه باید از همان ابتدای فرآیند طراحی و توسعه فناوری، در بطن آن گنجانده شوند. «حفاظت در طراحی» به معنای پیاده‌سازی تدابیر فنی و سازمانی مناسب (مانند استفاده از تکنیک‌های ناشناس‌سازی یا رمزنگاری) برای اجرای مؤثر اصول حفاظت از داده (مانند حداقل‌سازی) و تضمین حقوق افراد است. «حفاظت به‌صورت پیش‌فرض» نیز الزام می‌کند که تنظیمات اولیه هر سیستم یا سرویسی که داده‌های شخصی را پردازش می‌کند، باید به‌گونه‌ای باشد که بیشترین میزان حفاظت از حریم خصوصی را ارائه دهد، یعنی به‌طور پیش‌فرض، فقط داده‌هایی پردازش شوند که برای هدف مشخص و ضروری هستند و دسترسی به آن‌ها محدود باشد، مگر اینکه کاربر خود تنظیمات دیگری را انتخاب کند.

اعمال این اصل در مورد سیستم‌های هوش مصنوعی با چالش‌های خاصی همراه است. اولاً، خود ماده ۲۵ اذعان دارد که سطح این تدابیر باید با توجه به «وضعیت دانش فنی روز»، «هزینه پیاده‌سازی»، «ماهیت، دامنه، زمینه و اهداف پردازش» و «ریسک‌های احتمالی برای حقوق و آزادی‌های افراد» تعیین شود. این یعنی یک رویکرد یکسان برای همه وجود ندارد و انعطاف‌پذیری زیادی در نحوه اجرای آن وجود دارد که می‌تواند منجر به عدم قطعیت شود. ثانیاً، ترجمه اصول و الزامات حقوقی که اغلب وابسته به زمینه و تفسیرپذیر هستند، به کدهای فنی دقیق و قابل اجرا در یک ماشین، کار ساده‌ای نیست. چگونه می‌توان مفاهیمی مانند «ضرورت» یا «تناسب» را برای یک الگوریتم تعریف کرد؟ ثالثاً و مهم‌تر از همه، قابلیت «خود یادگیری» (Self-learning) بسیاری از سیستم‌های هوش مصنوعی، این چالش را دوچندان می‌کند. مدلی که در ابتدا با رعایت اصول DPbDD طراحی شده، ممکن است در اثر تعامل با محیط و یادگیری از داده‌های جدید، رفتار خود را تغییر دهد و به‌گونه‌ای تکامل یابد که دیگر با آن اصول اولیه سازگار نباشد. آیا می‌توان از سیستم‌های هوش مصنوعی خواست که «یاد بگیرند» چگونه GDPR را رعایت کنند؟ این ایده جذابی است، اما ما را به همان مشکل قبلی بازمی‌گرداند: چگونه می‌توان قوانین پویا و وابسته به زمینه را در قالبی ایستا و قابل کدنویسی برای یک ماشین تعریف کرد؟

چالش مهم دیگر مربوط به تعیین کنترل‌کننده داده (Data Controller) است. کنترل‌کننده، شخص حقیقی یا حقوقی است که «اهداف و وسایل پردازش داده‌های شخصی را تعیین می‌کند.» در مورد بسیاری از سیستم‌های هوش مصنوعی مانند دستیارهای صوتی الکسا یا گوگل، واضح است که شرکت‌های سازنده (آمازون یا گوگل) کنترل‌کننده اصلی داده‌ها هستند. اما سیستم‌های هوش مصنوعی صرفاً ماشین‌های آماده‌ای نیستند که همواره عملکردی ثابت داشته باشند. آن‌ها اغلب در طول زمان و از طریق تعامل با کاربران و محیط اطرافشان، دانش و مهارت کسب می‌کنند. این فرآیند یادگیری مداوم می‌تواند باعث شود که نسخه‌های مختلف یک مدل هوش مصنوعی، بسته به اینکه چگونه توسط کاربران آموزش داده شده، مدیریت شده یا با آن‌ها رفتار شده، عملکرد متفاوتی داشته باشند. در چنین شرایطی، آیا کاربر نهایی را می‌توان صرفاً یک «استفاده‌کننده» دانست یا در مواردی، او نیز در تعیین اهداف و نحوه پردازش داده‌ها نقش دارد و باید به عنوان «کنترل‌کننده مشترک» یا حتی «کنترل‌کننده اصلی» داده‌های جمع‌آوری‌شده توسط آن سیستم در محیط خاص خود در نظر گرفته شود؟ تحقیقاتی که با حمایت اتحادیه اروپا انجام شده، این دیدگاه را تأیید می‌کند که در بسیاری موارد، انتخاب‌ها و اقدامات کاربر نهایی می‌تواند آنقدر تعیین‌کننده باشد که او مسئولیت کنترل‌کنندگی داده‌ها را بر عهده بگیرد. با این حال، مرز دقیق بین مسئولیت تولیدکننده، توسعه‌دهنده و کاربر نهایی، به‌ویژه در موارد نقص فنی یا نشت داده، همچنان موضوعی پیچیده و نیازمند تحلیل‌های دقیق در هر مورد خاص است.

نگاه ایالات متحده به حریم خصوصی و داده‌ها: رویکردی متفاوت

برخلاف اتحادیه اروپا که با GDPR یک چارچوب جامع و یکپارچه برای حفاظت از داده‌ها در تمام بخش‌ها ایجاد کرده، رویکرد ایالات متحده به این موضوع، تاریخی متفاوت و ساختاری پراکنده‌تر دارد. در آمریکا، به جای یک قانون فدرال واحد که همه انواع داده‌های شخصی را پوشش دهد، مجموعه‌ای از قوانین بخشی (Sectoral) و وابسته به زمینه (Context-dependent) وجود دارد که هر کدام بر حوزه خاصی تمرکز دارند. به عنوان مثال، قانون حریم خصوصی ارتباطات الکترونیکی (ECPA) به ارتباطات آنلاین می‌پردازد، قانون قابل حمل بودن و پاسخگویی بیمه سلامت (HIPAA) بر داده‌های پزشکی متمرکز است، قانون حفاظت از حریم خصوصی آنلاین کودکان (COPPA) برای کودکان زیر ۱۳ سال وضع شده و قوانین دیگری نیز برای حوزه‌هایی مانند اطلاعات مالی، ویدئوهای اجاره‌ای یا بازاریابی ایمیلی وجود دارد. این رویکرد بخشی‌نگر ریشه در تاریخ و ساختار فدرالیسم آمریکا دارد و باعث می‌شود که حفاظت از داده‌ها بسته به نوع داده و زمینه‌ای که در آن پردازش می‌شود، متفاوت باشد.

تفاوت مهم دیگر در مبانی فلسفی این دو رویکرد است. همان‌طور که اشاره شد، اتحادیه اروپا حفاظت از داده‌ها را به عنوان بخشی از «حقوق شخصیتی» (Personality Right) فرد و مرتبط با کرامت انسانی می‌داند. در مقابل، رویکرد غالب در ایالات متحده، به‌ویژه در بخش خصوصی، تمایل دارد که به داده‌ها بیشتر از منظر «حقوق مالکیت» (Property-like Approach) نگاه کند. این تفاوت دیدگاه، توضیح می‌دهد که چرا در آمریکا، تأکید بیشتری بر خودتنظیمی (Self-regulation) توسط صنایع و رویکردهای پایین به بالا (Bottom-up) وجود دارد، در حالی که رویکرد اتحادیه اروپا بیشتر «بالا به پایین (Top-down) و مبتنی بر قانون‌گذاری جامع است اگرچه اصل پاسخگویی در GDPR را می‌توان نوعی هم‌تنظیمی یا Co-regulation نیز دانست.

در حوزه حریم خصوصی در برابر اقدامات دولتی، قانون اساسی آمریکا از طریق متمم چهارم، از افراد در برابر «تفتیش و توقیف غیرمنطقی» محافظت می‌کند. دادگاه عالی آمریکا در طول سال‌ها، این حفاظت را به مفهومی به نام «انتظار منطقی از حریم خصوصی (Reasonable Expectation of Privacy) گره زده است. این معیار که ریشه در پرونده مشهور کتز علیه ایالات متحده دارد، دو جنبه دارد: اول اینکه آیا فرد انتظار داشته که آن موقعیت یا اطلاعات خصوصی بماند (جنبه ذهنی) و دوم اینکه آیا جامعه آن انتظار را به عنوان یک انتظار منطقی به رسمیت می‌شناسد (جنبه عینی). اگر هر دو پاسخ مثبت باشد، اقدامات دولتی برای دسترسی به آن اطلاعات، نیازمند حکم قضایی مبتنی بر دلیل احتمالی خواهد بود. این معیار در پرونده‌های مختلفی، از استفاده از دوربین‌های حرارتی برای دیدن داخل خانه (کایلو علیه ایالات متحده تا ردیابی با GPS جونز علیه ایالات متحده و دسترسی به داده‌های مکانی تلفن همراه کارپنتر علیه ایالات متحده، به کار گرفته شده است

چالش‌های رویکرد آمریکا: دکترین شخص ثالث و انتظارات متغیر

رویکرد ایالات متحده به حریم خصوصی، به‌ویژه در عصر دیجیتال و هوش مصنوعی، با چالش‌های خاص خود روبروست. یکی از مهم‌ترین این چالش‌ها، «دکترین شخص ثالث» (Third-Party Doctrine) است. بر اساس این دکترین که توسط دادگاه عالی در دهه‌های گذشته شکل گرفته، اگر فردی اطلاعات خود را داوطلبانه در اختیار یک شخص ثالث (مانند بانک، شرکت تلفن، یا امروزه، ارائه‌دهندگان خدمات آنلاین) قرار دهد، دیگر نمی‌تواند انتظار منطقی از حریم خصوصی نسبت به آن اطلاعات داشته باشد و دولت می‌تواند بدون نیاز به حکم قضایی به آن اطلاعات دسترسی پیدا کند. اساس این دکترین، این فرض است که لازمه حریم خصوصی، «محرمانگی» است و وقتی شما اطلاعات را با دیگری به اشتراک می‌گذارید، دیگر آن را محرمانه نگه نداشته‌اید.

همان‌طور که قاضی سوتومایور در نظر موافق خود در پرونده جونز اشاره کرد، این رویکرد «برای عصر دیجیتال که در آن مردم مقادیر عظیمی از اطلاعات در مورد خود را در جریان انجام کارهای روزمره در اختیار اشخاص ثالث قرار می‌دهند، بسیار نامناسب است.» امروزه، تقریباً هر فعالیت آنلاینی که انجام می‌دهیم، ردپایی دیجیتال از خود به جا می‌گذارد که توسط شرکت‌های فناوری جمع‌آوری و نگهداری می‌شود. اگر دکترین شخص ثالث به‌طور کامل اعمال شود، به این معنا خواهد بود که دولت می‌تواند به حجم وسیعی از اطلاعات شخصی ما دسترسی داشته باشد بدون اینکه نظارت قضایی معناداری وجود داشته باشد. دادگاه عالی در پرونده کارپنتر، با حکم به اینکه دسترسی به داده‌های مکانی تاریخی تلفن همراه نیازمند حکم است، گامی در جهت محدود کردن این دکترین برداشت، اما چارچوب کلی آن همچنان پابرجاست و نحوه اعمال آن در مورد انواع دیگر داده‌های دیجیتال که توسط هوش مصنوعی جمع‌آوری و تحلیل می‌شوند، نامشخص است. این وضعیت باعث شده تا برخی این سؤال را مطرح کنند که آیا رویکرد آمریکا در نهایت به سمت پذیرش حقوق مشخص‌تری برای حفاظت از داده‌ها، مشابه آنچه در منشور حقوق اساسی اتحادیه اروپا (ماده ۸) آمده، حرکت خواهد کرد یا خیر.

چالش دوم که با هوش مصنوعی تشدید می‌شود، به ماهیت خود «انتظار منطقی از حریم خصوصی» برمی‌گردد. این مفهوم، هم به انتظارات فردی و هم به انتظارات اجتماعی بستگی دارد. اما همان‌طور که قاضی آلیتو در نظر موافق خود در پرونده جونز بیان کرد، «تغییرات شگرف فناوری می‌تواند منجر به دوره‌هایی شود که در آن، انتظارات عمومی در نوسان است و در نهایت ممکن است تغییرات قابل توجهی در نگرش‌های عمومی ایجاد کند.» به عبارت دیگر، با فراگیر شدن فناوری‌های جدید نظارتی یا جمع‌آوری داده (مانند دوربین‌های تشخیص چهره در سطح شهر یا دستیارهای صوتی همیشه شنوا)، ممکن است انتظارات افراد و جامعه از حریم خصوصی به‌تدریج کاهش یابد. این امر می‌تواند منجر به یک «دور باطل» شود: فناوری جدید انتظارات را کاهش می‌دهد و کاهش انتظارات، به نوبه خود، راه را برای نفوذ بیشتر فناوری هموار می‌کند. در چنین شرایطی، چگونه می‌توان از حقوق اساسی افراد در برابر فرسایش تدریجی محافظت کرد؟ این یک سؤال باز و چالش‌برانگیز برای نظام حقوقی آمریکاست که هوش مصنوعی با قابلیت‌های روزافزون خود در جمع‌آوری و تحلیل داده‌ها، آن را پیچیده‌تر نیز می‌کند.

حفاظت از داده‌ها در اجرای قانون: تفاوت‌های اتحادیه اروپا و آمریکا

همان‌طور که قوانین حفاظت از داده‌ها در بخش خصوصی بین اتحادیه اروپا و آمریکا تفاوت‌هایی دارد، در حوزه اجرای قانون (Law Enforcement) نیز شاهد رویکردهای متفاوتی هستیم. در اتحادیه اروپا، علاوه بر GDPR که عمدتاً بر بخش خصوصی و برخی فعالیت‌های بخش دولتی حاکم است، یک دستورالعمل (Directive) جداگانه به شماره 680/2016 وجود دارد که به‌طور خاص به «پردازش داده‌های شخصی توسط مقامات صلاحیت‌دار به منظور پیشگیری، تحقیق، کشف یا تعقیب جرایم کیفری یا اجرای مجازات‌های کیفری» می‌پردازد. این دستورالعمل، اگرچه بسیاری از اصول GDPR را بازتاب می‌دهد، اما تفاوت‌های کلیدی نیز با آن دارد که با توجه به ماهیت فعالیت‌های پلیسی و قضایی طراحی شده‌اند.

اولاً، نقش «رضایت» فرد در این حوزه تقریباً وجود ندارد. پردازش داده‌ها توسط پلیس و دادسراها معمولاً بر اساس الزامات قانونی و وظایف محوله به آن‌ها صورت می‌گیرد. ثانیاً، کنترل‌کننده داده در اینجا «مقامات صلاحیت‌دار» (مانند پلیس، دادستانی، دادگاه‌ها) هستند. ثالثاً، اصل «حداقل‌سازی داده‌ها» کمی انعطاف‌پذیرتر تعریف شده و بیان می‌کند که داده‌ها نباید «بیش از حد» (excessive) نسبت به هدف باشند، که ممکن است تفسیر گسترده‌تری نسبت به «ضروری» بودن در GDPR داشته باشد. رابعاً، ممنوعیت تصمیم‌گیری کاملاً خودکار (ماده ۱۱ دستورالعمل) حتی از ماده ۲۲ GDPR هم قوی‌تر است، اگرچه همچنان استثنائاتی با پیش‌بینی تضمین‌های مناسب (مانند حق دخالت انسانی) مجاز است. خامساً، اجرای اصل «حفاظت داده‌ها در طراحی و به‌صورت پیش‌فرض» (ماده ۲۰ دستورالعمل) تا حد زیادی به قوانین ملی هر کشور عضو واگذار شده است. و در نهایت، اصل «محدودیت هدف» و «محدودیت نگهداری» با توجه به نیاز به حفظ داده‌ها برای تحقیقات طولانی‌مدت یا کشف جرایم آتی، انعطاف‌پذیری بیشتری دارد و دستورالعمل به جای تعیین محدودیت زمانی مشخص، بر لزوم «بررسی دوره‌ای نیاز به نگهداری داده‌ها» تأکید می‌کند.

در مقابل، در ایالات متحده، همان‌طور که قبلاً اشاره شد، چارچوب اصلی برای محدود کردن دسترسی دولت به اطلاعات شخصی، متمم چهارم قانون اساسی و مفهوم «انتظار منطقی از حریم خصوصی» است. پلیس و سایر نهادهای اجرای قانون برای انجام تفتیش یا توقیف (از جمله دسترسی به داده‌های دیجیتال)، معمولاً نیازمند کسب حکم قضایی هستند، مگر اینکه یکی از استثنائات شناخته‌شده بر لزوم اخذ حکم (مانند رضایت، وجود دلایل فوری، یا مشاهده آشکار موارد غیرقانونی) وجود داشته باشد. علاوه بر متمم چهارم، قوانین فدرال و ایالتی دیگری نیز وجود دارند که دسترسی به انواع خاصی از داده‌ها (مانند اطلاعات ارتباطی یا سوابق مالی) را تنظیم می‌کنند. با این حال، برخلاف اتحادیه اروپا، یک چارچوب قانونی جامع و واحد که تمام جنبه‌های پردازش داده توسط نهادهای اجرای قانون را پوشش دهد و حقوق مشخصی مانند حق دسترسی، اصلاح یا پاک کردن داده‌ها را در این زمینه به‌طور کلی تضمین کند، در سطح فدرال وجود ندارد. این تفاوت‌ها در رویکرد، به‌ویژه در عصر هوش مصنوعی که ابزارهای نظارتی و تحلیلی قدرتمندی را در اختیار نهادهای اجرای قانون قرار می‌دهد، می‌تواند منجر به نتایج متفاوتی در تعادل بین امنیت عمومی و حقوق فردی شود.

نقاط تلاقی و همگرایی: قانون مصرف‌کننده و اقدامات جمعی

علی‌رغم تفاوت‌های قابل توجه بین رویکردهای اتحادیه اروپا و ایالات متحده در زمینه حفاظت از داده‌ها و حریم خصوصی، نقاط تلاقی و همگرایی مهمی نیز وجود دارد که نشان می‌دهد این دو نظام حقوقی می‌توانند از یکدیگر بیاموزند و در مواجهه با چالش‌های مشترک ناشی از هوش مصنوعی، به سمت راه‌حل‌های مشابهی حرکت کنند. یکی از مهم‌ترین این نقاط تلاقی، حوزه «قانون حمایت از مصرف‌کننده» (Consumer Law) است. هوش مصنوعی و اینترنت اشیاء (IoT) تأثیرات قابل توجهی بر روابط قراردادی بین مصرف‌کنندگان و کسب‌وکارها دارند. در آمریکا، بحث‌هایی در مورد چگونگی تأثیر هوش مصنوعی بر مقررات موجود در «قانون متحدالشکل تجاری» (UCC)، به‌ویژه ماده ۲ مربوط به فروش کالا، در جریان است. مسائلی مانند تعهدات مربوط به گارانتی، وفاداری، امکان تغییر یک‌جانبه شرایط قرارداد توسط ارائه‌دهنده سرویس‌های هوشمند، و شفافیت در قراردادهای مصرف‌کننده، همگی با ظهور هوش مصنوعی ابعاد جدیدی پیدا کرده‌اند.

در اتحادیه اروپا نیز بحث مشابهی پیرامون «قانون مسئولیت محصول» (Product Liability Law)، که بر اساس دستورالعمل 85/374/EC شکل گرفته، وجود دارد. این قانون تولیدکنندگان را مسئول خسارات ناشی از محصولات معیوب می‌داند. حال سؤال این است که آیا یک نرم‌افزار هوش مصنوعی یا یک تصمیم نادرست گرفته‌شده توسط آن می‌تواند به عنوان یک «محصول معیوب» تلقی شود و چه کسی مسئول خسارات ناشی از آن است؟ علاوه بر این، قوانین حمایت از مصرف‌کننده در هر دو نظام، ابزارهایی برای مقابله با «اقدامات فریبنده (deceptive actionsاغفال از طریق عدم ارائه اطلاعات (deceptive omissions) یا «روش‌های تجاری تهاجمی (aggressive commercial practices) فراهم می‌کنند که می‌توانند در موارد سوءاستفاده از داده‌های شخصی یا عدم شفافیت در مورد عملکرد سیستم‌های هوش مصنوعی نیز به کار گرفته شوند. به عنوان مثال، قانون مصرف‌کننده ایتالیا صراحتاً به این موارد اشاره دارد. این نشان می‌دهد که حفاظت از داده‌ها و حریم خصوصی، به‌طور فزاینده‌ای با حقوق مصرف‌کننده در هم تنیده می‌شود.

ابزار مهم دیگری که به همگرایی کمک می‌کند، «اقدامات جمعی» یا «شکایت گروهی» (Class Actions) است. این سازوکار که در ایالات متحده ریشه دارد و به عنوان یکی از «قدرتمندترین ابزارها» در نظام حقوقی این کشور شناخته می‌شود، به یک یا چند نفر اجازه می‌دهد تا به نمایندگی از گروه بزرگی از افرادی که به شیوه‌ای مشابه آسیب دیده‌اند، علیه یک خوانده شکایت کنند. با توجه به اینکه نقض داده‌ها یا آسیب‌های ناشی از الگوریتم‌های هوش مصنوعی اغلب تعداد زیادی از افراد را به شیوه‌ای یکسان تحت تأثیر قرار می‌دهد (مثلاً نشت اطلاعات میلیون‌ها کاربر یا تبعیض الگوریتمی علیه یک گروه خاص)، اقدامات جمعی می‌توانند ابزار مؤثری برای جبران خسارت و بازدارندگی باشند. جالب اینجاست که GDPR نیز در ماده ۸۰ خود، به سازمان‌های واجد شرایط اجازه می‌دهد تا به نمایندگی از افراد، شکایت کنند یا خسارت مطالبه نمایند، که این نیز نوعی اقدام جمعی محسوب می‌شود. حتی یک دادگاه ایتالیایی در سال ۲۰۲۰، با استناد به قوانین مصرف‌کننده و حفاظت از داده‌ها، یک اقدام جمعی در زمینه داده‌ها را مورد پذیرش قرار داد. این نشان می‌دهد که مفهوم اقدام جمعی، به عنوان یک «پیوند» (Transplant) حقوقی، در حال گسترش در حوزه حفاظت از داده‌ها در هر دو سوی اقیانوس اطلس است و می‌تواند به عنوان مکملی برای سایر سازوکارهای حمایتی عمل کند، به‌ویژه برای رسیدگی به ابعاد «جمعی» نقض حریم خصوصی (مفهومی که گاهی از آن به عنوان “Group Privacy” یاد می‌شود).

نتیجه‌گیری و جمع‌بندی کلی:

همان‌طور که در این تحلیل کاربردی مشاهده کردیم، هوش مصنوعی چالش‌های عمیق و چندوجهی را برای چارچوب‌های حقوقی موجود در زمینه حفاظت از داده‌ها و حریم خصوصی ایجاد می‌کند. ما بر روی دو نظام حقوقی مهم، یعنی اتحادیه اروپا با محوریت GDPR و ایالات متحده با رویکرد بخشی‌نگر و مبتنی بر متمم چهارم، تمرکز کردیم. در اتحادیه اروپا، GDPR با اصول جامع خود مانند محدودیت هدف، حداقل‌سازی داده‌ها، و الزامات مربوط به تصمیم‌گیری خودکار و حفاظت در طراحی، تلاش می‌کند تا پاسخی نظام‌مند به این چالش‌ها بدهد. با این حال، دیدیم که اجرای این اصول در عمل، به‌ویژه با توجه به ماهیت داده‌محور، یادگیرنده و گاه «جعبه سیاه» سیستم‌های هوش مصنوعی، با ابهامات و دشواری‌های قابل توجهی روبروست. مسائلی مانند تعریف دقیق «هدف سازگار»، تعیین میزان «داده ضروری»، ارائه «توضیحات معنادار» برای تصمیمات خودکار، و مشخص کردن «کنترل‌کننده داده» در سیستم‌های تعاملی، همچنان نیازمند تفسیر، راهنمایی‌های بیشتر و شکل‌گیری رویه قضایی هستند.

در مقابل، رویکرد ایالات متحده که بر قوانین بخشی و مفهوم «انتظار منطقی از حریم خصوصی» استوار است، انعطاف‌پذیری بیشتری را نشان می‌دهد اما با چالش‌هایی مانند «دکترین شخص ثالث» در عصر دیجیتال و تأثیر فناوری بر تغییر انتظارات اجتماعی از حریم خصوصی دست‌وپنجه نرم می‌کند. شکاف‌های احتمالی در پوشش قانونی به دلیل رویکرد بخشی‌نگر و عدم وجود یک چارچوب فدرال جامع برای حفاظت از داده‌ها (مشابه GDPR) نیز از دیگر مسائل مطرح در این نظام است. با این حال، شاهد حرکت‌هایی به سمت همگرایی هستیم. تصویب قوانینی مانند قانون حریم خصوصی مصرف‌کننده کالیفرنیا (CCPA) که حقوقی مشابه GDPR (مانند حق دسترسی، حذف و انصراف از فروش داده‌ها) را برای ساکنان این ایالت فراهم می‌کند، نشان‌دهنده تأثیرگذاری رویکرد اروپایی و افزایش آگاهی نسبت به اهمیت حفاظت از چرخه کامل حیات اطلاعات شخصی است.

در نهایت، بررسی نقاط تلاقی این دو نظام، به‌ویژه در حوزه قانون حمایت از مصرف‌کننده و استفاده از ابزار اقدامات جمعی، نشان می‌دهد که علی‌رغم تفاوت در مبانی فلسفی (نگاه به داده به عنوان حق شخصیتی در برابر حق مالکیت) و ساختارهای قانونی، هر دو نظام در تلاشند تا راه‌هایی برای تطبیق قوانین خود با واقعیت‌های نوین فناوری پیدا کنند. برای حقوق‌دانان، درک این پویایی‌ها، تفاوت‌ها و شباهت‌ها اهمیت حیاتی دارد. چه در مقام مشاور کسب‌وکارها برای اطمینان از رعایت قوانین، چه در مقام دفاع از حقوق افرادی که داده‌هایشان پردازش می‌شود، و چه در مقام سیاست‌گذاری برای آینده، آشنایی با چالش‌های حقوقی هوش مصنوعی در زمینه حفاظت از داده‌ها، یک ضرورت انکارناپذیر است. این حوزه به‌سرعت در حال تحول است و مستلزم یادگیری مداوم و نگاهی تطبیقی است تا بتوان اطمینان حاصل کرد که پیشرفت فناوری، با احترام به حقوق و آزادی‌های اساسی افراد همراه باشد. سوال نهایی که در پایان متن اصلی مطرح می‌شود، عمیقاً فلسفی و در عین حال بسیار کاربردی است: آیا ما اطلاعات و داده‌ها را «داریم» یا به‌نوعی، ما «هستیم» آن اطلاعات؟ پاسخ به این سوال می‌تواند مسیر آینده حقوق حفاظت از داده‌ها را در عصر هوش مصنوعی مشخص کند.