Konflikten mellem GDPR, datadeling, AI og privatlivets fred – Kommunikation eller manipulation?

Del dette indlæg

Hensyntagen til privatlivets fred og GDPR

Konsekvenserne for privatlivets fred og databeskyttelse synes at være afgørende, når man evaluerer kognitiv og følelsesmæssig målretning af kommunikation og markedsføring. Inden man tager dette punkt for givet, må man dog spørge sig selv, om sådanne overvejelser overhovedet kan spille en rolle i forbindelse med UCPD. I EU’s konkurrencelovgivning er det f.eks. stærkt omdiskuteret, om krænkelser af privatlivets fred og databeskyttelse kan tælle med i overtrædelsen af konkurrencelovgivningen eller ej.

I forbindelse med loven om urimelig handelspraksis kan der potentielt fremføres to argumenter for at isolere dette område fra overvejelser om privatlivets fred og databeskyttelse. For det første kunne man ud fra et systematisk perspektiv argumentere for, at aspekter vedrørende privatlivets fred kun blev taget op inden for området for loyal handelspraksis i artikel 13 i ePD – en hybrid norm mellem loyal konkurrence og lovgivning om privatlivets fred – og derfor ikke kan have konsekvenser for fortolkningen af UCPD (argumentum ex negativo). Privatlivet er nemlig ikke udtrykkeligt nævnt i UCPD. For det andet kan der findes et doktrinært grundlag for at begrænse GDPR’s indflydelse på UCPD i artikel 3, stk. 4, i UCPD, som fastslår, at anden EU-lovgivning, der “regulerer specifikke aspekter af illoyal handelspraksis”, har forrang for UCPD i tilfælde af konflikt. På grundlag af denne lex specialis-bestemmelse hævder nogle forskere faktisk, at GDPR falder uden for anvendelsesområdet for direktivet om urimelige kontraktvilkår og derfor i første omgang ikke kan tages i betragtning ved fortolkningen af direktivet.

At tage hensyn til privatlivets fred og databeskyttelse virker særligt overbevisende i forbindelse med en generel bestemmelse som artikel 5 i UCPD og definitionen i artikel 2, litra h), i UCPD, der opererer med vage udtryk som “ærlig markedspraksis” og “god tro”. Faktisk udgør en sådan fortolkning af UCPD en yderligere vigtig byggesten i udviklingen af en integreret markedsordning for den digitale økonomi. Hvis sidstnævnte fusionerer økonomiske transaktioner og behandling af data, der er følsomme over for privatlivets fred, bør lovgivningen, i det omfang det er doktrinært muligt og metodologisk forsvarligt, afspejle denne tendens ved at bygge yderligere broer mellem forskellige retsområder, der engang blev betragtet som adskilte.

Samtykke til manipulation

Det første spørgsmål rejser spørgsmålet om de iboende grænser for samtykke. Generelt set bør individuel autonomi gøre det muligt for individuelle aktører at give deres samtykke på en informeret måde, selv til metoder, som andre måske vil betragte som manipulerende eller på anden måde skadelige, f.eks. kognitiv eller følelsesmæssig målretning. Det skal indledningsvis bemærkes, at formålet med samtykke er forpurret, hvis manipulationen sker ved skjult påvirkning, da samtykket skal være informeret, eller ved umuligheden af et rationelt valg, da denne mangel sandsynligvis også vil påvirke samtykkeerklæringen. I tilfælde af kognitive mangler, der svarer til alvorlige mentale funktionsnedsættelser, kan f.eks. nationale regler om grænserne for partsautonomi finde anvendelse (uarbejdsdygtighed). Samtykket er dog stadig muligt, hvis manipulationen sker ved blot en betydelig nedsættelse, men ikke en total overvældende, af den rationelle beslutningstagning, hvilket ikke når grænsen for uarbejdsdygtighed i snæver forstand. Endelig er samtykke af indlysende betydning, hvis tærsklen til et brud på den faglige agtpågivenhed overskrides på grund af, og kun på grund af, en overtrædelse af GDPR. I så fald fjerner samtykke i henhold til GDPR denne overtrædelse og som følge heraf UCPD-overtrædelsen.

Selv i disse tilfælde begrænses det individuelle samtykke imidlertid af medlemsstaternes regler om samvittighed, ordre public eller bonos mores, som gælder for aftaler og ensidige erklæringer som f.eks. samtykke. Selv om forbrugerne i princippet kan give samtykke til praksis, der er urimelig i henhold til artikel 5 i UCPD, vil et samtykke derfor sandsynligvis være ugyldigt i tilfælde af særlig grov praksis, der anses for ugyldig af nationale årsager til ordre public. Et eksempel herpå kan være målrettet brug af stærke negative følelser for at tilbyde aftaler, der indebærer en eksistentiel økonomisk risiko for forbrugeren.

Konsekvenser for manipulerende målretning

Generelt set kan den erhvervsdrivende derfor kun blive mødt med fejl i forbindelse med GDPR- eller databeskyttelsesbrud i forbindelse med professionel omhu, hvis han kontrollerede bruddet eller burde have kendt til det. I tilfælde af forsætlig kognitiv eller følelsesmæssig målretning kan det imidlertid generelt antages, at den erhvervsdrivende frivilligt installerede det algoritmiske værktøj og derfor kontrollerede målretningen i et omfang, der gør ham ansvarlig, ikke kun i henhold til fælles kontrol i henhold til artikel 4 i GDPR, men også for spørgsmål om professionel omhu. I tilfælde af forsætlig målretning skal den erhvervsdrivende være opmærksom på konsekvenserne for privatlivets fred af følelsesmæssige og kognitive målinger. Som følge heraf bør den forsætlige målretning af følelser eller kognitive svagheder generelt kvalificeres som en overtrædelse af den professionelle omhu: empirisk understøttede forbrugerforventninger og databeskyttelses-/privatlivsinteresser vejer tungere end den erhvervsdrivendes interesser i humør- eller kognitionsbaseret markedsføring.

Svært at skelne mellem kommunikation og manipulation

Selv om det i princippet bør betragtes som et brud på den professionelle omhu, at der bevidst anvendes kognitive fordomme eller følelser, gælder denne konklusion ikke i alle tilfælde og sammenhænge.

Under visse omstændigheder kan interesseafvejningen tippe i retning af, at kognitiv og følelsesmæssig målretning kan tillades. Argumentations- og bevisbyrden hviler imidlertid nu på den erhvervsdrivende. Den erhvervsdrivende kan f.eks. hævde, at transaktionen trods målretning af svagheder er i forbrugerens bedste interesse. Hvis en applikation med emotionel AI f.eks. registrerer, at en person er meget bange for en infektion med COVID-19, kan en erhvervsdrivende tilbyde specifikke ansigtsmasker eller andre virkelig nyttige produkter til at håndtere pandemien. Et tegn på sådanne gensidigt fordelagtige tilbud ville være, at forbrugerne ikke fortryder transaktionen.

En anden vigtig vinkel ville være, at den erhvervsdrivende kunne argumentere for, at kravene om professionel omhu var opfyldt, fordi forbrugeren gav sit samtykke til den målrettede praksis. Dette rejser to vigtige spørgsmål. For det første: Kan forbrugerne gyldigt give deres samtykke til en praksis, som ellers ville blive betragtet som urimelig i henhold til artikel 5 i UCPD-direktivet, dvs. at de bliver manipuleret? Og hvis det er tilfældet, hvilke specifikke krav skal så være opfyldt, for at et sådant samtykke er gyldigt?

Hvor ligger anvaret og ejerskab over data?

Sagerne er imidlertid mere komplekse, hvis den erhvervsdrivende ikke er den dataansvarlige, der er ansvarlig for overtrædelsen af GDPR eller for krænkelsen af privatlivets fred. Den erhvervsdrivende kan f.eks. anvende en model, som er blevet trænet på personoplysninger i strid med GDPR af en separat AI-udvikler. I dette tilfælde ville det sandsynligvis gå for vidt at kræve, som et spørgsmål om professionel omhu, at den erhvervsdrivende i alle tilfælde kontrollerer, i hvilket omfang træningen og andre procedurer fra tredjeparter fuldt ud overholdt GDPR og EU’s lovgivning om beskyttelse af privatlivets fred. Dette ville medføre en alt for stor byrde for den erhvervsdrivende, især i betragtning af emnets komplekse tekniske karakter. Desuden ville det være selvmodsigende at holde den erhvervsdrivende ansvarlig for en overtrædelse af GDPR i henhold til UCPD, hvis han ikke engang er ansvarlig i henhold til GDPR (fordi han ikke har status som dataansvarlig). Hvis der imidlertid er objektive tegn på, at udvikleren har overtrådt nogen af disse normer, f.eks. fordi en databeskyttelsesmyndighed har iværksat en undersøgelse af produktet, bør den erhvervsdrivende være forpligtet til at foretage yderligere due diligence for at sikre, at modellen er udviklet i overensstemmelse med GDPR og privatlivets fred. Hvis den erhvervsdrivende ikke er den dataansvarlige, der er ansvarlig for GDPR-/privatlivsbruddet, er der derfor efter min mening kun tale om en overtrædelse af den faglige omhu, hvis den erhvervsdrivende vidste eller burde have vidst, at disse normer ikke blev overholdt.

Helt særlige betingelser for “manipulation”

Følelser ligger imidlertid til grund for enhver beslutningsproces, og mange daglige beslutninger er ligeledes behæftet med fordomme – derfor kan det ikke generelt være ulovligt at appellere til dem i henhold til UCPD, selv om de er rettet mod visse grupper. I dag er hyperbolske udtalelser og opblæsthed, som også formodes at udløse følelser, ret accepteret. Der skal derfor foreligge specifikke betingelser vedrørende typen af svaghed eller omstændighederne, for at en væsentlig afvigelse fra den rationelle beslutningstagning (artikel 2, litra e), i UCPD) kan være plausibel. Dette kan navnlig antages i et af de tre tilfælde, der blev introduceret i grundlagsdelen: målretning af stærke følelser eller fordomme (intensitetsvariant); målretning af gensidigt forstærkende svagheder, f.eks. overtrædelse af forbrugerens langsigtede præferencer (kombinationsvariant); eller målretning af sårbare forbrugere i komplekse eller uforudsete miljøer (kompleksitetsvariant). Hvis sårbare forbrugere, der er sårbare på en af disse områder, får tilbud, der indeholder elementer, som afviger negativt fra den erhvervsdrivendes generelle tilbud, og som er knyttet til den specifikke sårbarhed, kan der derfor antages at være tale om en væsentlig fordrejning. Det kan f.eks. være en målrettet prisstigning, der afspejler en overdreven betalingsvilje på grund af stærke følelser eller fordomme.

Hvad med fremtiden?

Lad os desuden overveje et eksempel på materiel forvridning, hvor målretning af svagheder går imod forbrugerens sandsynlige langsigtede præferencer. Man kan f.eks. forestille sig, at Emotional AI, som eyeQ’s eller Microsofts teknologi, kan installeres i lufthavne. Den kunne bl.a. måle, om de rejsende er bange for at flyve. Sådanne oplysninger kunne efterfølgende bruges af udlejningsfirmaer til at målrette specifikt de rejsende, der udviser stor frygt, med forslag om at bruge en bil i stedet for et fly på den næste rejse. Disse forbrugere vil måske ikke fortryde, at de vælger en bil, men denne målretning kan anses for at påvirke beslutningstagningen på en måde, der modvirker forbrugernes langsigtede sikkerhedspræferencer, som til gengæld bliver diskonteret via nutidsbias (kombinationsvariant). Der er empiriske beviser for, at selv om flyvning statistisk set er sikrere end bilkørsel, fortrænger frygten for at flyve rationelle sikkerhedsbeslutninger og får rejsende til at vælge bil frem for fly.

Skriv en kommentar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

Opdag mere

Tilmeld dig vores nyhedsbrev og bliv opdateret med vores seneste forløb og nyheder om digital dannelse

DIGIchat 2024®

Cookies- og Privatlivspolitik

Produkter

Start her

Om os

SoMe

Følg med i vores udvikling på vores SoMe platforme

Facebook Twitter Youtube
da_DKDansk
da_DKDansk

Vi er rigtige ærgelige over at du ikke længere har lyst til at at benytte DIGIchat til at skabe digital dannelse for børn og unge i Danmark.

Vi håber du vil hjælpe os til at blive klogere på hvorfor DIGIchat ikke længere har interesse, så vi kan gøre DIGIchat endnu bedre. 

Vi sætter rigtig stor pris på, at du vil hjælpe os med at fremme digital dannelse på en fortsat sjov og lærerig måde, tusinde tak!

Mange tak for din feedback, det sætter vi stor pris på!

Med dit bidrag kan vi gøre DIGIchat endne bedre til gavn for børn og unge, DIGIchat teamet.