Στις αρχές της εβδομάδας ψηφίστηκε από τη Βουλή νόμος που ενσωματώνει στη νομοθεσία μας την οδηγία 680/2016 του Ευρωπαϊκού Κοινοβουλίου για τα προσωπικά δεδομένα. Το σχέδιο νόμου τέθηκε προηγουμένως εσπευσμένα σε δημόσια διαβούλευση και ψηφίστηκε, με την ευρεία συναίνεση των κομμάτων, αφού συζητήθηκε στη Βουλή με τη διαδικασία του κατεπείγοντος. Η Ελλάδα ήταν από τις τελευταίες χώρες στην Ευρωπαϊκή Ένωση (ΕΕ) που δεν μετέφερε τη συγκεκριμένη οδηγία στο εθνικό της δίκαιο, με συνέπεια η χώρα μας να κινδυνεύει να καταβάλει τεράστιες οικονομικές κυρώσεις, που της επιβλήθηκαν από το Δικαστήριο της Ε.Ε. Η συζήτηση στη Βουλή και η ψήφιση του νόμου επιχείρησαν να απαντήσουν σε σειρά ερωτημάτων που απασχολούν τους πολίτες, πυροδοτώντας σκέψεις και προβληματισμούς για τη διακίνηση των προσωπικών μας δεδομένων. Πόσο προστατευμένα είναι τα προσωπικά μας δεδομένα και κατά πόσο ασφαλής είναι η ιδιωτικότητά μας από τις εξελίξεις της τεχνολογίας, ανεξάρτητα από τις δικλείδες προστασίας που παρέχει η νομοθεσία, είναι το ερωτήματα που βρίσκονται στο επίκεντρο των προβληματισμών.
«Οι εξελίξεις στην Επιστήμη της Πληροφορικής, η ανάπτυξη εφαρμογών Τεχνητής Νοημοσύνης (Artificial Intelligence) και Μηχανικής Μάθησης (Machine Learning) καθιστούν επισφαλείς τις περισσότερες υπάρχουσες τεχνικές ανωνυμοποίησης προσωπικών δεδομένων» υποστηρίζει κατηγορηματικά σε συνέντευξή του στην «ΕτΔ», με αφορμή την ψήφιση του συγκεκριμένου νόμου, ο καθηγητής του Πανεπιστημίου Θεσσαλίας Δρ. Βασίλης Χ. Γερογιάννης, που ασχολείται ερευνητικά με προβλήματα ανάλυσης δεδομένων και λήψης αποφάσεων με μεθόδους της Τεχνητής Νοημοσύνης. Είναι διπλωματούχος μηχανικός Υπολογιστών, διδάκτωρ Πληροφορικής, μέλος του Περιφερειακού Συμβουλίου Έρευνας και Καινοτομίας της Περιφέρειας Θεσσαλίας και μέλος της Διοικούσας Επιτροπής του ΤΕΕ Κ&Δ Θεσσαλίας.

* Κύριε καθηγητά, τι είναι και πού υπάρχουν τα προσωπικά μας δεδομένα;

- Καθημερινά στο διαδίκτυο «παράγονται» 2,5 πεντάκις εκατομμύρια bytes δεδομένων. Το πεντάκις εκατομμύριο είναι το 1 ακολουθούμενο από 18 μηδενικά! Είναι ένας αστρονομικά μεγάλος αριθμός. Θεωρητικά, εάν είχατε 2,5 πεντάκις εκατομμύρια νομίσματα θα μπορούσατε με αυτά να καλύψετε 5 φορές όλη την επιφάνεια της γης! Ζούμε την εποχή των Μεγάλων Δεδομένων (Big Data). Να ορισμένα παραδείγματα: οι 4,4 δισεκατομμύρια (δισ.) χρήστες του διαδικτύου χρησιμοποιούν την Google και άλλες μηχανές αναζήτησης που καθημερινά επεξεργάζονται πάνω από 5 δισ. αναζητήσεις. Κάθε λεπτό οι 2,7 δισ. χρήστες στο Facebook ανεβάζουν 510.000 σχόλια, 293.000 ενημερώσεις κατάστασης και 136.000 φωτογραφίες. Κάθε λεπτό το κουμπί like στο Facebook πατιέται σε περισσότερες από 4 εκατομμύρια αναρτήσεις. Κάθε λεπτό οι χρήστες του YouTube ανεβάζουν 300 ώρες νέων βίντεο. Καθημερινά αναρτώνται στο Instagram περισσότερες από 100 εκατομμύρια φωτογραφίες και βίντεο.
Ένα μεγάλο τμήμα σε αυτόν τον αχανέστατο «ωκεανό» των δεδομένων του διαδικτύου αποτελούν τα προσωπικά μας δεδομένα. Κάθε φορά που κάνουμε εγγραφή σε μία ιστοσελίδα, όταν αγοράζουμε κάτι στο διαδίκτυο, όταν κατεβάζουμε μια εφαρμογή στο κινητό ή στον υπολογιστή μας, όταν αποδεχόμαστε τα cookies μιας ιστοσελίδας, όταν κάνουμε μια οποιαδήποτε δραστηριότητα στα κοινωνικά δίκτυα (Facebook, Instagram κ.λπ.), δίνουμε ένα μέρος από τα προσωπικά μας δεδομένα.
Υπάρχουν επίσης και τα προσωπικά μας δεδομένα που διατηρούνται σε ψηφιακή (ή σε έντυπη) μορφή εκτός διαδικτύου. Προσωπικά δεδομένα υπάρχουν στα ιατρικά, στα τραπεζικά και στα φορολογικά μας αρχεία, στα δεδομένα που διατηρούν για εμάς οι ασφαλιστικές εταιρείες, στα δεδομένα κάθε απογραφής και στα δεδομένα που συλλέγει η στατιστική υπηρεσία. Προσωπικά δεδομένα υπάρχουν στα δεδομένα των αγορών μας, π.χ. σε αυτά που συλλέγονται από το σούπερ μάρκετ μέσω της κάρτας πελάτη και από την τράπεζα μέσω της τραπεζικής κάρτας που χρησιμοποιούμε.
Τα προσωπικά δεδομένα είναι πληροφορίες με τις οποίες μπορεί να «ταυτοποιηθεί», δηλαδή να προσδιοριστεί ένα άτομο, όπως είναι το όνομα και το επάγγελμά του, η οικογενειακή του κατάσταση, η ηλικία του, η διεύθυνση κατοικίας, το ΑΦΜ, το ΑΜΚΑ, το e-mail και οι φωτογραφίες του. Πολλά από τα προσωπικά δεδομένα είναι ευαίσθητα αφού έχουν σημαίνουσα βαρύτητα για τον σχηματισμό του προφίλ προσωπικότητας του κάθε ατόμου. Αυτά αποτελούν ειδικές κατηγορίες όπως είναι η φυλετική προέλευση, τα πολιτικά φρονήματα, το θρήσκευμα και οι φιλοσοφικές απόψεις, η συνδικαλιστική δράση, η υγεία και η ερωτική ζωή κάθε ατόμου.

* Πώς χρησιμοποιούνται και διακινούνται αυτά τα προσωπικά μας δεδομένα;
- Τα προσωπικά μας δεδομένα συλλέγονται, αποθηκεύονται, επεξεργάζονται, χρησιμοποιούνται και, πολλές φορές, τα εκμεταλλεύονται επιχειρηματικά διάφοροι φορείς, εταιρείες και οργανισμοί, εντός και εκτός διαδικτύου. Για παράδειγμα, τα δεδομένα της υγείας μας συλλέγονται και επεξεργάζονται από ερευνητές για σκοπούς της ιατρικής έρευνας. Το Facebook, συλλέγοντας δεδομένα, γνωρίζει κάθε φορά, τουλάχιστον, πού βρισκόμαστε, τι κάνουμε και με ποιον είμαστε.
Με βάση τα like μας, γνωρίζει τις προτιμήσεις και τις δραστηριότητές μας, με ποιον επικοινωνούμε, τι μας αρέσει και τι αγοράζουμε. Πολλές φορές, τα προσωπικά μας δεδομένα μπορεί και να πωλούνται από εταιρείες, τους λεγόμενες "μεσίτες" δεδομένων (databrokers). Βέβαια, οι φορείς που συλλέγουν τα προσωπικά μας δεδομένα, τις περισσότερες φορές, ισχυρίζονται ότι τα διατηρούν και τα επεξεργάζονται μόνο για εσωτερική χρήση. Κάθε ιστότοπος που επισκεπτόμαστε μας διαβεβαιώνει (καθώς αυτό επιβάλλεται από τη νομοθεσία) ότι θα διατηρήσει ανώνυμα τα προσωπικά μας δεδομένα και ότι σε αυτά δεν θα περιλάβει προσδιοριστικά στοιχεία, όπως είναι το όνομά μας, έτσι ώστε κανείς να μην μπορεί να συνδέσει τα δεδομένα μας με εμάς τους ίδιους, δηλαδή να μας ταυτοποιήσει. Είναι γεγονός όμως ότι φορείς δημοσιοποιούν, διακινούν, μοιράζονται και, ορισμένες φορές, πωλούν, στην καλύτερη περίπτωση, ανωνυμοποιημένα δεδομένα που μας αφορούν και τους έχουμε δώσει, συχνά εν αγνοία μας.
* Υπάρχουν κανόνες για τη διακίνηση των προσωπικών δεδομένων; Και με ποιον τρόπο αντιμετωπίζει η νομοθεσία τα θέματα αυτά;
Με στόχο την προστασία της ιδιωτικότητας του κάθε ατόμου, οι χώρες θεσπίζουν νομικούς κανόνες για την προστασία των προσωπικών δεδομένων από κάθε μη νόμιμη χρήση. Όπως όλες οι χώρες της ΕΕ, έτσι και η Ελλάδα έχει υιοθετήσει στο εθνικό της δίκαιο το Γενικό Κανονισμό για τα Προσωπικά Δεδομένα, γνωστό και ως GDPR. Τα άρθρα του GDPR επιβάλλουν ρυθμίσεις για τον τρόπο με τον οποίο συλλέγονται, επεξεργάζονται, φυλάσσονται, διακινούνται, αξιοποιούνται, ανωνυμοποιούνται αλλά και καταστρέφονται, δεδομένα προσωπικού χαρακτήρα κάθε πολίτη στην ΕΕ, ανεξαρτήτως του τόπου διαμονής του. Ο GDPR ορίζει ένα αυστηρό πλαίσιο κανόνων με σκοπό να μεταθέσει την ευθύνη προστασίας των προσωπικών δεδομένων στον ίδιο τον φορέα που τα διατηρεί/διαχειρίζεται, προβλέποντας βαρύτατες οικονομικές κυρώσεις σε οργανισμούς/επιχειρήσεις που δεν συμμορφώνονται ή παραβιάζουν τον Κανονισμό.
Πριν από λίγες μέρες ψηφίστηκε στο Ελληνικό Κοινοβούλιο Νόμος που ενσωματώνει στο εθνικό μας δίκαιο την οδηγία 680/2016 του Ευρωπαϊκού Κοινοβουλίου. Η ενσωμάτωση της συγκεκριμένης οδηγίας ήταν απολύτως απαραίτητη για την περαιτέρω προσαρμογή της νομοθεσίας μας στο GDPR.
Στο ψηφισθέν νομοσχέδιο (στο άρθρο 30) ορίζεται ότι επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων “επιτρέπεται χωρίς τη συγκατάθεση του υποκειμένου, όταν η επεξεργασία είναι απαραίτητη για σκοπούς επιστημονικής ή ιστορικής έρευνας ή συλλογής και τήρησης στατιστικών στοιχείων και το συμφέρον του υπεύθυνου επεξεργασίας είναι υπέρτερο του συμφέροντος του υποκειμένου να μην τύχουν επεξεργασίας τα δεδομένα προσωπικού του χαρακτήρα”.
Διευκρινίζεται επίσης ότι ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα όταν υποβάλλονται σε επεξεργασία για τους παραπάνω σκοπούς “θα πρέπει να ανωνυμοποιούνται, αμέσως μόλις το επιτρέψουν οι επιστημονικοί ή στατιστικοί σκοποί, εκτός εάν αυτό είναι αντίθετο προς το έννομο συμφέρον του υποκειμένου των δεδομένων. Μέχρι τότε, τα χαρακτηριστικά που μπορούν να χρησιμοποιηθούν για την αντιστοίχιση μεμονωμένων λεπτομερειών σχετικά με προσωπικές ή πραγματικές καταστάσεις ενός ταυτοποιημένου ή ταυτοποιήσιμου προσώπου πρέπει να αποθηκευτούν χωριστά. Τα χαρακτηριστικά αυτά μπορεί να συνδυαστούν με τις μεμονωμένες λεπτομέρειες, μόνο εάν το απαιτεί η έρευνα ή ο στατιστικός σκοπός”.

* Κανόνες επιβάλλει η νομοθεσία αλλά μπορούμε να αισθανόμαστε ασφαλείς; Κινδυνεύει τελικά η ιδιωτικότητά μας;
- Ελάχιστα. Οι εξελίξεις στην Επιστήμη της Πληροφορικής, η ανάπτυξη εφαρμογών Τεχνητής Νοημοσύνης (Artificial Intelligence) και Μηχανικής Μάθησης (Machine Learning) καθιστούν επισφαλείς τις περισσότερες υπάρχουσες τεχνικές ανωνυμοποίησης προσωπικών δεδομένων. Μια διαδικασία ανωνυμοποίησης (δηλ. η χρήση και η διακίνηση προσωπικών δεδομένων χωρίς να περιλαμβάνονται σε αυτά αναγνωριστικά δεδομένα που μπορεί να μας ταυτοποιήσουν) δεν είναι πάντοτε απολύτως αποτελεσματική. Είναι τεχνικά δύσκολο να εξασφαλιστεί με βεβαιότητα ότι δεν δύναται να αναγνωριστεί κάποιο άτομο από ένα σύνολο προσωπικών δεδομένων (π.χ. δεδομένα υγείας ασθενών) εάν αφαιρεθούν από αυτό τα προσδιοριστικά στοιχεία (π.χ. τα ονοματεπώνυμα των ασθενών) ή ακόμη εάν αντικατασταθούν ειδικά δεδομένα με γενικές τιμές (π.χ. αντικαθιστώντας την ημερομηνία γέννησης“ 5-3-2005” ενός ασθενούς με την τιμή “Μάρτιος 2005”).
Για παράδειγμα, το 2006 η Netflix έδωσε στη δημοσιότητα αξιολογήσεις ταινιών που έκαναν οι χρήστες της. Κάθε στοιχείο αναγνώρισης των χρηστών είχε αφαιρεθεί στο δημοσιοποιημένο σύνολο δεδομένων. Ένα χρόνο μετά ερευνητές (Narayanan & Shmatikov) δημοσίευσαν σε επιστημονικό άρθρο (“How to break anonymity of the Netflix prize dataset”) τον αλγόριθμο ταυτοποίησης όλων των χρηστών της Netflix, συνδυάζοντας αυτό το ανωνυμοποιημένο σύνολο δεδομένων με τις δημόσια διαθέσιμες αξιολογήσεις ταινιών που υπήρχαν στην πλατφόρμα IMDB. Πρόσφατα, τον Ιούλιο του 2019, ερευνητές (Rocher, Hendrickx & Montjoye) δημοσίευσαν στο έγκυρο επιστημονικά περιοδικό Nature Communications επιστημονικό άρθρο (“Estimating the successofre -identifications inincomplete data setsusing generative models”). Στο άρθρο παρουσιάζεται ένα στατιστικό μοντέλο μηχανικής μάθησης που μπορεί ταυτοποιήσει οποιοδήποτε Αμερικανό πολίτη, με πιθανότητα επιτυχίας 99.98% (!), χρησιμοποιώντας 15 δημογραφικά χαρακτηριστικά (που περιλαμβάνουν ηλικία, φύλο και οικογενειακή κατάσταση), ανατρέχοντας στα δεδομένα οποιουδήποτε, έστω και ελλιπούς, ανωνυμοποιημένου συνόλου δεδομένων. Μπορεί να σας φαίνεται μεγάλο το πλήθος των 15 δημογραφικών χαρακτηριστικών. Λάβετε ωστόσο υπόψη ότι υπάρχει μια πληθώρα από διαθέσιμα σύνολα δεδομένων που περιλαμβάνουν πολύ περισσότερα γνωρίσματα. Για παράδειγμα, το 2017 δημοσιεύθηκε στο διαδίκτυο ένα ανωνυμοποιημένο σύνολο δεδομένων που περιλάμβανε 248 δημογραφικά χαρακτηριστικά για 123 εκατομμύρια νοικοκυριά στις Ηνωμένες Πολιτείες. Το συγκεκριμένο μοντέλο, ακόμη και με λιγότερα από 15 δημογραφικά χαρακτηριστικά, πάλι μπορεί να ταυτοποιήσει σε ένα σύνολο δεδομένων οποιοδήποτε πολίτη, με μεγάλη πιθανότητα επιτυχίας. Προς επίρρωση των δυνατοτήτων της τεχνικής τους, οι ερευνητές ανέπτυξαν μια εφαρμογή (https://cpg.doc.ic.ac.uk/individual-risk/) που δίνει τη δυνατότητα σε οποιοδήποτε Αμερικανό και Άγγλο πολίτη να διαπιστώσει την πιθανότητα να ταυτοποιηθεί σε ένα οποιοδήποτε σύνολο ανωνυμοποιημένων δεδομένων. Εάν κανείς δώσει το φύλο, την ημερομηνία γέννησης και τον ταχυδρομικό του κώδικα, η πιθανότητα αυτή είναι 54%, ενώ δίνοντας λίγα ακόμη χαρακτηριστικά (όπως οικογενειακή και επαγγελματική κατάσταση) η πιθανότητα αυξάνει στο 95%!

* Με βάση αυτά, τι αναμένετε να αλλάξει στο μέλλον;
Με στόχο την ενίσχυση και την αξιοποίηση των ωφελειών αλλά και την προστασία των πολιτών από δυνητικούς κινδύνους των εφαρμογών της Τεχνητής Νοημοσύνης, το Ευρωπαϊκό Κοινοβούλιο υιοθέτησε, τον Απρίλιο του 2018, την Ευρωπαϊκή Στρατηγική για την Τεχνητή Νοημοσύνη. Τον Μάιο του 2019 τα μέλη του ΟΟΣΑ, μεταξύ των οποίων και η χώρα μας, υιοθέτησαν οδηγίες για τη χάραξη μιας διεθνούς πολιτικής σχετικά με την Τεχνητή Νοημοσύνη.
Συνεπώς, αναμένεται και ελπίζουμε στο μέλλον οι χώρες να θεσπίσουν νομοθετικά κατάλληλες δικλείδες ασφαλείας, ώστε να διασφαλιστεί, πιο αποτελεσματικά, ότι τα συστήματα τεχνητής νοημοσύνης θα λειτουργούν με σεβασμό στην ιδιωτικότητα των πολιτών. Για να επιτευχθεί αυτό, απαιτείται οι νομοθέτες να συνεργαστούν στενότερα με ειδικούς επιστήμονες της Τεχνητής Νοημοσύνης, προκειμένου η νομοθεσία να λαμβάνει έγκαιρα υπόψη τις επιστημονικές εξελίξεις.

* Ολοκληρώνοντας αυτή τη συζήτηση, τι συνιστάτε στους απλούς πολίτες προκειμένου να μειώσουν τους κινδύνους ανεπιθύμητης διακίνησης των προσωπικών τους δεδομένων;
- Προφανώς δεν είναι λύση η αποχή από το διαδίκτυο, τα μέσα κοινωνικής δικτύωσης και κάθε διαδικτυακή δραστηριότητα. Στην εποχή μας αυτό δεν θα ήταν εφικτό. Ταυτόχρονα θα ήταν επιζήμιο αφού δεν θα είχαμε πρόσβαση σε όλες αυτές τις υπηρεσίες που αποτελούν αναπόσπαστο μέρος της ζωής μας.
Δεν υπάρχει λόγος να φοβόμαστε την τεχνολογία, απλώς πρέπει να τη χρησιμοποιούμε με προσοχή και μέτρο. Πρακτικές συμβουλές για το τι μπορούμε να κάνουμε παρέχονται από την Αρχή Προστασίας Προσωπικών Δεδομένων: Δεν δημοσιεύουμε τα προσωπικά μας δεδομένα όπως διεύθυνση, τηλέφωνο, e-mail, αριθμούς καρτών κ.λπ. Ρυθμίζουμε τις επιλογές ιδιωτικότητας και προστασίας προσωπικών δεδομένων που παρέχει κάθε διαδικτυακή εφαρμογή. Προσέχουμε τι περιεχόμενο διαμοιραζόμαστε (φωτογραφίες, βίντεο, σχόλια). Ας λάβουμε υπόψη εάν μπορεί να το δει οποιοσδήποτε, χωρίς να γνωρίζουμε πώς μπορεί να το χρησιμοποιήσει. Να διαβάζουμε την πολιτική διαχείρισης δεδομένων κάθε εφαρμογής που κατεβάζουμε, καθώς είναι πιθανό να μη συμφωνούμε σε καθετί που μας ζητάει να αποδεχτούμε. Ας αναζητούμε που και που το όνομά μας σε κάποια μηχανή αναζήτησης (π.χ. Google) για να δούμε τα αποτελέσματα που επιστρέφει για εμάς.
Όλοι μας πρέπει να μάθουμε, και κυρίως τα παιδιά μας, ότι η χρήση του internet απαιτεί φειδώ και προστασία, όπως απαιτεί και η έκθεση στον καλοκαιρινό ήλιο!

Συνέντευξη στονΔημήτρη Κατσανάκη