U laat persoonlijke gegevens achter, zoals creditcardnummers, winkelvoorkeuren en welke nieuwsartikelen u leest terwijl u over het internet reist. Grote internetbedrijven verdienen geld aan dit soort persoonlijke informatie door deze te delen met hun dochterondernemingen en derden. Publieke bezorgdheid over online privacy heeft geleid tot wetten die zijn ontworpen om te bepalen wie die gegevens krijgt en hoe ze deze kunnen gebruiken.

De strijd is aan de gang. Democraten in de Amerikaanse Senaat hebben onlangs een wetsvoorstel ingediend dat sancties bevat voor technologiebedrijven die de persoonlijke gegevens van gebruikers verkeerd behandelen. Die wet zou zich voegen bij een lange lijst van regels en voorschriften wereldwijd, inclusief de Payment Card Industry Data Security Standard die online creditcardtransacties regelt, de Algemene Verordening Gegevensbescherming van de Europese Unie, de California Consumer Privacy Act die in januari van kracht werd, en de Amerikaanse Children's Online Privacy Protection Act.

Internetbedrijven moeten zich aan deze voorschriften houden of riskeren dure rechtszaken of overheidssancties, zoals de recente boete van 5 miljard dollar die de Federal Trade Commission aan Facebook heeft opgelegd.

Maar het is technisch een uitdaging om in realtime te bepalen of er sprake is van een privacyschending, een probleem dat nog problematischer wordt naarmate internetgegevens op extreme schaal worden verplaatst. Om ervoor te zorgen dat hun systemen voldoen, bedrijven vertrouwen op menselijke experts om de wetten te interpreteren - een complexe en tijdrovende taak voor organisaties die voortdurend diensten lanceren en updaten.

Mijn onderzoeksgroep aan de Universiteit van Maryland, Baltimore County, heeft nieuwe technologieën voor machines ontwikkeld om gegevensprivacywetten te begrijpen en naleving ervan af te dwingen met behulp van kunstmatige intelligentie. Met deze technologieën kunnen bedrijven ervoor zorgen dat hun diensten voldoen aan de privacywetten en kunnen overheden ook in realtime de bedrijven identificeren die de privacyrechten van consumenten schenden.

Machines helpen de regelgeving te begrijpen

Overheden genereren online privacyregels als documenten in platte tekst die voor mensen gemakkelijk te lezen zijn, maar moeilijk voor machines om te interpreteren. Als resultaat, de regelgeving moet handmatig worden onderzocht om ervoor te zorgen dat er geen regels worden overtreden wanneer de privégegevens van een burger worden geanalyseerd of gedeeld. Dit raakt bedrijven die nu aan een woud van regelgeving moeten voldoen.

Regels en voorschriften zijn vaak ambigu, omdat samenlevingen flexibiliteit willen bij de uitvoering ervan. Subjectieve concepten zoals goed en slecht variëren tussen culturen en in de tijd, dus wetten worden opgesteld in algemene of vage termen om ruimte te bieden voor toekomstige wijzigingen. Machines kunnen deze vaagheid niet verwerken - ze werken in enen en nullen - dus kunnen ze privacy niet "begrijpen" zoals mensen dat doen. Machines hebben specifieke instructies nodig om de kennis te begrijpen waarop een regeling is gebaseerd.

Een manier om machines te helpen een abstract concept te begrijpen, is door een ontologie te bouwen, of een grafiek die de kennis van dat concept weergeeft. De concepten van ontologie lenen van de filosofie, nieuwe computertalen, zoals OWL, zijn ontwikkeld in AI. Deze talen kunnen concepten en categorieën definiëren in een vakgebied of domein, tonen hun eigenschappen en tonen de onderlinge relaties. Ontologieën worden soms "kennisgrafieken, " omdat ze zijn opgeslagen in grafiekachtige structuren.

Toen mijn collega's en ik begonnen te kijken naar de uitdaging om privacyregelgeving begrijpelijk te maken voor machines, we besloten dat de eerste stap zou zijn om alle belangrijke kennis in deze wetten vast te leggen en kennisgrafieken te maken om deze op te slaan.

De voorwaarden en regels extraheren

De kernkennis in de regelgeving bestaat uit drie delen.

Eerst, er zijn "termen van kunst":woorden of uitdrukkingen die nauwkeurige definities hebben binnen een wet. Ze helpen om de entiteit te identificeren die de verordening beschrijft en stellen ons in staat om haar rollen en verantwoordelijkheden te beschrijven in een taal die computers kunnen begrijpen. Bijvoorbeeld, van de Algemene Verordening Gegevensbescherming van de EU, we hebben termen uit de kunst gehaald, zoals 'Consumenten en leveranciers' en 'Boetes en handhaving'.

Volgende, we hebben deontische regels geïdentificeerd:zinnen of uitdrukkingen die ons voorzien van filosofische modale logica, die zich bezighoudt met deductief gedrag. Deontische (of morele) regels omvatten zinnen die plichten of verplichtingen beschrijven en vallen hoofdzakelijk in vier categorieën. "Machtigingen" definiëren de rechten van een entiteit/actor. "Verplichtingen" definiëren de verantwoordelijkheden van een entiteit/actor. "Verboden" zijn voorwaarden of handelingen die niet zijn toegestaan. "Dispensaties" zijn facultatieve of niet-verplichte verklaringen.

Om dit met een eenvoudig voorbeeld uit te leggen, stel je de volgende situatie voor:

• Je hebt toestemming om te rijden.
• Maar om te rijden, je bent verplicht een rijbewijs te halen.
• Je mag niet te hard rijden (en wordt gestraft als je dat wel doet).
• U kunt parkeren in gebieden waar u ontheffing heeft (zoals betaald parkeren, betaald parkeren of open terreinen niet in de buurt van een brandkraan).

Sommige van deze regels gelden voor iedereen uniform in alle omstandigheden; terwijl anderen gedeeltelijk van toepassing kunnen zijn, aan slechts één entiteit of op basis van door iedereen overeengekomen voorwaarden.

Soortgelijke regels die de do's en don'ts beschrijven, zijn van toepassing op online persoonlijke gegevens. Er zijn toestemmingen en verboden om datalekken te voorkomen. Er zijn verplichtingen voor de bedrijven die de gegevens opslaan om de veiligheid ervan te waarborgen. En er zijn dispensaties gemaakt voor kwetsbare bevolkingsgroepen zoals minderjarigen.

Mijn groep ontwikkelde technieken om deze regels automatisch uit de regelgeving te halen en op te slaan in een kennisgrafiek.

Ten derde, we moesten ook uitzoeken hoe we de kruisverwijzingen die vaak worden gebruikt in wettelijke voorschriften om naar tekst te verwijzen in een ander deel van de verordening of in een apart document kunnen opnemen. Dit zijn belangrijke kenniselementen die ook in de kennisgrafiek moeten worden opgeslagen.

Regels op hun plaats, scannen op naleving

Na het definiëren van alle belangrijke entiteiten, eigendommen, relaties, regels en beleid van een gegevensprivacywet in een kennisgrafiek, mijn collega's en ik kunnen met behulp van deze kennisgrafieken toepassingen maken die kunnen redeneren over de regels voor gegevensprivacy.

Deze toepassingen kunnen de tijd die bedrijven nodig hebben om te bepalen of ze voldoen aan de voorschriften voor gegevensbescherming aanzienlijk verkorten. Ze kunnen regelgevers ook helpen bij het monitoren van data-audittrajecten om te bepalen of bedrijven waarop ze toezicht houden zich aan de regels houden.

Deze technologie kan individuen ook helpen een snel overzicht te krijgen van hun rechten en verantwoordelijkheden met betrekking tot de privégegevens die ze delen met bedrijven. Zodra machines snel lang kunnen interpreteren, complexe privacybeleid, mensen zullen in staat zijn om veel alledaagse compliance-activiteiten te automatiseren die tegenwoordig handmatig worden gedaan. Ze kunnen dat beleid mogelijk ook begrijpelijker maken voor consumenten.

Dit artikel is opnieuw gepubliceerd vanuit The Conversation onder een Creative Commons-licentie. Lees het originele artikel.