تمایل ایلان ماسک برای دامن زدن به مزخرفات توطئه با دادن دسترسی افراد خارجی منتخب همسو با برنامه محافظهکارانه او به سیستمها و دادههای توییتر، میتواند ثروتمندترین مرد جهان را با رگولاتوری در هر دو سوی اقیانوس اطلس دچار مشکل جدی کند.
در روزهای اخیر، این دسترسی که ماسک به چندین خبرنگار خارجی اعطا کرده بود، منجر به انتشار آنچه او و تشویق کنندگانش به عنوان افشای رویکرد قبلی این پلتفرم برای تعدیل محتوا ارائه میکردند، شد.
تا کنون، این انتشارات «فایلهای توییتر»، همانطور که او آنها را نامید، از نظر افشاگریهای خبرساز، مضحکی بوده است – مگر اینکه این ایده که شرکتی با حجم بالایی از محتوای تولید شده توسط کاربر الف) یک اعتماد و ایمنی استخدام کند. کارکنانی که درباره نحوه اجرای سیاستها بحث میکنند، از جمله در ب) موقعیتهایی که به سرعت در حال تحول هستند که در آن همه حقایق مربوط به قطعات محتوا ممکن است هنوز ثابت نشده باشند. و ج) همچنین وجود سیستمهای اعتدال که میتوانند برای کاهش دید محتوای بالقوه مضر (به عنوان جایگزینی برای حذف آن) به کار گرفته شوند، بهویژه اخبار وحشی هستند.
اما اگر تاکتیک ماسک برای باز کردن سیستمهایش به روی خبرنگاران خارجی در قالب تحریمهای نظارتی نتیجه معکوس داشته باشد، همچنان میتواند اخبار سختی را برای توییتر به همراه داشته باشد.
کمیسیون حفاظت از داده های ایرلند (DPC) که (حداقل در حال حاضر) تنظیم کننده اصلی حفاظت از داده های توییتر در اتحادیه اروپا است، به دنبال جزئیات بیشتر از توییتر در مورد مشکل دسترسی به داده های خارجی است.
DPC امروز صبح با توییتر تماس گرفت. یک سخنگوی به TechCrunch گفت: ما در حال تعامل با توییتر در این مورد هستیم تا جزئیات بیشتر را مشخص کنیم.
اوایل امروز، بلومبرگ همچنین در مورد نگرانیهایی در مورد دسترسی افراد خارجی به دادههای کاربران در توییتر گزارش داد – با استناد به توییتهایی از CISO سابق فیسبوک، الکس استاموس، که علناً اعلام کرد که یک موضوع توییتری که دیروز توسط یکی از خبرنگارانی که ماسک به آنها دسترسی پیدا کرده بود، ارسال کرد. باید برای FTC کافی باشد تا تحقیقاتی را درباره حکم رضایت آغاز کند.”
فرمان رضایت FTC توییتر به سال 2011 بازمیگردد و به ادعاهایی مربوط میشود که این شرکت «امنیت و حریم خصوصی» دادههای کاربران را طی چندین سال به اشتباه ارائه کرده است.
این شرکت رسانه های اجتماعی پیش از این در ماه مه به دلیل نقض این دستور 150 میلیون دلار جریمه شده بود. اما اگر FTC تشخیص دهد که قوانین تسویه حساب را نقض آشکار می کند، مجازات های آینده می تواند بسیار شدیدتر باشد. و با توجه به اینکه کمیسیون تجارت فدرال ماه گذشته به توییتر هشدار داده بود، علائم شوم است – هشداری که “هیچ اجرایی یا شرکتی بالاتر از قانون نیست.”
ملاحظات دیگر در اینجا، مقررات عمومی حفاظت از داده های اتحادیه اروپا (GDPR) است – که شامل یک الزام قانونی است که از داده های شخصی به اندازه کافی محافظت شود.
این به عنوان اصل امنیت – یا “یکپارچگی و حریم خصوصی” – GDPR شناخته می شود که بیان می کند داده های شخصی باید:
به گونهای پردازش میشود که امنیت کافی دادههای شخصی، از جمله محافظت در برابر پردازش غیرمجاز یا غیرقانونی و در برابر از دست دادن، تخریب یا آسیب تصادفی، با استفاده از اقدامات فنی یا سازمانی مناسب (“صداقت و محرمانه”) را تضمین کند.
بنابراین، انتقال دادههای کاربر (و/یا دسترسی به سیستم که میتواند دادههای کاربر را آشکار کند) به افراد غیرکارمند ممکن است این سؤال را ایجاد کند که آیا توییتر با اصل امنیتی GDPR مطابقت کامل دارد یا خیر. سوال دیگری نیز وجود دارد که باید در اینجا به آن پرداخته شود – توییتر برای واگذاری داده های کاربران (غیر عمومی) به افراد خارجی، اگر واقعاً چنین است، بر چه مبنای قانونی تکیه می کند.
در ظاهر، بعید است که کاربران توییتر آگاهانه به چنین پردازش خارقالعادهای تحت شرایط استاندارد آن رضایت دهند. و مشخص نیست که چه دلایل قانونی دیگری می تواند به طور منطقی در اینجا اعمال شود. (در توییتر شرایط استناد به ضرورت قراردادی، منافع مشروع، رضایت یا تعهد قانونی، به طور متفاوت، در رابطه با پردازش پیامهای مستقیم به کاربران یا سایر ارتباطات غیر عمومی بسته به سناریوی پردازش – اما اگر واقعاً آن نوع را منتقل کند، کدام یک از این مبانی مناسب است. دادههای غیرعمومی کاربر برای افراد غیرکارمندی که نه ارائهدهنده خدمات توییتر هستند و نه نهادهایی مانند مجری قانون و غیره، قابل بحث است.)
لیلیان ادواردز – استاد حقوق، نوآوری و جامعه در دانشکده حقوق نیوکاسل – در مورد نظر او در مورد این موضوع به ما گفت که روشی که GDPR در اینجا اعمال میشود قطع و خشک نشده است، اما او پیشنهاد کرد که توییتر دادهها را برای اشخاص ثالث ناخواسته افشا کند. “کسی که ممکن است خواه ناخواه آن را به اشتراک بگذارد”) ممکن است نقض اصل امنیتی باشد.
«اگر موافقت کردی [to Twitter’s expansive terms]، آیا این استفاده ها را مجاز کرده اید – بنابراین هیچ نقض امنیتی وجود ندارد؟ من فکر می کنم باید یک عنصر بی ادبی در اینجا وجود داشته باشد. “چقدر انتظار نداشتید، و چقدر در برابر تهدیدات امنیتی و حریم خصوصی شما را باز می گذارد – به عنوان مثال، اگر شامل اطلاعات شخصی مانند رمز عبور یا شماره تلفن باشد؟”
او با استناد به دستورالعملهای صادر شده توسط مقام حفاظت از دادههای بریتانیا، که خاطرنشان میکند که اقدامات امنیتی مورد نیاز تحت GDPR «باید به دنبال اطمینان از این باشد که دادهها: فقط توسط افرادی که شما مجاز هستید قابل دسترسی، تغییر، افشا یا حذف شوند، باشد، دشوار است. برای انجام این کار (و اینکه آن افراد فقط در محدوده اختیاراتی که به آنها می دهید عمل کنند).
«خب، ماسک به درستی به آنها اجازه داده است، اما آیا او باید؟ آیا آنها خطرات امنیتی دارند؟ من فکر می کنم که یک DPA معقول به شدت به این موضوع نگاه می کند.
در زمان نگارش این مقاله، دقیقاً مشخص نیست که توییتر چه دادهها یا چه میزان دسترسی به سیستم را به خبرنگاران منتخب خارجی خود میدهد – بنابراین مشخص نیست که آیا هیچ داده غیرعمومی کاربر تحویل داده شده است یا خیر.
یکی از خبرنگارانی که توییتر به آنها دسترسی پیدا کرد، روزنامه نگار بری وایس، در یک ادعا کرد یک توییت موضوعی (که به چهار نویسنده دیگر مرتبط با نشریه ای که او تأسیس کرد و در مورد داده ها گزارش می دهند ارجاع می دهد) که: «نویسندگان دسترسی گسترده و گسترده ای به فایل های توییتر دارند. تنها شرطی که ما با آن موافقت کردیم این بود که ابتدا مطالب در توییتر پست شود.
یکی دیگر از این نویسندگان، ابیگیل شریر، در ادامه ادعا کرد: “تیم ما دسترسی گسترده و بدون فیلتر به ارتباطات و سیستم های داخلی توییتر را دریافت کرد.”
با این حال، هر دو توییت فاقد جزئیات خاصی در مورد نوع دادههایی بودند که به آنها دسترسی داشتند.
توییتر همچنین – از طریق یکی از کارمندان – در پاسخ به نگرانیها در مورد سطح دسترسی ارائه شده، دسترسی مستقیم به اطلاعات کاربران غیرعمومی را به خبرنگاران رد کرد. الا اروین، رئیس جدید اعتماد و ایمنی این شرکت، در چند ساعت گذشته در توییتر ادعا کرد که اسکرینشاتهایی از نمای سیستم داخلی حسابهایی که به صورت آنلاین به اشتراک گذاشته میشوند، جزئیات دسترسی داخلی اعطا شده به افراد خارجی از توییتر را در یک نگاه نشان میدهد. ، دسترسی زنده به سیستم های آن را به تصویر نکشید.
در عوض، او گفت که خودش این اسکرین شات ها را از این نمای ابزار داخلی در اختیار خبرنگاران قرار داده است – “برای اهداف امنیتی”.
توییت ایروین همچنین ادعا کرد که این روش به اشتراک گذاری اسکرین شات برای اطمینان از عدم وجود PII انتخاب شده است. [personally identifiable information] افشا شد’.
او در پاسخ به یکی از کاربران توییتر که نگرانیهای امنیتی را در مورد دسترسی خبرنگاران به سیستمهای خود (و احتمالاً DM) مطرح میکرد، افزود: «ما این دسترسی را به خبرنگاران ندادیم، و نه، خبرنگاران به دیامهای کاربر دسترسی نداشتند». ایروین تنها در ماه ژوئن به عنوان پیشرو محصول برای اعتماد و ایمنی به توییتر پیوست – اما ماه گذشته (از طریق The Information) به عنوان رئیس اعتماد و ایمنی ارتقا یافت تا جایگزین جوئل راث، رئیس قبلی، که پس از تنها دو هفته از کار تحت رهبری ماسک استعفا داد. نگرانی در مورد “حکم دیکتاتوری” از سوی ماسک که اجرای سیاست وجدانانه را بر عهده گرفته است.
با کنار گذاشتن این سوال که چرا رئیس جدید اعتماد و ایمنی توییتر وقت خود را صرف عکس گرفتن از داده های داخلی برای به اشتراک گذاشتن با افراد غیرکارمندی می کند که هدفشان انتشار گزارش های مربوط به چنین اطلاعاتی است، انتخاب نامگذاری او در اینجا قابل توجه است: “PII” یک اصطلاح نیست. شما در هر نقطه از GDPR پیدا خواهید کرد. این اصطلاحی مورد علاقه نهادهای آمریکایی است که میخواهند ایده «حریم خصوصی کاربر» را به حداقل ممکن کاهش دهند (یعنی نام واقعی، آدرس ایمیل و غیره)، به جای اینکه تشخیص دهند که حریم خصوصی افراد میتواند در بسیاری از افراد به خطر بیفتد. راه های بیشتری نسبت به قرار گرفتن در معرض مستقیم PII.
این مهم است زیرا اصطلاحات قانونی مربوطه در GDPR «دادههای شخصی» است – که بسیار گستردهتر از PII است و انواع دادههایی را که ممکن است PII در نظر گرفته نشوند (مانند آدرس IP، شناسه آگهیدهنده، مکان و غیره) پوشش میدهد. .). بنابراین، اگر دغدغه اصلی ایروین اجتناب از افشای «PII» باشد، او امنیت دادههای شخصی را که توسط GDPR اتحادیه اروپا درک میشود، درک نمیکند – یا اولویتبندی نمیکند.
این باید تنظیم کننده های اتحادیه اروپا را نگران کند.
در حالی که DPC ایرلند در حال حاضر از زمانی که ماسک این شرکت را در اواخر اکتبر به دست گرفت، ناظر اصلی اطلاعات توییتر است – و به سمت کاهش کارمندان و ترک داوطلبانه کارمندان بیشتری از جمله سه نفر از مقامات ارشد امنیتی، حریم خصوصی و رؤسای انطباق که به طور همزمان یک ماه پیش استعفا دادند، حرکت کرده است. – سوالاتی در مورد وضعیت ادعای آن مبنی بر “اساسا تاسیس” در ایرلند برای GDPR مطرح شد.
همانطور که قبلاً گزارش دادهایم، تصمیمگیری یکجانبه ماسک در ایالات متحده خطر انصراف توییتر از مکانیسم یک توقفگاه (OSS) GDPR را به همراه دارد، زیرا این امر مستلزم تصمیمگیری است که بر دادههای کاربران اتحادیه اروپا تأثیر میگذارد تا نهاد ایرلندی توییتر را درگیر کند. و اگر شرکت ادعای خود را در مورد وضعیت تاسیس اصلی در ایرلند از دست بدهد، بلافاصله ریسک نظارتی را افزایش میدهد، زیرا ناظران داده در سراسر اتحادیه اروپا، نه فقط DPC، میتوانند درخواستهای خود را در صورتی که معتقد باشند دادههای شرکت محلی است، باز کنند. مصرف کنندگان در معرض خطر هستند.
از آنجایی که ماسک اکنون سیستمهای توییتر را به روی افراد خارجی غیرمنتظره باز میکند، او در حال برگزاری یک نمایش عمومی است که سوالات بزرگی را در مورد خطرات امنیتی و حفظ حریم خصوصی ایجاد میکند که – عدم نظارت دقیق DPC – میتواند سایر مقامات حفاظت از دادهها را به سمتی سوق دهد که اتحادیه اروپا به طور فزاینده نگران آن است. یکپارچگی نظارت ایرلندی توییتر نیز. (و GDPR به مداخلات اضطراری توسط DPAهای غیر سرب در صورت مشاهده خطر جدی برای دادههای کاربران محلی اجازه میدهد، بنابراین توییتر میتواند در سایر نقاط اتحادیه اروپا مورد بررسی دقیق قرار گیرد، حتی زمانی که هنوز ظاهراً در داخل OSS است، مانند TikTok اخیراً در ایتالیا.)
از زمانی که ماسک شرکت را تصاحب کرد، توییتر عملکرد ارتباطی خود را تعطیل کرد – بنابراین امکان پرسیدن سؤالات دفتر مطبوعاتی در مورد سطح دسترسی به دادههایی که توییتر برای خبرنگاران خارجی فراهم میکند یا مبنای قانونی که برای اشتراکگذاری آن اطلاعات بر آن تکیه میکند، وجود نداشت. اما خوشحالیم که اگر توییتر میخواهد آن را ارسال کند، بیانیهای را اضافه میکنیم.