JUSS OG SAMFUNN

Facebook: – Kan ikke forklare hvordan systemet bruker data

Facebook har tidligere vist seg tilbakeholdne med informasjon om hvordan de bruker data om deg og meg. Et lekket internt dokument viser en av årsakene: Selskapet sliter med å få oversikt selv.

Rundt 15.000 funksjoner er utviklet og i bruk bare i annonse-modellene til Facebook. Ingen har oversikt over hvilke data som brukes hvor.
Rundt 15.000 funksjoner er utviklet og i bruk bare i annonse-modellene til Facebook. Ingen har oversikt over hvilke data som brukes hvor. Illustrasjonsfoto: Aleksandr Volkov
1. mai 2022 - 14:00

Facebook eier Meta opplever det de internt beskriver som en «tsunami» av personvern-reguleringer over hele verden. Stadig oftere kommer krav om å gjøre rede for hvordan data og deg og meg brukes i selskapets «familie av apper».

Det er ikke så lett å svare ut som tilsynsmyndighetene skal ha det til, skal vi tro et lekket internt dokument Motherboard har fått tak i.

Facebook har ingen anelse hvor dataene flyter og hva de brukes til.

– Ikke et adekvat nivå av kontroll

Dokumentet er skrevet i fjor av ingeniører på reklame- og bedriftsprodukt-teamet, som har ansvar for funksjonaliteten som kobler kunder og butikker sammen, eller overvåkingsbasert reklame, som forbrukerrådet liker å kalle det.

Temaet for dokumentet: Hvor godt forberedt er selskapet til å svare ut eventuelle nye krav om transparens i bruken av persondata, og hvilke investeringer må til for å skaffe den oversikten myndigheter verden over forventer at selskapet allerede har?

– Vi har ikke et adekvat nivå av kontroll og evne til å forklare hvordan systemene våre bruker data. Dermed kan vi ikke trygt gjennomføre kontrollerte policy-endringer, eller gi eksterne forpliktelser av typen «Vi skal ikke bruke data X til formål Y». Likevel er dette nøyaktig hva regulatorene forventer at vi skal kunne, skriver de ansatte i dokumentet.

Det har de rett i, i henhold til GDPR må du kunne vise hva du bruker data til.

Formål

Formålshensynet som er bygget inn i GDPRs artikkel 5, spesifiserer at data bare kan samles til de formålene som uttrykkelig er angitt, og ikke kan gjenbrukes til andre, ikke forenlige formål.

Med andre ord, du må fortelle brukerne dine hva dataene de legger igjen brukes til, og ikke bruke dem til noe annet. Ber en plattform deg om å legge igjen telefonnummer for å tilby deg tofaktor-pålogging, kan de ikke bruke telefonnummeret ditt til å få oversikt over nettverket ditt eller sende deg meldinger med oppdateringer og reklame.

Usikkerheten rundt Facebooks viderebruk av data som likerklikk og innlegg, var derfor en av de viktigste årsakene til at Datatilsynet droppet egen Facebook-side.

Lite overskitlig

Beskrivelsen i dokumentet av dataflyten internt i Metas systemer vitner om en svært lite oversiktlig dataflyt.

– I over et tiår har åpenhet og styrking av innholdsskaperne vært en del av vår kultur. Vi har bygget systemer med åpne grenser. Resultatet kan beskrives med en analogi: Se for deg at du holder en flaske med blekk i hånden. Denne flasken inneholder en blanding av alle typer brukerdata. Du heller blekket ut i en sjø (våre åpne data-systemer, vår åpne kultur) … og det flyter … overalt, skriver ingeniørene i dokumentet.

Litt som å prøve å få tannkremen tilbake i tuben, er det et problem å få strukturert dataflyten på nytt, slik at data bare flyter «der den har lov til å flyte».

Rundt 15.000 funksjoner er utviklet og i bruk i reklame-modellene til selskapet. En enkelt funksjon som nevnes i dokumentet, som ser ut til å handle om at en bruker flytter til en ny by, bruker rundt 6000 tabeller fra Metas datasjø for å fungere.

Vil kreve mellom 450 og 750 utvikler-årsverk

Dokumentet går videre med å beskrive nødvendige investeringer for å rydde opp og få oversikt. Titusenvis av datafangstpunkter til bruk i annonsesystemet er ikke kontrollert, og alle disse må skrives om og migreres til et kontrollert miljø, mener ingeniørene.

Dersom dataene bare kan brukes til det formålet de opprinnelig ble samlet inn for, må metadata om formålet følge datapunktene videre i systemet. Få systemer designet før 2018 bygger på et slikt prinsipp.

Eller som Facebook skriver i dokumentet:

– Datainfrastrukturen må ha en form for semantisk bevissthet om data-ressursene, slik at den vet om dataene inneholder data fra personer som ikke har gitt samtykke. Å bygge det vil ta flere år, vi er fortsatt i en tidlig fase av scoping og estimering.

De foreløpige estimatene i dokumentet viser behov for mellom 450 og 750 utvikler-årsverk for å løse de tekniske utfordringene.

Kan bli utfordrende for tilsynsmyndigheter

Nylig ble det politisk enighet om DSA i EU, og den nye reguleringen krever åpenhet om algoritmene.

Kort tid senere kom et ikke så oppløftende frempek om hva tilsynsmyndighetene kan vente seg, da Amazon nektet Australske myndigheter innsyn i søkemotor-algoritmene.

Dersom det å finne ut hvordan dataene brukes, er en så kostbar og kompleks øvelse som dette dokumentet tilsier, kan det bli utfordrende for tilsynsmyndigheter å få tak i dokumentasjonen de ønsker seg.

– Ikke et tegn på manglende lovlighet

Dokumentet speiler på ingen måte Facebooks etterlevelse av lover og reguleringer, mener selskapet selv, snarere tvert i mot.

– Siden dette dokumentet ikke beskriver våre omfattende prosesser og kontroller for å overholde personvernregler, er det rett og slett unøyaktig å konkludere med at det viser manglende overholdelse. Dokumentet gjenspeiler de tekniske løsningene vi bygger for å skalere de nåværende tiltakene vi har på plass for å forvalte dataene og oppfylle lovkravene, sier en talsperson fra Facebook til Motherboard.

Alle samler inn data om brukere, men det er til dels store forskjeller mellom de ulike aktørene.
Les også

Forskere har avdekket hvilken teknologigigant som samler inn mest data om brukere – og hvem som samler inn minst

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.