เมื่อเราถูกเลือกปฏิบัติบนฐานของ “ข้อมูล” : ค้นหาการเลือกปฏิบัติในระบบฐานข้อมูล

2016.04.13 09:56

แปลจาก Locating Discrimination in Data-Based Systems เขียนโดย Darren Stevenson นักศึกษาปริญญาเอก ภาควิชาการสื่อสารศึกษา มหาวิทยาลัยมิชิแกน

ความรู้ที่ขาดอยู่

วิดีโอเกม DataDealer.com นำเสนอเรื่องความเป็นส่วนตัวทางดิจิทัล การจัดเก็บข้อมูลส่วนตัว และการใช้ข้อมูลที่น่าสงสัยของบริษัทต่างๆ ให้เป็นเรื่องสนุก ผู้เล่นจะรับบทเป็นตัวแทนซื้อขายข้อมูลที่ไม่มีศีลธรรม เข้าไปอยู่ในโลกที่คลุมเครือของการซื้อขายข้อมูลส่วนตัว ซึ่งบริษัทต่างๆ มีพฤติกรรมรุกรานในการรวบรวม ใช้ แลกเปลี่ยน และขายข้อมูลส่วนตัว ผู้เล่นเกมนี้จะรวบรวมข้อมูลเกี่ยวกับบุคคลโดยที่บุคคลเหล่านั้นไม่รู้ตัว และนำไปขายให้กับผู้อื่น ในวิดีโอเปิดตัวของเกมนี้ มีผู้คนถูกปฏิเสธที่อยู่อาศัย การประกันชีวิต และงาน บนพื้นฐานของข้อมูลที่บริษัทมีอยู่

ในขณะที่การกระทำแต่ละอย่างเหล่านี้อยู่ภายใต้การกำกับดูแล เกมได้สะท้อนให้เห็นถึงข้อกังวลที่มากขึ้นเรื่อยๆ เกี่ยวกับวิธีการต่างๆ ที่บริษัทเก็บ รวบรวม วิเคราะห์ และนำข้อมูลดิจิทัลของพวกเรามาทำให้เป็นเงิน เกมเล่นกับความวิตกกังวลที่เพิ่มขึ้นเรื่อยๆ เกี่ยวกับการใช้ข้อมูลส่วนตัวไปในทางการค้าและรายละเอียดการใช้งานดังกล่าวที่มักไม่เปิดเผยต่อสาธารณะ

ความกลัวเหล่านี้สมเหตุสมผลหรือไม่ คำถามนี้เป็นเรื่องน่าประหวั่นสำหรับผู้รณรงค์เพื่อสิทธิพลเมือง ผู้วางนโยบาย และผู้กำกับให้เป็นไปตามกฎหมาย เพราะว่าเท่าที่ผ่านมา เรายังตอบไม่ได้ ในปัจจุบัน ความกังวลเหล่านี้มาจากการคาดคะเนมากกว่าการสังเกตจากเหตุการณ์จริง และการไม่มีตัวอย่างที่ชัดเจนเหล่านี้ได้ขัดขวางการถกเถียงโต้แย้งและการวางระเบียบข้อบังคับที่เป็นประโยชน์

ข้าพเจ้าต้องการเสนอสองเหตุผลสั้นๆ ว่า ทำไมมันจึงยากที่จะระบุกรณีการเลือกปฏิบัติในระบบนิเวศของ “มวลมหาข้อมูล” (big data) อย่างทุกวันนี้ และให้ข้อเสนอสำหรับการแก้ปัญหาการขาดแคลนความรู้ดังกล่าว

ระบบข้อมูลดิจิทัลมีบทบาทที่สำคัญขึ้นเรื่อยๆ ในการกำหนดผลลัพธ์ทางสังคม รวมถึงก่อนการอนุมัติเครดิตและการสมัครงาน / ภาพ “ทางข้อมูล Ryo.Ikeda – 3” โดย r2hox (CC by-sa)

ระบบข้อมูลดิจิทัลมีบทบาทที่สำคัญขึ้นเรื่อยๆ ในการกำหนดผลลัพธ์ทางสังคม รวมถึงก่อนการอนุมัติเครดิตและการสมัครงาน / ภาพ “ทางข้อมูล Ryo.Ikeda – 3” โดย r2hox (CC-by-sa)

ความท้าทายด้านเทคนิค

อย่างแรก ในขณะที่ความเป็นไปได้ของการเลือกปฎิบัติด้วยข้อมูลได้เพิ่มขึ้นอย่างมากในช่วงไม่กี่ปีที่ผ่านมา เครื่องมือที่ใช้วิเคราะห์ว่าระบบเหล่านี้ทำงานอย่างไรกลับยังไม่ถูกพัฒนาขึ้นในระดับที่เท่าเทียมกัน เนื่องจากมีแรงจูงใจทางเศรษฐกิจน้อยในการพัฒนาเครื่องมือเหล่านี้ ผลลัพธ์คือ มีเครื่องมือที่จะใช้วิเคราะห์จำกัด และทำให้การทำงานและผลกระทบของระบบเหล่านี้มีความโปร่งใสน้อย

เมื่อเป็นเช่นนี้ เพื่อศึกษาว่าอัลกอริทึมและระบบทำงานอย่างไร นักวิจัยมักจะต้องผ่านขั้นตอนที่ใช้แรงงานอย่างมาก ซึ่งรวมถึงการลองปรับคำค้นสำหรับโปรแกรมค้นหาด้วยมือและค่อยๆ เปลี่ยนข้อมูลของผู้ใช้งานหรือหมายเลขไอพีประจำเครื่องคอมพิวเตอร์อย่างพิถีพิถัน เพื่อให้ได้การปฏิบัติหรือผลลัพธ์ที่ต่างออกไป

ในทางหนึ่ง เราอาจสู้กับอุปสรรคทางเทคโนโลยีนี้ด้วยการพัฒนาซอฟต์แวร์และแนวปฏิบัติเพื่อสนับสนุนการศึกษาการตรวจสอบภายในระบบสารสนเทศ (information system audit) ตัวอย่างของการศึกษาการตรวจสอบแบบออฟไลน์ที่โดดเด่นคือ การส่งประวัติการทำงานที่เกือบจะเหมือนกันหลายๆ ชิ้นไปยังผู้รับสมัครงาน โดยปรับเปลี่ยนชื่อของผู้สมัครงานให้เกี่ยวโยงกับเชื้อชาติ เมื่อข้อมูลทุกอย่างที่เหลือเหมือนกัน ความแตกต่างของผลตอบรับที่สังเกตได้ก็สามารถถือได้ว่ามาจากการเลือกปฏิบัติ

เพื่อจะผลักดันการศึกษาการตรวจสอบเชิงคอมพิวเตอร์ให้ก้าวหน้า เราจำเป็นต้องมีวิธีการตรวจจับซึ่งถูกปรับอย่างดีให้เข้ากับเทคโนโลยีที่เป็นพื้นฐานของระบบพาณิชย์ในปัจจุบัน ตัวอย่างเช่น หากระบบที่ช่วยตัดสินใจในการคัดเลือกบุคคลเข้าสัมภาษณ์งานหรือการอนุมัติบัตรเครดิตนั้นใช้การเชื่อมโยงข้อมูลส่วนตัว การเรียนรู้ของเครื่องจักร (machine learning) และการให้เหตุผลแบบเบย์ (Bayesian reasoning) ที่แตกต่างกันเข้าด้วยกัน ก็อาจมีความจำเป็นในการพัฒนาซอฟต์แวร์ตรวจสอบ (auditing software) ที่มีความซับซ้อนในระดับเดียวขึ้นเพื่อจะสามารถทดสอบหาผลลัพธ์ที่มีอคติ

ความท้าทายทางกฎหมาย

อย่างที่สอง ความพยายามในการค้นหาการเลือกปฏิบัติในระบบข้อมูลยังต้องพบกับปัญหาใหญ่ที่ไม่ใช่ปัญหาทางเทคนิคอีกด้วย โดยทั่วไปแล้ว ผู้ให้บริการเชิงพาณิชย์มีเงื่อนไขการให้บริการที่เข้มงวดเพื่อป้องกันไม่ให้บุคคลภายนอกศึกษาหรือนำเทคโนโลยีของพวกเขาไปใช้ในทางที่ผิด บ่อยครั้งนี่หมายถึงความพยายามแบบเหวี่ยงแหเพื่อป้องกันไม่ให้คู่แข่งวิเคราะห์ เข้าใจ และทำวิศวกรรมผันกลับ (reverse engineering) หรือหาประโยชน์กับระบบของพวกเขา

นอกจากนี้ กฎหมายที่มีเจตนาดีแต่มีอำนาจเกินเลยหลายข้อได้สร้างอุปสรรคทางกฎหมาย และทำให้ความพยายามในการศึกษาระบบออนไลน์เกือบทุกระบบกลายเป็นอาชญากรรมไม่ว่าจะมีเจตนาอย่างไรก็ตาม กรณีที่เป็นที่รู้จักมากที่สุดคือ รัฐบัญญัติว่าด้วยการฉ้อโกงและการละเมิดทางคอมพิวเตอร์ (Computer Fraud and Abuse Act – CFAA) ซึ่งอนุญาตให้รัฐบาลดำเนินคดีกับใครก็ตามที่ละเมิดเงื่อนไขการให้บริการของเว็บไซต์ [1] เกือบทุกความพยายามของนักวิจัยที่จะตรวจสอบว่าระบบสารสนเทศของบริษัททำงานอย่างไร กระทั่งการตรวจหาการเลือกปฏิบัติ เป็นไปได้ว่าจะละเมิดเงื่อนไขการให้บริการ กฎหมายเหล่านี้ให้ผลลัพธ์ในทางวิปริตกับการคุ้มครองระบบพาณิชย์ที่ขับเคลื่อนด้วยข้อมูล แม้จะเป็นจากการวิเคราะห์ที่พื้นฐานที่สุดจากภายนอกก็ตาม

กฎหมายความผิดคอมพิวเตอร์จำเป็นต้องได้รับการทบทวนอย่างชาญฉลาด อันดับแรก กฎหมายไม่ควรอนุญาตให้บริษัทมีสิทธิโดยฝ่ายเดียวในการกีดกันการตรวจสอบระบบที่มีบทบาทสำคัญต่อชีวิตพวกเราจากหน่วยงานภายนอก นอกจากนี้ความพยายามที่จะตรวจหาการใช้ข้อมูลในทางที่ผิดไม่ควรตกอยู่ภายใต้กฎหมายเดียวกันกับการเจาะระบบหรือการทำวิศวกรรมผันกลับเทคโนโลยีของคู่แข่ง กฎหมายต้องถูกปรับปรุงให้เป็นปัจจุบันและปรับเปลี่ยนอย่างละเอียดตามความแตกต่างเหล่านี้ เพื่อประกันว่าจะไม่ขัดขวางการสืบสวนการตัดสินใจที่ขับเคลื่อนด้วยข้อมูล ถ้าการสืบสวนดังกล่าวเป็นประโยชน์ต่อสังคม [2] เมื่อดูส่วนได้ส่วนเสียแล้ว การห้ามการตรวจสอบจากภายนอกอย่างสิ้นเชิงนั้นไม่สามารถเป็นที่ยอมรับได้ การสร้างข้อยกเว้นให้การวิเคราะห์ในลักษณะนี้จะทำให้นักวิจัยสามารถนำความรู้ด้านการตรวจสอบภายในมาใช้กับงานทางคอมพิวเตอร์ได้

อุปกรณ์คอมพิวเตอร์ที่ซับซ้อนสร้างข้อได้เปรียบให้กับอำนาจของเครือข่ายข้อมูลในการอำนวยความสะดวกทางดิจิทัลของพวกเรา แต่ความซับซ้อนนี้ก็ทำให้การค้นหาการเลือกปฏิบัติในระบบเหล่านี้เป็นไปได้ยาก

อุปกรณ์คอมพิวเตอร์ที่ซับซ้อนสร้างข้อได้เปรียบให้กับอำนาจของเครือข่ายข้อมูลในการอำนวยความสะดวกทางดิจิทัลของพวกเรา แต่ความซับซ้อนนี้ก็ทำให้การค้นหาการเลือกปฏิบัติในระบบเหล่านี้เป็นไปได้ยาก / ภาพ “’Lungs’ of supercomputer” โดย Argonne National Laboratory (CC-by-nc-sa)

การประสานงาน

แน่นอนว่าการทบทวนกฎหมายในปัจจุบันจำเป็นต้องมีการประสานงานกัน รวมถึงการได้รับการสนับสนุนจากตัวแทนภาคอุตสาหกรรม นอกจากนี้การพัฒนาการศึกษาการตรวจสอบภายในเชิงคอมพิวเตอร์ยังต้องการความรู้ทางด้านเทคนิคอีกมาก มากกว่าการพิมพ์และส่งข้อมูลปลอมโดยใช้ชื่อต่างๆ อย่างไรก็ดี ความท้าทายของปัญหาดังกล่าวไม่ใช่ข้ออ้างที่จะไม่ทำมันให้ลุล่วง

เราสามารถทำได้ดีกว่าการคาดเดา เราสามารถประกาศใช้กฎหมายที่ดีกว่าเดิมซึ่งคุ้มครองผลประโยชน์และความลับทางการค้าของบริษัท ในขณะเดียวกันก็อนุญาตให้บุคคลภายนอกบังคับให้บริษัทรับผิดได้หากมีการใช้งานในทางที่ผิด เราสามารถพัฒนาอุปกรณ์และซอฟต์แวร์เพื่อทดสอบหาการใช้งานในทางที่ผิดอย่างเป็นระบบและหาผลกระทบที่ไม่เท่าเทียมกัน ความเข้าใจที่ได้จากการสังเกตการทำงานของระบบเหล่านี้อาจจะเปิดเผยว่าความกลัวในปัจจุบันนั้นเป็นความกลัวที่ไม่ถูกประเด็น การพัฒนาแนวทางที่ชัดเจนสำหรับการตรวจสอบระบบเหล่านี้เป็นหนทางหนึ่งที่เราจะสามารถรู้ขนาดของปัญหาที่มีอยู่ได้ดีขึ้น และจากนั้น หากมันเป็นปัญหาจริงๆ ก็จะนำไปสู่วิธีว่าเราจะแก้ไขมันอย่างไร

อ้างอิง

  1. Greyes, Natch. “A New Proposal for the Department of Justice’s Interpretation of the Computer Fraud & Abuse Act: Note.” Virginia Journal of Law and Technology, 17 (Winter 2013): 293-354 http://www.vjolt.net/vol17/issue4/v17i4_292_Greyes.pdf
  2. ความพยายามในการปฏิรูป CFAA ที่กำลังอยู่ระหว่างการดำเนินการ ได้แก่ http://www.govtrack.us/congress/bills/113/hr2454 และ http://www.govetrack.us/congress/bills/113/s1196
    อย่างไรก็ดี ความพยายามเหล่านี้ชะลอลงไปเพราะความผิดปกติและการไม่ปฏิบัติหน้าที่ของสภาคองเกรส ดู Fox-Brewster, Thomas, “Aaron’s Law is Doomed Leaving US ‘Hacking’ Law Broken” Forbes (6 สิงหาคม ค.ศ. 2014) http://www.forbes.com/sites/thomasbrewster/2014/08/06/aarons-law-is-doomed-leaving-us-hacking-law-broken/

บทความนี้เป็นส่วนหนึ่งของ “ข้อมูลและการเลือกปฏิบัติ: รวมความเรียง” (Data and Discrimination: Collected Essays) จัดทำโดย สถาบันโอเพนเทคโนโลยี มูลนิธินิวอเมริกา (New America Foundation) (เผยแพร่ตุลาคม 2557) และแปลเป็นภาษาไทยโดย วิริยาณ์ พรสุริยะ ด้วยการสนับสนุนของมูลนิธิเพื่ออินเทอร์เน็ตและวัฒนธรรมพลเมือง (กุมภาพันธ์ 2559)

ติดตามบทความชุดนี้ได้ทางแท็ก Data and Discrimination บนเว็บไซต์ thainetizen.org

Tags: , , , , , , , ,
%d bloggers like this: