Projek biometrik kripto kontroversial Worldcoin hampir sepenuhnya dikeluarkan dari Eropah selepas ditimpa dengan larangan sementara lain - kali ini di Portugal. Arahan dari pihak berkuasa perlindungan data negara itu datang setelah arahan penghentian pemprosesan tiga bulan yang serupa dari PDA Sepanyol awal bulan ini.
Portugal adalah salah satu dari dua negara Eropah terakhir di mana Worldcoin masih menjalankan bola mata pemindaannya setelah larangan Sepanyol. Ini meninggalkan Jerman sebagai satu-satunya pasaran di mana ia masih boleh mengumpulkan data biometrik di Eropah ketika pengawas privasi mengambil tindakan segera untuk mengatasi kebimbangan tempatan.
Pihak berkuasa perlindungan data Portugal mengatakan mereka mengeluarkan larangan tiga bulan ke atas operasi tempatan Worldcoin pada Selasa selepas menerima aduan bahawa Worldcoin telah mengimbas bola mata kanak-kanak.
Aduan lain yang dinyatakan dalam kenyataan akhbarnya yang mengumumkan penggantungannya, yang dikeluarkan pada Isnin, juga menggambarkan kebimbangan PDA Sepanyol - termasuk maklumat yang tidak mencukupi yang diberikan kepada pengguna mengenai pemprosesan data biometrik sensitif mereka; dan ketidakupayaan pengguna untuk memadamkan data mereka atau menarik balik persetujuan untuk pemprosesan Worldcoin.
Penggunaan teknologi blockchain oleh projek untuk menyimpan token yang diperoleh dari pemindaan biometrik bermaksud sistem itu direka untuk mengekalkan data peribadi secara kekal - tanpa jalan keluar bagi orang untuk memadamkan maklumat mereka selepas itu.
Sebaliknya, undang-undang perlindungan data EU memberikan hak-hak kepada orang-orang di rantau itu terhadap data peribadi mereka, termasuk keupayaan untuk membetulkan, mengubahsuai atau memadamkan data tentang mereka. Jadi terdapat konflik undang-undang yang tidak dapat dielakkan dengan pendekatan Worldcoin - sebelum mengambil kira isu-isu lain yang membimbangkan seperti insentif kewangan hampir-hampir yang ditawarkan untuk menggalakkan orang untuk mengimbas; data biometrik yang sangat sensitif yang terlibat; dan matlamatnya untuk membina dan mengendalikan lapisan identiti untuk "keinsanan".
Projek kontroversial ini disokong oleh Sam Altman, yang terkenal dengan OpenAI, yang pada masa yang sama mempercepatkan ledakan dalam alat AI generatif yang membuatkan semakin sukar bagi orang untuk membezakan antara aktiviti buatan (diproduksi mesin) dan aktiviti manusia dalam talian pada mulanya. Langkah seterusnya: Pengutipan sewa pada setiap manusia dalam talian di Bumi?
Pihak berkuasa Portugal, CNPD, mengatakan mereka mengambil tindakan selepas menerima "puluhan" aduan tentang Worldcoin bulan lalu.
Pihak berkuasa itu menjangkakan lebih dari 300,000 orang di Portugal telah menyerahkan data iris mereka dengan bola mata Orbs proprietari dalam pertukaran untuk beberapa Worldcoin, mata wang kripto yang juga direka oleh syarikat itu, mencatatkan bahawa bilangan lokasi di mana ia menawarkan pemindaan bola mata hampir dua kali ganda dalam tempoh enam bulan. Mereka menambah bahawa aliran besar orang yang mencuba menawaran mata wang kripto sebagai pertukaran untuk pemindaan mata memaksa Worldcoin memulakan sistem pra-pesan untuk pemindaan di pasaran.
Tentang risiko kepada data kanak-kanak, CNPD mencatat penjuru operator Orb Worldcoin tidak mempunyai pengesahan umur - menunjukkan bahawa langkah-langkah kukuh tidak diambil untuk menghalang kanak-kanak daripada mengakses teknologi tersebut.
“Data biometrik termasuk dalam data khas di bawah GDPR [Peraturan Perlindungan Data Am] dan oleh itu menikmati perlindungan yang ditingkatkan, dengan risiko pemprosesannya adalah tinggi,” mereka menulis. “Di sisi lain, orang muda adalah sangat mudah terdedah dan juga tunduk kepada perlindungan khas di bawah undang-undang kebangsaan dan Eropah, kerana mereka mungkin kurang sedar akan risiko dan akibat pemprosesan data peribadi mereka, dan juga hak mereka.”
Pihak berkuasa Portugal memberi masa 24 jam kepada Worldcoin untuk mematuhi arahan penghentian pemprosesan tempatan.
Kerana laman web Worldcoin.org tidak lagi termasuk Portugal dalam senarai negara di mana pemindaan bola mata boleh dibuat (seperti yang dinyatakan di atas Jerman adalah satu-satunya negara Eropah yang tinggal, bersama dengan Argentina, Chile, Jepun, Singapura dan Amerika Syarikat), ia kelihatan telah mematuhi tempoh masa.
Secara kebetulan atau tidak, Jerman adalah pasaran EU di mana pembangun Worldcoin, Tools for Humanity, mempunyai pangkalan serantau. Rakan kongsi bersama, Alex Blania, juga adalah rakyat Jerman. Pihak berkuasa perlindungan data Bavaria, yang menjadi peneraju pengawasan perlindungan data syarikat dalam beberapa kes yang lain dan telah menyiasat Worldcoin sejak tahun lalu, masih belum mengambil sebarang intervensi awam walaupun pihak berkuasa rakan sebaya di Selatan Eropah membuat intervensi segera untuk melindungi warganegara di pasaran mereka sendiri.
Worldcoin gagal mendapatkan injunksi terhadap arahan Sepanyol awal bulan ini, meskipun rayuan terhadap tindakan PDA berterusan. Tidak jelas sama ada ia berniat untuk cuba merayu arahan Portugal.
Tools for Humanity (TFH) telah dihubungi untuk maklum balas terhadap arahan larangan terkini di EU. Jurucakapnya, Rebecca Hahn, kini menghantar kenyataan (di bawah) yang diberikan kepada Jannick Preiwisch, pegawai perlindungan data, di Worldcoin Foundation, di mana ia mendakwa bahawa syarikat itu "sepenuhnya mematuhi semua undang-undang dan peraturan yang mengawal pengumpulan dan pemindahan data biometrik, termasuk Peraturan Perlindungan Data Umum Eropah".
“Yayasan Worldcoin mempunyai pelbagai hormat terhadap peranan dan tanggungjawab pihak berkuasa perlindungan data, di CNPD di Portugal,” beliau menambah. “Sejak menawarkan perkhidmatan pengesahan keinsanan di Portugal, kami telah menjadi benar-benar telus dan bersedia untuk menjawab soalan atau kebimbangan CNPD. Laporan dari CNPD adalah kali pertama kami mendengar daripada mereka mengenai banyak perkara ini, termasuk laporan pendaftaran di bawah umur di Portugal, yang mana kami tidak mempunyai tolak ansur dan sedang berusaha untuk menyelesaikan dalam semua kes, walaupun satu ke dua laporan.”
Kami juga telah menghubungi PDA Bavaria untuk mendapatkan kemaskini mengenai siasatannya. Seorang jurucakap bagi pihak berkuasa memberitahu kami bahawa siasatannya masih berjalan. “Berdasarkan peranan kami sebagai pihak berkuasa pengawasan utama untuk World Coin Foundation kami berhubung dengan pihak kawal untuk menetapkan sepantas mungkin langkah-langkah berjaga-jaga yang boleh menghentikan kemungkinan penyalahgunaan perkhidmatan dan pelanggaran terma perkhidmatan,” tambahnya, mengatakan mereka kini sedang menyiasat lebih daripada 20 aduan dari subjek data di Sepanyol yang menyoal mengenai pemprosesan data kanak-kanak.
Sebagai DPA teratas TFH, di bawah mekanisme kedai satu henti (OSS) dalam Peraturan Perlindungan Data Am blok, ia bertanggungjawab untuk menyiasat sejumlah aduan privasi dan perlindungan data tentang syarikat.
Struktur ini bermaksud DPA Bavaria akan mengeluarkan keputusan draf mengenai siasatannya terhadap GDPR Worldcoin untuk pihak berkuasa rakan kongsi untuk dikaji semula. Pihak berkuasa lain kemudian berpeluang untuk memberi bantahan jika mereka tidak bersetuju dengan penemuan tersebut. Peraturan tersebut memerlukan sokongan majoriti untuk keputusan dalam kes lintas sempadan, yang membenarkan langkah-langkah lemah untuk diatasi jika ada konsensus bahawa tindakan yang lebih tegas diperlukan. Ini seterusnya membenarkan risiko membeli-belah forum yang merupakan sebahagian dari mekanisme OSS GDPR itu dapat dikurangkan, walaupun dalam jangka masa yang lebih panjang.
Kuasa Artikel 66 GDPR, yang Sepanyol gunakan untuk larangan sementara tempatannya ke atas Worldcoin, juga memberikan pihak berkuasa alat untuk bertindak balas terhadap risiko segera dalam kes di mana pihak berkuasa utama tidak bertindak dan/atau lambat bertindak.
Walau bagaimanapun, pihak berkuasa Portugal memberitahu kami bahawa mereka tidak bergantung kepada kuasa Artikel 66 dalam kes ini. Sebaliknya mereka mengatakan mereka memulakan kajian sendiri pada projek Worldcoin, pada bulan Ogos 2023, ketika tidak jelas bagi mereka yang mana antara entiti yang terlibat yang bertanggungjawab secara undang-undang untuk pemprosesan data.
“Berdasarkan deklarasi yang diberikan oleh kedua-dua syarikat… [berpusat di Kepulauan Cayman] Yayasan Worldcoin mempersembahkan dirinya sebagai pengawal data data biometrik dan data berkaitan lain dengan World ID, dan [berpusat di Amerika Syarikat] Syarikat Tools for Humanity adalah pemproses untuk pemprosesan data tersebut dan merupakan pengawal untuk pemprosesan data Aplikasi Dunia,” seorang jurucakap bagi pihak berkuasa memberitahu kami. “Justeru, kerana Yayasan Worldcoin adalah pengawal data biometrik dari 24 Julai 2023, dan TFH hanyalah pemproses, kami tidak mengadukan sebarang aduan kepada Jerman kerana kedai satu henti tidak terpakai kepada pemprosesan data khusus ini.”
Malangnya pihak berkuasa Sepanyol dan Portugal tidak langsung melabelkan pihak berkuasa Bavaria kerana mengambil masa terlalu lama untuk menyiasat TFH. Tetapi fakta lain PDA membuat intervensi segera mereka menunjukkan banyak.
“Berdasarkan keadaan semasa, di mana terdapat kekurangan undang-undang dalam pemprosesan data biometrik kanak-kanak, berkaitan dengan pelanggaran potensi standard GDPR lain, CNPD memahami bahawa risiko terhadap hak asasi warga adalah tinggi, membenarkan intervensi segera untuk mengelakkan kemudaratan serius atau tidak dapat dipulihkan,” dijelaskan oleh pihak berkuasa Portugal, menyatakan mereka akan terus menyiasat aktiviti tempatan Worldcoin.
Dalam kenyataan, presiden CNPD, Paula Meira Lourenço, menambah: “Arahan ini untuk mengehadkan sementara pengumpulan data biometrik oleh Yayasan Worldcoin, pada masa ini, adalah langkah yang tidak berkepentingan dan dibenarkan untuk mendapatkan kesan yang berguna dalam mempertahankan kepentingan awam dalam menjaga hak asasi, terutamanya kanak-kanak.”
Laporan ini dikemaskini dengan komen daripada Worldcoin dan PDA Bavaria. Kami juga membuat pembetulan selepas PDA Portugal memberitahu kami mereka tidak bergantung kepada kuasa Artikel 66 GDPR bagi arahan penghentian pemprosesan mereka, seperti yang kami laporkan pada mulanya. Mereka berkata ini kerana mereka mengenal pasti entiti yang berasaskan di Amerika Syarikat dan Kepulauan Cayman yang berkaitan dengan operasi Worldcoin tempatan sebagai entiti yang bertanggungjawab dalam kes ini - bermakna kedai satu henti tidak terpakai
