Il primo marzo 2022 è entrata in vigore una innovativa normativa cinese che si propone l’obiettivo di disciplinare gli algoritmi utilizzati dalle compagnie tech cinesi per attività di profilazione e raccomandazione di contenuti.
Nuova legge privacy cinese, che devono sapere le aziende italiane che lavorano con la Cina
Tra privacy e IT
La disciplina (si tratta di un Regolamento emanato dalla Cyberspace Administration of China (CAC)) si colloca in crocevia tra privacy, diritto antitrust e diritto dell’informatica, con il legislatore cinese che da un lato regola gli effetti di questi algoritmi sulla vita e sull’esperienza web degli utenti, dall’altro impone maggiore trasparenza per gli operatori e da ultimo impone un uso “leale” degli algoritmi in un mercato concorrenziale.
Inutile dire che questa ulteriore innovazione complica ulteriormente il già frammentato quadro normativo cinese in tema di diritto alla riservatezza, già oggi “vittima” delle sovrapposizioni fra disciplina della cybersecurity e disciplina della tutela dei dati personali, con i tre giganti costituiti dalla Cybersecurity Law (CSL – di importanza preponderante), dalla Data Security Law (DSL – entrata in vigore lo scorso primo settembre 2021) e dalla Personal Information Protection Law (PIPL entrata in vigore lo scorso primo novembre 2021) e numerose norme di dettaglio, vincolanti o facoltative.
A questa complessità verticale della normativa si associa la complessità orizzontale delle varie discipline locali, come ad esempio la normativa a tutela dei dati personali adottata a Shenzhen lo scorso primo gennaio, che pur si propone come una declinazione di dettaglio della Data Security Law, comporta in realtà ulteriore complessità nel già frastagliato contesto normativo cinese di settore.
Le principali novità
Le principali novità della disciplina cinese entrata in vigore lo scorso marzo, la cosiddetta “Algorithm Regulation”, sono le seguenti:
- gli algoritmi utilizzati per attività di profilazione e raccomandazione di contenuti agli utenti devono essere utilizzati in maniera conforme alla legge e senza mettere in pericolo la sicurezza nazionale;
- Gli algoritmi non possono essere utilizzati con fini elusivi del controllo governativo o anticoncorrenziali.
- i servizi che utilizzano algoritmi per raccomandare contenuti, servizi o prodotti ai propri utenti non devono fornire informazioni non autorizzate e non devono diffondere fake news;
- è necessario che l’utilizzo di algoritmi di raccomandazione venga accompagnato da una trasparente informativa agli utenti riguardo ai principi base, allo scopo e ai principali meccanismi con cui operano gli algoritmi (la disciplina pare più rigida, almeno stando alla lettera della norma, rispetto a quella europea che distingue gli oneri di informativa limitando quelli più incisivi ai soli sistemi di intelligenza artificiale ad alto rischio);
- gli utenti devono essere in grado di “controllare” l’algoritmo selezionando e deselezionando i tag su cui il fornitore si basa per delineare la profilazione dei fruitori del suo servizio e potendo anche eliminare in toto i servizi di raccomandazione tramite algoritmi;
- particolare attenzione è dedicata dalla normativa all’”utilizzo sicuro” dell’algoritmo nel caso in cui l’utente sia anziano, tutelandolo e proteggendolo da frodi, ma anche nel caso in cui l’utente sia un minore, facendo in modo che l’algoritmo promuova contenuti benefici per la salute del corpo e della mente.
I requisiti dell’algoritmo
La normativa prescrive inoltre una serie di requisiti relativi alle misure tecniche e dei sistemi di gestione degli algoritmi utilizzati, prestando attenzione all’etica tecnologica e alla protezione della sicurezza dei dati e delle informazioni degli utenti.
La normativa cinese prescrive poi l’adozione di misure antifrode nel settore delle telecomunicazioni e di meccanismi di risposta alle emergenze per incidenti di sicurezza.
Vengono poi previsti meccanismi obbligatori di revisione del codice alla base dell’algoritmo, da effettuare con frequenza, sia per quanto riguarda il funzionamento dell’algoritmo, sia per quanto riguarda la moderazione di contenuti “illegali e indesiderati”
In particolare, la disciplina si concentra sui contenuti “illegali” prescrivendo che gli stessi devono essere immediatamente bloccati e ne deve essere impedita la diffusione, segnalando inoltre l’incidente verificatosi direttamente alla Cyberspace Administration of China.
L’algoritmo e le “energie positive”
Interessante è poi la disposizione che impone ai fornitori di servizi informatici B2C che utilizzino algoritmi di promuovere i valori tradizionali e diffondere “energie positive”.
La normativa parla di promuovere gli “algorithms for good”, algoritmi rivolti al bene comune che non invoglino i consumatori agli eccessi o al consumismo sfrenato.
Tra le disposizioni della nuova normativa si registrano anche le consuete regole riguardo la tutela della sicurezza nazionale, da intendersi nella tentacolare espansione del concetto che è propria del diritto della Repubblica Popolare.
L’efficacia della normativa
La disciplina è rivolta a tutti gli operatori che utilizzano algoritmi per funzioni quali la generazione, la selezione o la sintesi di contenuti, la raccomandazione di contenuti, la profilazione, il recupero e il filtraggio di contenuti o la pianificazione e il processo decisionale al fine di fornire agli utenti finali contenuti e/o informazioni.
Di fatto i principali destinatari di questa disciplina sono i grandi provider di servizi online cinesi, come Byte Dance (la compagnia dietro TikTok e il suo omologo cinese Douyin) e Tencent (la compagnia che possiede WeChat, il principale servizio di messaggistica -e tanto altro- esistente in Cina).
Sarebbe però risultato più opportuno un approccio gradato a seconda della dimensione dell’azienda che sfrutta l’algoritmo e dalla sua natura (scelta quest’ultima seguita dall’UE nella proposta dell’Artificial Intelligence Act), evidentemente però Pechino conta su un’applicazione selettiva della disciplina e sulla misura comunque limitata delle sanzioni (che se comminate ad una grande azienda echeggiano nel web cinese, se comminate ad una piccola azienda non comportano ripercussioni).
Chiaramente la normativa si applica anche alle compagnie straniere che operano in Cina rivolgendosi direttamente o indirettamente a quelli che, secondo la disciplina comunitaria, definiremmo consumatori. Queste aziende non possono aspettarsi un trattamento di favore da parte dei controllori e dovranno affrontare la difficile sfida di utilizzare algoritmi “spiegabili” e difendibili davanti al controllore cinese, senza poter più “nascondere” una parte tecnologica essenziale delle loro attività perché conservata in madrepatria.
L’adeguamento di Baidu
Il principale motore di ricerca cinese, Baidu, ha reagito all’introduzione della normativa aggiornando la propria privacy policy, specie con riferimento al servizio di mappe e navigazione (finito nel mirino del legislatore per le plurime denunce dei netizens cinesi relative a proposte personalizzate più o meno favorevoli riguardo ai suggerimenti del navigatore a seconda dell’utente).
Il 7 aprile scorso Baidu ha introdotto in particolare, nella privacy policy del proprio servizio Baidu Maps, un capitolo dedicato alle raccomandazioni personalizzate, precisando che queste si basano sulle posizioni raccolte e sulle ricerche effettuate e che è stato predisposto uno strumento intuitivo e immediato per rifiutare la personalizzazione.
Baidu precisa, inoltre, di aver istituito un sistema indipendente per il controllo delle informazioni utilizzate per il servizio di personalizzazione da parte dell’utente, che gli consente di rifiutare la personalizzazione delle raccomandazioni cliccando su una “x” a margine del contenuto personalizzato e/o impostando le preferenze per rifiutare di default la personalizzazione.
La nuova informativa di Baidu è senz’altro interessante perché testimonia la reattività dei colossi del web cinese ai diktat di Pechino, e anche perché tradisce un approccio ancora acerbo alla disciplina privacy in Cina, con Baidu che fornisce un’informativa ancora vaga in alcuni punti, ad esempio dove precisa che i dati da cui l’azienda ricava le proprie raccomandazioni personalizzate includono “altre informazioni relative al comportamento dell’utente” o dove l’azienda spiega che potrebbe raccogliere dati relativi al dispositivo dell’utente (es. dimensione dello schermo, tipologia del dispositivo e del software utilizzato, dati che solitamente concorrono ad attività di browser fingerprinting per identificare in maniera univoca un soggetto) al fine di offrirgli contenuti personalizzati (consentendo sempre all’utilizzatore delle mappe di Baidu di fare opt-out, ma è difficile pensare che l’utente comune comprenda la reale portata di questa intrusione nella propria privacy al fine di offrirgli contenuti e offerte personalizzate).
Le sanzioni
Come al solito, quando si parla di normative cinesi, desta perplessità il ridotto importo delle sanzioni, che stavolta sono comprese tra un minimo di 10,000 yuan e un massimo di 100,000 yuan (parliamo quindi di sanzioni tra i 1.500 e i 15.000 €).
Se questi numeri di certo non sono in grado di spaventare i colossi tecnologici cinesi, non bisogna dimenticare che nel Regno di Mezzo la politica precede il diritto e, se la scelta del partito è quella di dare una decisa svolta in tema di trasparenza degli algoritmi, è evidente che le sanzioni pecuniarie saranno l’ultimo dei problemi dei colossi tech del paese che dovessero disattendere le direttive di Pechino.
Altro elemento che dovrebbe destare preoccupazioni tra i giganti del web con sede nel Celeste Impero è quello che riguarda le modalità dell’indagine tesa ad accertare le violazioni. É evidente, infatti, che per verificare se un algoritmo rispetta o meno la disciplina prevista dalla nuova normativa sarà necessaria un’operazione di controllo davvero invasiva e potenzialmente lesiva degli interessi commerciali dei soggetti sanzionati, costretti ad esporre segreti industriali.
Le prospettive per il futuro
Anche con la normativa in tema di algoritmi il governo cinese fornisce prima che un programma normativo un programma politico, di progressiva e sempre più strutturata ingerenza nel settore tecnologico.
La normativa promossa da Pechino contiene quei tratti tipici del legiferare cinese degli ultimi anni, che accompagnano ad una disciplina moderna e al passo con quella occidentale, alcuni tratti peculiari, grimaldello per un utilizzo strumentale della normativa e per un uso formativo/morale della tecnologia e del diritto.
Il governo del Partito Comunista Cinese ha chiaramente delineato, negli ultimi anni, e presumibilmente continuerà a farlo in futuro, il proprio sospetto verso i colossi IT del paese, censurando comportamenti opachi e tesi al capitalismo più liberale, malvisti dalla popolazione.
In questo modo però il governo cinese porta strategicamente dalla sua parte l’opinione pubblica in una battaglia che in realtà mette sotto stretto controllo i più insidiosi player di un settore di per sé pericoloso per Pechino (perché potrebbe creare spazi di libertà invisibili all’amministrazione).