Nauka

Groźne wycieki

Masowa inwigilacja danych

Czasy, w których firmy wiedziały o kliencie tylko to, co chciał im powiedzieć, już dawno minęły. Czasy, w których firmy wiedziały o kliencie tylko to, co chciał im powiedzieć, już dawno minęły. scanrail / PantherMedia
Dane osobowe przypominają ropę naftową. Gdy wyciekną, niszczą ekosystem w nieodwracalny najczęściej sposób. O ile jednak firmy naftowe liczyć się muszą z miliardowymi karami, o tyle za dopuszczenie do utraty danych milionów osób nie grożą w zasadzie żadne konsekwencje.
Nie ma sposobu na wycofanie informacji, która raz zaczęła krążyć po internecie.Ben Torres/Bloomberg/Getty Images Nie ma sposobu na wycofanie informacji, która raz zaczęła krążyć po internecie.

Firmy wydobywające dane prowadzą politykę rabunkową: gromadzą więcej, niż rzeczywiście potrzebują, licząc na większy zysk; nie zabezpieczają też odpowiednio swoich cyfrowych zasobów przed wyciekiem, bo kosztuje to zbyt dużo albo – w warunkach cyberwojny – okazuje się zwyczajnie niemożliwe. 152 mln przejętych kont użytkowników Adobe, 145 mln rekordów danych osobowych wykradzionych z portalu eBay, 70 mln utraconych rekordów w sieci sklepów Target, 76 mln z banku JP Morgan Chase (dane za 2013/14 r.). Skala robi wrażenie, ale też znieczula: szybko przyzwyczajamy się do wielkich zbiorów danych. Paradoksalnie, to mniejsze, ale głośniejsze wycieki – haseł i numerów kart z Sony Playstation Network czy prywatnych zdjęć z chmury Apple – unaoczniły, co w ludzkim wymiarze oznacza utrata danych.

Nie ma sposobu na wycofanie informacji, która raz zaczęła krążyć po internecie – prywatność i intymność milionów ludzi zostaje nieodwracalnie naruszona. Za tym idą straty finansowe, wynikające z przejęcia dostępu do kont bankowych czy numerów kart zachowanych w sklepach internetowych. Wreszcie, erozja zaufania i wzrost poczucia zagrożenia w cyfrowym świecie, który przekłada się na kolejne opresyjne polityki, wdrażane w imię bezpieczeństwa. Analogia między utratą prywatności a zniszczeniem środowiska naturalnego, którą promują tacy myśliciele jak Eben Moglen czy Evgeny Morozov, nasuwa się sama.

Jeśli nie zmienimy kursu, możemy się obudzić w środowisku cyfrowym, które już nie pozwoli na skuteczne zachowanie prywatności na indywidualnym poziomie. Tak jak nie jest już możliwe życie w wielkim mieście bez narażenia na zanieczyszczenia powietrza. W tym sensie masowa i rabunkowa eksploatacja danych osobowych to również problem ekologiczny.

Handel ludźmi

Na tym rynku de facto handluje się ludźmi – coraz bardziej intymnymi, unikatowymi profilami, ujawniającymi nasze słabości, nałogi, marzenia, codzienną rutynę. Jak mówi Tom Davenport, profesor zarządzania i analityk biznesu, „czasy, w których firmy wiedziały o kliencie tylko to, co chciał im powiedzieć, już dawno minęły”. Tę władzę mają nie tylko największe i najbardziej rozpoznawalne koncerny, którym daliśmy się zwabić w sieć powiązanych produktów i usług. Ekosystem biznesu karmiącego się naszym cyfrowym łupieżem, zarabiającego na pakowaniu go w zgrabne profile i wystawianiu na marketingowych aukcjach, obejmuje tysiące firm, które działają w cieniu internetowych gigantów.

Do największych potentatów należy Axciom – hurtownik, który w swojej bazie ma dane pół miliarda osób, spakowane w 70 kategorii opartych na danych behawioralnych i demograficznych (np. wiek, dochody, fakt posiadania dzieci, miejsce zamieszkania). Inna firma – Rapleaf – sprzedaje informacje na temat skłonności politycznych, zwyczajów związanych z czytelnictwem, działalności charytatywnej czy posiadanych samochodów. InfiniGraph specjalizuje się w śledzeniu rozmów, jakie prowadzimy na forach internetowych i w serwisach społecznościowych, pod kątem wymienianych i komentowanych produktów. Ta wiedza trafia następnie do firm, których celem jest sprzedanie nam konkretnego produktu – od lodówki, przez bilet lotniczy, po ubezpieczenie.

Najprostszą receptą na uniknięcie problemów, jakie generuje masowa eksploatacja danych, byłoby jej ograniczenie: im mniej zbieramy, tym mniej wycieka; im mniej firmy o nas wiedzą, tym mniejsze ryzyko nadużycia informacji. Oczywiście, podobnie jak w przypadku firm paliwowych, żadna internetowa korporacja sama się w ten sposób nie opodatkuje. Zwykle w takich momentach do gry wkracza regulacja prawna. W Unii Europejskiej wkroczyła już w latach 90. ubiegłego stulecia. Niestety, tylko na papierze. W praktyce rynek usług opartych na amerykańskiej filozofii – zgodnie z którą wszystko, co nie jest zakazane, jest dozwolone – ma się świetnie również w Europie.

Jesteśmy towarem

Jak to możliwe, że staliśmy się towarem na własnym – tak mocno regulowanym – rynku? Odpowiedź jest zaskakująco prosta: obowiązywanie europejskich standardów jest ograniczone do terytorium Unii, a konkretnie zarejestrowanych tu firm lub ulokowanych serwerów. Dla firmy, która chce uniknąć europejskiej regulacji, wyprowadzenie danych na zagraniczny serwer to żaden problem, a często oszczędność. Nieco trudniej zmienić siedzibę spółki, to jednak zmartwienie lokalnych graczy – nie koncernów, które europejski rynek podbijały z zewnątrz.

Sęk w tym, że to przede wszystkim one komercjalizują nasze dane: w każdym publikowanym rankingu usług internetowych zwycięskie trzy miejsca zajmują amerykańskie firmy (w różnej konfiguracji powracają Google, Facebook, Amazon, Instagram, Twitter). Według polskich badań rynku internetowego (Megapanel 2014) pierwsze trzy miejsca w kategorii „najpopularniejsze strony i aplikacje” należą do Grupy Google (20 mln 400 tys. użytkowników), Facebook.com (17 mln 268 tys.) i YouTube (16 mln 42 tys.).

Nawet wobec tych graczy, którzy poddali się europejskiej regulacji, bardzo trudno wyegzekwować obowiązujące przepisy. Dobrze to obrazuje kazus Facebooka, który otworzył biuro w Irlandii, znanej z łagodnego podejścia do egzekwowania prawa wobec międzynarodowych korporacji. Każdy Europejczyk, który ma problem z polityką tego portalu, musi rozmawiać z irlandzkim organem ochrony danych osobowych. Taki dialog starał się nawiązać młody Austriak Max Schrems, który w 2011 r. złożył 22 skargi na politykę prywatności Facebooka i rozpoczął głośną akcję Europe vs Facebook. Mimo zaangażowania aktywistów, prawników i sympatii mediów Schrems po niemal trzech latach walki wycofał skargi. O tej decyzji przesądziła uparta bierność irlandzkiego organu, który nie wydał w tej sprawie ani jednej formalnej decyzji.

Większość amerykańskich firm – w tym Google czy Amazon – nie decyduje się nawet na sprzyjającą, irlandzką jurysdykcję i wybiera grę w podchody: formalnie rejestrują w Europie jedynie przedstawicielstwa handlowe i w ten sposób unikają wszelkiej rozmowy na temat standardów przetwarzania danych osobowych. Można tę fikcję podważać na drodze sądowej – tak jak to zrobił Hiszpan Mario Costeja González, skarżący Google w głośnej sprawie o „prawo do zapomnienia” – ale jest to droga długa i kręta.

Wreszcie, nawet jeśli w którymś miejscu Europy uda się skutecznie zaskarżyć nielegalne praktyki przetwarzania danych, organy egzekwujące to prawo nie mają skutecznych narzędzi, by zmusić firmy do zmiany polityki. Jak długo głównym kołem zamachowym eksploatacji danych jest zysk, tak długo jedynym skutecznym argumentem ją powstrzymującym będą wysokie sankcje finansowe. Przerobiliśmy tę logikę na froncie walki z nieuczciwą konkurencją, gdzie Komisja Europejska czy polski Urząd Ochrony Konkurencji i Konsumentów (UOKiK) mają w zanadrzu milionowe kary. Nawet jeśli sprawa ostatecznie kończy się ugodą i anulowaniem kary, problem w ten czy inny sposób zostaje rozwiązany. Dla porównania, polski Generalny Inspektor Ochrony Danych Osobowych (GIODO) dysponuje sankcją finansową do wysokości 50 tys. zł, i to tylko w sytuacji, gdy firma zwleka z wykonaniem jego decyzji. W 2013 r. generalny inspektor skorzystał z tej możliwości dwa razy, a żadna sankcja nie przekroczyła 25 tys. zł.

Masowa inwigilacja

Trudno się dziwić, że w takim środowisku regulacyjnym rozwinął się model biznesowy oparty na komercjalizacji prywatności. Recepta nie wydaje się skomplikowana: wystarczyłoby zmienić zasady jurysdykcji (tak aby tym samym zasadom podlegały firmy europejskie i zagraniczne), uprościć procedurę wnoszenia skarg (punktem kontaktowym dla obywatela powinien być lokalny, a nie zagraniczny urząd) i dać organom egzekwującym prawo mocne argumenty – sankcje na poziomie, który jest w stanie zdyscyplinować nawet największe korporacje (np. 5 proc. globalnego obrotu, co przekłada się na setki milionów euro). Taka propozycja pojawiła się na stole i nawet zrobiła pewną polityczną karierę.

Doniesienia o masowej inwigilacji przyspieszyły prace nad nowymi standardami ochrony danych osobowych w UE. W 2014 r. wchodziliśmy z projektem nowego prawa, uzgodnionym przez wszystkie frakcje polityczne Parlamentu Europejskiego. Niestety, przez kolejne 12 miesięcy ten proces niewiele posunął się do przodu. Partykularne interesy poszczególnych krajów nadal ścierają się w Radzie Unii Europejskiej, a końca negocjacji nie widać. Tym bardziej że Rada pracuje według zasady „dopóki wszystko nie jest uzgodnione, nic nie jest uzgodnione”. Do tej pory rządy przyjęły wspólne stanowisko w kilku sprawach, m.in. regulacji sektora publicznego i szczególnych sytuacji, takich jak badania naukowe czy analizy statystyczne. Jednak kluczowe tematy – w tym śledzenie i profilowanie w internecie czy egzekwowanie nowego prawa i zasady współpracy między organami ochrony danych – pozostają otwarte.

Wiele wskazuje na to, że UE chciałaby mieć ciastko i zjeść ciastko: utrzymać – przynajmniej na papierze – wysoki standard ochrony danych osobowych, a jednocześnie dogonić Amerykę w wyścigu o zysk z komercjalizacji danych. Jednym z priorytetów nowej Komisji Europejskiej jest tzw. jednolity rynek cyfrowy. W programie Jeana-Claude’a Junckera jest on obietnicą wzrostu gospodarczego: „Rozwijając jednolity rynek cyfrowy, możemy zapewnić dodatkowy wzrost o wartości nawet 250 mld euro, a przy tym stworzyć tysiące nowych miejsc pracy i zbudować dynamiczne społeczeństwo oparte na wiedzy”. Sam Juncker przyznaje jednak, że nie będzie wspólnego rynku cyfrowego bez zharmonizowanych przepisów o ochronie danych osobowych.

W pewnym momencie europejscy decydenci będą więc musieli zdecydować, czego chcą bardziej: skutecznej ochrony prywatności czy pragmatycznego wyciskania wartości z danych. To bardzo podobny dylemat do tego, który Unia przerabiała w sferze ochrony środowiska. W pewnym momencie postawiła na węgiel i stal, jednak umiała się z tej polityki wycofać. Dziś budujemy innowacyjność i wzrost gospodarczy w oparciu o zieloną energię, a nie tradycyjne technologie eksploatacji surowców. Ta polityka przełożyła się też na wsparcie dla europejskich firm, które odpowiedziały na społeczne zapotrzebowanie i potrafiły skorzystać z nowych warunków regulacyjnych.

Czy podobny pomysł na zrównoważony, ekologiczny model przebije się w odniesieniu do rynku cyfrowego? Niewykluczone. Coraz bardziej oczywiste wydaje się, że młode europejskie spółki, nawet gdyby chciały, nie dogonią amerykańskich potentatów w wyścigu po wielkie zbiory danych. Mogą jednak zaproponować inne podejście do wykorzystywania cyfrowych zasobów – odpowiedzialne, przejrzyste, oparte na zaufaniu i upodmiotowieniu klientów.

Autorka jest prezeską Fundacji Panoptykon, zajmującej się ochroną wolności i praw człowieka w społeczeństwie nadzorowanym, wiceprzewodniczącą koalicji European Digital Rights.

Więcej na ten temat
Reklama

Czytaj także

Społeczeństwo

Pokolenie iGen: jakie jest i co mu zagraża

Przedstawiciele młodego pokolenia iGen nie wyobrażają sobie życia bez stałego kontaktu z całym światem, który jest zamknięty w małym pudełeczku, na dodatek w kieszeni – mówi dr Tomasz Grzyb, psycholog, profesor na Uniwersytecie SWPS we Wrocławiu.

Teresa Olszak
25.05.2019
Reklama

Ta strona do poprawnego działania wymaga włączenia mechanizmu "ciasteczek" w przeglądarce.

Powrót na stronę główną