Źródło: Pixabay

Wydarzenia ostatnich tygodni po raz kolejny zwróciły uwagę opinii publicznej na zagadnienie nieodłącznie związane z mediami społecznościowymi: problem właściwej ochrony danych osobowych i konieczność istnienia właściwych regulacji prawnych dotyczących tej kwestii. Wszystko za sprawą ujawnionego dopiero w marcu tego roku wycieku danych ponad 87 milionów użytkowników Facebooka do brytyjskiej firmy doradczej Cambridge Analytica, który faktycznie miał miejsce 3 lata wcześniej. Warto jednak spojrzeć na ten incydent przede wszystkim jako na  przypomnienie o tym, w jak łatwy sposób wolność słowa i mediów, jeżeli my, jako użytkownicy portali społecznościowych i wyborcy, nie wykorzystujemy ich w świadomy sposób, mogą posłużyć do naruszenia naszego prawa do prywatności i wolności wyboru.

Większość z nas zapewne przyzna, że w obecnych czasach social media stały się nieodłączną częścią naszego życia. Z największego portalu społecznościowego, Facebooka, aktywnie korzysta już przeszło 2 miliardy ludzi – to ponad połowa osób, które w ogóle mają dostęp do Internetu. Serwisy takie ułatwiają utrzymanie kontaktu ze znajomymi (zwłaszcza tymi z nich, którzy mieszkają w innym mieście bądź kraju), wymianę informacji dotyczących studiów czy pracy a nawet promowanie własnej firmy. Coraz częściej stają się także dla użytkowników ważnym źródłem codziennych wiadomości – według raportu Pew Research Institute, opracowanego dla 38 krajów, wiedzę o wydarzeniach na świecie czerpie z portali społecznościowych 52% dorosłych (w Polsce – 30%). Odsetek ten jest jednak znacząco wyższy w grupie wiekowej 18-29 lat i wynosi 81% (dla Polski – 72%) [1].

Inną funkcjonalnością Facebooka, popularną zwłaszcza wśród młodszych użytkowników, jest możliwość brania udziału w grach czy quizach, stworzonych przez firmy zewnętrzne. Aby móc z nich skorzystać i bez przeszkód przechodzić chociażby kolejne poziomy w Candy Crush Saga należy udzielić tym aplikacjom pewnych uprawnień do naszego profilu. Dokładnie w ten sposób setki tysięcy użytkowników Facebooka zainstalowało test psychologiczny This Is Your Digital Life, zaprojektowany przez dr. Aleksandra Kogana, naukowca pracującego na Uniwersytecie w Cambridge. Zezwalając na dostęp do swoich kont, gracze nie byli jednak świadomi, że ówczesny kształt polityki prywatności Facebooka umożliwi aplikacji pobranie danych (takich jak statusy, posty, a prawdopodobnie nawet prywatne wiadomości) zgromadzone na ich profilach, a także na profilach osób należących do grona ich znajomych. Dzięki temu, do firmy Cambridge Analytica w ciągu 2-3 miesięcy przekazane zostały informacje znajdujące się na dziesiątkach milionów kont – w samej Polsce, gdzie quiz rozwiązały jedynie 23 osoby, liczba profili, których dotyczy wyciek danych, to, jak podało polskie biuro prasowe Facebooka, 57 138.

W jakim celu właściwie Cambridge Analytica gromadziła te dane? Jak ujawnił w rozmowie z tygodnikiem The Observer były pracownik firmy, Christopher Wylie, na ich podstawie tworzone były skomplikowane algorytmy mające za zadanie ustalenie, na jaki przekaz i w jakiej formie poszczególni użytkownicy będą najbardziej podatni. Wysoki stopień personalizacji pokazywanych nam przez media społecznościowe reklam czy proponowanych postów nie jest (niestety) już żadną nowością – od lat portale takie jak Facebook gromadzą dane dotyczące nie tylko profili czy postów, które „lajkujemy”, ale także naszej aktywności na innych stronach, które odwiedzamy w sieci. Powaga sytuacji leży jednak w tym, że Cambridge Analytica użyła mediów społecznościowych, aby, poprzez wyświetlanie użytkownikom odpowiednio dobranych i wysoce spersonalizowanych treści, manipulować ich opiniami wyborczymi w kampanii prezydenckiej Donalda Trumpa w 2016 roku. Co więcej, śledztwo dziennikarzy brytyjskiego Channel 4 News ujawniło, że firma ta współpracowała przy ponad 200 kampaniach wyborczych na całym świecie – m.in. w Czechach, Indiach i Argentynie oraz przy kampanii Leave.EU promującej Brexit przed referendum w Wielkiej Brytanii [2]. Działania Cambridge Analytica, do których należały także szantażowanie politycznych oponentów oraz rozpowszechnianie nieprawdziwych informacji, sam Wylie określił jako „igranie z psychologią całego narodu w kontekście procesu demokratycznego”, a firmę jako „w pełni wyposażoną machinę propagandową” [3].

W odpowiedzi na te doniesienia oczy opinii publicznej skupiły się na prezesie i twórcy Facebooka, Marku Zuckerbergu. Od czasu ujawnienia wycieku był on przesłuchiwany przez dwie komisje Senatu Stanów Zjednoczonych (komisję ds. handlu, nauki i transportu oraz komisję ds. sprawiedliwości) oraz komisję złożoną z przedstawicieli Izby Reprezentantów (ds. energii i handlu). Jedną z kluczowych kwestii poruszanych w trakcie tych przesłuchań była prywatność użytkowników Facebooka i ochrona ich danych osobowych. Ze względu na brak odpowiednich regulacji w prawie federalnym w USA spoczywa ona przede wszystkim na twórcach portali internetowych i regulaminach tych serwisów. Zwłaszcza, że według tamtejszego prawa właścicielem danych osobowych jest firma, która owe dane zebrała, nie zaś sam użytkownik.

W Europie sytuacja prawna kształtuje się zdecydowanie korzystniej dla obywateli, co odnotowane zostało przez amerykańskich senatorów w trakcie wspomnianych przesłuchań. Skandal dotyczący wycieku danych zbiegł się w czasie z planowanym na 25 maja br. rozpoczęciem obowiązywania Rozporządzenia Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, znanego jako RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych). Wprowadza ono m.in. prawo do przenoszenia danych (które zapewnia osobie fizycznej wgląd do zgromadzonych przez administratora danych) oraz prawo do usunięcia danych (tak zwane „prawo do bycia zapomnianym”). Dodatkowo, w przypadku jakiegokolwiek naruszenia ochrony danych osobowych administrator obowiązany jest w ciągu 72 godzin poinformować o tym zajściu odpowiedni organ oraz, w pewnych sytuacjach, samego użytkownika.

Istnienie odpowiednich regulacji dotyczących ochrony danych osobowych jest konieczne, aby państwo mogło należycie zabezpieczać obywateli przed naruszeniami, takimi jak opisywany wyciek personalnych informacji z Facebooka. Należy jednak pamiętać, że w kontekście mediów społecznościowych ochrona danych osobowych współistnieć powinna z wolnością słowa oraz wolnością mediów. Pojawia się zatem nieuchronnie pytanie, do jakiego stopnia treści publikowane na portalach społecznościowych powinny być kontrolowane przez państwo? W społeczeństwie ceniącym sobie możliwie szeroki zakres indywidualnych wolności nasuwającą się odpowiedzią jest: ‘w jak najmniejszym’. Przykładu dostarcza samo RODO – nie znajdziemy w nim konkretnych wytycznych dotyczących implementacji uchwalonych zasad, to administratorzy danych mają za zadanie stworzenie właściwych systemów ochrony danych. To liberalne stanowisko nakłada jednak na nas, jako użytkowników tych serwisów, obowiązek korzystania z nich w sposób świadomy, wykraczający poza podstawowe zasady zawarte w regulaminach tych portali.

Spróbujmy raz jeszcze spojrzeć na to, czego de facto dotyczy skandal związany z wyciekiem danych. Pewna zewnętrzna firma, Cambridge Analytica, zdobyła informacje zawarte na kontach przeszło 87 milionów użytkowników Facebooka bez ich zgody. Pierwszym aspektem tej sprawy jest to, dlaczego w ogóle na największej platformie społecznościowej na świecie doszło do tak kuriozalnej sytuacji i dlaczego poszkodowane osoby nie zostały w żaden sposób poinformowane o tym, że naruszona została prywatność ich danych osobowych. Niewątpliwie, w tej kwestii wprowadzenie bądź nowelizacja stosownego prawa i odpowiednia kontrola portali społecznościowych przez organy państwowe są nieodzowne, aby spełniona została podstawowa funkcja państwa – funkcja ochronna. Nie budzi większych zastrzeżeń również przedmiot regulacji – nadzór nad polityką prywatności tego typu serwisów nie wydaje się godzić w wolności ich użytkowników.

Warto zastanowić się także nad inną kwestią dotyczącą tego wycieku – jakie dane faktycznie posłużyły Cambridge Analytica do stworzenia modeli mających za zadanie mikrotargetowanie wyborców (i jakie dane służą choćby samemu Facebookowi do wyświetlania nam spersonalizowanych reklam)? Przede wszystkim chodzi o zwykłe „lajki”, zostawiane przez nas pod postami, zdjęciami czy dawane różnym stronom. Według najnowszych danych w ciągu każdej minuty na Facebooku przybywa około 4 miliony „lajków” [4]. Ilu z nas, użytkowników portali społecznościowych, postrzega te niewinne polubienia jako dane osobowe?  Co więcej, czy jesteśmy świadomi, jak wiele informacji dobrowolnie sami o sobie udzielamy zostawiając „lajki” pod pewnymi treściami? W 2012 roku dr Michał Kosiński, polski naukowiec od lat zajmujący się psychometrią i wykładający na Uniwersytecie Stanforda, w jednej ze swoich publikacji wykazał, ze wystarczy 68 „lajków” na Facebooku aby algorytm był stanie przewidzieć z zadziwiająco wysokim prawdopodobieństwem (88-95%) kolor skóry użytkownika, jego orientację seksualną czy preferencje wyborcze (Partia Demokratyczna czy Republikańska). W kolejnych badaniach ustalił, że tak niewielka liczba jak 150 wystarczy do zgromadzenia o nim większej ilości informacji niż ta posiadana przez jego rodzinę, natomiast przy 300 algorytm jest już w stanie „dowiedzieć się” o nim więcej, niż wie jego życiowy partner.

Jak sam Kosiński przyznaje w wywiadzie dla magazynu weekendowego w portalu Gazeta.pl„wszyscy zostawiamy niesamowitą ilość śladów cyfrowych w Internecie. Algorytmy są w stanie przetworzyć te ślady w niezwykle dokładny profil psychologiczny każdej indywidualnej osoby. Potem, posiadając (…) profil, można stworzyć np. reklamę albo inny przekaz dostosowany do jej osobowości” [5]. W tym kontekście jasne jest, że jeśli jakikolwiek ustawodawca podjąłby się karkołomnego zadania skutecznej ochrony obywateli przed niebezpieczeństwem niewłaściwego wykorzystania zostawianych przez nich „lajków” na portalach takich jak Facebook, nieuchronnie doprowadziłoby to do zmasowanej cenzury mediów społecznościowych, jak również wielu innych stron internetowych, posiadających jakiekolwiek powiązania z portalami społecznościowymi. Takie rozwiązanie stoi w oczywistej sprzeczności z wolnością słowa oraz wolnością mediów, a w szerszej perspektywie mogłoby nawet zagrozić demokratycznemu ustrojowi danego państwa.

Czy to jednak oznacza, że jesteśmy niechybnie skazani na łaskę i niełaskę serwisów społecznościowych w zakresie ochrony naszej prywatności? Niekoniecznie. Przede wszystkim, nie możemy zapominać, że wszystkie dane, którymi dysponują owe portale, to informacje podane przez nas całkowicie dobrowolnie (choć nie zawsze w pełni świadomie). Powinniśmy zatem wykorzystywać naszą wolność wypowiedzi i innych form ekspresji w mediach społecznościowych z dużą dozą ostrożności, gdyż to na nas, jako użytkownikach i obywatelach, spoczywa największa odpowiedzialność za ochronę naszej własnej prywatności. Jeśli opublikujemy na takim portalu zdjęcie listu z naszym adresem w lewym górnym rogu, nie powinniśmy być zdziwieni, że obca dla nas osoba dowie się, gdzie mieszkamy (a warto pamiętać, ze treści raz umieszczone w Internecie bardzo ciężko jest całkowicie usunąć). Przykład ten wydawać się może nieco zbyt trywialny, jednak większość z nas zapewne zna osoby, które Facebooka traktują bardziej w kategorii pamiętnika niż międzynarodowego serwisu gromadzącego miliardy ludzi (co dotyczy zwłaszcza młodszych użytkowników).

Oczywiście, nie sposób w pełni kontrolować absolutnie wszystkich naszych działań w sieci. Jakkolwiek staranni chcielibyśmy być, zawsze pozostawimy po sobie pewne ślady w Internecie, o czym przypomną nam firmy takie jak Cambridge Analytica, czy nawet bardziej niewinne reklamy np. stron z walizkami wyświetlane nam przez Facebooka niedługo po tym, jak zarezerwujemy lot na nadchodzące wakacje. Warto pamiętać, że ostatecznie, mimo wszelkich zindywidualizowanych reklam i spersonalizowanych treści, które portale społecznościowe postanowią nam pokazać, to my decydujemy, którą torbę podróżną zakupimy albo na którego kandydata zagłosujemy. Dlatego tak ważne jest, abyśmy podejmując decyzje mające decydować o kształcie państwa, w którym żyjemy w pełni wykorzystali nasze prawo do informacji. Pomimo przerażającej potęgi mikrotargetowania, próby manipulacji wyborczej okażą się bezskuteczne, jeżeli do urn pójdziemy po uprzednim zapoznaniu się przynajmniej z programem wyborczym kandydata bądź partii, a naszą opinię o nim/o niej oprzemy o materiały z wielu źródeł. Nie tylko z portali społecznościowych.

Autorka: Adrianna Mazur

[1] http://www.pewglobal.org/2018/01/11/detailed-tables-global-media-habits/

[2] https://www.channel4.com/news/cambridge-analytica-revealed-trumps-election-consultants-filmed-saying-they-use-bribes-and-sex-workers-to-entrap-politicians-investigation

[3] https://www.youtube.com/watch?v=FXdYSQ6nu-M

[4] http://wersm.com/how-much-data-is-generated-every-minute-on-social-media/

[5] http://weekend.gazeta.pl/weekend/1,152121,21287773,po-zwyciestwie-trumpa-i-brexicie-michal-kosinski-zaczal-odbierac.html

Wpisy na Blogu Obywatelskiego Rozwoju przedstawiają stanowisko autorów bloga i nie muszą być zbieżne ze stanowiskiem Forum Obywatelskiego Rozwoju.

Artykuł Ochrona danych osobowych a Social Media pochodzi z serwisu Blog Obywatelskiego Rozwoju.

Zauważając powyższy problem, Generalny Inspektor Ochrony Danych Osobowych zwraca uwagę na zagrożenia, jakie niesie za sobą korzystanie z powyższych aplikacji. Szczególnie podkreśla niebezpieczeństwo płynące z płatności mobilnych, dzięki którym w łatwy sposób można przekazać informacje o swoim koncie bankowym, czy numerze karty. W tym przypadku mogą być gromadzone również dane dotyczące wydatków, wpływów, bądź preferencji dóbr, na które najczęściej wydawane są dostępne środki finansowe.

Równie ryzykowne może okazać się korzystanie z aplikacji pochodzących z nieautoryzowanego źródła. W momencie pobrania następuje jednoczesna instalacja oprogramowania, które uzyskuje dostęp do danych gromadzonych w urządzeniu docelowym (np. smartphone, tablet). Dodatkowo, same aplikacje gromadzą szereg na pozór niepotrzebnych informacji, zwłaszcza tych, dotyczących lokalizacji użytkownika.

W celu zbadania skali zagrożenia firma Apptorithy postanowiła sprawdzić 400 najbardziej popularnych aplikacji, dostępnych na platformach iOS oraz Android. Wybrane wyniki analizy widoczne są poniżej.

Aplikacje mobilne

 Źródło: Winter 2014 App Reputation Report

Z raportu wynika, iż zasięg dostawców aplikacji mobilnych jest bardzo szeroki. Zdecydowanie wkracza w sferę prywatności odbiorców. Wnioskując, iż przeciętny użytkownik aplikacji mobilnej instaluje ich co najmniej kilka, jest wielce prawdopodobne, że padnie ofiarą wszystkich powyższych zagrożeń. Korzystając zatem z jakiejkolwiek aplikacji, należy pamiętać, iż jej rzeczywisty koszt jest zazwyczaj dużo wyższy, niż mogłoby się wydawać. Pomimo powszechnej dostępności bezpłatnych programów, ich instalacja wymaga często przekazania nieznanym podmiotom swoich danych osobowych, co stanowi cenną informację marketingową, przysparzając tym samym zysków dostawcy usługi.

Należy zatem pamiętać, iż w momencie, gdy wyrażamy zgodę na udostępnianie pozyskanych od nas informacji innym podmiotom, w ciągu kilku sekund mogą zostać one rozprzestrzenione po świecie. Wówczas ich identyfikacja staje się niemożliwa. Nawet jeśli tę zgodę cofniemy, co na gruncie obowiązującego prawa jest możliwe, nie będziemy w stanie zweryfikować, czy nasze dane zostały skutecznie usunięte. Mowa tutaj nie o kilku, a kilkuset, a nawet tysiącach zbiorów danych, do których trafiły nasze personalia.[2]

Niestety obecnie nie istnieje mechanizm, który mógłby powstrzymać działalność dostawców aplikacji i ograniczyć ich dostęp do zawartości urządzeń mobilnych użytkowników. Główny problem polega na tym, iż podczas instalacji programu należy wyrazić zgodę, zaznaczając wszystkie zaproponowane kategorie (tożsamość, kontakty, telefon, informacje o poczcie, dostęp do lokalizacji, i inne). W przypadku sprzeciwu wobec jakiejkolwiek z nich, dostęp do aplikacji staje się niemożliwy. Trudno jest jednocześnie zrozumieć, iż wszystkie udostępnione dane są niezbędne do prawidłowego funkcjonowania programu.

Przyczyna takiego stanu rzeczy tkwi zarówno w szybkim rozwoju rozwiązań internetowych, za którymi prawo nie jest w stanie nadążyć, jak i w zglobalizowanym świecie. Różnice w podejściu do kwestii ochrony danych osobowych są odmienne w poszczególnych częściach globu, co dodatkowo utrudnia podjęcie jakichkolwiek działań zapobiegających nadużyciom.

Artykuł Aplikacje mobilne – użyteczne, choć niebezpieczne pochodzi z serwisu Blog Obywatelskiego Rozwoju.

W opinii publicznej istnieje powszechnie obecny trend, który prowadzi nas w stronę szerokorozumianej potrzeby ochrony danych osobowych. Świadczą o tym między innymi działania Unii Europejskiej w kierunku uwspółcześnienia systemu tej ochrony. Nastąpić ma bowiem zaostrzenie przepisów, dotyczących w szczególności przekazywania danych do państw trzecich (tj. poza granice UE), aby zapewnić maksymalne bezpieczeństwo jednostki.

Z drugiej jednak strony stoi silnie zakorzeniona potrzeba kontroli obywateli oraz cudzoziemców i gromadzenia dotyczących ich danych osobowych poza ich wiedzą. Budzi to wiele kontrowersji, chociaż wynika z obowiązku zapewnienia przez państwo bezpieczeństwa i zapobiegania przestępczości. Współcześnie dochodzi również problematyka terroryzmu oraz cyberprzestępczości. Realizacja tych zadań wymaga zatem pominięcia reguł ochrony danych osobowych, gdyż osoba, której dane są gromadzone i przetwarzane nie uzyskuje na ten temat informacji. Tu z kolei przychodzi na myśl podejście Stanów Zjednoczonych oraz głośna sprawa Edwarda Snowdena z 2013 roku.

Na styku dwóch teorii pojawia się spór. Nie ma on większego znaczenia, jeśli chodzi o wymianę danych osobowych w granicach Europejskiego Obszaru Gospodarczego (EOG). Dopuszczalne są bowiem wyjątki odstąpienia od ścisłych zasad ochrony danych, między innymi ze względu na ważny interes państwa. Problem pojawia się w przypadku współpracy gospodarczej lub społecznej w szerszym obszarze, niż EOG.

Taki konflikt interesów doskonale widać na przykładzie relacji UE – USA w kontekście prac nad projektem Data Protection Umrella Agreement. Dokument dotyczy ochrony danych osobowych w zakresie zapobiegania przestępczości. Obejmuje dane osobowe obywateli UE, przekazywane do Stanów Zjednoczonych w celach prewencyjnych lub na potrzeby śledztwa.

UE pragnie zapewnić tym danym możliwie maksymalną ochronę, zrównując jednocześnie pozycję obywateli europejskich z obywatelami Stanów Zjednoczonych. Ma to istotne znaczenie w uzyskaniu skutecznego zadośćuczynienia sądowego, takiego, do jakiego uprawnieni są mieszkańcy USA.

Negocjacje są jednak trudne, gdyż Stany Zjednoczone prezentują odmienne podejście do ochrony danych osobowych. W ich przypadku ochronie podlegają jedynie niektóre dziedziny życia i brak jest ogólnych norm, które regulowałyby tę kwestię. Zatem  przedsiębiorcy mogą przetwarzać wszystkie dane osobowe, które nie są zabronione. W UE można natomiast przetwarzać tylko te, które są dozwolone z mocy prawa.

Z powyższego wynika znacząca różnica w podejściu obu podmiotów. Co więcej, Stany Zjednoczone uważają, iż regulacje UE nie powinny wykraczać poza jej granice. Ich zdaniem jednak sięgają dalece poza ten obszar. Unia zarzuca temu błędny tok rozumowania, z czym należy się zgodzić. W jej interesie oraz obowiązku pozostaje bowiem ochrona obywateli. Regulacje unijne sięgają zatem tam, gdzie bezpieczeństwo obywateli UE może zostać naruszone. Całkowita inwigilacja ludzi i gromadzenie informacji na ich temat, również w sytuacji, gdy nie istnieje uzasadnione podejrzenie popełnienia przestępstwa, zdecydowanie wykracza poza podstawowe prawo jednostki do prywatności.

Z drugiej strony całkowite zaufanie i brak podejrzliwości w czasach zachwianego poczucia bezpieczeństwa i powszechnych aktów terroryzmu również wydaje się być nierozsądnym podejściem. Prowadzi, to do wniosku, iż jedynym właściwym rozwiązaniem jest zastosowanie zasady proporcjonalności, aby wyważyć interesy UE oraz USA. Zasada ta powinna być zatem priorytetem podczas negocjowania ostatecznego kształtu Data Protection Umbrella Agreement. Mogłoby to z jednej strony ograniczyć przesadną kontrolę, natomiast z drugiej dać więcej swobody organom bezpieczeństwa.

Artykuł Dwie wizje bezpieczeństwa pochodzi z serwisu Blog Obywatelskiego Rozwoju.