Nie pozwólmy okraść się z danych

Jakie dane o sobie zostawiamy w Internecie? Kto może wykorzystać te dane i w jakim celu?

W uproszczeniu można mówić o trzech warstwach informacji. Pierwszą stanowią te podawane przez nas samych: imię, nazwisko, płeć, data urodzenia, adres, status związku, zdjęcia, znajomi na portalu społecznościowym; ale też zablokowane kontakty, użyte w komunikatorze emotki czy naklejki, dane z ankiet, quizów i gier.

Druga warstwa obejmuje to, co zdradza moja aktywność: na jakie strony wchodzę, kiedy, jak często i jak długo z nich korzystam, gdzie się wtedy fizycznie znajduję, z jakich urządzeń się loguję, jakie treści czytam, w jakie klikam, a jakie ignoruję, jak szybko piszę i ile błędów przy tym robię itd.

Trzecia warstwa to wnioski, jakie różne podmioty działające w sieci wyciągają na mój temat na podstawie pierwszych dwóch warstw. Interesuję się zdrowiem? Jestem na nowej diecie? Lubię mocne alkohole i luksusowe towary czy wręcz przeciwnie? W której fazie cyklu jestem w nastroju do zakupów? Zmieniam miejsce zamieszkania i pracę? Mam niską samoocenę?

Gromadzenie tych informacji jest istotą Internetu szytego na miarę. Pozwala na wyświetlenie sprofilowanych wyników wyszukiwania i reklamy produktu, który w większym stopniu jestem skłonna w danym momencie kupić. To nie jest wielki problem, jeśli rozmawiamy o reklamie butów czy produktów do remontu, ale staje się dyskusyjne, kiedy kobietom wyświetlają się inne oferty pracy niż mężczyznom, albo gdy reklama jest profilowana na podstawie cech wrażliwych, związanych ze zdrowiem, wyznaniem czy orientacją seksualną.

Polskie prawo przewiduje, że po tzw. dane internetowe, czyli informacje o tym, kto, kiedy i jaką stronę odwiedzał, mogą sięgać służby w ramach swoich działań – CBA w celach antykorupcyjnych, ABW – ścigając terrorystów itd. Nie wiemy przy tym, jaka jest skala korzystania przez nie z tych informacji

Trzeba też pamiętać, że w Internecie śledzą nie tylko reklamodawcy. Polskie prawo przewiduje, że po tzw. dane internetowe, czyli informacje o tym, kto, kiedy i jaką stronę odwiedzał, mogą sięgać służby w ramach swoich działań: CBA w celach antykorupcyjnych, ABW – ścigając terrorystów itd. Nie wiemy przy tym, jaka jest skala korzystania przez nie z tych informacji, bo służby nie chcą informować o tym obywateli.

Co zrobić, żeby chronić nasza prywatność?

Do pewnego stopnia możemy próbować się chronić, zmieniając ustawienia prywatności na Facebooku czy koncie Google, korzystając z przeglądarek i wyszukiwarek chroniących prywatność, ograniczając aplikacjom w telefonie dostęp do zbędnych informacji, wyłączając Wi-Fi czy lokalizację w telefonie, kiedy ich nie używamy. Ale taka ochrona nie wystarczy. Potrzebna jest też zmiana systemowa. Mam na myśli dobre prawo chroniące prywatność.

W Fundacji Panoptykon – być może naiwnie – spodziewaliśmy się, że wiele problemów załatwi RODO, ale okazuje się, że jako obywatele i konsumenci musimy dopiero wywalczyć przestrzeganie nowych przepisów.

Co w zakresie ochrony naszej prywatności zmieniło RODO? Czego nie udało się osiągnąć?

RODO wzmocniło prawa podmiotów danych, czyli osób, których dane są przetwarzane. Chociaż sytuacja jest jeszcze daleka od idealnej, to jesteśmy lepiej informowani o tym, jak to przetwarzanie przebiega. W naszej pracy koncentrujemy się na podmiotach, które zarabiają na przetwarzaniu danych – RODO ułatwiło ściganie nadużyć z ich strony, bo obowiązuje w całej Unii Europejskiej i dotyczy też tych firm, które mają siedziby poza Unią, o ile świadczą swoje usługi w Europie. Ale warto pamiętać też o firmach, które przetwarzają dane przy okazji swojej działalności, choć nie jest to ich główny cel –  RODO sprawiło, że wiele takich podmiotów uregulowało te procesy. Zaczęły przykładać większą wagę do tego, by informować swoich klientów o tym, po co im ich dane. Chciałabym też wierzyć, że niektóre przestały gromadzić informacje, które nie są im potrzebne.

Może to, że firmy zbierają o nas informacje, może być również dla nas korzystne – np. oszczędzamy czas poświęcany na wyszukiwanie interesujących nas produktów, ponieważ same wyświetlają się nam, kiedy np. przeglądamy Facebooka.

Każdy medal ma dwie strony. W sieci jest tak dużo treści, że taka selekcja wydaje się wygodna. Ale czy korzystna? Taki uporządkowany świat jest siłą rzeczy uboższy. Do tego firmy, które te treści dla nas selekcjonują, realizują własny interes biznesowy, polegający na dostarczaniu reklam dopasowanych do potrzeb i możliwości każdego użytkownika. Czym to się różni od stereotypów, których nie lubimy w świecie analogowym? Różnica jest taka, że poprzez kliknięcia podrzucamy reklamodawcom więcej informacji o sobie, także tych, których nie deklarujemy głośno, np. związanych z orientacją seksualną czy poglądami. Nie wyobrażam sobie sytuacji, żeby sprzedawca w sklepie robił wywiad, z którego dowiadywałby się tak wrażliwych informacji o mnie – a w sieci ma to miejsce cały czas.

Nie wyobrażam sobie sytuacji, żeby sprzedawca w sklepie robił wywiad, z którego dowiadywałby się tak wrażliwych informacji o mnie – a w sieci ma to miejsce cały czas

W wywiadzie dla „Nowej Konfederacji” Michał Boni podkreślał, że zbieranie danych o obywatelach może pomóc w sprawnym zarządzaniu państwem. Mówił m.in.: „Gdy mamy dane o zdrowiu w kategoriach przestrzennych, wiemy ile osób z chorobą serca, czy astmą, czy niskim nawodnieniem organizmu mieszka w danej dzielnicy – powtórzę, nie chodzi o rozpoznawanie zdrowia konkretnego Kowalskiego – i przewidujemy odpowiednie warunki atmosferyczne, możemy dać sygnał tym mieszkańcom, że zbliża się ryzyko”. Być może takie rozwiązania mogłyby uczynić nasze życie lepszym. Czy państwa dysponują odpowiednią technologią, zasobami ludzkimi itd. żeby móc bezpiecznie i sprawnie zarządzać taką ilością danych?

Państwa nie dysponują własną technologią, tylko zamawiają ją na prywatnym rynku. W teorii mamy prawo do informacji na temat narzędzi, które wykorzystywane są przez instytucje publiczne, ale w praktyce to prawo często jest ograniczone, bo instytucje zasłaniają się tajemnicą przedsiębiorstw albo – jak ma to miejsce w  przypadku służb – bezpieczeństwem.

Na pewno lepiej byłoby, gdyby dane służyły zdrowiu społeczeństw niż – jak to się dzieje obecnie –wyświetlaniu coraz bardziej dopasowanych reklam. Ale moim zdaniem ostrzeżenie mieszkańców przed falą upałów można wysłać i bez takich danych. W niedalekiej przyszłości w kolejnych dziedzinach życia pojawiać się będą systemy automatycznego podejmowania decyzji, w których ważną rolę pełnią algorytmy przetwarzające masowe ilości danych. Jeśli takie systemy mają być wykorzystywane w opiece zdrowotnej, edukacji czy wymiarze sprawiedliwości, kontrola obywatelska jest kluczowa, żeby ochronić obywateli i obywatelki przed dyskryminacją.

Jak powinna wyglądać kontrola obywatelska, o której pani mówi? Od dawna mówi się, że nasze państwo bardzo niechętnie podchodzi do udzielania informacji, nawet jeśli dane instytucje są do tego zobligowane ustawą. Jeszcze gorzej sytuacja wygląda, jeśli chodzi o służby. Wydaje się, że obywatele nie mają odpowiednich narzędzi, żeby skutecznie pilnować swoich praw.

Podam przykład. W 2014 r. wprowadzono przepisy o profilowaniu pomocy dla osób
bezrobotnych. Każda osoba zgłaszająca się do urzędu pracy odpowiadała na szereg pytań z kwestionariusza. Dla każdego pytania przewidziano listę odpowiedzi, a dla poszczególnych odpowiedzi – punkty. Liczba punktów decydowała o tym, którą z trzech kategorii otrzyma osoba. Problem polegał na tym, że urzędnicy mieli zadawać pytania otwarte, ale odpowiedzi dopasowywać do oficjalnego klucza. O ile w większości przypadków nie ma problemu z przypisaniem osobie płci, to twórcy kwestionariusza przewidzieli jedynie 22 sytuacje życiowe, które utrudniają znalezienie pracy. Dla przykładu, przewidzieli, że komuś może brakować umiejętności poszukiwania pracy i autoprezentacji, ale już nie to, że ktoś nie może znaleźć zatrudnienia, bo jest np. bezdomny, karany czy odmiennego pochodzenia etnicznego.

Chociaż Ministerstwo Pracy twierdziło, że ludzie – jeśli poznają algorytm – będą go próbowali oszukiwać, sąd nakazał ujawnienie zarówno kwestionariusza wraz z odpowiedziami, jak i punktacji. Ten system został zlikwidowany, ale w międzyczasie ogromną karierę zaczęły robić takie pojęcia jak sztuczna inteligencja i uczenie maszynowe, za którymi łatwiej schować odpowiedzialność, mówiąc: „nie wiemy dokładnie, jak algorytm się uczy”. Panoptykon i inne organizacje, które badają systemy automatycznego podejmowania decyzji, przekonują, że taka „czarna skrzynka” jest szkodliwym mitem, że to zawsze człowiek podejmuje decyzje, chociażby o tym, jakimi danymi zasilić system, jaki problem ma on rozwiązywać, jakie ma dostępne opcje, itd.

W szkołach mówi się wiele o bezpieczeństwie, hasłach i niepodawaniu danych już od pierwszej klasy, i dzieci doskonale wiedzą, że w dużym stopniu same mogą zadbać o swoją prywatność, na przykład nie wrzucając zdjęć czy nagrań ze swoim udziałem na portale społecznościowe. To jednak nie powstrzymuje ich przed robieniem tego

Dużo mówi się również o smart cities, które mają być zarządzane na podstawie danych o zachowaniu mieszkańców – np. kiedy, gdzie i w jaki sposób się przemieszczają. Zakładamy, że w polskich warunkach danymi zarządzałyby samorządy, ale zawsze można pójść o krok dalej, o czym mówi się coraz częściej, i np. zaoferować takie dane za darmo prywatnym firmom, oczekując w zamian kolejnej aplikacji, która ułatwi życie mieszkańcom. Czy powinniśmy się tego obawiać? Może taki jest po prostu naturalny etap rozwoju i nie ma powodu się przed nim bronić?

Bardzo obawiam się takich rozwiązań – właśnie z tego powodu, o którym pani powiedziała. Żyjemy w gospodarce opartej na danych, więc być może to jest naturalny następny krok. Ale jeśli takie rozwiązania miałyby się przyjmować, to musiałyby być przejrzyste i poddane kontroli obywatelskiej, o której wspomniałam wcześniej.

Możemy uznać, że dorośli są świadomi, jakie ryzyko podejmują, udostępniając informacje o sobie w internecie, i np. korzystając z określonych aplikacji zrzekają się części swojej prywatności, by osiągnąć konkretne korzyści. Nie możemy jednak zapominać, że dostęp do technologii mają nawet najmniejsze dzieci, które nie zdają sobie sprawy z tego, jakie mogą być konsekwencje ich działań. Czy istnieje jakiś sposób, żeby je skutecznie chronić?

Nie do końca się zgodzę, jeśli chodzi o świadomość dorosłych. Zazwyczaj spotykam się z dwiema postawami: albo nie chcą uwierzyć, że mogą być dla kogoś interesujący, albo uważają, że utrata prywatności nie ma na nich negatywnego wpływu, bo nie dają się nabierać na reklamy. Natomiast rodzice, którzy zdają sobie sprawę z konsekwencji utraty prywatności, sami korzystają z urządzeń mobilnych, mają konto na Facebooku, bo tego wymaga od nich uczestnictwo w dzisiejszym świecie, ale starają się chronić przed tym swoje dzieci, na przykład odkładając decyzję o zakupie smartfona dla nich. Co ciekawe, w szkołach mówi się wiele o bezpieczeństwie, hasłach i niepodawaniu danych już od pierwszej klasy, i dzieci doskonale wiedzą, że w dużym stopniu same mogą zadbać o swoją prywatność, na przykład nie wrzucając zdjęć czy nagrań ze swoim udziałem na portale społecznościowe. To jednak nie powstrzymuje ich przed robieniem tego – dlatego tak potrzebni są uważni opiekunowie, którzy pomogą dzieciom budować samoocenę w inny sposób, niż przez zdobywanie łapek w necie.

W jakim zakresie zbieranie o nas danych przez różne portale czy aplikacje jest normalne, a kiedy powinna zapalić się nam czerwona lampka? Chyba każdy z nas spotkał się z sytuacją, w której jakaś aplikacja, np. z prognozą pogody, prosiła o dostęp do naszych zdjęć i kontaktów. Czy powinniśmy się zgadzać? Jeśli tak, to dlaczego?

Przed zainstalowaniem aplikacji warto sprawdzić dwie rzeczy: do jakich zasobów w urządzeniu będzie potrzebowała dostępu, i gdzie przekazuje dane. Obie te informacje znajdziemy w polityce prywatności aplikacji. Kiedy aplikacja pogodowa pyta o dostęp do sieci i do lokalizacji, to całkiem uzasadnione, bo dane aktualizują się online, a twórcy zakładają – zasadniczo słusznie – że użytkownicy chcą znać prognozę w miejscu, w którym się znajdują. Nie potrafię sobie jednak wyobrazić powodu, który uzasadniałby dostęp aplikacji pogodowej do zdjęć czy kontaktów. Dlatego zdecydowanie odradzałabym wyrażanie na to zgody. Inna sprawa, że szanująca prywatność aplikacja pogodowa powinna pozwolić użytkownikom wprowadzić ręcznie lokalizację zamiast śledzić ją w czasie rzeczywistym.

W Internecie zielone portale to takie, które nie śledzą, a zielone aplikacje to te, które nie zbierają niepotrzebnych danych

Co innego, kiedy o dostęp do zdjęć czy kontaktów prosi komunikator: jeśli chce pani wysłać siostrze zdjęcie, to komunikator musi zaciągnąć je z pamięci urządzenia i wyświetlić pani listę kontaktów, z której wybierze pani numer do siostry. Ale dla odmiany nie potrzebuje on danych o lokalizacji. W ten sposób powinniśmy przyglądać się każdej aplikacji w telefonie.

Jakie są pani zdaniem najważniejsze zasady, których powinniśmy się trzymać, korzystając z internetu? Na co zwrócić uwagę? Jakie miejsca omijać?

W erze urządzeń mobilnych Internet jest z nami cały czas. Ale kiedy z nich nie korzystamy, można odłączyć je od sieci, wyłączyć Wi-Fi poza domem czy biurem. Warto przejrzeć aplikacje i usunąć te, z których nie korzystamy i te, które pobierają zbyt wiele danych, albo przynajmniej zmienić ich ustawienia, ograniczając dostęp do zbędnych danych. Musimy nauczyć się postępować trochę jak ze smogiem – chociaż najlepiej siedzieć w domu z zamkniętymi oknami i włączonym oczyszczaczem powietrza, możemy też spędzać czas wśród zieleni i użyć maski antysmogowej, która może nie jest bardzo wygodna, ale do pewnego stopnia chroni płuca. W Internecie zielone portale to takie, które nie śledzą, a zielone aplikacje to te, które nie zbierają niepotrzebnych danych. A z podmiotami śledzącymi użytkowników w sieci – odpowiednikami „kopciuchów” – przy wsparciu obywatelek i obywateli walczą takie organizacje jak Fundacja Panoptykon.