Wykupienie dostępu pozwoli Ci czytać artykuły wysokiej jakości i wspierać niezależne dziennikarstwo w wymagających dla wydawców czasach. Rośnij z nami! Pełna oferta →
Mężczyzna, który przekroczył próg oddziału firmy Target w Minnesocie, był czerwony na twarzy i wściekle wymachiwał reklamą znalezioną w skrzynce pocztowej. – Kpiny sobie robicie? – wybuchnął, widząc menedżera. – Moja córka jest dopiero w liceum! Wysyłacie to, żeby zachęcić ją do zajścia w ciążę?
Menedżer spojrzał na reklamę ubrań ciążowych, mebli dla niemowląt i zdjęć bobasów przytulających się do matek. Niecały rok wcześniej firma, analizując zachowania konsumentów na podstawie ich zakupów, stworzyła własny model przewidywania, które spośród klientek spodziewają się dzieci, by z wyprzedzeniem adresować do nich reklamy. Do tej pory system sprawdzał się idealnie. Teraz jednak najwyraźniej przytrafił się błąd.
– Bardzo pana przepraszam – powiedział menedżer. – Jest nam niezmiernie przykro.
By udobruchać mężczyznę, tydzień później zadzwonił jeszcze raz z przeprosinami. – To ja jestem winien przeprosiny – usłyszał. – Okazuje się, że w moim domu zaszły rzeczy, o których nie miałem pojęcia. Ona urodzi w sierpniu.
Przeczytawszy tę historię w książce „Siła nawyku” Charlesa Duhigga, przestałam się dziwić, że jeden z kolegów dziennikarzy, zamawiając w knajpach alkohol, nigdy nie płaci kartą. – Nie chcę, żeby mnie namierzono – tłumaczył. Wtedy uznałam, że w stanie upojenia dochodzą w nim do głosu paranoiczne skłonności. Choć po szkoleniu z optymalizacji wyszukiwarek, podczas którego prowadzący, administrator sieci, na przykładach pokazywał nam, na pozór świadomym użytkownikom internetu, że wie o nas więcej, niż byśmy przypuszczali, byłam już gotowa przyznać podejrzliwemu koledze rację.
WYSTAWIENI
Do trybunału w Strasburgu trafiła właśnie skarga na brytyjską agencję GCHQ (Govern¬ment Communications Headquarters, czyli Centralę Łączności Rządowej). Organizacje zajmujące się ochroną prywatności oskarżają ją o nielegalne gromadzenie danych i naruszanie prywatności milionów ludzi. To odprysk afery, która rozpętała się wokół agencji wywiadowczych po rewelacjach Edwarda Snowdena: według jego doniesień, GCHQ za pomocą amerykańskiej National Security Agency (Agencji Bezpieczeństwa Narodowego) obchodziła brytyjskie prawo oraz przechwytywała dane przekazywane przez podwodne kable telekomunikacyjne. Skarżące instytucje chcą, by trybunał orzekł, że inwigilowanie europejskiej komunikacji internetowej to naruszenie prawa do prywatności.
Czy to wyłom w twierdzy Wielkiego Brata? A raczej: Wielkich Braci. Bo eksperci od cyfrowego świata podkreślają, że jest ich dziś wielu. Dzielą się na dwie grupy. Pierwsza to rządy oraz ich agendy. Druga – przedsiębiorcy.
Pierwszy Wielki Brat: administrator odwiedzanej przez nas strony w internecie. Zna nasz adres IP (a więc i położenie), przeglądarkę i system operacyjny, a także nasz język. Przede wszystkim zaś, dzięki tzw. „ciasteczkom”, czyli plikom cookies, wie że odwiedzający stronę był na niej też trzy dni temu. A to może wykorzystać, by lepiej się do nas dostosować – choćby podsuwając nam wyniki wyszukiwania zgodne z rozpoznanymi dotychczas preferencjami.
– Tak to po prostu działa, bez żadnych ukrytych intencji – uspokaja Paweł (imię zmienione, programista w państwowej instytucji związanej z internetem). – Strona, nawet gdyby chciała, nie mogłaby zrezygnować z tych informacji: bez adresu serwer nie wiedziałby, dokąd wysłać treść, o którą prosimy, więc nigdy by się nam ona nie wyświetliła. Bez wiedzy o systemie i przeglądarce strony nie mogłyby się dostosowywać do naszego oprogramowania. Bez plików cookies nie działałyby tak podstawowe funkcje jak logowanie.
Drugim Wielkim są firmy sprzedające reklamy na stronach www, czyli sieci reklamowe. Najbardziej znana to Double¬Click, kupiona kilka lat temu przez Google. Gdy wchodzimy na stronę z reklamą, przeglądarka łączy się nie tylko z serwerem strony, ale również z serwerem sieci reklamowej i dzieli się z nim tymi samymi informacjami, które przesłała stronie. W efekcie dostawca reklam zdobywa wiedzę o naszych wizytach na wszystkich stronach, na których serwuje reklamy. – Jeśli jest wystarczająco duży, może tworzyć dość dokładne profile poszczególnych klientów – mówi Paweł. Można to utrudnić? Paweł: – Można, wyłączając w przeglądarce tak zwane third party cookies, czyli ciasteczka pochodzące od innych stron niż te, na które weszliśmy. Tyle że w ten sposób utrudniamy często funkcjonowanie niektórych stron niezwiązanych z reklamami.
Trzeci Wielki? Serwisy społecznościowe: Facebook, Google+, Twitter i inne. Po pierwsze, mnóstwo informacji o sobie przekazujemy im sami. Po drugie, działają one również jak Wielcy numer dwa: gdy wchodzimy na dowolną stronę zawierającą np. przycisk „lubię to” czy inny tzw. widget, nasza przeglądarka, by go wyświetlić, łączy się z serwerem Facebooka. Dalej mechanizm jest identyczny jak w przypadku reklam. Serwis wie o naszych wizytach na tych stronach. Bywa, że współpracuje z firmami, które zbierają informacje o naszych zachowaniach. Choćby z korporacją Target, której ułatwiłoby to tropienie przyszłych matek. Reklamy wyświetlane w serwisach społecznościowych mogą być więc profilowane zarówno na podstawie naszych zachowań w nich, jak i poza nimi.
– Wszystkie te firmy mają ten sam interes: zebrać o nas jak najwięcej informacji, by skłonić nas do zakupów określonych towarów i usług na podstawie możliwie najlepiej sprofilowanych reklam – mówi Paweł. – Ich klientami są reklamodawcy. My jesteśmy towarem. To już powinno nam dać do myślenia.
– Zagrożeniem jest zwłaszcza nadmiar danych, które łatwo ze sobą łączyć wbrew naszej woli – dodaje Kamil Śliwowski z Centrum Cyfrowego Projekt Polska. – Gdy tak prywatne informacje, jak te o stanie zdrowia, znajdują się u lekarza, możemy mieć pewność, że tam pozostaną. Gdy zaczynają krążyć w sieci, nie mamy pewności, że nie trafią choćby do naszego pracodawcy lub do banku, którzy mogą nas zacząć inaczej traktować. Np. odmawiając kredytu.
Wbrew pozorom, niebezpieczne mogą być nie tylko największe korporacje, które utożsamiamy dziś z gromadzeniem danych, lecz i małe, na pozór nieszkodliwe firmy. Bo kto wie, na co wyrosną w ciągu paru miesięcy lub lat? Albo z kim się podzielą – odpłatnie lub nie – traktowaną jak cenny towar wiedzą? Weźmy Allegro, które część zysków czerpie nie ze swej podstawowej działalności, lecz dzięki temu, że jest największą bazą danych o zapotrzebowaniu na sprzedaż detaliczną w kraju.
Czwartym Wielkim (kolejność zresztą przypadkowa) są państwa. W tym Stany Zjednoczone, które zbierają informacje o wszystkich, nie tylko amerykańskich użytkownikach sieci – zgodnie ze swoim prawem. To, że współpracują z Wielkim numer trzy, nie jest tajemnicą. Z przecieków wiadomo też, że wiele firm, m.in. Skype, zainstalowało w swoim oprogramowaniu „tylne drzwi” pozwalające analitykom wspomnianej NSA uzyskiwać w razie potrzeby dostęp do komunikacji klientów.
Innym źródłem są łącza – tak jak dostawcy internetu widzą naszą komunikację w sieci, tak instytucja państwowa w rodzaju NSA może „wpiąć się” między nasz komputer a serwer, monitorując łącza.
Czy w ten sposób mają dostęp również do komunikacji szyfrowanej? – Można tylko spekulować – mówi Paweł. – Ale już sama świadomość istnienia firm, dla których biznesem jest kolekcjonowanie wszystkich możliwych informacji na nasz temat, w zestawieniu z wiedzą, że aparat państwa może w każdej chwili o te dane poprosić, jest mocno niepokojąca.
A to jeszcze nie koniec. Do Wielkich zaliczyć bowiem trzeba też dostawców internetu, czyli firmy telekomunikacyjne, które widzą wszystko, co robimy w sieci w sposób nieszyfrowany (czyli de facto większość naszej aktywności). Gdy korzystamy z zaszyfrowanych stron internetowych, dostawca też wie, że łączymy się z danym serwerem, ale do treści tego połączenia nie ma dostępu. Te same informacje może zdobyć każdy w naszej sieci lokalnej – czyli w naszej pracy, szkole, domu czy kawiarni, gdzie korzystamy z WiFi. Jeśli połączenia są nieszyfrowane, widoczne są nawet nasze hasła.
ZAPLĄTANI
Jest się więc czego bać? Paweł nie odpowiada wprost. Nikt nie chciałby być posądzony o paranoję. Mówi tylko: – Do niedawna mogliśmy żyć w dowolnie opresyjnym reżimie, ale większość naszego życia rozgrywała się „w realu”. W prawdziwym życiu wypowiedziane słowa, zachowania, gesty znikają bezpowrotnie, nie mogą być łatwo zbierane i archiwizowane. Co innego treści cyfrowe. A sfera aktywności, które nie odbywają się za pośrednictwem smartfona, komputera czy innego urządzenia elektronicznego, kurczy się z dnia na dzień. Niemal cała nasza działalność przenosi się do cyfrowego świata.
– Dlatego dobrze – mówi dalej Paweł – że Wielkich Braci jest wielu i mają wciąż sprzeczne interesy. Internet zbudowany był dotąd na idei decentralizacji, technologiach rozproszonych po tysiącach serwerów na świecie. Dopiero era serwisów takich jak Facebook to zmieniła. Wszystkie dane w systemie tej firmy kontrolowane są przez nią. I to mnie przeraża. Bo jedynie skupienie informacji w jednym ręku dałoby Wielkiemu Bratu prawdziwą władzę.
– Władzę dajemy mu sami, zachowując się jak cyfrowi ekshibicjoniści – irytuje się Jarosław Molga, redaktor naczelny dwumiesięcznika „Cyfrowa Polska”. – Jeśli sami nie zadbamy o własne bezpieczeństwo w sieci, nikt nam nie pomoże.
To zdanie, powtarzane przez niego jak mantrę, usłyszę także od innych.
Chcąc funkcjonować we współczesnym świecie, nie da się całkowicie zniknąć z internetu. Tym bardziej że na niewiele by się to zdało, bo i tak już odcisnęliśmy w nim ślad w postaci dotychczasowej aktywności online. Więc być nadal, ale stać się niewidocznym? – Zadanie niezwykle trudne – przyznaje Kamil Śliwowski z Centrum Cyfrowego Projekt Polska. – Choć warto zostawiać tych śladów jak najmniej. Nie dzielić się wszystkimi informacjami o sobie w serwisach społecznościowych. Zmniejszyć liczbę zbieranych o nas automatycznie danych poprzez zmianę ustawień przeglądarek internetowych. Zadbać o to, by utajnić główne kanały naszej komunikacji, choćby szyfrując pocztę mailową czy pliki, którymi dzielimy się w sieci. Proste środki ostrożności, a ilu z nas je stosuje?
– Pół biedy jeszcze z pokoleniami, które dorastały w świecie niezdominowanym przez internet – mówi Jarosław Molga. – Choć wielu z nas działa nieodpowiedzialnie, jednak mamy świadomość podstawowych zagrożeń. Intuicyjnie zdajemy sobie sprawę z tego, co warto ujawniać, a czego nie, korzystając z doświadczeń świata analogowego. I dobrze, bo w tym wirtualnym obowiązują podobne zasady. Przecież nie opowiadamy nieznajomym w sklepowej kolejce o tym, co zjedliśmy na śniadanie, ani nie pokazujemy zdjęć przechowywanych w portfelu. A w sieci szafujemy takimi informacjami bezrefleksyjnie – dodaje.
Najgorzej z dbaniem o bezpieczeństwo w sieci radzą sobie najstarsi, którzy dopiero ją oswajają, bywa, że upajają się nowymi możliwościami i tracą zdrowy rozsądek.
NIEDOUCZENI
Paradoksalnie, równie mało odpowiedzialni są ci, którym od urodzenia towarzyszył laptop, smartfon lub tablet. Myślimy o nich zwykle: cyfrowi tubylcy. Jednak to, że serfują z naturalną sprawnością, nie znaczy bynajmniej, że od razu, szóstym zmysłem, wyczuwają rafy czy mielizny i trzymają się od nich z dala.
– Na tle starszych użytkowników wyróżnia ich jedynie zdolność szybszego klikania – twierdzi Damian Muszyński, pedagog mediów, współpracujący m.in. z Narodowym Instytutem Audiowizualnym oraz Fundacją Nowoczesna Polska. – Kwestię bezpieczeństwa w sieci, ochrony własnych danych, traktują podobnie jak cała reszta populacji korzystającej z internetu.
To znaczy?
– Jako nieistotną. No, może drugiego lub trzeciego rzędu.
Smutną prawdę ujawniło badanie „Dzieci sieci – kompetencje komunikacyjne najmłodszych”, które Muszyński współrealizował z innymi autorami dla Instytutu Kultury Miejskiej w Gdańsku. Analizowali zachowania w internecie grupy w wieku 9-13 lat. Wnioski z drugiej, trwającej właśnie części projektu – tym razem badani są gimnazjaliści – nie odbiegają zbytnio od poprzedniej. Dzieci nie czytają regulaminów serwisów społecznościowych, co nie przeszkadza im klikać: „akceptuję”, bez oporów udostępniają swoje prawdziwe wizerunki (w przeciwieństwie do dorosłych, którzy często się nimi bawią) i prywatne dane. Zaś nad własnym bezpieczeństwem zastanawiają się dopiero wtedy, gdy ktoś zwróci im uwagę, że warto się o nie zatroszczyć.
Sieć zastawia zaś kolejne pułapki. Jedną z nich jest amerykański hit ostatnich miesięcy – aplikacja na smartfony o nazwie snapchat, umożliwiająca zrobienie zdjęcia lub krótkiego filmu i przesłanie go znajomym. Materiał po kilku sekundach od odtworzenia jest automatycznie kasowany. Nastolatki wykorzystują go do przesyłania sobie wygłupów, ale i treści erotycznych. Zaś „automatyczne kasowanie” niezmiernie łatwo obejść: wystarczy, że odbiorca szybko zrobi na telefonie tzw. zrzut ekranu.
– Takich sytuacji będzie coraz więcej, a jedynym remedium jest edukacja z zakresu prywatności i ochrony danych, która pomogłaby użytkownikom internetu nie tylko chronić się przed nadzorem, ale i popełnianiem czysto prywatnych błędów – mówi Kamil Śliwowski.
Jest jednak kłopot. Bo nie wiadomo zbytnio, kto miałby dzieci sieci edukować. – Jeszcze kilka lat temu w szkole funkcjonowały ścieżki przedmiotowe, a wśród nich „edukacja czytelnicza i medialna” – przypomina Damian Muszyński. – Nowa podstawa programowa zniosła ścieżki edukacyjne. Dziś na każdym etapie nauczania dzieje się w tym zakresie niewiele. Nauczyciele więc często oddychają z ulgą, że nie muszą stawać w szranki pod względem wiedzy z młodymi ludźmi przyklejonymi do smartfonów i tabletów. Odstrasza ich hermetyczna terminologia, kojarzona zwykle z nowymi technologiami. Tymczasem nie chodzi o to, by uczeń potrafił programować, ale wiedział np., jak chronić w sieci własny wizerunek. A tego akurat, bazując częściowo na doświadczeniach z analogowego świata, nauczyciele mogliby ich nauczyć.
Na razie lukę w edukacji medialnej starają się wypełnić organizacje pozarządowe. Fundacja Nowoczesna Polska we współpracy z psychologami i pedagogami opracowała zestaw materiałów i kompetencji edukacyjnych wraz z gotowymi scenariuszami zajęć. Można je pobrać z internetu. Korzystają z nich głównie inne fundacje i stowarzyszenia, przejmując rolę państwa, które oprócz zbierania informacji o obywatelach powinno również uczyć ich, jak owe dane mogą być nadużyte oraz jak powinni chronić swoją prywatność. W Europie rolę orędownika praw w internecie pełni Electronic Frontier Foundation, w Polsce – Panoptykon.
– Pocieszające, że coraz większa liczba polityków dostrzega problem i potrzebę edukacji medialnej – mówi Kamil Śliwowski.
ZDEZORIENTOWANI
Obywatelowi państwo może pomóc jeszcze w jeden sposób: tworząc prawo, które da mu narzędzia do samoobrony. Na poziomie krajowym to prawo jest całkiem niezłe, co podkreślają wszyscy eksperci zajmujący się cyfrowymi technologiami. Choć Polska nie należy do krajów z dużą tradycją walki o prywatność, ustawa o ochronie danych, na bazie której działa Generalny Inspektor Danych Osobowych, uchodzi za jedną z bardziej skutecznych w UE. Oferuje ona ochronę już w momencie zbierania wiedzy na nasz temat (nie tylko zresztą w sieci). Bowiem wymaga uzyskania wyraźnej zgody na jej gromadzenie.
Wielcy Bracia, którym pozwolimy nasze dane przetwarzać, muszą też informować na każdym etapie, co z nimi robią, po co i komu ewentualnie zamierzają je udostępnić. W dowolnej chwili można też zażądać ich usunięcia. Przed inwigilacją w każdej formie chroni nas też konstytucja i znowelizowany kodeks karny z 2011 r., który zaostrza kary za nękanie przez internet czy telefony komórkowe. Wcześniej nie uchodziło to nawet za przestępstwo.
Uregulowanie tych kwestii trwało w Polsce niemal dekadę. – Sęk tylko w tym, że gdy wreszcie się udało, technologia przyspieszyła na tyle, że rozwiązania wypracowane w latach 90. i pierwszej połowie XXI w. zwyczajnie przestały za nią nadążać – mówi Kamil Śliwowski.
Dynamiczny rozwój technologii, którą próbują regulować ludzie wychowani w świecie analogowym, to tylko jedna przeszkoda. Podstawowy kłopot tkwi w globalności. Internet nie działa na krajowym ani nawet na unijnym poziomie. Jak więc nakazywać cokolwiek korporacyjnym Wielkim Braciom, skoro większość firm działających w globalnej sieci, w tym Facebook czy Google, nie ma w Polsce nawet swoich serwerów? Oni lokują działalność tam, gdzie wolno im najwięcej. Czyli w USA, a w Europie głównie w Wielkiej Brytanii czy Irlandii, które do ochrony danych mają najbardziej liberalne podejście.
Zresztą rządy względem gromadzenia i ochrony danych też kierują się własnym, politycznym interesem. W efekcie trudno pozbyć się wrażenia, że Nowy Wspaniały Świat cyfrowy w zakresie praw do prywatności przypomina trochę pionierską Amerykę: wolną przestrzeń nieograniczonych możliwości, gdzie ochronę trzeba sobie zapewnić samemu.
– Jedynym skutecznym rozwiązaniem jest jednolite prawo, które uwzględnia zagrożenia wynikające z rozwoju cyfrowych technologii i w pełni reguluje ochronę danych obywateli wszystkich krajów UE – mówi Maciej Groń, dyrektor Departamentu Społeczeństwa Informacyjnego w Ministerstwie Administracji i Cyfryzacji. – Nad taką regulacją w formie unijnego rozporządzenia właśnie pracujemy.
– Zakładamy, że podejście do ochrony danych osobowych powinno być podobne jak w zakresie ochrony środowiska. To znaczy: surowe regulacje w kilku krajach nie zastopują łamania prawa, dopóki nie zostaną przyjęte we wszystkich. Dane za nic mają bowiem granice – dodaje Marcin Olender, naczelnik w Wydziale Spraw Europejskich tego departamentu.
Dziś mieszkańcowi Polski, którego prywatność zostałaby naruszona przez portal działający np. na terenie Irlandii, trudno się od niego domagać zaprzestania obrotu własnymi danymi. Na mocy nowych przepisów będzie mógł dochodzić w tym kraju swoich praw za pośrednictwem polskich organów. Polscy urzędnicy chcieliby, aby rozporządzenie, podobnie jak regulacje już obowiązujące w naszym kraju, nakładało obowiązek uzyskania zgody na gromadzenie danych oraz zapewniło nam pełną kontrolę nad ich przetwarzaniem i poprawianiem, włącznie z ich usunięciem oraz jego skutkami. Przepisy miałyby tym razem objąć nie tylko podmioty z krajów unijnych, ale również spoza UE.
Jak można je będzie egzekwować od tych ostatnich? – Na podobnych zasadach jak obecnie prawo konkurencji – mówi Groń. – Jeśli skutek ich działań nastąpi na terenie Unii, Komisja Europejska może wszcząć przeciw nim postępowanie, a następnie, stwierdziwszy winę, ukarać, nawet jeśli nie mają tu już siedziby. Zasada więc już istnieje, z tym że za stosowanie przepisów chroniących dane osobowe odpowiedzialne będą krajowe organy. Zakładamy, że firmy działające globalnie zdają sobie sprawę z siły unijnego rynku i będą musiały przekalkulować, co bardziej się im opłaca: podporządkować się tutejszym regulacjom czy zrezygnować z potencjalnych zysków.
Problem w tym, że wciąż jeszcze nie wiadomo, kiedy te przepisy wejdą w życie. Po najbliższym posiedzeniu Rady UE będzie można w przybliżeniu ocenić, jakie są szanse na przyjęcie rozporządzenia – czy Parlament Europejski zajmie się nim jeszcze w tej kadencji, która kończy się w maju 2014 r. Jednak nawet gdy nowe prawo zostanie uzgodnione i uchwalone (a wciąż istnieją rozbieżności pomiędzy poszczególnymi krajami), trzeba jeszcze doliczyć dwuletni okres przejściowy.
Mowa więc najprawdopodobniej dopiero o drugiej połowie dekady. Technologia zaś nie zwalnia tempa.
– Zdajemy sobie z tego sprawę i wychodzimy z założenia, że przy aktualnym jej postępie mniej skuteczne będzie tworzenie konkretnych, drobiazgowych zapisów. Lepiej przyjąć, że pewne zasady są uniwersalne – mówi Marcin Olender. – Dlatego rozporządzenie zmierza w kierunku możliwie szerokiej, ogólnej definicji ochrony danych osobowych, tak by uwzględniały nie tylko podstawowe kwestie, jak imię czy nazwisko, ale również identyfikatory online, IP komputera czy inne informacje pozwalające wytropić jednostkę w sieci.
– Poza tym, jeśli sami nie zadbamy o własne bezpieczeństwo – powtarza Maciej Groń – żadne, najlepsze nawet prawo nam w tym nie pomoże.
