70 lat tradycji. Inspirujemy Prowokujemy Dyskutujemy

il. Marta Gliwińska

Cyfrowa Wyprawka

Coraz bardziej zaczynamy zdawać sobie sprawę, że aktywność w przestrzeni wirtualnej ma realny wpływ na nasze życie. Czy wiemy jednak, czym jest „cyfrowy ślad”, co się na niego składa i kto się nim interesuje?

Ewa Drygalska, Anna Marjankowska: Żyjemy w społeczeństwie, w którym informacja ma kluczową wartość. Jak możemy zdefiniować kontrolę nad nią?

Katarzyna Szymielewicz: Kiedy mówimy o kontroli nad informacją, musimy rozróżnić dwa poziomy. Pierwszy, prawny, jest trochę łatwiejszy do uchwycenia; składają się na niego uprawnienia, jakie posiadamy (np. dostęp do informacji, które ktoś przetwarza na nasz temat i szansa na to, by nasze dane zostały z niepożądanych miejsc usunięte) oraz formalna możliwość ich dochodzenia, kiedy zostają naruszone (z pomocą powołanych do tego organów – Generalnego Inspektora Ochrony Danych Osobowych i sądów). Drugi, w praktyce bardziej istotny, to poziom społeczny, odnoszący się do naszych faktycznych możliwości kontrolowania tego, co się dzieje z informacją na nasz temat. Na tym poziomie kluczową rolę odgrywa nasza świadomość – to, na ile zdajemy sobie w ogóle sprawę z tego, że dane o nas gdzieś krążą – jak również obiektywne warunki, w jakich funkcjonujemy. Jeśli np. usługi, z których korzystamy w Internecie, są dostarczane przez firmy znajdujące się poza polską jurysdykcją albo po prostu ignorujące lokalne przepisy, będzie nam bardzo trudno wyegzekwować swoje prawa. A zatem na to, czy mamy kontrolę nad informacją o sobie w cyfrowym, zglobalizowanym świecie, składa się cały zespół czynników – prawnych i społecznych.

 

W jaki sposób dochodzi do utraty kontroli nad informacją i kto jest za to odpowiedzialny?

Chciałoby się powiedzieć, że odpowiedzialni są przede wszystkim ci, którzy nam tę kontrolę odbierają, pozyskując informacje o nas w sposób, jakiego sobie nie uświadamiamy, a także ci, którzy na tej eksploatacji korzystają – firmy zainteresowane naszymi profilami (np. w celach marketingowych) oraz organy państwa chętnie wydobywające dane o obywatelach z Internetu. I to oczywiście prawda. Ale nie cała: część odpowiedzialności ponosimy również my sami. Dwadzieścia lat temu Internet funkcjonował zupełnie inaczej – była to sieć niezależnych, równorzędnych serwerów, które komunikowały się ze sobą. Na podstawowym poziomie każdy, kto wówczas korzystał z sieci, sam decydował, co i komu wysyła oraz komu udostępnia informacje na swój temat. Od lat 60. ubiegłego stulecia sytuacja zmieniła się jednak diametralnie.

W sieci, która pierwotnie miała dość anarchistyczną strukturę, dominującą pozycję uzyskały podmioty komercyjne funkcjonujące w roli pośredników. Wraz z rozwojem usług internetowych coraz więcej ludzi chciało „wejść do Internetu”, ale nie posiadało odpowiednich kompetencji technicznych, by zrobić to samodzielnie. Nikt nas przecież nie uczył, jak właściwie działa Internet, jak postawić własny serwer i skomunikować się bezpośrednio z innym, podłączonym do sieci. Tę niewiedzę, a jednocześnie rosnącą potrzebę uczestnictwa, wykorzystały technologiczne start-upy, które zaczęły od dostarczania prostych interfejsów do Internetu (przeglądarek, wyszukiwarek, serwisów pocztowych), a z czasem wyrosły na pośredników kontrolujących zdecydowaną większość informacji przepływających przez sieć. W dzisiejszym, skomercjalizowanym Internecie wszystko to, co przekazuję światu i co świat przekazuje mi, przechodzi przez czyjeś ręce. Pośrednik może tę informację przechwycić i zmodyfikować lub po prostu zapoznać się z nią i zdobyć wartościową wiedzę na mój temat. Takich „punktów kontrolnych” w sieci jest mnóstwo. Wiadomości elektroniczne nie są przekazywane przez ślepego na ich zawartość listonosza.

Cyberkorporacje robią dużo więcej – przede wszystkim posługują się algorytmami, które wpływają na to, jakie informacje w ogóle do nas docierają oraz analizują ich treść.

Mechanizm, który określa to, co wyświetla się na naszej tablicy na Facebooku, jest podobno uzależniony od kilku tysięcy czynników. Podobnie w przypadku pozycjonowania w wyszukiwarce Google’a, która w ogromnej mierze decyduje przecież o tym, w jakiej bańce informacyjnej żyjemy. Rola, jaką internetowi pośrednicy w praktyce przyjęli na siebie, nakłada na nich wielką odpowiedzialność.

 

Czy to prawdopodobne, że w przyszłości ograniczenia wprowadzane przez łączników przestaną odpowiadać użytkownikom i wszyscy przejdziemy na TOR-a (The Onion Router, sieć anonimowa) i szyfrowane dane, tak żeby ominąć pośredników?

Mam nadzieję, że zmierzamy do momentu, w którym wzrośnie świadomość użytkowników sieci i dostrzegą oni zagrożenia związane z utratą kontroli nad informacją. Podstawą jest zrozumienie, że najcenniejsze dane, jakie firmy gromadzą na nasz temat, wcale nie pochodzą bezpośrednio od nas. Często słyszę uspokajające argumenty w stylu: „Przecież sam decyduję, co ujawniam w sieci”, tymczasem na tzw. cyfrowy ślad, czyli odcisk, jaki zostawiamy za sobą, poruszając się po sieci, składa się wiele informacji, nad którymi nie mamy kontroli. Nasze e-maile, wiadomości, wpisy na portalach stanowią tylko czubek góry lodowej. Kolejna warstwa to tzw. metadane: informacje o tym, kiedy i z jakiego urządzenia się łączymy, jakie strony odwiedzamy, jaki mamy numer IP i ustawienia przeglądarki. Na tej podstawie można z dużą dokładnością ustalić naszą lokalizację, odtworzyć sieć społeczną, odgadnąć rutyny, nawyki i preferencje. Wreszcie, informacje o nas zebrane przez konkretną firmę są poszerzane o przewidywania wynikające z tzw. big data – swoistej „nauki o ludziach”, która na podstawie dużych ilości danych próbuje ustalić korelacje między ludzkimi cechami (np. wiekiem, osobowością, statusem majątkowym) a zachowaniami (co kupują, gdzie jeżdżą, jak pracują etc.). I to jest właśnie nasz profil – w praktyce może się rozmijać z tym, kim naprawdę jesteśmy, ale w Internecie żyje już własnym życiem. Coraz więcej ludzi zaczyna sobie zdawać sprawę z tego, że profilowanie ma realny wpływ na nasze życie, może np. skutkować odmową otrzymania ubezpieczenia, kredytu czy zatrudnienia. Jednak nawet tak pogłębiona świadomość problemu nie prowadzi jeszcze do zmiany. Potrzebna jest do tego determinacja, uniemożliwiająca kontrolerom danych ich bezkarne, krótkowzroczne wykorzystywanie przeciwko nam. Czy do tego dojdzie? Mam nadzieję! Praca Fundacji Panoptykon i wielu innych organizacji zajmujących się prawami ludzi w przestrzeni cyfrowej właśnie do tego zmierza. Jesteśmy jednak realistami. Jak w każdej dziedzinie, tak i w tej trzeba założyć, że większość ludzi pozostanie bierna, pozwoli się nadal prowadzić rynkowym trendom i będzie karmić internetowy system swoimi danymi. Ale jestem przekonana, że grupa świadomych i zdeterminowanych osób, które stosują rozmaite taktyki oporu, będzie rosła.

 

Dopuszczamy technologię coraz bliżej siebie. Jak sprawdzić, czy dane urządzenie lub aplikacja zbiera o nas dane? Czy Siri – osobisty asystent dostępny w systemie operacyjnym urządzeń firmy Apple – wie, co jemy na obiad?

Zweryfikowanie tego, co się rzeczywiście dzieje z naszymi danymi „po drugiej stronie lustra”, nie jest proste. Pierwszy krok, który zawsze warto wykonać, to przejrzenie regulaminów usług świadczonych przez firmy internetowe. To czasem zaskakujące, jak otwarcie przyznają się one do eksploatacji naszych danych. Możemy się dowiedzieć, że wyszukiwarka, poczta elektroniczna czy portal społecznościowy mają swobodny dostęp do takich informacji, jak: nasz numer IP, lista kontaktów w telefonie, treść przesyłanych wiadomości, nasza lokalizacja… I to nie tylko wtedy kiedy sobie tego życzymy, ale także pośrednio, np. rejestrując, z jakim Wi-Fi i BTS-em (base transceiver station) się łączymy, jak zachowuje się nasze urządzenie (czy miewa awarie lub wiesza się) – najróżniejsze rzeczy, które na pozór wydają się zupełnie niezwiązane z usługą, z jakiej korzystamy. Gromadzenie tych informacji ma jednak sens biznesowy, ponieważ pozwala zidentyfikować konkretnego użytkownika. Firmy nie muszą znać nazwisk – do skutecznego śledzenia użytkowników i tworzenia sprofilowanych komunikatów wystarczy im możliwość ustalenia, że to „ten, a nie inny”. Tactical Technology Collective, organizacja zajmująca się tym tematem od lat, stworzyła edukacyjny portal, pokazujący, w jaki sposób tracimy kontrolę nad informacją i jak możemy ją odzyskać – Me and My Shadow (myshadow.org). Na przykład zakładka Lost in Small Print pomaga się odnaleźć w politykach prywatności wiodących firm internetowych. Podobne wskazówki znajdziemy również na innym portalu – Terms of Service; Didn’t Read (https://tosdr.org/). Jej autorzy wychodzą od trafnej, choć smutnej konstatacji, że regulaminów usług tak naprawdę nikt nie czyta, a nawet jeśli czyta, to ich nie rozumie. Misja twórców strony to uświadomienie użytkownikom najpopularniejszych usług internetowych, na co tak naprawdę się zgadzają, klikając „OK”.

Nawet bardzo uważna lektura regulaminów nie daje jednak pełnego obrazu tego, gdzie i w jakich celach wędrują nasze dane. Tę wiedzę zdobywamy przede wszystkim drogą eksperymentów i badań, przeprowadzanych przez ludzi, którzy świetnie znają się na technologii i są w stanie napisać kawałki kodu (np. wtyczki do przeglądarek), ujawniające przepływy informacji. Taką funkcję pełni chociażby wtyczka Ghostery, która po zainstalowaniu pozwala monitorować, ilu ukrytych graczy śledzi nasze działania na danej stronie internetowej. Warto to sprawdzać.

 

Co właściwie możemy z taką wiedzą zrobić? Jeśli przeczytamy warunki umowy, które akceptujemy przy rejestracji i aktualizacjach Google’a czy Facebooka, i coś nam się nie spodoba, to nie wyrażając na nie zgody, nie będziemy mieć do nich dostępu.

Rzeczywiście, jako użytkownicy komercyjnego Internetu znajdujemy się w słabej, prekaryjnej pozycji. Ogólne warunki umów nie są pisane po to, żebyśmy mogli je negocjować. Korzystając ze swojej dominującej pozycji na rynku, wiodące firmy internetowe mogą powiedzieć: take it or leave it – nie podoba ci się mój regulamin, idź gdzieś indziej. Nie masz gdzie pójść? Przykro nam, to twój problem. I dokładnie to robią. W tym momencie nie mamy prawnych narzędzi, by takie nieuczciwe praktyki powstrzymać. Ale mogę sobie wyobrazić, że z czasem również sektor usług internetowych zostanie poddany podobnej kontroli jak dziś bankowy czy ubezpieczeniowy. Przydałby się organ taki jak Urząd Ochrony Konkurencji i Konsumentów z kompetencjami do stwierdzania, które klauzule w regulaminach firm są abuzywne i – jako takie – nie powinny wiązać konsumenta. Niestety, nie mamy instytucji, która regulowałaby w ten sposób sieć, a wiodące firmy internetowe są globalne, więc władza narodowych organów jest wobec nich ograniczona. Możemy jednak wykorzystywać przepisy o ochronie danych osobowych, które dają nam np. prawo sprzeciwienia się wykorzystywaniu naszych danych w celach marketingowych lub, jeśli nas to niepokoi, możliwość sprawdzenia, komu nasze dane zostały przekazane. W Polsce te przepisy interpretuje Generalny Inspektor Ochrony Danych Osobowych, a na poziomie Unii Europejskiej niedługo zacznie działać Europejska Rada Ochrony Danych, a więc mamy się do kogo zwracać. Ostatnią instancją pozostają sądy, które zaczynają coraz odważniej egzekwować europejskie prawo wobec globalnych internetowych korporacji. To długa i ciężka droga, ale możliwa do wykorzystania. Im więcej osób się na to zdecyduje, tym większa szansa, że firmy – z obawy przed procesami – zaczną zmieniać swoje praktyki na lepsze. Jest jeszcze jedna droga, z której zawsze możemy skorzystać, by utrudnić zadanie śledzącym nas skryptom: generować informacyjny szum.

 

Na czym to polega?

Jeżeli czujemy, że trudno nam będzie skutecznie się ukryć w sieci lub nie chcemy rezygnować z popularnych usług, a jednocześnie przeszkadza nam śledzenie i profilowanie, zawsze możemy generować nieprawdziwe informacje na swój temat. Na przykład na portalu społecznościom umieszczać regularnie absurdalne, nieprawdziwe wpisy, których nasi przyjaciele nie potraktują poważnie, a firma zbierająca dane – owszem. Podobnie możemy działać, wyszukując w Internecie informacje – do generowania szumu informacyjnego w wyszukiwarkach są nawet specjalne aplikacje. Nie znikniemy wtedy z sieci, ale przynajmniej utrudnimy firmom zbudowanie naszego właściwego profilu.

 

Bardzo może bawić przyglądanie się trwającej miesiąc konsternacji wyszukiwarki i listy aktualności pojawiających się na Facebooku po przeprowadzce do innego kraju – najpierw serwisy czekają, aż wróci się z krótkich wakacji, a kiedy lokalizacja się nie zmienia, zaczynają pojawiać się lokalne oferty i newsy.

Zmiana lokalizacji to bardzo dobry ruch – coś, co radykalnie zaburza nasz profil. A jeśli nie jesteśmy w stanie wyjechać naprawdę, zawsze możemy pomyśleć o stworzeniu pozorów, np. pożyczając przyjacielowi kartę kredytową czy logując się do Internetu przez proxy – serwer pośredniczący, który wywołuje taki efekt, jakbyśmy byli gdzie indziej.

 

Możemy nauczyć się bezpiecznego korzystania z sieci?

Wierzę, że tak. Fundacja Panoptykon stworzyła rozbudowany, edukacyjny program, który właśnie tego dotyczy. Jest on adresowany do szkół i różnych edukatorów pracujących z młodzieżą: trenerów, opiekunów, bibliotekarzy. Nazwaliśmy go Cyfrową Wyprawką, ponieważ zdajemy sobie sprawę, że ludzie wchodzą do Internetu bez narzędzi poznawczych niezbędnych do zrozumienia tego, co się dzieje z informacją na ich temat. Szkoła ma w tej kwestii wiele do nadrobienia. Nie ma możliwości, żeby nauczyciel, który ma z Internetem kontakt sporadyczny, w sposób wiarygodny i przekonujący mógł pracować z uczniem, dla którego to codzienność i który właśnie, pod ławką, siedzi na Snapchacie. W szkołach brakuje też przestrzeni, która umożliwia bezpieczny, a jednocześnie swobodny kontakt z technologią. Wiele rzeczy można jednak poprawić, a czego innego szkoła powinna dziś uczyć, jeśli nie cyfrowej edukacji? I z perspektywy samych uczniów, i społeczeństwa – które potrzebuje świadomych konsumentów i obywateli w sieci – nie ma chyba nic ważniejszego.

 

Pośrednikiem naszego dostępu do Internetu są cyberkorporacje, które określają ilość i treść przekazywanych nam danych, ale regulacje w tym zakresie mogą pochodzić także od rządu danego państwa czy organów ponadrządowych. Obecnie znaczący wpływ na nasze działania w sieci mają tzw. ustawy antyterrorystyczne. W jakim celu są one wprowadzane?

Rozumiem, że masz na myśli te ich elementy, które wiążą się z blokowaniem treści internetowych. Założenie, jakie przebija w wielu politykach antyterrorystycznych, jest takie, że państwo musi wejść w rolę dobrego ojca, który chroni obywateli – szczególnie tych niepełnoletnich – przed kontaktem z treściami, które mogłyby ich zradykalizować czy zmienić ich poglądy w sposób, jaki może prowadzić do działań przestępczych. Państwo najwyraźniej zakłada, że obywatel sam z siebie nie szuka kontaktu z radykalnymi środowiskami, ale może wpaść w pułapkę i mimowolnie się zaangażować w działalność terrorystyczną, jeśli trafi na odpowiednie treści w Internecie. Jeśli przyjmiemy bardziej realistyczne i mniej paternalistyczne założenie, że ludzie, którzy szukają kontaktu z grupami terrorystycznymi, to raczej zdeterminowane jednostki o wyrobionych poglądach, blokowanie dostępu do radykalnych treści nie ma żadnego sensu. Każdy, kto ich aktywnie szuka, znajdzie do nich drogę: wystarczy obejście technicznej blokady za pomocą wspomnianego już serwera proxy. Do tego dochodzą oczywiście powszechnie dostępne narzędzia komunikacji, takie jak serwisy społecznościowe i czatroomy, dzięki którym każdy jest w stanie znaleźć w sieci osoby o podobnych poglądach i utrzymywać z nimi kontakt.

 

Jak sądzisz, czy prawo ma w ogóle szansę nadążyć za technologią?

Technologia i prawo to odrębne kosmosy. W tym przypadku mamy do czynienia z niezwykle nierównym wyścigiem, bo z jednej strony sfera technologii rozwija się błyskawicznie i wielokierunkowo (działa w niej mnóstwo różnych aktorów, którzy konkurują ze sobą i próbują wygenerować coraz bardziej atrakcyjne i użyteczne produkty), a z drugiej strony mamy struktury władzy regularnie odnawiane w demokratycznych wyborach, co wiąże się z określoną dynamiką politycznej gry i rzadko sprzyja sprawnemu przeprowadzaniu reform. Weźmy przykład prawa o ochronie danych osobowych w Unii Europejskiej – jego reformę, niezbędną, by dostosować regulacje do nowego środowiska, jakim stał się komercyjny Internet, udało się przeprowadzić dopiero po 20 latach. Poprzedni paradygmat wypracowywano w latach 80., a przyjęto go w formie dyrektywy w latach 90. Internet sprzed 20 lat nie przypominał w niczym tego, jaki mamy dzisiaj. Niemniej dobrze zaprojektowane przepisy prawa nie starzeją się tak samo szybko jak technologia. Podstawowe zasady ochrony danych, jakie zostały wypracowane w latach 80., nie straciły na aktualności, np. zasada minimalizacji w zbieraniu danych (można zbierać tylko te, które są niezbędne), zasada ograniczenia celem (dane można wykorzystywać tylko w tym celu, w którym zostały zebrane) czy ograniczenia czasowego (dane należy usuwać, gdy tylko przestają być przydatne). Natomiast o wiele większym wyzwaniem jest nadążanie z egzekwowaniem tego prawa i jego dostosowaniem do pojawiania się nowych graczy i zjawisk. Na przykład skuteczne rozciągnięcie europejskiej jurysdykcji na firmy, które działają globalnie. Tego typu problemy powodują, że nawet mądrze napisane prawo starzeje się i wymaga regularnego dostosowywania.

 

Jaki jest status praw człowieka w 2016 r.? Czy wolny dostęp do Internetu powinien być jednym z nich?

Odpowiedź na to pytanie wymagałaby osobnej rozmowy. Poruszając się na podstawowym poziomie, mogę powiedzieć, że uniwersalne wartości, które są zawarte w prawach człowieka, nie tracą aktualności i pojawienie się Internetu niczego w tym zakresie nie zmieniło. Nadal chcemy być wolni, mieć prawo dostępu do informacji czy swobodnej wypowiedzi. Zmienia się jednak kontekst, w jakim nasze prawa i wolności funkcjonują – pojawiają się inni aktorzy i inne zagrożenia. W przeszłości najczęstszym oponentem obywateli było państwo – np. wprowadzając cenzurę, ograniczając wolność zgromadzeń. W świecie Internetu kluczowa rola przypada nie państwom, ale komercyjnym gatekeeperom, czyli firmom, które mają realną kontrolę nad tym, do czego będziemy mieli dostęp, z kim będziemy się w stanie skontaktować, co zobaczymy i co opublikujemy. Pytanie, czy potraktujemy ich jako sukcesorów państw i uznamy, że powinni oni ponosić taką samą odpowiedzialność. Jeśli tak, to należałoby z Facebookiem i Google’em zawierać umowy międzynarodowe i obligować je do przestrzegania praw człowieka. Pomysł, żeby korporacje uznać za nowy podmiot zobowiązany do ochrony praw człowieka, nie jest nowy, ale wprowadzenie tej zasady w życie to bardzo trudny proces. Daleko nam jeszcze do momentu, w którym jakakolwiek firma uznałaby: „tak, przyjmuję swoją odpowiedzialność za przestrzeganie praw człowieka w przestrzeni cyfrowej”. A prawo do Internetu jako takiego? Nie jestem przekonana. To prawda, że Internet pełni funkcję komunikacyjnej infrastruktury krytycznej i jest ważniejszy, niż kiedykolwiek były telekomy. Nie stworzyliśmy prawa dostępu do telefonu, teraz stajemy przed pytaniem, czy walczyć o prawo do Internetu. Skoro mamy – przynajmniej na papierze – prawo do pracy i opieki medycznej, to może prawo do korzystania z infrastruktury komunikacyjnej również miałoby sens. Patrząc jednak na to, jak daleko jesteśmy dzisiaj od rzeczywistego zagwarantowania innych praw pozytywnych, obawiałabym się stworzenia kolejnej fikcji. Dlatego osobiście większą wartość widzę w walce o przestrzeganie fundamentalnych wolności – w tym wolności wypowiedzi czy autonomii informacyjnej. Prawo do Internetu nie jest czymś, na czym już dziś powinniśmy się koncentrować, ponieważ nadal mamy ważniejsze batalie do wygrania.

_

Katarzyna Szymielewicz – prawniczka i aktywistka; współzałożycielka i prezeska Fundacji Panoptykon, której celem jest działanie na rzecz wolności i ochrony praw człowieka w społeczeństwie nadzorowanym; wiceprzewodnicząca European Digital Rights, doradczyni Tactical Technology Collective, Amnesty International Polska oraz ruchu Akcja Demokracja.

 

 
 

Dołącz do nas!

Prenumeratorzy zyskują więcej.

Zobacz ofertę!

Prenumerata