Wojna w imię e-prywatności

Podczas tegorocznego spotkania Chaos Communications Congress eksperci dyskutowali o najgorętszych tematach — bezpieczeństwie, prywatności i prawach człowieka w erze cyfrowej. Swoje miejsce w agendzie miało naturalnie europejskie rozporządzenie ePrivacy.

Ingo Dachwitz, redaktor niemieckiego portalu o tematyce cyfrowych praw i prywatności w internecie Netzpolitik.org, wyjaśnił, jaki jest cel wspomnianego rozporządzenia, w jaki sposób może ono zmienić internet, a także dlaczego najwięksi reprezentanci branży internetowej uważają, że konsekwencje jego wprowadzenia mogą być katastrofalne.

Krótka historia przepisów chroniących dane osobowe w Europie

Wiele osób już słyszało o regulacji ePrivacy. W Unii Europejskiej przeprowadzono już konsultacje publiczne na temat jej wprowadzenia oraz szeroko omówiło ją wiele europejskich mediów. Jak zaczęła się ta historia?

W latach 90. internet zaczął się szybko rozwijać, a wraz z nim rosła ilość danych użytkowników. Firmy szukały nowych sposobów nabywania i przetwarzania tych danych, które stały się cennym towarem. Im więcej danych użytkowników ma firma i im skuteczniej je analizuje, tym dokładniej może dopasować do nich produkty z nadzieją na sprzedaż.

Tematem tym zainteresowała się Komisja Europejska, która zaczęła sprawdzać, kto i w jaki sposób wykorzystuje te dane. Konieczne stało się zastosowanie regulacji prawnych na wyższym poziomie, a pierwszym krokiem w kierunku ochrony danych osobowych było wprowadzenie dyrektywy o ochronie danych osobowych w 1995 r. Ponieważ jednak definiowała ona dane osobowe dosyć niejasno, 21 lat później — w kwietniu 2016 roku — została ona zastąpiona regulacją GDPR/RODO.

Regulacja ta precyzuje i kategoryzuje dane traktowane jak dane osobowe, a także ujednolica i wzmacnia zasady ochrony danych obywateli Europy — ich informacje genetyczne, intelektualne, kulturowe, ekonomiczne czy społeczne. Obejmuje ona adresy IP, imiona i nazwiska, numery telefonów klientów, rejestry dostawców, rekordy personelu itp.

Nowa regulacja ePrivacy

Następnie pojawiła się regulacja ePrivacy, która wejdzie w życie w maju 2018 roku i rozszerzy przepisy GDPR/RODO. Są one w dużej mierze podobne — najważniejszą różnicą jest fakt, że regulacja ePrivacy dzieli dane osobowe na dwa duże zbiory: dane treści (wiadomości tekstowe, zdjęcia, używane języki itp.) i metadane — „dane na temat danych”, czyli informacje na temat plików treści. W przypadku stron internetowych metadane to słowa kluczowe, ciasteczka, pliki typu „odciski palców” itp. Metadane są bardzo istotne dla każdego, kto chce zdefiniować drugą osobę w internecie, śledzić ją i analizować jej zachowanie.

Ten slajd pochodzi z innego wystąpienia podczas Chaos Communication Congress, jednak dobrze wyjaśnia, jak duże znaczenie mają obecnie metadane

Naczelna zasada regulacji ePrivacy dotycząca wszystkich rodzajów danych użytkowników w internecie brzmi: „Prywatność z założenia”. Oznacza to, że:

• Dane mogą być gromadzone wyłącznie za wyraźną zgodą użytkownika i muszą zostać wymazane lub zanonimizowane, jeśli nie są już potrzebne do komunikacji (Artykuł 6).
• Wszelkie formy śledzenia online muszą być ściśle kontrolowane, począwszy od bezpośredniego zapytania użytkownika, czy chce być śledzony. Śledzenie domyślne (bez uzyskania zgody użytkownika) i korzystanie z tzw. tracking walls, które blokują dostęp do treści stron, jeśli użytkownicy nie zgodzą się na śledzenie, jest niedozwolone (Artykuły 7, 8, 9).
• Śledzenie offline (przez Bluetooth lub Wi-Fi) może zostać użyte tylko do celów statystycznych — lub po uzyskaniu wyraźnej zgody użytkownika (Artykuł 8).
• Dostawcy usług komunikacyjnych muszą chronić dane użytkowników poprzez wykorzystywanie pełnego szyfrowania, a dane te mogą zostać odszyfrowane tylko przez tych użytkowników (Artykuł 17).
• Dostawcy usług komunikacyjnych nie mogą zabronić użytkownikom korzystania ze wszelkich środków ochrony przed śledzeniem lub targetowaniem (np. blokerów reklamowych) (Artykuł 17).

Pole bitwy

Od chwili przedstawienia regulacji w styczniu 2017 roku Europa zaangażowała się w wiele debat na jej temat. Największe media europejskie i przedstawiciele firm działających w obszarze internetu uważają, że regulacja nie tylko nie pomaga użytkownikom, ale jest także dla nich nieprzyjazna i nieproduktywna.

Lobbyści branżowi, tacy jak Związek Pracodawców Branży Internetowej IAB, DigitalEurope, European Association of Communications Agencies (EACA), European Magazine Media Association (EMMA) i więcej (członkowie tych organizacji to między innymi Amazon, Facebook, Google, Apple, Microsoft; największe w Europie cyfrowe, reklamowe i PR-owe agencje; a także firmy medialne), uruchomili kampanię internetową przeciwko regulacji ePrivacy. Nosi ona nazwę Like a Bad Movie i pokazuje świat po jej przyjęciu. Ludzie ci uważają, że nowe przepisy zaszkodzą użytkownikom i całemu internetowi:

• Ograniczenie przychodu z reklam wykorzystującego dane spowoduje zmniejszenie ilości treści wysokiej jakości, co doprowadzi do obniżenia standardów źródeł informacji i mniejszej różnorodności opinii w Sieci;
• Modele biznesowe przydatnych aplikacji, które działają dzięki przychodowi z reklam opartemu na danych użytkowników, rozpadną się.
• Rozporządzenie wprowadzi zamieszanie wśród użytkowników, a nie im pomoże, gdyż będą oni zmuszeni zarządzać ustawieniami prywatności na każdym urządzeniu, w każdej przeglądarce i na każdej stronie.
• Dostępne będzie znacznie mniej darmowych treści, ponieważ strony nie będą mogły zarabiać na reklamach wykorzystujących dane.

Dla lobbystów najważniejszym aspektem jest fakt, że regulacja ta zagraża modelom biznesowym opartym na danych. W 2016 roku odbyło się 41 spotkań na temat nowych przepisów ePrivacy, na których byli obecni także komisarze Unii Europejskiej. 36 z nich dotyczyło interesów firmowych. W efekcie w obecnym wydaniu propozycji regulacji brakuje tego, co było uwzględnione w jej szkicu. Na przykład niejasna jest jej definicja metadanych, a także usunięto propozycję stosowania domyślnych ustawień e-prywatności na sprzęcie komputerowym.

Bitwa trwa. Poprawki do regulacji utworzone przez Parlament Europejski 23 października 2017 roku zaostrzają zasady ograniczające przedstawicieli branży. Ale lobbyści się nie poddali; nadal jest czas na nowe poprawki, które mogą całkowicie zmienić dokument.

Tyle wiemy na chwilę obecną, z pewnością będziemy śledzić ten temat. I Wam zalecamy to samo. Wpływ tej regulacji będzie ogromny, być może internet będzie musiał zrezygnować z modelu finansowania opartego o dane użytkowników. To sprawia, że regulacja ta, jeśli zostanie przyjęta, będzie jednym z najważniejszych nadchodzących wydarzeń tego roku — zdecydowanie będzie ona mieć większy wpływ na globalną ekonomię niż mistrzostwa świata w piłce nożnej.