Czy polskie przepisy dotyczące cookies to pierwsza próba obrony naszych danych osobowych, czy raczej mało szczęśliwy bubel prawny?
Bruce Schneier – światowej sławy specjalista od kryptografii i bezpieczeństwa sieci – opublikował niedawno tekst pod tytułem, który nie zostawia miejsca na wątpliwości: „Internet jest państwem nadzorowanym” (The Internet is a surveillance state). „Bez względu na to, czy jesteśmy w stanie to przed sobą przyznać i czy nam się to podoba, jesteśmy śledzeni cały czas” – pisze Schneier, a na poparcie tej tezy przytacza konkretne przykłady. Firmy internetowe śledzą nasze zachowania nie tylko na własnych stronach, ale wszędzie tam, gdzie zabieramy ze sobą serwowane przez nie ciastka. Te bardziej innowacyjne idą jeszcze dalej: profilują również osoby, które z ich usług nie korzystają, a w przypadku własnych klientów coraz częściej integrują dane ze świata offline i online (historię wyszukiwania z historią zakupów, aktywność na serwisach społecznościwych z geolokalizacją itp.).
Nasz „cyfrowy łupież” jest skrupulatnie zbierany i przetwarzany w znaczące, wartościowe dane. Do tych prywatnych złóż mają oczywiście dostęp także państwa (nie tylko te uznawane za demokratyczne). Schneier w swojej analizie nie daje specjalnej nadziei na zmianę: „Wszystko, co teraz robimy, angażuje komputery, a komputery generują dane jako naturalny produkt uboczny. Wszystko jest teraz zapisywane i korelowane, a wiele firm działających w sektorze «big data» zarabia na konstruowaniu naszych intymnych profili w oparciu o dane z różnorodnych źródeł”.
Co my na to? Jeśli wierzyć badaniom, z jednej strony czujemy się zaniepokojeni i chcielibyśmy kontrolować drugie życie swoich danych, z drugiej – wciąż wybieramy pozornie darmowe usługi, które zakładają komercjalizację naszej prywatności. Według Eurobarometru 72% użytkowników Internetu obawia się, że ujawnia zbyt wiele danych osobowych i ma poczucie, że nie posiada nad nimi pełnej kontroli. Według badań przeprowadzonych przez Ovum, tylko 14% respondentów uważa, że firmy internetowe są wobec nich uczciwe w kwestii przetwarzania powierzonych im danych.
Schneier sugeruje bardzo pragmatyczne wyjaśnienie tej rozbieżności postaw i praktyk: „Dziwaczne byłoby oczekiwanie, że ludzie tak po prostu odmówią korzystania z kluczowych dla nich usług tylko dlatego, że nie podoba im się bycie szpiegowanym – szczególnie w sytuacji, gdy pełny wymiar tego zjawiska jest przed nami specjalnie ukrywany, a niewiele firm oferuje alternatywne usługi, które nie szpiegują”.
Żeby nasze deklarowane potrzeby mogły przełożyć się na praktyki, potrzebujemy współpracy: albo ze strony samych firm, albo ze strony państwa, które działania tych firm ureguluje. Debata o tym, jak powinny wyglądać zasady ochrony prywatności w cyfrowym świecie, toczy się już od dawna, a właśnie teraz nabiera tempa. Najważniejsze decyzje zapadną jeszcze w tym roku na poziomie Unii Europejskiej. Jakie one będą i czy nowe prawo stanie na wysokości rzeczywistych wyzwań, widzianych w perspektywie następnych kilkunastu lat, w istotnej mierze zależy od polskiego rządu i polskich eurodeputowanych.
Tymczasem mamy próbkę mało szczęśliwej regulacji, która była pomyślana jako pierwsze podejście do problemu śledzenia w Internecie. Chodzi o unijną dyrektywę o ochronie prywatności w usługach elektronicznych i jej polską implementację, która po długiej batalii weszła w życie 22 marca – a konkretnie, o przepisy regulujące wykorzystanie ciasteczek (cookies). Niestety, dyrektywa nie odnosi się do samego śledzenia – które może się odbywać przy pomocy różnych technik i coraz częściej ciasteczek wcale nie potrzebuje – ale do technicznej czynności instalowania plików na urządzeniach podłączonych do sieci. Efekt jest taki, że śledzić nadal można, natomiast pojawiła się cała masa wątpliwości natury technicznej i prawnej (kiedy, na jakich zasadach i co można zapisywać).
Polski ustawodawca próbował znaleźć salomonowe wyjście: z jednej strony przyjął najwyższy możliwy standard ochrony prywatności – w ustawie mamy wymóg uzyskania wyraźnej zgody użytkownika na instalację ciasteczek, które nie są niezbędne do świadczenia mu usługi, z drugiej – dopuścił pozyskiwanie tej zgody za pośrednictwem przeglądarki. W teorii taki kompromis jak najbardziej ma sens: nawet ci użytkownicy, którym zależy na kontrolowaniu swoich danych, nie chcą być skazani na wieczne klikanie w okienka i banery z pytaniem o zgodę. Możliwość wyrażenia jej w sposób świadomy na poziomie przeglądarki (wystarczy raz) byłaby idealnym rozwiązaniem. Byłaby, gdyby nie ograniczenia wynikające ze sposobu działania przeglądarki, których odpowiedzialne za projekt Ministerstwo Administracji i Cyfryzacji nie wzięło pod uwagę.
Obecnie żadna z liczących się na rynku przeglądarek nie wymusza na swoich użytkownikach świadomego wyboru ustawień prywatności w momencie instalacji. W efekcie zdecydowana większość ludzi w ogóle tam nie zagląda i nie ma świadomości, że de facto zgadza się na instalowanie ciasteczek. Co gorsze, z perspektywy innych graczy, sygnał wysyłany przez naszą przeglądarkę jest identyczny, bez względu na to, czy sami wybraliśmy opcję „zapraszam, śledź mnie”, czy została ona ustawiona przez producenta.
W tej sytuacji trudno przerzucić odpowiedzialność za analizę naszych intencji na administratorów stron internetowych, które odwiedzamy. Zostają zatem dwie możliwości: albo uznanie, że ustawienia przeglądarki się „nie liczą”, skoro nie przekazują żadnej wiarygodnej informacji o naszych preferencjach (i wtedy mamy częściowo martwy przepis), albo przyjęcie, że „wyraźna zgoda” (o której mówi ustawa) w praktyce będzie zgodą domniemaną.
Ministerstwo Administracji i Cyfryzacji już oficjalnie opowiedziało się za tym drugim rozwiązaniem: do bardzo rygorystycznego prawa dopisało bardzo łagodną interpretację. Tym razem to jednak nie jest kompromis, ale zwyczajne psucie prawa. Zamiast przyjmować niebezpieczną fikcję „wyraźnej zgody”, rozsądniej byłoby dostosować przepisy do technologii, skoro na odwrót się nie da. Albo przynajmniej zaapelować do producentów przeglądarek (najpopularniejsze nie podlegają polskiemu prawu) o zmianę domyślnych ustawień. Inspiracją do takiej rozmowy mógłby być ruch Microsoftu, który w najnowszej wersji Internet Explorera włączył domyślny sygnał „nie śledź mnie” (Do Not Track). Co prawda, sygnał DNT 1 to jedynie uprzejma prośba, której nikt w Internecie nie musi respektować, ale zawsze to jakiś przyczółek…
Projekt finansowany ze środków Parlamentu Europejskiego.