Odtisi v digitalnem pesku

S hojo po peščeni plaži ponavadi puščamo svoje odtise v pesku, ki nekaj povedo o nas. Kakšno obutev imamo, kako dobro se je obnesla dieta pred poletno sezono in kam smo namenjeni. Na podoben način z uporabo spletnih tehnologij in storitev puščamo podatkovno sled v digitalnem pesku, ki poleg naše teže in tipa obutve tretjim osebam o nas sporoča še veliko več.

Na to smo se že privadili. Čeprav so nas spletišča po t. i. piškotkarski regulativi začela obveščati, da nas ob obisku spletišča čakajo sistemi, ki bodo od nas pobrali podatke o naših navadah in da jih načelno lahko izklopimo, smo ljudje hoteli samo čim hitreje priti do vsebine in se nismo obremenjevali, kdo ima naše podatke in kaj z njimi dejansko počne.

Naše podatke prenašajo vse naprave in storitve, hkrati se naši podatki zapisujejo v več različnih podatkovnih zbirk skupaj.

Nato se je podobna praksa ponovila še pri mobilnih aplikacijah, storitvah na mobilnih in drugih platformah in naše obiskovanje spleta je postalo skoraj neskončen vir informacij o našem obnašanju, preferencah in drugih značilnosti naše spletne identitete. Tudi vedno večja količina t. i. pametnih naprav, od televizij, klimatskih naprav do druge bele tehnike ter združevanje teh naprav v pametne hiše in še naprej, v pametna mesta, obljubljata nove vire podatkovnih zbirk o državljanih in potrošnikih, ki jih nato preprodajalci ponujajo najboljšemu plačniku.

Na spletu smo torej vsi goli. In hkrati nič ne kaže, da si bomo lahko sami ali ob pomoči države sešili vsaj delna pokrivala najobčutljivejših delov našega spletnega telesa.

Digitalna sled: med tehnologijo in človekom

Hiter pregled pravilno implementiranega obvestila o piškotih na naključnem spletišču razkrije velikost vohunskega ekosistema, ki spremlja naše obnašanje na spletu. Ogromna količina preprodajalcev naših informacij se ponavadi osredotoča na nekaj osnovnih sledi, ki so ostanek nekih starih časov svetovnega spleta, kjer so se te tehnologije beleženja obiska uporabljale za hitrejše delovanje spletnih mest in so dejansko imele praktično funkcijo, ki je služila uporabnikom.

Piškotki so bili namreč na začetku uporabljeni kot »knjižna kazala«, ki so uporabniku omogočala, da je določene datoteke v ozadju spletnih mest naložil hitreje oziroma preskočil njihovo nalaganje, če jih je že imel na svojem trdem disku. S tem je »pohitril« nalaganje spletišč, kar je pomenilo boljšo uporabniško izkušnjo.

Te podatke z informacijami o tem, kaj smo si na spletišču ogledovali, katere vsebine smo preskočili in kaj nas je najbolj zanimalo, so na neki točki lastniki spletišč začeli prodajati oglaševalcem, ki so nas ob njihovi pomoči začeli obstreljevati z oglasnimi sporočili. Imate na svojem računalniku piškotek iz spletišča s kolesarsko opremo? Izvolite oglas za nakup novega kolesa. Ste se gibali po spletiščih z zabavnimi vsebinami? Izvolite oglas za kino. Zbirke podatkov o naših brskalnih navadah, ki so bile zapisane v piškotkih, so predstavljale enega glavnih virov spletne industrije, dokler ni vrag odnesel šale in so zlorabe te tehnologije presegle vse mere zdravega razuma.

Direktiva o e-zasebnosti oziroma t. i. cookie direktiva je bila leta 2009 prvi regulatorni poseg, s katerim je poskušala Evropska komisija omejiti vdore v uporabnikovo zasebnost in uporabniku pomagati pri odločanju o tem, katere njegove podatke bodo tretje osebe lahko uporabile v (večinoma) oglaševalske namene in katerih ne.

To je bil eden prvih korakov k cementiranju vloge uporabnika pri odločanju o lastni pravici do zasebnosti. Logika zakonodajalcev je namreč temeljila na predpostavki, da bo spletni uporabnik varoval svojo zasebnost, če bo le imel orodja za to. Tako se je razvila prava industrija različnih dodatkov in pripomočkov za varovanje spletne zasebnosti, od ponudnikov VPN-storitev do posebnih zasebnostnih dodatkov za brskalnike, na trgu je bilo dostopnih vedno več treningov digitalne pismenosti in varovanja digitalne zasebnosti, ki so poudarjali posameznikovo odgovornost pri varovanju lastne zasebnosti.

Hkrati z razvojem t. i. zasebnostne industrije sta se na nove razmere prilagajali tudi oglaševalska in spletna industrija, ki sta bili osnovani na pretoku in preprodaji uporabniških podatkov. Ko piškotki naenkrat niso bili več relevantni zaradi zakonodaje in aktivnih uporabnikov, so si oglaševalci izmislili nove tehnologije in storitve, ki še danes spremljajo naše spletne aktivnosti in niso tako močno regulirane kot zastarela industrija spletnih piškotkov.

Danes tako naše podatke na spletu zbirajo prek različnih uporabniških profilov različnih omrežij in naprav (Google, Android, Facebook ...), nato prek identifikacijskih številk strojne opreme, od pametnega telefona in številke IMEI do številke IP oziroma drugih identifikatorjev, številke kreditne kartice, bolj aktualnih biometričnih tehnologij in drugih načinov. Piškotki so odprli pandorino skrinjico preprodajanja naše spletne zasebnosti in nič ne kaže, da jo bomo lahko v kratkem zaprli.

Uporabnik je (u)bog(i)!

Glavna napaka, ki jo obstoječi okviri zasebnostne zakonodaje vedno znova naredijo na področju digitalnih tehnologij, se nanaša na odnos med uporabnikom, državo in spletno industrijo. Zadnja namreč z lobističnimi pritiski na regulatorja vedno znova vsili idejo, da bi morala država omejevanje zbiranja podatkov prepustiti uporabniku samemu, češ, naj se sam odloči, kaj bi rad dal od sebe in česa ne.

To se sklada z razsvetljensko logiko pametnega in aktivnega spletnega uporabnika, ki ve, kaj hoče in česa ne, in ustreza tako regulatorju, ki se s tem znebi dela odgovornosti, hkrati pa tudi industriji, ki res pozna uporabnika in je tako vnaprej vedela, da se ta ne bo preveč obremenjeval z izgubo svoje zasebnosti.

Tako se je na uporabnika kar naenkrat zgrnilo več črnih oblakov zaradi vdorov v njegovo zasebnost, hkrati pa so ga z vseh strani bombardirali s članki, tečaji in z drugimi storitvami, s katerimi naj bi poskrbel za svojo digitalno zasebnost.

Poleg branja in izbiranja obveznih, neobveznih, osnovnih, relevantnih, irelevantnih in drugih piškotkov se je moral spopadati še z bolj prikritimi sistemi spremljanja uporabniških navad in dejanj, za katere ni bilo tako enostavne rešitve. A da bi bila situacija še bolj problematična, se razen na svoje sposobnosti in angažirano vlogo pri varovanju lastne zasebnosti na spletu ni mogel zanašati na nikogar drugega.

In končno, asinhronost polja moči, kjer so na eni strani atomizirani uporabniki, na drugi pa vedno večji digitalni oligarhi z globalnimi zbirkami podatkov, ki ob pomoči umetne inteligence in drugih programsko-strojnih rešitev vedno enostavneje naše podatke zbirajo, jih analizirajo in preprodajajo, pušča posameznega uporabnika v zares nezavidljivem položaju.

To je vodilo do posebnega stanja, v katerem se znajdejo uporabniki. Raziskovalci so ga poimenovali »zasebnostna izčrpanost«, vanj pa uporabnik zapade, ko je na eni strani soočen z vedno večjim številom medijskih poročil o zlorabah spletne zasebnosti, na drugi pa s še večjo količino nastavitev in orodij, s katerimi naj bi to zasebnost zavaroval. Zasebnostna izčrpanost pa ima za uporabnika in družbo izredno nevarno posledico, posameznik namreč obupa nad poskusi obrambe lastne zasebnosti, hkrati iz obupa nad razmerami rešitve ne vidi niti na politični ravni. In ker zadeva res še ni dovolj problematična, se tudi industrija na vse pretege trudi, da bi na različne načine prevarala uporabnika in mu ustvarila lažen občutek varnosti.

Če stanje projiciramo skozi prizmo družbe, ki je zgrajena na trgovini z uporabniškimi podatki, pri čemer niti ni pomembna dejanska uporabnost podatkov za določene namene, temveč samo zbiranje in preprodajanje, potem si lahko predstavljamo, kako velik je problem trgovine s podatki, kdo vse je vpleten vanjo in kako težko se je proti temu boriti kot aktiven potrošnik oziroma uporabnik.

Hkrati je skoraj ironično dejstvo, da smo z razvojem družbe znanja oziroma informacijske družbe dobesedno prisiljeni v digitalno delo, s katerim generiramo podatkovne sledi, ki nato služijo kot plačilno sredstvo na trgu podatkovne ekonomije. Si predstavljate svojo konkurenčnost na trgu delovne sile, če bi delodajalcu razlagali, da tehnologije ne uporabljate, da prisegate na starejše rešitve, ki jih ni mogoče tako enostavno vključiti v podatkovno trgovino, in da se ne poslužujete teh »modernih novotarij«, kot sta mobilni telefon in osebni računalnik?

Že samo s tega vidika je aktiven in s pravicami oborožen uporabnik bistroumni nesmisel, saj je velikokrat v brezizhodnem položaju, kjer sta od sodelovanja v podatkovni ekonomiji odvisna njegov obstoj in preživetje.

Kako vse pridejo do naših podatkov?

Vse se začne z zahtevki po vsebini, ki jo poskušamo spremljati prek spleta. Bodisi da gre za besedilo, sliko, zvok ali film, vsi zahtevki po vsebini se od našega brskalnika sprehodijo skozi usmerjevalnik ali modem (do katerega ima običajno dostop ponudnik dostopa do interneta), nato skozi kopico strežnikov, ki omogočajo povezavo z našim računalnikom, in potem končno pridejo do strežnika, kjer gostuje vsebina, ki jo želimo pregledati.

Hkrati lahko naš zahtevek po izbrani vsebini »obvesti« tudi večje število storitev tretjih oseb (oglaševalcev), ki lahko na podlagi naših podatkov ustvarijo profil, mu dodelijo edinstveno identifikacijo številko in tako spremljajo našo pot po svetovnem spletu.

Drugi način zbiranja naših podatkov so uporabniški profili, ki povezujejo več storitev. Na tem mestu sta najmočnejša igralca Google in Facebook, kjer je prvi v veliki prednosti pred drugim, saj z Google računom povezujemo telefon in tablico, elektronsko pošto, zbirnik video posnetkov in glasbe, spletno analitiko, spletno pisarno in druge Google storitve, ki nato medsebojno komunicirajo in tako dopolnjujejo naše uporabniške profile. Na podoben način deluje Facebook, ki s posebno tehnologijo spremlja naše aktivnosti na vseh spletiščih, ki vključujejo Facebook gumbe za vščečkanje in deljenje oziroma obrazec za Facebook komentarje.

A to sta samo glavna akterja. Pod površjem spleta se nahaja cela industrija posrednikov uporabniških podatkov, katerih glavni proizvod ste vi in vaši podatki. Te nato preprodajajo različnim oglaševalcem in drugim strankam, ki se za te podatke zanimajo. Med njimi so tudi telekom podjetja, obveščevalno-varnostne službe in drugi akterji, za katere mogoče nikoli ne bi pomislili, da delujejo tudi na tem področju. Dodaten izziv je tudi v zares veliki količini podatkov, ki jih za sabo puščamo na vsakem koraku, ter hkratnem razvijanju vej industrije, ki se specializirajo za analizo in preprodajo podatkov na točno določenem področju.

Se sprašujete, kaj vse ima tržno vrednost? Primer preprodajalca podatkov Axciom iz leta 2018 opisuje več kot deset tisoč različnih značilnosti, ki so vezane na posameznika in jih je mogoče kupiti v okviru podatkovne zbirke. Med njimi najdemo tako podatke o plačilni sposobnosti posameznika, političnih pogledih, veri, zdravstvenih tveganjih in druge, s katerimi operiramo oziroma jih sami puščamo v informacijski družbi.

Vzpon zasebnostne industrije

Na drugem koncu trga se je začela razvijati t. i. zasebnostna industrija. Podjetja so v uporabniški zasebnosti videla tržni produkt, ki ga je mogoče prodajati oziroma ponujati uporabnikom. Za to je bilo več razlogov, od vedno večje priljubljenosti uporabniške zasebnosti kot teme popularne kulture (spomnite se samo vseh znanstvenofantastičnih filmov in dokumentarcev na to temo) do vedno večje normalizacije vloge uporabnika, ki aktivno skrbi za svojo spletno zasebnost.

To je bil dvorezni meč. Sicer je res, da so bile prvotne rešitve za varovanje zasebnosti, ki so se zanašale na uporabniško znanje in iznajdljivost, okorne in je bila implementacija izredno zahtevna, a se je po drugi strani s komercializacijo sektorja zasebnosti razvila nova industrija, ki smo ji uporabniki spet prepuščeni na milost in nemilost, velikokrat s katastrofalnimi posledicami.

Zagotovo ste tudi nekateri bralci tega članka med tistimi, ki uporabljate plačljive oziroma brezplačne VPN-storitve, imate na svojem računalniku nameščenih več plačljivih oziroma brezplačnih storitev za omejevanje dostopa do vaše podatkovne sledi oziroma se vedno bolj ogrevate za idejo uporabe polovične oziroma celoobrazne maske, s katero boste pretentali biometrične algoritme, ki jih že najdemo v različnih inštalacijah, od letališč in pristanišč do mejnih prehodov, nekaterih trgovin in drugih javnih mest.

Načelno to sicer res varuje pred nekaterimi napadi oziroma oblikami zlorab podatkov, ki jih pošiljate prek spleta, a hkrati ti končajo v rokah drugih podjetij. Ta se v posameznih primerih sicer res zavezujejo k boljšemu ravnanju z njimi, a to v praksi spet pomeni, da se uporabniki izpostavljajo tveganju novega industrijskega sektorja, ki ni ravno znan po držanju svojih zavez. Ena od vrst industrije, ki je sicer začela z nagovorom po varovanju zasebnosti, a na koncu ugotovila, da so klici siren preprodajalcev podatkov preveč mamljivi, je že prej omenjena industrija VPN-storitev.

Drugi problem so nedelujoče rešitve za varovanje zasebnosti, ker uporabniki mislijo, da se na tem področju razmere ne spreminjajo dobesedno iz dneva v dan, in kjer lahko uporabnik s svojim (ne)znanjem najbolj škoduje prav samemu sebi in ljudem okrog sebe. Že če si v letu 2022 zavrtite dokumentarec o Edwardu Snowdnu Citizenfour iz leta 2014, boste v njem našli kar nekaj škodljivih praks osebnega varovanja digitalne identitete, ki danes pač niso več aktualne.

Tretji problem »zasebnostne industrije« je že prej omenjeni zakonodajni okvir varovanja uporabnikove zasebnosti, kjer prednjači Evropska unija. V primerjavi z Združenimi državami Amerike, kjer je uporabnikova zasebnost še vedno bolj ali manj stvar uporabnika ter industrije in kjer se tudi na področju zasebnosti le počasi obračajo za evropskim valom (z izjemo zvezne države Kalifornija, ki bi jo v nekem trenutku lahko šteli za pridruženo članico Evropske unije vsaj na področju zakonskih varoval uporabniške zasebnosti), je namreč stanje na stari celini veliko boljše, a še zdaleč ne idealno.

Zasebnostna industrija je sicer rešila eno težavo, a ustvarila tisoč novih.

Na žalost večina spletne industrije prihaja prav iz Združenih držav Amerike (ravno zaradi slabih varovalk zasebnosti, ki so omogočile razcvet divjega zahoda trgovine s podatki), tako da zdaj že vrsto let videvamo boje na področju obeh kontinentov, kjer poskušajo narediti mešanico iz podatkovnega »olja« in zasebnostne »vode«. Ne gre jim ravno dobro od rok.

Vojska v času miru

A tudi to še ni največji problem. Nad področjem podatkovne ekonomije se zadnje čase vedno bolj navdušujejo tudi podjetja, ki so svojo poslovno pot začela kot razvijalci komunikacijske opreme za vojsko.

V času ameriške vojne proti terorju in v času ameriške invazije na Afganistan in Irak je bilo javno-zasebnih partnerstev dovolj, a nato se je ta pipica davkoplačevalskega denarja za drago vojaško opremo, s katero so Američani vohunili, zbirali in analizirali biometrične zbirke podatkov, pridobivali satelitske slike in ostale podatkovne zbirke, zaprla.

Podjetja so hitro našla nove trge, nadzorno tehnologijo so začela namesto vojaškim enotam prodajati policijskim silam doma, v Združenih državah Amerike. Tudi na drugih področjih globalne industrije, kjer prednjači Izrael, so se ob pomanjkanju dobave vojskam z vsega sveta odločili za odpiranje novih trgov in trgovskih poti, kjer so lahko prodajali vohunsko opremo za civilno rabo.

Vzpon industrije nadzora, kjer država kar naenkrat ni bila glavni naročnik vohunsko-obveščevalne opreme, temveč so bile to mafijske združbe, globalna podjetja pa tudi bogati posamezniki, je odprl novo fronto boja za zasebnost, zbiranja podatkovnih zbirk o uporabnikih in zlorabe podatkov v ekonomske ter politične namene.

To je boju za zasebnost dodalo novo komponento. Kar naenkrat se za podatke niso zanimali samo državne obveščevalno-varnostne službe in oglaševalci, temveč se je trg razširil tudi na druge skupine ljudi z denarjem, ki so si lahko privoščili nakup opreme oziroma storitev s tega področja. Tudi nameni zbiranja podatkov so se iz relativno »preprostega« državnega in tržnega interesa razširili na zalezovanje ter druge oblike kriminalnih dejanj, nadzor pandemije koronavirusa in drugih oblik analiziranja velike količine uporabniških ter osebnih podatkov večjih skupin ljudi.

Pri tem je vredno opozoriti še na vseprisotnost teh rešitev družbe nadzora, ki lahko dobesedno čez noč spremeni svoj produkt, ga prilagodi trgu in pod novim imenom proda novim kupcem. Tako se je več orodij, ki so bila primarno razvita za boj proti teroristom, čez nov spremenilo v orodja za nagovarjanje potrošnikov, nato spet za boj proti pandemiji koronavirusa, potem še v orodje za vojaško rabo.

Vojaške tehnologije se z bojišč v času miru vedno bolj selijo na več področij našega življenja.

Pri tem se je začela vzpostavljati tudi linija, ki vedno bolj ločuje podatkovne plačance, kot je izraelski NSO, pri katerem je vprašanje samo globina naročnikove denarnice, ali pa ameriški Palantir, ki se zadnje čase vedno bolj profilira kot podaljšek ameriške javne uprave in storitve pogojuje z zavezniškim predznakom potencialne stranke, ki bi se zanimala za nakup njegovih orodij in storitev.

Kaj pa politika?

Prav zdaj potekajo burni pogovori med Evropsko komisijo in Evropskim parlamentom, ki poskušata na različne načine pravno urediti ta divji zahod podatkovne ekonomije in postaviti smernice delovanja za podatkovno industrijo, hkrati pa omogočiti uporabnikom predvidljivejše okolje, v katerem se bodo lahko zanašali tudi na sistemske varovalke in zakonodajni okvir, kjer bodo posamezne prakse prepovedane in omejene.

Politika se na tem področju uči iz lastnih napak, ki so pripeljali do tega stanja. Na podlagi pomanjkljivih rešitev iz preteklosti, od t. i. direktive piškotkov do zakonodaje GDPR, nastajajo iznajdljivejše in koristnejše rešitve, ki poskušajo učinkoviteje zasledovati razvoj tega področja. Hkrati se tudi zaradi spreminjajočega se javnega mnenja, medijskih poročil o zlorabah lobistov tehnološke industrije in lastne izobraženosti novih poskusov drži manj smole kot v preteklosti, čeprav je vpliv industrije na pisanje zasebnostne zakonodaje še vedno (pre)velik.

Regulatornim okvirom nasproti stoji tudi vedno večji ekonomski dejavnik podatkovne ekonomije, ki je povezana z zaposlovanjem ljudi ter drugimi gospodarskimi kazalniki in ki politikom preprečuje, da bi se preveč na grobo lotevali omejevanja sporne trgovine. To bi se jim namreč lahko poznalo pri volilnem izidu, kar je eden od razlogov za ravnanje v rokavicah.

Evropska unija je vodilna na področju zasebnostne zakonodaje, a tudi tukaj ne gre brez težav.

Pri tem industriji za zdaj še vedno najbolj uspeva z obljubami o odgovornem in etičnem ravnanju, čeprav se je že večkrat izkazalo, kako nemoralna in neodgovorna je pri zbiranju in prodajanju podatkov. Podatkovne zbirke so bile namreč uporabljene pri občutljivih družbenih skupinah, od žrtev spolnih zlorab do verskih in spolnih manjšin, ter z namenom spodbujanja sovraštva v času predvolilnih kampanj po vsem svetu, pri čemer je največja perverzija podatkovne trgovine to, da se je večina ljudi niti ne zaveda.

Za učinkovite rešitve na tem področju bomo torej potrebovali veliko politične volje in zavedanje o razširjenosti tega problema, ki ga je nemogoče reševati z mesta posameznega uporabnika. Sicer je res, da je občutek ob uporabi VPN-storitve, »zasebnostnega« brskalnika oziroma drugih storitev zasebnostne industrije dober, a problema s tem ne boste rešili. Še več, dejansko boste pripomogli k njegovi poglobitvi. Tega pa nočete, mar ne?