Pobudnik kampanje proti facebooku: Počutim se kot nori okoljevarstvenik iz šestdesetih let

Včasih se počutim kot nori okoljevarstvenik iz šestdesetih let prejšnjega stoletja, je po nedavnem nastopu na graškem festivalu Elevate povedal štiriindvajsetletni dunajski študent prava Max Schrems. Tak, ki je v zaščiti obleki jemal vzorce vode in opozarjal na pesticide, težke kovine, nevarne kemikalije in druge škodljive snovi, ki so jih tovarne spuščale v reke. A ga ni nihče poslušal – ne inšpekcije, ne mediji, ne prebivalci okoliških krajev –, saj so se tedaj le redki zavedali nevarnosti okoljskega onesnaževanja.

Podobno nehvaležno nalogo imajo danes tisti, ki opozarjajo na problematiko elektronske zasebnosti, je prepričan Schrems. Velika internetna podjetja in trgovci se danes obnašajo podobno kot nekdanji tovarnarji. Od uporabnikov pridobivajo velike količine surovin – osebnih podatkov, jih nato shranjujejo, obdelujejo in preprodajajo. Če pri tem namenoma kršijo zakone, zavajajo in teptajo pravico uporabnikov do zasebnosti, se jim ne bo zgodilo nič hudega. Običajni državljani se zaradi visokih stroškov in pravno zapletenega področja ne odločajo za tožbe, države pa za strožjo regulacijo niso motivirane, ker nočejo omejevati obetavne gospodarske panoge in ker so tudi same postale velike zbiralke podatkov.

Nekaznovano namerno zavajanje uporabnikov in kršenje zakonov je Maxa zmotilo tudi pri največjemu spletnemu družabnemu omrežju facebooku. Od podjetja je zahteval, naj mu izročijo vse podatke, ki so jih zbrali v treh letih njegove uporabe družabnega omrežja. Ker mu podatkov najprej niso hoteli poslati, je proučil evropsko zakonodajo in se pritožil irskemu informacijskemu pooblaščencu, ki je pristojen za irsko podružnico Facebooka. Ko je od Facebooka prejel zahtevane podatke – teh je bilo za več kot 1200 strani –, je sprožil odmevno kampanjo Evropa proti Facebooku (europe-v-facebook.org), v kateri je pozval uporabnike, naj od Facebooka množično zahtevajo podatke (objavil je tudi natančna navodila) in pozovejo evropske regulatorje, naj dosledneje izvajajo zakone za varovanje zasebnosti.

Zaradi njegove pobude je irski informacijski pooblaščenec na Facebooku že opravil inšpekcijo, uporabniki pa so upravitelje omrežja zasuli z desettisoči zahtevkov za vpogled v shranjene podatke. O kampanji je pisala večina avstrijskih in nemških medijev. Uporabniki so zasuli facebook s podatkovnimi zahtevami, nato so postali nanjo pozorni tudi ameriški spletni forumi in tehnološki blogi.

Se ob taki medijski pozornosti še počuti kot nori okoljevarstvenik iz šestdesetih let? Še vedno, je po krajšem premisleku pritrdil sogovornik. Danes se nam sicer zdi samoumevno, da onesnaževalce kaznujejo in zapirajo. Vendar pozabljamo, da je trajalo več desetletij, preden smo postali občutljivi na okoljski kriminal. Spletna družabna omrežja pa uporabljamo šele nekaj let.

Se imate za pripadnika »digitalne generacije«?

Računalnik uporabljam od sedmega ali osmega leta. Programirati sem se naučil kmalu zatem, sveta brez interneta in mobilne telefonije se skoraj ne spomnim, redno uporabljam družabna omrežja in druge spletne storitve. Če upoštevam še starost, bi me sociologi verjetno res uvrstili v digitalno generacijo. Zakaj?

Digitalna generacija je domnevno tako zraščena z računalniki in internetom, da o zasebnosti niti ne razmišlja več. Kot je dejal ustanovitelj Facebooka Mark Zuckerberg: zasebnost ni več družbena norma. Vse je javno, vse je treba deliti z drugimi. Vi pa ste kljub svoji generacijski pripadnosti sprožili kampanjo, v kateri trdite nasprotno: zasebnost je še vedno pomembna in internetna podjetja jo morajo spoštovati.

Trditve, da moje generacije ne zanima zasebnost, niso resnične. Prepričan sem, da bi vsakogar zaskrbeli sporni posegi v zasebnost, če bi se jih zavedali. Problem vidim drugje. Ko uporabljamo spletne storitve, kakršna je facebook, vidimo le površino: podobe na zaslonu računalnika, naše zapiske, komentarje prijateljev, objavljene fotografije in elektronska sporočila. Ne vidimo pa tistega, kar se dogaja v ozadju. Ne pomislimo, da so to zasebna podjetja, ki ustvarjajo prihodke z zbiranjem, obdelovanjem in preprodajanjem naših podatkov. Prav tako ne vemo, da so pri tem pripravljeni kršiti zakone, če izračunajo, da se jim to splača. S tem spoznanjem se je začela tudi naša kampanja proti Facebooku.

S spoznanjem, da Facebook namenoma krši zakone o varovanju zasebnosti in potrošniških pravicah?

Da. Dolgo sem bil prepričan, da je velika internetna podjetja uspeh pač malce prehitel – da so prehitro zrasla, zato njihovi ustanovitelji niso mogli predvideti vseh posledic, ki jih bo imel njihov uspeh na dojemanje in varovanje elektronske zasebnosti. Prav tako sem upošteval, da zakoni vedno zaostajajo za tehnološkimi spremembami, zato pravniki še nimajo odgovorov na vse zadrege, ki jih prinaša svetovni splet. Verjel sem, da se spletna podjetja, države in uporabniki še skupaj privajamo na novo okolje in se učimo iz napak. Vendar sem letos pomladi spoznal, da sem bil zelo naiven.

Kaj se je zgodilo letos spomladi?

Udeležil sem se študentske izmenjave in preživel pomladni semester na kalifornijski univerzi Santa Clara. Ker je bilo moje študijsko področje elektronska zasebnost, smo poslušali številne nastope gostujočih predavateljev, med katerimi so bili tudi predstavniki velikih internetnih podjetij. Že po nekaj predavanjih sem videl, da imajo ameriški podjetniki na zakone precej drugačen pogled kot evropski. Zakoni jim ne pomenijo pravnega okvira, ki ga morajo spoštovati, ampak zgolj dejavnike tveganja, ki jih upoštevajo med pripravo poslovnega modela. Če povzamem enega izmed govornikov: najprej ocenijo, ali bodo lahko uporabniki in regulatorji ugotovili, kaj v resnici počnemo s podatki. Bi jih naše ravnanje dovolj zmotilo, da bi se začeli množično odjavljati z naše storitve ali bi celo pomislili na tožbo? Kakšna je verjetnost, da bi nas dejansko tožili in kakšne so možnosti, da bi tožbo dobili? Njegov sklep je bil preprost: delamo lahko, kar hočemo. Tveganje, da bi nas ujeli in kaznovali, je namreč zanemarljivo.

Ker jih ne bo nihče tožil?

Tudi če bi bila tožba uspešna, so zagrožene kazni zelo nizke – po nekaj deset tisoč evrov, kar je za milijardne internetne velikane drobiž. Hkrati sem v neformalnih pogovorih sem izvedel še marsikaj drugega: koliko je namernega zavajanja uporabnikov v drobnem tisku, kaj vse počnejo brez uporabniškega soglasja, s kakšnimi metodami preprečujejo razpravo o elektronski zasebnosti, koliko milijonov dolarjev plačujejo lobistom … Zmotilo pa me je tudi norčevanje iz evropskih poskusov za varovanje elektronske zasebnosti.

Ker se jim zdi neživljenjska?

Na skoraj vsako moje vprašanje – bil sem edini evropski študent na predavanjih – so odgovarjali enako: vi Evropejci ste s svojimi strahovi, zakoni in varovanjem zasebnosti čisto simpatični, vendar se v praksi nikoli nič ne zgodi. Skoraj ves internetni posel krši vaša pravila, ker jih ne znate ali ne zmorete izvajati, zato vas vsi ignorirajo. Ko sem razmišljal o zaključni nalogi, me je ves čas glodala misel, ali je evropska zakonodaja res tako nesmiselna in nemočna. Odločil sem se pokazati, da ni.

Zakaj ste se odločili, da boste moč ali nemoč evropske zakonodaje preizkusili ravno na Facebooku?

Razlogov je bilo več. Na Facebook sem postal pozoren, ko je njihov predstavnik samozavestno razlagal, da od uporabnikov ni treba pridobivati nikakršnih soglasij, ker je to nepraktično. S tem stališčem se seveda nikakor nisem strinjal. Poleg tega sem med pisanjem naloge ugotovil, da je Facebook zaradi bistveno nižjih davkov preko Nizozemske in Kajmanskih otokov ustanovil podružnico na Irskem ter nanjo formalno prenesel vse evropske uporabnike. To je bilo zame imenitno odkritje. Če je irska podružnica zavezana evropski zakonodaji, potem lahko prek nje kot evropski uporabnik uveljavljam evropske zasebnostne in potrošniške pravice. Med njimi je tudi pravica dostopa do podatkov, ki jih ima Facebook o meni. S to zahtevo smo tudi začeli kampanjo.

Pri Facebooku trdijo, da lahko uporabniki kadarkoli pogledajo svoje podatke – le izpolniti morajo poseben, dobro skrit obrazec.

Tam lahko najdemo samo tiste podatke, za katere so pri Facebooku sami presodili, da nam jih dovolijo pogledati. Niti približno pa to niso vsi podatki, do katerih imamo zakonsko pravico. Ko sem se po večkratnih neuspešnih zahtevkih obrnil na irskega informacijskega pooblaščenca, so na Facebooku popustili in mi iz Kalifornije poslali računalniški cede z veliko datoteko pdf. V njej je bilo za natanko 1222 strani podatkov, iz katerih sem izluščil 57 različnih podatkovnih kategorij. V podatkih, ki jih dobimo prek spletnega obrazca, je le 22 kategorij. Vse zanimive kategorije so izpuščene.

Katere?

Ko sem se prebijal skozi podatke, sem se počutil tako kot nekdanji Vzhodni Nemci, ko so pregledovali svoje dosjeje v arhivih nekdanje vzhodnonemške tajne službe Stasi. Čeprav sem zelo umirjen uporabnik facebooka – objavljam morda enkrat do dvakrat na teden –, je mogoče iz tistih 1200 strani izdelati zelo natančen posnetek mojega življenja v zadnjih treh letih. Ljudje mislijo, da facebook hrani samo tiste podatke, ki jih objavimo sami, a to ne drži. V podatkih niso samo vse objave in sporočila, ki sem jih poslal – tudi tiste, ki sem jih že zdavnaj izbrisal –, ampak tudi vsa povabila na dogodke, ki sem jih kdaj prejel, zavrnil ali ignoriral. Shranjena je celotna zgodovina prijateljstev: koga sem povabil, kdo je povabil mene, katerih vabil nisem sprejel in katere prijatelje sem odstranil s seznama. Shranjeni so vsi moji »lajki« in dregljaji, zelo zanimivi so tudi skriti profili, ki jih facebook izdeluje o uporabnikih. Tak profil je denimo spolnost. V njem se znajde vsak komentar s spolno konotacijo, objavljene seksualne šale, moj samski ali nesamski status … Podobno sestavljajo tudi profile o potrošniških navadah, političnem prepričanju, hobijih, okusih in podobno.

Ste pridobili tudi podatke, ki uradno ne obstajajo? Računalniški heker Nik Cubrilovic je pred dobrim mesecem pokazal, da facebook sledi tudi vse obiske spletnih strani, na katerih je njihov gumb »like« – tudi če nismo prijavljeni.

Ne, podatki o obisku spletnih strani manjkajo. Prav tako manjkajo rezultati njihovega prepoznavanja obrazov na fotografijah. Zahteval sem tudi te podatke, a so mi odgovorili, da jih ne bodo poslali, ker morajo zaščititi svojo intelektualno lastnino in poslovne skrivnosti. Neumnost! Saj nočem, da mi izdajo algoritme, le svoje podatke hočem videti.

Kako odločno se je irski informacijski pooblaščenec odzval na vašo pobudo? Odločno ali po pričakovanjih Američanov – plaho in neučinkovito?

Veseli me, da so prisluhnili našim pritožbam, saj so nam pomagali pri dostopu do podatkov in na Facebooku opravili inšpekcijski nadzor. Vendar se hkrati še vedno obnašajo kot značilen evropski regulator. Prosijo Facebook, naj vendar sodeluje z njimi, prenašajo njihovo zavlačevanje, pošiljajo prijazne zahtevke in ne kaznujejo niti očitnih kršitev zakona. Odkar se je začela naša kampanja, Facebook prejema tudi po več tisoč zahtevkov za dostop do podatkov na dan. Zato so začeli uporabnikom pošiljati elektronsko pismo, da zaradi prezasedenosti ne bodo poslali podatkov v zakonskem roku 40 dni. Ali celo, da jih sploh ne bodo poslali, ker da tega niso dolžni storiti. Bodo zaradi takega očitnega zavlačevanja kaznovani? Doslej se to še nikoli ni zgodilo.

Kaj ovira evropske regulatorje? Pomanjkanje samozavesti? Strah, da bi pregnali obetavna podjetja iz države, če bodo doslednejši?

Države nočejo preveč zaostriti zasebnostne zakonodaje, saj so tudi same postale velike zbirateljice in uporabnice osebnih podatkov – zaradi strahu pred terorizmom, želje po učinkovitejši javni upravi, boljšem upravljanju z naravnimi viri in potrebe po večji konkurenčnosti. Hkrati jim neomejeno zbiranje osebnih podatkov pri zasebnih podjetjih ustreza. V ZDA so se po enajstem septembru izjemno povečale pristojnosti varnostnih služb, ki lahko brez sodne odločbe dostopajo do vseh uporabniških podatkov – tudi podatkov o državljanih EU, ki so shranjeni na ameriških strežnikih. Naši sogovorniki so nam potrdili, da redno prejemajo »prošnje« varnostnih služb, naj jim izročijo vse podatke o določenem posamezniku. Takih prošenj seveda ne morejo zavrniti. Ker pa so neuradne, o njih ni nobenega zapisa. Ne obstajajo. Poleg tega si na področju varovanja zasebnosti pravni strokovnjaki zastavljajo podobna vprašanja kot nekoč pravniki v starem Rimu. Ali lahko zakoni, ki so bili sprejeti pred pojavom facebooka, ustrezno regulirajo spletna družabna omrežja? Morajo zakoni postavljati pravila ali predvsem slediti poslovnim praksam, čeprav kršijo veljavno zakonodajo?

Internetna podjetja so prepričana, da morajo zakonodajalci le zagotoviti konkurenčno okolje, za vse drugo bodo poskrbeli trg in uporabniki, ki bodo sami izbrali najboljšega ponudnika …

Seveda. Za lobiste internetnih podjetji je rešitev jasna: sedanji zakoni za varstvo zasebnosti so zastareli in neživljenjski, zato jih je treba odpraviti ali vsaj omiliti, da ne bodo ovirali internetne ekonomije, za varstvo zasebnosti pa bo poskrbel trg. Če uporabniki ne bodo zadovoljni z uporabniško politiko Facebooka, bodo pač izbrali drugega ponudnika. Vendar je to zelo zavajajoč argument.

Zakaj?

Kaj je alternativa facebooku? Google+? Ne, saj ima Google podoben poslovni model. Prav tako zbira, shranjuje in obdeluje vaše uporabniške podatke, bere vaša pisma, pozna spletne navade, vam sledi na mobilni napravi in ugotovitve prodaja oglaševalcem. Zamenjali bi ponudnika, ne pa tudi poslovnega modela in odnosa do zasebnosti. Moj predlog je bolj radikalen: uporabnikov ne moremo siliti, naj sami najdejo najbolj poštenega ponudnika. To bi bilo podobno, kot bi od kupcev v supermarketu pričakovali, da bodo sami ugotavljali, kateri izdelki na policah niso strupeni, oporečni ali polni nezakonitih substanc. Ne, treba je uveljaviti zasebnostne standarde, ki se jih morajo držati vsi internetni igralci. Ta načela so zapisana v naših 22 pritožbah, ki smo jih poslali irskemu pooblaščencu.

Transparenca, prepoved prepoznavanja obrazov na fotografijah in ustvarjanja skritih profilov …?

Da. Najpomembnejša je transparenca. Uporabnik mora vedeti, katere podatke zbirajo ponudniki in kaj z njimi počnejo. Kakršno koli zavajanje ali prikrivanje je nesprejemljivo in ga ni mogoče utemeljevati z varovanjem poslovnih skrivnosti. Druga zahteva je pridobivanje soglasja. Facebook tega ne počne, temveč samovoljno uvede spremembe in uporabnikom namenoma otežuje spreminjanje zasebnostnih nastavitev. Tretja zahteva pa je pravica do popolnega izbrisa podatkov ali osebnega profila, če se uporabnik tako odloči. Te možnosti danes ni, saj internetna podjetja ne brišejo ničesar, ampak podatek samo umaknejo s profila ali elektronskega poštnega predala.

Taka pravila lahko postavijo samo države. Internetna podjetja se ne bodo samoomejevala, če ne bodo prisiljena.

Zakoni o varstvu podatkov so v resnici zelo liberalni. Če jih spoštujete, lahko še vedno pridobivate zelo veliko podatkov in z njimi marsikaj počnete. Zato me še toliko bolj motijo podjetja, ki kršijo zakone samo zato, ker se jim splača in ker mislijo, da jim nihče nič ne more. Pravila že obstajajo, samo izvajati jih je treba.

Informacijski pooblaščenci včasih povedo, da noben zakon uporabnikov ne more zaščititi pred njimi samimi. Kako razložite vrstnikom, zakaj bi morali od ponudnikov priljubljenih spletnih storitev zahtevati spoštovanje zasebnostnih in potrošniških pravic?

Ker ta podjetja podatkov večinoma še ne zlorabljajo in uporabniki z njimi nimajo negativnih izkušenj, je to zelo zahtevna naloga. Ponavadi sogovornikom pokažem svoj kup natisnjenega papirja, ob katerem nihče ne ostane neprizadet. Tisti, ki smo jih prepričali, naj od Facebooka tudi sami zahtevajo podatke, so se prepričali, da se podjetje njihovim zahtevam izogiba, kar je zgovorno opozorilo, da nekaj ni v redu. Učinkovit je tudi preprost miselni eksperiment. Predstavljajte si, da bi pošta začela odpirati, prebirati, fotokopirati in shranjevati vsa vaša pisma, potem pa vam v kuverte prilagati ustrezne oglase. Bi se strinjali s tako poštno storitvijo, čeprav nimate ničesar skrivati?

Kakšni so vaši prihodnji koraki? Boste podobno kampanjo sprožili tudi proti Googlu in drugim velikim zbirateljem osebnih podatkov?

Najprej moramo počakati, kakšne bodo odločbe irskega informacijskega pooblaščenca. Proti Googlu bomo težko sprožili podobno kampanjo, saj niso ponovili napake Facebooka in nimajo take evropske podružnice, ki bi morala spoštovati evropsko zakonodajo. Zato bo treba počakati na ameriške uporabnike ali nekoga, ki bi tožil Google pred ameriškim sodiščem. Namesto tega bomo zelo pozorno spremljali pripravo nove evropske direktive o varstvu podatkov, ki bo predvidoma pripravljena prihodnje leto. Ameriška podjetja v resnici niso tako neprizadeta zaradi evropske zakonodaje kot se zdi. Zelo dobro se zavedajo, da lahko evropski zasebnostni standardi nekoč vplivajo na njihovo poslovanje po svetu, če bodo dobili posnemovalce. Zato so najeli nekatere vplivne lobiste, ki imajo zelo preprosto nalogo: znižati zasebnostne standarde in poskrbeti, da bo nova direktiva čim bolj brezzoba.

Lahko preprečite tak izid? V Evropi trenutno ni močnih civilnodružbenih organizacij za varstvo elektronske zasebnosti, kakršna je ameriška Electronic Frontier Foundation.

Takih močnih organizacij res še ni. Vendar zanimanje za našo kampanjo kaže, da se ljudje vse bolj zavedajo pomena elektronske zasebnosti – tudi zaradi sporne direktive o hrambi komunikacijskih podatkov iz leta 2006 in zaskrbljenosti zaradi prevelikega vpliva ameriških internetnih podjetij. Evropa še vedno lahko postavi višje standarde za varovanje zasebnosti in prepove izvoz podatkov v države, ki niso dovolj dobro poskrbele za njihovo varovanje. Prav zanimivo bi bilo videti, kako bi se Američani odzvali na tako prepoved … (nasmešek).