Klikni »všeč mi je« za elektronsko zasebnost

Uspelo nam je! Facebook v Evropi ne bo več smel zavajati uporabnikov in jim preprečevati dostopa do podatkov, je v sredo v elektronskem pismu zapisal dunajski študent prava Max Schrems, pobudnik kampanje Evropa proti Facebooku.

Skupinica študentov je slavila prvo zmago, saj je irski informacijski pooblaščenec dopoldne predstavil poročilo o inšpekciji, ki so jo oktobra opravili na sedežu irske podružnice Facebooka.

Namestnik pooblaščenca Gary Davis je povedal, da čaka neameriške uporabnike največjega elektronskega družabnega omrežja precej zasebnostnih sprememb.

Čeprav med pregledom uradno »niso ugotovili večjih zlorab« in je Facebook ves čas »konstruktivno sodeloval« s predstavniki pooblaščenca, so vseeno sklenili, da bi bilo mogoče pri varovanju zasebnosti »marsikaj izboljšati«.

Podobno diplomatski so bili pri Facebooku, kjer so poudarili, da so irski inšpektorji »načeloma pohvalili« njihovo poslovanje, in dodali, da bodo med »prostovoljnim« pripravljanjem novih zasebnostnih pravil upoštevali njihove »dobronamerne pripombe«.

Kakšne so bile te dobronamerne pripombe? Poročilo informacijskega pooblaščenca in »prostovoljne zaveze«, ki so jih predlagali predstavniki Facebooka, kažejo, da so inšpektorje najbolj zmotile nepregledne zasebnostne nastavitve, omejevanje dostopa do podatkov in neomejeno shranjevanje uporabniških profilov. Zato bodo morali upravitelji omrežja omogočiti uporabnikom popoln izbris podatkov (trenutno je mogoče osebni profil samo »deaktivirati«) in jih natančneje obveščati, katere podatke zbirajo in komu jih izročajo. Podatke o spletnih navadah, ki jih beleži gumb like, bodo morali anonimizirati po največ treh mesecih, klike na oglase pa izbrisati po dveh letih.

Še večje spremembe bo prinesla zahteva po načelu opt-in, kjer mora upravitelj seznaniti uporabnike s spremembami in jih uveljaviti samo pri tistih, ki se s spremembami strinjajo (samodejno prepoznavanje obrazov na fotografijah, dodajanje v skupine …).

Internetna podjetja so doslej večinoma uporabljala nasprotno načelo (opt-out), po katerem so spremembe uvajali brez soglasja uporabnikov in jim šele pozneje (morda) omogočili odjavo iz storitve. Načelo opt-out jim je omogočalo zelo hitro prilagajanje novim poslovnim modelom ali celo preračunljivo kratenje uporabniških pravic, saj so morali uporabniki sami ugotoviti morebitne kršitve in se nato pritožiti regulatorjem, ki večinoma niso bili učinkoviti.

Omenjena preračunljivost spletne industrije je že dolgo jezila informacijske pooblaščence in druge zagovornike elektronske zasebnosti. V začetku leta pa je zmotila tudi Maxa Schremsa, ki se je s predstavniki velikih internetnih podjetij srečal med študijskim obiskom ZDA.

Od študentske izmenjave 
do kampanje

»Pomladni semester sem preživel na kalifornijski univerzi Santa Clara. Ker je bilo moje študijsko področje elektronska zasebnost, smo poslušali tudi nastope gostujočih predavateljev in predstavnikov velikih internetnih podjetij,« je povedal v novembrskem pogovoru za Sobotno prilogo. Od sogovornikov je izvedel, da imajo ameriški podjetniki na zakone precej drugačen pogled kot evropski. Najprej ocenijo, ali lahko uporabniki in regulatorji ugotovijo, kaj v resnici počnejo s podatki. Nato presodijo, ali se bodo ljudje začeli množično odjavljati z njihove storitve, in ocenijo, kakšne so možnosti tožbe. Če so tveganja zanemarljiva, bodo zakone pač prekršili, je pojasnil Schrems.

Ko je pripravljal gradivo za zaključno nalogo, je ugotovil, da je Facebook zaradi visokih davčnih olajšav ustanovil podružnico na Irskem in nanjo prenesel vse uporabnike, ki ne prebivajo v ZDA ali Kanadi. »To je bilo zame imenitno odkritje. Če je irska podružnica zavezana evropski zakonodaji, potem lahko prek nje kot evropski uporabnik uveljavljam evropske zasebnostne in potrošniške pravice. Med njimi je tudi pravica dostopa do podatkov, ki jih ima Facebook o meni,« je dejal mladi pravnik.

Ker mu upravitelji omrežja niso hoteli izročiti vseh podatkov, se je pritožil irskemu informacijskemu pooblaščencu. Po pritožbi je od Facebooka prejel računalniški cede, na katerem je bilo za 1222 strani podatkov: vse objave in sporočila, povabila na dogodke, zgodovina prijateljstev, vsi lajki in dregljaji ter skriti profili, ki jih Facebook izdeluje o uporabnikih (potrošniške navade, politično prepričanje, hobiji, spolna usmeritev …).

Nato je sprožil kampanjo Evropa proti Facebooku, v kateri je pozval vse uporabnike omrežja, naj zahtevajo svoje podatke in vidijo, kaj vse se skriva na drugi strani računalniškega zaslona.

Na pobudo se je odzvalo več kot 40.000 evropskih uporabnikov, vendar so le redki prejeli podatke. Na Facebooku so trdili, da jim tako popolnih uporabniških dosjejev niso dolžni izročiti, irski informacijski pooblaščenec pa ni mogel obravnavati vseh pritožb, zato je uporabnike pozival, naj počakajo na zaključek inšpekcije in dokončno odločbo.

Schremsove fotografije z velikim kupom natisnjenega papirja so hitro zaokrožile po svetovnem spletu ter vzbudile veliko pozornosti novinarjev in politikov. Njegovo kampanjo so povzeli skoraj vsi svetovni mediji, kar je še stopnjevalo pritisk na Facebook in irskega pooblaščenca.

Pri Facebooku so ocenili, da bi jim morebitno zaprtje irske podružnice pred bližajočim se vstopom na borzo povzročilo več škode kot pogajanja z irskim regulatorjem in »prostovoljne« zaveze, da bodo z uporabniškimi podatki ravnali odgovorneje. V zadregi so bili tudi pri pooblaščencu, saj se doslej niso preveč zagreto odzivali na podobne pritožbe, ker irska vlada ni hotela odgnati ameriških spletnih podjetij s preveč doslednim izvajanjem zakonov o varstvu zasebnosti in potrošniških pravic. Zelo podobne pritiske so doživljali tudi drugi evropski in ameriški regulatorji, ki niso hoteli preveč posegati v dobičkonosno in strateško pomembno informacijsko panogo.

Več spoštovanja zasebnosti?

Kaj pomeni prvi uspeh kampanje proti Facebooku? Schrems je po tiskovni konferenci irskega pooblaščenca povedal, da je stališče regulatorja sicer kompromisno, vendar takega učinka doslej v Evropi ni dosegla še nobena zasebnostna civilnodružbena pobuda. Znano ameriško internetno podjetje je prvič občutilo posledice evropskih zakonov, iz katerih so se njegovi predavatelji večinoma norčevali.

Facebook sicer ne bo spreminjal poslovnega modela ali postal zasebnosti prijazno podjetje, vendar jih tudi drugod po svetu čakajo podobne uporabniške pritožbe in informacijski pooblaščenci, ki utegnejo prav tako zahtevati preglednejše zasebnostne nastavitve, resnično brisanje osebnih elektronskih profilov in pridobivanje uporabniškega soglasja pred uvajanjem novih storitev (podobno stališče zagovarja tudi nedavna odločba ameriškega regulatorja FTC, ki je preiskoval Facebook zaradi namernega zavajanja uporabnikov in prikritega preprodajanja uporabniških podatkov).

Uspeh kampanje proti Facebooku ima tudi simbolen pomen. Schrems je med našim pogovorom večkrat poudaril, da ni sovražnik družabnih omrežij ali nasprotnik tehnološkega napredka, saj kot pravnik zelo dobro razume, kako težko je z zakoni urejati nove tehnologije in kako nemogoče je uporabnike braniti pred lastno nespametjo.

Zmotilo ga je prepričanje spletnih podjetnikov in vladnih pospeševalcev gospodarske rasti, da je zakone in njihova načela mogoče kršiti samo zato, ker poslovni modeli internetnih podjetij pač temeljijo na neomejenem pridobivanju, obdelovanju in preprodaji uporabniških podatkov. Onesnaževanja ni več mogoče zagovarjati z argumentom, da so okoljski standardi nepraktični, dragi in da znižujejo konkurenčnost onesnaževalcev, je bil odločen sogovornik. Zato ni nobenega dobrega razloga, zakaj ne bi smeli tudi od internetnih podjetij zahtevati, naj spoštujejo zakone, poslujejo transparentno in upoštevajo pravice uporabnikov, ki niso le surovina za njihove poslovne modele.

Schremsove zahteve se morda zdijo samoumevne, vendar niso. Njegova kampanja proti Facebooku je pokazala, da se dolgotrajno prizadevanje za zasebnostne, potrošniške in tudi državljanske pravice na današnjem internetu šele začenja.