Egy EU parlamenti háttéranyag margójára
Személy szerint hosszabb ideje írok, beszélek róla, hogy a jelenlegi EU-s adatvédelmi rezsim inkompatibilis a platform-világgal, mert egy XX. századi élethelyzetet modellez, amely alapján a nagy platformok legtöbbjét lényegében azonnal le kellene állítani. Mivel erre nyilván nem kerül sor, az a gyakorlat, hogy egyrészt folyamatosan hatalmas bírságokkal sújtják őket, másrészt azonban lényegében szemet hunynak az adatkezelési gyakorlataik felett. Az ezt körülvevő vitákból két szélsőséges álláspont bontakozik ki. Az egyik szerint a jelenlegi adatvédelmi rezsimen lazítani kellene alkalmazkodva a kor szavához és engedve az innováció nyomásának, a másik szerint meg éppenséggel el kellene kezdeni ténylegesen, és nem csak tessék-lássék betartatni azt.
Ebben a vitában értelmezhető az az EU parlamenti háttéranyag, amely nemrég látott napvilágot. Lényegében semmi olyasmi nincsen benne, amit már ne tudtunk volna, mégis, összegyűjtve elég ijesztő képet fest a platformok és a mobilappok adatkezelési gyakorlatáról. Az Európai Parlament Kutatási Szolgálatának kiadványáról van szó, amely „Az «üzleti célú megfigyelés» kibontása: a nyomon követés helyzete” (“Unpacking «commercial surveiilence»: the state of tracking”) címet viseli. Szerzője Hendrik Mildebrath, a brüsszeli Vrije Universiteit kutatója. A dokumentum kiindulópontja hasonló ennek a blogbejegyzésnek a felütéséhez: az adatvédelem körül fellángoltak a viták, és egyre többen mondják, hogy az európai adatvédelem jelenlegi rendszere megbénítja az innovációt és az adatgazdaság felvirágzását. Mások ragaszkodnak az adatvédelem hagyományos elveihez. Ezért fontos tudnunk azt, hogy milyen nyomonkövetési, adatgyűjtési technikákat alkalmaznak a nagy platformok.
A magánszemélyek megfigyelése ugyanis központi eleme a jelenlegi „ingyenes” (legalábbis pénzbeli ellenértéket nem feltételező) internetnek. Ugyan nemcsak a hirdetések célzásához használják, hanem rengeteg más területen is (csalások megelőzése, hitelbírálat, biztosítások, dolgozók munkájának elemzése és értékelése, egészségügyi megfigyelés különböző egészséghez, sportoláshoz kapcsolódó appokban stb.), de kétségtelenül a hirdetéscélzás a legelterjedtebb. Ez a fajta hirdetési gyakorlat a teljes online hirdetési piac 66%-áért felelt, a három nagy platform, a Google, a Meta és az Amazon együttesen csaknem 400 milliárd(!) dollár árbevételt értek el belőle. A megfigyelés lett az új „normális”, és az az anomália, ha nem figyelnek meg bennünket az eszközeink, az általunk használt alkalmazások és appok.
A tanulmány a három nagy platform (Google, Meta és Amazon), valamint a mobilappok megfigyelési gyakorlatát elemzi. Ebben a blogbejegyzésben nincsen tér az összes gyűjtött adatra kitérni, csak a négy legmeglepőbb, legkevésbé ismert és legintruzívabb gyakorlatokról szólnék néhány szót.
Az első ezek közül az, hogy a kifejezetten és tudatosan megadott adatokon kívül mindhárom platform lényegében minden felhasználói aktivitást, szinte minden hardverekre (eszközökre) és szoftverekere vonatkozó információt, lokációs adatokat is gyűjt. Ezeknek egy része persze szerepel az adatvédelmi nyilatkozatokban, azonban egy tetemes hányaduk nem vagy nem pontosan körbeírva. Nem is szerepelhet, hiszen ilyen adatok ezrével vannak, és bele sem férnének egy adatvédelmi nyilatkozatba.
A második problematikus funkció és gyakorlat az, hogy ezek közül a platformok közül több is (a leglényegesebb a Google és a Facebook) ajánl autentikációs szolgáltatást is, ami azt jelenti, hogy ha egy weboldalnak a böngésző személy azonosítására van szüksége, akkor nem kell saját autentikációs modult építenie, hanem a „bejelentkezés Google (Facebook) fiókkal” opciót is válaszhatja. Ilyenkor a külső weboldalak egy sor olyan adatot is megkaphatnak, amelyre aligha tehettek volna szert, ha saját bejelentkezési felületük van. Így például a bejelentkező mindenféle demográfiai adatát.
A harmadik gyakorlat (funkció), amely már több adatvédelmi hatóságnál is „kiverte a biztosítékot”, a külső weboldalakra telepíthető megfigyelőeszköz, a Google esetében a Google Analytics (GA), a Facebook-nál a Facebook Pixel. Ezek ingyenes elemzőeszközök, amelyek elsősorban sütiken keresztül követik nyomon a weboldalon az illető felhasználó mozgását, aktivitását. (Ez a cikk remek elemzését adja a kettő közül jóval népszerűbb GA-nak.) Az önmagában is kérdés, hogy a weboldal fenntartója milyen mértékig láthat bele egy felhasználó aktivitásába, különösen ha az azonosítható, de a legnagyobb gond azzal van, hogy a szolgáltatás éppen attól ingyenes, mert a Google ezeket az adatokat természetesen maga is felhasználja. Ugyanakkor a közbeszédben jelenleg a GA legnagyobb problémájaként nem az intruzív, a magánszférát nem tisztelő megfigyelési gyakorlatot tartják jogellenesnek, hanem azt, hogy az adatot az USA-ba továbbítják.
Végül az első ponthoz kapcsolódva, a legintruzívabb megfigyelőeszköz – részben függetlenül a nagy platformok megfigyelési gyakorlatától, azonban részben azzal összefüggésben, hiszen az Android a Google tulajdona – a mobiltelefonok és a rájuk telepített mobilapplikációk sokaságának megfigyelési gyakorlata. Egy felmérés szerint az appok elsöprő többsége már azelőtt küld adatokat az appokat fejlesztő cégeknek, hogy a felhasználó bármihez hozzájárult volna. (És ráadásul a felhasználó, amikor az appot telepíti, a legritkább esetben kezdi el alaposan végigolvasni és végiggondolni a hozzájárulásokat, legtöbbször mindenhez hozzájárul.) Ehhez a ponthoz tartozik az a városi legenda is, (és az anyag is emlegeti, hiszen szinte mindnyájunknak van egy sztorija erről), hogy a telefonok „hallgatóznak” a mikrofonon keresztül. Az anyag szerint a cégek ezt (a Google eskü alatt) tagadják, ugyanakkor technológiailag (ahogy azt a Pegasus-ügy is mutatja) erre igenis van lehetőség. Mivel a felvételkészítéssel kapcsolatban több igen komoly kísérletet is lefolytattak, és az adatátvitelnek nyoma keletkezne, valószínűbb, hogy nem készül felvétel, mint hogy igen. De önmagában az, hogy ezek a városi legendák szárnyra kaphatnak, azt jelzi, hogy nem érezzük magunkat biztonságban, és az emberek egy nagy hányada ezt el tudja képzelni.
Hogy mi a megoldás, azt nehéz megmondani. A viselkedésalapú marketinget betiltani nemigen lehet, az annyira a része lett a modern adatalapú gazdaságnak. A hozzájárulás-alapú európai adatvédelem pedig – szerintem – nem jól működik, a folyamatos bírságolást és a Schrems-féle, nem a lényegre koncentráló „látványpékség-pereskedést” pedig személy szerint nem tartom hatékonynak. Valahol ott keresném a kiutat, hogy mind a platformoknak, mind pedig a többi adatkezelőnek valamiféle információs bizalmassá kellene válnia, aki a privacyt a felhasználó hozzájárulásától függetlenül is, egy objektív kritériumrendszer alapján tiszteletben tartja.