Broker czy stalker
Wiara w samoograniczenie brokerów danych to naiwność
Większości z nas nie dziwi fakt, że nasza aktywność w Internecie jest poddawana analizie. Jednak zakładamy, że nasza fizyczna obecność w przestrzeni publicznej nie podlega tego typu mechanizmom. Brokerzy danych patrzą na to inaczej. Dla nich nawet zwykła przechadzka ulicami miasta jest informacją, którą można legalnie pozyskać, skatalogować i wykorzystać. To zacieranie różnic między wirtualną a fizyczną rzeczywistością jest niepokojące nie tylko z powodu kwestii związanych z polityką prywatności budzi również poważne wątpliwości natury etycznej. Ostatnio Wall Street Journal opublikował artykuł o Turnstyle, firmie, która rozmieściła setki czujników w miejscach publicznych w centrum Toronto, by przechwytywać sygnały ze smartfonów szukających otwartych sieci WiFi. Właściciel aparatu nie musi łączyć się z żadną siecią WiFi, by być śledzonym; wszystko odbywa się bez wiedzy większości użytkowników telefonów. Turnstyle czyni te dane anonimowymi i sporządza z nich raporty, które następnie sprzedaje firmom, by lepiej „rozumiały potrzeby klienta”.
Pojawiają się głosy popierające takie działania. Według niektórych nieograniczone możliwości zbierania danych są szansą dla biznesu, ponieważ dzięki tego typu informacjom można zminimalizować zagrożenia i zoptymalizować zyski. Jednak zjawisko to może mieć również przykre konsekwencje. Mike Seay, klient sieci sklepów z artykułami biurowymi Office Max, niedawno otrzymał listy od firmy, w którym przy jego nazwisku widniała informacja „Córka zginęła w wypadku samochodowym”. Mężczyzna nie udostępnił wcześniej tej informacji Office Max. Firma tłumaczyła się, że był to błąd „zewnętrznego dostawcy, od którego wynajęła listę mailingową”. Niewątpliwie wkradł się błąd, ale mówi on wiele o tego typu działalności. Dlaczego Office Max zbierała informacje na temat śmierci czyjegoś dziecka? Jakie ograniczenia powinny narzucić sobie firmy w kwestii zbierania danych o klientach? Office Max nie wyjaśniła, dlaczego kupiła listę mailingową ani ile danych osobowych ten rejestr zawierał. Jednak wiadomo, że brokerzy danych sprzedają przedsiębiorcom wszelkiego rodzaju informacje. W grudniu zeszłego roku przed komisją senacką USA zeznawała Pam Dixon, dyrektor wykonawczy World Privacy Forum, która twierdziła, że wśród tych danych są „adresy domowe funkcjonariuszy policji, listy ofiar gwałtów osób cierpiących na choroby genetyczne” a także wykazy domniemanych alkoholików i pacjentów chorych na nowotwory, AIDS i nosicieli wirusa HIV.2 braku stosownych regulacji są podejmowane próby utworzenia kodeksu dobrych praktyk. Jeden z projektów zakłada taką anonimizację danych osobowych, aby nie pozwoliła ona na zidentyfikowanie osoby, której dotyczą (deidentification). Ponadto dane mogłyby być przechowywane przez ograniczony czas i nie miałyby do nich dostępu takie podmioty, jak pracodawcy poszukujący pracowników, służba zdrowia czy też firmy ubezpieczeniowe. Kodeks daje również klientom możliwość zablokowania procesu zbierania danych, które ich dotyczą (poprzez tzw. optout consent), jednak jedynie w przypadku danych osobowych. Problem polega na tym, że prawie wszystkie dane są osobowe. „Każda informacja, która pomaga odróżnić jedną osobę od drugiej, może być użyta w celu ponownego spersonalizowana danych uprzednio zanonimizowanych” twierdzą informatycy Arvind Narayanan, obecnie na Princeton University, i Vitaly Shmatikov z University of Texas w Austin w artykule z roku 2010, który ukazał się w czasopiśmie Communications oftheACM. Dotyczy to anonimowych recenzji produktów, wyszukiwanych haseł, zanonimizowanych danych telefonów komórkowych i transakcji komercyjnych. Nawet model, w którym mamy możliwość zastrzeżenia swoich danych za pomocą funkcji optout, zmusza klientów do ujawnienia jeszcze większej liczby informacji. Nie można mieć pewności, że samoregulacja tej branży wystarczy. Większość modeli ochrony prywatności w biznesie zakłada bowiem, że osoby prywatne będą działały tak, jak firmy; że będą sprzedawać informacje po najlepszej cenie na rynku, którego nie ograniczają żadne regulacje, gdzie wszyscy rozumieją, jak działają nowe metody oraz jakie mogą być konsekwencje ujawniania informacji o sobie. Ale modele te nie przystają do obecnej sytuacji. Ci, którzy dysponują narzędziami służącymi do śledzenia danych oraz ich analizy, mają znaczną przewagę. Nie wystarczy pytać o odpowiedzialność poszczególnych firm: problem jest systemowy. Obecnie mamy do czynienia z zakrojonymi na dużą skalę eksperymentami przeprowadzanymi na ulicach i jesteśmy ich mimowolnymi uczestnikami. Nie wyraziliśmy zgody na swój udział, nie mamy możliwości negocjowania warunków swojego uczestnictwa i często nawet nie wiemy, że nasze dane są zbierane.
