Supravegherea online în numele „binelui nostru comun”

Când datele personale devin bun public

Fiecare dintre noi generează, zilnic, o cantitate semnificativă de date online, iar această activitate este urmărită de browsere şi site-uri web aparţinând diferitelor companii, serviciile online fiind dominate de Big Five: Apple, Amazon, Google, Microsoft şi Facebook.

Aceşti giganţi în tehnologia IT folosesc datele utilizatorilor pentru a-şi dezvolta afacerile, iar guvernele au responsabilitatea de a întări reglementările privind modul în care sunt folosite datele personale. Este opinia exprimată în septembrie 2019, la conferinţa D61+ LIVE, de la Sydney, de către Yael Eisenstat, fost ofiţer al Agenţiei Centrale de Informaţii şi fost consilier special pentru securitate naţională al vicepreşedintelui Joe Biden.

Eisenstat, care a condus pentru o perioadă şi operaţiunile de integritate ale Facebook, consideră că modul în care companiile cu activitate online utilizează datele de care dispun cu privire la utilizatorii platformelor lor poate conduce la polarizarea şi denaturarea discursului civil, ceea ce ar reprezenta o ameninţare semnificativă pentru securitatea naţională.

Modelul lor de afaceri exploatează datele personale pentru a permite agenţilor de publicitate să prezinte versiuni filtrate ale adevărului şi să manipuleze cu anunţuri hiper-personalizate care pot conţine informaţii flagrant false.

Într-un raport de 60 de pagini, publicat pe 21 noiembrie 2019 şi intitulat Surveillance Giant, organizaţia Amnesty International caracterizează şi ea modelul de afaceri al  Facebook ca fiind bazat pe supraveghere, ceea ce este incompatibil cu dreptul la confidenţialitate.

În contextul în care Facebook şi Google se confruntă cu întrebări referitoare la politicile de colectare a datelor şi modul în care practicile lor, presupus necompetitive, ar putea avea un impact asupra utilizatorilor, Amnesty International insistă ca ele să-şi schimbe modelul de afaceri, argumentând că acesta este predispus pentru abuz, că reprezintă o ameninţare sistemică la adresa drepturilor omului. Giganţii în supraveghere ameninţă libertatea de exprimare şi de opinie, libertatea de gândire şi dreptul la egalitate şi nediscriminare.

Organizaţia pentru drepturile omului solicită guvernelor să revizuiască reglementările pentru a garanta persoanelor că nu sunt urmărite de agenţi de publicitate sau de terţi. Oamenii accesează spaţiul public în condiţiile dictate de Facebook şi Google, se supun unui echipament de supraveghere omniprezent, iar unele date sunt utilizate pentru manipulare şi influenţă. Modelele de afaceri ale companiilor cu activitate online îi obligă pe utilizatori să facă o negociere faustică: te supui acestor condiţii sau renunţi la beneficiile lumii digitale.

Facebook – o amendă uriaşă pentru o corporaţie imensă

Potrivit Amnesty International, o parte a problemei este că aceste companii au devenit prea mari, iar deciziile pe care le iau – de pildă, de a dirija discursul public, de a colecta informaţiile cu privire la sănătatea oamenilor sau de a permite politicienilor să facă publicitate - sunt resimţite în întreaga lume. Atâta timp cât aceste companii se bazează pe anunţuri pentru a face bani, datele utilizatorilor vor fi moneda lor de schimb preferată.

Modelul de afaceri al Google şi Facebook este bazat în primul rând pe colectarea şi stocarea unor cantităţi vaste de date despre persoane. Companiile nu doar colectează aceste date, ci le şi folosesc pentru a crea profiluri despre utilizatori. Platformele sunt bazate pe inteligenţă artificială de ultimă generaţie şi instrumente de machine learning care pot deduce caracteristici incredibil de detaliate despre oameni. Natura en-gros a colectării datelor de pe Internet este considerată o supraveghere omniprezentă (Bruce Schneier), în practică, aceasta înseamnând că oamenii sunt urmăriţi în mod constant când se ocupă de afacerile lor cotidiene online şi din ce în ce mai mult în lumea reală.

Această extracţie şi analiză a datelor cu caracter personal la o asemenea scară este incompatibilă cu dreptul la viaţă privată, dreptul de a controla informaţiile despre noi înşine şi dreptul la un spaţiu în care ne putem exprima liber identităţile. Această abordare poate permite tactici de publicitate agresive, dar poate să fie folosită şi în scopuri politice.

Reţelei de socializare Facebook i se solicită de ceva vreme şi încetarea criptării end to end,  un sistem în care numai utilizatorii (emiţător/destinatar) implicaţi în procesul de comunicare pot citi mesajele, ceea ce împiedică, în principiu, o terţă parte să poată accesa cheile criptografice necesare pentru a avea acces la conversaţie. Ca urmare, companiile care utilizează acest procedeu nu sunt în măsură să transmită autorităţilor textele mesajelor clienţilor lor, acestea fiind accesibile numai corporaţiei Facebook.

Australia, Statele Unite şi Regatul Unit sunt statele care au cerut Facebook, printr-o scrisoare deschisă din octombrie anul trecut, să-şi retragă planul de criptare a tot, cu excepţia cazului în care vor găsi o modalitate de a oferi forţelor de ordine posibilitatea accesului legal la mesaje. Se consideră că proiectarea în mod deliberat a sistemelor pentru a împiedica orice formă de acces la conţinut pune cetăţenii şi societăţile în pericol de exploatare şi abuz, terorism şi interferenţe externe.

Compania neagă faptul că, practicile sale comerciale, încalcă principiile drepturilor omului şi contestă faptul că modelul său de afaceri este bazat pe supraveghere, susţinând că utilizatorii acceptă în mod voluntar acest serviciu. În urma scandalului Cambridge Analytica, Facebook a acceptat să plătească o amendă record de 5 miliarde de dolari şi a acceptat să efectueze o revizuire a practicilor sale de confidenţialitate. De asemenea, s-a angajat că va impune reguli mai stricte agenţiilor de publicitate politică înainte de alegerile din 2020, ca parte a eforturilor sale de a consolida transparenţa publicităţii.

Care a fost replica Facebook? Dar a guvernelor?

Facebook a răspuns Nu la scrisoarea celor trei guverne, cu tot respectul pentru aplicarea legii şi nevoia de a păstra oamenii în siguranţă.

Pe de altă parte, se pare că nici guvernele nu stau prea bine în ceea ce priveşte protecţia drepturilor când este vorba de datele personale ale cetăţenilor şi multe ţări încearcă să crească controlul asupra proceselor informaţionale subsecvente Internetului.

În SUA, Biroul Inspectoratului General al Agenţiei Naţionale de Securitate (National Security Agency Office of the Inspector General - OIG) a publicat, la finalul anului trecut, un studiu cu privire la modul în care sunt respectate cerinţele de păstrare a datelor SIGINT - apeluri telefonice şi comunicarea online -, cerinţe stabilite prin statut, politici naţionale şi ordonanţe judecătoreşti şi care variază în funcţie de autoritatea care realizează stocarea. Raportul OIG reflectă riscuri semnificative de neconformitate ale Agenţiei Naţionale de Securitate cu cerinţele legale şi politice pentru păstrarea datelor SIGINT. În urma verificărilor realizate de către structura de supraveghere şi control la Agenţia Naţională de Securitate a rezultat că un procent semnificativ din datele colectate de Agenţie este păstrat dincolo de limitele legale.

Şi tot la finalul anului trecut, în Rusia a intrat în vigoare legea Internetului suveran care permite blocarea conţinutului într-o situaţie de urgenţă, iar preşedintele Vladimir Putin a semnat un act normativ care interzice vânzarea echipamentelor fără aplicaţii ruse preinstalate.

Ţări precum China, Iran şi Arabia Saudită au restricţionat deja accesul cetăţenilor lor şi modul în care pot comunica între ei pe Internet, şi se presupune că proiectul Rusiei va permite şi el statului să filtreze conţinutul comunicării prin cenzorii tehnologici proprii.

De altfel, în Rusia fusese deja adoptat, din 2015, un mecanism fără precedent de localizare a datelor cu caracter personal - după ce guvernul a modificat Legea informaţiei nr. 242-FZ - mecanism care interzice stocarea datelor personale ale cetăţenilor ruşi în străinătate. Ca urmare, companiile străine care operează în Rusia au fost obligate să depoziteze datele personale ale utilizatorilor sau clienţilor lor, cetăţeni ruşi, pe serverele situate fizic pe teritoriul Rusiei.

Operatorii trebuie să notifice Serviciul Federal de Supraveghere a Comunicaţiilor, Tehnologiei Informaţiei şi Mass-Media (Roskomnadzor - organism responsabil de cenzura în mass-media şi telecomunicaţii) locaţia serverelor lor în care sunt stocate datele cu caracter personal. A fost introdus un nou statut juridic, denumit Organizator de difuzare a informaţiilor pe Internet, care se referă, vag, la oricine este asociat cu serviciile de internet, la orice  persoană care oferă servicii care permit utilizatorilor de internet să comunice între ei. Oricine despre care s-a stabilit că intră sub incidenţa definiţiei Organizator trebuie să notifice Roskomnadzor cu privire la stocarea datelor şi să coopereze cu agenţiile de aplicare a legii (în mare parte Serviciul Federal de Securitate), acordându-le, la cerere, acces la depozitul de date.

Modificărilor la Legea Federală nr. 242-FZ li s-au adăugat, la jumătatea anului 2016, alte modificări controversate ale legilor antiteroriste, cunoscute sub numele de legea Yarovaya. Conform acestui pachet legislativ, organizatorii distribuţiei informaţiilor pe internet, furnizorii de telecomunicaţii, trebuie să stocheze conţinutul apelurilor vocale, datele, imaginile şi mesajele text timp de 6 luni şi metadatele timp de 3 ani şi să confere acces Serviciului Federal de Securitate la serviciile online (mesagerie, e-mail şi reţele sociale), la cerere şi fără o hotărâre judecătorească.

Iar la finalul anului 2019, s-a atins punctul culminant al multiplelor încercări în elaborarea legilor privind internetul şi de modificare a infrastructurii locale de internet a Rusiei: guvernul a anunţat că a încheiat o serie de teste al căror scop a fost de a verifica dacă infrastructura naţională de internet a ţării - RuNet - ar putea funcţiona fără acces la sistemul DNS (domain name system) global şi la internetul extern.

Astfel, statul va avea puterea de a deconecta ţara de restul internetului fără prea multe explicaţii, pe motiv de securitate naţională, va putea să blocheze conţinutul fără consimţământ juridic, fără ca utilizatorii să ştie ce informaţii sunt blocate şi de ce. Toţi furnizorii locali de servicii de internet redirecţionează traficul de internet prin selectări strategice sub conducere guvernamentală, chokepoints ce pot funcţiona, de asemenea, ca un aparat de supraveghere pe internet, similar cu tehnologia Great Firewall din China.

Într-un alt stat, de această dată un membru al Uniunii Europene, în 14-15 ianuarie, Curtea Constituţională Federală va organiza o audiere cu privire la legea Serviciului Federal de Informaţii (BND), agenţia de informaţii externe a Germaniei.

Legea BND  a intrat în vigoare la începutul lui 2017, Berlinul luând decizia să reformeze legislaţia după ce practicile îndoielnice ale serviciului de intelligence au ieşit la iveală în urma scandalului NSA / Snowden din 2013. Actul normativ a constituit un pas important către acordarea de atribuţii BND pentru efectuarea unei supravegheri globale, în masă, a traficului de date pe internet.

Audierea are loc după ce o alianţă de cinci organizaţii media şi pentru apărarea drepturilor civile au depus o plângere constituţională în faţa instanţei pentru contestarea puterilor de supraveghere acordate BND.

În numele securităţii naţionale, guvernele accesează datele personale ale cetăţenilor şi încearcă să controleze modul în care cetăţenii lor comunică.

În acest context, intenţia statelor membre Five Eyes de a convinge companiile să renunţe la criptarea end-to-end generează îngrijorări cu privire la protejarea utilizatorilor de platforme social media. Temerile iau în considerare faptul că o eventuală eliminare a criptării va deschide poarta nu numai către violenţe domestice, furt de identitate şi alte înşelătorii, dar şi pentru încercările, la nivel de actori statali, de imixtiuni în viaţa social-politică, de pildă, în alegerile democratice. Utilizarea criptării end to end nu este doar o barieră pentru hackerii de oriunde, ci şi pentru agenţiile guvernamentale.

Datele personale şi dreptul la proprietate asupra lor

În condiţiile în care avansul tehnologic rapid în colectarea şi analiza datelor, numărul tot mai mare de dispozitive inteligente de stocare de date aproape nelimitată şi apariţia inteligenţei artificiale transformă modul în care funcţionează agenţiile de intelligence, punând în pericol libertăţile civile, e nevoie de transparenţă şi de o limitare prin lege a acestor tehnologii (Shay Hershkovitz, fost profesor la universitatea din Tel Aviv, specialist în studii de intelligence, geopolitică şi metodologii de cercetare avansată, director de cercetare la organizaţia non profit XPRIZE din California). Într-un viitor apropiat, în care informaţiile vor fi transmise din fiecare maşină, din fiecare casă şi chiar din cer, dacă dorim cu adevărat să aflăm cum va arăta informaţia, trebuie să privim în afara instituţiilor de securitate naţională, să explorăm nu numai ce fac guvernele, ci şi ce se întâmplă în sectorul privat şi în mediul academic (Shay Hershkovitz).

Companiile cu tehnologie IT au acces la o cantitate însemnată de date personale. Agenţiile de informaţii pot colecta şi sorta informaţii la scară masivă şi e necesar să decidă ce informaţii stochează şi pentru cât timp. Supravegherea pe scară largă a comunicaţiilor a generat conştientizarea publicului cu privire la riscurile de  pierdere de confidenţialitate ale tehnologiilor digitale şi dependenţa din ce în ce mai mare a societăţii de acestea. Organizaţiile responsabile pentru protejarea cetăţenilor trebuie să se asigure că drepturile de bază şi confidenţialitatea nu sunt compromise.

Cine deţine date personale şi ce face cu ele? Companii? Structuri guvernamentale?

Andrew Yang, un candidat democrat la alegerile preliminare prezidenţiale din 2020 din SUA, cu mici şanse, însă, de a câştiga nominalizarea partidului său, consideră drepturile de proprietate individuală asupra datelor personale ca parte a soluţiei şi sugerează modificări substanţiale ale legilor privind confidenţialitatea datelor din SUA. Andrew Yang  a publicat o propunere de politici prin care se solicită ca datele personale să fie tratate ca drept de proprietate.

În opinia sa, răspunsul la cine deţine datele este, de fapt, nici controlorul, nici procesatorul. Persoana fizică trebuie să fie cea care deţine datele.

Concurenţa dintre marile companii tehnologice şi guvern în stocarea, accesarea şi manipularea datelor personale se derulează încă într-un context în care nu este clar cine va deţine supremaţia asupra unui bun care, pare că a devenit mai valoros decât petrolul (Andrew Yang).