P. Jurčys. Duomenų apsauga internete be slapukų

Didžiausia internetinės paieškos bendrovė neseniai paskelbė apie sprendimą panaikinti trečiųjų šalių slapukus. Ar tai reiškia, kad interneto erdvėje paslaugas teikiančios bendrovės yra pasiryžusios užtikrinti vartotojų privatumo apsaugą? O gal ši didžiulė tendencija yra tik ženklas, kad jie bando eiti koja kojon su didėjančia konkurencija? Ar įmanoma ateitis, kuomet interneto vartotojai pagaliau galės kontroliuoti kaip naudojami jų asmeniniai duomenys?

Privatumo apsauga ateityje: du scenarijai

2020 m. vasario mėnesį vienas iš išmintingiausių interneto teisės žinovų Džonatanas Zittrainas (Jonathan Zittrain) dienraštyje The Atlantic paskelbė įdomų straipsnį, kuriame buvo pateikti du galimi asmens privatumo apsaugos scenarijai ateityje.

Pirmąjį scenarijų jis pavadino ,,pseudo-pasauliu“ (angl. Pseudoworld). Tai – pasaulis, kuriame individai skaitmeninėje erdvėje naudoja ne savo tikrus vardus, bet pseudonimus. Tokiame pseudo-pasaulyje savo privatumo apsauga tenka rūpintis patiems individams: kiekvienas individas būtų privertas imtis visų atsargumo ir apsaugos priemonių, idant asmeniniai duomenys nebūtų niekam atskleisti ar ,,nenutekėtų“ į netinkamas rankas.

Kitas galimas privatumo apsaugos scenarijus gali būti pavadintas ,,scenograminiu pasauliu“ (angl. Transcriptworld). Tai – situacija, kuomet žmonės privalo atskleisti savo patvirtintą tapatybę kiekvienu santykių skaitmeninėje erdvėje atveju (pvz., sudarant sandorį internetu).  Dž. Zittrainas pažymi, jog įvairios asmens tapatybę padedančios patvirtinti technologijos yra plačiai paplitusios jau šiandien. Juk beveik kiekvieno iš mūsų kišenėse guli mobilūs telefonai su pirštų antspaudų ir veido atpažinimo technologijomis (ačiū, Apple!). Scenograminiame pasaulyje būtų nesunku išaiškinti pažeidėjus ir užtikrinti, kad jiems tektų atsakyti už savo veiksmus, o visuomenę atstovaujančios institucijos padėtų palaikyti visuomenės narių interesų pusiausvyrą.

Bet kurio iš šių dviejų scenarijų tikimybė priklauso nuo pačių įvairiausių aplinkybių.

Pseudo-pasaulis galėtų virsti realybe jei privatumo apsaugą reglamentuojantys teisės aktai nebūtų atnaujinami atsižvelgiant į kintančias socio-ekonomines aplinkybes bei besivystančias technologijas. Tai reikštų, jog kiekvienas individas turėtų imtis savigynos priemonių siekdamas apsiginti nuo baimės ir rizikos, kurias bando pavaizduoti įvairios bendrovės. Internetas taptų laukiniais vakarais, kur kiekvienas kovoja už save ir savo duomenų saugumą.

Scenografinis pasaulis galėtų virsti tikrove jei viešojo valdymo institucijos veiktų aktyviai siekdamos užtikrinti teisės viršenybę, asmeninių (privatumo apsaugos) teisių paisymą, ir sąžiningą konkurenciją rinkoje. Vis dėlto, jei teisės viršenybės ir asmens duomenų apsaugos principų laikymosi nebūtų įmanoma užtikrinti, scenografinis pasaulis taptų puikia dirva ydingų duomenų apsaugos metodų vystymuisi. Tokiu atveju galima tikėtis, jog pasaulyje ims dominuoti keletas daugiausiai išteklių turinčių veikėjų, ir privatumo apsauga būtų jų rankose.

Privačių duomenų apsauga šiandien

Pasaulyje, kuriame mes šiandien gyvename, galima aptikti abiejų Dž. Zittraino nupieštų scenarijų požymių. Individai per daug nesusimąstydami sutinka gauti įvairias paslaugas už tai suteikdami prieigą prie savo asmeninių duomenų. Paslaugas skaitmeninėje erdvėje teikiančios bendrovės saugo ir naudoja paslaugų vartotojų duomenis be didesnių suvaržymų ar kontrolės. Šie milijonų paslaugų vartotojų duomenys yra saugomi centralizuotose sistemose, kurias gana nesudėtingai gali ,,nulaužti“ programišiai.

Kiekvieno individo žingsnius skaitmeninėje erdvėje seka šimtai slapukų (angl. cookies). Slapukai – tai kodo dalelės, kurios patenka į interneto naršykles kiekvieną kartą atidarius naują interneto tinklavietę ir keliauja kartu su interneto vartotoju iš vieno lango į kitą.

Per pastarąjį dešimtmetį, slapukai tapo pačia svarbiausia priemone, kurios dėka turinio tiekėjai (pvz., žinių portalas, ar, tiksliau tariant, New York Times laikraštis) ir reklamos agentūros internete gali pateikti specifinio pobūdžio turinį bei reklamą atsižvelgiant į tai, kokias tinklavietes tas konkretus interneto vartotojas prieš tai aplankė.

Dabar praktiškai kiekvienas turinio internete tiekėjas arba paslaugų teikėjas naudoja slapukus, kad galėtų sekti savo klientų elgesį internete. Tie slapukai gali būti pririšti prie tam tikros reklamos ar patalpinti konkrečioje interneto tinklavietėje.

Slapukų naudojimas internete buvo reikšmingas veiksnys, prisidėjęs prie ypatingos reklamos rinkos skaitmeninėje erdvėje atsiradimo. Ši skaitmeninės reklamos ekosistema veikia paprasto interneto vartotojo užnugaryje, vartotojams matomas tik galutinis rezultatas – tam tikra tinklavietėje pateikta informacija atsižvelgiant į vartotojo elgesį naršant po internetą.

Štai kaip veikia reklamos ekosistema su slapukais:

Iššūkiai asmens duomenų privatumui

Šiuo metu galiojanti privatumo apsaugos skaitmeninėje erdvėje sistema turi tris žymius trūkumus.

Pirma, dabartinė slapukų naudojimo praktika atspindi nepaprastai didelį informacijos asimetriškumą tarp interneto naudotojų ir duomenų valdytojų (žiniasklaidos, reklamos bendrovių, duomenų brokerių ir įvairias paslaugas teikiančių platformų). Net jei individai ir sutinka su slapukų naudojimu, daugelis jų akivaizdžiai neturi pakankamai supratimo, kiek daug informacijos apie vartotojus duomenų valdytojai sugeba surinkti slapukų dėka ir kiek tie asmeniniai duomenys yra verti bendrovėms.

Antra, dabartinio asmens privatumo apsaugos režimo internete problema yra susijusi su asmens sutikimo išreiškimu. Taigi, net jei individai ir yra linkę uoliai siekti savo asmeninio privatumo apsaugos, tai padaryti yra labai sunku dėl susiformavusios paslaugų gavėjų sutikimo gavimo praktikos. Kitaip tariant, žmonės paprasčiausiai turi labai mažai galimybių įtakoti, kaip paslaugų teikėjai renka ir naudoja klientų asmeninius duomenis. Iš tiesų, nei jei individai ir turėtų galimybę atsisakyti, kad jų naršymas internete nebūtų sekamas slapukais, duomenų valdytojai turi dešimtis ar šimtus galimybių rinkti asmeninius duomenis (pvz., buvimo vietos duomenis, naršymo istorija, pirkimų istorija ir t.t.). Paprastam individui tiesiog yra sunku suvokti kiek daug asmeninių duomenų rinkimo šaltinių supa kiekvieną vartotoją.

Trečia, individai tiesiog neturi veiksmingų priemonių, kurios suteiktų galimybę kontroliuoti savo asmeninių duomenų apsaugą ir privatumą. BDAR ir Kalifornijos vartotojų privatumo įstatymas (angl. California Consumer Privacy Act, CCPA) įtvirtina įvairias su asmeninių duomenų naudojimu susijusias teises. Vis dėlto, vartotojams tas teises įgyvendinti nėra lengva. Pavyzdžiui, vartotojui pareikalavus pateikti duomenų valdytojų surinktus apie vartotoją duomenis, tokie neapdoroti duomenys (angl. raw data) pateikiami pačiais įvairiausiais formatais. Daugeliu atveju tokie gauti duomenys pačiam vartotojui yra sunkiai suprantami; jų panaudoti santykiuose su trečiaisiais asmenimis praktiškai (bent jau kol kas) neįmanoma. Šiuo požiūriu, duomenų perkeliamumas yra gana abstrakti sąvoka.

Pirmieji bandymai sukurti internetą be slapukų

Vis griežtesni asmeninių duomenų apsaugos reikalavimai ir su asmeninių duomenų saugojimu susijusi rizika skatina bendroves ieškoti naujų būdų rinkti ir naudoti informaciją apie vartotojus. Vienas iš neseniai daugiausia dėmesio sulaukusių įvykių buvo susijęs su Google. 2020 m. sausio 14 d. Google paskelbė, kad nuo 2022 metų Google pradės blokuoti trečiųjų asmenų slapukus (angl. third party cookies).

Trumpai tariant, trečiųjų asmenų slapukų visiškais užblokavimas eliminuos reklamuotojų galimybes sekti interneto vartotojų veiksmus jiems benaršant interneto tinklavietes. Vis dėlto, Google ir toliau naudos slapukus, kurie yra įdiegti atskirose tinklavietėse (angl. first-party cookies).

Google nėra pirmoji interneto paslaugų teikėja, nusprendusi blokuoti trečiųjų asmenų slapukus. Anksčiau už Google asmens duomenų privatumą užtikrinantys technologiniai sprendimai buvo pradėti kitų kompanijų (pvz., Apple, kuri sukūrė Safari naršyklę, ir Mozilla, sukūrusi Firefox naršyklę).

Visgi, Google pranešimas apie atsisakymą ateityje naudoti slapukus susilaukė nepaprastai daug dėmesio, nes Chrome kontroliuoja maždaug du trečdalius paieškos internete srauto. Iš tikrųjų, daugelis dažniausiai naudojamų interneto naršyklių turi kažkiek funkcijų, suteikiančių šiek tiek galimybių individams kontroliuoti asmens duomenų privatumo nustatymus. Bandydamos skirtingus privatumo apsaugos modelius, interneto naršykles kuriančios bendrovės mokosi viena iš kitos.

Google Chrome naršyklės programuotojų komandos vadovas J. Schuh kartą užsiminė, jog ,,Vartotojai reikalauja didesnio privatumo bei skaidrumo, galimybės pasirinkti ir kontroliuoti kaip naudojami jų duomenys; akivaizdu, kad interneto ekosistema turi tobulėti idant atitiktų šiuos didėjančius reikalavimus“.

Besikeičiančios socialinės ir ekonominės aplinkybės įtakojančios duomenų privatumą verčia paslaugas teikiančias bendroves ieškoti naujų sprendimų. Pvz., 2018 Google inicijavo ,,Data Transfer Projektą“, prie kurio prisijungė ir kitos didžiosios Silicio slėnio bendrovės (Apple, Facebook, Microsoft ir Twitter). Šios iniciatyvos tikslas – nagrinėti įvairius klausimus, susijusius su atviro kodo ir duomenų perkeliamumo skirtingų paslaugų programėlėse, taip siekiant palengvinti vartotojams galimybę gauti prieigą prie apie juos sukauptų duomenų bei lengvai panaudoti tuos duomenis santykiuose su skirtingais paslaugų teikėjais. Vienas iš sunkiausių šių dienų technologinių uždavinių – sukurti vieningą duomenų sistemą, kurioje konkretaus individo asmeniniai duomenys būtų suprantami skirtingiems paslaugų teikėjams.

Tikėtina, kad netolimoje ateityje duomenys bus atskirti nuo aplikacijų. To pasekoje vartotojai galės nustoti naudoti tam tikras paslaugas (aplikaciją) ir ,,išsiregistuoti” iš aplikacijos kartu išsinešdami ir visus savo asmeninius duomenis.

Slapukų išnykimas iš esmės pakeis interneto veikimo principus. Vos tik atsiradus internetui, reklama skaitmeninėje erdvėje buvo paremta tiesioginiu vartotojų duomenų pardavimu tarp turinio tiekėjų ir reklamuotojų. Dabar daugelis santykių tarp turinio tiekėjų ir reklamuotojų vyksta pasitelkiant algoritmus ir duomenų bei reklamos tarpininkus. (žr. diagramą aukščiau).

Kadangi Chrome yra pati populiariausia naršyklė pasaulyje, didžioji dalis informacijos paieškos srauto ir taip keliauja per ją. Pačiai Google slapukai nereikalingi. Slapukų panaikinimas pastatys Google į dar stipresnę padėtį dominuojant paieškos internete rinkoje, nes Google galės naudoti Chrome naršyklę renkant duomenis išimtinai savo naudai. Tuo pačiu, tretieji asmenys (o ypač reklamuotojai ir turinio tiekėjai) tokių privalumų neturės. Turinio tiekėjai ir reklamuotojai neturės kito pasirinkimo, kaip derėtis tiesiogiai su Google.

Taigi, vienintelis nugalėtojas bus Google, nes jos Google reklamos modelis nepriklauso nuo to slapukų. Be to, panaikindama slapukus Google praktiškai išstums iš rinkos visus reklamos internete paslaugas teikiančius konkurentus.

Vis dėlto, ar tokia sistema su dominuojančia Google ateityje tikrai galės išsilaikyti? Jei ne, kas mūsų laukia ateityje?

Pridėtinė vertė kiekvienam iš mūsų pasaulyje be slapukų

Slapukų išnykimo tendencija yra tik vienas iš daugelio ženklų, bylojančių apie makro-lygio pokyčius, vykstančius duomenų apsaugos plotmėje. Vis dažniau susiduriančios su didėjančiu informacijos apie vartotojus stygiumi, vartotojams paslaugas teikiančios bendrovės ieško naujų būdų, kaip galima būtų tobulinti paslaugų vartotojams kokybę.

Vienas tikėtinas scenarijus – tai, jog kelių metų bėgyje nebeliks tų keleto bendrovių, kurios šiuo metu kontroliuoja didžiąją dalį asmenų duomenų. Tas duomenų milžines pakeis į vartotojus orientuotas duomenų privatumo modelis (angl. user-centric, user-held data model).

Kas turi daugiau duomenų apie tave nei Google, Facebook ir Amazon kartu? TU

Jau dabar pastebima tendencija jog neužilgo vartotojai turės priemones, kurios suteiks galimybę kontroliuoti savo asmeninius duomenis, kam suteikti prieigą prie tų asmeninių duomenų ir kokiais tikslais. Iš tikrųjų, technologijos šiandien jau yra pakankamai išsivysčiusios; ir dabar įvairios bendrovės pradeda ieškoti tokių į vartotojus nukreiptų duomenų privatumo apsaugos modelių pritaikymo galimybių.

Į individą orientuotas duomenų privatumo modelis yra paremtas tuo, jog kiekvienas individas turės savo asmeninį duomenų ,,seifą“ (iš tikrųjų, asmeninę paskyrą debesyje). Niekas išskyrus patį individą prieigos prie to seifo neturės – žinoma, išskyrus tuos atvejus, jei pats individas suteiktų prieigą tretiesiems asmenims. Tai reikš, jog paslaugas teikiančios bendrovės sieks gauti prieigą prie asmens duomenų pagrindu sukurtų vartotojo profilių (pvz., Jūsų kelionių profilis), pagal kurį paslaugas teikiančios bendrovės teiks vartotojo interesus ir siekius labiausiai atitinkančius pasiūlymus.

Pavyzdžiui, jei vežimo paslaugas teikianti bendrovė žinotų vartotojo A kelionių duomenus, per mėnesį transportui skiriamą sumą ir asmeninius keliavimo prioritetus, vežimo bendrovė galėtų pasiūlyti 30 procentų nuolaidą ir papildomas tam vartotojo labiausiai tinkančias paslaugas.

Šiuo metu, paslaugas vartotojams teikiančios bendrovės duomenų brokeriams moka milijonus idant galėtų gauti daugiau duomenų apie vartotojus. Neretai tokie duomenys nėra visiškai tikslūs, pasenę ir besikartojantys. Taigi, paslaugas teikiančios bendrovės geriau gautų duomenis tiesiogiai iš vartotojų, kuriems yra teikiamos paslaugos.

Asmeninis dirbtinis intelektas – Ar tai įmanoma?

Jei šios prielaidos apie į individą orientuotą duomenų modelį pasitvirtins, tuomet galima tikėtis, kad netolimoje ateityje kiekvienas individas turės savo asmeninį dirbtinį intelektą (angl. personal AI). Kaip žinia, dabar dirbtinio intelekto modelius kuria duomenų gigantės; tokie dirbtinio intelekto pritaikymo variantai paremti duomenų gigančių turimais duomenimis apie milijardus individų.

Jei kiekvienas individas galėtų turėtų savo asmeninių duomenų kopijas savo skaitmeniniame ,,seife“, tikėtina, kad pasitelkus tinkamas technologijas kiekvienas individas galės aktyvuoti savo asmeninius duomenis santykiuose su trečiaisiais asmenimis (paslaugų teikėjais). Be to, toks asmeninių duomenų aktyvavimas nereikš, kad individai turės kiekvienu atveju patvirtinti asmeninių duomenų panaudojimą spustelint mygtuką ,,sutinku“. ,,Accept“ mygtuką pakeis itin sumanūs nustatymai ir priminimai (angl. defaults and nudges).

Pastaruoju metu pasaulinio ryškumo korporacijos (pvz., Gucci, Levis, Macys) pereina prie tiesioginės rinkodaros verslo modelių, kurių tikslas – sukurti unikalius potyrius perkantiems  vartotojams ir padidinti vartotojų pasitikėjimą prekių ženklais. Dėmesį telkiant į tiesioginę rinkodaros ir tiesioginių pardavimų taktiką, prekių ženklai taip pat gali geriau suprasti vartotojų poreikius, jų lūkesčius ir pagal tai pateikti personalizuotus pasiūlymus. Kaip jau minėta, vienas iš didžiausių iššūkių – išsiaiškinti, kaip tokia tiesioginės rinkodaros ir tiesioginių pardavimų modeliai galėtų būti suderinti su vartotojų asmeninių duomenų apsaugos reikalavimais.

Asmeninio dirbtinio intelekto tikimybė nėra tokia neįtikėtina, kaip tai galėtų atrodyt iš pradžiųi. Jau dabar daugeliu atveju turinio ir paslaugų teikėjai naudoja daugybę įvairių technologinių priemonių, kurios padeda nustatyti potencialius klientus.

Į vartotojus orientuotas duomenų apsaugos modelis be abejo pareikalaus šiokių tokių pokyčių technologinėje ir teisinio reglamentavimo plotmėje. Visgi, neabejotina, kad tokie atsakingu vartotojų duomenų naudojimo sprendimai jau dabar susilaukia vis daugiau dėmesio įstatymų leidėjų, paslaugų teikėjų ir technologijų kuriančių bendrovių tarpe.

Taigi, mūsų laukia itin įdomūs pokyčiai. Iš vienos, pusės turime pasaulį, kuriame dominuoja duomenų milžinai ir kuriame privatumo apsauga yra miglota. Iš kitos pusės didėja entuziastiškai nusiteikusių individų bei organizacijų skaičius, kurie siekia išlaisvinti duomenis ir paskatinti skaidrios ir teisingos duomenų apsaugos ekosistemos sukūrimu.

Ar esame pasiruošti šiems pokyčiams ir naujoms galimybėms?

Paulius Jurčys yra teisės mokslų daktaras ir Harvardo teisės mokyklos CopyrightX kurso apie autorių teisę vienas iš organizatorių.