Max Schrems, ime je od koga se velikim društvenim platformama poput Facebooka diže kosa na glavi. Ovaj austrijski aktivist, pravnik i autor, poznat je upravo po kampanjama protiv Facebookovog kršenja privatnosti korisnika, uključujući kršenje europskih zakona o privatnosti i navodni prijenos osobnih podataka američkoj Nacionalnoj sigurnosnoj agenciji (NSA) kao dio NSA-inog programa PRISM.
Godinama je već važan akter u području globalne zaštite podataka, cijenjen zbog svojih inovativnih pravnih inicijativa koje se zalažu za prava pojedinaca u vezi s njihovim podacima. Njegovo stručno znanje o pravilima privatnosti i zalaganje za promicanje transparentnosti u digitalnoj ekonomiji učinili su ga jednim od traženih sugovornika kad je pitanje privatnosti na stolu.
2017. godine je s partnerima utemeljio NOYB (None of Your Business), europsku neprofitnu organizaciju koja se bavi pitanjima privatnosti i kršenjem privatnosti u privatnom sektoru. Inicijative NOYB-a podržavaju Opću uredbu o zaštiti podataka (GDPR) EU-a, Uredbu o e-privatnosti i općenito informacijsku privatnost.
Schrems će 4. studenog gostovati u Zagrebu na konferenciji Span Cyber Security Arena, gdje će govoriti upravo o izazovima privatnosti u online svijetu.
Imali smo priliku porazgovarati sa Schremsom uoči konferencije i dobiti zanimljive informacije o tome kako zaštititi svoju privatnost na internetu.
Kako gledate na sve veću raširenost praćenja podataka i nadzora na internetu? Koje su najznačajnije prijetnje privatnosti pojedinca u digitalnom dobu?
To je super osobno i jako ovisi o vašoj specifičnoj situaciji. O tome što vam je prijetnja, a što nije, pa ako ste određena manjina ili ako ste pod određenom jurisdikcijom, postoje određeni problemi koji nemaju opći odgovor. Očito, online praćenje je problematično, posebno zato što, na primjer, ne znam kako se podaci koriste za oglašavanje, ali i zato što se tako sve više upliće u političke procese. Dakle, to je veliki problem pa bih na to gledao kao na veliku novu stvar, istaknuo je Schrems.
Mogu li velike tehnološke tvrtke uskladiti svoje poslovne interese s potrebom zaštite privatnosti korisnika? Koje su neke od najučinkovitijih strategija za korisnike da te tvrtke pozovu na odgovornost?
Velike tehnološke tvrtke općenito mogu imati poslovne interese ne samo s osobnim podacima – postoji mnoštvo drugih stvari na kojima zarađuju.
Možemo tražiti pristanak ili postoje opcije koje zapravo mogu imati besplatan novi model gdje će neki ljudi jednostavno generirati više prihoda. Za strategije da ih pozovemo na odgovornost potrebne su nam zajedničke mogućnosti, provedba tih pravila, potrebna nam je kolektivna pravna zaštita, potrebne su nam nevladine organizacije koje u biti rade te stvari i grupe za prava potrošača itd. Dakle, ne mislim da postoji neka konkretna strategija koju pojedinac može koristiti kako bi riješio te probleme, pojašnjava.
Što mislite o korištenju "mračnih obrazaca" (mračni obrazac (također poznat kao "varajući uzorak dizajna ") je korisničko sučelje koje je pažljivo izrađeno da prevari korisnike da rade stvari, kao što je kupnja preskupog osiguranja uz njihovu kupnju ili prijava za ponavljajuće račune, op. ur.) od strane online platformi za manipuliranje korisničkim ponašanjem i prikupljanje osobnih podataka? Kako možemo riješiti ovaj problem?
'Mračni obrasci' koji su općenito već legalni. Dakle, GDPR kaže da morate biti transparentni, morate pomoći ljudima da donesu vlastite odluke, morate biti pošteni u sučeljima. Dakle, ako se ove odredbe, koje već imamo, pravilno provode, što je pravi problem ovdje, ne bismo trebali imati "mračne obrasce" kao što ih imamo, jer po definiciji nisu pošteni, po definiciji ne omogućuju korisniku da napravi izbor pa bi te stvari već trebale nestati. Ovdje je opet riječ o primjeni i provođenju pravila, ističe.
Podaci su novac. Kako gledate na rastući trend monetizacije podataka? Koje su potencijalne koristi i rizici postupanja s podacima kao vrijednom robom?
Ako su podaci novac, onda su i osobni podaci novac, a osobni podaci su temeljno pravo. Dakle, govor je novac ili vaše pravo na gradnju je novac pa će postojati određeno ograničenje koliko daleko možete ići s tim u Europskoj uniji. Moramo doista vidjeti da postoji razdvajanje ekonomije i to ako pogledate, na primjer pristup "plati ili prihvati" (kad korisnici mogu platiti neku uslugu i neće se koristiti njihovi podaci za monetizaciju, ili prihvatiti besplatnu uslugu, a za uzvrat dati dopuštenje da se njihovi podaci koriste za monetizaciju, op. ur.), od korisnika traže da plate korištenje usluge (i ne korištenje podataka), a ako kažete ne, to u biti znači da bogati ljudi mogu imati temeljna prava, a ostali ne, naglašava Schrems.
Što mislite tko bi trebao imati kontrolu nad osobnim podacima? Kako možemo osigurati da pojedinci imaju značajna prava na svoje podatke?
Ovdje se ne radi o onome što ja vjerujem, ali u osnovi zakon kaže da pojedinac ima kontrolu nad tim kao zadanim. A tu su i pojedinačne situacije u kojima i netko drugi ima pravo na to. I imamo pet zakonskih osnova prema kojima osoba ima pravo koristiti podatke u određenoj mjeri, u određene svrhe, tako da mislim da već imamo uravnotežen pristup.
Kakav je bio ukupni utjecaj Opće uredbe o zaštiti podataka (GDPR) na krajolik privatnosti podataka? Je li učinkovito zaštitio prava pojedinaca? Ili je samo sve zakompliciralo?
Mislim da je to imalo veliki utjecaj na to da su ljudi stvarno razmišljali o tome, kao i na to da su tvrtke po prvi put imale nekoga tko je zadužen za to. Ali nije učinkovito zaštitio prava ljudi. Ako pogledate prosjek, on se zapravo nije povećao ili postao mnogo bolji ili je, znate, više predvidljiv nego recimo isti softver u SAD-u ili slično. Dakle, vidimo da ima još puno toga za učiniti i to je put od toga da imamo ta prava na papiru, ali u stvarnosti se ona ne događaju. Velik dio toga je da imamo europski zakon, ali nam je u osnovi potrebna nacionalna provedba, a nacionalni rukovoditelji to jednostavno ne rade pa je to problem koji vidimo, ističe Schrems.
Kako ocjenjujete učinkovitost "prava na zaborav" kao alata za zaštitu privatnosti pojedinca? Postoje li ograničenja ili izazovi povezani s ovim konceptom?
Tvoje pravo da budeš zaboravljen bio je PR trik. To je zapravo pravo na brisanje i ono postoji od 1995. tako da to zapravo i nije ništa novo. Stoga koncept nije baš koristan. Neki ljudi misle da imaju apsolutno pravo na brisanje svojih podataka – to jednostavno nije točno. To se događa samo u određenim situacijama kada su podaci legalno obrađeni pa je to nešto što je Europska komisija samo htjela imati kao PR trik. Privlači naslovnice, ali u stvarnosti previše obećava i nedovoljno isporučuje, jasan je Schrems.
Jedno od gorućih pitanja je korištenje korisničkih podataka za treniranje AI algoritama? Koje su etičke implikacije korištenja osobnih podataka na ovaj način?
Kod korištenja osobnih podataka za treniranje umjetne inteligencije, mislim da postoji velika razlika u tome što velika umjetna inteligencija može koristiti sve podatke, a koji nisu osobni podaci, bez ikakvog upita. Možete to učiniti, to je u redu. Kada je riječ o osobnim podacima, mislim da će to biti vrlo teško učiniti bez privole, ali postoje neki argumenti da bi mogli postojati različiti pristupi legitimnom interesu. Pogledajmo što će Europski sud pravde na kraju reći, ali to je uvelike otvoreno pitanje. Pogotovo ako je čelnom čovjeku neke tvrtke jako teško reći kamo su podaci otišli, kako ih izbrisati, kako ispraviti, znate – ponovno uvježbajte taj AI model ako proizvodi pogrešne odgovore u ekstremnoj mjeri. Stvarno ne vidim da je ovo pristup koji bi mogao funkcionirati.
Mogu li platforme društvenih medija zaštititi privatnost korisnika dok koriste AI za personalizirani sadržaj i oglašavanje? Koje mjere se mogu poduzeti kako bi se spriječile povrede i zlouporaba podataka?
Za društvene mreže najlakše je samo pitati ljude žele li to ili ne i onda možete aktivirati tu funkciju ili ne. Dakle, mislim da bi to bio najjednostavniji pristup. Stvarno sprječavanje curenja podataka i zlouporabe potpuno je druga stvar, jer ako, primjerice, Metu gledate iz pozitivnog kuta, može učiniti dio te umjetne inteligencije dostupnim kao softver otvorenog koda, a on se sutra može koristiti za generiranje lažnih vijesti i botova. Dakle, držanje duha u boci, nisam stručnjak, ali ne vidim da bi se moglo dogoditi.
Koji su rizici algoritamske pristranosti u platformama društvenih medija? Kako možemo osigurati da su algoritmi umjetne inteligencije pošteni i pravični?
Do sada problem nije samo algoritamska pristranost, već i individualizirano pogrešno odlučivanje. Dakle, trenutno imamo slučajeve u kojima pojedinci strukturalno izvlače lažne informacije iz sustava i trenutno postoje pojedinosti koje tehnički nije moguće promijeniti ili ispraviti i tako dalje. Odgovor mora biti da ga ne možete koristiti na ljudima ako se ne možete uvjeriti da ova stvar radi i da postoji opcija ispravljanja informacija. Jednostavno ne možete to koristiti na ljudima – to je to.
Mislim da nije prihvatljivo reći da jednostavno nismo spremni i da nismo dovoljno dobri, ali također smo super inovativni i stoga to svejedno moramo iskoristiti. U redu je reći da smo u fazi razvoja i da još nismo tamo gdje bismo htjeli biti i reći da se zakon poštuje jer još nismo spremni.
Koja su vaša predviđanja za budućnost privatnosti podataka? Koje izazove i prilike vidite na horizontu?
Mislim da smo na samom početku, tako da ćemo vjerojatno imati ogromnih problema, ali u osnovi u EU-u to je temeljno pravo, to je u povelji, pa osim ako to ne promijenimo, ali sve će države članice to jednostavno imati. Dakle, ono što sada zapravo tražimo zakonodavnih vlasti je da zapravo znaju što rade i znaju kako natjerati tvrtke da se pridržavaju pravila. Do sada imamo kulturu odvraćanja pogleda i mislim da su izazovi i prilike u provođenju onoga što već imamo, a ne možda u donošenju još 10 zakona. Treba provoditi one zakone koje već imamo, ističe na kraju Schrems.
