Kako zaštiti osobne podatak i privatnost na internetu, u trenutku kad sve više vremena provodimo upravo u digitalnom svijetu? Neki će reći da su jedini koji mogu zaštititi osobne podatke korisnici, ako ih ne dijele i brižno čuvaju. No, uz brojne aplikacije, platforme i servise koje koristimo, to često nije moguće.
Pa tko bi onda trebao čuvati te podatke? Pravila i zakoni koji vrijede u EU (a slični se mogu naći i u drugim zemljama diljem svijeta), kažu da odgovornost leži na pružatelju usluge odnosno na autoru aplikacija koje korisnici koriste. Međutim, ni pravila ni zakoni nisu savršeni, a to znači da pojedine aplikacije iskorištavaju "rupe u zakonu" i smanjuju razinu zaštite korisnicima, a da oni toga uopće nisu svjesni.
Što to točno znači, pojasnio je Idit Arad, glavni pravni zastupnik tvrtke Rakuten Viber. Arad je tako istaknuo kako je GDPR, europska Opća uredba o zaštiti podataka, trebala zaštititi privatnost korisnika, no u njoj nije propisana obaveza korištenja obostrane enkripcije podataka za aplikacije za razmjenu poruka i podataka.
Obzirom na to da je regulativa veoma široko definirana, moguće ju je tumačiti na razne načine. U okviru spomenutog GDPR-a, isti set obaveza odnosi se i na mikro poduzeće kao i za najveću tehnološku kompaniju, te se time kreira mogučnost za različite interpretacije. Na kraju, sama poduzeća često znaju odlučivati na koji način će se ponašati u okviru pravila. Ako se regulativa ili zakon sprovodi u više različitih zemalja – kao što se GDPR primjenjuje u zemljama Europske unije – oni će se različito primjenjivati u svakoj državi. Primjera radi, Njemačka je donijela dodatne zakone o privatnosti (FDPA, Federal Data Protection Act), u skladu s GDPR-om. Dakle, njemačke korporacije moraju se voditi strožom regulativom. Različiti propisi i različita tumačenja nužno nose sa sobom i puno informacija što kao posljedicu ima to da su obavijesti o zaštiti podataka postala veoma dugačka te brojni korisnici jednostavno pristaju na uvjete bez čitanja. Zvuči poznato?, ističe Arad.
Ističe kako nije problem samo GDPR u Europi, već i drugi zakoni poput Zakona o privatnosti potrošača u američkoj državi Kaliforniji (CCPA), Općeg zakona o zaštiti podataka (LGPD) u Brazilu i Akta o zaštiti osobnih informacija (POPI) u Južnoj Africi.
Svaki od navedenih propisa sadrži u sebi nijanse kojima se prilagođavaju kulturi u kojoj se primjenjuju, ali jedan zajednički saveznik je taj da kompanije nisu obvezne omogućiti korisnicima obostranu enkripciju. Ta opcija se ostavlja na slobodan izbor platformama za razmjenu poruka. Iako se, zahvaljujući propisima, znatno smanjio rizik od toga da se podaci korisnika sakupljaju i dalje dijele trećim stranama, u zakonima i dalje postoje pukotine koje postaju sve vidljivije, dodaje Arad.
U čemu je problem?
Ako već propisi o privatnosti imaju očigledne rupe (koje aplikacije i platforme iskorištavaju), Arad ističe kako bi bilo logično da se uvede obaveza da barem platforme za razmjenu poruka imaju obostranu enkripciju kao standardnu postavku.
Odgovor možda leži u tome što su vanjski utjecaji možda veći nego što smo svjesni. Neki od lidera u velikim tehnološkom kompanijama su i bivši članovi vlada, pa i ne predstavlja toliko iznenađenje što enkripcija nije opcija, nastavlja Arad.
Podsjetio je kako su se korporacije često prilagođavale aktualnim političkim strujama u svojim zemljama. Tako je, primjerice, 2021. godine, kako bi se poštovala želja vladinih agencija SAD-a da se uvede zaštita za djecu, Apple kompromitirao vlastitu obostranu enkripciju ne bi li dozvolilo nadgledanje korisničkog računa na iCloudu. U prvoj verziji, Apple je planirao da enkripcija njihovih sigurnosnih kopija bude potpuna. Međutim, na to se žalio FBI pa se od tog plana u potpunosti odustalo.
Neke vlade ne žele obostranu enkripciju kako bi lakše pratile svoje građane i, kako ističu, osigurale njihovu sigurnost.
U zakonima o privatnosti brojnih država pronaći ćete izuzetke od obaveze privatnosti u slučaju da vlada ili službe sigurnosti nekoga procesuiraju. Vlada i mediji nekada promoviraju takve zakone pod velom privatnosti, ali u stvarnosti, te regulative pomažu vladi da pristupi podacima građana. Australski propisi o privatnosti imaju navedena tri razloga pod kojima se mogu tražiti podaci koje sakupljaju kompanije, čak i one poruke koje su ekriptirane. Ako se poruke mogu dešifrirati kako bi ih vidjele državne institucije, onda to kompromitra cijeli koncept enkripcije za sve korisnike, naglašava Arad.
I dok će korisnici drage volje odustati od obostrane enkripcije, ako to znači da će istražitelji lakše uhvatiti kriminalce, zlostavljače djece ili pak teroriste, ne razmišljaju da to znači i da su njihovi podaci odnosno poruke koje razmjenjuju isto tako dostupni.
Manje demokratske vlade mogle bi oponašati takve regulative, što bi u praksi kao rezultat imalo smanjene individualne slobode. Ako propisi u zapadnim zemljama obvezuju globalne kompanije da ukinu obostranu enkripciju kada je to potrebno, onda bi i nedemokratske zemlje mogle tražiti isto. Tu dolazimo do tanke linije između dobrih namjera i kršenja prava, upozorava Arad.
Potpuna enkripcija ili potpuna transparentnost?
Što je onda najbolje rješenje? Imati platforme koje imaju obostranu enkripciju i štite sve ili pak odustati od enkripcije i nadati se da niste dovoljno zanimljivi pa da vaše poruke nitko neće čitati?
Možda je prvi dojam da platforme bez enkripcije pomažu u spriječavanju kriminala na način da omogućavaju vladama pristup osobnim podacima korisnika. Ipak, to potencijalno znači da bi i kriminalci mogli imati pristup istim podacima. Hakeri i drugi akteri s one strane zakona konstantno unaprijeđuju svoje sposobnosti kako bi došli do privatnih podataka i eksploatirali ih – bilo prodajom tih podataka pogrešnim osobama, bilo korištenjem podataka za prevare i druge kriminalne aktivnosti. Ukoliko podaci nisu dostupni nikome, rizik takvog upada ne postoji, ističe Arad.
Dodaje kako je upravo to najbolji razlog za nastavak korištenja obostrane enkripcije, ali i dodatno ulaganje u zaštitu osobnih kompanija. Arad smatra da bi kompanije mogle dodatno zaštititi svoje korisnike ako količinu podataka koje čuvaju o njima - svedu na minimum.
Namjena aplikacija za razmjenu poruka nije da služe kriminalcima, ali u današnjem svijetu, kriminalci imaju brojna sredstva komunikacije i van platformi za razmjenu poruka. Na primjer, komunikacija za teroristički napad u Londonu odvijala se putem poruka u nacrtima (draft) unutar zajedničkog email računa. Kriminalne organizacije u stanju su, i to bez prevelikog napora, napraviti vlastite aplikacije za razmjenu poruka - kriminalci će uvijek pronaći način da budu kriminalci, i smanjivanje privatnosti drugih korisnika to neće promijeniti, ističe Arad.
Što nas čeka u budućnosti?
Koliko god neki zagovarali uvođenje obavezne obostrane enkripcije, čini se kako to još neko vrijeme neće biti zakonska obaveza.
U postojećim regulativama o privatnosti ne spominju se točne metode za zaštitu osobnih podataka, već samo načelna pravila koja su otvorena za različite interpretacije. Zato što nema konkretnog popisa obaveza, mnoge korporacije pomiču liniju dozvoljenog. Osim toga, službenici vlada i dalje žele imati pristup osobnim podacima, radi sigurnosti ili obrane od kriminala, dodaje Arad.
Dok se to ne promijeni, odgovornost za korištenje obostrane enkripcije leži na vlasnicima aplikacija za razmjenu poruka i na korisnicima koji biraju platforme s takvom enkripcijom.
Ako korisnici vrše pritisak na vlasnike platformi za razmjenu poruka da se obostrana enkripcija podrazumijeva kao „default“ postavka, to će znatno smanjiti rizik od toga da osjetljivi osobni podaci padnu u pogrešne ruke. Pored toga, korisnici će ograničiti i rizik od toga da njihovi osobni razgovori budu otkriveni, zloupotrebljavani ili iskorišteni za sticanje profita, ističe Arad.
Dok se to ne dogodi, korisnicima preostaje da se educiraju i informiraju o aplikacijama i platformama koje koriste, načinima zaštite i potom odaberu one kanale komunikacije za koje smatraju da će zaštititi njihove osobne podatke i poruke.
Mnogi korisnici ne razmišljaju mnogo o tome, niti se informiraju prije odluke koju će aplikaciju koristiti, već im to postane važno u trenutku kada je prekasno i kada su podaci već iscurili. Nadajmo se da će budućnost propisa o privatnosti biti obostrana enkripcija kao postavka koje se podrazumijeva za sve - od starta, zaključuje na kraju Arad.