Od dłuższego już czasu Komisja Europejska pracuje nad założeniami reformy prywatności w internecie. Efekty tych prac miały być oficjalnie zaprezentowane na początku następnego roku. Dwa dni temu wyciekł jednak projekt nowego rozporządzenia o e-prywatności (ang. e-Privacy), które ma zastąpić mającą już 14 lat dyrektywę o prywatności i łączności elektronicznej (2002/58/WE). Jako że chodzi o rozporządzenie, więc nowe regulacje prawne obowiązywałyby wprost we wszystkich krajach UE.

Rozporządzenie ma położyć dużo większy niż obecnie nacisk na ochronę prywatności w szeroko rozumianej sieci. Zasadą ma być konieczność wyrażenia zgody użytkownika na przesyłanie jego danych. Dla przykładu – po zainstalowaniu nowej przeglądarki internetowej i jej uruchomieniu użytkownik byłby pytany, czy zgadza się na śledzenie swej aktywności w internecie. I musiałby sam podjąć tę decyzję.

– Wymóg udzielenia zgody (bądź nie) na profilowanie i przetwarzanie danych jest pomysłem ciekawym. Sprawiłoby to, że standard Do Not Track wreszcie nabrałby znaczenia. Konsekwencją nowej regulacji byłaby też potrzeba wdrażania spójnych systemów zarządzania zgodą użytkownika na przetwarzanie danych, co będzie ważne w kontekście konieczności przeprowadzania oceny wpływu na prywatność przy większości nowych projektów, aplikacji i systemów – komentuje dr Łukasz Olejnik, konsultant bezpieczeństwa i prywatności oraz badacz na University College London.

Wspomniany przez niego mechanizm Do Not Track polega na tym, że przeglądarka wysyła do strony internetowej informację, że użytkownik nie chce być śledzony w celach reklamowych. Tyle że dzisiaj respektowanie jej to jedynie dobra wola branży internetowej, a nie obowiązek.

Koniec reklamy?

Obowiązująca wciąż dyrektywa przewiduje ochronę przed śledzeniem, ale skupia się na ciasteczkach (ang. cookies). To z tego powodu wchodząc na nową stronę internetową, widzimy komunikat o cookies. Teraz ochrona naszej prywatności ma zostać rozszerzona na wszystko, co jest związane z przesyłaniem naszych danych (np. śledzenie, jakie strony odwiedzamy w sieci) i wszystkie możliwe technologie i ewentualne systemy namierzania. I nie wystarczy już sama informacja o tym, że jesteśmy śledzeni. Użytkownik będzie musiał wyrazić na to zgodę.

Takie rozwiązanie wzbudza poważne obawy branży internetowej, zwłaszcza związanej z reklamą w sieci. Zaraz po wycieku projektu (pojawiają się sugestie, że mógł to być wyciek kontrolowany) pojawiły się krytyczne uwagi ze strony jej przedstawicieli. Bez śledzenia użytkownika (np. stron, które odwiedza) nie będzie bowiem można dostosowywać reklamy do jego preferencji, a taka właśnie behawioralna forma reklamy jest najbardziej pożądana przez reklamodawców.

– To zagraża całemu internetowi, jaki znamy – powiedział „Financial Times” Yves Schwarzbart z organizacji Internet Advertising Bureau w Wielkiej Brytanii. I dodał, że cały model biznesu internetowego opiera się właśnie na finansowaniu treści przez reklamę. Jego zdaniem nowe rozporządzenie narusza podstawy tego modelu.

Obaw tych nie podziela Katarzyna Szymielewicz z Fundacji Panoptykon. – Wbrew podniesionemu larum nowa regulacja nie jest wymierzona w reklamę behawioralną: ani jej nie zakazuje, ani nie ogranicza. Komisja Europejska wychodzi jedynie z założenia, że to każdy użytkownik ma prawo sam zdecydować, czy chce, aby ktokolwiek śledził jego zachowanie w sieci w celach reklamowych, a jeśli tak – to w jakim zakresie i w jakim celu. Czym innym jest przecież reklama dobrana do naszych preferencji modowych czy aktualnego hobby, a czym innym profil zdradzający nasz stan zdrowia czy nałogi – przekonuje.

Internet rzeczy

Projekt nakazuje traktować jako poufne wszystkie komunikaty przesyłane drogą elektroniczną. Zakłada również ochronę metadanych (czyli informacji o samych danych), np. geolokalizacyjnych. Ma to znaczenie w kontekście coraz szybciej rozwijającego się internetu rzeczy, kiedy to różnego rodzaju urządzenia pobierają i przesyłają nasze dane.

Tym większego znaczenia nabierze nowy obowiązek.

– Projekt stawia wymóg tworzenia sprzętu i oprogramowania z zastosowaniem procesu Privacy by Design. Tak tworzone produkty (m.in. strony internetowe, aplikacje mobilne, internet rzeczy) cechuje dobry poziom zabezpieczeń – bezpieczeństwa, prywatności i ochrony danych. Proces ten wdraża się na samym początku projektu, jeszcze w fazie jego analizy i planowania – wyjaśnia dr Łukasz Olejnik.