Wizja firm śledzących każdy nasz ruch w Internecie i przewidujących, czy i na jaką chorobę zapadniemy oraz czy spłacimy kredyt, brzmi jak science-fiction? Niekoniecznie. Według badaczy z Princeton, setki serwisów bez naszej wiedzy zaglądają nam przez ramię. Czy w obronie internautów stanie Unia Europejska?

Anonimowość w sieci nie istnieje. Niektórzy przekonali się o tym wraz z rewelacjami Snowdena w 2013 roku. Wtedy międzynarodowa opinia publiczna nie kryła (poniekąd słusznie) swojego oburzenia tym, że amerykańska NSA gromadzi ogromną ilość informacji nie tylko o obywatelach Stanów Zjednoczonych. Również kanclerz Niemiec, Angela Merkel, znalazła się na radarze tej potężnej agencji, co wywołało niemały problem dyplomatyczny.

Z tego względu na całym świecie, również w Polsce, rozgorzała dyskusja związana z tym, na ile rządy mogą nas inwigilować. Temat wpływu władzy na prywatność w Internecie budził wcześniej ogromne emocje, o czym świadczy chociażby skala protestów przeciwko ACTA w 2010 roku. W związku z ogromnym oporem, kontrowersyjny projekt został ostatecznie porzucony.

Wszystkie tajemnice w zasięgu klawiatury

W tym samym czasie rozwinęły się jednak mechanizmy pozwalające śledzić użytkowników przez różne prywatne firmy, na co niewiele osób zwracało uwagę. Według badania przeprowadzonego przez Uniwersytet Princeton, setki najpopularniejszych stron i serwisów internetowych korzystają z systemów umożliwiających śledzenie każdego kliknięcia i ruchu myszką, czy korzystania z klawiatury, a nawet danych wprowadzanych przez użytkownika przed wysłaniem formularza. Z tych informacji korzystają często tzw. strony trzecie, czyli przedsiębiorstwa gromadzące dane do celów analitycznych (zazwyczaj firmy marketingowe). Wspomniane firmy zbierają i przechowują historię naszych wyszukiwań czy stron, które odwiedzamy.

Badacze z Princeton zwrócili jednak uwagę na inny, bardziej niepokojący aspekt: skrypt session replay(odtwarzanie sesji). Coraz więcej stron korzysta z tego rozwiązania, które pozwala na nagrywanie każdego nawet najmniejszego ruchu myszką czy dotknięcia klawiatury. W porównaniu do zagregowanych statystyk gromadzonych przez firmy marketingowe i analityczne, skrypt pozwala na odtwarzanie (dowolną ilość razy) każdego naszego wyszukiwania, wpisywania hasła czy danych do formularza. Tak jakby ktoś ciekawski zerkał nam ciągle przez ramię.

Oficjalnie narzędzie ma służyć do poprawy świadczonych usług na stronach internetowych, identyfikacji problemów związanych ze złym ładowaniem skryptów czy małą przejrzystością strony. Jednak czy dane, które gromadzą wspomniane serwisy, są naprawdę konieczne do sprawnego funkcjonowania strony internetowej? Eksperci z Uniwersytetu Princeton twierdzą, że niekoniecznie. Według nich, rozwiązanie może przynieść więcej szkody niż pożytku. Niektóre strony bowiem ujawniają w załącznikach informacje, które pozwalają bez problemu zidentyfikować użytkownika. Poza tym, opcja nagrywania umożliwia odtworzenie wszystkich danych z karty, którą dokonywaliśmy transakcji, informacji osobistych czy wręcz uzyskanie hasła (jeśli odtworzy się sekwencje wpisywanych znaków na klawiaturze). I co najważniejsze: nigdy nawet się nie dowiemy, że jesteśmy w ten sposób nagrywani. Serwisy nie muszą nas o tym informować. Nawet jeśli wybierzemy w naszej wyszukiwarce opcję „nie śledź”, to firmy nadal mogą to robić i bez wątpienia to właśnie robią.

Autorzy raportu przestrzegają, że wrażliwe dane takie jak chociażby historia choroby, czy numery kart kredytowych mogą trafić w niepowołane ręce. Informacje są przecież zbierane na jednej stronie, następnie w trakcie nagrywania przesyłane są do innej firmy. W tym czasie wszystkie nasze osobiste dane mogą chociażby zostać wykorzystane w ramach identity theft (kradzieży tożsamości). Innym problemem jest jednak sprzedaż historii wyszukiwania czy aktywności w sieci, która rozwinęła się na dobre przed narzędziemsession replay. A pytania, które zadaliśmy wyszukiwarce, potrafią powiedzieć o nas więcej niż wiedzą znajomi czy rodzina. Na podstawie historii wyszukiwań, można określić na jaką chorobę zapadnie (!) użytkownik. Chociażby zwyczaje zakupowe online mogą zdradzić prawdopodobieństwo zawału serca, miażdżycy czy zachorowania na cukrzycę. Wizja rodem z 1984 roku? Nawet orwellowskie teleekrany nie były w stanie zebrać tyle informacji.

Google stanie po stronie użytkowników?

Google posiada największy udział w rynku wyszukiwarek (prawie 60% w skali globalnej), tym samym budząc obawy o wykorzystywanie swojej pozycji. Raz po raz pojawiają się krytyczne głosy na temat bezpieczeństwa i prywatności użytkowników. Gigant technologiczny postanowił jednak rozszerzyć swoją politykę prywatności, poniekąd wyprzedzając RODO (unijne ogólne rozporządzenie o ochronie danych). Aplikacje na Androidzie, które gromadzą dane użytkowników takie jak numer telefonu czy adres e-mail, będą musiały otrzymać wyraźną zgodę, aby przetwarzać te informacje.

Wyszukiwarka będzie ostrzegała klientów Androida przed witrynami i aplikacjami, które zbierają dane odwiedzających bez ich wiedzy i zgody. Natomiast strony i aplikacje gromadzące informacje, które nie wpływają na funkcjonalność serwisu, będą musiały poinformować w jaki sposób je wykorzystają. Google, by nadzorować sieć, stworzył usługę Google Safe Browsing. W uproszczonym ujęciu, jest to po prostu czarna lista stron i aplikacji, które nie spełniają wymogów ochrony prywatności. Służy zarówno do ostrzegania internautów jak i webmasterów, których strony padły ofiarą złośliwego oprogramowania. Obecnie, rozwiązanie wykorzystywane jest na ponad 3 miliardach urządzeń na całym świecie.

Gigant technologiczny daje dwa miesiące deweloperom aplikacji, by zmienili bądź rozszerzyli swoją politykę prywatności. Serwisy, które obecnie nie spełniają tych wymagań, trafiają na listę Google Safe Browsing. Jednak deweloperzy i webmasterzy mają czas do 30 stycznia 2018 roku. Później wszystkie aplikacje niespełniające wymagań będą usuwane, m.in. ze sklepu Google Play.

RODO - zmartwienie firm, nadzieja internautów

Mimo że rozporządzenie ogólne dotyczące ochrony danych (RODO) zacznie obowiązywać w maju 2018 roku, większość przedsiębiorców nie jest gotowych na tę zmianę. Według raportu Dell, pod koniec zeszłego roku, jedynie 3 procent firm było przygotowanych na wprowadzenie nowych regulacji. RODO stanowi więc nie lada wyzwanie dla przytłaczającej większości przedsiębiorstw, bez względu na ich rozmiar.

Podczas gdy firmy mają powód do zmartwień, dla przeciętnego obywatela Unii Europejskiej rozporządzenie GDPR (angielski akronim RODO) może być ostatnią deską ratunku. Po pierwsze, informacje zawarte w plikach cookies (ciasteczkach) będą traktowane na równi z danymi osobowymi takimi jak PESEL. Dla użytkownika oznacza to, że jego dane związane z aktywnością w sieci będą po prostu lepiej chronione. Po drugie, firmy nie będą mogły gromadzić informacji o użytkownikach, które nie są kluczowe dla jej działalności. Przykładowo, jeśli przedsiębiorstwo kontaktowało się dotychczas z klientami za pośrednictwem e-maila, nie może od nich żądać numeru telefonu.

Internauci zyskają też najpoważniejszy argument we współpracy z firmami. Instytucje finansowe oraz ubezpieczeniowe bowiem coraz częściej dokonują segmentacji klientów na podstawie ich aktywności w sieci. Banki dokonują scoringu kredytowego potencjalnych kredytobiorców, oceniając umieszczone przez nich treści na portalach społecznościowych. A ubezpieczyciele mogą ustalać wysokość składek opierając się na historii wyszukiwań swoich klientów. Od maja 2018 roku, ma się to zmienić - na podstawie zebranych informacji online nie będzie można odmówić wykonania usługi czy sprzedaży produktu.

Użytkownicy będą mogli też skorzystać z „prawa do bycia zapomnianym”, które polega na usunięciu z wyszukiwarki danych takich jak imię i nazwisko. Przypadek z Hiszpanii był pretekstem do stworzenia tego przepisu. Obywatel z Półwyspu Iberyjskiego żądał usunięcia z wyszukiwarki Google informacji, które dotyczyły licytacji jego domu za długi. Mimo, że Hiszpan uregulował należności z wierzycielami, wiadomość ta ciągle wyświetlała się w wyszukiwarce. Ostatecznie, Trybunał Sprawiedliwości nakazał usunięcia danych z przeglądarki, dowodząc, że zostały naruszone dobra osobiste skarżącego. Prawo do bycia zapomnianym nie będzie jednak miało charakteru bezwzględnego. Ma bowiem zostać zachowana równowaga pomiędzy prawem do informacji, a prawem do prywatności.