Netrukus bus du metai, kaip „Cambridge Analytica“ buvęs įmonės darbuotojas Christopheris Wylie užvirė tarptautinį ažiotažą, susijusį su duomenų apsauga ir neteisėtu jų vartojimu. Nors vis dar lydimas apsaugos darbuotojų, Wylie tiki, kad šis pasaulinį atgarsį turėjęs jo pareiškimas buvo reikalingas.

Praėjusių metų konferencijoje „LOGIN 2019“ dalyvavęs Wylie pasakojo, kaip „Facebook“ trečiosioms šalims perduodavo vartotojų duomenis be jų žinios ir sutikimo - tuomet maždaug 87 mln. „Facebook“ vartotojų asmeninių duomenų buvo panaudoti 2016 metų JAV prezidento rinkiminėje kovoje. Kuriamos politinės kampanijos buvo pagrįstos psichologiniais profiliais, sudarytais pagal vartotojus, o visi duomenys dėl saugumo spragos gauti iš „Facebook“. Jų vykdytą veiklą jis netgi lygino su kariniais veiksmais, kurio laukas yra internetas, pabrėždamas, kad šiai kompanijai rūpi tik pelnas, o ne šalių demokratija ar vartotojų apsauga. Wylie pareiškimai sukėlė laikiną „Facebook“ akcijų rinkos vertės nuosmukį ir privertė viso pasaulio vyriausybes griežčiau reglamentuoti socialinę žiniasklaidą, duomenų rinkimą ir politines kampanijas. Tačiau, pasak Wylie, dar nėra padaryta pakankamai daug, kad būtų išvengta panašių problemų.

Wylie konferencijoje taip pat pabrėžė, kad milžiniškas duomenų kiekis, kuriuo kasdien dalijamės socialinėje žiniasklaidoje, gali ne tik sujungti, bet ir suformuoti mūsų mintis, jausmus, balsavimo įpročius ir visa tai mums net nepastebint. Šiandien Wylie įsitikinęs, kad pasielgė teisingai, paviešinęs turimą informaciją dėl kylančių iššūkių šalių demokratijoms, taip sudrebindamas ne tik politinės padangės manipuliavimą socialinių tinklų vartotojais, bet ir visą duomenų apsaugos platformą apskritai, kuriai jau seniai reikėjo pokyčių.

Wylie pažymėjo ir tai, kad „Facebook“ nėra toks nekaltas ir gali būti panaudotas masiniam žudymui, jei per jį bus skatinama neapykanta ar planuojami išpuoliai. Dirbtinio intelekto technologijos ir auganti įtaka yra galinga ir klausimas, kaip su ja bus elgiamasi. „Didžiausia rizika, kai po 10–20 metų visur bus masinės komunikacijos tinklai, kiekvienas įrenginys turės dirbtinį intelektą ir viskas bus susieta. „Tu būsi tokioje aplinkoje, kur visi tave stebi, galvoja, bando paveikti ir pareguliuoti tavo elgesį, kad tu nematytum, bet visi jie tave visada matytų“. „O ką daryti, kai tiktais keliolika žmonių ar kelios kompanijos kontroliuoja visa tai?“, - klausė jis.

Christopher Wylie


Apie tai, kas pasikeitė po šio tarptautinio skandalo, DELFI kalbasi su Ornela Ramašauskaite, Institute of Trends įkūrėja, KTU docente-praktike, LiMA ir LAVA valdybų nare bei Margarita Valčiuke, Valstybinės duomenų apsaugos inspekcijos Teisės skyriaus patarėja.

DELFI: Ar galite išvardinti esminius pokyčius, užtikrinant vartotojų privačios informacijos saugumą, po 2018 metų „Cambridge Analytica" skandalo?

O. Ramašauskaitė: Taktiniai pokyčiai buvo labai smulkūs. Esminis dalykas - prasidėjusios aktyvios diskusijos apie duomenis ir galią, sukoncentruotą kelių galingųjų rankose. Keičiasi, nors ir labai lėtai, žmonių suvokimas apie atsakingą elgesį medijose ir pačių medijų atsakomybę, simboliškai suskambėjo Sacha Baron Cohen citata „Freedom of speech is not freedom of reach".

M. Valčiukė: Paminėtinas komunikatas, skirtas skaidrios, patikimos ir atskaitingos interneto infrastruktūros stiprinimui. Taip pat Europos Komisija (EK) paskelbė rinkinį priemonių, kuriomis siekiama užtikrinti didesnį internetinės politinės reklamos skaidrumą ir galimybę nustatyti sankcijas už neteisėtą asmens duomenų naudojimą, siekiant daryti tikslinį poveikį Europos rinkimų rezultatams. Šios priemonės akcentuoja pareigą viešinti informaciją apie internetinėms reklaminėms kampanijoms skirtas išlaidas, nurodyti, kuri partija ar politinė grupė remia tą internetinę politinę reklamą, ir paskelbti informaciją apie tikslinius kriterijus, kuriais vadovautasi skleidžiant informaciją piliečiams, taip pat pareigą valdžios institucijoms, politinėms partijoms ir žiniasklaidai imtis priemonių, kad apsaugotų savo tinklus ir informacijos sistemas nuo kibernetinių grėsmių, partijų finansavimo taisyklių sugriežtinimo svarbą, rinkimų metu laikytis BDAR nustatytų pareigų, susijusių su asmens duomenų apsaugos užtikrinimu, taikyti sankcijas subjektams, nesilaikantiems nustatytų reikalavimų.

Vienas iš esminių pokyčių asmens duomenų apsaugoje, nors ir nesąlygotas „Cambridge Analytica“ įvykių, yra 2018 m. gegužės 25 d. įsigaliojęs Bendrasis duomenų apsaugos reglamentas (BDAR), kuris nustato pareigas duomenų valdytojams ir tvarkytojams, taip pat praplėtė priežiūros institucijų įgaliojimus, įskaitant ir susijusius su tyrimų vykdymu ir sankcijų taikymu.

EK išgrynino politinių partijų ir fondų, duomenų analizės įmonių, duomenų tarpininkų ir socialinių tinklų platformų statusus BDAR kontekste ir pareigas, susijusias su ES piliečių asmens duomenų apsauga per rinkimus (ES piliečių duomenų apsauga).

Taip pat verta atkreipti dėmesį į komunikatą dėl atsparumo ir pajėgumų didinimo, kovojant su hibridinėmis grėsmėmis, kuriuo nustatytos sritys, kuriose reikėtų imtis papildomų veiksmų.

DELFI: Kur turėtų būti riba tarp teisėto ir neteisėto vartotojo duomenų rinkimo ir jų panaudojimo rinkimuose?

O. Ramašauskaitė: Lieku prie savo pozicijos: duomenų panaudojimas gali turėti teigiamos įtakos - personalizacija atneša daug laiko taupymo galimybių. Visa esmė - žmonių gebėjimas atsirinkti, kur kokius duomenis pateikti ir kaip vartoti informaciją.

Ornela Ramašauskaitė
Foto: Asmeninio albumo nuotr.


M. Valčiukė: Asmens duomenų tvarkymas apima bet kuriuos tvarkymo veiksmus: rinkimą, įrašymą, rūšiavimą, sisteminimą, saugojimą, adaptavimą, keitimą, išgavą, susipažinimą, naudojimą, atskleidimą persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimą ar sujungimą su kitais duomenimis, apribojimą, ištrynimą arba sunaikinimą. Pabrėžtina, kad asmens duomenys yra tvarkomi teisėtai, jei tai yra daroma laikantis su asmens duomenų apsaugą susijusių principų ir tik esant bent vienai asmens duomenų teisėto tvarkymo sąlygai.

BDAR nustato, kad asmens duomenys turi būti tvarkomi skaidriai, teisėtai, tik teisėtu tikslu, proporcinga apimtimi (tik tiek, kiek būtina tikslui pasiekti), tvarkomi turi būti tik tikslūs duomenys, tvarkomi tik tokį laikotarpį, kokį būtina konkrečiam tikslui pasiekti ir užtikrinant tinkamą jų apsaugą.

Taigi, esminiai atribojimo kriterijai yra nustatyti BDAR straipsniuose. Tuo atveju, jei nėra nei vienos teisėto tvarkymo sąlygos ir (arba) nėra tinkamai užtikrinamas visų BDRA nustatytų principų laikymasis, toks asmens duomenų tvarkymas būtų neteisėtas.

DELFI: Vartotojų bei rinkėjų sekimo problema išties labai aktuali šiais laikais. Skaitmeninės rinkodaros ekspertai, tiriantys vartotojų stebėjimą, žino, kad privačios bendrovės bei politinių konsultacijų kompanijos renka, analizuoja, naudoja ir monetizuoja duomenis, kad galėtų vienaip ar kitaip paveikti gyventojus konkrečiam veiksmui ar nuomonės formavimui, kurie galimai net nežino, kaip jų duomenys yra tvarkomi.

O. Ramašauskaitė: Labai svarbu edukuoti visuomenę - kolektyviai ir pavienius individus - demokratijos, pilietiškumo, logikos ir panašiais klausimais. Blockchain technologija, tikėtina, jau greitai turės teigiamos įtakos duomenų saugumui, bet neįmanoma, kad išspręstų esminę - kritinio mąstymo - problematiką.

Paminėtina, jog Pareto dėsnis veikia, tad tikėtina, kad demokratijos ir rinkimų formos bus priverstos kisti bent minimaliai: jau kalbama apie „liquid democracy“ terminą ir kitas demokratijos formų modifikacijas.

M. Valčiukė: Informuotumo ir vartotojų atsargumo didinimas yra ir turi būti priežiūros institucijų, žiniasklaidos priemonių, interneto platformų ir IT paslaugų teikėjų bendras tikslas. Be priemonių, nurodytų aukščiau, aktualu pabrėžti BDAR duomenų valdytojams nustatytą pareigą informuoti duomenų subjektus apie jų asmens duomenų tvarkymą. Tokiu būdu sudarant duomenų subjektui galimybę įvertinti duomenų valdytojo patikimumą ir užtikrinti savo asmens duomenų kontrolę.

DELFI: Kokios grėsmės ir galimybės vis dar egzistuoja, užtikrinant vartotojų privačios informacijos saugumą? Kaip jos turi būti sprendžiamos?

O. Ramašauskaitė: Šiandien niekas negali atsakyti, kaip turėtų būti sprendžiama vartotojų privačios informacijos sauga: ši problematika yra ir labai sudėtinga, ir, tuo pačiu, ne visiems paranki ieškoti sprendimo. Viena vertus, kalbame apie personalizacijos privalumus, kita vertus - apie Kinijos visuotinės sekimo technologijos grėsmę. Visais atvejais - pirmieji žingsniai yra pačių individų pusėje - būti sąmoningu informacijos vartotoju, tad be investicijų į medijų raštingumą bei kritinį mąstymą pokyčiai neįmanomi.

M. Valčiukė: Rinkimų procese kyla hibridinių grėsmių tikimybė, įskaitant kibernetines atakas, asmens duomenų tvarkymą kitais tikslais nei yra pateikiama informacija duomenų subjektams, taip pat tinkamų apsaugos priemonių netaikymą ar netinkamų jų taikymą. Grėsmės asmens duomenų apsaugai yra visuomet, todėl duomenų valdytojai ir duomenų tvarkytojai visais atvejais turi įvertinti, kokias apsaugos priemones reikalinga taikyti.

Foto: Shutterstock


Šių grėsmių ir galimybių neteisėtam asmens duomenų tvarkymui sprendimo būdas pirmiausia yra duomenų subjektų informuotumo ir atsargumo didinimas. Svarbu pastebėti, kad asmens duomenų apsauga yra ir duomenų subjektų pareiga, t. y. jau pirminiame etape, kai sprendžiama dėl asmens duomenų prieinamumo (pateikimo), duomenų subjektas turėtų įvertinti, kokiam duomenų valdytojui ir kokią informaciją jis suteikia. Šiame kontekste svarbu vertinti ne tik konkretaus duomenų valdytojo (duomenų tvarkytojo) patikimumą, bet ir jo siūlomus įrankius, programėlės, saugyklas ir kt., tokių įrankių veikimui prašomų asmens duomenų apimtį ir kt.

Atitinkamai turi veikti ir duomenų valdytojas, turintis užtikrinti asmens duomenų tvarkymą tinkamais tikslais, pareigą asmens duomenų netvarkyti kitais nei nurodė duomenų subjektui tikslais, rinkti asmens duomenis tik tokia apimtimi, kuri būtina konkrečiu atveju, o taip pat tinkamų apsaugos priemonių pasirinkimą (tiek asmens duomenų perėmimo, neteisėtų prieigų ir kt. kontekste, tiek neteisėto tolimesnio tvarkymo kontekste). Kriterijai, į kuriuos reikia atsižvelgti prieš pradedant tvarkyti asmens duomenis - tai duomenų tvarkymo pobūdis, aprėptis, kontekstas bei tikslai, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms. Tos priemonės prireikus peržiūrimos ir atnaujinamos. Priklausomai nuo aplinkybių, duomenų valdytojams taip pat gali reikti atlikti poveikio duomenų apsaugai vertinimą, kuris taip pat yra vienas iš apsaugos užtikrinimo būdų.

Ne mažiau svarbi grėsmių sprendimo kryptis – priežiūros institucijų veikla, tiek reaguojant į pranešimus apie galimus pažeidimus, tiek nagrinėjant gautus skundus, tiek atliekant duomenų valdytojų (duomenų tvarkytojų) tikrinimus. Kaip pastebėjo EK, tinkamų sankcijų taikymas yra viena iš svarbių priemonių, kovojant su neteisėtu asmens duomenų tvarkymu, įskaitant jų tvarkymą rinkimų metu.

DELFI: Ar sutinkate su teiginiu, kad kuo daugiau technologijų įsileisime į savo gyvenimą, tuo sparčiau nyks ir mūsų privatumas?

O. Ramašauskaitė: Nesutinku. Technologija pati savaime yra niekas, žmonės - tiek tie, kurie jas valdo, tiek tie, kurie jas vartoja, lemia, kaip kis privatumas. Marshall McLuhan dar XX a. 7 deš. kalbėjo apie „karštas" ir „šaltas" medijas - pats laikas pradėti skirti dėmesį aktyviam mąstymui, edukacijai.

M. Valčiukė: Manau, kad toks vertinimas būtų per griežtas. Dėl technologijų naudojimo galinti kilti grėsmė asmens duomenų saugumui nepriklauso nuo to, kiek technologijų iš esmės yra naudojama duomenų valdytojų (duomenų tvarkytojų) veikloje. Todėl privatumo vertinimas turėtų būti atliekamas kitu aspektu. Asmens duomenų (ar privatumo) apsauga priklauso, kaip minėta, tiek nuo duomenų subjektų aktyvumo, vertinant siekiamus naudoti įrankius ar technologijas, tiek nuo konkrečių technologijos (kokios tai technologijos, kam jos skirtos, kam suteikiamos prieigos teisės, kokios įdiegtos šių technologijų saugumo priemonės ir kt.).

Foto: Shutterstock


DELFI: Socialiniai tinklai tapo terpe kultūrinio naratyvo nagrinėjimui, žmonių telkimui ir jų nuomonės formavimui. Stevo Bannono, buvusio vyriausiojo JAV prezidento Donaldo Trumpo stratego ir vienos iš „Cambridge Analytica“ valdybos narių citata puikiai parodo šiandieninę situaciją: „Jei gali pakeisti žmogaus pasaulėžiūrą, politika natūraliai seks paskui“. O kaip pakomentuotumėte šį teiginį: „Vartotojų privatumas jau seniai miręs, o socialinė media laiko ką tik iššautą ginklą“ (Pete'as Cashmore'as, „Mashable“ gen. direktorius)?

O. Ramašauskaitė: Socialinė visuomenės sąranga kito nuo žmogaus atsiradimo - taip pat ir privatumas. Ne per seniausiai vyravo kaimai - privatumo buvo ne ką daugiau. Tad jokių apokalipsių nėra, net jei ir labai norisi poetiškai dramatiškai įvardyti medijų įtaką. Svarstytinas ir pats privatumo terminas: didelė visuomenės dalis ir be surinktų duomenų analitikos yra labai lengvai nuspėjama.

M. Valčiukė: Pakeitimai EK dokumentuose dėl asmens duomenų tvarkymo rinkimų metu, rodo, kad asmens duomenų apsaugos užtikrinimui skiriama vis daugiau dėmesio. Pažymėtina, kad vienas pagrindinių BDAR siekių yra grąžinti žmonėms jų asmens duomenų kontrolę. Taip pat pastebėtina, kad tinkamos asmens duomenų apsaugos užtikrinimas yra ne tik ES, bet ir kitų valstybių akiratyje, žr., pavyzdžiui, Federalinės prekybos komisijos aktą (JAV), Kalifornijos vartotojų privatumo aktą, kt.

Svarbu paminėti ir Europos Tarybos veiklą, siekiant užtikrinti asmens duomenų apsaugą. 2018 m. gegužės 18 d. Europos Tarybos Ministrų Komitetas patvirtino protokolą, kuriuo modernizuota Konvencija dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu. Šiais pakeitimais siekiama išplėsti konvencijos suteikiamos duomenų apsaugos apimtį, sustiprinti ir padidinti jos veiksmingumą.

Tiek socialinės medijos, tiek kiti duomenų valdytojai turi daug pareigų asmens duomenų apsaugos srityje, kurių nevykdymas gali lemti ženklius finansinius nuostolius, didelę žalą reputacijai ar užtraukti kitokią atsakomybę, kai kuriais atvejais net baudžiamąją.

Inovacijų ir technologijų festivalis „LOGIN“ kviečia rezervuoti GEGUŽĖS 28-29 d. ir didžiausioje Baltijos šalyse progreso konferencijoje susipažinti su pasaulio inovatoriais, kūrėjais ir įkvėpėjais. Bilietus galite pirkti jau dabar www.login.lt