Ochrana osobních dat

Podle José van Dijckové stojíme u jistého společenského předělu. Zatímco Jarvis vidí dělení společnosti na industriální, informační, znalostní a učící se, van Dijcková nabízí pohled s užší časovou perspektivou, ale o to možná zajímavější. Počátky internetu až téměř do konce desátých let jsou spojené s něčím, co lze označit jako kulturu konektivity. Internet a jeho služby umožňují lidem se propojovat, spolupracovat, sdílet a vyhledávat informace, pracovat či učit se.

Původní protokoly, na kterých byl postavený internet, žádné zabezpečení neměly (IPv4, FTP, HTTP,…), protože se nepředpokládalo, že by narušení komunikace mohlo být pro někoho zajímavé více než jen jako kanadský žertík. Situace se začala rychle měnit od devadesátých let, kdy se na internetu objevuje velké množství uživatelů a také první silné společnosti, které zde začínají podnikat. Prudký rozvoj první podnikatelské generace na internetu, která se zdála být zcela neotřesitelná, zastavila ale tzv. dot.com bublina – tedy krach a transformace klíčových hráčů okolo roku 2000, který umožnil nástup zcela nových subjektů do internetového prostoru. Jakkoli se to v našem evropském prostoru nemusí zdát být tak silné, velký vliv v posledním desetiletí mají také rychle rostoucí čínské společnosti, které vzhledem ke specifikům svého trhu mohou být rychle podobně významnými hráči, jako je dnes Google či Amazon.

Zde se dostáváme k tomu, co van Dijcková označuje za platformní společnost – po roce 2000 došlo k výrazné transformaci trhu a během deseti let se zde silně etablovaly společnosti, jejichž obchodní portfolio je mimořádně široké – od vývoje umělé inteligence, přes obchod, cloudové služby až po aplikace na podporu podnikání. Tradičně se sem řadí firmy tzv. pětky – Apple, Alphabet, Microsoft, Facebook a Amazon. Dle našeho soudu by sem mělo patřit také IBM. Za platformu je možné považovat takovou firmu, která provozuje online službu, která automatizovaně podporuje toky dat (osobních údajů, financí, dat,…) mezi jednotlivými svými částmi nebo mezi uživateli. Cílem platforem je udržet v nich uživatele co nejdelší dobu s maximální interakcí.

Van Dijcková kyberprostor, ve kterém existuje poměrně omezené množství služeb poskytujících takové platformy, považuje z různých důvodů za problematický a nebezpečný, v českém prostředí bychom mu mohli dát také nálepku totalitní. Prvním problémem je, že tyto platformy nejsou v podstatě nikým a ničím regulované, mají větší moc a vliv na občany než národní státy. Svá data si současně poměrně pečlivě střeží, takže přechod mezi platformami je velice problematický, pokud vůbec možný. Sociálním problémem, na který jsme už také narazili, je, že snaha udržet uživatele co nejdéle v online službě (s maximální mírou interakcí) vede k tomu, že je uzavírán do stále silnějších informačních a sociálních bublin.

Druhá poznámka souvisí s onou mocí – ukazuje se, že velké subjekty, jako je třeba Evropská komise ve vztahu k Alphabet nebo Senát v USA v případě Facebooku a Cambridge Analytica, nejsou tak neomezené, jak se mohlo prismatem poloviny minulého roku ještě zdát. Poslední dvě kauzy lze srovnávat jen s omezeními, na která doplatil Microsoft ve vztahu k EU, která se týkala monopolního postavení na trhu. Jakkoli je tedy právní, ale i subjektivní rovina, slabší, než v případně „lokálně dostupné firmy“, tak nějaký vztah k právu zde nesporně existuje a také velcí hráči podléhají nemalé regulaci.

Specifická jsou pak regulativní opatření ve státech nedemokratických – například Čína či Rusko mají vlastní pokročilé regulativní mechanismy, které často vedou (především ve zmíněné Číně) k mimořádně těsnému sepjetí vládnoucí vrstvy s podnikáním. Uživatel zde musí pečlivě zvažovat, zda mu u služeb provozovaných firmami z daného státu vadí nebo nevadí případné manipulace nebo problematické nakládání s daty.

Zde je třeba mít dvě důležité poznámky – zatímco bubliny je možné například v internetovém vyhledavači narušovat tím, že budeme využívat anonymní režim, v případě sociálních sítí je takový přístup nemožný. Člověk je vržen do nutnosti síť využívat a být ve stále pevněji zformované bublině, nebo síť (a všechny její benefity) nijak nekonzumovat. Možná se v budoucnu setkáme s tím, že uživatelé budou mít své softwarové agenty na sociálních sítích, které budou mít nastavené na odlišný diskurs než svůj vlastní, aby se jednou za čas mohli podívat na to, jak problémy vidí jiná strana. V současné době je ale možné říci, že rostoucí sociální diskontinuita či dokonce jistý tektonický rozpad společnosti spojený s existencí názorově homogenních ruptur je významným společenským tématem.

Na tomto místě bychom se rádi zaměřili na dva fenomény, které jsou v oblasti ochrany osobních dat v kontextu internetu zajímavé a mají těsný vztah k tomu, jak o digitálních kompetencích uvažujeme. Prvním tématem, které je nesporně aktuální, je otázka po GDPR, tedy po hledání určitých regulativ, které se týkají toho, kdo a jak může s osobními údaji nakládat. Rádi bychom se na toto nařízení podívali nejen technicky, ale také ekonomicky a především sociologicky.

Druhé téma s tím těsně souvisí a týká se sociálních sítí. Nemáme v úmyslu procházet jednotlivé sítě, ale rádi bychom zmínili některé aspekty jejich fungování a nakládání s osobními údaji, což se k tématu bezpečnosti těsně vztahuje.

Obecné nařízení o ochraně osobních údajů (anglicky General Data Protection Regulation neboli GDPR) je nařízení, kterým se musí řídit všechny subjekty, které zpracovávají osobní údaje na území EU. Není nyní pro nás důležité zabíhat do detailů, ale rádi bychom poukázali na některé principy, se kterými směrnice pracuje. Jakkoli byla médii vnímaná jako zbytečné byrokratické nařízení, které pracuje se zcela zbytečnou regulativou, je třeba říci, že myšlenky, na kterých stojí, není možné snadno označit za zbytečné, formalistické nebo čistě úřední, ale jejich pojmenování a snaha o legislativní ukotvení je zřejmě pozitivním konceptem.

Současně je nutné říci, že také strukturou a konstrukcí sankcí za porušení je patrné, že cílí primárně na korporace a velké firmy, tedy instituce, které bychom mohli zařadit do velké pětky, (ale také třeba na další sociální sítě, velké čínské firmy atp.) o které jsme psali výše. Jde tedy skutečně o jistou reakci na existenci platformní společnosti, kterou EU určitým způsobem musí reflektovat.

První klíčovou myšlenkou je, že data patří uživateli. Neexistuje situace, ve které by data, která se vztahují ke konkrétní živé osobě, náležela někomu jinému, než jí. Existují případy, kdy správu dat ukládá stát (například základní rejstříky, lékařská evidence), ale to neznamená, že by majitelem dat přestal být člověk a že by neměl mít právo vědět, kdo, kdy a za jakým účelem s daty nakládá. Zde je možné říci, že mnoho věcí, které řešila profesní etika (tedy například, že lékař si nečte karty pacientů, pokud k tomu nemá medicínský důvod), je nyní formálně ukotveno.

Na to navazuje princip svobodného souhlasu – nikdo nesmí být nucen (přímo ani nepřímo) k tomu, aby souhlas se zpracováním údajů poskytl. Nemůže tak docházet k situacím, kdy neposkytnutí souhlasu bude mít například za následek nemožnost dokončení studia nebo něco takového. Naopak u úkonů, které zpracování osobních údajů musí dělat ze zákona nebo mají v sobě explicitně obsaženu nutnost je zpracovávat na základě přání uživatele (například e-shop musí zpracovat údaje o jménu, adrese, zaplacení objednávky, kterou daný člověk chce, a nemůže je nezpracovat, pokud má plnit svoji primární funkci), souhlas není třeba speciálně potvrzovat.

Souhlas je vždy poskytován výčtově – musí být jasné, k čemu se explicitně vztahuje, nestačí tedy obecná proklamace, ale je nutné to, co z medicíny známe pod pojmem „informovaný souhlas“ – tedy srozumitelná a konkrétní informace, se kterou může a nemusí uživatel souhlasit. Důraz je kladen na svobodné rozhodnutí na základě informace, nikoli na čistý legalismus. Prakticky problematická je ona srozumitelnost, u které bude očekávané, že text bude určený zřejmě nějakému „modelovému uživateli“, což ale například u sociálních sítí není právník, ale řekněme středoškolsky vzdělaný člověk.

V neposlední řadě má rozměr časové ohraničenosti – souhlas nelze dát na věky, ale vždy jen na určitý časový úsek. Uživatel také má právo souhlas odvolat. Má mít možnost bez zbytečných překážek prohlédnout všechny své osobní údaje u dané služby a případně požadovat jejich skartaci. S odvoláním souhlasu se zpracováním musí následovat – opět bez zbytečného odkladu – skartace dat. Zde se opět aplikuje princip, že majitel údajů je člověk, který je službě svěřuje, nikoli provozovatel služby samotné.

Do jaké míry bude nařízení efektivní a funkční se ukáže až s prvními rozhodnutími o případných sankcích, ale domníváme se, že EU zde pokračuje v narativu reflexe informační společnosti jako společnosti občanské, ve které je třeba jedince chránit a dát mu maximální pocit bezpečí. Již vícekrát citovaná van Dijcková k tomu dodává, že s platformními společnostmi je třeba jednat, regulovat je, demokratizovat jejich fungování. Klíčový je také apel na uživatele, kteří by měli preferovat obecné hodnoty před aktuálním pohodlím. S tímto tvrzením snad lze souhlasit, je jádrem velké části etických systémů a paradigmat, byť je otázka, do jaké míry bude prakticky naplnitelné.

Sociální sítě, jak již název naznačuje, na myšlence sdílení osobních údajů do velké míry stojí. YouTubeři dávají pohlédnout do své každodennosti, podobně se chovají také celebrity z Instagramu. Jakkoli se přitom říká, že sociální sítě způsobily jisté snížení sociální stratifikace, například tím, že si lidé více tykají (anebo do češtiny přešel trend vykání s křestním jménem), tak paradoxně tzv. influencery vytváří. Může jít o osoby všeobecné známé nebo o typické celebrity, které vytvořila až konkrétní sociální síť. Jde o mimořádně důležitý fenomén, který je třeba reflektovat při širším vnímání sociálních sítí – přesvědčení pragmatických filosofů či konektivistů, že společnost se bude demokratizovat a zplošťovat, zde neplatí. Je zde ale šance stát se oním influencerem a právě to je pro mnoho lidí motivací k tomu, aby se na sociálních sítích pohybovali a sdíleli nejrůznější informace.

Ať již influencery označíme jakkoli, byla by chyba je vidět pouze jako produkt sociální sítě – tedy že v jejím rámci byli jistou strukturou sociálních interakcí utvořeny. Mimořádně důležitá je totiž také druhá stránka mince – právě oni jsou pro fungování sociálních sítí mimořádně důležití. Jsou atraktivní, sdílejí obsah, mají velké množství fanoušků. Sociální sítě se tedy pochopitelně snaží vytvářet takové algoritmy pracující s obsahem, které budou k uživatelské nerovnosti přispívat. A to bez ohledu na skutečnost, že půjde o influencery s velkým globálním dopadem či jen „lokální celebrity“, které jsou důležité pro menší skupinu uživatelů.

Jazykově je pak paradoxní, že sousloví sociální síť má dva významy – jednak jde o sociální služby, které usilují o integraci osob (ať již zasažených nějakým problémem či neštěstím, znevýhodněných či ostrakizovaných) do společnosti a nástroje, které k inklusi nijak nepřispívají, a naopak budují snadno odlišitelné influencery i v relativně rovnovážné společnosti, nové celebrity a sociální bubliny, o kterých jsme již psali.

Sociální sítě využívají osobní údaje svých uživatelů velice různorodým způsobem, který se pochopitelně liší tím, co daná služba primárně zajišťuje. Zřejmě nejnázornějším příkladem je GraphSearch od Facebooku. Uživatelé a jejich osobní data jsou body v grafu a jejich sociální interakce, společné zájmy a další společné údaje jsou hranami grafu. Pomocí vhodně zvolených algoritmů je pak možné efektivně doporučovat obsah, který bude dobře korespondovat s přesvědčením dané osoby, stejně jako upozornit na to, že například konkrétní restaurace by se mohla člověku líbit, protože ji oceňují také podobně smýšlející (v konkrétních relevantních kategoriích) přátelé. GraphSearch se přitom nemusí opírat jen o údaje o přátelích dané osoby, ale o celý kontext daný mimořádnou hustotou a velikostí celé sítě.

Na tomto místě je možné zmínit společnost Cambridge Analytica, která se snažila analyzovat data uživatelů Facebooku a získávat z nich co nejvíce informací. Známé jsou zprávy o tom, že pomocí relativně malého množství realizovaných interakcí (přečtení, likes, sdílení) lze odhadnout s dobrou přesností politické přesvědčení dané osoby, její sexuální orientaci či náboženské vyznání. Klíčové pro různé analýzy je také to, jací jsou přátelé dané osoby, případně přátelé přátel. Facebook k těmto a podobným datům poskytoval poměrně snadný přístup přes API, což umožňovalo firmám nabízet mimořádně efektivní reklamy, které mohly oslovit přesně určený segment uživatelů.