Nowe rozporządzenie unijne, Digital Services Act, zakaże platformom internetowym wyłudzania zgody użytkowników na ich śledzenie - mówi Katarzyna Szymielewicz, prezeska Fundacji Panoptykon.
Parlament Europejski przegłosował Digital Services Act (DSA), czyli rozporządzenie, które ma określić na nowo prawa użytkowników w internecie. Co dla pani jest najważniejsze w tej regulacji?
Wyraźny zakaz wyłudzania zgody na reklamę śledzącą użytkowników. DSA, w wersji przegłosowanej przez PE, zakazuje tego typu złośliwych praktyk, które znamy z komercyjnych serwisów internetowych. Mają za zadanie nakłonić nas, użytkowników, do podjęcia działań, które wcale nie są dla nas korzystne. A za to opłacają się samym serwisom i reklamodawcom.
Czyli?
Weźmy pop-upy, które atakują nas, gdy chcemy wejść na stronę internetową. Są tak zaprojektowane, że większość ludzi odgania się od nich, klikając w pole „zgadzam się”, choć tak naprawdę nie wiedzą nawet, na co się godzą. Ale serwisom internetowym to wystarcza: interpretują owo zirytowane kliknięcie jako zgodę na śledzenie przez dziesiątki czy nawet setki zewnętrznych firm, po to, by dostosować przekaz reklamowy. Chcę podkreślić, że w tym polowaniu na kliknięcie użytkownika nie chodzi o wyłudzenie zgody na reklamę serwowaną przez stronę, na której wyświetla się pop-up. To byłby o wiele mniejszy problem. Stawką jest możliwość śledzenia nas przez setki nieznanych nam firm, które później spekulują naszymi danymi na giełdach reklamowych. Nowe regulacje uderzą więc nie tyle w same serwisy internetowe, co w tych wszystkich spekulantów i pośredników z branży reklamy digitalowej. Z tymi firmami nie tylko nie mamy żadnych bezpośrednich relacji - najczęściej nie wiemy nawet o ich istnieniu!
Co konkretnie ma być zakazane? W jaki sposób mają być pozyskiwane zgody choćby na cookies?
W sposób nieagresywny, przejrzysty i zgodny z RODO. Na przykład tak: wchodząc po raz pierwszy na stronę internetową, dostaję czytelny komunikat dotyczący reklamy i śledzenia mnie w tym celu. Wyrażam na to zgodę albo nie. Jeśli odmawiam, ta strona nie ma prawa mnie nagabywać do zmiany zdania przy kolejnych wizytach, a na pewno nie codziennie. Może raz na kwartał, może raz na pół roku - taki standard zapewne wyklaruje się w orzecznictwie.
Inny przykład dobrego rozwiązania daje firma Apple. Ich tablety i smartfony aktywnie zachęcają swoich użytkowników, żeby - w momencie instalowania oprogramowania, zaraz po wyjęciu urządzenia z pudełka - jasno określili swoje preferencje. Czy chcesz udostępniać aplikacjom lokalizację lub inne dane? Czy zgadzasz się na profilowaną reklamę? Takie preferencje wystarczy ustawić raz, dla konkretnego urządzenia. Potem to już system operacyjny Apple pilnuje, żeby wszystkie pobierane aplikacje i wyświetlane na tym urządzeniu strony internetowe przestrzegały ustalonych reguł.
Niektóre dane w ogóle nie będą mogły być wykorzystywane.
Tak, chodzi przede wszystkim o dane dzieci. DSA, w wersji przegłosowanej przez PE, zakazuje targetowania ich w oparciu na danych osobowych. W tym miejscu powinniśmy rozróżnić reklamę wyświetlaną na podstawie danych pochodzących ze śledzenia użytkownika od reklamy kontekstowej. Ta druga forma reklamy pozostanie w pełni legalna i nie będzie wymagać żadnych dodatkowych zgód. A więc będzie można wyświetlać reklamy kontekstowe, również skierowane do dzieci - na przykład na kanale YouTube z bajkami. To rozróżnienie, w mojej ocenie, ma sens. Chodzi o to, by usunąć komercyjną motywację do śledzenia dzieci. I ochronić tych najbardziej podatnych na manipulację użytkowników przed treściami sponsorowanymi, żerującymi na ich słabościach. Na wiedzy, jaką portale internetowe wyciągają z obserwowania tego, na co klikają dzieci i co je wciąga głębiej w sieć.
A dorośli?
Dorośli mają być chronieni tylko przed takim targetowaniem, które wykorzystuje ich dane wrażliwe. Na przykład wiedzę o naszych chorobach, poglądach politycznych, preferencjach seksualnych. A ponieważ rzadko sami ogłaszamy takie cechy w internecie, DSA doprecyzowuje, że chodzi również o dane wrażliwe wyinterpretowane z obserwacji naszego zachowania - tego, co wpisujemy do wyszukiwarki internetowej i na jakie strony zaglądamy. Po aferze z Cambridge Analytica i wycieku wewnętrznych raportów Facebooka, który zawdzięczamy Frances Haugen, wiemy już, jak wnikliwie tego typu platformy analizują nasze zachowanie i że nie wahają się wykorzystywać zdobytej w ten sposób wiedzy do manipulowania naszymi wyborami, czy to konsumenckimi czy politycznymi.
Panoptykon zabiegał o to, by w DSA całkowicie zabronić wykorzystywania danych pochodzących z obserwacji naszego zachowania w celach reklamowych. Ta poprawka jednak nie przeszła.
Proponowaliśmy takie rozwiązanie, żeby ochronić ludzkie słabości przed ich bezpardonowym wykorzystaniem w pogoni za zyskiem reklamowym. Rozróżnienie na dane wrażliwe i niewrażliwe zestarzało się i nie przystaje do tego, jak nas widzą i oceniają algorytmy. Na pozór niewinne obserwacje mogą - w odpowiednim kontekście i skali - odsłaniać cechy, które sami uważamy za wrażliwe, nawet jeśli prawo ich tak nie klasyfikuje. Nie muszę cierpieć na żadną chorobę, żeby nie życzyć sobie sponsorowanych treści związanych z pandemią czy innymi zdrowotnymi plagami. Są ludzie, którym ekspozycja na tego typu treści szkodzi na psychikę. Dla jednego użytkownika sieci drażliwy lub niebezpiecznie wciągający będzie seks, dla drugiego jedzenie, a dla trzeciego - zakupy. Każdą taką słabość platformy internetowe i płacący im reklamodawcy bez skrupułów wykorzystują. I to się powinno zmienić.
Odwołanie się w DSA do starej definicji danych wrażliwych z RODO to kompromis, do którego udało się przekonać większość eurodeputowanych. Nie jestem fanką tego rozwiązania, choć to i tak zwycięstwo, zważywszy na to, z jakiego punktu startowały parlamentarne negocjacje.
Dodatkowym zabezpieczeniem w DSA, które ma chronić użytkowników przed wymuszaniem zgody na śledzącą reklamę, jest zakaz dyskryminowania tych, którzy takiej zgody odmówili. Czy nie uderzy to w bezpłatne serwisy utrzymujące się wyłącznie z reklam?
Nie. Po pierwsze dlatego, że ten konkretny zakaz ma obowiązywać tylko platformy internetowe. Zwykłych stron internetowych, np. gazet internetowych, nie obejmie. Po drugie, musimy w tej dyskusji rozróżnić reklamę targetowaną (np. ze względu na kontekst, w jakim się wyświetla) i reklamę śledzącą, której dotyczą ograniczenia zawarte w DSA. Na tej ostatniej zyskują przede wszystkim pośrednicy: szemrane firmy ukryte na zapleczu portali internetowych, które nas śledzą po to, by później spekulować profilami marketingowymi. Do wydawcy internetowego - czyli tego, kto na koniec wyświetla reklamę - trafia niewielki ułamek kwoty, którą płaci reklamodawca. Lwią część zysku zabierają wspomniani pośrednicy, mimo że wskaźniki skuteczności wcale na ich rzecz nie przemawiają. Coraz więcej mówi się o bańce spekulacyjnej w reklamie digitalowej, która została napompowana do granic rozsądku i musi pęknąć.
Powoli buntują się wydawcy - uzależnieni od danych zbieranych przez duopol Facebook/Google - i sami reklamodawcy, bo dociera do nich, że płacą krocie za reklamę, która co prawda obiecuje trafność, ale w rzeczywistości często pudłuje. Niezależne badania mówią o ogromnej skali „fejkowych” kliknięć w reklamy, napędzanych przez boty, przez które reklamodawcy tracą między 30 a 60 mld dol. rocznie.
DSA ustanawia też nowe reguły związane ze zgłaszaniem i usuwaniem nielegalnych treści. Tymczasem w Polsce to samo ma regulować ustawa o wolności słowa w mediach społecznościowych, której projekt przygotowało Ministerstwo Sprawiedliwości. Czy te dwa akty uda się pogodzić?
Mam nadzieję, że MS wsłucha się w głosy krytyki i porzuci ten projekt. Po pierwsze, naprawdę nie ma sensu regulować polskim prawem tego, co o wiele skuteczniej - bo na skalę kontynentu - może zrobić DSA. Po drugie, w zakresie, w którym oba akty prawne się nie pokrywają, ustawa Zbigniewa Ziobry budzi bardzo poważne wątpliwości. I to nie tylko ze względu na upolitycznienie Rady Wolności Słowa, czyli ciała, które miałoby rozstrzygać spory z portalami społecznościowymi. Przede wszystkim dlatego, że ten projekt - nakładając na administratorów stron internetowych obowiązek retencji danych użytkowników i udostępniania ich służbom - wprowadza tylnymi drzwiami mechanizmy służące inwigilacji.
Jakie rozwiązania w zakresie usuwania nielegalnych treści wprowadza DSA?
Przede wszystkim konkretne i szybkie procedury odwoławcze dla użytkowników, którzy czują się niesprawiedliwie zablokowani przez platformy, tak aby mogli oni skutecznie kwestionować te decyzje. W pierwszej kolejności byłoby to możliwe w ramach wewnętrznego mechanizmu odwoławczego, który dla swoich użytkowników będą musiały stworzyć platformy. Na kolejnym etapie użytkownik, niezadowolony z ostatecznej decyzji platformy, ma mieć możliwość zwrócić się o jej zweryfikowanie do niezależnego zewnętrznego organu. Ponieważ w tych postępowaniach liczy się czas, w DSA zaproponowano powołanie w tym celu specjalnych pozasądowych organów, które mają sprawnie rozpoznawać takie sprawy. Przewidziano jednak również możliwość odwołania się do zwykłego sądu. Ten mechanizm ma zapobiegać arbitralnemu usuwaniu treści i odcinaniu, często nagle i bez wyjaśnień, całych kont, czego niedawno doświadczyła Konfederacja, a przed nią wiele innych grup i organizacji, od lewej do prawej strony.
Jak mają wyglądać te niezależne organy? Spytam przewrotnie - czy w Polsce mogłaby to być proponowana przez MS Rada Wolności Słowa?
Moim zdaniem nie, bo tak zaprojektowany organ nie przystaje do koncepcji niezależnego arbitra. Przede wszystkim DSA nie zakłada państwowego monopolu na rozstrzyganie sporów. Chodzi o to, by sam użytkownik mógł wybrać arbitra, którego darzy zaufaniem co do bezstronności. W założeniu DSA takie organy pozasądowe mają tworzyć nie tylko organy publiczne, ale głównie prywatne instytucje, które będą musiały spełnić określone w rozporządzeniu wymagania i poddać się odpowiedniej procedurze weryfikacji. To mogłoby być, na przykład, ciało działające przy instytucji naukowej, izbie gospodarczej albo - jeszcze lepiej - utworzone przy porozumieniu kilku izb. Podstawowym warunkiem dla takich organów będzie niezależność biznesowa od firm internetowych.
Poza tym zgodnie z DSA taki organ musi działać w sposób przejrzysty i z zachowaniem sprawiedliwości proceduralnej. A tymczasem postępowania przed RWS mają być tajne, a kryteria oceny spraw nieprecyzyjne. Nie ma też obowiązku publikacji wydawanych decyzji czy nawet przygotowywania okresowych sprawozdań z działalności rady. Jest więc ryzyko, że taki organ będzie działał w sposób mocno uznaniowy, zapewniając w efekcie ochronę „wolności słowa” wyłącznie wybranym środowiskom i poglądom. Jest to więc zupełnie inna filozofia i kultura prawna niż ta, na której opierają się rozwiązania zaproponowane w DSA.
Rozmawiał Sławomir Wikariak