Норвежець Мартін Гундерсен вирішив провести невеликий експеримент і перевірити, які дані про нього мають власники мобільних додатків, встановлених на його телефон. Протягом року він всюди ходив зі своїм смартфоном, а потім подав у компанію Venntel, що займається аналізом даних, запит на копію інформації про себе. Він зробив це, посилаючись на норми Регламенту про захист даних (General Data Protection Regulation, GDPR), який діє щодо даних жителів Євросоюзу. У відповідь журналіст отримав інформацію про те, де він був понад 75 тисяч разів протягом останніх пів року. Ця інформація дозволила відстежити на карті кожен крок Мартіна. Хоча в документі, який йому надали у Venntel, не було телефонних номерів чи інших ідентифікаторів, користувача можна було доволі легко деанонімізувати за цими даними, наприклад, на підставі його частих відвідин лише двох місць — дому та робочого офісу. У листі компанія Venntel додала, що ділиться цими даними зі сторонніми клієнтами, які можуть використовувати їх у цілях національної безпеки, проте не зазначила їх точних назв. При цьому в жодній угоді щодо конфіденційності жодного з мобільних додатків, встановлених на смартфоні Мартіна, компанія Venntel не фігурувала.
Як виявилось згодом, Venntel отримувала інформацію від материнської компанії Gravy Analytics — брокера даних, який збирає інформацію для покращення таргетингу. Та, своєю чергою, отримала дані від словацьких розробників низки популярних мобільних додатків із компанії Sygic. Її додатки лише попросили дозвіл на «персоналізацію реклами», хоча натомість фактично продали дані Мартіна третім сторонам. Подальше дослідження кругообігу своїх даних привело журналіста до компаній із Франції та Фінляндії. А його історія довела, що нова норма GDPR так і залишилась формальністю. Натомість зрозуміти, кому належать дані користувачів і хто має до них доступ, практично неможливо.
Цифровий слід
Зрозуміти якщо не те, кому належить інформація користувачів, то принаймні те, які дані є у компаній — власників онлайн-сервісів, час від часу намагаються і журналісти, і пересічні користувачі інтернету.
Читайте також: Цифрові падіння та злети. Як пандемія вплинула на ІТ-ринок
Журналістка з Франції Жюдіт Дюпортель подала запит у сервіс знайомств Tinder із проханням показати, якими її даними цей сервіс володіє. У відповідь Жюдіт отримала архів із 800 сторінок. Він містив всі 1700 повідомлень, надісланих нею через Tinder протягом п’яти років, а ще — лайки у фейсбуці, фотографії з інстаграму, навіть видалені, та геолокацію, тобто місця, де вона фізично перебувала.
Такі історії, з одного боку, викликають подив — але лише стосовно обсягів даних пересічних користувачів, які зберігаються в приватних компаніях. Хоча самим фактом збереження цієї інформації уже нікого не здивуєш. Ба більше, багато великих компаній в спеціальних розділах профайлів користувачів пропонують їм переглянути, яку інформацію вони агрегують, а часом навіть — як вони її використовують. Такі розділи в налаштуваннях профайлів були давно, проте на них зазвичай звертали мало уваги, і більшість користувачів не цікавилась, які дані зберігає компанія про них. Проте після історії з Cambridge Analytica про використання даних фейсбук-профайлів у політичній рекламі ці розділи стали затребуваними серед пересічних громадян. Тоді ж, до прикладу, компанія Facebook дозволила завантажувати архів інформації користувачів, які вона зберігає.
Після запуску цієї функції в медіапросторі з’явилось багато публікацій від журналістів, здивованих обсягами та деталізацією цих даних. Із часом такий самий архів стало можливо завантажити і для інстаграму, а інтерес до цієї теми поступово зійшов нанівець. Проте пересічні користувачі, які все ж цікавляться тим, які дані зберігають про них техногіганти, зазвичай бувають здивовані не менше авторів публікацій про ці функції. Адже і Facebook, і Instagram зберігають не лише історію всіх листувань, взаємодій у месенджерах та коментарях, а й навіть видалені фотографії та повідомлення.
Іншими словами, обсяги інформації, якими володіють і які використовують у власних цілях сучасні онлайн-сервіси, величезні. При цьому постає слушне запитання: а чи належать ці дані самим їхнім власникам — користувачам, і які у цих користувачів є права щодо них?
Угода «за» чи «проти» користувача?
Інформація про те, як онлайн-сервіс взаємодіє з даними, міститься в угоді з користувачем. Це документ під назвою «Term of service», який — теоретично — повинен прочитати кожен користувач сервісу, а після цього прийняти його умови та погодитись із ними. Проте часто ці угоди бувають довгими та заплутаними, тому переважна більшість користувачів приймає їх машинально, не читаючи.
Знаючи це, час від часу онлайн-сервіси проводять чи то веселі, чи то жорстокі експерименти, додаючи дивні пункти в угоди з користувачами. Наприклад, британський провайдер Purple в умовах використання публічного WiFi передбачив зобов’язання виконувати суспільні роботи для всіх користувачів цього сервісу. А магазин Gamestation 1 квітня доповнив угоду з користувачем пунктом про продаж безсмертної душі — клієнти, які цього дня зробили замовлення, надали дозвіл переслідувати їхню душу відтоді та довіку.
Читайте також: Die Welt: Професії майбутнього
Є в таких угодах і пояснення реального стану речей. До прикладу, ті, хто купили смарт-телевізори Samsung, з угоди з користувачем можуть дізнатися, що він прослуховуватиме та записуватиме їхні розмови і передаватиме ці записи третім особам. Відмовитись від цієї опції, звісно, можна, але тоді доведеться викинути телевізор або не вмикати його. По суті, у користувача немає вибору, особливо якщо він уже заплатив за сервіс чи ґаджет. Не можна не погодитись із окремими пунктами угоди з користувачем або прийняти її вибірково. Цей документ — по суті, інформування з боку компанії про те, на що вона має право щодо даних і пристроїв користувача, і в ньому майже не йдеться про права самих користувачів.
Журналісти американського видання The New York Times проаналізували близько 150 угод із користувачами та намагались з’ясувати, які з них є найдовшими та найскладнішими. Як виявилось, для прочитання деяких угод (наприклад, сервісу Airbnb) потрібно до 45 хвилин, і багато з них переобтяжені юридичною термінологією та заскладні для розуміння для пересічної людини.
Чи не найбільш скандальна історія, пов’язана з угодою з користувачами, сталася вже на початку 2020 року. В першій половині січня користувачі почали масово відмовлятися від месенджера WhatsApp та шукати альтернативу. Водночас інші мобільні додатки, серед яких проєкт Павла Дурова Telegram та визнаний лідер серед захищених месенджерів Signal, пережили бум завантажень від колишніх користувачів Facebook. Річ у тім, що Facebook та WhatsApp змінили угоду з користувачами. Раніше компанія повідомляла користувачам WhatsApp, що їхні дані передаються Facebook, і ті могли відмовитись від цього. Натомість у новій угоді, яка почне діяти 8 лютого 2021 року, йдеться про те, що відмовитись від передавання даних користувачів WhatsApp материнській компанії неможливо, і користувачі повинні висловити згоду з тим, що це правило їм зрозуміле. Хто не зробить цього, буде позбавлений можливості користуватись месенджером.
Проте навіть за умови, що користувач відмовиться від WhatsApp до 8 лютого, його дані зберігатимуться в базах даних сервісу деякий час, і впливати на цей процес практично неможливо. Спробою врегулювати цю вакханалію навколо даних користувачів було запровадження GDPR. Проте, як показують реальні історії звичайних людей, для них це практично нічого не змінило. Саме тому цей документ часто називають провальним, хоча він став хоча б спробою навести лад у взаємовідносинах користувачів-власників даних та компаній, яким вони ці дані надають.
Водночас скандальна історія з WhatsApp щодо зміни користувацької угоди не стосується жителів країн ЄС — про це в компанії чітко повідомили, коментуючи зміни. А це можна вважати умовною перемогою GDPR.
Імовірно, від GDPR чекали швидких змін правил взаємодії з даними користувачів. Проте стало зрозуміло, що ця сфера така складна і багатогранна, і, що найголовніше — так сильно змінюється щороку, що одному-єдиному документу, який, до речі, розроблявся не один рік, не під силу змінити ситуацію на ринку користувацької інформації.
Читайте також: Чатбот vs терапевт
Між тим, однією з вимог GDPR було спрощення угод із користувачами. І, як показав аналіз експертів The New York Times, деякі компанії, як-от Google, таки спростили свої документи. Водночас користувацька угода самого The New York Times потребує понад 20 хвилин на прочитання, а її рівень складності — вищий за середній.
Хто власник?
Ще одна проблема, лише частково врегульована в онлайн-просторі, — питання про те, кому належить контент, створений користувачами. Web 2.0, концепції мережі, в якій велика частина контенту може створюватися будь-ким, уже понад 10 років. Водночас багато питань щодо прав на цей контент та його збереження залишаються відкритими. Історія з блокуванням акаунтів Дональда Трампа на початку січня частково демонструє цю проблему.
Соціальні мережі Twitter, Facebook та Instagram заблокували акаунти 45-го президента США в зв’язку з подіями, які відбулися на початку року біля Капітолію. Цьому передувало тривале протистояння між Трампом та адміністраціями цих сервісів: він писав відверто брехливі або маніпулятивні повідомлення, а соцмережі додавали до них помітки щодо маніпулятивності чи видаляли їх. Це тривало доволі довго, і виглядає так, що історія зі штурмом Капітолію стала останньою краплею, через яку терпець соціальних мереж урвався. Деплатформінг Трампа (саме так назвали це явище американські техножурналісти) викликав жваві обговорення щодо свободи слова, влади соціальних мереж та відповідальності за їхні рішення. Проте на цю історію можна поглянути з іншого боку — якщо акаунт Трампа у фейсбуці містить старі повідомлення, опубліковані до 6 січня, то контент 45-го президента у твіттері наразі недоступний. Водночас ці дописи є об’єктом суспільного інтересу і були би цікавими для вивчення і для фахівців з комунікацій, і для політтехнологів, антропологів та істориків. Своїм рішенням компанія Twitter не лише обмежила доступ до дописів президента США, а й фактично присвоїла весь створений ним контент. Його частково можна переглянути за допомогою сервісу WayBackMachine — так званого архіву інтернету, який зберігає окремі копії веб-сторінок. Але цей сервіс не дуже зручний, він містить уривчасті дані і в ньому не працює пошук. Останнє свідчить про те, що цей контент можна вважати втраченим — і не лише для інших користувачів, а й для його автора.
Практично так само вчинила і компанія Facebook, заблокувавши і видаливши на початку 2019 року найбільшу львівську спільноту «Варта1» (див. «Диктат монстрів», Тиждень № 45/2019). Компанія фактично присвоїла права на контент, який створювався не один рік руками тисяч користувачів.
Читайте також: Штучний інтелект: заявки на лідерство
Право соціальних платформ на видалення контенту, опублікованого на їхніх сторінках, закріплене в сумнозвісних угодах із користувачем. Проте, довіряючи свій контент соціальній платформі, навряд чи хтось готується до ситуації, коли дописи та фото щезнуть згідно з рішенням одного чи навіть декількох модераторів, які керуються правилами роботи приватної компанії.
Заробітки на даних
Впорядкування права на інформацію користувачів — це лише одна з проблем, пов’язаних із економікою даних. Дані користувачів є необхідним елементом роботи та розвитку багатьох бізнесів. Та-таки Facebook не могла б заробляти, якби не володіла величезними масивами користувацьких даних та не вміла продавати їх рекламодавцям. На основі інформації користувачів вчаться сервіси розпізнавання облич, програми для генерації усного мовлення (до прикладу, всім відома Siri), сервіси підбору одягу, прогнозування дорожніх заторів, завдяки ним працюють рекомендаційні сервіси. За великим рахунком, уся індустрія цифрової реклами побудована на досконалому знанні даних користувачів. Навіть звичайні онлайн-кінотеатри чи інтернет-магазини в наш час не можуть працювати без інформації про своїх відвідувачів. Саме тому дані називають новою нафтою для економіки XXI століття. Проте ті, хто використовує цю нафту, нічого не сплачують її власникам — кінцевим користувачам, які створюють контент в інтернеті чи надають доступ до своїх смартфонів, щоб передати дані про геолокацію, улюблені фільми чи ресторани. В кращому разі натомість користувачі можуть отримати безкоштовні сервіси чи додатки, які теж використовуватимуть їхні дані для покращення власних сервісів чи продажу третім сторонам.
За великим рахунком, цей обмін є так само нерівнозначним, як колись була купівля острова Мангеттен у корінних жителів за пляшку рому, намисто та інші дрібниці.
Поведінковий залишок
Економіка даних у сфері взаємодії з даними користувачів породила нове поняття — «поведінковий залишок». Так називають інформацію користувачів, яку онлайн-сервіси збирають та обробляють, проте не використовують за прямим призначенням.
Цей залишок виникає через те, що онлайн-сервіси чи мобільні додатки збирають набагато більше даних, ніж їм необхідно для покращення своїх послуг. До прикладу, програма — прогноз погоди може просити доступ до камери користувача, а калькулятор — доступ до мікрофону чи геолокації. Для виконання своїх функцій цим додаткам така інформація не потрібна. Проте коли користувач надасть доступ до цих даних, виникне ситуація поведінкового залишку. При цьому компанія-розробник зможе продати ці дані третій стороні та заробити на них.
Однією з перших монетизувати поведінковий залишок навчилась компанія Google, яка збирала багато даних про користувачів своєї пошукової системи. Частина була потрібна для покращення пошуку, а частина стала основою монетизації Google за рахунок реклами. По суті, рекламодавці купували не лише місце в пошуковій видачі чи на мережі сайтів із встановленими Google-блоками реклами, але й доступ до даних користувачів, до їхніх інтересів, прогнозів щодо їхньої поведінки та вподобань.
Цифрові дивіденди
Невпорядкованість взаємин між власниками інформації та компаніями, які її використовують, породили багато ідей щодо того, як ці відносини впорядковувати, а саме — як користувачам потрапити в ланцюжок творення додаткової вартості, який починається з їхніх даних.
Читайте також: Номофобія та смомбі
До прикладу, політик і колишній кандидат в президенти США Ендрю Янг ще минулого року говорив про те, що інтернет-компанії повинні платити за дані користувачів. Свою пропозицію він аргументував тим, що без цієї інформації інтернет-бізнес не зміг би працювати, а гроші за це користувачі не отримують. Саме він вперше заговорив про виплату так званих цифрових дивідендів, порівнюючи це з рентою за надра. Янг навіть започаткував проєкт під назвою Data Dividend Project, метою якого є зміна концептуальних принципів взаємодії між технологічними компаніями та користувачами.
Ендрю Янг не єдиний просуває ці ідеї. Певною їх варіацією можна вважати стартапи, які пропонують користувачам продавати свої дані (Datacoup, Datacy). А в Нідерландах навіть з’явилась цифрова профспілка Datavakbond, представники якої планують домогтися від техногігантів отримання цифрових дивідендів.
Інноваційна модель даних
Ще однією ідеєю, спрямованою на те, щоби впорядкувати питання права на персональну інформацію, є інноваційна модель даних, побудована навколо користувача (user-centric data model). Литовський експерт, доктор філософії Паулюс Юркус (Paulius Jurcys) описує цю модель так: вона передбачає, що вся інформація користувача буде зібрана в одному місці — в певній «хмарі персональних даних». Частину даних можна додати туди вручну, а решта з’являтиметься внаслідок роботи деяких додатків чи пристроїв, як, наприклад, інформація про геолокацію.
Отримавши таку персональну цифрову копію даних, користувач зможе краще контролювати доступ до них — визначати, кому цей доступ надається, а кому ні і, можливо, навіть отримувати гроші — ті самі цифрові дивіденди. Цей підхід дозволить впорядкувати ринок та навіть дати поштовх новим можливостям для роботи з даними користувачів.
Читайте також: Сюжети коронавірусної міфології
Такі дані будуть найбільш актуальними та точними, не буде проблеми з незаконним отриманням доступу до них, або якщо така ситуація виникне, вона буде швидко виявлена, бо користувач зможе сам вирішувати, кому він надає доступ. І, що не менш важливо — ця модель може знищити таке поняття, як витік даних. Водночас рівень персоналізованих сервісів та таргетованої реклами через такий легальний доступ до даних буде значно кращим від теперішнього.
Але найголовніше, на думку автора цієї концепції, — те, що такий підхід дозволить особі мати чотири класичні права: право володіти своїми особистими даними, право використовувати їх, розпоряджатись ними та отримувати від них користь. Окрім того, люди краще розумітимуть, як використовується їхня інформація, та більш грамотно нею керуватимуть. Іще одна вигода — персональні дані не будуть предметом одноразового використання, а перетворяться на актив, який формуватиме довгострокову цінність.
Завдання на майбутнє
Використання технологічними компаніями даних користувачів лише посилюватиметься. З одного боку, техногіганти — Apple, Google та інші — намагаються впорядкувати ці процеси, наприклад повідомляти користувачам, до якої інформації додаток запитуватиме доступ, та демонструвати її у вигляді етикеток — таких самих, які містять складники на продуктах харчування. Таке рішення можна сприймати як відповідь компаній на збільшення інтересу до приватності та захисту даних із боку пересічних користувачів. З іншого, ці компанії навчились чи не найкраще приховувати, які дані своїх клієнтів вони використовують і з якою метою.
Цю суперечність не можна подолати лише доброю волею самих техногігантів — хоча б тому, що вони зацікавлені отримати якомога більшу кількості даних за якомога менші гроші.
Європейський регламент GDPR став першою спробою хоч якось впорядкувати використання користувацьких даних інтернет-компаніями. За наявності політичної волі та за умови спільних зусиль використання інформації користувачів може бути впорядковане. Проте це занадто глобальне завдання, яке не може бути втілене навіть протягом декількох років. З іншого боку, якщо цей ринок не буде впорядковано, то хаосу на ньому стане ще більше, і тоді постраждають усі — і користувачі, і компанії, для яких дані є паливом, ресурсом, необхідним для їхнього існування та процвітання.