Cyberlaw

 

Monitorizarea utilizatorilor internet

Scris de Monica Lupașcu

31 Aug, 2018

Monitorizarea utilizatorilor internet

Supravegherea înseamnă monitorizare, studiere cu atenție și în detaliu, observare și inspecție cu scopul de a păzi sau a deține controlul anumitor fenomene. Supravegherea online implică studierea activității userilor pe internet, a pachetelor primite și trimise în rețea, a informațiilor/datelor asociate acestora, realizată cu ajutorul unor tehnologii de inspecție, selectare, analiză profundă (deep packet inspection și data mining).

Citesc de ceva vreme despre supreghere și monitorizare mai mult și pentru a înțelege de ce omul modern nu respinge din start o astfel de practică prin care “cineva” ajunge să știe absolut orice despre el. Dacă nu ar fi fost evident pentru o parte dintre noi, în anul 2013 am învățat de la Edward Snowden că nu doar agențiile guvernamentele dar și sectorul corporate al serviciilor online (Google, Facebook, Yahoo etc) este angrenat în această mare afacere cu datele noastre, monitorizând pe cont propriu activitatea userilor. Plata serviciilor “for free” se face cu (sau fără) prețul unui  “consimțământ” acordat mult prea repede și în necunoștință de cauză, de a fi folosite informații precum locațiile noastre, mesajele schimbate cu prietenii, pozele din vacanță, conținutul de email-uri. Oricărui search făcut vreodată pe internet îi corespunde o înregistrare, care nu se pierde și nu va fi greu de procesat indiferent dacă aceasta corespunde sau nu celui de-al doilea milion de terabytes din câte date sunt stocate.

Partea cea mai interesantă a practicilor corporate de supraveghere este că tehnologiile de inspecție a datelor nu sunt folosite doar cu scopul de ingerință și/sau filtrare a conținutului pentru prevenirea eventualelor încălcări de drepturi de autor, ci inclusiv pentru detectarea codurilor malițioase ca parte a obligațiilor de asigurare a securității rețelei.

De fapt, mai corect spus, această supraveghere sau filtrare poate exista chiar fără să fie dedicată unui scop care să contravină intereselor invidului, putând face parte din rutina zilnică a administrării unei rețele.

În plus, ca sistem de business inteligence, inspecția profundă a pachetelor joacă un rol important inclusiv în procesul de analiză și evaluare statistică, proces realizat prin tehnici de tip data mining, prin care, cu ajutorul unor algoritmi de programare, se încearcă să se depisteze anumite relații dintre date, prin generarea altora mult mai relevante. Dacă Api-ul de mining este dotat cu un learning machine, rezultatele pot fi din cele mai surprinzătoare, putându-se ajunge inclusiv la previzionarea anumitor comportamente umane, adică în concret, la a spune exact ce va cumpăra și de unde va cumpăra o anumită persoană, dacă aceasta are sau nu capacitatea de a se conforma sau nu unui anumit sistem corporatist, care sunt preferințele sexuale și chiar căror idei este cel mai probabil să se afilieze. Astfel de date colectate de la indivizi pot fi vândute către alte corporații și folosite pentru campaniile rulate pe Google de ex. Mesajele comerciale sunt adaptate astfel fiecărui user prin analizarea istoricului de search-uri și email-uri.

Dar cum se realizează aceasta analiză? Evident sau pe ascuns? Și, mai ales, ce valoare are un consimțământ acordat printr-un simplu click, între atâtea sute de accept-uri și agree-uri pe care GDPR-ul le-a adus după sine? Este acest consimțământ valabil și poate fi considerat a fi neviciat?

Dacă un business bazat pe propriile noastre comunicații online nu este deranjant, nefiind afectați nici de faptul că orice conținut al mesajelor și email-urilor noastre poate fi accesat, atunci poate ar trebui să urmăriți declarațiile Dr. Michal Kosinski, cercetător american care explică în ce mod mai pot fi folosite datele colectate de facebook și ce alte „beneficii”-uri aduce online profiling-ul realizat prin utilizarea informațiilor userilor facebook.

În studiul “Facebook as a Research Tool for the Social Science” Dr. Kosinski admite că Facebook reprezintă un important instrument pentru studierea anumitor fenomene sociale și individual- comportamentale, datele colectate putându-se folosi inclusiv pentru studierea și previzionarea anumitor comportamente umane. Deși Dr. Kosinski nu identifică în concret riscurile unei astfel de practici și nici modalitatea în care viața privată poate fi afectată, ne putem pune totuși întrebarea cine va beneficia de rezultatul acestui online profiling la care vor participa milioane de useri facebook, posibil analizați din punct de vedere comportamental. Poate fi desprins oare un beneficiu concret pe care individul să îl resimtă în mod direct ca plată a faptul că pozele, mesajele, comment-urile și toate like-urile date vreodatată sunt analizate a parte a unui studiu la care subiect este el însuși?

Ne putem întreba, de asemenea, dacă o astfel de tehnologie poate să funcționeze pe datele încorporate în bazele facebook, de ce nu ar funcționa și asupra informațiilor deținute de alți furnizori de content?

„Și ce dacă?”

Pasivitatea fiecăruia la astfel de fenomene nu este legată doar de ceea ce fiecare dintre noi alege să cunoască ci și prin modalitatea în care societatea este construită printr-un fals acces la informații, fiind extrem de dese normele a căror interpretare reală scapă și celor mai performanți juriști datorită folosirii unor termeni de specialitate din sectorul informatic care descriu, de cele mai multe ori, activități perfect justificabile și prin care nu sunt încalcate drepturile la viață privată. Pentru că, ceea ce merită notat în acest context, și foarte important pentru a identifica motivul pentru care astfel de prevederi scapă unei interpretări complete este faptul că, așa cum notat mai sus, practicile de monitorizare comportamentală, de supraveghere a userilor, prin tehnologii de tip deep pachet inspection și/sau data mining pot fi justificate de interese ce țin de securitate a rețelei, de cele corelate cu activitatea comercială a unor companii, cum ar fi cel cercetare, marketing, scopuri care, chiar dacă sunt legale și bazate pe un consimțământ anterior dat de user, nu spun nimic despre toate rezultatele care se pot obține și nici despre efectul pe care cunoașterea unor astfel de informații de către angajații unei companii, îl poate avea asupra individului/indivizilor.

Aș vrea sa plec de la un exemplu concret și să întreb un administrator de rețea în ce măsură datele colectate în scop de protejare a rețelei pot fi folosite și în alt mod și dacă este posibil un anumit control, în sensul unei limitări a posibilității utilizărilor în alt scop decât cel declarat (limitări tehnice/practice).

Evident, fapta pare a intra pe târâm nelegal, vorbind deja de scopuri diferite pentru care datele sunt folosite, și care ar presupune (pentru a fi valabile) consimțăminte diferite acordate de fiecare user în parte? Dar oare știe user-ul pentru ce acordă consimțământul? Am revenit la consimțământ pentru că aceasta pare a fi esența noii legislații în domeniu, crearea în beneficiul fiecăruia dintre noi a unui drept de a-i fi procesate datele DOAR în contextul unui consimțământ acordat în prealabil pentru asta. Cu intenția de a desființa posibilitățile de prelucrări de date în secret, așa numite „non- reactive”, fără cunoștința userului, actualele norme par a acorda prioritate dreptului individului de a cunoaște, de a fi informat, de a decide dacă datele sale pot fi prelucrate sau nu înainte ca această prelucrare să aibă loc, dar a fost oare previzualizat contextul în care userul va oferi acest consimțământ pentru zeci, dacă nu chiar sute de platforme online, fiecare cu propria politică de cookies? Dacă acceptăm valabilitatea unui astfel de acord, se poate oare spune același lucru despre consimțământul acordat pentru o prelucrare pe care nu o înțelegem și nici nu avem cum să o înțelegem întrucât informațiile cuprind termeni de specialitate a căror semantică scapă majorității? Mergând mai departe cu întrebările, chiar cunoscând implicațiile suntem oare conștienți în momentul fiecărui mesaj sau email primit sau trimis și care urmează acelui acord de prelucrare, că și acestea vor fi colectate în aceeași manieră și vor fi folosite în continuare de o anumită companie care dorește să cunoască cât mai multe despre noi?

Am dat recent peste o prezentare destul de accesibilă despre ce implică “non-reactive data collection” și vă invit să urmăriți căteva dintre episoadele unui interesant story între “server și clienții săi” pentru a înțelege că, de multe ori, starea de neconștientizare a procesării datelor, a efectelor unei astfel de procesări, are beneficiul de a genera rezultate reale, mai aproape de adevăr, fiind chiar urmărită de companiile care fac online profiling.

Cu ajutorul APTI a fost deschis interesul pentru reforma copyright și în România, fiind atrasă atenția asupra gravității implementării filtrelor de conținut. Este bine că măcar o parte din online-ul românesc a înțeles că filtrarea conținutului implică supravegherea online a userilor și implicit cenzură (întrucât doar informațiile care vor „trece” de filtru vor fi publice), ambele practici imposibil de acceptat într-o societate democratică, indiferent de gravitatea sau multitudinea drepturilor de autor încălcate online.  Situația art.13 din Directiva privind dreptul de autor pe piața unică digitală nu este însă definitivată la nivelul parlamentului european și mult discutatul filtru de upload este doar una dintre problemele cu care ne confruntăm, nefiind încă clar pentru cei mai mulți că „text and data mining” nu înseamnă doar extragere de texte ci, in primul rând, analiză computerizată a informațiilor și nici că „baze de date” nu se limitează la MySQL ci implică orice colecție informații, platformele cu conținut generat de useri, de exemplu, având la bază astfel de baze de date, de colecții cu informațiile generate prin activitatea utilizatorilor respectivelor platforme.

Am scris mai multe despre excepția de text and data mining AICI și AICI, text care a scăpat (oarecum) colimatoriului public, prin atenția sporită de care s-au bucurat art.13 și 11 din reforma copyright. Problematica data mining-ului și a felului în care acesta este reglementat nu sunt desprinse de subiectul acestui articol, pentru că tehnici de tipul „deep packet inspection” sunt folosite atât pentru filtrarea conținutului cât și pentru profiling-ul online sau, cum a fost termenul transpus în română crearea de profiluri”, definită foarte bine de GDPR, ca fiind:

“orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia”

Recunosc, nu știu dacă am clarificat că online profiling-ul înseamnă de fapt data mining, poate voi reuși într-un articol viitor în care sper să vorbesc mai mult de fantasticul GDPR.

Mi-a plăcut titlul unui articol scris tocmai în 2008, „DPI’s bad, data mining’s worse”, în care se explica că implicațiile data mining-ului și felul în care poate fi afectat individul depășesc cu mult efectele generate de tehnologiile de inspecție și filtrare a conținutului, tocmai datorită modalității în care pot fi folosite datele rezultate prin data mining, și poate și a imposibilității de control a acestora.

 

 

 

 

tags,  ,  ,  ,  ,  ,  ,  ,  ,  ,  ,  ,  ,  
Articolul următor ACTA, din trecut până în prezent, câteva argumente ce merită reținute
Monica Lupașcu Romanian Lawyer since 2005 with LL.M. in Intellectual Property Law. She currently activates as European Trademark Attorney and internet and technology legal practitioner.   monica.lupascu@nullcyberlaw.ro

Răspunde și tu