Είναι τρεις και δέκα το μεσημέρι, 18 Απριλίου του 2018, είμαι στα γραφεία της Privacy International και διαβάζω στις ειδήσεις μια ιστορία για το πώς χρησιμοποιείται η αναγνώριση προσώπων στην Ταϊλάνδη. Στις 20 Απριλίου, στις εννιά και δέκα, έκανα κλικ σε ένα αποκλειστικό του CNN Money, από το κινητό. Στις 11.45 π.μ. στις 11 Μαϊου 2018, διάβασα μια είδηση στο USA Today που έλεγε ότι το Facebook γνωρίζει πότε νιώθουν ανασφάλεια οι έφηβοι χρήστες του.
Πώς τα ξέρω όλα αυτά; Απλά επειδή ζήτησα από μια διαφημιστική, την Quantcast, όλα τα δεδομένα που έχουν και αφορούν εμένα.
Οι περισσότεροι δε θα έχουν ακούσει ποτέ το όνομα Quantcast, αλλά η Quantcast σίγουρα θα έχει ακούσει κάτι για αυτούς. Η εταιρία, με έδρα το Σαν Φρανσίσκο, συλλέγει πληροφορίες σχετικά με τα χαρακτηριστικά των χρηστών του διαδικτύου και ισχυρίζεται ότι αυτό το κάνει σε πάνω από ένα εκατομμύριο ιστοσελίδες.
Η Quantcast είναι μόνο μία από τις – πολλές – εταιρίες που συνθέτουν ένα πολύπλοκο πληροφοριακό σύστημα με αντικείμενο τη στοχευμένη διαφήμιση, είτε προς μεμονωμένους χρήστες είτε προς συγκεκριμένα ακροατήρια.
Η – ηθελημένα θολωμένη – παρακάτω εικόνα δείχνει πώς μεταφράζεται αυτό στην περίπτωση ενός μεμονωμένου χρήστη: με το πέρασμα μιας εβδομάδας, η Quantcast μάζεψε πάνω από 5.300 γραμμές και πάνω από 46 στήλες με διάφορα δεδομένα: υπερσυνδέσμους, διευθύνσεις IP, cookies, πληροφορίες σχετικά με τον περιηγητή ιστού (browser) και πολλά άλλα.
Η -ηθελημένα θολωμένη- παρακάτω εικόνα δείχνει πώς μεταφράζεται αυτό στην περίπτωση ενός μεμονωμένου χρήστη: με το πέρασμα μιας εβδομάδας, η Quantcast μάζεψε πάνω από 5.300 γραμμές και πάνω από 46 στήλες με διάφορα δεδομένα: υπερσυνδέσμους, διευθύνσεις IP, cookies, πληροφορίες σχετικά με τον περιηγητή ιστού (browser) και πολλά άλλα.
Το να βλέπεις ότι η εταιρία αυτή έχει μια τόσο λεπτομερή εικόνα του τι ειδήσεις παρακολουθείς είναι από μόνο του αρκετά ανησυχητικό. Αλλά οι ιστοσελίδες, για τις οποίες η Quantcast έχει καταγράψει την επίσκεψή μου εκεί, δεν είναι παρά ένα μικρό κομμάτι από αυτά που η εταιρία γνωρίζει για μένα. Η Quantcast με έχει κατηγοριοποιήσει, έχει προβλέψει το φύλο μου, την ηλικία μου, το αν υπάρχουν παιδιά στο σπίτι (αλλά και πόσα παιδιά καθώς και τις ηλικίες τους), το μορφωτικό μου επίπεδο, το ετήσιο εισόδημα του νοικοκυριού μου σε δολάρια ΗΠΑ και στερλίνες Μ. Βρετανίας.
Η Quantcast με έχει τοποθετήσει σε ακόμα πιο συγκεκριμένες κατηγορίες, τα ονόματα των οποίων υποδηλώνουν ότι τα δεδομένα έχουν αποκτηθεί από εμπόρους δεδομένων (data brokers) όπως η Acxiom, η Oracle, αλλά και η MasterCard καθώς και εταιρίες πιστοληπτικής ικανότητας, όπως η Experian.
Μερικές από τις κατηγορίες στις οποίες έχω τοποθετηθεί είναι εξωφρενικά συγκεκριμένες. Τα αγοραστικά μου ενδιαφέροντα σύμφωνα με την MasterCard UK, για παράδειγμα, περιλαμβάνουν ταξίδια και αναψυχή στον Καναδά (όντως ταξίδεψα πρόσφατα στον Καναδά για δουλειά) και συχνές συναλλαγές στα εστιατόρια Bagel (μπορώ όντως να θυμηθώ μια βραδιά που αγόρασα μερικά μπέιγκελ). Ως προς τα υπόλοιπα, η Experian UK με κατηγοριοποιεί με βάση την υποτιθέμενη οικονομική μου κατάσταση (για έναν περίεργο λόγο ανήκω στην κατηγορία Αστική Ευημερία: Παγκόσμιου Επιπέδου Πλούτος) και η εταιρία εμπορίας δεδομένων Acxiom με βάζει στην κατηγορία “Αλκοόλ σε Υψηλές Οικιακές Δαπάνες” (να ‘ναι γιατί πήγα να ψωνίσω για ένα πάρτι γενεθλίων στο σπίτι;), ενώ μια εταιρία με το όνομα Affinity Answers νομίζει πως έχω κάποια σχέση με την αγοραστική κατηγοριοποίηση “Βρεφικές πάνες και Μαντηλάκια” (εντελώς λάθος…).
Οι διαφημίσεις φαντάζουν ασήμαντες, αλλά η λεπτομέρεια των δεδομένων που χρησιμοποιούνται για να μας στοχεύσουν με μεγαλύτερη ακρίβεια κάθε άλλο παρά ασήμαντη μπορεί να θεωρηθεί. Κοιτώντας αυτές τις κατηγοριοποιήσεις θυμάμαι την επικρίτρια της τεχνολογίας Sara Watson και τον όρο “κοιλάδα εξατομίκευσης”, που έχει επινοήσει. Μου είναι αδύνατο να καταλάβω γιατί ταξινομούμαι και με στοχεύουν με αυτό τον τρόπο· μου είναι αδύνατο να βρω σε ποια δεδομένα βασίζονται αυτές οι ταξινομήσεις και -ακόμα πιο ανησυχητικό αυτό- δεν μπορώ να ξέρω αν αυτά τα δεδομένα μπορεί να χρησιμοποιηθούν (ή χρησιμοποιούνται) εναντίον μου.
Ο σκοτεινός κόσμος της καταγραφής από τρίτους
Η Quantcast είναι μια ακόμα από τους αναρίθμητους “τρίτους” που παρακολουθούν τη δραστηριότητα των χρηστών στο διαδίκτυο. Εταιρίες σαν την Quantcast (όπως και η Google και το Facebook) έχουν ανιχνευτές (trackers) σε τόσες ιστοσελίδες και εφαρμογές, επομένως μπορούν να ενώσουν τα κομμάτια της δραστηριότητάς σας σε πολλές διαφορετικές ιστοσελίδες μες στη μέρα.
Π.χ., τα δεδομένα που έχει η Quantcast για μένα, δίνουν μια τρομακτικά συγκεκριμένη εικόνα της δουλειάς μου στην Privacy International. Μόνο και μόνο από το ιστορικό της περιήγησης, εταιρίες σαν την Quantcast όχι απλά ξέρουν ότι η δουλειά μου είναι η τεχνολογία, η ασφάλεια και η ιδιωτικότητα, αλλά το ειδησεογραφικό περιεχόμενο για το οποίο ενδιαφέρομαι αποκαλύπτει πάνω σε τι ακριβώς δουλεύω κάθε στιγμή. Επίσης, τα δεδομένα μου στην Quantcast, αποκαλύπτουν ότι έχω προσωπικό blog στο Tumblr.
Για κάθε κλικ σε κάθε ένα από αυτά τα λινκ, η Quantcast ισχυρίζεται ότι έχω δώσει τη συγκατάθεσή μου ώστε να καταγραφεί – αλλά αυτό είναι μόνο η μισή ιστορία. Η Quantcast δεν έχει άμεση σχέση με τους ανθρώπους τα δεδομένα των οποίων συλλέγει. Επομένως, οι περισσότεροι δεν έχουν καν ακούσει το όνομα της εταιρίας, δεν ξέρουν ότι επεξεργάζεται τα δεδομένα τους και κατασκευάζει το προφίλ τους, αν αυτά τα δεδομένα είναι έγκυρα, για ποιους σκοπούς τα χρησιμοποιεί, με ποιους τα μοιράζεται καθώς και ποιες είναι οι συνέπειες της επεξεργασίας τους.
Η Quantcast ισχυρίζεται ότι έχει τη συγκατάθεσή μου (και μάλλον και τη δική σας) γιατί κάπου, σε κάποια ιστοσελίδα, πρέπει να πάτησα χωρίς να το πολυ-σκεφτώ στο “ΑΠΟΔΕΧΟΜΑΙ”. Ο λόγος που το έκανα είναι γιατί οι λεγόμενες “φόρμες συγκατάθεσης” είναι ειδικά σχεδιασμένες για σε κάνουν να πατάς στο “ΑΠΟΔΕΧΟΜΑΙ”, απλά γιατί είναι αδιανόητα κουραστικό και -χωρίς λόγο- χρονοβόρο να μην αποδεχτείς την καταγραφή της δραστηριότητάς σου. Η Privacy International πιστεύει πως αυτό συνιστά καταπάτηση του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) της ΕΕ, ο οποίος απαιτεί η συγκατάθεση να δίνεται ελεύθερα, χωρίς αμφιβολίες και με ακρίβεια. Το Information Commissioners Office στο Ηνωμένο Βασίλειο υποστηρίζει πως “η γνήσια συγκατάθεση θα πρέπει να δίνει τον έλεγχο στα άτομα, να δημιουργεί σχέσεις εμπιστοσύνης και να βελτιώνει την αξιοπιστία σας”.
H Quantcast πουλά τέτοιες “λύσεις συγκατάθεσης” σε ιστοσελίδες και εκδότες όπως οι ιστοσελίδες ενημέρωσης. Ο σχεδιασμός τους είναι κλασική περίπτωση ανηθικότητας, όπου ενθαρρύνει τον κόσμο να “συμφωνεί” σε πρακτικές που παραβιάζουν κατά πολύ την ιδιωτικότητά του· μια γενικευμένη πρακτική που οι φίλοι μας στο Συμβούλιο Καταναλωτών της Νορβηγίας περιγράφουν σε αυτή την εξαιρετική αναφορά.
Χρειάστηκε να κάνω κλικ στο απίστευτα μικρό “Γιατί χρησιμοποιούμε cookies” και “Εμφάνιση της πλήρους λίστας συνεργατών” στο επόμενο παράθυρο, και μόνο τότε κατάλαβα με ακρίβεια τι ακριβώς κρύβεται πίσω από το “ΑΠΟΔΕΧΟΜΑΙ”: ότι δηλαδή δίνω τη “συγκατάθεσή” μου ώστε εκατοντάδες εταιρίες να χρησιμοποιούν τα δεδομένα με τρόπους που θα εξέπλητταν τον περισσότερο κόσμο. Αν είχα κάνει κλικ στο “ΑΠΟΔΕΧΟΜΑΙ”, θα είχα συμφωνήσει μια εταιρία που λέγεται Criteo να συνδυάσει τα διαδικτυακά μου δεδομένα με πηγές εκτός διαδικτύου και να συνδέσει τις διάφορες συσκευές που χρησιμοποιώ.
Στην πραγματικότητα, ο παραπλανητικός σχεδιασμός της Quantcast είναι τόσο αποτελεσματικός, που η εταιρία δηλώνει με υπερηφάνεια ότι η συγκατάθεση φτάνει στο 90% στις ιστοσελίδες που χρησιμοποιούν το λογισμικό της.
Οι έμποροι δεδομένων και το κρυφό οικοσύστημα δεδομένων
Το γεγονός ότι πάρα πολλές εταιρίες καταγράφουν τη δραστηριότητα εκατομμυρίων ανθρώπων στο διαδίκτυο, αλλά και αυτήν των κινητών τους, είναι αρκούντως ανησυχητικό. Αυτό όμως που είναι ακόμα πιο ανησυχητικό είναι η έκταση της συνεργασίας της εταιρίας με εμπόρους δεδομένων, εταιρίες αξιολόγησης πιστοληπτικής ικανότητας, ακόμα και με εταιρίες πιστωτικών καρτών, με τρόπους που καθιστούν αδύνατο για τον μέσο καταναλωτή να γνωρίζει τι συμβαίνει ή να μπορέσει να το αποφύγει.
Διαφημιστικές εταιρίες και εταιρίες εμπορίας δεδομένων καταγράφουν σιωπηλά, αναλύουν, πουλούν και αγοράζουν τα δεδομένα των ανθρώπων για δεκαετίες. Αυτό που έχει αλλάξει είναι ο βαθμός στον οποίο πλέον μπορεί να γίνεται.
Οι έμποροι δεδομένων αγοράζουν τα προσωπικά σας δεδομένα από συνεργαζόμενες εταιρίες, μαζεύουν δεδομένα όπως το ιστορικό της περιήγησης στο διαδίκτυο από διάφορες πηγές, τα συνδυάζουν με άλλες πληροφορίες που έχουν για εσάς (περιοδικά στα οποία είστε συνδρομητής, στοιχεία σε δημόσιες υπηρεσίες ή ιστορικό αγορών) και πουλάνε το αποτέλεσμα σε όποιον επιθυμεί να μάθει κάτι παραπάνω για εσάς.
Παρόλο που οι εταιρίες αυτές δεν έρχονται σε άμεση επαφή με καταναλωτές και τα ονόματα τους μας είναι λίγο πολύ άγνωστα, το μέγεθος της βιομηχανίας δεδομένων μας αφήνει άφωνους. Π.χ, η ετήσια αναφορά της Acxiom το 2017, δηλώνει ότι παρέχουν πακέτα δεδομένων που αφορούν “περίπου 700 εκατομμύρια καταναλωτές παγκοσμίως, ενώ τα πακέτα αυτά περιέχουν 5.000 διαφορετικές κατηγοριοποιήσεις από εκατοντάδες πηγές”.
Μέρος του προβλήματος αποτελεί το γεγονός ότι τα δεδομένα αυτά μπορούν να χρησιμοποιηθούν για να στοχεύσουν, να επηρεάσουν ή να χειραγωγήσουν την καθεμιά/καθένα μας με μεγάλη ακρίβεια. Με πόση ακρίβεια; Πριν λίγα χρόνια, μια διαφημιστική εταιρία από τη Μασαχουσέτη στις ΗΠΑ έστειλε στοχευμένα μηνύματα κατά της έκτρωσης σε γυναίκες που σκέφτονταν την έκτρωση, ενώ αυτές ήταν στο νοσοκομείο. Το νομικό πλαίσιο στις ΗΠΑ είναι αρκετά διαφορετικό από αυτό στην ΕΕ, και το παράδειγμα αυτό δείχνει ξεκάθαρα τις δυνατότητες που προφέρει η τεχνολογία: τη στόχευση πολύ συγκεκριμένων ομάδων, σε συγκεκριμένο σημείο και σε συγκεκριμένη χρονική στιγμή. Κάπως έτσι λοιπόν είναι η πραγματικότητα της στοχευμένης διαφήμισης σήμερα.
Την ίδια στιγμή που τα απίστευτα ακριβή δεδομένα μπορούν να χρησιμοποιηθούν εναντίον μας, αυτά που δεν είναι ακριβή δε σημαίνει πως είναι λιγότερο επικίνδυνα. Ειδικά όταν υπάρχουν δεδομένα που οι περισσότερες/οι από εμάς δε γνωρίζουν καν την ύπαρξή τους και έχουμε ελάχιστες δυνατότητες ελέγχου στο πώς χρησιμοποιούνται για να ληφθούν αποφάσεις που μας αφορούν. Για παράδειγμα, μια έρευνα του Big Brother Watch στο Ηνωμένο Βασίλειο, έδειξε πώς η αστυνομία του Durham τροφοδοτούσε το “Εργαλείο αξιολόγησης κινδύνου πρόκλησης βλάβης” με δεδομένα marketing από το Mosaic της Experian, ώστε να προβλέψει αν υπάρχει μικρός, μέτριος ή μεγάλος κίνδυνος υποτροπής για κάποιον ύποπτο, έτσι ώστε να λάβει απόφαση αν θα του απαγγείλει κατηγορίες ή αν θα τον οδηγήσει σε κάποιο πρόγραμμα επανένταξης. Η αστυνομία του Durham δεν είναι η μόνη στην Αγγλία και την Ουαλία που χρησιμοποιούν την υπηρεσία της Mosaic. Η αστυνομία του Cambridgeshire και του Lancashire έχουν επίσης συμβόλαιο με την Experian για το Mosaic.
Πώς η Privacy International καλεί την κρυφή βιομηχανία δεδομένων σε λογοδοσία
Αν παρακολουθήσατε τα σκάνδαλα για την Cambridge Analytica και το Facebook, ίσως να σας έμεινε μια αίσθηση πως τα σκάνδαλα με την ιδιωτικότητα αφορούν κάποιους κακούς που καταχρώνται κατά τη διάρκεια των εκλογών πλατφόρμες οι οποίες, ενώ έχουν καλό σκοπό, είναι ένοχες γιατί δίνουν απαντήσεις με μεγάλη καθυστέρηση. Η δική μας ερμηνεία πάντα ήταν ότι είμαστε αντιμέτωποι με ένα συστημικό πρόβλημα που έχει τις ρίζες του στον πυρήνα των μεθόδων με τις οποίες οι διαφημιστικές και πολλοί άλλοι εκμεταλλεύονται τα δεδομένα των πολιτών.
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα της ΕΕ, που τέθηκε σε ισχύ στις 25 Μαΐου του 2018, ενισχύει τα δικαιώματα των πολιτών ως προς την προστασία των δεδομένων τους, θέτοντας αυστηρότερες υποχρεώσεις σε όσους επεξεργάζονται προσωπικά δεδομένα και προβλέπει ισχυρότερες κανονιστικές διαδικασίες επιβολής.
Γι’ αυτό η Privacy International έχει καταθέσει μηνύσεις εναντίον εφτά εμπόρων δεδομένων (Acxiom, Oracle), διαφημιστικών εταιριών (Criteo, Quantcast, Tapad), και εταιριών αξιολόγησης πιστοληπτικής ικανότητας (Equifax, Experian) στις αρχές προστασίας δεδομένων σε Γαλλία, Ιρλανδία και Ηνωμένο Βασίλειο.
Οι εταιρίες αυτές δε συμμορφώνονται με τις αρχές της προστασίας δεδομένων, και συγκεκριμένα με αυτές της διαφάνειας, του δικαίου, της νομιμότητας, του περιορισμού του σκοπού, της ελαχιστοποίησης των δεδομένων και της ακρίβειας. Επίσης δεν έχει νομική βάση και ο τρόπος που χρησιμοποιούν τα δεδομένα των πολιτών, κατά παράβαση του GDPR.
Ο κόσμος ολόκληρος ξαναχτίζεται από εταιρίες και κυβερνήσεις με σκοπό την εκμετάλλευση των δεδομένων. Χωρίς επείγουσα και συνεχή δράση, τα δεδομένα θα χρησιμοποιούνται με τρόπους που τώρα δεν μπορούμε καν να φανταστούμε, καθορίζοντας και χειραγωγώντας τις ζωές μας χωρίς εμείς να καταλαβαίνουμε το γιατί και χωρίς να μπορούμε να αντιδράσουμε αποτελεσματικά. Καλούμε τις αρχές προστασίας δεδομένων να ελέγξουν αυτές τις εταιρίες και να προστατεύσουν τους πολίτες από τη μαζική εκμετάλλευση των δεδομένων τους, και επίσης προτρέπουμε δημοσιογράφους, ακαδημαϊκούς, καταναλωτικές οργανώσεις και την κοινωνία ευρύτερα, να ζητούν έλεγχο και λογοδοσία από αυτήν τη βιομηχανία.
Το άρθρο αυτό γράφτηκε από την επικεφαλής του προγράμματος εκμετάλλευσης δεδομένων της Privacy International, Frederike Kaltheuner