Łukasz Olejnik

Bezpieczeństwo, cyberbezpieczeństwo, prywatność, ochrona danych

Analiza Digital Services Act - z zacięciem technologicznym

Duże platformy technologiczne są odpowiedzialne za technologie o znaczącym wpływie na narody, rządy i społeczeństwa. Wpływ ten rośnie. Wiele osób uważa, że ​​zasady gry są niejasne, niewystarczające lub nie istnieją. Bez zasad można się tylko zastanawiać, kto wyznaczyłby drogę do przyszłości. Innymi słowy, does anybody knows what we are living for?

(Unia) Komisja Europejska chce zmierzyć się z tym problemem. Za pomocą nowych przepisów („uregulowanie obowiązków dla usług cyfrowych”). Najnowsze z nich to ustawa o usługach cyfrowych (DSA) i ustawa o rynkach cyfrowych (DMA). Te długie propozycje są tutaj: DSA, DMA.

Propozycje te mają wpływ na bardzo ważne obszary technologii i polityki. W tym wpisie podchodzę do tego problemu z punktu widzenia technologicznego cyberbezpieczeństwa, prywatności i przejrzystości.

Przejrzystość

Reklam w sieci. Przejrzystość reklam internetowych została zdefiniowana w art. 24:

„Platformy internetowe, które wyświetlają reklamy online, zapewniają, że usługobiorcy mogą zidentyfikować, dla każdej konkretnej reklamy wyświetlanej każdemu indywidualnemu odbiorcy, w sposób jasny i jednoznaczny oraz w czasie rzeczywistym... ”.

Sprowadza się to do obowiązku informowania, że ​​coś jest reklamą, a także dołączania informacji o źródle, wyjaśniających, jaki jest charakter tej reklamy. Kto ją kierował (źródło) i do kogo była kierowana. Obejmuje to również przejrzystość kierowania reklam, czyli sposób kierowania treści lub komunikatów do użytkownika (na przykład programowo?). Istnieją dobre techniczne sposoby, jak to można było zrealizować. Niestety, dostawcy technologii nie byli zainteresowani większą przejrzystością. Pomogło to w zwiększeniu dostępności i powszechności niektórych technik nadużyć (nadal ma to miejsce nawet dzisiaj). Niestety, DSA nie odnosi się do tego problemu. Istnieje zatem niebezpieczeństwo, że sposoby dostarczania informacji o transparentności staną się niestandaryzowane, fragmentaryczne, nieprzejrzyste lub trudne do zrozumienia przez użytkowników.

Znam takie ryzyko bezpośrednio. Badałem te aspekty prywatności i przejrzystości w analizach real-time-bidding (dynamiczne kierowanie reklam w czasie rzeczywistym). Wiem też, że przejrzystość reklam powinna być podstawowym narzędziem minimalizowania nadużyć, gdy takie technologie są wykorzystywane do wpływania na opinię publiczną. Co ma miejsce w praktyce, w tym przed wyborami i w ich trakcie. Nawet jeśli można było przewidzieć takie nadużycia z wyprzedzeniem, nie było zainteresowania.

Ramy oceny ryzyka - proces oceny skutków technologii?

To jest kluczowa część tej regulacji (rozporządzenia). Duże platformy będą musiały „zidentyfikować, przeanalizować i ocenić… przynajmniej raz w roku wszelkie istotne ryzyka systemowe wynikające z funkcjonowania i wykorzystania ich usług”, a więc ich technologii.

Oceny ryzyka. Podobnie jak w dziedzinach  prywatności, ochronie danych, wpływie na prawa człowieka lub innego rodzaju analizy ocen skutków? Jestem wielkim fanem takich narzędzi. To ciekawe rozwiązania. Jeśli ocena jest rzetelna - wyniki są miarodajne i pomocne.

Brak takiej oceny ryzyka jest jednym z powodów, dlaczego technologia pozornie wymyka się spod kontroli społecznej. To właśnie z powodu braku takich ocen duże platformy nie przewidziały niektórych potencjalnych nadużyć ich technologii w sposób systemowy i skoordynowany. Na przykład faktu, że technologia real-time bidding (reklamy w czasie rzeczywistym) wprowadziła bezprecedensowe sposoby wpływania na społeczeństwa, służąc do dzielenia lub polaryzowania opinii publicznej, czy czasami wprowadzając nawet „zatrute” elementy do publicznej debaty. W skrócie, chodzi o to jak zhakować wybory (ten artykuł pochodzi z lata 2016 r., zanim ten temat przedostał się do zainteresowania szerokiej opinii publicznej). Tego rodzaju  nadużycia można było wyobrazić sobie z wyprzedzeniem. Ale nie było motywacji, by to zrobić. Czy pojawi się ona teraz? To zależy od jakości ocen. Czyli także od tego kto je zrobi i jak.

Kluczowe pytanie brzmi więc kto będzie miał za zadanie dokonywanie takich ocen ryzyka. Wiemy z dziedziny cyberbezpieczeństwa / prywatności, że prawdopodobną odpowiedzią w wielu przypadkach jest „będą to prawnicy / eksperci prawni”. Ale taki dobór nie zawsze może  być  odpowiedni lub optymalny do zadania. Zwłaszcza w przypadku całościowej, wysokopoziomowej analizy uwzględniającej szereg złożonych aspektów, jakich można sobie wyobrazić bardzo wiele. Zwłaszcza w technologiach o dużym wpływie, gdzie mogą zaistnieć poważne zagrożenia, często nieuchwytne lub trudne do zauważenia. Innymi słowy, lepiej nie traktować tego jako ćwiczenia do “odhaczenia”.

Dlaczego uważam, że to kwestia oceny ryzyka, która powinna być szeroka? Ponieważ rozporządzenie o tym wspomina! Mówi, że obowiązek ten dotyczy:

rozpowszechniania nielegalnych treści za pośrednictwem swoich usług

(można sobie wyobrazić wiele rodzajów takich…)

wszelkich negatywnych skutków dla wykonywania podstawowych praw do poszanowania życia prywatnego i rodzinnego, wolności wypowiedzi i informacji, zakaz dyskryminacji i prawa dziecka

(są to bardzo szerokie względy dotyczące prywatności, praw człowieka itp.),

celowe manipulowanie ich usługami, w tym poprzez nieautentyczne lub automatyczne wykorzystywanie usługi, z faktycznym lub możliwym do przewidzenia negatywnym wpływem na ochronę zdrowia publicznego, nieletnich, dyskursu obywatelskiego lub faktycznych lub przewidywanych skutków związanych z procesami wyborczymi i bezpieczeństwa publicznego

(nawet jeśli nieuchwytne ryzyka z negatywnymi skutkami, także wprost mowa tu o wyborach - czyli również kanały dezinformacji)

Dlaczego technologia reklamowa jest tu tak ważna?

Ponieważ „przy przeprowadzaniu oceny ryzyka bardzo duże platformy internetowe biorą pod uwagę w szczególności, w jaki sposób ich systemy moderowania treści, systemy rekomendujące oraz systemy wyboru i wyświetlania reklam wpływają na którekolwiek z ryzyk systemowych(...)

Ocena ryzyka jest głównym wkładem tego rozporządzenia. Ryzyko będzie musiało zostać zmniejszone (mitygowane). Również w tym przypadku rozporządzenie zawiera: „ukierunkowane środki mające na celu ograniczenie wyświetlania reklam w związku z usługą, którą świadczą”. Wreszcie, ktoś docenił systemowe ryzyko związane z nieusankcjonowanymi i niechronionymi kanałami reklamowymi i treściami? Jeśli tak, to droga do tego była długa.

Będzie również istnieć obowiązkowe repozytoria przejrzystości reklam, wymagające przechowywania wszystkich komunikatów/reklam wyświetlanych w ciągu poprzedniego roku, zawierających przynajmniej te dane:

  • treść ogłoszenia
  • osoba fizyczna lub prawna, w imieniu której reklama jest wyświetlana,
  • okres, w którym reklama została wyświetlona;
  • czy reklama miała być wyświetlana konkretnie jednej lub kilku konkretnym grupom odbiorców usługi, a jeżeli tak, główne parametry wykorzystywane w tym celu (parametry targetowania / mikro-targetowania)
  • łączną liczbę odbiorców usługi, do której dotarła oraz tam, gdzie ma to zastosowanie, zbiorcze dane liczbowe dotyczące grupy lub grup odbiorców, do których skierowana była reklama.

To wprowadza potencjalny problem. Obecnie jesteśmy w trakcie procesu szybkiej i znaczącej ewolucji i zmian w ekosystemie wyświetlania reklam internetowych. Takie zasady jak te powyżej powinny być więc zaznajomione i zsynchronizowane z tymi zmianami. Z tego co widzę, nie do końca są. Na przykład, gdyby niektóre potrzebne informacje nie były dostępne dla platformy ze względu na rozwiązania chroniące prywatność (wdrożone przez dostawców reklam), to w efekcie rozporządzenie to mogłoby faktycznie zdusić zmiany mające na celu ochronę prywatności. Komu to służy?

Przejrzystość moderacji

Konieczne będzie przedstawienie raportów przejrzystości.

W wielu przypadkach duże platformy, takie jak Apple, Google, Twitter czy TikTok, już regularnie je publikują. Ale teraz wymóg ten zostanie “ustandaryzowany” i skodyfikowany. Raporty przejrzystości muszą zawierać takie informacje, jak liczba nakazów usunięcia wydanych przez służby krajów. Chodzi tu o moderację treści. To delikatne sprawy. Na granicy przestrzegania reguł (według jednych), cenzury (według innych) czy kompromisu (jeszcze według innych). To rozporządzenie mówi o moderowaniu treści i zawieszaniu kont w przypadku problemów i transparentności tych procesów.

Kary - wysokie

Grzywny są przeznaczone tylko dla dużych platform, które mają co najmniej 45 milionów użytkowników w Unii Europejskiej. Oznacza to, że wszystkie duże platformy, które można sobie wyobrazić prawdopodobnie wejdą w ten reżim. Chodzi o “kary nieprzekraczające 6% całkowitego obrotu w poprzednim roku(i 1% grzywny w niektórych innych przypadkach,  ale maksymalna to 6%).

Ponadto DMA uwzględnia też 10% (rocznego obrotu) kar dla „platform typu gatekeeper”, czyli między innymi tych, które mają znaczący wpływ na rynek wewnętrzny i mają co najmniej 45 mln użytkowników w Europie.

Ograniczenia dotyczące dużych platform

Ustawa o rynku cyfrowym w szczególności zabrania platformom “gatekeeper” (mniejsza z tłumaczeniem, bo nie wiem jak to przetłumaczą w polskiej wersji - “strażnik bram”? “operator kluczowy”? “platforma dostępowa”?)

„łączenia danych osobowych pochodzących z tych podstawowych usług platformy z danymi osobowymi z jakichkolwiek innych usług oferowanych przez “gatekeeper”-a lub z danymi osobowymi z usług stron trzecich (brokerów?)”.

Oznacza to ograniczone prawa do ponownego wykorzystywania danych, co z kolei ma na celu ograniczenie możliwości szybkiego skalowania nowych usług przy użyciu istniejących zestawów danych jako danych wejściowych. To miałoby utemperować działania dużych platform.

To także:

powstrzymanie się od wymagania od użytkowników biznesowych korzystania, oferowania lub współdziałania z usługą identyfikacyjną “gatekeepera” w kontekście usług oferowanych przez użytkowników biznesowych korzystających z podstawowych usług platformy tego gatekeepera”.

Oznacza to, że duże platformy nie mogłyby wymagać korzystania z usług własnej platformy. Na przykład, “gatekeeperowi” jak Apple, można zabronić żądać od twórców aplikacji korzystania z własnego systemu identyfikacji / uwierzytelniania?

Duże platformy będą również musiały przeprowadzać niezależne audyty. Te audyty będą prawdopodobnie przeprowadzane przez dużych dostawców usług audytorskich, więc nie ma tu nic szczególnie interesującego.

Podsumowanie

Interesujący zestaw zasad polityki technologicznej. Zobaczymy, dokąd to doprowadzi (i jak długo to potrwa). Powiązania z cyberbezpieczeństwem, prywatnością i przejrzystością - są wyraźne.

Podobał Ci się ten wpis/analiza? Jakieś pytania, uwagi lub oferty? Zapraszam do kontaktu: me@lukaszolejnik.com

Comments is loading...

Comments is loading...