Európa és az USA az adatainkért háborúzik. Vajon elesik-e a Facebook a csatatéren?
Az adatvédelmi háborúskodás következtében leállhat a Facebook, az Instagram, a Messenger és a WhatsApp Európában – legalábbis ezzel fenyeget a Meta, a közösségi oldalak és csevegőalkalmazások anyavállalata, nem először. Az ilyen szolgáltatások leállása azonban csak a kérdéskör felszíne, még ha komoly következményei is lehetnek.
Köszönjük, hogy olvasod a cikkeinket. A Napunk csak úgy tud fennmaradni, ha az olvasói előfizetik. Kérjük, támogasd a szerkesztőség munkáját. További cikkeinkért, illetve rövidhírekért látogass el a főoldalunkra is.
Ha egy szolgáltatáshoz ingyenesen hozzáférhetsz az interneten, ott te magad vagy a termék – hangzik a már jó egy évtizedes adatvédelmi bölcsesség, mely egyre relevánsabbá válik, ahogy változik a kommunikáció és az erre épülő gazdasági tér körülöttünk.
Az adat a világ egyik legnagyobb üzletévé vált, és ahhoz képest, mennyire érzékeny „termék” – hiszen tulajdonképpen rólunk, a mi mindennapjainkról, online identitásunkról szól –, az ezzel kapcsolatos szabályozás sok szempontból gyerekcipőben jár. S ahány ház, annyi szokás: óriási problémákat okoz a globalizált világban, hogy ebben a kérdésben nagyon gyenge az egység az országok, gazdasági térségek között.
Az adatkezelés és adatbiztonság épp ezért kulcskérdés abban a vitában, mely miatt most a Facebook, az Instagram és több csevegőalkalmazás leállása fenyeget Európában.
Cikkünkből megtudhatják:
- miről szól a Meta és az ír adatkezelési hatóság vitája,
- mi a különbség az amerikai és az európai adatkezelés között,
- miért az adat az új olaj,
- mi történne, ha leállna a Facebook és az Instagram,
- és bekövetkezik-e ez egyáltalán.
Laza Amerika, szigorú Európa
Az adatkezelés kérdésköre sokkal szerteágazóbb annál, hogy a közösségi oldalak adatbiztonságának kérdésére szűkítsük, de talán a Meta működésén keresztül érdemes a legegyszerűbben bemutatni. A Facebook és más közösségi médiás cégek működésének alapja az adatbázisépítés. A felhasználók adatait, érdeklődési körüket, szokásaikat térképezik fel, hogy aztán ennek nyomán célzott reklámokat tudjanak nekik mutatni. Ezeket az adatokat az Egyesült Államokban kezelik és tárolják.
A központi probléma azonban az, hogy az USA adatkezelési és adatvédelmi standardjai lényegesen lazábbak, mint az EU-s feltételek. Az európai felfogás a felhasználók jogait helyezi középpontba, és adatvédelmi szempontból jóval szilárdabb.
Az Egyesült Államok megközelítése azonban az üzleti szempontból rentábilisabb megoldásokat támogatja, és nagyobb szabadságot nyújt – részben ezért fejlődik dinamikusan az amerikai technológiai iparág, és ezért működnek itt a legsikeresebb adatbrókerek is, akiknek itt nem kell feltétlenül célhoz kötniük a tevékenységüket, az adatgyűjtést és az adatok értékelését.
Az olló az évek során egyre nagyobbra nyílt: az európai magánszféra-védelem még inkább megszilárdult – kiváló példa erre a GDPR-szabályozás –, az amerikai szabályok nem változtak számottevően.
Az amerikai adatvédelmi szabályozással sok baj van – az egyik közülük például az, hogy nem teljesen egységes, tagállami szinten jelentős eltérések vannak – mondja Keleti Arthur kibervédelmi szakember, az Informatikai Biztonság Napjának alapítója.
Ezek az eltérések például ott nyilvánulnak meg, hogyan kellene bejelenteni adatvédelmi incidenseket, vagy például mi ennek a formája. Ezt szövetségi szinten kellene kezelni, és bár próbálkozások vannak, előrelépés nem igazán – hiszen az adatvédelem kérdéskörének rengeteg alága és részproblémája van, és mint látjuk, szövetségi szinten most például az ennél sokkal vonalasabb kérdést jelentő abortusz problémáját sem tudják kiköpni vagy lenyelni.
Európa tehát joggal aggódhat amiatt, hogy egy olyan országban dolgozzák fel az adatait, melyben nem elég egységes és nem elég határozott a döntéshozás.
A nem biztonságos kikötőtől a lyukas pajzsig
Az tehát, hogy az Európában beszerzett adatokat az Egyesült Államokba továbbítják, sokaknál okozott komoly aggályokat. Azt tulajdonképpen senki sem kérdőjelezi meg, hogy a jelenlegi gazdasági érában az adattovábbítás kulcsfontosságú – azt azonban egyre többen, mit, hogyan és kivel kell megosztani, ezek a kérdések pedig a közösségi médiafelületek megjelenésével felerősödtek.
Az évek során egyre nyilvánvalóbbá vált, hogy a 2000-ben született Safe Harbor (biztonságos kikötő) megállapodás, mely szerint Európa megfelelő védelmet biztosító adatkezelőnek ismerte el az Egyesült Államokat, már nem képes ellátni feladatát a dinamikusan változó környezet miatt.
Max Schrems osztrák adatjogi aktivista, író és ügyvéd már 2011-ben panaszt tett az ír adatvédelmi biztosnál a Facebook adatkezelési gyakorlatai miatt. A talaj azonban akkor vált igazán forróvá, mikor kirobbant az Edward Snowden-botrány, és fény derült a PRISM-projektre, mely rámutatott az amerikai szabályozás lazaságának legkomolyabb árnyoldalaira.
A Nemzetbiztonsági Ügynökség ugyanis kiterjedt megfigyelési programot működtetett mások mellett a Google, az Apple vagy épp a Facebook segítségével.
Innentől a dolgok gyors fordulatot vettek. Max Schrems és a mögötte álló None Of Your Business (NOYB.EU) egyesület panaszai beértek, és az Európai Bíróság 2015-ben érvénytelenítette a Safe Harbort.
Az utód a Privacy Shield (Adatvédelmi Pajzs) rendszer lett, melynek koncepciója megegyezett a Safe Harbor koncepciójával. Schremsék azonban nem adták fel, mondván, az USA-ba továbbított adatok biztonsága továbbra sem megfelelő – lévén, hogy az Egyesült Államok nemzetbiztonsági szervei tulajdonképpen továbbra is hozzáférhetnek azokhoz.
Így történt, hogy 2020-ban az Európai Bíróság a Privacy Shieldről szóló európai bizottsági határozatot is érvénytelennek minősítette. Így keletkezett a jelenlegi, nehezen kezelhető vákuum.
A Privacy Shield megszűnése óta az amerikai cégek külön szerződéses záradékokkal, az úgynevezett SSC-kel oldották meg, hogy az adatok továbbra is eljussanak Európából az amerikai szerverekre. Az ír adatvédelmi hatóság (DPC) azonban úgy döntött, ezt a lehetőséget is elvenné a Metától, amelynek működése Európában így ellehetetlenülne, amíg nem sikerül egy új keretegyezményről és új szabályokról megállapodni.
Az ír hatóság bejelentése csütörtökön meglehetősen nagy sokkot okozott, ám ez egyelőre nem jelenti azt, hogy azonnal elsötétül a Facebook és az Instagram. A DPC-nek ugyanis most a többi európai szabályozó véleményét is meg kell várnia – erre egy hónapjuk van. Amennyiben bárki kifogással él a javaslat ellen, akkor újabb hónapokig várhatunk a végleges döntésre.
Adatgyarmatosítás
A hétköznapi felhasználók nem tudnak sokat az adatvédelmi problémákról, csak élvezik az előnyöket, melyeket a közösségi oldalak nyújtanak nekik – mondja Szűts Zoltán médiakutató, egyetemi docens, aki szerint az élményszerűség számukra fontosabb, mint a joggyakorlat.
Az adatok feletti marakodás azonban túlmutat a szabályhozatal eltérő filozófiáján is. Sok gondolkodó szerint a szélesebb összefüggést az adatgyarmatosítás fogalma jelenti.
Az Egyesült Államok ugyanis tulajdonképpen 500 millió európai felhasználó adatai felett rendelkezik, és kezeli őket szinte kedve szerint. Itt pedig nem csak célzott reklámokról és gazdasági érdekekről van szó.
Szűts Zoltán rámutat arra is, hogy a politikai szereplők is profitálhatnak ezekből az adatokból. Az orosz–ukrán háborúval kapcsolatban például a Facebook nagyon jól tudja mérni az emberek hangulatát és attitűdjeit. Azt pedig, hogy a big data-elemzések, adatmodellezés és profilalkotás kapcsán ez meg is történik, a Cambridge Analytica-botrány óta tudjuk.
A politikai kommunikációban egyre fontosabbak az adatokból levonható következtetések: értékes információ például, hogy az európai országok facebookozó lakosságának hány százaléka áll ki az ukránok mellett a háborúban, és hogyan változik a közhangulat.
Mit tud a mesterséges intelligencia?
A mesterséges intelligencia már nemcsak kapcsolatrendszereket térképez fel, hanem azt is fel tudja rajzolni, kinek mekkora a lobbiereje, kik a véleményvezérek, akik tömegekre hatnak, és elemzéssel az is megtudható, hogyan változik az emberek attitűdje, ha adott véleményvezéreket követnek.
Részben tehát ez is magyarázza, miért nem tárolják egyszerűen Európában az adatokat a szolgáltatók – az európai szabályozás nagy korlátozó erő az adatfeldolgozásban, ráadásul így a feldolgozóknak azzal sem kell törődniük, belelátnak-e az európai hatóságok abba, mit és hogyan elemeznek.
Keleti Arthur azonban megjegyzi azt is, hogy a cégek egyszerűen nem alakítják az üzleti modelljüket egyes adatvédelmi törvények köré. Vannak technológiai korlátok is – vállalatok nem akarnak kapacitásokba fektetni Európában, ha az már rendelkezésükre áll az Egyesült Államokban. De fontos tényező az is egy európai központ kiépítésében, hogy az adott cég számára hol a legmegfelelőbb az adózási rendszer, hol fér hozzá megfelelő humán erőforráshoz, vagy egyszerűen hol érzi magát biztonságban.
Az ír adatvédelmi hatóság mostani döntése pedig épp ezért kulcsfontosságú. Nemcsak a Metáról van szó ugyanis, hanem több ezer más cégről is, melyek adatkezelési gyakorlatát még csak most kezdik majd vizsgálni. Ez pedig még nagyobbra fogja dagasztani a jelenleg is óriási problémát.
Érdekesek ugyanakkor a háttérben meghúzódó európai szempontok is. Szűts Zoltán szerint ugyanis Európa és az uniós cégek messze lemaradtak az adatfeldolgozási és big data-versenyben. A száz legnagyobb világcég között elvétve találni európait, a top 10-ben egy sincs, és nincs jelentős európai IT-cég sem – miközben az új világ egyik legfontosabb nyersanyaga, az adat bár elérhető lenne, mégis „exportra megy”. Így az európai cégek számára kulcsfontosságú, hogy az adatok a kontinensen maradjanak.
Leáll-e a Facebook?
