Tölvumál - 01.01.2019, Síða 29
29
Haustönn 2018 kláraði ég lokaverkefni í lögfræði við Háskólann á Bifröst.
Markmið með minni lokaritgerð var að kanna lögmæti söfnunar gagna
fyrir einstaklingsmiðaðar auglýsingar á internetinu og er þessi grein byggð
á henni. Niðurstaða mín var sú að söfnunin er ólögmæt sökum þess
hvernig söfnunin fer fram og að upplýst samþykki vantar fyrir vinnslunni.
Rökin fyrir því hvernig hægt er að gera einstaklingsmiðaðar auglýsingar
án þess að brjóta persónuverndarlög hljóta að vera sérstök, það þarf nú
á einhvern hátt að persónugreina einstaklinginn sem er í þeim markhóp
sem auglýsingin er ætluð, ef hún á að skila árangri. Þannig hafa þessi
fyrirtæki komist upp með að greina neytandann með allt að 5000
gagnapunktum, sem eru svo notaðir til að sníða auglýsingar að
viðkomandi. Með öllum þessum gagnapunktum er hægt að greina hver
notandinn er þótt það liggi ekki fyrir nafn, kennitala eða aðrar upplýsingar
sem eru flokkaðar í nýju lögunum sem viðkvæmar persónuupplýsingar.
Í raun er það ógnvænlegt hversu mikið af upplýsingum er safnað um
okkur. Það eitt og sér að heimsækja fréttasíðu eins og CNN.com býr
ekki til mikið safn persónuupplýsinga en ef þú smellir á frétt um lækningu
við HIV á Facebook eftir að hafa leitað að einkennum um HIV á Google
þá eru skyndilega komnar allt aðrar leikreglur. Þar er komin möguleg
tenging við heilsufar sem hægt er að vinna með. Facebook getur þannig
geymt upplýsingar um heilsufar, stjórnmálaskoðanir, trúarbrögð og
lífsskoðun sem allt telst til viðkvæmra persónuupplýsinga skv. 51. lið
formála GDPR reglugerðarinnar sem og 3. tl. 3. gr. laga nr. 90/2018.
Lögmæti slíkrar vinnslu felst að mestu í því að neytandinn sé upplýstur
um gagnasöfnunina og í hvaða tilgangi hún er.
Hingað til hafa gagnasöfnunarfyrirtækin skýlt sér bak við svokallaða
click-wrap samninga. Það eru þeir samningar eða skilmálar sem teljast
undirritaðir með því að smella á takka. Þetta eru nánast undantekningarlaust
allir þeir skilmálar sem notendur þjónustu á tölvutæku formi samþykkja.
Slík samþykki falla undir sama flokk og staðlaðir samningar sem flestir
þekkja úr daglegu lífi, eins og við kaup á fasteignum, tryggingum og
þjónustu fjarskiptafyrirtækjanna. Þetta eru í raun samningar þar sem
annar aðilinn hefur engin völd yfir um hvað er samið, svokallaðir einhliða
skilmálar. Almennt er hlutlægum túlkunaraðferðum beitt við slíka samninga
og skýrt þeim í óhag, er samdi skilmálana, komi til ágreinings
(Andskýringarregla). Þá hefur löggjafinn gripið til sérstakra verndarúrræða
á sérsviðum, sbr. 36. gr. a-d samningalaga nr. 7/1936 en með lögum nr.
11/1986, voru gerðar breytingar á III. kafla samningalaga, í samræmi við
þær breytingar sem gerðar voru á III. kafla samningalaganna í Skandínavíu.
Í Evrópu þurfa allir skilmálar að vera í takt við gildandi persónuverndarlög,
annars eiga fyrirtækin á hættu að skilmálarnir verði dæmdir ólögmætir
því lagareglur ganga fyrir samninga vegna lex superior. Skilmálarnir væru
því ógildir skv. lögum samningaréttar og hlutaðeigandi fyrirtæki gæti verið
dæmt til að greiða háar bætur, svo ekki sé nú talað um hnekki á
almenningsáliti.
Í grunninn eru skilmálar fyrirtækjanna samningur sem bindur báða aðila.
Ein af helstu ógildingarástæðu samningaréttar er misneyting, þegar annar
aðili nýtir sér bága stöðu hins til að hagnast. Það er auðvelt að sjá fyrir
sér hagnað þessa stærstu risa á markaðnum útfrá vinnslu á þeim
persónuupplýsingum sem þeir safna um neytendur án þess að neytandinn
geri sér fulla grein fyrir vinnslunni sem er í gangi. Skilmálar fyrirtækjanna
eru síbreytilegir og ef hver breyting er ekki samþykkt sérstaklega þá mætti
í raun ógilda samninginn útfrá sama sjónarmiði. Meginkjarninn er að ekki
sé jafnræði með aðilum þegar til löggerningsins var stofnað og að sá
aðili sem betur var settur notfærði sér þennan aðstöðumun gróflega í
ávinningsskyni.
Greiningarfyrirtæki nota algrím (e. algorithm) til að vinna úr persónu-
upplýsingum. Til glöggvunar á algrími Google var gerð stutt rannsókn á
því hvernig nýr notandi er greindur með myndveituvefnum þeirra, Youtube.
Notaðar voru þrjár tölvur í verkefnið undir tveim mismunandi IP tölum
ásamt VPN þjónustu. Öll gögn voru hreinsuð af þeim á milli prófana og
sett var upp nýtt stýrikerfi ásamt nýjum notanda. Niðurstöður voru á þá
leið að það virtist ekki skipta máli hvaða tölva eða IP tala var notuð, alltaf
birtist nánast sama upphafsíða þegar Youtube var opnað í fyrsta sinn.
Síðunni var skipt í örfáa flokka sem virtust vera hannaðir til að flokka fólk
niður frá fyrsta smell. Flokkarnir voru; Vinsælt núna, Lífstíll, Sjónvarpsþættir,
Tónlist og Hápunktar af stuttum fræðslumyndböndum. Áberandi var
áhorfsfjöldi myndbandanna en þau höfðu öll yfir 1.000.000 áhorf og flest
meira en 10.000.000 áhorf.
Segja má að það sé viljandi gert að sýna notendum óflokkað efni þar
sem það er líklegt til að finna eitthvað til að velja og tengjast. Á öllum
tölvunum var smellt á mismunandi efni og undantekningarlaust birtist
örlítið sérsniðin upphafssíða, frábrugðin öðrum, næst þegar Youtube var
opnað, jafnvel nokkrum dögum eftir að síðan var opnuð fyrst. Þetta sýndi
á mjög einfaldan hátt að frá fyrsta smelli virðist notandinn vera greindur
niður eftir áhugasviði og varpaði þetta ljósi á hvernig fólk getur verið
flokkað og úthlutað UID (Unique identifier) án þess að vera í raun skráð
í þjónustu hjá fyrirtækinu og án þess að hafa samþykkt skilmála um
söfnun persónuupplýsinga.
Fyrir notendur Facebook og Google í Evrópu þá eru í gildi nýir skilmálar
sem tóku gildi við gildistöku GDPR, 25. maí 2018. Í báðum skilmálum
eru stuttar klausur um þær persónuupplýsingar sem fyrirtækin safna.
Hjá Google er tekið fram „Hlutir sem þú býrð til eða lætur okkur í té“ og
„Upplýsingar sem við söfnum þegar þú notar þjónustur okkar“. Eins og
gefur að skilja þá eru þetta býsna víð hugtök og eins og áður segir ekki
lagalega bundið við það eina sem kemur fram í skilmálunum. Ógegnsæi
í upplýsingasöfnun er ákveðið áhyggjuefni. Fólki er einfaldlega ekki ljóst
hverju er safnað og í hvaða tilgangi. Það gæti haldið að skráningarupplýsingar
sé það eina en það er fjarri sannleikanum. Þetta ógegnsæi er meðal þess
sem gerir samþykki á slíkum skilmálum mjög vafasamt þar sem fólk getur
verið að samþykkja söfnun á upplýsingum sem ekki er um getið í
skilmálunum. Hvernig síðan er unnið með upplýsingarnar er flestum dulið.
Það er ekki síður þessi óvissa um vinnsluaðferðir þessara fyrirtækja sem
veldur fólki áhyggjum. Bæði í Bandaríkjunum og Evrópu hafa þessi
fyrirtæki fengið á sig lögsóknir vegna brota á eigin skilmálum, brota á
persónuverndarlögum, lélegum aðgangi fólks að eigin upplýsingum og
síðast en ekki síst hættunni á að ópersónugreinanleg gögn verði gerð
persónugreinanleg.
Ritgerðina má lesa í heild á slóðinni:
http://hdl.handle.net/1946/34275
LÖGMÆTI EINSTAKLINGS-
MIÐAÐRA AUGLÝSINGA
Tómas Kristjánsson, nemandi við Háskólann á Bifröst