Адвокат Емил Георгиев: Предложението да предоставиш за преглед и контрол ФБ профила си, за да те пуснат в САЩ, е много опасен знак

от -
1 740
Емил А. Георгиев. Снимка: личен архив

Емил Георгиев е адвокат,специалист по право на интелектуалната собственост, авторски права, защита на личните данни, неприкосновеност на личния живот. Преподавател е по тези предмети в УНСС.  Завършил е право в Австрия, 18 години живее там, но в края на краищата се връща в България. Той стана публично известна фигура след протестната вълна от 2013 г., когато заедно с други ентусиасти основа либералната партия ДЕОС, на УС на която в продължение на три години беше председател. На изборите през март 2017 г. той беше на второ място в листата на коалицията „Да, България“ в един от софийските многомандатни избирателни райони.

Г-н Георгиев, искам да поговорим  за световния скандал с Фейсбук по повод разкритията, че социалната мрежа е предоставяла лична информация на потребителите си на политически рекламисти.  Става дума за проблемите, свързани с данните на потребителите, съхранението им, правата им върху тях и за нарушенията, направени от ФБ. Това е защото прочетох във вашия блог един текст, в който вие съветвате хората как да опазят личните си данни и дори сте дали образец на писмо, с което те, ако искат могат да се обърнат към социалните мрежи с искания за защита на данните си.

Първо, да уточня, че не е толкова ясно до каква степен съзнателно е давана тази информация, дали срещу заплащане, или не. Най-малкото става дума за груба немарливост.

Обяснете, като специалист по защита на авторското право, в какво се състои проблемът и защо стана такъв огромен скандал след разкритията, че фирмата „Кеймбридж аналитика“ е ползвала данните на милиони потребители, анализирала е тези данни и е облъчвала хората с политически реклами.

Няколко са проблемите. На първо място, трябва да кажем, че гледните точки върху всичко това, се различават в зависимост от това дали гледаме на тях от САЩ или от Европа. В ЕС има едно виждане по въпросите, свързани с лични данни и защитата им, а от другия бряг на Атлантика, в САЩ, имат едно доста по-различно разбиране. Но и в САЩ скандалът си е скандал, но най-вече по потребителски съображения. Тази част от защитата на личните данни в САЩ е специфичен вид потребителска защита, за която Фейсбук има сключено споразумение с американската Федерална търговска комисия, която е нещо като Комисията за защита на потребителите и Комисията за защита на конкуренцията у нас, но като един орган. Това, което се е случило, е преди всичко обстоятелството, че ФБ не спазва приетите от самия него условия, и се смята, че той като си ги е приел за себе си, те трябва да са достатъчно изгодни за него. – Не са били спазвани условията и в САЩ, и в Европа. В тези „Условия за ползване“ има цяла глава, която се отнася до личните данни и до правото на лична неприкосновеност. Та, ФБ сам е приел, че няма да споделя данните на потребителите си с трети субекти, а ще ги използва само за да дава конкретни информации на трети договорни партньори с оглед на насочено към определена група  рекламиране. Но става дума само за обобщена информация: полово разпределение  на ползвателите, възрастови интервали, в които се разполагат. Само за демографски и статистически обобщения става дума в неговите правила, а не за данни на отделни хора.  Например – един доставчик на финансова услуга, иска тя да бъде показана на една разбивка от потребители на ФБ, които са с някакви определени от него, да речем, възрастови характеристики, под формата на реклама. Ако той иска да привлече например  млади хора, то ще иска именно на тях да бъде показвана рекламата му. По същия начин стои въпросът и за групи по доходи, по образование и т.н. ФБ, общо взето, знае – за огромна част от потребителите си – тези техни характеристики. Нещо такова се е случило и с „Кеймбридж аналитика“, но с голямата разлика, че данните, които са „изтекли“ към тази фирма, са „изтекли“ не в обобщен, а в суров вид.

Това „изтекли в суров вид“ означава ли, че тази английска фирма е знаела данните конкретно на, да речем, Емил Георгиев, или Емил Коен и т.н.?

Да, ако вземем, да речем, моя ФБ профил, тя е знаела, че Емил Георгиев е на една определена възраст, има такава и такава професия, че е от мъжки пол, че е хетероксексуален и т.н. и т.н. Освен това тя е знаела за същия човек и какво той лайква във ФБ, в кои групи членува, постовете на кои потребители харесва и много други неща. Т.е. знае за мен и че политическите ми възгледи са либерални, че харесвам  един политици и не харесвам други, че съм бил кандидат в избори. Така в кавички, разбира се, са „изтекли“ тези данни за лицето Емил Георгиев.Естествено, най-вероятно не са, защото фирмата е имала подчертан интерес към англоговорящите потребители на ФБ, най-вече от САЩ. Не е ясно дали са обработвани данни на британски потребители. Между другото, ако данни на британски потребители са били обработвани в САЩ без съответното позволение, това може да е проблем, защото трансфера на лични данни към трети държави става само с позволение. Факт е, че между САЩ и ЕС има генерални споразумения, които да уреждат  този трансфер на данни по малко по-облекчен начин. Но се твърди, че „изтичането“ на данни се е случило някъде през 2015 г. Краят на тази година съвпада с една юридическа  празнина в уреждането на трансфера на лични данни между ЕС и САЩ. Малко преди това е спряло да съществува споразумението, наречено  „Сигурно пристанище“, а пък новото още не е влязло в сила. И ако това е вярно, то тогава е трябвало всеки един отделен потребител да се съгласи, че данните му ще бъдат обработвани. Със сигурност такива съгласия не са искани и не са давани. Това е причината еврокомисар Вера Йоурова, която освен за правосъдието в ЕК отговаря и за защитата на личните данни, да се интересува много и да иска да направи проверка на скандала от позицията на ЕК. Защото ако се установи едно такова прехвърляне на данни, то може би ФБ ще бъде наказан с глоба от ЕК, която ще е доста висока.

Но да се върнем на основния проблем. Данните на потребителите са изтекли към „Кеймбридж аналитика“ в разрез с „Общите условия“ на ФБ. Значи станало е нещо, което реално не би трябвало да се случва. Освен това, ФБ разбира  за изтичането  на данни и единственото, което предприема спрямо английската фирма, е да ги помоли да заличат тези данни. От фирмата казват „Да, ще ги заличим“. А ФБ не се наема да установи дали заличаването наистина се е случило. Има специализирани фирми, които могат – ако ФБ им беше поръчал – да установят заличени ли са данните, или не. Могли са да им възложат да направят такава проверка, но не са го сторили, задоволили са се само с едно, как да кажа, намигване, от страна на „Кеймбридж аналитика“. И трето, проблемът според мен е и в това, че данните ни при  ФБ не са сигурни, което е големият тревожен извод от целия скандал.

Да, най-вероятно сте прав. Но нали ние, потребителите, все пак съвсем доброволно предоставяме на социалната мрежа най-различни данни за себе си (кога сме родени, къде живеем, на колко сме години и т.н.), както и правим изявления, т.е. пишем постове за какво ли не – за религия и политика включително, които, макар да са „само за приятелите ни“, са всъщност публични, защото ФБ позволява всеки да има до пет хиляди „приятели“.

Да, вярно е, че всичко, което правим, ползвайки ФБ, го правим доброволно. Никой не ни заставя или принуждава да го правим. Но тук има важни подробности. От няколко години насам ФБ има изискване потребителите му да са регистрирани с реалните си имена.

Но това далеч не винаги се изпълнява.

Така е. ФБ не може да провели при всички хора дали ползват истинските си имена или не. Но непрекъснато ставаме свидетели как на някои хора им отнемат достъпа, защото други потребители са донесли, че еди-кои си не са се регистрирали с истинските си имена. И Мрежата иска от тях да удостоверят самоличността си. С други думи, има някаква, макар и лека, принуда от страна на ФБ да ползваме реалните си имена. За останалото, разбира се, трябва да кажем пак, че никой не ни е опрял пистолет в челото и така да ни принуждава да вършим нещо във ФБ и най-вече да споделяме какво ли не – какво правим, къде ходим, кога почиваме, какво ядем, какво пием и какво ли не още. Това зависи единствено и само от нас.

Но въпреки всичко европейското законодателство за защита на лични данни казва едно: личните данни принадлежат на оногова, който ги създава и споделя. Това лице трябва да има възможности да упражнява контрол над тях. Дори след като е споделил нещо, дори след като е дал съгласие на администратор на лични данни да ти обработва (ФБ е такъв администратор). Такова твърдение – и то в по-пряка форма, отколкото досега – има в новия регламент за личните данни на ЕС, който ще влезе в сила на 25 май. След тази дата ще имаме възможността, за разлика от сега, да оттегляме веднъж дадено съгласие на ФБ да ни ползва данните. Новото положение изправя някои доставчици, особено в IT сектора, пред много трудно решими задачи и пред необходимостта да преосмислят бизнес моделите си, особено в частта, свързана с ползване на лични данни. Така че ние, европейските потребители, защитени от националните закони за защита, а освен това и от директивното законодателство на самия ЕС, имаме определени права, не сме рая някаква. И случилото се никак не е безопасно или безобидно.

Пак да кажа – ФБ, след като са разбрали, че са имали пробив в базата си данни, като е станало ясно, че са „изтекли“ лични данни към „Кеймбридж аналитика“, е трябвало да реагират и най-малкото – да информират публиката. Т.е. най-късно към 2015-2016, когато е станало изтичането, те е трябвало да пратят на всички нас, потребителите им, съобщение за станалото: ако сте забелязали някакви промени в съдържаните на това, което – най-вече като реклами – ви показваме, то може да се дължи на това. Могли са, но не са го сторили.

Има две важни според мен, неща, мисля ги за основни. Първото е, че с всеки свой статус аз правя някакво изявление и го споделям с много хора съвсем доброволно. И се предполага, че вече имам контрол над това, което правя, нали? А второто е въпрос, важен въпрос. И той е дали има правозащитен проблем във всичко това?

Съдържанието на статусите, в най-голямата си част, не представлява лични данни.

Това е важно, мнозина не го знаят.

Нашият закон определя личните данни като данни, които позволяват да се направи идентификацията на едно определено лице. Те са името, дата на раждане, адрес, адреса на електронната ви поща, защото мнозинството от адресите на ел. поща следват шаблона „малко име – точка – фамилия – име на пощата“. Освен това от личните данни могат в редица случаи да се разберат някои чувствителни информации за човека – например етническата му принадлежност. И когато комбинираме тези лични данни с изявленията на човека, можем да получим негова „портрет“ – не обобщен такъв на хиляди потребители, а на всеки поотделно. И тогава нещата стават съвсем други.

Комбинацията на моите изявления, които не са лични данни, с разкриването от страна на „Кеймбридж аналитика“ именно на такива неща като имена и портретуването на всеки в тази ситуация, е най-важното. Точно това очевидно се е получило.

И към него ние сега трябва да добавим смесването или сравняването на тези придобити от фирмата данни с такива от други регистри, отнасящи се до същите лица. Например в САЩ много лесно могат да се придобиват и купуват данни от застрахователи, от банки, от издатели на кредитни карти. В тази страна са публични включително и гласоподавателските регистри, в които избирателите се регистрират – като демократи, като републиканци и т.н. Такъв е редът там – в САЩ гласуват само тези, които са се регистрирали предварително. Всичката тази информация може да се събере в едно и да се съставят много интересни от гледна точка на политическата реклама, профили.

И тук навлизаме в правозащитната сфера, защото не е маловажно когато разполагаш с цялата тази информация,  какви съобщения пращаш до своята публика. Също така е важно, че тези съобщения съвсем не винаги биват разпознати и обозначени като реклама. Да си представим американски потребител на ФБ, той се казва, да речем,  Емил Коен, и от неговата публична активност е видно, че е критично настроен към Тръмп. Но като знаем, че се казва Емил Коен, можем да направим обоснованото предположение, че е израелтянин по религия, а от това с много голяма вероятност може да се заключи и за етническата му принадлежност И както от изявленията му във ФБ знаем, че не харесва Тръмп , то може на него специално да му покажем някакво съобщение, което информира за топлите чувства на Тръмп към Израел, да речем. Но то няма да е обозначено като реклама, в това е въпросът! Нима не е възможно така да му повлияем на този човек и на изборите той да вземе да гласува „за“ Тръмп? Ако видим някой, който се казва „Мартинес“ или „Феранандес“, ще заключим, че е „латинос“ и можем да го облъчим с изказване на Тръмп, в които той говори добри неща за латиносите. Защото на фона на многото негативни изказвания за тях има и някои положителни негови твърдения за латиноамериканците в САЩ. А е известно, че в САЩ има няколко щати, в които по същество се решават изборите и че там малки групи избиратели могат да наклонят везните в полза на единия или на другия кандидат. Така че можем в навечерието на изборите по такъв начин да „облъчим“ хората със съобщения за които не знаят, че са реклама, че да се „обърне „ вотът.

От правозащитна гледна точка няма как това да не го разгледаме и през призмата на свободното изразяване. При нас, в Европа, в следствие на този скандал,се чуха едни такива странни призиви за регулация. Не ги споделям, но ще информирам хората за какво иде реч. Твърди се, че Фейсбук е вече прекалено могъщ и се смята, че ФБ по същността си все повече заприличва на медия и че вече има телевизии, които излъчват направо във ФБ. Но Мрежата все още не е медия, защото не произвежда собствено съдържание, тя е само преносна среда. Ала има критични гласове, които смятат, че отправената чрез ФБ реклама, независимо дали става дума за търговска или за друга, трябва да е съвсем ясно обозначена, това трябва, според тях, да се регулира. За тези критици е прекалено малко това, да се вижда, че става въпрос за спонсорирана връзка, а трябват и още означения, които да привличат вниманието на потребителя. Според мен чак в такива крайности не е нужно да се изпада и така да смятаме ФБ потребителите за малоумници.

Това е много спорен въпрос и на границата на цензурата. Ще видим какво ще ни покаже бъдещето. А сега искам да ви питам за новия европейки регламент за личните данни, вие сте специалист по тяхната защита и не случайно аз поради писаното в блога ви ви потърсих. Моля, скицирайте я накратко за читателите на „Маргиналия“. Какво още важно за потребителите има в нея?

Става дума за регламент. Регламентът е нещо по-силно от директивата. Директивите се прилагат чрез приемане на национални закони, а регламентът се приема централно – от ЕП и от Европейския съвет и действа пряко, не се нуждае от „превод“ в национален закон. Сага нашият Закон за защита на личните данни е приет вследствие на една директива на ЕС от 1995 г. Директивата е стара, но работи много добре. Но от години вече се говори за актуализацията ѝ. Надделя възгледа, че личните данни следва да се защитават  не с директива, а с нещо по-силно – с регламент. Затова и регламентите са много по-конкретни, отколкото директивите, които именно чрез националната законодателство стават конкретни. Но този регламент е малко, как да кажа, „по средата“. Той хем е регламент и е валиден непосредствено, хем в текста си съдържа цели 69 дерогационни норми. Т.е. на 69 места националните законодателства могат да приемат някакви отклоняващи се от текстовете на регламента положения. Един класически пример са санкциите, санкционните норми. Там е предвидено глобите за нарушение да бъдат до 4% от оборота или до 20 милиона евро. В български условия такава глоба  би била чудовищно голяма. И сега имуществените санкции не са малки – от 10 000 до 20 000 лв. Ето в това например  националният законодател може да приеме нещо различно – у нас да я направи  направи чувствително по-малка.

Този регламент внася някои съвсем нови неща. Вече споменах за правото да си оттеглиш съгласието за обработване на данните ти. Другото е т.нар. право да бъдеш забравен. То сега го има благодарение на решения на Съда на европейските общности в Люксембург, сега вече влиза в регламент. Това значи, че вече можем да искаме всичко, отнасящо се до нас, да бъде заличено – не само във ФБ, но и навсякъде, напр. от Гугъл. Любопитно е, че в САЩ това е било предмет на дебат и там на това гледат като на опит за цензура. Логиката им в САЩ е следната – ти можеш да искаш да бъдеш „забравен“, но може да си обществено интересна фигура и общественият интерес да иска информацията за теб и от теб да стои.

Важно е да знаем, че този регламент ни дава още по-добри възможности като субекти на лични данни, като техни притежатели, да упражняваме контрол върху начина, по който те биват ползвани. Ние вече ще можем с подробности да знаем кой какви и данни за нас събира, кой и как ги обработва , откъде ги има и на какви трети субекти ги предоставя. Можем вече да спрем всичко това, ако пожелаем.

Последно искам да ви питам за следното. Съвсем скоро излезе информация, че има предложение американските гранични власти да искат от всички, които влизат в САЩ с визи, т.е. нямат безвизов режим с тази страна, да предоставят ФБ профила си за проверка и в зависимост от резултатите на някои може да бъде отказано да влязат в САЩ, въпреки че имат виза, издадена от съответно американско посолство, за издаването на която също се предлага да се иска ФБ профила на кандидата. Как ще коментирате това? Няма ли да стане така, че ако на някакъв граничен чиновник не съм му симпатичен, защото, да речем, не одобрявам Тръмп и съм писал за това във ФБ, той да не ме пусне да вляза в САЩ?

И сега съществува така практика. Има много свидетелства за такива случаи. Това е така, защото американските гранични власти имат много широки правомощия. Могат да те върнат от границата, независимо от това, че имаш виза. Новото предложение, ако се приеме, ще узакони и силно ще разшири тази практика. Тя е много силно проблематична. Убеден съм, че огромното мнозинство от хората, ползващи Туитър и ФБ, споделят твърде много лични неща за себе си, които не биха искали да станат достояние на полицаи. Аз, например, като адвокат, съм получавал по ФБ месинджъра неща от клиенти, а комуникацията между адвокат и клиент по закон е поверителна! Трябва ли тази лична кореспонденция да попада в ръцете на полицията? При това сега има технически средства, които позволяват съдържанието на вашия ФБ да се „излее“ от телефона ви например в специално приемателно устройство, за съвсем кратко време. Как ще се преглежда профилът  на човека – лично или чрез някакви съоръжения. В най-безобидния вариант ние ще предаваме на КПП-то телефона си на граничния чиновник, и той почва да го преглежда набързо. Ако му се появят хора с бради и чалми например, които могат да са „терористи“, не ви пуска, или някакви там нацистки кръстове, също ви хлопва вратата. Но нима е реалистично да се мисли, че истинските терористи общуват чрез ФБ, и то открито? Може би някои хора  ще почнат да си трият ФБ профилите, преди да влязат в САЩ? Може би ще се появят фирми, които да предлагат още по-добро криптиране на информацията? А и не е нужно да се извлича информацията от мобилния ти телефон. Понеже ФБ иска да се регистрираме с истинските си имена, то е много лесно за граничния чиновник да провери дали имам и какво има в профила ми във ФБ и без телефон.

Но при всички случаи, самото това предложение е един много, много лош знак. А ако се приеме, знакът става съвсем лош. Това ни води много близо до свят, в който антиутопията на Оруел „1984“, в която един екран постоянно следи главния герой, ще стане не литературна, а жива действителност. Както разбирате, решително не одобрявам това проектирано нововъведение. Но се ръководя от любимата си германска поговорка, че никога не се яде толкова горещо, колкото се готви и това е моят опит да съм оптимист в тази ситуация.

 

Въпросите зададе: Емил Коен

 

СВЪРЗАНИ ПУБЛИКАЦИИ