Problematyczna przejrzystość: czego nie mówią liczby?

Vodafone dołączył do internetowych gigantów, takich jak Google, Apple czy Facebook, i opublikował swój pierwszy raport przejrzystości. W tego typu przedsięwzięciach zasadniczo chodzi o pokazanie, jak bardzo różne organy państwa (policja, sądy, ale też służby specjalne) interesują się użytkownikami usług danej firmy. Raport Vodafone – globalnego potentata na rynku usług telekomunikacyjnych – jest jednak nietypowy: nie koncentruje się na danych – których w tym zestawieniu często brakuje – ale na problemach i prawnych dylematach, jakie rodzą się na styku pytających organów i odpowiadających (lub nie) firm. Paradoksalnie, to czyni raport ciekawszym, niż podobne publikacje, z których wynikają tylko suche liczby.

Czego tak naprawdę dowiadujemy się od firm, które „deklarują” liczbę zapytań, jakie kierują do nich organy państwa? Sama liczba – pozbawiona kontekstu – mówi nam naprawdę niewiele. Nie ma przecież „międzynarodowej normy” dla skali zapytań, do której moglibyśmy ten wynik porównać. Gorzej: zwykle nie wiemy nawet, do czego konkretnie odnosi się opublikowana liczba: czy to jest suma wniosków, które trafiły do firmy, czy może suma danych lub wręcz kont użytkowników, których te wnioski dotyczyły? Ani czego w tym zestawieniu brakuje: na przykład żądań udostępnienia informacji, które prawo danego kraju uznaje za tajne. Ciekawie robi się dopiero, kiedy mamy jakieś porównanie – na przykład zestawienie z kilku kolejnych lat – lub przynajmniej informację, ile razy firma z jakiegoś powodu danych nie przekazała.

Nie ma „międzynarodowej normy” dla skali zapytań, do której moglibyśmy porównać wynik konkretnej firmy.

Nawet najrzetelniejszy korporacyjny raport przejrzystości nie odpowie nam jednak na wszystkie pytania. Żadna z firm nie ujawnia tego, co z perspektywy obywatela-użytkownika usług komunikacyjnych wydaje się wręcz najważniejsze: o co konkretnie pytają interesujące się nami organy (o listę kontaktów? Historię połączeń lub wyszukiwań w Internecie? Treść wiadomości? A może sam numer IP?) i do czego zamierzają tę wiedzę wykorzystać. Dlaczego (nie) pytają o mnie? Na jakiej podstawie i w jakim celu?

Na te pytania powinny odpowiadać przede wszystkim organy państwa i to one są nam winne kompleksowy, spójny metodologicznie raport przejrzystości. Bo też one wiedzą najwięcej o realnym znaczeniu danych pozyskiwanych od firm telekomunikacyjnych i dostawców usług internetowych oraz celach, w jakich te informacje są wykorzystywane. Dlatego Fundacja Panoptykon, zbierając dane o skali inwigilacji w polskim Internecie, zadała podobne pytania zarówno największym firmom działającym na rynku, jak i kluczowym organom, które pozyskują nasze dane. Dopiero z zestawienia tych dwóch źródeł mogliśmy wyciągnąć interesujące wnioski.

Organy państwa są nam winne kompleksowy, spójny metodologicznie raport przejrzystości.

Z drugiej strony przejrzystość po stronie firm, które są zobowiązane odpowiadać na pytania policji i służb, jest ważna, o ile nie służy zaciemnianiu i ucinaniu debaty („Dostaliście liczby? Więcej nie powiemy, więc nawet nie pytajcie”). Korporacyjne raporty mogą sygnalizować, że coś jest nie w porządku – na przykład, jeśli skala zapytań gwałtownie rośnie. Dużo mówi też liczba odrzuconych wniosków: duże różnice między pytającymi krajami lub rozbieżności w praktyce odpowiadających firm mogą sugerować, że firmy działające na tym samym rynku nie stosują jednolitych procedur, albo że organy władzy stosują bardzo różne standardy – nie zawsze uznawane przez firmy za wystarczające.

W raporcie Vodafone najwięcej miejsca poświęcono właśnie zagadnieniom prawnym i proceduralnym. Możemy się dowiedzieć, kiedy Vodafone reaguje na pytania o dane swoich klientów, a kiedy odmawia, w jakim środowisku prawnym działa i z jakimi dylematami musi się mierzyć. Najciekawszą informacją, którą natychmiast podchwyciły media, jest ta, że aż sześć na 29 opisywanych krajów domaga się od Vodafone bezpośredniego dostępu do ich baz danych – a więc dostępu bez kontroli jakiegokolwiek organu, a nawet konieczności przedstawiania nakazu udostępnienia danych. Z reakcji mediów wynika, że taka praktyka nadal ludzi oburza i niepokoi. A przecież, w ramach wdrożenia tzw. dyrektywy retencyjnej, kilka krajów Unii Europejskiej – w tym Polska – dopuściło dostęp do danych przechowywanych przez operatorów bez nakazu sądowego czy prokuratorskiego. I żaden parlament ani sąd nie uznał tej praktyki za niezgodną z prawem.

Trzeba było raportu przejrzystości komercyjnej firmy, żeby bezpośredni dostęp do baz danych operatorów uznać za niebezpieczny.

Polskie prawo dokładnie reguluje zasady działania interfejsu, za pomocą którego policja i inne służby są w stanie pozyskiwać dane bezpośrednio z baz operatorów telekomunikacyjnych (Polski nie ma w raporcie Vodafone, bo firma nie działa bezpośrednio na naszym rynku). Najwyraźniej trzeba było raportu przejrzystości komercyjnej firmy i oburzenia zagranicznych mediów, żeby tę praktykę uznać za niebezpieczną.

Z drugiej strony polskie organy władzy mniej boją się własnej przejrzystości niż na przykład Wielka Brytania, która nawet ujawnienie zbiorczych danych o liczbie zakładanych podsłuchów i pozyskiwanych billingów uznała za niebezpieczne. W Polsce tę lekcję już przerobiliśmy: od kilku lat informacje statystyczne o zakładanych podsłuchach i pozyskiwanych danych telekomunikacyjnych (z rozbiciem na ich konkretne rodzaje!) są publikowane i otwarcie komentowane w debacie publicznej. Oby tak dalej. I więcej.

Katarzyna Szymielewicz

Więcej na ten temat: 

Fundacja Panoptykon: Dostęp państwa do danych użytkowników usług internetowych. Siedem problemów i kilka hipotez

Privacy International: Vodafone Transparency Report: new threats mean we need more than transparency